Biblia Windows Server 2012. Podręcznik Administratora - Krzysztof Wołk (HQ)

Biblia Windows Server 2012
Podrcznik Administratora
Krzysztof Wok
2012
Copyright by Krzysztof Wok, 2012

Copyright by Wydawnictwo Psychoskok, 2012
Wszelkie prawa zastrzeone. aden fragment nie moe by publikowany ani

reprodukowany bez pisemnej zgody wydawcy.
Opracowanie graficzne i projekt okadki:

Krzysztof Wok & Wydawnictwo Psychoskok
ISBN: 978-83-63548-08-7
Wydawnictwo Psychoskok
ul. Chopina 9 pok. 23, 62-507 Konin
Tel. (63) 242 02 02, kom. 665-955-131
http://wydawnictwo.psychoskok.pl
e-mail: wydawnictwo@psychoskok.pl
Spis treci
O KSICE .......................................................................................................................... 7
O AUTORZE ........................................................................................................................ 8
1.
2.
3.
4.
5.
INSTALACJA ............................................................................................................... 9
1.1.
WYMAGANIA SPRZTOWE I OPIS RODOWISKA ................................................................ 10
1.2.
PROCES INSTALACJI .................................................................................................... 11
POST INSTALACJA .................................................................................................... 17

2.1.
NOWY INTERFEJS UYTKOWNIKA ................................................................................... 17
2.2.
CZYNNOCI POST-INSTALACYJNE ................................................................................... 22
2.2.1.
Aktualizacje .................................................................................................. 23
2.2.2.
Zmiana nazwy komputera ........................................................................... 25
2.3.
KONFIGURACJA SIECI .................................................................................................. 27
2.4.
ZARZDZANIE PROCESORAMI I PAMICI OPERACYJN....................................................... 29
ACTIVE DIRECTORY DOMAIN SERVICES .................................................................... 31

3.1.
CZYM JEST DOMENA? ................................................................................................. 31
3.2.
INSTALACJA ACTIVE DIRECTORY DOMAIN SERVICES .......................................................... 34
3.3.
WSTPNA KONFIGURACJA AD DS ................................................................................. 41
3.4.
ACTIVE DIRECTORY USERS AND COMPUTERS ................................................................... 45
3.5.
ACTIVE DIRECTORY ADMINISTRATIVE CENTER.................................................................. 70
SERWER DNS ............................................................................................................ 76

4.1.
ZAPOZNANIE Z KONSOL DNS MANAGER....................................................................... 76
4.2.
RCZNA KONFIGURACJA STREFY DNS ............................................................................. 79
4.3.
ZARZDZANIE SERWEREM DNS .................................................................................... 84
4.4.
ZAPASOWY SERWER DNS ............................................................................................ 90
SERWER DHCP.......................................................................................................... 99
5.1.
INSTALACJA PIERWSZEGO SERWERA DHCP ..................................................................... 99
5.2.
KONFIGURACJA SERWERA DHCP ................................................................................ 103
5.3.
ZARZDZANIE SERWEREM DHCP ................................................................................ 109
5.3.1.
5.4.
6.
DHCP Policies ............................................................................................. 113
WYSOKA DOSTPNO DHCP .................................................................................... 118
5.4.1.
Konfiguracja klastra DHCP ......................................................................... 118
5.4.2.
Split-Scope.................................................................................................. 122
IIS Z FTP ORAZ URZD CERTYFIKACJI ...................................................................... 125

6.1.
INSTALACJA ROLI WEB SERVER (IIS) ............................................................................ 125
6.2.
INSTALACJA ACTIVE DIRECTORY CERTIFICATE SERVICES.................................................... 128
6.3.
AKTUALIZACJA PLATFORMY .NET ................................................................................ 139
6.4.
TWORZENIE NOWYCH CERTYFIKATW.......................................................................... 141
6.5.
ZARZDZANIE SERWEREM IIS ..................................................................................... 144
6.6.
URUCHAMIANIE SERWERA FTP .................................................................................. 152
6.7.
IIS I PHP ............................................................................................................... 158
7.
NETWORK ACCESS PROTECTION ............................................................................ 164

7.1.
NETWORK POLICY AND ACCESS SERVICES ..................................................................... 164
7.2.
ZARZDZANIE NETWORK POLICY SERVER ...................................................................... 168
8.
VPN, DIRECT ACCESS I NAT..................................................................................... 177

8.1.
INSTALACJA ROLI REMOTE ACCESS .............................................................................. 177
8.2.
KONFIGURACJA VPN I NAT ....................................................................................... 181
8.3.
KONFIGURACJA DIRECTACCESS ................................................................................... 190
9.
POLISY (ZARZDZANIE ZASADAMI GRUPY) ............................................................ 195

9.1.
10.
WYBRANE NOWOCI W GPO ..................................................................................... 202

UPRAWNIENIA SIECIOWE I NA SYSTEMIE PLIKW ............................................. 205
10.1.
UPRAWNIENIA SIECIOWE ........................................................................................... 205
10.1.1.
Dodatkowe ustawienia udostpnianych plikw......................................... 208
10.2.
UPRAWNIENIA NTFS ............................................................................................... 209
10.3.
AUTORYZACJA METOD CLAIM................................................................................. 215
10.3.1.
Nakadanie uprawnie Claim ..................................................................... 216
10.3.2.
Definiowanie Claim Types .......................................................................... 222
10.4.
UPRAWNIENIA NA SYSTEMIE PLIKW REFS ................................................................... 227
10.5.
ZARZDZANIE DRUKARKAMI ....................................................................................... 230
10.5.1.
Instalowanie drukarek ............................................................................... 230
10.5.2.
Zarzdzanie dostpem do drukarek sieciowych ......................................... 233
11.
SERWER PLIKW ............................................................................................... 236
11.1.
INSTALACJA ROLI SERWERA PLIKW ............................................................................ 236
11.2.
ZAPOZNANIE Z NOWYM PODEJCIEM DO USUG PLIKW .................................................. 237
11.3.
STORAGE POOLS...................................................................................................... 246
11.4.
ZARZDZANIE PRZEZ MENADERA SERWERA PLIKW...................................................... 249
11.4.1.
Zarzdzanie Osonami Plikw .................................................................... 249
11.4.2.
Zarzdzanie Przydziaami........................................................................... 253
12.
PRACA ZDALNA .................................................................................................. 256
12.1.
WSTPNA KONFIGURACJA SERWERA ............................................................................ 256
12.2.
KORZYSTANIE Z POMOCY ZDALNEJ .............................................................................. 259
12.3.
NAWIZYWANIE POCZENIA PULPITU ZDALNEGO .......................................................... 265
13. ZARZDZANIE DYSKAMI ........................................................................................... 268

12.4.
WIRTUALNE DYSKI ................................................................................................... 276
12.5.
INSTALACJA SYSTEMU NA WIRTUALNYM DYSKU .............................................................. 279
14.
WDS ZDALNA INSTALACJA .............................................................................. 286
15.
HYPER V .......................................................................................................... 294
A.
INSTALACJA ................................................................................................................. 294
B.
ZARZDZANIE HYPER-V ................................................................................................. 299
16.
WINDOWS SERVER UPDATE SERVICES ............................................................... 321
17.
BEZPIECZESTWO DANYCH I KOMPUTERA ........................................................ 333
A.
WINDOWS BACKUP ...................................................................................................... 333
B.
SHADOW COPIES ......................................................................................................... 344
C.
BITLOCKER ................................................................................................................. 350
D.
KILKA UWAG OGLNYCH ................................................................................................ 358

i.
Polityka hase ...................................................................................................... 358
ii.
Podmiana logon.scr ............................................................................................ 360
iii.
Niezabezpieczone serwery wydruku ................................................................... 361
iv.
Best Practices Analyzer ....................................................................................... 363
18.
REMOTE DESKTOP SERVICES .............................................................................. 364
19.
SERWER WYDRUKU ........................................................................................... 381
20.
SERWER FAKSW .............................................................................................. 385
21.
VOLUME ACTIVATION SERVICES ........................................................................ 393
A.
INSTALACJA ................................................................................................................. 393
B.
WSTPNA KONFIGURACJA VA SERVICES ........................................................................... 394
22.
TRIKI .................................................................................................................. 399
A.
WDRUJCY I WYMUSZONY PROFIL UYTKOWNIKA ............................................................. 399
B.
DANE W CHMURZE - MAPOWANIE SKYDRIVE ..................................................................... 403
C.
GODMODE ................................................................................................................. 408
23.
WINDOWS 2012 CORE ....................................................................................... 410
A.
INSTALACJA WSTPNA KONFIGURACJA .............................................................................. 410
B.
ZARZDZANIE SYSTEMEM W WERSJI CORE ......................................................................... 415

i.
Interfejsy uytkownika ........................................................................................ 415
ii.
Podstawowe role serwera .................................................................................. 418
O Ksice
Niniejsza ksika stanowi praktyczny przewodnik po Windows Serwer 2012.
Stanowi ona propozycj nie tylko dla pocztkujcych administratorw, lecz take
dla tych dowiadczonych, pragncych szybko i w przyjazny sposb pozna nowoci
nowego systemu serwerowego firmy Microsoft. Prezentuje ona w sposb
praktyczny najwaniejsze funkcje i moliwoci nowego systemu serwerowego. Poza
niezbdn teori zawiera take szczegowe instrukcje i wiczenia, w ktrych
kady, nawet najdrobniejszy element jest zawarty na zrzucie ekranowym
objanionym tak, aby nawet osoba, ktra pierwszy raz pracuje z Windows Serwer
spokojnie poradzia sobie z konfiguracj i administracj tyme systemem. Ksika
zostaa tak napisana, aby przechodzc przez ni od pocztku do koca,
uytkownikowi udao si w peni skonfigurowa wasny serwer, a nastpnie
nadzorowa jego dziaanie i nim administrowa. Zostaa ona oparta na wersji RC
systemu Windows Server 2012 w wersji angielskiej, dlatego te finalne nazwy
funkcji w jzyku polskim mog nieznacznie odbiega od tych, ktre uka si wraz
polsk edycj systemu. Nie mniej jednak ksika jest kompatybilna zarwno z
anglojzyczn jak i polskojzyczn wersj systemu, ktra dopiero bdzie miaa
swoj premier. Wszelkie ewentualne poprawki zostan opublikowane na blogu
autora http://www.wolk.pl. Z tej lektury czytelnik nauczy si take wsppracowa z
maszynami i sieciami opartymi o systemy z rodziny Mac OS X oraz Linux.
Wspdzielenie si zasobami oraz wsplna praca w domenie czy grupie roboczej nie
bdzie stanowi dla czytelnika adnego problemu. Czytelnik take zapozna si z
innymi zaawansowanymi moliwociami nowego serwera. Jest to idealna pozycja
dla czytelnikw majcych ju do encyklopedycznych pozycji i pragncych lektury
ukierunkowanej na praktyk i wiczenia.
O Autorze
Jest magistrem inynierem informatyki, absolwentem
Polsko-Japoskiej
Wyszej
Szkoy
Technik
Komputerowych. Obecnie doktorant i wiczeniowca na

powyszej
uczelni,
zawodowo
trener
IT.
Jego
specjalnoci s produkty serwerowe firm Apple oraz

Microsoft, a take aplikacje graficzne firmy Adobe. Od 2009 roku redaktor
portalu informatycznego in4.pl oraz wasnego bloga www.wolk.pl, na amach
ktrych opublikowa kilkadziesit artykuw oraz poradnikw w dziedzinie
informatyki. Tworzy take autorskie materiay szkoleniowe, udziela si na
portalu e-biotechnologia.pl, a take autor niektrych artykuw dla magazynu
iCoder Magazine. Posiada take liczne certyfikaty firm Apple i Microsoft,
midzy innymi Apple Certified System Administrator (ACSA), Microsoft
Certified System Administrator (MCSA) oraz Microsoft Certified IT
Professional (MCITP).
1. Instalacja
Niniejszy rozdzia opisuje proces instalacji systemu Windows Server 2012.
Instalacj mona wykona na wasn rk na dowolnym komputerze, lecz w celach
wiczeniowych zalecana jest instalacja wedug ksiki w rodowisku wirtualnym
przy uyciu wersji testowej Microsoft Windows Server 2012 oraz systemu maszyn
wirtualnych VirtualBox. Zaleca si take wykonywa czste migawki maszyny
wirtualnej, np. przed instalacj kolejnych rl serwera. Pozwoli to w razie bdu w
konfiguracji szybko przywrci maszyn do stanu poprzedniego.
Windows Server 2012 wystpuje w czterech edycjach:
Foundation - ograniczona jest do serwerw jednoprocesorowych, moe

obsuy maksymalnie 15 uytkownikw, a take nie wszystkie funkcje s
dostpne.
Essentials - ograniczona jest do serwerw jednoprocesorowych, ilo

uytkownikw ograniczona jest do 25, a take nie wszystkie funkcje s
dostpne.
Standard - posiada wszystkie funkcje oraz nie ma limitw na ilo

procesorw, natomiast wymaga wykupienia licencji dostpowych CAL, dla
kadego uytkownika lub urzdzenia. Ta edycja pozwala take na
zainstalowanie systemu Windows Server 2012 jeden raz fizycznie na
maszynie, a nastpnie w ramach tego samego serwera fizycznego na
uruchomienie dwch wirtualnych instancji tego systemu.
Datacenter - posiada wszystkie funkcje oraz nie ma limitw na ilo

procesorw, natomiast wymaga wykupienia licencji dostpowych CAL, dla
kadego uytkownika lub urzdzenia. Ta edycja pozwala take na
zainstalowanie systemu Windows Server 2012 jeden raz fizycznie na
maszynie, a nastpnie w ramach tego samego serwera fizycznego na
uruchomienie nielimitowanej iloci wirtualnych instancji tego systemu.
Wanie na tej wersji systemu zostaa oparta ta ksika.

Wicej informacji na temat rnic midzy edycjami systemu Windows Server 2012
mona znale na stronie Microsoft.com. Na tej samej stronie mona pobra
kilkudziesiciodniow wersj testow tego systemu operacyjnego.
1.1.
Wymagania sprztowe i opis rodowiska
W tym dziale zajto si do prostym zagadnieniem, jakim jest instalacja

systemu. Do tego celu bdzie potrzebny komputer lub wirtualna maszyna z
procesorem wspierajcym architektur x64 taktowany zegarem minimum 1,4 GHz, z
512MB pamici RAM oraz minimum 32 GB wolnego miejsca na dysku. W praktyce
zaleca si uycie minimum dwurdzeniowego procesora, 4 GB pamici RAM oraz
duego i szybkiego dysku. W komputerze potrzebne te bd dwie karty sieciowe.
Jedna podczona do sieci lokalnej, a druga do globalnej. Tworzc wirtualne
rodowisko zadbano o to.
Stworzono te trzy wirtualne dyski twarde. Nie s one wymogiem. Zdecydowano si

na nie w celu dalszego zaprezentowania pracy na macierzach dyskowych.
10
1.2.
Proces instalacji
Instalator systemu wyglda bardzo podobnie do tego znanego z Windows 7 i

Windows Vista. Do zaprezentowania kolejnych krokw zostaa uyta testowa wersja
systemu Windows Server 2012 RC dostpna do pobrania na stronach Microsoft. Po
uruchomieniu komputera z pyty CD po chwili pojawi si ekran powitalny. Naley
ustawi preferencje systemowe i nacisn przycisk Dalej (Next).
11
Na kolejnej planszy naley klikn przycisk Zainstaluj Teraz (Install Now).
W kolejnym oknie instalatora naley wybra wersj systemu Windows, na ktr

zostaa zakupiona licencja.
W nastpnym kroku naley zaakceptowa umow licencyjn i klikn przycisk

Dalej (Next).
12
Jako, e przygotowywana jest nowa instalacja naley wybra opcj niestandardow,

czyli zaawansowan (Install Windows only (advanced)).
Pojawi si ekran wyboru dysku, na ktrym ma zosta zainstalowany system

operacyjny. W tym przypadku zostanie zaznaczony Dysk0, a nastpnie naley
klikn przycisk Dalej (Next). Drzewo partycji utworzy si automatycznie.
13
Rozpocznie si proces instalacji, ktrego czas trwania bdzie zaleny od wydajnoci

komputera, na ktrym si on odbywa.
Po wgraniu wszystkich plikw podczas pierwszego uruchomiania komputer poprosi

o zmian hasa dla konta administratora. Naley dwukrotnie wprowadzi haso, a
nastpnie klikn przycisk Zakocz (Finish). Haso musi spenia odpowiednie
normy bezpieczestwa, tj. musi mie minimum 7 znakw, w tym jedn du liter,
jedn cyfr i jeden znak specjalny jak np. @ lub !.
14
Pojawi si ekran logowania. Aby si zalogowa naley na klawiaturze wcisn

kombinacj klawiszy CTRL+ALT+DEL.
W oknie, ktre si zostanie wywietlone naley poda haso dla podanego
15
uytkownika, a nastpnie klikn ikonk
tu obok pola wpisywania hasa.
Po zalogowaniu si zostanie zaadowany nowy interfejs uytkownika, znany z

systemu Windows 8. Na pierwszy rzut oka nie ma w nim przycisku Start, ani
zwyczajnych okienek, lecz interfejs Metro oraz Menader Serwera, gdzie znajduje
si wikszo rl, funkcji i opcji, ktrymi mona zarzdza. Osoby znajce system
Windows Server 2008 nie powinny by zdziwione, poniewa wanie ten system by
czym porednim pomidzy Windows 2003, a unifikacj okienek do nowego
standardu. Mowa tu choby o centrum Administracyjnym Active Directory, ktre
miao zastpi wczeniejsz wersj konsoli do zarzdzanie kontami uytkownikw i
urzdze. System Windows jest ju zainstalowany!
16
2. Post instalacja
Po pomylnym uruchomieniu serwera zanim przejdzie si do jego dalszej
konfiguracji naley wykona kilka wanych czynnoci. Przede wszystkim zapozna
si z zupenie nowym interfejsem uytkownika i odmienion konsol Menadera
Serwera wzgldem wczeniejszych wersji. Nastpnie zaktualizowa serwer,
skonfigurowa interfejsy sieciowe i przygotowa maszyn do awansu na kontroler
domeny.
2.1.
Nowy interfejs uytkownika
Nowy system serwerowy firmy Microsoft to take nowy interfejs. Osoby

widzce go po raz pierwszy zainteresuje na pewno brak rzucajcego si w oczy
przycisku Start.
Aby dosta si do menu Start naley myszk zjecha do lewego dolnego rogu
ekranu, pojawi si wtedy przycisk przenoszcy do niego.
Po jego klikniciu pojawi si kafelkowe menu Start znane ju z systemu Windows

8.
17
Kliknicie przycisku Start prawym przyciskiem myszy otworzy menu kontekstowe,

a w nim wywietli zawarto menu Start w formie uproszczonej.
Z kolei ustawienie myszki w prawym dolnym rogu ekranu spowoduje pojawienie si

bocznego menu oraz okienka informacyjnego. Zainstalowanie komponentu Desktop
18
Experience da moliwo zmiany wygldu standardowych paskw. Domylnie w

bocznym
menu
znajduj
si
tylko
trzy
przyciski.
Wyszukaj
(Search)
odpowiedzialny za wyszukiwanie, Start uruchamiajcy nowy ekran menu Start oraz

Ustawienia (Settings).
Przycisk Ustawienia (Settings) przenosi nas do innego menu bocznego zwizanego

z ustawieniami. Znajduj si tam odnoniki do Ustawie Pulpitu (Desktop), Panelu
Sterowania (Control Panel), Opcji Personalizacji (Personalization), Informacji
(Server info) oraz Pomocy (Help). W jego dolnej czci znajduje si take sze
ikon. Odpowiadaj one kolejno za poczenia sieciowe, dwik, podwietlenie
ekranu, notyfikacje, opcje zwizane z zasilaniem komputera oraz klawiaturami.
19
Po klikniciu w Networks pojawi si informacje dotyczce aktualnego stanu

pocze sieciowych.
W kolei wybranie przycisku Power pozwoli na wyczenie bd ponowne
20
uruchomienie komputera.
Wrciwszy do ekranu Start. W jego prawym grnym rogu znajduje si nazwa

obecnie zalogowanego uytkownika. Po klikniciu na niej pojawi si dwie opcje.
Jedn z nich bdzie zablokowanie komputera, a drug wylogowanie si
uytkownika. Gdy zostanie zainstalowany dodatek Desktop Experience dodatkowo
pojawi si moliwo zmiany obrazka uytkownika.
Po klikniciu w menu Start prawym przyciskiem myszy w dowolnym jego miejscu,

w dolnej czci ekranu si pasek, a na nim przycisk All Apps.
Jego uycie spowoduje przeniesienie do widoku, w ktrym zaprezentowane zostan

wszystkie konsole i aplikacje uporzdkowane w odpowiednich sekcjach.
21
Na pasku menu znajduje si ikona Menadera Serwera (Server Manager). Stanowi

on niejako centrum zarzdzania serwerem. Gwnie przy jego uyciu bdzie
odbywao si zarzdzanie komputerem i instalowanie dodatkowych funkcji i rl.
Zostanie on szczegowo omwiony przy okazji instalacji rl serwera, a take
podczas zarzdzania nimi w najbliszych dziaach.
2.2.
Czynnoci Post-instalacyjne
Kiedy na komputerze zainstalowane s ju wszystkie urzdzenia mona

spokojnie przystpi do podstawowej jego konfiguracji. Z pomoc przychodzi
Konsola Zarzdzania Serwerem (Server Manager), ktra w swoim gwnym oknie
prezentuje 4 podstawowe kroki. Pierwszym z nich jest konfiguracja serwera
22
lokalnego.
Po wybraniu opcji Konfiguruj Serwer Lokalny (Configure this local server)

wczona zostanie konsola, w ktrej mona zmieni nazw komputera, przyczy
go do grupy roboczej, a take zarzdza aktualizacjami, firewallem, raportowaniem
bdw, ustawieniami sieci, zwikszonymi zabezpieczeniami IE, itp.
2.2.1. Aktualizacje
W pierwszej kolejnoci warto uruchomi aktualizacje automatyczne i
zainstalowa
wszystkie
dostpne
aktualizacje,
uywajc
automatyczne aktualizacje (Turn on automatic updates).
23
przycisku
Wcz
Kiedy system zostanie przeanalizowany mona rozpocz aktualizacj klikajc

przycisk Zainstaluj Aktualizacje (Install Updates).
W menu po lewej stronie naley wybra opcj Zmie Ustawienia (Change
Settings).
W oknie, ktre si pojawi najwygodniej bdzie wybra opcj pierwsz Zainstaluj

aktualizacje automatycznie (Install updates automatically). Jeli jednak na celu jest
uniknicie samoistnych instalacji aktualizacji, a co za tym idzie ponownych
uruchomie komputera naley wybra opcj drug Pobierz aktualizacje, ale daj
mi wybra kiedy zostan zainstalowane (Download updates but let me choose
whether to Install them), ktra jest w przypadku serwera znacznie bezpieczniejsza
24
dla zachowania cigoci pracy. Nastpnie naley klikn OK.
2.2.2. Zmiana nazwy komputera

Na ekranie podsumowujcym Menadera Serwera (Server Manager), w sekcji
Waciwoci (Properties) znajduje si parametr Nazwa Komputera (Computer
Name), gdzie naley klikn w nazw komputera.
W karcie Nazwa Komputera (Computer Name) naley klikn przycisk Zmie

(Change).
25
Lepiej na pocztku ustali sobie sposb nazewnictwa komputerw, aby utrzyma

porzdek w sieci np. ElitePC-DC01, gdzie ElitePC to nazwa firmy, DC Kontroler
Domeny (Domain Controler), a 01 to numer komputera. Zamiennie do DC w
nazewnictwie mona uy skrtw SR dla oznaczenia serwera oraz WS (Work
Station) dla stacji roboczych.
26
W komunikacie, ktry si pojawi naley klikn przycisk OK i uruchomi ponownie

komputer.
2.3.
Konfiguracja sieci
Kolejnym krokiem bdzie zmiana nazw interfejsw sieciowych tak, aby w kadej
chwili wiedzie czy operuje si na czu internetowym czy te lokalnym. Poczenie
z Internetem warto nazwa WAN, a z sie lokaln LAN. Wystarczy klikn na
wybranym poczeniu w konsoli zarzdzania serwerem.
Na karcie sieciowej podpitej do Internetu naley klikn prawym guzikiem i

wybra opcj Zmie nazw (Rename). T sam czynno naley powtrzy dla
drugiej karty sieciowej.
27
Przy interfejsie czcym z sieci lokaln naley wej we Waciwoci (Properties)

i ustali stay adres IP, poniewa chodzi tu o serwer. Naley wej we Waciwoci
protokou IPv4.
Naley wprowadzi adresy IP z dowolnego zakresu, na przykad standardowa

adresacja 192.168.1.1 przy masce 255.255.255.0.
28
2.4.
Zarzdzanie procesorami i pamici operacyjn
Ostatnim krokiem post instalacyjnym bdzie uruchomienie wikszej liczby rdzeni

procesora podczas startu systemu. W tym celu naley klikn na ikon
paska
Start zwizan z konsol Power Shell i wyda polecenie msconfig.
W zakadce Rozruch (Boot) konieczne jest kliknicie Opcji Zaawansowanych

(Advanced options).
W nastpnej kolejno naley zaznaczy opcj Liczba procesorw (Number of
29
processors), a w rozwijanej licie wybra ich tak duo jak to jest tylko moliwe.
30
3. Active Directory Domain Services

Usugi Domenowe Active Directory (Active Directory Domain Services) s
niezbdne do awansu serwera na gwny kontroler domeny. Serwer stanie si w ten
sposb centraln baz danych uytkownikw odpowiedzialnych za autentykacj i
autoryzacj uytkownikw. Zostan wyjanione takie pojcia jak grupa robocza oraz
domena. Czytelnik zrozumie, w jakim celu wdraa si domen oraz na czym polega
struktura drzewa oraz lasu. W nastpnej kolejnoci przeledzi proces instalacji
pierwszego
kontrolera
domeny
oraz
nauczy
si
zarzdza
obiektami
przechowywanymi w Active Directory za pomoc konsoli Active Directory Users

and Computers oraz Active Directory Administrative Center.
3.1.
Czym jest domena?
Na pocztek warto wyjani kilka poj. Przede wszystkim, czym jest domena oraz
dlaczego si j stosuje zamiast grup roboczych. Dla przykadu w grupie roboczej
lista kont uytkownikw, uprawnienia uytkownikw i zabezpieczenia systemu
przechowywane s lokalnie, tzn. osobno na kadym komputerze wchodzcym w
skad grupy roboczej. Kady komputer jest jednostk autonomiczn. Aby mc
pracowa na komputerze nalecym do grupy roboczej, trzeba mie konto na tym
komputerze. Wie si to z tym, e w przypadku, gdy osb pracujcych na jednym
komputerze moe by wicej, co oznacza konieczno powielania kont na rnych
komputerach. To samo si tyczy ustawie i oprogramowania. Co wicej, jeli kto
zachowa jaki plik na jednym komputerze, to nie otworzy go ju na innym chyba, e
rcznie go przekopiuje. Dla przykadu mona wyobrazi sobie sytuacj, w ktrej
zarzdza si kilkunastoma komputerami i naley aktualizowa programy,
wprowadza konta nowym pracownikom itp. Byaby to strasznie mudna praca. W
domenie natomiast zarzdzanie informacj o kontach uytkownikw, komputerach
domeny oraz zasadach obowizujcych w domenie jest scentralizowane. Komputery
wspdziel baz danych kont, zasad, zabezpiecze, ktra znajduje si na
kontrolerach domeny. W trakcie logowania si na konto w domenie Windows, dane
31
uytkownika porwnywane s z danymi zapisanymi w kontrolerze domeny.

Przestaje mie znaczenie, z ktrego konkretnie komputera loguje si dany
uytkownik, i tak zachowa swoje pliki i ustawienia. W przypadku instalacji nowego
oprogramowania wystarczy, e administrator wyda tak dyspozycj na serwerze, a
komputery podczone do domeny same sobie poradz z instalacj. Naturalnie
logowanie na lokalne konta uytkownikw tak jak to miao miejsce w przypadku
grupy roboczej dalej jest moliwe. To oczywicie tylko czubek gry lodowej, wicej
moliwoci zostanie przedstawione w kolejnych rozdziaach.
Obecnie rozrnia si dwa typy domen: NT4 oraz domena Active Directory, ktrej
bdzie powicone najwicej uwagi. Active Directory to usuga katalogowa bdca
implementacj protokou LDAP. Jest nastpc NT4 i usuwa najwiksze wady
poprzednika. Wprowadzono do niej hierarchiczno przechowywania informacji,
duo wysze limity przechowywania informacji (powyej 1 miliona obiektw w
domenie Active Directory) oraz rozszerzalno schematu zawierajcego definicje
obiektw.
Domeny zorganizowane s hierarchicznie tworzc struktur drzewa. Drzewo
posiada zawsze przynajmniej jedn domen domen najwyszego poziomu (ang.
root) korze drzewa. Pozostae domeny (o ile istniej) mog by umieszczone
poniej domeny najwyszego poziomu, tworzc drzewo. Takie rozwizanie czsto
stosuje si w przypadku kilku siedzib firmy lub na przykad do wygodnego
zarzdzania komputerami w dwch odlegych od siebie miejscach. Jako przykad
poniej pokazano fragment drzewa dla firmy ElitePC:
32
Kade drzewo naley do jakiego lasu, kady las skada si z przynajmniej jednego
drzewa. Nie ma moliwoci utrzymywania drzewa bez utrzymywania lasu.
Uwaga!
To odnosi si rwnie do domeny Active Directory domena nie moe istnie
samodzielnie, musi istnie w jakim drzewie i jakim lesie. Jeeli jest to pierwsza
domena, to tworzy pierwsze drzewo, (ktrego korzeniem si staje) oraz pierwszy
las. Poniej przykad lasu z dwoma drzewami:
33
3.2.
Instalacja Active Directory Domain Services
W przypadku, gdy serwer jest kierowany ku zastosowaniom domowym, czy maej

firmy wystarczy jedna domena. Aby rozpocz instalacj naley klikn ikonk
Menader Serwera (Server Manager) znajdujc si obok guzika Start. Warto
zapamita ten krok, gdy bdzie on czsto wykonywany.
W Menaderze Serwera (Server Manager) bd instalowane praktycznie wszystkie

role dostpne w tym produkcie.
34
W grnym menu po prawej stronie naley klikn przycisk Zarzdzaj (Manage), a

nastpnie opcj Dodaj Role i Funkcje (Add Roles and Features). Pojawi si
plansza powitalna, gdzie konieczne jest kliknicie przycisku Dalej (Next).
Jedn z nowoci Windows Server 2012 jest moliwo instalowania rl serwera na

zdalnych komputerach, obrazach dyskw VHD czy na maszynach wirtualnych. Na
potrzeby tej publikacji i dla uatwienia zrozumienia omawianych zagadnie na razie
35
bd instalowane wszelkie nowe role i funkcje na tej samej maszynie. Naley

wybra wic opcj pierwsz Role-based i klikn Dalej (Next). Instalacja oparta na
scenariuszu jest nowoci w systemie Windows Server 2012. Dziki niej mona
jednoczenie instalowa komponenty zwizane z Usugami Pulpitu Zdalnego
(Remote Desktop Services). AD jest instalowane, jako klasyczna rola.
W kolejnym kroku naley wybra serwer, na jakim dana rola ma zosta

skonfigurowana. W rodowisku przykadowym naturalnie do wyboru jest tylko
jedna maszyna. Naley j zaznaczy i wybra przycisk Dalej (Next). Jest to kolejna
z nowoci w systemie Windows Server 2012. Pozwala ona zdalnie instalowa role
na innych serwerach, a take je wgrywa na wirtualne dyski VHD, ktre mona
potem podmontowa pod konkretny server.
Nastpnie naley wybra Usugi Domenowe w Usudze Active Directory (Active

Directory Domain Services). Znawcy tematu zauwa, e Role s niemale
36
identyczne z tymi z Windows Server 2008 R2. Nowoci jest Zdalny Dostp
(Remote Access), ktry w rzeczywistoci jest now nazw dla Direct Access oraz
Usugi Aktywacji Woluminowej (Volume Activation Services) zwizane z
aktywacj licencji woluminowych.
Pojawi si komunikat, na ktrym naley klikn Dodaj Wymagane Funkcje (Add

Features), a nastpnie Dalej (Next).
37
Nastpnie ponownie naley klikn przycisk Dalej (Next).
Ponisze okno prezentuje informacje podsumowujce oraz dotyczce dalszych

krokw instalacyjnych. Midzy innymi powiadamia ono o koniecznoci
zainstalowania serwera DNS, poniewa ta rola jest wymagana do prawidowego
dziaania AD. Wgrany zostanie take komponent odpowiadajcy za replikacj
serwera DFS, ktry zosta wprowadzony ju w Windows 2003 R2 do replikacji
wolumenu SYSVOL. Po raz kolejny naley klikn Dalej (Next).
38
Na ostatniej ju planszy naley wybra przycisk Zainstaluj (Install).
Proces instalacji chwil potrwa, gdy dobiegnie koca naley klikn Zakocz
(Close).
39
Komputer naley uruchomi ponownie, aby instalacja dobiega koca. Bdc na

pulpicie naley wcisn kombinacj klawiszy Windows + C, a nastpnie wybra
Ustawienia (Settings).
40
Nastpnie naley wybra Zasilanie (Power) i Uruchom Ponownie (Restart).
3.3.
Wstpna konfiguracja AD DS
W Menaderze Serwera (Server Manager) w menu po lewej stronie naley klikn

w Usugi Domenowe w Usudze Active Directory (AD DS).
Kiedy plansza si zaaduje, po prawej stronie znajduje si wyrniony napis Wicej

(More), ktry naley wybra.
A nastpnie Promuje ten serwer na kontroler domeny (Promote this server to a

domain Controller) poprzez wybranie odpowiedniej akcji.
41
To samo mona uzyska korzystajc bezporednio z menu akcji, ktre oznaczone

jest w grnym menu chorgiewk.
Poniewa tworzony jest pierwszy serwer, ktry jednoczenie bdzie gwnym

kontrolerem domeny w sieci, naley wybra opcj trzeci. W przeciwnym wypadku,
kiedy serwer miaby zosta wpity do istniejcej ju struktury, konieczne byoby
wybranie opcji drugiej lub pierwszej. Niezbdne jest take podanie nazwy domeny,
ktra ma zosta stworzona.
Naley ustawi poziom funkcjonalnoci lasu tak, aby by kompatybilny z reszt
42
sieci. Jeeli istniaby ju jaki kontroler domeny, pracujcy pod kontrol Windows
Server 2003, musiaby zosta wybrany taki sam poziom. Wizaoby si to niestety z
utrat nowych funkcjonalnoci wprowadzonych w Windows Server 2012. W
przypadku przedstawionym w ksice naley wybra poziom najwyszy, czyli
Windows Server 2012. Przy okazji zostanie zainstalowany serwer DNS, poniewa
takowego w domenie jeszcze nie ma, a jest niezbdny do jej prawidowego
funkcjonowania. Konieczne jest take podanie w kreatorze hasa niezbdnego w
razie potrzeby przywracania usugi katalogowej.
W nastpnej kolejnoci naley Dalej (Next).
Na kolejnej planszy nie s konieczne adne zmiany, dlatego te naley przej do

kolejnej karty klikajc Dalej (Next), chyba, e nazwa kontrolera dla komputerw
korzystajcych z NetBIOS ma by inna ni domylna.
43
Podobnie jest w przypadku cieek, chyba, e dane maj by przechowywane na

osobnym noniku.
Na planszy podsumowujcej naley klikn Dalej (Next).
System zostanie poddany analizie. Jeeli wszystko przebiegnie pomylenie mona

klikn przycisk Zainstaluj (Install).
Proces instalacji zajmie dusz chwilk. Naley zatem uzbroi si w cierpliwo.
44
3.4.
Active Directory Users and Computers
Po ponownym uruchomieniu komputera w Menaderze Serwera (Server Manager)

konieczne jest wybranie AD DS (Active Directory Domain Services), nastpnie na
serwerze naley klikn prawym klawiszem myszy i wybra Komputery
i Uytkownicy Usugi Active Directory (Active Directory Users and Computers).
Jest to miejsce szalenie wanie, poniewa bd w nim tworzone grupy i konta dla
uytkownikw oraz komputerw, bd im przypisywane odpowiednie role
i uprawnienia. W system Windows jest ju wbudowana cakiem pokana liczba grup
bezpieczestwa. W przypadku przykadowym nie bdzie jednak potrzeby tworzenia
nowych grup, mimo, e daje to ogromne moliwoci w przydzielaniu i odbieraniu
uprawnie uytkownikom. Opis rl dostpny jest pod adresem:
http://technet.microsoft.com/pl-pl/library/cc756898%28WS.10%29.aspx .
45
Przechodzc do praktyki, warto od samego pocztku utrzymywa ad i porzdek, a

take intuicyjne nazwy. Dlatego te na pocztek zostanie stworzona nowa Jednostka
Organizacyjna. Dla zobrazowania czym ona jest, mona j traktowa, jako byt
podobny do katalogu. W celu jej utworzenia konieczne jest kliknicie prawym
klawiszem myszy na nazwie domeny, nastpnie w przycisk Nowy (New) i wybranie
opcji Jednostka Organizacyjna (Organizational Unit).
W celu wiczeniowym zostanie stworzona jednostka organizacyjna o nazwie
46
Ksigowo (oczywicie starajc si nie uywa przy tym polskich znakw), gdzie
bd przechowywani zatrudnieni ksigowi. Wybr, a take akceptacja jej
utworzenia zostan zatwierdzone przyciskiem OK.
Nastpnie powstanie nowa grupa. W tym celu naley klikn prawym przyciskiem
myszy na nowo powstaym elemencie, a nastpnie w Nowy (New) i Grupa (Group).
Dokonany zostanie podzia na pracownikw, ktrzy pracuj na kasach oraz na tych,

ktrzy pracuj w biurze. Odpowiednio niech bd to grupy Kasa i Biuro. Czynno
trzeba powtrzy dla kadej z grup. Na planszy, ktra si pojawi naley poda
nazw dla grupy oraz zaznaczy opcje w taki sam sposb jak jest to zrobione na
poniszej ilustracji i klikn przycisk OK.
47
Grupy dystrybucyjne mog by uywane tylko z aplikacjami poczty e-mail (np.

Exchange) do wysyania poczty e-mail do grup uytkownikw. Grupy
dystrybucyjne nie obsuguj zabezpiecze, co oznacza, e nie s wywietlane na
listach arbitralnej kontroli dostpu (DACL, Discretionary Access Control List). Jeli
jest potrzebna grupa suca do kontroli dostpu do zasobw udostpnionych, naley
utworzy grup zabezpiecze.
Grupy zabezpiecze, jeli s uywane z rozwag, stanowi wydajny sposb
udzielania dostpu do zasobw w sieci.
Za pomoc grup zabezpiecze mona wykonywa nastpujce operacje:
Przypisywanie praw uytkownika grupom zabezpiecze w usudze Active

Directory. Prawa uytkownika s przypisywane grupie zabezpiecze w celu
ustalenia czynnoci, jakie czonkowie danej grupy mog wykona w
zakresie domeny (lub lasu). Prawa uytkownika s automatycznie
48
przypisywane niektrym grupom zabezpiecze podczas instalowania usugi

Active
Directory,
aby
uatwi
administratorom
okrelenie
roli
administracyjnej poszczeglnych osb w domenie. Na przykad uytkownik

dodany do grupy Operatorzy kopii zapasowych w usudze Active
Directory moe wykonywa kopie zapasowe plikw i katalogw
znajdujcych si na kadym kontrolerze domeny, a take przywraca te pliki
i katalogi z kopii zapasowych. Jest to moliwe, poniewa domylnie grupie
Operatorzy kopii zapasowych s automatycznie przypisywane prawa
uytkownika, wykonywanie kopii zapasowych plikw i katalogw oraz
przywracanie plikw i katalogw, a czonkowie grupy dziedzicz prawa
uytkownika przypisane grupie.
Za pomoc przystawki Zasady grupy (Group Policies) mona przypisa

grupom zabezpiecze prawa uytkownika, aby uatwi delegowanie
okrelonych zada. Przypisujc delegowane zadania, naley zachowa du
ostrono, poniewa niedowiadczony uytkownik majcy zbyt wiele praw
w grupie zabezpiecze stanowi zagroenie dla bezpieczestwa sieci.
Przypisywanie uprawnie do zasobw grupom zabezpiecze. Uprawnie nie

wolno myli z prawami uytkownika. Uprawnienia przypisuje si grupom
zabezpiecze dla danego zasobu udostpnionego. Decyduj one o tym, kto
ma mie moliwo dostpu do zasobu i na jakim poziomie np. pena
kontrola
(Full
Control).
Niektre
uprawnienia
przypisywane
automatycznie np. dla obiektw domeny, po to aby okreli rne poziomy

dostpu domylnych grup, jak np. Administratorzy domeny czy Operatorzy
kont.
Grupy zabezpiecze wymieniane s na listach DACL. Listy te okrelaj uprawnienia
do obiektw i zasobw. Administratorzy powinni przypisywa uprawnienia do
zasobw (drukarek, udziaw plikw itp.) nie pojedynczym uytkownikom, lecz
caym grupom zabezpiecze. Przypisywanie uprawnie grupie jest o tyle wygodne,
e nie trzeba powtarza wielokrotnie tej samej procedury. Kade konto, ktre
zostao przydzielone do grupy otrzymuje prawa narzucone tej grupie w usudze
49
Active Directory, tak samo jak i uprawnienia tej grupy do okrelonych zasobw.
Grupy zabezpiecze, podobnie jak grupy dystrybucyjne mog zosta uyte jako
adresaci poczty e-mail. Gdy zostanie wysana wiadomo e-mail do danej grupy,
otrzymaj j wszyscy jej czonkowie.
Grupy bd bardzo pomocne jeli wikszej liczbie uytkownikw bd miay zosta
przypisane dane uprawnienia, a innej ju nie, np. w wiczeniowym przypadku
kasjerzy nie powinni mie tak wysokich uprawnie jak pracownicy biurowi.
Naturalnie tak utworzonej grupie naleaoby nada odpowiednie prawa. W
przypadku z przykadu niech to bd prawa zwykego Uytkownika. Zostanie wic
wykorzystana wbudowana w system Windows grupa bezpieczestwa. W tym celu
naley klikn prawym klawiszem myszy na Waciwoci (Properties) na przykad
kasjerw.
W oknie, ktre si pojawi konieczne jest przejcie do zakadki Czonek Grupy

(Member Of) i wybranie przycisku Dodaj (Add).
50
Nastpnie naley klikn Zaawansowane (Advanced).
W dalszej kolejnoci naley klikn Znajd teraz (Find Now), a z listy, jaka si
wygeneruje wybra Uytkownicy (Users) i klikn przycisk OK, a nastpnie jeszcze
raz OK.
51
Jak wida kasjerzy s ju w Uytkownikach. Naley klikn OK.
Dla testu zostanie dodany uytkownik, na ktrym bd przeprowadzane rne

dowiadczenia w dalszej czci ksiki. W celu stworzenia uytkownika naley
prawym przyciskiem myszy klikn na Ksigowo> Nowy (New)> Uytkownik
(User).
52
Trzeba wypeni wszystkie pola. Wana jest nazwa logowania uytkownika, gdy to
dziki niej bdzie si on mg zalogowa na danym komputerze. W przykadzie
zastosowano nazw kasjer_01.
Na nastpnej karcie naley wybra dla tego uytkownika odpowiednie haso. Warto
zostawi zaznaczon opcj Uytkownik musi zmieni haso przy nastpnym
53
logowaniu (User must change password at next logon), aby to on mg sobie w

trakcie pierwszego logowania je zmieni wedle wasnych upodoba. Naley klikn
dalej Dalej (Next), a nastpnie Zakocz (Finish).
W nastpnej kolejnoci naley wej w jego Waciwoci (Properties) klikajc

prawym przyciskiem myszy, a nastpnie w zakadk Czonek Grupy (Member of).
Domylnie jest on Uytkownikiem Domeny (Domain Users). Mona wic skasowa

t pozycj, a potem doda go do grupy "Kasy".
54
Grup kasy mona natomiast teraz przypisa do grupy Uytkownicy Domeny

(Domain Users). To, co zostao uzyskane to pewnego rodzaju hierarchia
(dziedziczenie). Uytkownicy nale do grupy Kasy, a grupa Kasy naley do jednej
lub wicej innych grup. Dziki temu mona swobodnie zarzdza uprawnieniami
wielu uytkownikw naraz zamiast kadego uytkownika z osobna.
Naley sprytnie zarzdza zarwno grupami uytkownikw jak i jednostkami
organizacyjnymi, poniewa nie tylko uatwi to prac administratorowi systemu i
zwikszy bezpieczestwo, ale take pozwoli wydajnie zarzdza np. Zasadami
grupy, ktre mona przycza wycznie do jednostek organizacyjnych.
Zostanie teraz stworzona kolejna jednostka organizacyjna, lecz tym razem wewntrz
ksigowoci. Zostanie nazwana "Komputery". Bd tam przechowywane konta dla
komputerw w tym dziale.
Teraz naley klikn prawym przyciskiem myszy na Komputery > Nowy >
55
Komputer (Komputery > New > Computer).
A nastpnie stworzy maszyn, ktra bdzie si nazywa KS-WS-01
Komputer domylnie zostanie przypisany do grupy Komputery Domeny (Domain

Computers). Co mona sprawdzi klikajc w jego Waciwoci (Properties).
Trzeba pamita, e kady komputer z systemem Windows NT, Windows 2000 lub
56
nowszym, ktry zostaje doczony do domeny, otrzymuje wasne konto komputera.

Podobnie
jak
konta
uytkownikw,
konta
komputerw
umoliwiaj
uwierzytelnianie oraz inspekcj dostpu komputera do sieci i zasobw domeny.

Kade konto komputera musi by unikatowe. Uniemoliwi to niepowoanym
osobom podczenie si do sieci bez zgody administratora. Skoro zostali ju
stworzeni i pogrupowani uytkownicy oraz konta komputerw, warto jeszcze
zwrci uwag na ich waciwoci. Po klikniciu prawym guzikiem myszy na
koncie komputera s dwie wane opcje. Jedn z nich jest Wyczenie Konta
(Disable Account), a drug Zresetowanie Konta (Reset Account). Ta druga
niezbdna jest wtedy, gdy maszyna o danej nazwie ulega awarii i zostaa
wymieniona na now. Nowego komputera nie podczy si do domeny do chwili
zresetowania konta.
W przypadku konta uytkownika rwnie mona je wyczy, a take zresetowa

mu haso opcj Resetuj Haso (Reset Password). Przydatna jest take moliwo
Wysania Wiadomoci (Send Mail).
57
Kont uytkownika z zaoenia nie powinno si kasowa z kilku wzgldw. Jednym

z nich jest to, e na miejsce danego pracownika moe przyj jego nastpca
musiaoby wtedy albo zosta utworzone dla niego nowe konto, wprowadzane
wszelkie ustawienia oraz uprawnienia. Prociej bdzie uy opcji Kopiuj (Copy).
Bdzie konieczne podanie nowej nazwy uytkownika oraz hasa, natomiast wszelkie
inne ustawienia jak np. uprawnienia czy zamontowane dyski sieciowe pozostan
58
zachowane. Z racji tego, e na og ustawie jest do duo praktykuje si wanie

stworzenie wzorcowego konta uytkownika w obrbie danej Grupy i kopiowanie
zamiast tworzenia za kadym razem nowego konta. Uytkownikw, ktrzy przestaj
by potrzebni najlepiej wyczy i przenie do wczeniej przygotowanej jednostki
organizacyjnej (np. czasowo wyczeni). Mona teraz wej we waciwoci
jakiego konta uytkownika.
W zakadkach Oglne (General), Adres (Address), Telefony (Telephones) oraz

Organizacja (Organization) znajduj si jedynie pola, w ktre mona wpisa jakie
informacje o uytkowniku.
59
W zakadce Konto (Account) warto zwrci uwag na to, i mona zmieni login
uytkownika lub nada inny dla rnych domen. Warto korzysta z funkcji
Wygasania wanoci konta (Account Expires), ktra powoduje wyczenie konta
po upywie jakiej daty (np. w dniu koca umowy o prac). Dziki temu
administrator nie musi pamita o wyczeniu konta zwolnionego pracownika.
Bezpieczestwo sieci mona dodatkowo zwikszy za pomoc ustawie Godzin
Logowania (Logon Hours).
60
W atwy sposb mona okreli to, w jakich godzinach konto moe by uywane, a
w jakich nie. Dziki temu potencjalny wamywacz, jeeli nawet dostanie si na takie
konto, to poza godzinami pracy, czyli wtedy, gdy nie ma nadzoru nad sieci, nie
bdzie w stanie niczego zrobi.
W zakadce Profil (Profile) mona okreli ciek sieciow dla profilu, czyli
lokalizacj w sieci, gdzie dany profil ma by przechowywany. Parametr
61
%USERNAME% to zmienna rodowiskowa, ktra zwraca nazw uytkownika.

Dziki temu w podanej lokalizacji zostanie utworzony katalog o nazwie takiej samej
jak nazwa uytkownika. Kopiujc tak skonfigurowany profil pewne jest, e kady
nowy uytkownik dostanie swj wasny prywatny folder w zasobie sieciowym.
Istnieje take moliwo zamontowanie dysku sieciowego. Niestety ograniczona do
jednego dysku. Wicej mona zamontowa za pomoc Zasad Grupy.
W zakadce Telefonowanie (Dial in) warto zwrci uwag na to, czy uytkownik
ma zgod na dostp do sieci z zewntrz. Jeeli takiej nie ma to np. nie bdzie mg
si podczy do wewntrznej sieci za pomoc VPNa itp. Na taki dostp mona mu
pozwoli lub wybra opcj trzeci, ktra mwi o tym, e NPS zajmie si jego
weryfikacj (o czym ju w dalszych dziaach).
Ze wzgldw licencyjnych i nie tylko w zakadce Sesje (Sessions) warto ustawi

limity czasu trwania sesji tak, aby uytkownicy nieaktywni lub tacy, ktrzy zostawili
62
wczone komputery przed wyjciem do pracy byli automatycznie wylogowywani.
Za pomoc ikonki
mona dosta si do wyszukiwarki Active Directory, w
ktrej mona tworzy kwerendy, ktre przefiltruj dokadnie ca usug katalogow

i pomog wyuska podane informacje.
Zamykajc dzia dotyczcy Active Directory warto nadmieni, i w obrbie

jednostki organizacyjnej nie powinno znajdowa si wicej ni 5000 uytkownikw
ze wzgldw wydajnociowych.
Warto take pamita, e w jednostce organizacyjnej Uytkownicy (Users) znajduje
63
si bardzo newralgiczne konto Administrator.

Kady uytkownik Windows posiada Identyfikator Bezpieczestwa (Security
Identifier), ktry wyglda mniej wicej tak: S-1-5-21-3627861015-336104434830300820-1013. Konto Administrator posiada na samym kocu zawsze liczb 500,
czyli wyglda mniej wicej tak: S-1-5-21-3623811015-3361897348-30300820-500.
Dziki temu potencjalny wamywacz posiada wiedz na temat tego, ktre konto to
Administrator. Dlatego te jednym z pierwszych krokw w pracy z Active Directory
powinno by powielenie konta administratora. Mona to osign wycznie
poprzez opcj Kopiuj (Copy), a nastpnie wyczenie pierwotnego konta z
wczeniejszym nadaniem mu bardzo zoonego hasa.
Naturalnie administrator nie jest osob odpowiedzialn za cae dziaanie serwera. Na
og rne osoby zarzdzaj rnymi rolami a nawet czciami rl. Tak samo jest w
przypadku Active Directory. W celu przeprowadzenia demonstracji naley stworzy
jednostk organizacyjn Pracownicy oraz uytkownika Szef. Nastpnie na jednostce
organizacyjnej pracownicy naley przycisn prawy guzik myszki i wybra Deleguj
kontrol (Delegate Control).
Ukae si kreator, ktry pozwala na przedelegowanie kontroli nad pojedyncz

jednostk organizacyjn i jej zawartoci wybranemu uytkownikowi. Uytkownik
ten bdzie mg zarzdza innymi uytkownikami, nadawa im uprawnienia,
tworzy grupy, komputery, jednostki organizacyjne oraz inne obiekty Active
Directory, lecz tylko wewntrz jednostki organizacyjnej Pracownicy. Naley klikn
Dalej (Next).
64
Kolejne okno kreatora suy do okrelenia tego, komu kontrola zostanie

przedelegowana. Tych uytkownikw lub ich grupy dodaje si przyciskiem Dodaj
(Add).
Nastpnie naley okreli jakie zadania dany uytkownik bdzie mg realizowa.

Do wyboru jest kilka predefiniowanych szablonw. Istnieje take moliwo
stworzenia nieszablonowego zadania.
65
Na karcie podsumowujcej naley klikn Zakocz (Finish).
Fizyczny dostp do serwera jest niewskazany nawet dla administratora, a tym

bardziej dla zwykego uytkownika. Dlatego te naley da uytkownikom
moliwo zarzdzania rolami, do ktrych maj dostp. Mona to uczyni tworzc
wasn konsol MMC. Aby j stworzy w menu Start naley wyszuka aplikacji
66
MMC i j uruchomi.
W programie, ktry si uruchomi naley wybra Plik (File) i opcj Dodaj/Usu

Przystawk (Add or Remove Snap-ins).
Pojawi si okno, w ktrym z listy po lewej stronie wybiera si ktre konsole maj
by doczone do obecnie tworzonej za pomoc guzika Dodaj (Add).
67
Tak przygotowan konsol naley zachowa wybierajc Plik (File), a nastpnie

Zapisz (Save). Konsoli naley nada przyjazn nazw, tak aby odzwierciedlaa to,
co si w niej znajduje. Tym bardziej, e jej zawarto moe skada si z kilku
standardowych konsol np. moe zawiera przystawki do zarzdzania DNS, DHCP
czy Active Directory itp.
Tak przygotowany plik wystarczy przekaza uytkownikom docelowym. Musi on
68
zosta uruchomiony na komputerze wpitym do sieci firmowej bezporednio bd

przez VPN. Uruchomienie nastpuje poprzez dwukrotne kliknicie na konsoli, a
sposb zarzdzania nie odbiega od tego bezporednio z serwera.
Inn opcj udzielenia komu moliwoci zarzdzania np. nad pojedyncz grup jest
udzielenie wadzy poprzez jej Waciwoci (Properties) i wybranie zakadki
Zarzdzany przez (Managed by). Karta ta pozwala na przypisanie jednego
uytkownika do zarzdzania jedn konkretn grup.
69
3.5.
Active Directory Administrative Center
Chyba najlepsz i zarazem najbardziej popularn usug katalogow jest Active

Directory. Mimo, e
pamita, e
jest ona wci na bieco rozwijana, to jednak naley
wywodzi si ona jeszcze z czasw Windows 2000. Nic wic
dziwnego, e Microsoft stara si cigle nie tylko dopracowywa star, ale take
tworzy by moe lepsze rozwizania, ktre bd w stanie zastpi swoich
poprzednikw. Jedn z takich nowoci jest przystawka Centrum Administracyjne
Active
Directory (Active
wprowadzona
Windows
Directory Administrative
Serwer
2008
R2,
Center). Zostaa ona

w
rozwinitej
wersji
zaimplementowana rwnie w Windows Server 2012.

Cho na pierwszy rzut oka wyglda ona do zudzenia podobna do tej z Windows
Server 2008 to wprowadza kilka nowych moliwoci. Podobnie jak inne konsolki
znajduje si ona w narzdziach administracyjnych. Mona si do niej dosta take
poprzez Menadera Serwera, analogiczne do Uytkownikw i Komputerw usugi
Active Directory.
Celem jej
wprowadzenia
byo
uproszczenie, przyspieszenie i uatwienie
wykonywania najczstszych czynnoci, jakie administrator napotyka na swojej
70
drodze. Zostan wic tutaj stworzeni uytkownicy, grupy, kontenery, jednostki

administracyjne itp. Mona przy tym jednoczenie zarzdza wicej ni jedn
domen, uywa filtrw wyszukiwania oraz powiza jej prac z PowerShell'em.
Ju pierwsza karta pozwala na zresetowanie hasa uytkownika czy przeszukanie
domeny.
Po klikniciu z lewej strony na podan domen w rodkowej czci ekranu pojawi

si pasek z moliwoci rcznego pisania kwerend oraz zawartoci domeny. Na
pierwszy rzut oka wyglda podobnie do starej przystawki.
71
Klikajc Dodaj kryteria (Add Criteria) mona wybra interesujce administratora

waciwoci obiektw, po ktrych bd filtrowane wartoci.
Oglnie rzecz ujmujc zarzdzanie jest bardzo podobne do przystawki Uytkownicy
72
i komputery usugi Active Directory. Mona np. klikn na danym kontenerze

prawym guzikiem i doda nowego uytkownika czy komputer.
Zmianie ulegy take kreatory. Teraz nie ma potrzeby przegldania kilku zakadek
jedna po drugiej, wszystkie waciwoci zostay zebrane w formie formularza.
Na uwag zasuguje take wyszukiwanie globalne, a waciwie ciekawa
73
funkcjonalno, jaka si tam znalaza tj. moliwo skonwertowania zapytania na

format LDAP.
Wracajc jednak do okna gwnego nowej przystawki warto zauway, i pojawi

si kontener Dynamiczna Kontrola Dostpu (Dynamic Access Control), ktry
powizany jest z autoryzacj bazujc na mechanizmie Claim, o ktrym bdzie
wicej w dziale 8.3. Na t chwil wystarczy wiedza, i Central Access Policies
odpowiada za polisy autoryzacji w metodzie Claim, Central Access Rules posiada w
sobie reguy autoryzacyjne niezbdne przy budowaniu polis dostpu, Claim Types
zawiera uzgodnienia (Claim) pomidzy obiektem a atrybutami obiektu, Resource
Properties to miejsce na zdefiniowane ustawienia zasobw uywane przy
autoryzacji typu Claim, natomiast Resource Property List to nic innego jak listy
wasnoci zasobw uywanych podczas autoryzacji Claim.
74
Warto teraz klikn na nazwie domeny i zerkn na menu po prawej stronie.
Oprcz trzech opcji znanych z Windows Server 2008 R2, czyli Zmiany kontrolera
domeny (Change domain controller) oraz Zwikszania poziomu funkcjonalnoci
domeny bd lasu (Raise the forest functional level oraz Raise the domain
functional level), pojawi si take Kosz dla usugi Active Directory (Enable
Recycle Bin). Po jego klikniciu pojawi si komunikat o tym, e raz wczonego
kosza nie mona ju wyczy. Naley go potwierdzi klikajc OK.
75
4. Serwer DNS
Dziaanie wspczesnych sieci komputerowych byoby niemoliwe bez uycia
usugi DNS. To wanie ona odpowiada za tumaczenie nazw przyjaznych dla
uytkownikw na adresy IP. Dla przykadu odwoujc si do ulubionej domeny
internetowej to wanie serwer DNS mwi komputerowi z jakim adresem IP ten ma
si poczy. Tumaczenie oczywicie dziaa w obydwie strony. Czytelnik w tym
rozdziale dowie si w jaki sposb Windows Server 2012 realizuje usug DNS oraz
jak ni zarzdza.
4.1.
Zapoznanie z konsol DNS Manager
Wraz z Active Directory automatycznie zainstalowa si serwer DNS. Stao si tak,

poniewa Active Directory do prawidowego dziaania wymaga serwera nazw.
Gdyby w sieci przed instalacj AD DS istnia ju inny serwer DNS
najprawdopodobniej zostaby on uyty w zalenoci od krokw jakie zostayby
wybrane podczas instalacji AD DS. Ad wsppracuje tylko z serwerami
hostowanymi w Windows Server.
DNS (Domain Name System), czyli system nazw domenowych to usuga

zapewniajca zamian adresw znanych uytkownikom na adresy, ktre stan si
76
zrozumiae dla urzdze wchodzcych w skad sieci komputerowej. Na przykad

zamiast odwoywa si do komputera w domenie poprzez podanie adresu IP
192.168.1.xxx bdzie mona napisa np. komputer01.Elitepc.pl. Na podobnej
zasadzie dziaa caa globalna sie. Aby sprawdzi, jaki adres IP kryje si pod dan
nazw wystarczy wej w konsol PowerShell
W konsoli, ktra si pojawi wystarczy, e zostanie podana komenda ping adres

strony www. W przykadzie poniej mona si dowiedzie, e wortal komputerowy
in4.pl posiada adres IP 195.242.117.52. Zamiast wpisywa w przegldarce adres
strony www, jako in4.pl mona poda powyszy cig cyfr. Efekt bdzie taki sam.
Wan rzecz, o ktrej naley wspomnie jest to, i komputery obce, niebdce
czci domeny nie bd mogy si odwoywa do komputerw wewntrz sieci
adresem komputer01.Elitepc.pl. Natomiast komputery wewntrz domeny nie tylko
bd to potrafiy, ale jeszcze bd mogy korzysta z serwera DNS do tumaczenia
adresw internetowych. Jest to o tyle wane, e przy duych sieciach znacznie
minimalizuje to obcienie cza internetowego. Przechodzc do konsoli
zarzdzania usug, po znalezieniu na licie serwera naley klikn na nim prawym
przyciskiem myszy, a nastpnie wybra Menader Serwera DNS (DNS Manager).
77
Usuga DNS podzielona jest na dwie strefy:
wyszukiwania do przodu
wyszukiwania wstecznego
Strefa wyszukiwania do przodu jest mniej wicej tym, co wczeniej zostao opisane i
jest ju ona skonfigurowana. Natomiast strefa wyszukiwania wstecznego dziaa jak
sama nazwa wskazuje w stron przeciwn, czyli posugujc si przykadem zamieni
adres IP 195.242.117.52 na in4.pl. DNS dziaa tylko wewntrz sieci.
Naley rozwin stref przewijania do przodu, a nastpnie zaznaczy domen, na

serwerze przykadowym bdzie to ElitePC.pl. Warto zwrci uwag, e po prawej
stronie znajduj si rnego rodzaju wpisy, np. zaznaczony wpis typu A (Host(A))
dla kontrolera domeny definiuje nam to, e nazwa ElitePC-DC01 w sieci lokalnej
78
bdzie jednoznaczna z adresem IP 192.168.1.1
4.2.
Rczna konfiguracja strefy DNS
Na potrzeby treningowe zostanie skasowana gwna strefa wyszukiwania do przodu,

eby pokaza jak j rcznie utworzy. Naley klikn na niej prawym przyciskiem
myszy i wybra opcj Usu (Delete).
79
Nastpnie konieczne jest kliknicie na nazwie serwera i wybranie opcji Nowa Strefa
(New Zone).
Otworzy si kreator, gdzie stron powitaln naley pomin klikajc Dalej (Next).
Kolejna plansza pozwoli wybra rodzaj strefy. W tym przypadku zostanie wybrana
Strefa Podstawowa (Primary Zone), poniewa serwer jest gwn maszyn w sieci.
Gdyby mia zosta zainstalowany dodatkowy serwer np. zapasowy lub do
80
zbilansowania obcienia sieciowego, zostaaby wybrana Strefa Pomocnicza

(Secondary Zone). W lokalizacjach niezabezpieczonych najlepsza bdzie Strefa
Skrtowa (Stub Zone). Jako, e serwer jednoczenie peni rol kontrolera domeny
mona wybra opcj Przechowywania strefy w usudze Active Directory (Store the
zone in Active Directory) Naley klikn przycisk Dalej (Next).
Kolejna karta okrela sposb replikacji danych DNS. Mona przekazywa rekordy w
caym lesie (To all DNS servers running on domain controllers in this forest),
jedynie w obrbie domeny (To all DNS servers running on domain controllers in
this domain) (co zostanie wybrane), bd do wszelkich kontrolerw domeny (To all
domain controllers in this domain (for Windows 2000 compatibility)) (wymagane
w przypadku starszych serwerw). Naley klikn Dalej (Next).
81
Nastpnie naley wybra czy tworzona jest strefa wyszukiwania do przodu czy
wstecznego. Zostanie wybrana opcja pierwsza.
Poniewa jest to gwny serwer naturaln nazw strefy bdzie elitepc.pl.
Na kolejnej planszy zostan pozostawione opcje domylne. Naley klikn przycisk
82
Dalej (Next). Ustawienia te zostan zmienione za chwil.
Na ostatniej planszy naley klikn Zakocz (Finish).
83
4.3.
Zarzdzanie serwerem DNS
Usuga DHCP ma by ustawiona tak, aby aktualizowaa przy okazji przyznania

adresu rekordy DNS. Doda ona rekord A oraz PTR dla komputerw korzystajcych
z sieci. Pojawi si one na licie pod serwerem. Gdyby jednak korzystano ze starszej
wersji systemu Windows lub istniay jakie inne problemy mona klikn na nazwie
domeny np. ElitePC.pl i wybra Waciwoci (Properties).
Niekiedy, cho nie jest to zalecane, konieczna bdzie zmiana aktualizacji

dynamicznych na Niezabezpieczone i zabezpieczone (Nonsecure and secure).
84
W zakadce Serwery Nazw (Name Servers) mona doda inne dziaajce w sieci
serwery DNS.
Dziki temu mona nastpnie w zakadce Transfer Strefy (Zone transfer) okreli
ustawienia tak, aby wszelkie zmiany w tym serwerze DNS byy propagowane do
innych serwerw z poprzedniej karty Serwery Nazw (Only to servers listed on the
Name Servers tab). Inn moliwoci jest Transfer strefy do dowolnego serwera w
sieci (To any server) lub Dodanie serwerw poprzez podanie ich adresw IP (Only
to the following servers). Ze wzgldw bezpieczestwa, jeeli istnieje tylko tak
moliwo zaleca si dzielenie rekordami DNS wycznie z czonkami domeny.
Oczywicie mona dodawa take nowe rekordy rcznie. Do najbardziej

popularnych nale rekordy A, AAAA, CNAME, MX i NS. Host A, czyli rekord
adresu pozwala przypisa rcznie dowoln nazw pod dany adres IP jakiego
urzdzenia sieciowego.
85
Wystarczy poda nazw hosta, a FDQN zostanie sam wygenerowany oraz adres IP,
na ktry ma on wskazywa. Stworzenie rekordu PTR tworzy wpis odwrotny dla
Hosta A, czyli wpis w strefie wyszukiwania wstecznego. Naley pamita o tym, e
strefa wyszukiwania wstecznego musi by utworzona aby PTR powsta.
Host AAAA, czyli rekord adresu Ipv6 pozwala przypisa rcznie dowoln nazw
pod dany adres IPv6 jakiego urzdzenia sieciowego. CNAME tworzy alias dla
istniejcego ju wpisu, czyli wiele nazw moe wskazywa na ten sam adres IP.
Zaleca si tworzy rekordy CNAME zamiast duplikowa rekordy A, choby z
powodw iloci pamici w bazie danych. Rekord MX jest uywany do mapowania
serwerw poczty, a NS serwerw DNS. Przechodzc przez kreator pojawi si rekord
PTR zwany rekordem wskanika, ktry pozwala na implementacj strefy
wyszukiwania wstecznego. Dla przykadu zostanie utworzony rekord CNAME dla
kontrolera domeny, ktry si przyda w kolejnych dziaach. W tym celu naley
klikn prawym przyciskiem myszy na nazwie domeny i wybra Nowy Alias
(CNAME) (New Alias (CNAME)).
86
Nazwa aliasu jest dowolna, dla przykadu zostanie wpisane FTP. Naley take poda
w peni kwalifikowan nazw domeny dla hosta docelowego. Innymi sowy po
prostu wskaza rekord A komputera, do ktrego alias ma si odwoywa. Sposb
skadania takiego adresu wydaje si by do logicznym, jednak w przypadku
problemw mona uy przycisku Przegldaj (Browse) i wybra odpowiedni
komputer z listy.
Zostan take utworzone aliasy dla skrtw WWW oraz VPN. Pozwol one
uytkownikom czy si z serwerem podajc adres www.Elitepc.pl, vpn.Elitepc.pl,
ftp.Elitepc.pl, elitepc.pl. Dziki temu nie tylko bdzie to wyglda bardziej
profesjonalnie przy podawaniu rnego rodzaju danych do konfiguracji, ale take
poprawi intuicyjno rozwizania, mimo, e tak naprawd poczenie nastpuje
cay czas z jednym i tym samym komputerem. Co wicej gdyby kada rola serwera,
tak jak ma to miejsce w profesjonalnych zastosowaniach, bya zrealizowana na
osobnych komputerach koniecznoci byoby utworzenie takich rekordw.
87
Rekordy MX wymiany poczty przeznaczone s dla serwerw pocztowych np. z

Microsoft Exhange.
Ich konfiguracja analogiczna jest do aliasw z tym, e posiadaj one jeszcze pole na
okrelenie priorytetu serwera pocztowego. Zaleca si priorytety zwiksza co 10
jeli oczywicie jest taka moliwo w przedziale 1 do 100. Serwer o najwikszym
priorytecie bdzie uywany przez uytkownikw sieci tak dugo a nie zostanie on
przeciony bd nie ulegnie awarii.
88
Serwer posiada take opcje oczyszczania samego siebie z nieaktualnych rekordw.

Wystarczy na serwerze klikn prawym klawiszem myszy i wybra opcj zwizan
z oczyszczaniem (Set Aging/Scavening for All Zones).
W oknie, ktre si pojawi naley wybra jak dugo nieodwieony rekord moe
pozosta w serwerze DNS oraz co ile czasu serwer ma weryfikowa swoje rekordy.
89
4.4.
Zapasowy serwer DNS
Naturalnie server DNS mona zainstalowa niezalenie od Active Directory np. na

osobnym serwerze, do czego si zachca, jeli s ku temu odpowiednie rodki.
Najbezpieczniej i najwydajniej sie bdzie pracowaa, jeeli na pojedynczym
serwerze bdzie jak naj mniej zainstalowanych rl. Naley klikn na nazwie
serwera prawym przyciskiem myszy i wybra opcj Skonfiguruj serwer DNS
(Configure a DNS Server).
Kart powitaln mona pomin klikajc przycisk Dalej (Next).
90
Do wyboru s trzy moliwoci, z czego wikszo pewnie najbardziej zainteresuj

dwie pierwsze. Jedn z nich jest po prostu stworzenie strefy wyszukiwania do
przodu (Create a forward lookup zone), ktra wietnie sprawdza si w maych i
rednich firmach. Lokalne zapytania bd rozwizywane przez niego, natomiast te
spoza sieci bd przekazywane do serwerw dostawcy Internetu. Dla duych firm
zaleca si stworzy stref wyszukiwania do przodu oraz do tyu (Create forward
and reverse lookup zones). Serwer ten jest w peni autorytatywny. Aby przeledzi
dokadnie kreator konfiguracyjny naley wybra opcj drug.
Na kolejnej karcie naley wybra opcj zalecan (Yes, create a forward lookup zone
91
now), poniewa ma zosta skonfigurowana strefa wyszukiwania do przodu.
Jako, e jest to pierwszy serwer stworzona zostanie Stref gwn (Primary Zone).
Gdyby by to serwer zapasowy zostaaby wybrana opcja druga. Zaznaczona take
zostanie opcja Przechowania strefy DNS w Active Directory (Store the zone in
Active Directory).
Nastpnie naley okreli metod replikowania danych. Rekordy mona

propagowa do wszystkich serwerw w lesie, tylko w domenie lub w partycji
domenowej.
92
W kolejnym kroku naley poda nazw strefy,.
Naley okreli opcje zwizane z aktualizacjami dynamicznymi, o ktrych mowa

bya ju wczeniej.
W kolejnym oknie definiuje si czy ma zosta skonfigurowana strefa wyszukiwania
93
wstecznego. Naley zaznaczy TAK (Yes, create a reverse lookup zone now) i
klikn Dalej (Next).
Kolejne trzy kroki s analogiczne do strefy wyszukiwania do przodu. Dochodzi si

tak do planszy, na ktrej naley zdefiniowa czy strefa ma dotyczy adresw IPv4
(IPv4 Reverse Lookup Zone) czy IPv6 (IPv6 Reverse Lookup Zone).
Teraz naley zdefiniowa adresacj IP, jaka funkcjonuje w sieci.
Po raz kolejny naley skonfigurowa aktualizacje dynamiczne.
94
W kolejnym kroku definiuje si czy serwer ma przekazywa zapytania, ktrych nie

moe rozwiza do innego serwera, a jeli tak to, do jakiego. W wiczeniowym
przypadku przekazywanie zapyta dalej nie jest wymagane.
By to ostatni krok instalacji. Na karcie podsumowujcej wystarczy klikn Zakocz

(Finish).
95
Jeeli ma istnie zapasowy server DNS naley posiada inny komputer z systemem
Windows Server. Po zainstalowaniu na nim Roli serwera DNS naley w konsoli
DNS Manager klikn prawym klawiszem myszy na strefie wyszukiwania i wybra
New Zone (Nowa Strefa).
W kreatorze naley tym razem wybra Secondary Zone (Strefa Zapasowa). Dziki
temu obcienie serwera DNS bdzie nie tylko rwnowaone, ale take w razie
awarii jednego serwera dane nie zostan utracone, a jego rol przejmie zapasowy
serwer.
96
Naley wybra odpowiedni nazw strefy. Jest to o tyle wane, i jeeli jest si w
posiadaniu kilku domen mona duplikowa jedynie porcje danych, a nie ca
zawarto serwera DNS.
W kolejnym oknie naley poda adres IP komputera, na ktrym znajduje si ju

dziaajcy serwer DNS.
97
Na karcie podsumowujcej naley wybra Zakocz (Finish). Naley pamita, i

serwer gwny musi mie we waciwociach ustalon zgod na transfer strefy do
docelowego serwera. Gdy zostanie to wykonane i wstpna synchronizacja zostanie
wymuszona opcj Transferuj z serwera gwnego (Transfer From Master) z menu
kontekstowego, ktre jest dostpne po klikniciu prawym przyciskiem myszy na
nazwie domeny.
Po synchronizacji rekordy z gwnego serwera DNS powinny pojawi si na

serwerze zapasowym.
98
5. Serwer DHCP
Serwer DHCP mwic kolokwialnie przydziela adresy IP kademu komputerowi,
ktry si uruchomi podczony do danej sieci. Jest to fundamentalny element kadej
struktury sieciowej. Jedn z nowoci w systemie Windows Server 2012 jest
wprowadzenie funkcjonalnoci nazwanej polityk serwera DCHP (DHCP Policy).
Czytelnik w tym dziale dowie si jak zainstalowa i zarzdza serwerem DHCP.
5.1.
Instalacja pierwszego serwera DHCP
Podobnie jak w przypadku innych rl instalacj serwera DHCP rwnie rozpoczyna

si z poziomu Menadera Serwera (Server Manager). eby zainstalowa naley
wybra w kreatorze rl Serwer DHCP (DHCP Server) i klikn Dalej (Next).
Nastpnie naley zaakceptowa instalacj wszelkich dodatkowych wymaganych

funkcji.
99
Na kolejnej planszy naley klikn Dalej (Next).
100
Nastpnie naley przej Dalej (Next).
Na ostatniej karcie podsumowujcej naley zaznaczy opcj Uruchom ponownie

serwer docelowy jeli wymagane (Restart the destination server automatically if
required), aby w razie potrzeby serwer sam uruchomi si ponownie, a nastpnie
naley klikn Zainstaluj (Install).
Po ponownym uruchomieniu komputera i wejciu do konsoli Menader Serwera

(Server Manager) w centrum akcji mona zauway, e niezbdna jest dodatkowa
konfiguracja serwera DHCP. Naley wic klikn Dokocz konfiguracj serwera
DHCP (Complete DHCP Configuration).
101
Pojawi si kreator post instalacyjny. Jego zadaniem bdzie utworzenie dwch

lokalnych grup bezpieczestwa dla Administratorw i uytkownikw DHCP.
Naley klikn przycisk Wykonaj (Commit).
Nastpnie naley poda dane uytkownika, ktry ma uprawnienia niezbdne do

autoryzacji serwera DHCP w usudze Active Directory (Use the following users
credentials). Mona take pomin autoryzacj (Skip AD authorization).
102
Wybr naley zaakceptowa, a nastpnie zamkn okno podsumowujce.
5.2.
Konfiguracja serwera DHCP
Kolejnym krokiem bdzie wybranie DHCP w menu Menadera Serwera (Server

Manager) znajdujcym si z lewej strony, a nastpnym kliknicie prawym
przyciskiem myszy na wybranym serwerze i wybranie opcji zarzdzania nim
Menader DHCP (DHCP Manager).
Jeeli serwer nie zosta jeszcze autoryzowany w Active Directory, wystarczy klikn
na nim prawym przyciskiem myszy i wybra opcj Autoryzuj (Authorize). Jeeli ju
jest autoryzowany mona ten krok pomin. Jeeli AD i DHCP s instalowane na tej
samej maszynie serwer autoryzuje si sam automatycznie
103
Kolejnym krokiem konfiguracji bdzie stworzenie zakresw DHCP. Przykadowo

niech bdzie stworzony taki zakres dla protokou IPv4. W tym celu naley rozwin
drzewo serwera i klikajc prawym przyciskiem myszy na IPv4 wybra opcj Nowy
Zakres (New Scope).
W pierwszej karcie kreatora podaje si Nazw dla zakresu (Name) oraz Opis
(Description), ktry bdzie informowa za co on odpowiada.
Na kolejnej karcie definiuje si dwa adresy IP. Jednym z nich bdzie Pocztkowy
adres IP (Start IP address), poczwszy od ktrego DHCP zacznie przydziela
klientom adresy IP, a drugi to Kocowy adres IP (End IP address), na ktrym to
serwer zakoczy ich przydzielanie. Naley poda take Mask Podsieci (Subnet
104
Mask), ktra ma by przypisywana klientom.
W kolejnym oknie analogicznie definiuje si zakres adresw IP z tym, e tym

razem bd one dotyczyy puli adresw, ktre maj zosta wykluczone z wczeniej
zdefiniowanej puli.
105
W kolejnym kroku naley okreli jak dugo moe trwa dzierawa adresu.
Domylnie jest to 8 dni, po czym przydzielony adres jest zwalniany na potrzeby
innego komputera.
Mona take skonfigurowa opcje serwera DHCP. Na og ich konfiguracja jest

zbdna do prawidowego dziaania sieci. Dlatego te zostanie zaznaczona opcja
pierwsza Tak chc skonfigurowa te opcje teraz (Yes, I want to Configure these
options now) po to, aby je od razu skonfigurowa z poziomu kreatora.
Jedn z nich bdzie konfiguracja Routera (Bramki) (Router (Default Gateway)),
106
gdzie wpisuje si adresy IP, pod ktrymi znajduje si wyjcie z sieci na wiat, np.
Internet.
Nastpnie okrela si adresy serwerw DNS z jakich ma si korzysta w sieci i

opcjonalnie nazw domeny. Naley pamita, e jeeli maszyny maj prawidowo
pracowa w domenie to niezbdne jest podanie wewntrznych, firmowych adresw
serwerw DNS powizanych z Active Directory.
107
Jeeli korzysta si z serwerw WINS, w tym kreatorze take mona okreli ich
sieciowe lokalizacje.
Ostatnim pytaniem, na jakie naley odpowiedzie jest to, czy kreator ma uruchomi
stworzony zakres czy te nie. Jeli ma zosta uruchomiony naley wybra, e si
chce (Yes, I want to deactivate this scope now).
Przycisk Zakocz (Finish) zamyka kreatora.
108
5.3.
Zarzdzanie serwerem DHCP
Po chwili serwer powinien by gotowy do pracy. Obok jego ikonki powinna pojawi
si zielona tarcza. Jeeli nie pojawia si ona od razu naley chwil poczeka i
odwiey widok (opcja w menu kontekstowym bd guzik F5 na klawiaturze).
Stworzony zakres mona zawsze skasowa klikajc na nim prawym przyciskiem
myszy i wybierajc Usu (Delete). Mniej inwazyjn metod jego wyczenia bdzie
Dezaktywacja (Deactivate).
109
W ramach zakresu mona midzy innymi wej w jego Waciwoci (Properties).

Znajduj si tam dodatkowe moliwoci konfiguracyjne. We waciwociach
znajduje si zakadka DNS, gdzie mona skonfigurowa pozostae opcje zwizane z
aktualizacjami dynamicznymi. Jest to krok niezbdny, aby dynamiczne aktualizacje
dziaay. Naley wic zapamita, e ich konfiguracja jest dwu stopniowa. Naley
je uruchomi zarwno po stronie serwera DNS jak i serwera DHCP.
W sekcji Ochrona Nazwy (Name Protection) mona klikn przycisk Konfiguruj

(Configure) i uruchomi ochron, ktra sprawi, e duplikaty rekordw DNS nie
wystpi.
110
W bardzo atwy sposb mona take stworzy zastrzeenie, ktre bdzie bardzo
przydatne, kiedy dany adres IP ma by zarezerwowany dla drukarki czy innego
komputera taki. Zawsze bdzie on mia przypisany konkretny adres. Wystarczy na
Rezerwacje (Reservations) klikn prawym przyciskiem myszy i wybra Nowe
Zastrzeenie (New Reservation).
Pojawi si mae okienko, w ktrym naley poda Nazw zastrzeenia (Reservation

Name), adres IP (IP address), ktry ma by przypisany temu urzdzeniu, a take
Adres MAC (MAC address) karty sieciowej tego urzdzenia dziki czemu serwer
DHCP je rozpozna w sieci. Mona take wprowadzi Opis (Description).
111
Bardzo poyteczne i przydatne s opcje zakresu. Trzy z nich zostay ju

skonfigurowane, lecz czasami moe si to okaza niewystarczajce. Naley wic
klikn prawym klawiszem myszy na Opcje zakresu (Scope Options) i wybra
Konfiguruj Opcje (Configure Options).
To wanie w nich definiuje si adres IP routera, serwera czasu czy serwera PXE.
Ustawienia te czsto s bardzo przydatne, a nierzadko niezbdne.
112
5.3.1. DHCP Policies

Omwione do tej pory moduy serwera DHCP nie ulegy zmianie wzgldem
starszych wersji sytemu Windows Server. W wersji 2012 pojawiy si jednak
Polityki (Policies). Warto zauway, e mona je definiowa na poziomie serwera
(dla wszystkich zakresw) lub na poziomie jedynie wybranego zakresu. Na rysunku
poniej wystpuj one w dwch miejscach.
Polityki pozwalaj na okrelenie zasad przydzielania adresw urzdzeniom ktre,

aby dosta adres IP bd musiay spenia pewne predefiniowane kryteria. Aby takie
kryterium okreli Naley klikn na Polityki (Policies) prawym przyciskiem myszy
i wybra Nowa Polityka (New policy).
113
W pierwszym oknie kreatora konieczne jest podanie nazwy oraz opisu polityki.
W nastpnym oknie kreatora definiuje si kryteria, jakie dane urzdzenie musi

speni. Kryteriw moe by kilka i mog by poczone operatorem logicznym
AND (urzdzenie musi spenia wszystkie) lub OR (urzdzenie musi spenia
minimum jedno kryterium). Przyciskiem ADD dodaje si kryteria.
Nastpnie naley okreli kryterium warunku, ktrego jest kilka klas. Jedn z nich
jest Vendor Class, ktra pozwoli okreli doln granic wersji sytemu Windows,
114
User, ktra pozwala udziela dostp na podstawie uprawnie uytkownikw, MAC,

ktra pozwala na filtrowanie po adresach MAC oraz Client Indetifier i Relay Agent
Information.
Naley klikn OK aby powrci do kreatora i a nastpnie klikn Dalej (Next).

Wczy si karta konfiguracji opcji serwera. W dalszej kolejnoci naley
zdefiniowa to, jakie opcje zostan przypisane klientom, ktrych obejmie kryterium.
Mona wic mie inne opcje dla maszyn speniajcych kryteria i dla tych, ktre ich
nie speniaj.
115
Utworzona polityka zostanie wywietlona na licie. Klikajc na ni prawym

klawiszem myszy w menu kontekstowym znajduj si opcje pozwalajce j
Wyczy (Disable), Skasowa (Delete), Przenie w gr (Move Up) lub w d
(Move Down), aby okreli jej wano. Im polityka znajduje si wyej na licie
tym jest waniejsza.
Wchodzc we Waciwoci (Properties) danej polityki mona modyfikowa jej

waciwoci.
116
W przypadku polityki tworzonej po zmianie konkretnego zakresu w kreatorze

pojawi si jeszcze jedna karta, ktra pozwala na stworzenie podzakresu adresw IP
dla urzdze, ktre s objte dan polityk. Mini zakres musi znajdowa si
wewntrz zakresu oglnego.
117
5.4.
Wysoka dostpno DHCP
Kady serwer w tym take DHCP musi by dostpny 24h na dob, 7 dni w tygodniu.
Nawet podczas awarii serwera firma powinna mc dalej funkcjonowa jak gdyby
nic si nie stao z punktu widzenia uytkownikw. Dlatego te tworzy si serwery
zapasowe, ktre przejmuj role gwnych maszyn w razie ich awarii, przecienia
lub niedostpnoci z innych powodw. Serwery te duplikuj take dane. Za chwil
czytelnik dowie si jak zapewni cigo i bezpieczestwo dziaania serwera
DHCP.
5.4.1. Konfiguracja klastra DHCP

Nowoci w serwerze DHCP s elementy wysokiej dostpnoci zwizane z
klastrami. Zostay one oparte na IETF-DHCP Failover Protocol. Przed kontynuacj
naley pamita, e klaster wymaga systemu Windows Server w wersji Datacenter.
Podobnie jak polityki, klastry mona definiowa dla zakresw jak i dla caego
serwera. Pamita naley take o tym, aby w serwerze DHCP istnia przynajmniej
jeden zakres. Jeeli go nie bdzie kreator konfiguracji nie do kolejnego kroku.
Rzecz naturaln jest to, e w sieci musi istnie drugi server DHCP pod kontrol
Windows Server 2012, dlatego te dla utworzonego zakresu zostanie stworzony
klaster. W tym celu naley klikn na zakresie prawym przyciskiem myszy i wybra
Konfiguruj klaster (Configure Failover).
Na pierwszej karcie naley zdefiniowa zakresy, ktre bd wykorzystywane bd

zaznaczy opcj Zaznacz Wszystko (Select All), aby wybra wszystkie dostpne
118
zakresy. Naley klikn przycisk Dalej (Next).
W kolejnym oknie konieczne jest wskazanie serwera partnerskiego, na ktrym

replika bdzie przechowywana. Bdzie ni nie tylko baza danych DHCP, ale i
konfiguracja serwera.
Przyciskiem Dodaj Serwer (Add Server) naley wybra go. Serwer musi ju by
autoryzowany w domenie. Dla jednego zakresu mona wybra tylko jeden serwer
partnerski.
119
W kolejnym oknie relacji pomidzy serwerami naley nada nazw. Wybiera si tu

take Tryb dziaania relacji (Mode). Do wyboru jest Zrwnowaenie Obcienia
(Load Balance), ktry bdzie w okrelonym procentowo stopniu rwnoway
obcienie serwera DHCP. Warto take ustawi czas w opcji Maximum Client Lead
Time, ktra mwi o tym jak dugo trwa czas dzierawy dla klienta, ktry dosta
dzieraw adresu IP z dowolnego z serwerw. Jest on waniejszy od czasu
dzierawy okrelonego dla zakresu. Warto take wybra Enable Message
Authentication i wprowadzi haso o wysokiej zoonoci. Dziki temu
komunikacja pomidzy serwerami bdzie szyfrowana funkcj SHA-2.
Drugim trybem pracy jest Hot Standby. Tworzy on replik, ktra przejmie rol
gwnego serwera DHCP w razie jakich problemw z dostpnoci serwera
120
gwnego. Warto w nim uy opcji Auto State Switchover Interval, okrela ona to,
po jakim czasie od braku komunikacji z serwerem gwnym zapasowy przejmie jego
funkcje.
Kolejna karta to podsumowanie, na ktrej naley klikn Zakocz (Finish).
121
Teraz dla zakresw pod prawym przyciskiem myszy dostpne bd dodatkowe

funkcje zwizane z replikacj.
Aby skasowa tak relacj wystarczy wej we waciwoci IPv4, a nastpnie w

zakadk Failover.
5.4.2. Split-Scope
Jeeli nie zostanie stworzony klaster mona uy funkcji znanej ju z Windows
Server 2008. Mowa tu o Split-Scope. Dziki niej mona stworzy dwa serwery
DHCP, pomidzy ktrymi wybrany zakres zostanie rozdzielony, a w razie awarii
serwera drugi przejmie jego rol do czasu a uszkodzony nie wrci do penej
funkcjonalnoci. W tym celu wystarczy klikn prawym guzikiem na podanym
zakresie, rozwin Advanced (Zaawansowane) i wybra Split-Scope.
122
Na karcie powitalnej naley klikn Dalej (Next).
Nastpnie podobnie jak w przypadku klastra naley okreli serwer zapasowy.

Rwnie musi by autoryzowany w AD.
123
W kolejnym oknie konieczne jest okrelenie w procentach jaka cz adresw

bdzie obsugiwana na gwnym serwerze DHCP, a jaka na obecnie dodawanym (na
zrzucie ekranu 20%).
Nastpnie naley okreli po jakim czasie DHCP zapasowy ma przydzieli adres,

czyli ile czasu na reakcj dostaje serwer podstawowy.
124
6. IIS z FTP oraz Urzd Certyfikacji

Internet Information Services, to rola serwera pozwalajca na hostowanie i
publikowanie stron internetowych. Istnieje take moliwo publikacji witryn FTP.
Obie te funkcje zostan omwione w niniejszym rozdziale. Omwiony zostanie
take Urzd Certyfikacji, poniewa jego dziaanie i istnienie jest cile powizane z
serwerem www.
6.1.
Instalacja roli Web Server (IIS)
Na pocztek naley zainstalowa rol Web Server (IIS) przy pomocy Menadera
Serwera (Server Manager).
Naley zainstalowa wymagane dodatki, a nastpnie zaakceptowa je przyciskiem
125
Dodaj funkcj (Add Features).
Spokojnie mona zainstalowa wszystkie usugi dostpne w serwerze IIS, aby w

razie potrzeby nie musie czego dodatkowo instalowa. Mona wic zaznaczy
wszystkie skadniki IIS.
126
Proces instalacji tylu usug jednoczenie chwil potrwa. Mimo, e kreator tego nie
wymaga po instalacji warto uruchomi ponownie serwer.
Menadera IIS mona odnale w Menaderze Serwera (Server Manager) w menu

po lewej stronie. Podobnie jak i w przypadku innych rl po jego klikniciu w
centralnej czci okna pojawi si lista serwerw, ktrymi mona zarzdza. Po
klikniciu na wybranym prawym przyciskiem myszy naley wybra Menadera IIS
(Internet Information Services (IIS) Manager).
Standardowo uruchomiona jest ju Domylna Witryna. Najatwiej jest wgra swoj
127
stron www do katalogu C:\inetpub\wwwroot, aby ona zadziaaa. Jej moliwoci

bd ograniczone do najbardziej elementarnych funkcjonalnoci, a take nie bdzie
ona w aden sposb zabezpieczona np. logowaniem. Co wicej dowiadczeni
uytkownicy Windows Server zauwa, e z punktu widzenia interfejsu
uytkownika nie wida na pierwszy rzut oka zmian wzgldem serwera IIS w
Windows Server 2008.
6.2.
Instalacja Active Directory Certificate Services
Po instalacji serwera IIS warto zainstalowa Urzd Certyfikacji (Certification

Authority). IIS zawiera w sobie cz skadnikw wymaganych przez Urzd
Certyfikacji (CA, od Certification Authority), a same certyfikaty przydadz si
midzy innymi do zabezpieczenia witryny www. Zostanie wic zainstalowana rola
Active Directory Certificate Services wraz ze wszystkimi dodatkami.
128
Naley wybra Usugi Roli (Role Services).
Niezbdna bdzie dodatkowa konfiguracja, do ktrej wchodzi si poprzez Centrum

Akcji (Action Center).
129
W pierwszej karcie nowo otwartego kreatora naley poda dane uytkownika, ktry
bdzie mia stosowne uprawnienia do przeprowadzenia konfiguracji.
Na kolejnej karcie wystarczy, e
zostanie skonfigurowany Urzd Certyfikacji
(Certification Authority), jednak wraz z nim mona skonfigurowa pozostae usugi

wybrane na zrzucie ekranowym. Dwie inne wybrane opcje wymagaj odrbnej
konfiguracji po uruchomieniu CA.
130
Nastpnie naley zdefiniowa rodzaj CA. Enterprise wymaga do dziaania AD,

natomiast w Standalone CA moe nie by powizany z AD i suy np. jedynie jako
uzupenienie serwera hostingowego. Jako, e serwer wiczeniowy korzysta z AD
zostanie wybrana opcja Enterprise.
W nastpnym kroku naley zdefiniowa to, czy jest to Gwny serwer CA (Root
CA) czy Podrzdny (Zapasowy) (Subordinate CA). W tym przypadku jest to jednak
serwer gwny.
131
W kolejnym zostanie stworzony Klucz Prywatny (Private Key). Gdyby taki ju

istnia byaby moliwo uycia go (Use existing private key). Jako, e ma zosta
stworzony, naley wybra opcj pierwsz Stwrz nowy klucz prywatny (Create a
new private key).
Na kolejnej karcie istnieje moliwo wybrania metody kryptografii. Jeeli

administrator nie zgbi tego tematu i nie ma zbyt duej wiedzy na temat metod
132
kryptografii, najlepiej bdzie zostawi ustawienia domylne.
W kolejnym oknie naley zdefiniowa informacje i nazwy zwizane z CA,

informacje te znajd si w certyfikatach.
Nastpnie konieczne jest zdefiniowanie okresu wanoci certyfikatu. Domylnie jest

to 5 lat.
133
W nastpnym kroku naley wybra miejsce przechowywania logw i bazy danych.
kolejnym
oknie
konieczne
jest
zdefiniowanie
metody
autentykacji
uytkownikw. Dla komputerw pracujcych w domenie najlepszym wyborem

bdzie Zintegrowanie uwierzytelnianie systemu Windows (Windows integrated
authentication).
W kolejnym oknie naley wybra certyfikat, ktry bdzie uywany do szyfrowania

poczenia pomidzy klientami a serwerem.
134
Na karcie podsumowujcej naley wybra Konfiguruj (Configure). Po tym kroku

warto uruchomi ponownie serwer.
135
Teraz poprzez centrum akcji naley ponownie uruchomi kreatora konfiguracji CA.
Tym razem z listy usug konieczne jest wybranie dwch opcji, ktrych wczeniej nie
mona byo zainstalowa.
Nastpnie naley wybra konto uytkownika, ktry ma uprawnienia do

przeprowadzenia wymaganych zada. Musi on nalee do grupy IIS_IUSRS. Mona
wic doda do tej grupy administratora i wykorzysta jego konto.
136
W kolejnym oknie konieczne jest wprowadzenie informacji dotyczcych

przedsibiorstwa.
Nastpnie naley wybra dostawc (provider) kryptografii wraz z dugoci klucza

szyfrujcego.
137
Teraz naley przej do czci kreatora odpowiedzialnej za konfiguracj zapisw

certyfikatw w sieci Web. Konieczne jest wybranie opcji Nazwa komputera
(Computer name) i wybranie wczeniej skonfigurowanego CA.
Kolejnym krokiem jest wybr metody autentykacji. Tak jak wczeniej naley
pozostawi t opcj domyln tj. Zintegrowane uwierzytelnianie systemu Windows
(Windows integrated authentication).
138
Naley teraz zdefiniowa konto uytkownika, ktry bdzie odpowiada za

komunikacj pomidzy CES a CA. Na potrzeby ksiki bdzie to Administrator.
Nastpnie na karcie podsumowujcej naley klikn Konfiguruj (Configure), a po
chwili Zamknij (Close).
6.3.
Aktualizacja platformy .NET
Gdy urzd certyfikacji bdzie ju zainstalowany i skonfigurowany warto wrci do

menadera IIS. W sekcji Pule Aplikacji (Application Pool) .NET mona ustawi
platform .NET Framework jak ma domylnie uywa serwer, bdzie to wersja 4.0.
Aby nowsza wersja bya dostpna w tym oknie konieczne jest jej pobranie z
Internetu i zainstalowanie.
139
Jeli dana wersja nie bdzie widoczna konieczne bdzie wykonanie w konsoli
odpowiedniego polecenia odpowiadajcego za instalacj ASP.NET.
140
6.4.
Tworzenie nowych Certyfikatw
Podstawowe opcje logowania mona ustawi klikajc w ikon Uwierzytelnianie

(Authentication) po wczeniejszym wybraniu w prawym menu podanej witryny
sieci Web.
Warto jednak wczeniej wrci poziom wyej i klikajc na nazw serwera w

drzewie po lewej stronie przej do oglnych ustawie serwera. Poza konfiguracj
IIS znajduje si tam wiele innych opcji np. te zwizane z bezpieczestwem, FTP
oraz rne inne. W tym dziale strona zostanie zabezpieczona certyfikatem, a
nastpnie logowaniem. Pierwszym krokiem bdzie stworzenie jakiego certyfikatu
141
dla serwera. Naley klikn Certyfikaty Serwera (Server Certificates).
Nastpnie naley klikn Utwrz Certyfikat z Podpisem Wasnym (Create SelfSigned Certificate). Dziki temu uniknie si potrzeby odwoywania do gwnego
urzdu certyfikacji w domenie.
Pojawi si kreator, w ktrym naley poda nazw oraz wybra przeznaczenie

certyfikatu, czyli na Uytek wasny (Personal) lub Hostingu www (Web Hosting).
142
Nastpnie naley klikn OK.

Majc ju zainstalowany CA atwo jest take utworzy Certyfikat Domeny (Domain
Certificate). Krok ten mog pomin osoby, ktrym wystarcza certyfikat z
podpisem wasnym, ktry wczeniej zosta utworzony. Certyfikat domeny tworzy
si wybierajc opcj Stwrz Certyfikat Domeny (Create Domain Certificate).
W pierwszej karcie kreatora naley wypeni dane dotyczce organizacji.
143
Nastpnie definiuje si urzd certyfikacji, ktry ma zosta wykorzystany oraz naley

poda przyjazn nazw dla certyfikatu. W kolejnym kroku naley klikn Zakocz
(Finish) .
6.5.
Zarzdzanie Serwerem IIS
W przypadku ksikowym pozostao ju jedynie podczy certyfikat do danej

witryny. Naley klikn najpierw na licie nazw witryny, a nastpnie wybra z
menu po prawej opcj: Powizania (Bindings).
144
Na ekranie, jaki si pojawi naley klikn Dodaj (Add).
Jego typ naley ustawi na https i wybra utworzony wczeniej certyfikat serwera.
Wybranie w polu adres IP opcji Wszystkie nieprzypisane (All unassigned)
powoduje tyle, i na kadej karcie sieciowej na porcie 443 bdzie uywany ten, a nie
inny certyfikat. Skasowanie powizania HTTP sprawi, e
nie bdzie mona
podczy si do serwera w niezabezpieczony sposb. Warto te wtedy zablokowa

port w zaporze. Mona take na zwykej stronie stworzy plansz informujc, e
serwer wymaga certyfikatu wraz z przekierowaniem. Opcje te mona zawsze
zmieni przyciskiem edycji.
145
Inn metod bdzie wymuszenie wymagania certyfikatu SSL. Aby tego dokona
naley klikn w opcj Ustawienia Protokou SSL (SSL Settings).
Na planszy, jaka si pojawi naley wybra opcj Wymagaj Certyfikatu SSL

(Require SSL) oraz zdefiniowa dogodne ustawienia klienta. Zaleca si wybranie
opcji Akceptuj (Accept).
Po wprowadzeniu ustawie naley klikn Zastosuj (Apply) w menu po prawej

stronie.
146
Teraz kada prba wejcia na witryn innym portem ni SSL zakoczy si bdem i
jednoczenie automatycznie wywietli informacje na temat dalszego postpowania
dla uytkownika.
Po wpisaniu w belce adresu przedrostka https:// strona www powinna si zaadowa,

a komunikacja powinna odby si w sposb szyfrowany. Naturalnie bdzie
konieczna akceptacja certyfikatu.
147
Warto si take zabezpieczy stron przed niepowoanymi odwiedzinami. W tym

celu naley klikn dwukrotnie w ikon Uwierzytelnianie (Authentication).
Wyczone
take
zostanie
Uwierzytelnianie
anonimowe
(Anonymous
Authentication). Aby je wyczy naley klikn przycisk Wycz (Disable) z
148
prawej strony.
Uwierzytelnianie w sieci odbywa si na zasadzie komunikacji midzy serwerem a

przegldark, podczas ktrej przesyane s nagwki protokou http oraz komunikaty
o bdach.
Komunikacja przebiega nastpujco:
1. Przegldarka zgasza danie, np. HTTP-GET.

2. Serwer sprawdza, czy obowizkowe jest uwierzytelnienie. Jeli
sprawdzenie si nie powiedzie, poniewa uwierzytelnienie jest
niezbdne, serwer odpowiada komunikatem o bdzie podobnym do
tego poniej:
Brak upowanienia do wywietlania tej strony
Nie masz uprawnie, by przeglda ten katalog lub t stron przy uyciu podanych
powiadcze. Komunikat ten zawiera informacje, ktrych przegldarka sieci Web
moe uy do ponownego przesania dania, jako dania uwierzytelnionego.
3. Przegldarka, na podstawie tego co odpowie serwer tworzy nowe

dania, ktre zawiera informacje o uwierzytelnianiu.
4. Serwer sieci Web dokonuje sprawdzenia uwierzytelnienia. Jeli
sprawdzenie powiedzie si, serwer sieci Web odsya do przegldarki
149
dane, ktrych pierwotnie dano.

Istniej nastpujce metody uwierzytelniania:
-
Uwierzytelnianie
anonimowe
(Anonymous
Authentication)
celu
uwierzytelnienia uytkownikw anonimowych, ktrzy daj zawartoci siec, usugi

IIS tworz konto IUSR_nazwa_komputera. Konto to uytkownikowi daje
uprawnienia do zalogowania si lokalnie. Istnieje moliwo zresetowania dostpu
anonimowych uytkownikw w sposb taki, aby uywali dowolnego konta z
systemu Windows.
- Uwierzytelnienie podstawowe (Basic Authentication) wykorzystywane jest do
ograniczania dostpu do danych na serwerze znajdujcych si na dysku
sformatowanym w systemie NTFS. Jeli uywa si podstawowego uwierzytelniania,
uytkownik ma obowizek wprowadzenia powiadcze, a moliwo dostpu jest
zalena od identyfikatora uytkownika. Aby mc korzysta z podstawowego
uwierzytelniania, kady uytkownik musi mie nadane prawo do logowania si
lokalnie.
- Zintegrowane uwierzytelnianie systemu Windows (Windows Authentication)
uwierzytelnianie to zapewnia wyszy poziom bezpieczestwa ni uwierzytelnianie
podstawowe. Bardzo dobrze sprawdza si w rodowisku intranetowym, w ktrym
uytkownicy
maj
domenowe
konta
systemu
Windows.
przypadku
zintegrowanego uwierzytelniania systemu Windows przegldarka w miar

moliwoci uywa biecych powiadcze uytkownika, ktre wczeniej byy ju
uywane do logowania si do domeny. Jeeli nie powiedzie si uycie tych
powiadcze to wywietlona zostanie odpowiednia informacja i uytkownik
zostanie poproszony o podanie poprawnych danych logowania. Przy zintegrowanym
uwierzytelnianiu systemu Windows, nie jest do serwera przesyane haso
uytkownika. Jeeli uytkownik zosta zalogowany do komputera jako uytkownik
domeny, to prbujc si dosta do sieciowego komputera w tej domenie, nie ma
150
koniecznoci ponownego uwierzytelniania.

- Uwierzytelnianie szyfrowane (Digest Authentication) - eliminuje liczne wady
uwierzytelnienia podstawowego. Podczaj jego uywania, uwierzytelnianie jest
szyfrowane.
szyfrowanym
uwierzytelnianiu
uywany
jest
mechanizm
wezwania/odpowiedzi (identyczne mechanizm uywany jest w zintegrowanym

uwierzytelnianiu systemu Windows), a hasa s przesyane w zaszyfrowanym
formacie. Aby uy uwierzytelniania szyfrowanego, koniecznoci wszystkich kont
uytkownikw jest posiadanie odpowiedniej konfiguracji z wczon opcj Zapisz
hasa dla wszystkich uytkownikw w domenie, korzystajc z szyfrowania
odwracalnego. W momencie gdy zostaa wczona ta opcja, naley zresetowa lub
wprowadzi ponownie haso.
Zostanie wybrana jaka metoda uwierzytelniania. Najlepsze bdzie szyfrowanie.
Zostanie wic ono wczone klikajc Wcz (Enabled) po prawej stronie.
Pojawi si ekran logowania po odwieeniu strony. Naley wprowadzi swj login i

haso.
151
6.6.
Uruchamianie Serwera FTP
Uruchomiony zostanie teraz serwer FTP, ktry take w dalszej czci ksiki
zostanie zabezpieczony. W tym celu naley klikn prawym przyciskiem myszy na
napisie Witryny (Site) i doda Now Witryn FTP (Add FTP Site).
Na kolejnej karcie naley poda nazw witryny oraz ciek na dysku, gdzie bdzie
ona przechowywaa swoje dane.
152
Na kolejnej karcie pozostawione bd opcje domylne.
Pozwolono te na Uwierzytelnianie anonimowe (Anonymous).
153
Do testw pocze wykorzystany zostanie program FileZilla, zainstalowany na

komputerze klienckim.
154
Warto take skupi si na zabezpieczeniu serwera FTP. Ponownie zostanie

stworzony certyfikat z wasnym podpisem tym razem dla serwera FTP.
Zostanie skasowana strona FTP, bdzie trzeba przej kreator raz jeszcze. Tym
razem zostanie wczony certyfikat SSL i zaznaczony zostanie podany wczeniej
certyfikat.
Uwierzytelnianie anonimowe nie jest podane, zostanie wic wyczone.
Naley wej w Ustawienia SSL usugi FTP (FTP SSL Settings), wybra Wymagaj
155
pocze SSL (Require SSL Connections) i zaznaczy Szyfrowanie 128 bitowe

(Use 128-bit encryption for SSL connections).
Klienta FTP konfiguruje si w nastpujcy sposb:
156
Naley zaakceptowa certyfikat i po chwili nastpuje bezpieczne poczenie z FTP.
To jednak nie wszystko, aby FTP dziaa poza sieci lokaln naley jeszcze
skonfigurowa Firewall. Naley znale Obsug zapory FTP (FTP Firewall
Support).
Naley skonfigurowa tak, e adres IP to publiczny adres IP. Zakres portw, jaki
naley ustawi to: 49152-65535. Gdyby pojawiy si problemy z routingiem czasami
157
pomog konsolowe komendy:

Dla FTP niezabezpieczonego:
netsh advfirewall firewall add rule name="FTP (non-SSL)" action=allow
protocol=TCP dir=in localport=21
netsh advfirewall set global StatefulFtp enable
Dla zabezpieczonego SSLem:
netsh advfirewall firewall add rule name="FTP for IIS7" service=ftpsvc
action=allow protocol=TCP dir=in
netsh advfirewall set global StatefulFtp disable
6.7.
IIS i PHP
We wczeniejszych dziaach zosta zainstalowany IIS oraz serwer FTP. Ten serwer
jednak nie wspiera stron napisanych w jzyku PHP. Mona to jednak atwo
zmieni.
PHP moe funkcjonowa przy uyciu protokou ISAPI lub CGI. Wad CGI jest to,
e dla kadego dania tworzony jest w systemie osobny proces, co przy wielu
uytkownikach podczonych jednoczenie w znacznym stopniu obcia komputer.
ISAPI jest wolne od tej wady, poniewa wykorzystuje wewntrzne procesy serwera
IIS. Jego wad jest to, e
nie radzi on sobie z wielowtkowoci, do ktrej
obsuenia uywa si bibliotek PHP, co znw prowadzi do utraty wydajnoci.

Dlatego te w Windows Server 2008 Microsoft zaimplementowa trzecie i najlepsze
rozwizanie FastCGI, zostao ono rwnie przeniesione do Windows Server 2012.
Pierwszym krokiem instalacji bdzie dodanie roli serwera IIS. Jako, e wczeniej
158
zostay ju zainstalowane wszystkie moliwe komponenty ten krok mona pomin.

Jeeli jednak zaczyna si od pocztku naley zaznaczy Serwer Sieci Web i klikn
Dalej (Next).
Na kolejnych kartach naley zaznaczy opcj CGI. FastCGI nie jest osobnym
elementem, lecz moduem zawartym w najnowszej wersji CGI.
Naley take pobra PHP ze strony PHP.net, poleci mona wersj non-thread-safe,
poniewa jest lepiej zoptymalizowana pod ktem wielowtkowoci.
Naley rozpakowa zawarto archiwum ZIP do katalogu PHP umieszczonego na

dysku C.
159
Naley zmieni rozszerzenie pliku ze zdjcia na *.ini
W Menaderze IIS naley wybra Mapowania Obsugi (Handler Mappings), przy

zaznaczonym serwerze w menu po lewej stronie.
160
Nastpnie naley klikn w menu po prawej stronie na Dodaj Mapowanie Moduu

(Add Module Mapping).
Plansz, ktra si pojawi naley wypeni tak, jak na poniszym zrzucie z ekranu:
161
Naley klikn OK, a komunikat, ktry si pojawi naley potwierdzi przyciskiem

Tak (Yes).
W menu po prawej stronie naley klikn Dodaj (Add).
Aby strony napisane jzyku PHP prawidowo si wczytyway naley take doda
domylny dokument o nazwie index.php
Gdy dokument zostanie ju dopisany do listy, aby strona w jzyku PHP bya
wczytywana jako pierwsza powinno si ustawi jej priorytet na najwyszy
ustawiajc j na szczycie listy domylnych dokumentw.
162
Nastpnie naley otworzy notatnik i stworzy bardzo prost stron www, a take
zapisa j w katalogu C:\inetpub\wwwroot\ jako index.php
Nastpnie trzeba zresetowa serwer, a po jego ponownym rozruchu sprawdzi czy

strona dziaa.
163
7. Network Access Protection

Jedn z nowoci wprowadzonych do Windows Server 2008 by Network Access
Protection (NAP), sucy do zwikszenia bezpieczestwa sieci. Pozwala on
przeskanowa zdalnie komputery i tym, ktre nie speniaj norm bezpieczestwa
zabroni poczenia si z sieci. Schemat dziaania tego systemu przedstawia
diagram poniej. Ta sama funkcjonalno znajduje si take w Windows Server
2012.
7.1.
Network Policy and Access Services
Zewntrzny okrg przedstawia niezabezpieczon sie firmow. Wewntrzny okrg

natomiast pokazuje fragment sieci, w ktrej dziaaj tylko i wycznie komputery
speniajce normy bezpieczestwa. Maszyna spoza sieci, ktra prbuje uzyska
dostp do zasobw kontaktuje si z serwerem w sieci zabezpieczonej. Jeeli spenia
ona warunki, czyli np. ma zainstalowany aktualny program antywirusowy oraz
najnowsze aktualizacje bezpieczestwa, nie bdzie stanowio problemu przyczenie
komputera do sieci. W przeciwnym wypadku maszyna zostanie przedelegowana do
komputerw w sektorze niezabezpieczonym, gdzie bdzie moga uzyska dostp do
witryny WWW z pomoc, czy te niezbdnych aktualizacji lub programw.
164
Naley skonfigurowa tak polis dla kadego rodzaju poczenia. W ramach tej
publikacji posuono si przykadem konfiguracji dla klientw DHCP. Uruchomiono
take routing, aby komputery z sieci lokalnej miay dostp do Internetu, jak rwnie
zapewniono zdalny dostp do komputerw firmowych spoza siedziby za
porednictwem bezpiecznego poczenia VPN.
Nastpnie naley zainstalowa rol Usugi Zasad i Dostpu Sieciowego (Network

Policy and Access Services) i wybr zatwierdzi klikajc przycisk Dalej (Next).
Na kolejnej planszy naley klikn Dalej (Next).
165
W ramach roli mona zainstalowa wszystkie usugi, poniewa prdzej czy pniej
oka si one przydatne. Trzeba klikn Dalej (Next).
Jeeli na komputerze nie ma jeszcze urzdu certyfikacji, teraz jest dobry moment by
go zainstalowa. Jeeli urzd ju jest naley wybra go z listy. Mona wybra take
opcj ze zrzutu ekranu, czyli skorzystanie z lokalnego CA.
166
Dla wikszego bezpieczestwa powinno si wymaga, aby Uytkownicy

uwierzytelniali si jako czonkowie domeny (Yes, require requestors to be
authenticated as members of a domain).
Na karcie podsumowujcej naley klikn Zainstaluj (Install).
167
7.2.
Zarzdzanie Network Policy Server
W Menaderze Serwera (Server Manager) znajduje si serwer zasad sieciowych

NAP. Naley wybra opcj Serwer Zasad Sieciowych (Network Policy Server)
znajdujc si pod prawym przyciskiem myszy.
Po jego uruchomieniu mona skorzysta z kreatora klikajc napis Konfiguruj

Ochron Dostpu do Sieci (Configure NAP).
168
Na pierwszej karcie kreatora naley wybra metod poczenia sieciowego, w tym

przypadku bdzie to DHCP (Dynamic Host Configuration Protocol), a take
okreli nazw dla polisy (Policy name) i klikn przycisk Dalej (Next).
Jeli w sieci nie istnieje Serwer Radius, naley w kreatorze przej do nastpnego
kroku klikajc przycisk Dalej (Next).
169
Pragnc uruchomi oson tylko dla wybranego zakresu (karty sieciowej itp.) naley
klikn przycisk Dodaj (Add), za chcc uruchomi j dla wszystkich zakresw
trzeba pozostawi kart pust i klikn Dalej (Next).
Na nastpnej karcie mona wybra konkretne grupy komputerw lub pozostawi

pole puste.
170
Konkretnych zmian mona dokona na kolejnej karcie. Mona tutaj skonfigurowa

serwery, do ktrych uytkownik zostanie oddelegowany, jeeli nie speni wszystkich
norm bezpieczestwa. W tym celu naley klikn Nowa Grupa (New Group).
W kolejnym oknie trzeba wprowadzi nazw grupy oraz komputery, ktre znajduj
si w sieci niezabezpieczonej i udostpniaj niezbdne oprogramowanie i
aktualizacje.
171
Mona take wprowadzi adres strony internetowej, na ktrej zostanie umieszczona

np. instrukcja dla uytkownikw.
Kolejn kart naley skonfigurowa wedug schematu przedstawionego na zdjciu w

celu odcicia komputerw nie speniajcych norm bezpieczestwa od sieci. Suy ku
temu opcja Odmw penego dostpu do sieci NAP niekwalifikowalnym
komputerom klienckim (Deny full network access to NAP ineligible client
computers). Pragnc jedynie monitorowa komputery nie speniajce norm
bezpieczestwa naley wybra opcj Pozwl na peen dostp do sieci NAP
niekwalifikowalnym komputerom klienckim (Allow full network access to NAP
172
ineligible client computers).
Po przeczytaniu podsumowania trzeba klikn Zakocz (Finish).
173
W sekcji Zasady (Policies)/Zasady da pocze (Connection request Policies)

pojawia si wczeniej ustawiona zasada, klikajc na niej prawym guzikiem naley
wej w jej Waciwoci (Properties).
Mona w nich konfigurowa rne opcje zwizane z poczeniem czy dostpem.
174
W ustawieniach Moduu Sprawdzania Kondycji (Windows Security Health)

znajduje si konfiguracja domylna, naley wybra jej Waciwoci (Properties).
W oknie, ktre si pojawi mona ustali jakie aspekty komputerw klienckich s

sprawdzane. Do wyboru jest Firewall, AV, Antispyware (Windows Defernder), a
take Update.
Skoro NAP jest ju skonfigurowany naley zmusi serwer DHCP do jego uywania.
175
W tym celu koniecznym jest wejcie we waciwoci zakresu, do zakadki Ochrona

Dostpu Do Sieci (Network Access Protection) oraz wybranie opcji Wcz ochron
dla tego zakresu (Enable for this scope), a nastpnie Uyj domylnego profilu
ochrony dostpu do sieci (Use Default Network Access Protection Profile).
176
8. VPN, Direct Access i NAT

Funkcje VPN i Direct Access zapewniaj uytkownikowi spoza domeny swobodn
prac z wykorzystaniem zasobw wewntrz firmy. Z kolei NAT uruchamia
translacj adresw sieciowych, czyli w przypadku, gdy bramk sieciow jest
Windows Server, NAT pozwala na poczenie komputerw wewntrz sieci z sieci
zewntrzn.
8.1.
Instalacja roli Remote Access
Zostanie teraz skonfigurowane poczenie VPN typu SSTP, czyli szyfrowane z

certyfikatem,
ktre
jest
znacznie
bezpieczniejsze
od
PPTP.
Pierwszym
najwaniejszym krokiem bdzie wic zainstalowanie certyfikatu. Bardzo wanym

jest, aby zrobi to przed instalacj Routingu. W przeciwnym wypadku nie osignie
si celu. Wymagana bdzie instalacja wczeniej roli IIS. Aby tego dokona naley
wej do Menadera IIS i klikn dwukrotnie w Certyfikaty Serwera (Server
Certificates).
Nastpnie naley wybra opcj Utwrz Certyfikat Domeny. Pojawi si kreator, w

ktrym pierwsz plansz trzeba wypeni wedle uznania, gdy s to tylko
nieznaczce informacje i wcisn przycisk Dalej (Next).
177
Na kolejnej planszy naley klikn przycisk Wybierz (Choose) i z listy wybra

serwer, na ktrym zainstalowany jest gwny urzd certyfikacji.
Naley nazwa wprowadzony certyfikat, dlatego powinno si wypeni pole

dotyczce jego Przyjaznej nazwy (Friendly name), a nastpnie klikn w przycisk
Zakocz (Finish).
Certyfikat pojawi si na licie. Mona teraz przystpi do instalacji. W Menaderze

Serwera (Server Manager) naley doda rol Zdalny Dostp (Remote Access).
178
Naley pamita o tym, i w przypadku Windows Server, VPN jest nierozerwalny z

Routingiem (RRAS). W Windows Server 2008 usugi, ktre s omawiane byy
wczone do roli NAP, w Windows Server 2012 zostay rozdzielone. W czasie
instalacji konieczne jest kliknicie przycisku Dalej (Next) na karcie powitalnej.
179
W kolejnym oknie mona zainstalowa DirectAcces i VPN, ktre s ze sob

poczone, jak rwnie Routing, dziki ktremu bdzie moliwe udostpnienie
Internetu stacjom klienckim poprzez protok IPv4.
Warto wic wybra wszystkie opcje. Wymagane bd take pojedyncze
komponenty serwera IIS, ktre take naley zainstalowa, jeeli to wczeniej nie
zostao wykonane. Jeeli natomiast jest ju zainstalowany IIS to mona przej od
razu do podsumowania i klikn Zainstaluj (Install).
180
8.2.
Konfiguracja VPN i NAT
Po zakoczeniu instalacji, z poziomu Centrum Akcji (Action Center) naley

uruchomi konfiguracj zainstalowanej roli.
Do wyboru s trzy opcje. Konfiguracja serwera VPN i Direct Access jednoczenie,

bd jedynie wybranego z nich. W przykadzie zostanie skonfigurowany na razie
tylko VPN, poniewa jest to proces analogiczny wzgldem wczeniejszych wersji
sytemu Windows Server.
Po klikniciu trzeciej opcji pojawi si znana administratorom z Windows Server
181
2003 i 2008 konsola Routing i Dostp Zdalny (Routing and Remote Access).
Naley klikn prawym guzikiem myszy na nazwie komputera i wybra opcj
Konfiguruj i Wcz Routing i Dostp Zdalny (Configure and Enable Routing and
Remote Access).
Nastpnie naley klikn Dostp prywatnej sieci wirtualnej i translator adresw

sieciowych (Virtual private network (VPN) access and NAT), a potem przycisk
Dalej (Next).
Naley wybra interfejs sieciowy, ktry bdzie czy z Internetem.
182
Przypisywanie adresw mona wybra Automatyczne (Automatically), poniewa w

sieci jest ju skonfigurowany serwer DHCP, wic nie ma koniecznoci uywania
serwera DHCP wbudowanego w RRAS.
W sieci testowej nie ma serwera Radius, dlatego te naley wybra opcj pierwsz.
Na karcie z podsumowaniem naley wybra Zakocz (Finish).
183
Pojawi si dwa komunikaty. Oba naley zatwierdzi przyciskiem OK.
Po chwili oczekiwania, jeeli wszystko si powiedzie, w sekcji Porty (Ports) zostan

utworzone mini porty SSTP.
184
Konieczne jest jeszcze odblokowanie w zaporze systemowej (Firewallu) portu 80,

aby klienci mogli odbiera certyfikat. Na poczeniu WAN naley wic klikn
prawym klawiszem myszy i wybra Waciwoci (Properties).
Nastpnie naley wej w zakadk Usugi i Porty (Services and Ports) i zaznaczy
Serwer WWW (Web Server), a jako adres prywatny poda Localhost i klikn OK.
185
Nowoci wzgldem starszych wersji systemu Windows Serwer jest przycisk

umoliwiajcy uruchomienie Zdalnego Dostpu (Direct Access) z poziomu menu
kontekstowego serwera RRAS.
Warto teraz zajrze do Menadera Serwera (Server Manager), gdzie rwnie

pojawi si Zdalny Dostp (Remote Access). Po wybraniu serwera istnieje
moliwo uruchomienia konsoli Menader Zdalnego Dostpu (Remote Access
Management).
186
W sekcji Konfiguracja (Configuration) znajduje si schemat przedstawiajcy

dziaanie roli. Za pomoc przycisku Konfiguruj (Configure) mona w kadej chwili
przej do konfiguracji danego elementu. W menu po prawej stronie okna znajduje
si take przycisk Uruchom DirectAccess (Enable DirectAccess).
W sekcji Dashboard znajduje si podgld na dziaanie serwera RRAS. W menu po

prawej stronie znajduj si cztery opcje: Odwie (Refresh), suca do odwieania
187
widoku, Konfiguruj harmonogram odwieania (Configure Refresh Interval),

ktra tworzy harmonogram odwieania, Wcz ledzenie (Start Tracing), ktra
wcza zaawansowane ledzenie oraz Generuj raport uycia (Generate Usage
Report), ktra generuje raport z dziaania uytkownikw zdalnych.
Na poziomie Stan klientw zdalnych (Remote Clients Status) istnieje moliwo

wgldu do obecnej aktywnoci uytkownikw zdalnych oraz moliwo rozczenia
danego klienta opcj Odcz klienta VPN (Disconnect VPN Client).
Pod Raportowanie (Reporting) kryj si opcje dotyczce raportowania, ktre

domylnie nie s skonfigurowane. W celu wiczeniowym, aby skonfigurowa
raportowanie naley klikn odnonik Konfiguruj Raportowanie (Configure
Accounting).
188
Po wybraniu dogodnych opcji naley klikn Zastosuj (Apply).
189
8.3.
Konfiguracja DirectAccess
Naley pamita, e DirectAccess wymaga IPv6 wprowadzonego i dziaajcego

globalnie, a wic jest to funkcja raczej przyszociowa. Dziki tej technologii
uytkownicy zdalni bd zawsze mieli dostp do wewntrznej sieci firmowej bez
potrzeby nawizywania poczenia VPN. Co wicej taki zdalny uytkownik jest cay
czas podczony do sieci firmowej nawet przed zalogowaniem si na wasne konto
uytkownika, jedyny wymg to poczenie z Internetem. Z kolei administrator sieci
moe takim komputerem zarzdza na odlego tak samo jakby by on wpity do
sieci. Caa komunikacja odbywa si w sposb bezpieczny po IPSec. W celu
wiczeniowym prosz wic wcisn przycisk Wcz Zdalny Dostp (Enable
DirectAccess), aby zobaczy ekran powitalny, ktry midzy innymi informuje o
tym, e DirectAccess moe spokojnie dziaa obok VPN.
Po klikniciu przycisku Dalej (Next) kreator sprawdzi czy komputer spenia

wszelkie wymagania, jeeli tak to przejdzie do karty, na ktrej trzeba okreli, ktre
grupy komputerw z usugi katalogowej maj mie dostp przez DirectAccess.
Ponadto mona tu przefiltrowa wybrane grupy tak, aby tylko maszyny mobilne
190
miay dostp przez DA, a take wymusi tunelowanie poczenia.
Kolejnym krokiem jest okrelenie topologii sieci serwera. Edge to topologia, gdzie
serwer dostpu zdalnego stoi na pograniczu sieci zewntrznej i sieci wewntrznej,
na og posiada dwa lub wicej adapterw sieciowych, gdzie jeden czy z
Internetem, a drugi z sieci firmow. Drugi rodzaj Behind an Edge device wystpuje
w wersji posiadajcej jedn lub dwie karty sieciowe. Scenariusz z dwiema kartami
sieciowymi zakada, e klientw spoza sieci i serwer dzieli jeszcze jakie inne
urzdzenie jak na przykad firewall, do ktrego wpity jest serwer, podczas, gdy
druga karta komunikuje si z sieci wewntrzn. Ostatni scenariusz z jedn kart
sieciow zakada, e serwer nie peni roli bramki, tylko jest po prostu wpity
bezporednio do sieci firmowej.
191
W kolejnym oknie naley zdefiniowa list serwerw DNS, z ktrych maj

korzysta maszyny klienckie. Gdy jedna maszyna nie umie rozwiza zapytania,
bdzie ono kierowane do kolejnego na licie. Serwery firmowe powinny zajmowa
czoowe miejsce.
Kolejne okno informuje o zmianach w polisach bezpieczestwa, ktre musz by
192
wprowadzone, aby komputery klienckie prawidowo funkcjonoway.
Nastpna karta jest kart podsumowujc, na ktrej naley klikn Zakocz

(Finish).
Naley take pamita, e aby uytkownik mg si zdalnie poczy, na jego karcie

w zakadce Telefonowanie (Dial-in) trzeba zezwoli na dostp bd skonfigurowa
dostp zarzdzany przez NPS.
193
194
9. Polisy (Zarzdzanie Zasadami Grupy)

Polisy pozwalaj na scentralizowane zarzdzanie i konfigurowanie praktycznie
caego systemu. Innymi sowy pozwalaj na kontrolowanie tego, co uytkownicy
mog robi, a czego nie. Administrator moe swobodnie kontrolowa funkcje
dostpne uytkownikom, nawet zabroni im takich drobnostek jak zmiana tapety.
Aby wej do konsoli Zarzdzania Zasadami Grupy (Group Policy Management)
naley klikn z poziomu Menadera Serwera (Server Manager) guzik Narzdzia
(Tools), a nastpnie wybra Zarzdzanie Zasadami Grupy (Group Policy
Managament).
Po rozwiniciu drzewa z lewej strony mona dostrzec tam domen, a take

utworzone wczeniej jednostki organizacyjne. Jest te Domylna Polisa Domeny
(Default Domain Policy), co tak jak nazwa wskazuje, jest domyln polis dla
domeny. Wszystko, co znajduje si w drzewie pod ni dziedziczy po niej, czyli
195
mwic krtko korzysta z niej. Poniewa we wczeniejszych rozdziaach by

konfigurowany DirectAccess rwnie i dla tej roli pojawiy si dwie polisy. Gdyby
nie by zainstalowany DirectAccess, nie byoby ich tu (DirectAccess Client Settings
oraz DirectAccess Server Settings).
Jeeli zajdzie taka potrzeba, dziedziczenie mona zawsze wyczy poprzez

kliknicie prawym przyciskiem na odpowiedniej jednostce organizacyjnej i
wybraniu opcji Zablokuj Dziedziczenie (Block Inheritence).
W tym przypadku jednak nie ma takiej potrzeby. W celach wiczeniowych zostanie

stworzona nowa polisa dla Ksigowoci. W tym celu naley klikn ponownie
prawym przyciskiem i wybra opcj Utwrz obiekt zasad grupy w tej domenie i
umie tu cze (Create a GPO in this domain, and Link it here). Warto te
196
zwrci uwag, e jeeli ju wczeniej zostaa stworzona polisa, ktra speniaa by

odpowiednie wymagania, mona j podczy wybierajc Pocz z istniejcym
obiektem zasad grupy (Link an Existing GPO).
Pojawi si ekran, w ktrym naley poda nazw dla nowej polisy. Dobrze, aby bya
ona intuicyjna np. Ograniczenia dla Ksigowoci i zatwierdzi wybr przyciskiem
OK.
Po wybraniu kontenera Ksigowo pojawi si ona na licie po prawej stronie

okienka jak i w drzewie pod kontenerem. Jeeli ma by ona zawsze wymuszona
naley klikn na niej prawym przyciskiem myszy i zaznaczy opcj Wymuszone
(Enforced), a nastpnie zatwierdzi wybr klikajc OK. Dziki temu pomimo, e
wybrana polisa jest niej w hierarchii bdzie ona waniejsza.
197
Teraz nadszed czas na podjcie decyzji, co ta polisa ma robi. Po raz kolejny naley
klikn na niej prawym przyciskiem myszy, wybierajc opcj Edytuj (Edit).
Otworzy si Edytor Zarzdzania Zasadami Grupy (Group Policy management

Console). W ksice zostanie jednak pominita informacja do czego suy jaka
zasada i gdzie si ona znajduje. Jest to narzdzie na tyle intuicyjne, e wystarczy
przeczyta opisy pojedynczych opcji, aby zorientowa si bez problemu co dana
zasada robi. Nie mniej jednak przy odrobinie cierpliwoci uda si odnale
odpowiednie elementy i skutecznie ograniczy uytkownikw.
W celach wiczeniowych mona troch odchudzi za pomoc polis menu Start. Aby
tego dokona naley rozwin
list w nastpujcy sposb Konfiguracja
uytkownika > Zasady > Szablony administracyjne >Menu Start i pasek zada
(Computer Configuration > Policies > Administrative Templates > Start Menu
and Taskbar).
198
Nastpnie naley dwukrotnie klikn na Usu menu Pomoc z Menu Start (Remove
Search link from Start Menu). W oknie, ktre si pokae naley zaznaczy opcj
Wczone (Enabled), a potem Zastosuj (Apply) i potwierdzi wybr przyciskiem
OK. Tak samo mona zrobi dla opcji Usu menu Uruchom z menu start (Remove
Run menu from Start Menu). Mona
jeszcze dla przykadu wyczy opcj
Wyloguj z menu start (Remove Logoff on the Start Menu).
199
W sekcji Pulpit (Desktop) mona uruchomi opcj Usu ikon Kosz z pulpitu
(Remove Recycle Bin icon from desktop).
Dziki takim poczynaniom uytkownik straci dostp do pomocy, nie bdzie mg

korzysta z opcji uruchom, a take ju nigdy nie zostawi wczonego komputera
w pracy, bo aby si wylogowa bdzie musia wyczy komputer. Kiedy
dokonywanie zmian zostanie ukoczone naley klikn Plik (File) i wybra opcj
Zakocz
(Finish).
Zostanie
ona
zastosowana
do
wszystkich
maszyn
uytkownikw znajdujcych si we wntrzu kontenera Ksigowo.

Warto zauway, e stworzona chwil temu polisa zostaa dodana tu obok napisu
Ksigowo w GPO. Po klikniciu na ni, a nastpnie po wybraniu Ustawie
(Settings) z zakadek po prawej stronie, pojawi si do intuicyjny wgld do zmian,
jakie dana polisa wprowadza.
200
Aby sprawdzi czy powysze zabiegi odniosy jakikolwiek skutek naley zalogowa
si na komputerze klienta, w tym przypadku mona zalogowa si np. jako Kasjer.
W nastpnej kolejnoci naley uruchomi konsol CMD lub PowerShell, a w niej
wpisa polecenie gpupdate /force, ktre to spowoduje pobranie z kontrolera
domeny najnowszych polis bezpieczestwa i ich zastosowanie. Mona to samo
osign po prostu uruchamiajc komputer ponownie. Co wicej odwieenie polis
przez automat nie zawsze poskutkuje od razu, dlatego warto je wymusi.
Odwieanie zasad bezpieczestwa chwilk potrwa, jeeli wszystko zostao
prawidowo skonfigurowane zakoczy si sukcesem.
Podsumowujc polisy stanowi bardzo potne narzdzie w rkach administratora.

Uywa si ich nie tylko do dostosowywania takich banaw jak te przedstawione w
201
przykadzie, ale przede wszystkim do zabezpieczania komputera. Na przykad

mona blokowa rne kombinacje klawiszy, strony internetowe, docza lokacje
sieciowe, mona zablokowa moliwo instalowania rnych aplikacji, korzystania
z gier itp. Bez problemu take mona wymusi, aby na pulpicie pojawiy si skrty
do niezbdnych firmowych aplikacji, a ca reszt funkcjonalnoci systemu
Windows wcznie z uywaniem niepotrzebnych przyciskw po prostu zablokowa.
Podobnie ma si sprawa aspektw sprztowych jak blokowanie napdu optycznego,
nonikw USB itp. To tak jakby administrator sam budowa swj wasny system
operacyjny, idealnie spersonalizowany do potrzeb i upodoba uytkownikw. Co
najwaniejsze mona tego dokona w sposb atwy i przyjemny. Take istotne jest
to, e
polisy mona wdroy na potrzeby pojedynczego komputera bez
koniecznoci korzystania z domeny. Na przykad wbudowane w system konto

gocia pozostawia uytkownikom zbyt due pole do manewru, a na komputerze
domowym jest zbyt wielu goci - wystarczy wic w odpowiedni sposb zaj si
polisami lokalnymi.
9.1.
Wybrane nowoci w GPO
Warto omwi nowoci, jakie zostay wprowadzone Windows Server 2012.

Wikszo elementw nie ulega zmianie, jednak jest kilka rnic. Jedn z nich jest
Name Resolution Policy, gdzie pojawiy si dwie dodatkowe zakadki Generic DNS
Server oraz Encoding, ktre s zwizane z DNS SEC oraz rol DirectAccess.
202
Pojawia si take zasada zwizana z autoryzacj metod Claim dla systemw

starszych ni Windows Server 2012 o nazwie Microsoft network server: Attempt
S4USelf to obtain claim information.
W gazi Public Key Policies pojawiy si dwa nowe kontenery. Jednym z nich jest
BitLocker Drive Enryption Network Unlock Certificate, gdzie znajduj si
ustawienia zwizane z napdami szyfrowanymi BitLockerem. Drugim jest
Protection, ktry przechowuje ustawienia agenta odzyskiwania Data Protection
Recovery Agent.
203
W funkcji AppLocker pojawia si take pewna nowo. Jest ni Packaged app

Rules, ktry odpowiada za blokowanie aplikacji napisanych dla interfejsu Metro,
ktre Midzy innymi mona naby za porednictwem Microsoft AppStore.
Bardzo due zmiany zaszy w Administrative Templates, co ma zwizek z nowym

interfejsem i moliwociami systemu Windows Server 2012.
204
10.
Uprawnienia Sieciowe i na systemie plikw
Jedn z najwikszych zalet systemu plikw NTFS jest moliwo szczegowego

zarzdzania dostpem do zasobw. Dziki grupom wczeniej utworzonym w
usudze Active Directory mona swobodnie zarzdza tym, ktra z nich, jakie
bdzie miaa uprawnienia. Nie mwic tu tylko o ustawieniach dostpu do plikw,
ale take do urzdze np. drukarek. Mona tylko okrelonym osobom pozwoli z
niej korzysta, a nawet ustawi priorytety wydruku. Na przykad, jeli kierownik
bdzie mia wyszy priorytet, to drukowanie wywoane przez pracownikw zostanie
wstrzymane po to, aby dokumenty kierownika mogy zosta wczeniej
wydrukowane. Kiedy to si stanie, wznowione zostan wydruki o niszym
priorytecie. W tym dziale przedstawione take zostanie nadawanie uprawnie dla
zasobw sieciowych. Na koniec udostpniony zasb zostanie zamapowany jako
dysk twardy na komputerze klienta oraz narzucona zostanie quota na zasobie, czyli
ograniczenie iloci danych, jakie bdzie mona w nim przechowywa.
10.1. Uprawnienia sieciowe

Aby przewiczy nadawanie uprawnie sieciowych warto stworzy na dysku C
katalogi UPLOAD i DOWNLOAD, ktre w miar prosty sposb uda si
skonfigurowa.
Wewntrz obu katalogw zostan stworzone foldery o nazwach:
Administratorzy
205
Uytkownicy
Naley klikn prawym przyciskiem myszy na folderze DOWNLOAD, wybra jego

Waciwoci (Properties) i przej do zakadki Udostpnianie (Sharing). Nastpnie
naley klikn w Udostpnianie Zaawansowane (Advanced Sharing).
Aby folder udostpni konieczne jest zaznaczenie opcji Udostpnij ten folder
(Share this folder). W polu Nazwa udziau (Share name) naley wpisa nazw, pod
jak bdzie on widoczny w sieci np. DOWNLOAD. Gdyby jego nazwa zostaa
zapisana nastpujco DOWNLOAD$, czyli na kocu nazwy dopisany by zosta
symbol dolara, folder ten byby udostpniony jako ukryty. Mona by byo si do
niego dosta np. poleceniem \\serwer\DOWNLOAD$, natomiast nie byby on
206
widoczny z poziomu Otoczenia sieciowego.
Klikajc przycisk Uprawnienia (Permissions) mona nadawa uprawnienia

sieciowego dostpu. Jest to Odczyt (Read) i Zmiana (Change) lub Pena Kontrola
(Full Controll). Uprawnienia te
mona
nadawa
zarwno pojedynczym
uytkownikom jak i grupom uytkownikw. Dodaje si ich przyciskiem Dodaj

(Add).
207
Warto zauway, e nadajc uprawnienia administrator ma dwie opcje Zezwl

(Allow) oraz Odmw (Deny). Ta druga opcja jest silniejsza i suy ona do tworzenia
wyklucze. Dla przykadu grupie Wszyscy (Everyone) dano moliwo Odczytu i
Zmiany, a pojedynczy uytkownik np. kasjer_01 ma nie mie dostpu. W tym celu
kasjerowi_01 zamiast w sekcji Allow nada odpowiednie uprawnienia, zabiera si je
w sekcji Deny. Pomimo, e naley on do grupy Wszyscy i tak nie bdzie mia
dostpu do zasobw. Podobnie sprawa wyglda w przypadku nadawania innych
uprawnie w systemie Windows Server 2012.
10.1.1.
Dodatkowe ustawienia udostpnianych plikw
Po powrocie do okna udostpniania zasobw warto klikn Buforowanie

(Casching). Uruchomienie tej opcji i zoptymalizowanie jej dla wydajnoci
spowoduje, e uytkownik bdzie mia dostp do swoich plikw nawet, gdy nie
bdzie podczony przez sie do serwera. Natomiast w momencie podpicia dane
zostan zsynchronizowane.
208
10.2. Uprawnienia NTFS

Uprawnienia na systemie plikw NTFS s znacznie bezpieczniejsze jak i bardziej
zaawansowane. W celu ich edycji, we waciwociach pliku bd folderu naley
klikn zakadk Zabezpieczenia (Security).
209
Aby mona byo swobodnie edytowa uprawnienia NTFS naley wyczy

dziedziczenie z katalogu nadrzdnego. Domylnie w systemie Windows nowo
utworzony folder przejmuje uprawnienia z folderu nadrzdnego, w przypadku
ksikowym bezporednio z Dysku C. Naley wej we waciwoci folderu
Administratorzy, a nastpnie w zakadk Zabezpieczenia (Security) i klikn
przycisk Zaawansowane (Advanced), a tam wybra opcj Wycz dziedziczenie
(Disable inheritance) po to, aby mc swobodnie edytowa uprawnienia.
W komunikacie, ktry si pojawi naley klikn Przekszta odziedziczone

uprawnienia do jawnych uprawnie do tego obiektu (Convert inherited
permissions into explicit permissions on this object). Spowoduje to przekopiowanie
uprawnie tak, aby te ju istniejce zostay zachowane.
210
Teraz po powrocie do zakadki Zabezpieczenia (Security) i przyciniciu guzika

Edytuj (Edit) istnieje moliwo edycji uprawnie NTFS. Jest ich wicej, s to
Zapis (Write), Odczyt (Read), Listowanie zawartoci folderu (List folder contents),
Odczyt i Wykonanie (Read & Execute), Modyfikacja (Modify) oraz Pena kontrola
(Full Control), ktra midzy innymi pozwala na edycj uprawnie.
Warto zwrci uwag, e w razie potrzeby nie ma potrzeby ograniczania si do

grup, gdy uprawnienia mona take spersonalizowa dla pojedynczego
uytkownika. Czasami np. dla kierownika dziau jest to podane. Czsto zdarzaj
211
si sytuacje, gdy pliki czy foldery tylko jedna osoba ma mie moliwo ich edycji,
a jej wsppracownicy jedynie mog ten plik odczytywa. W taki sposb mona,
wic atwo nada uprawnienia pojedynczemu uytkownikowi do edytowania.
Twrca-waciciel ma nadane specjalne uprawnienia, ktrych te lepiej nie
edytowa bez dowiadczenia w tej kwestii. Naley te pamita, e wczeniej
modyfikowane byy uprawnienia dostpu przez sie, a teraz modyfikowany jest
dostp do plikw na dysku, a nie zasobw udostpnionych. Trzeba take uwaa i
wiedzie, co si robi. Dla przykadu Uytkownikom odmwiona zostanie moliwo
odczytu, a Administratorowi bdzie to pozwolone. Pojawia si pytanie, czy
Administrator bdzie mg odczyta zasoby, bo przecie on te jest Uytkownikiem.
W ramach ksiki zostan zmodyfikowani Uytkownicy tak, aby nie mieli adnych
uprawnie do zasobw. Reszt mona zostawi bez zmian.
W przypadku katalogu Download w celach testowych zwykli uytkownicy nie
dostan adnych praw.
W przypadku katalogu Upload uytkownicy dostan jedynie moliwo Zapisu i
wykonania. Modyfikowa nic nie musz, a Pena Kontrola by im pozwolia
zmienia uprawnienia folderw i plikw. Nie tylko byoby to niebezpieczne ze
wzgldu na brak umiejtnoci z ich strony, ale Administrator powinien by jedyn
osob z takimi moliwociami. Na stronach technet mona znale dokadny opis
tego, za co dane uprawnienie odpowiada. Warto si temu zagadnieniu przyjrze,
gdy pozwala to na wygodne zarzdzanie dostpem do plikw dowoln drog. Nie
wane czy przez sie lokaln, FTP czy stron www, te ustawienia zawsze s brane
pod uwag.
UWAGA!!!
Gdy folder kopiowany jest do innej lokalizacji naoone na niego uprawienia s
tracone i dziedziczy on nowe uprawnienia z folderu nadrzdnego. W przypadku, gdy
212
folder jest przenoszony uprawnienia s zachowywane.

Aby wczy limit na dysku naley klikn prawym przyciskiem myszy na dysku
wybranej literze dysku i wybra Waciwoci (Properties).
Nastpnie naley wybra Przydzia (Quota). Zostanie uruchomione zarzdzanie

przydziaami i skonfigurowane tak, jak na ilustracji poniej. Spowoduje to, e
uytkownik nie bdzie mg na dysku C serwera przechowywa wicej ni 5000MB
danych, a gdy przekroczone zostanie 4500MB pojawi si komunikat z ostrzeeniem.
Co wicej nie wane, gdzie dany uytkownik ma umieszczone swoje pliki, wana
jest suma ich rozmiarw. System je odnajdzie po waciwoci zasobu mwicej o
jego wacicielu. Naley klikn Zastosuj (Apply) i OK.
213
Warto wykona kilka testw czy naoone wczeniej uprawnienia i Quota dziaaj,
przechodzc do komputera klienckiego i logujc si na nim jako Kasjer. Konieczne
jest wejcie w Mj Komputer (My Computer) i w panelu z lewej strony okna
wybranie z menu Sie (Network) nazwy komputera, do ktrego zasobw mona si
dosta. Pojawi si lista udostpnionych zasobw. Przykadowo mona wic wybra
Download. Niestety zwyky uytkownik nie ma praw dostpu do tego katalogu, co
jest prawidowe we wczeniejszej konfiguracji.
Teraz pora zapewni atwy dostp do tych katalogw. Najlepiej bdzie je
zamapowa jako dyski sieciowe. W przypadku ksikowym najprociej jest to
zrobi klikajc na danym folderze prawym guzikiem i wybierajc opcj Mapuj Dysk
Sieciowy (Map Network Drive).
214
Mona wybra liter dysku i ewentualnie wprowadzi powiadczenia innego

uytkownika, aby to z jego uprawnieniami zmapowany by dysk. Na koniec naley
klikn Zamknij (Finish).
10.3. Autoryzacja Metod CLAIM

W tym rozdziale omwiony zostanie mechanizm autoryzacji metod Claim. Sam w
sobie nie jest on nowoci. Wczeniej by on z powodzeniem uywany w Active
Directory Federation Services w Windows Server 2008 R2. To, co si zmienio to
to, i teraz moe on by uywany w obrbie lasu czy te domeny. Nowy mechanizm
rzuca cakowicie nowe wiato na metody autoryzacji. Moe on by uywany np.
podczas autoryzacji dostpu do danych udostpnianych przez serwer plikw przy
uyciu tzw. Uzgodnie (Claim) zapisanych w atrybutach konkretnego obiektu, ktre
mog by zdefiniowane na poziomie Active Directory.
215
10.3.1.
Nakadanie uprawnie Claim
Do tej pory uprawnienia byy nadawane za pomoc tzw. List Kontroli Dostpu
(Access Control List). Okrelane byo jacy uytkownicy, grupy czy komputery maj
mie dostp do zasobw i z jakimi uprawnieniami (Allow/Deny). Nastpnie te dane
byy przekazywane jako token w protokole Kerberos. To w systemie Windows
Server 2012 si nie zmienio.
Okno
zaawansowanego
udostpnienia
pozornie
kosmetycznym. Lecz to nie do koca prawda.
216
ulego
jedynie
zmianom
Zostanie wyczone dziedziczenie. Warto zauway, e po podwjnym klikniciu w

uytkownika czy te grup lub przy dodawaniu nowej pozycji do listy DALC
pojawiaj si nowe opcje zwizane z autoryzacj metod CLAIM.
217
Na powyszym zrzucie ekranu wida nowe okno nadawania uprawnie do obiektu.

W pierwszej kolejnoci naley wybra podmiot, ktrym moe by dowolny
uytkownik lub dowolna grupa uytkownikw. Po wybraniu podmiotu naley
zdefiniowa czy regua bdzie pozwalaa wykonywa jak czynno czy te nie
(Allow/Deny), a take zdefiniowa jaki jest zasig reguy.
218
Moe si ona tyczy kolejno:
Tylko tego folderu
Tego folderu, pod folderw oraz plikw
Tego folderu i podfolderw
Tego folderu i Plikw.
Tylko podfolderw i plikw
Tylko podfolderw
Tylko plikw
Nastpnie w sekcji Uprawnienia (Permissions) naley zdefiniowa odpowiednie

uprawnienia. Do wyboru jest Pena Kontrola (Full Control), ktra midzy innymi
pozwala zarzdza uprawnieniami, moliwo Modyfikowania (Modify) zawartoci
folderu, Odczytu i Wykonania (Read & Execute), Przegldania zawartoci folderu
(List folderdcontents), Odczytu (Read), a take Zapisu (Write).
219
Jeeli s nie wystarczajce mona take skorzysta z uprawnie zaawansowanych

(Show advanced permissions). S ona duo bardziej precyzyjne. Zdefiniowa
mona podobnie jak wczeniej pen kontrol (Full control) lub jedynie wybra
ktre z pozostaych moliwoci, ktrymi s kolejno, przechodzenie pomidzy
folderami i wykonywania plikw (Traverse folder/ execute folder), listowanie
zawartoci folderw i odczyt danych (List folder /read data), odczyt atrybutw
(Read attributes), odczyt atrybutw rozszerzonych (Read extended attributes),
tworzenie plikw i zapis danych (Create files/ write data), tworzenie folderw i
doczanie danych (Create folders /append data), zapisywanie atrybutw (Write
attributes), zapisywanie rozszerzonych atrybutw (Write extended attributes),
kasowanie podfolderw i plikw (Delete subfolders and files), kasowanie (Delete),
moliwo odczytu (Read permissions), moliwo zmiany (Change permissions),
moliwo przejmowania na wasno (Take ownership).
Ostania trzecia ju sekcja okna dotyczy tworzenia reguy autoryzacyjnej. To wanie

one stanowi metod autoryzacji CLAIM. Standardowo adna regua nie jest
zdefiniowana i brane s pod uwag uprawnienia nadane w zwyky sposb. Aby tak
regu doda naley klikn Dodaj Warunek (Add Condition)
220
Spowoduje to pojawianie si dodatkowej listy, w ktrej istnieje moliwo

zdefiniowania warunkw dostpowych. W pierwszym polu okrela si czy regua
bdzie dotyczya uytkownika (User) czy urzdzenia, czyli konta komputera
(Device). W drugim polu naley okreli czy regua dotyczy bdzie jakiej grupy.
W trzecim okrela si czy regua bdzie obowizywaa uytkownikw nalecych

do jednej z grup wyznaczonych w polu pitym, czy te uytkownikw nalecych
do kadej z grup, lub nie bdcych czonkami ani jednej z tych grup lub nie
bdcych czonkami wszystkich tych grup.
Przyciskiem Dodaj obiekty (Add items) mona zdefiniowa jakich grup bdzie
dotyczya regua.
Tak utworzona regua pojawi si na licie.
221
W zakadce Efektywne Uprawnienia (Effective Access) istnieje moliwo

podejrzenia jaki uytkownik ma uprawnienia do konkretnego folderu.
10.3.2.
Definiowanie Claim Types
Innym sposobem definiowania uzgodnie Claim jest uycie konsoli Centrum

Administracyjnego Active Directory (Active Directory Administrative Center).
Naley w nim rozwin Dynamiczn kontrol dostpu (DYNAMIC ACCESS
CONTROL) i wybra z listy Typy uzgodnie (Claim Types).
222
Nastpnie w menu po prawej stronie naley wybra Nowy > Typ uzgodnie (New >
Claim Type).
Zamiast bazowa na grupach komputerw i uytkownikw mona stworzy

uzgodnienie, ktre bdzie brao pod uwag konkretne atrybuty obiektw
znajdujcych si w bazie Active Directory. Dla przykadu zostanie wybrana opcja
Prawo Jazdy (CarLicense). Naley klikn OK.
223
Wracajc do waciwoci udostpnionego folderu i prbujc raz jeszcze doda

regu Claim, do wyboru poza grup pojawi si stworzony przez chwil carLicense.
Po jego wybraniu definicja reszty reguy ulega dynamicznej zmianie w zalenoci

od wybranych atrybutw w Centrum Administracyjnym.
224
Co wicej w podobny sposb mona zdefiniowa konkretne typy zasobw.
Na konkretnym typie zasobu wystarczy klikn prawym guzikiem i wybra opcje

Wcz (Enable).
225
Zasb pojawi si do wyboru we waciwociach pliku/folderu.
Aby dodatkowo zdefiniowane uzgodnienia Claim dziaay naley jeszcze uruchomi

odpowiedni polis. Z poziomu Menadera Serwera (Server Manager) naley
wybra Narzdzia (Tools), a nastpnie Group Policy Management.
Naley zedytowa Domyln polis domeny (Default Domain Policy) i przej

kolejno Computer Configuration > Policies > Administrative Templates > System
> KDC
226
Naley wczy opcj KDC support for claims, compound authentication and
Kerberos armoring. W testowym rodowisku s kontrolery domeny pracujce na
Windows Server 2012 zatem wybrano ustawienie Support w Claims, compound
authetication for Dynamic Access Control and Kerberos armoring. Modyfikacje
tego ustawienia pokazuje rysunek poniej.
10.4. Uprawnienia na systemie plikw ReFS

System Windows Server 2012 wprowadza jeszcze jedn znaczc nowo.
Mianowicie nowy system plikw. Cho NTFS sprawdza si dobrze to ma on ju
227
swoje lata, bo zadebiutowa w 1993 roku. Nowy system plikw trudno nazwa
rewolucj w zarzdzaniu danymi, jest to raczej ewolucja i spokojnie mona by byo
go oznaczy jako kolejn wersj NTFSa. Waciwie to jest to bardziej dopracowany
i zoptymalizowany NTFS.
Nazwa ReFS to skrt od Resilient File System, czyli jak sama nazwa sugeruje
odporny system plikw. Jest on odporniejszy na uszkodzenia zarwno te logiczne
jak i fizyczne nonikw.
Oferuje on zarwno wasne mechanizmy ochronne takie jak sumy kontrolne,
rozproszony log transakcyjny, przeprowadzanie zapisu w separacji od oryginalnego
pliku, itd., ale te wsppracuje z mechanizmem Storage Spaces w Windows Server
2012. Dane i metadane s przechowywane
w formie bardzo podobnej do
relacyjnych baz danych. Dodatkowe zabezpieczenie stanowi kopiowanie przy

zapisie, a take moliwo skasowania uszkodzonego pliku przez potrzeby
odczania dysku. Limity rozmiarw zostaj zwikszone do 64 potgi liczby 2. Z
systemu NTFS pozostanie wikszo elementw interfejsu dostpu do danych, a co
za tym idzie zmianom uleg gwnie wewntrzny mechanizm dziaania, a nie sposb
zarzdzania z punktu widzenia administratora systemu. Cho interfejs jest wrcz
identyczny jak w przypadku NTFS, to znikny niektre funkcje np. zabrako
szyfrowania EFS i kompresji plikw bd folderw. Na t chwil nie ma moliwoci
zainstalowania systemu operacyjnego na partycji ReFS. Microsoft prawdopodobnie
chce system najpierw dokadnie przetestowa dlatego wdraa go fazami. Najpierw
nowy system plikw zagoci Windows Server 2012, potem na systemach klienckich,
a na samym kocu dostanie moliwo pracy jako system plikw na dysku
rozruchowym.
W ramach wicze mona jednak sformatowa wybran partycj do nowego
systemu plikw.
228
Gdy proces dobiegnie koca mona wej we waciwoci jakiego folderu

utworzonego na tym dysku, aby zobaczy i zarzdzanie uprawnieniami na systemie
plikw ReFS nie rni si niczym od tego znanego z NTFS.
229
10.5. Zarzdzanie drukarkami

Podobnie jak i w przypadku plikw uprawnienia mona rwnie nakada na
urzdzenia pracujce bd udostpnione w sieci. Dziki funkcjom dostpnym w
Windows Server 2012 administrator moe efektywnie zarzdza dostpem do
urzdze i drukarek, wydajnie je udostpnia zapewniajc bezpieczestwo dziaania
i hermetyczno przekazywanych danych. Co wicej moe on take nadawa rne
priorytety dla mniej i bardziej uprzywilejowanych pracownikw przedsibiorstwa.
10.5.1.
Instalowanie drukarek
W pierwszej kolejnoci naley otworzy Panel Sterownia (Control panel), wybra

Sprzt (Hardware), a nastpnie Urzdzenia i Drukarki (Devices and Printers).
Aby zainstalowa drukark naley klikn przycisk Dodaj Drukark (Add a

printer). W pierwszej karcie kreatora system przeskanuje urzdzenia w
poszukiwaniu drukarki, jeeli takowej nie znalaz bd istnieje potrzeba instalacji
drukarki, ktra fizycznie nie jest podpita do komputera naley klikn opcj
Drukarka, ktr pragn zainstalowa nie znajduje si na licie (The printer that I
want isnt listed).
230
W kolejnej karcie kreatora w ramach wiczenia w rodowisku wirtualnym powinno

si wybra opcj Dodaj drukark lokaln lub sieciow z ustawieniami rcznymi
(Add a local printer or network printer with manual Settings).
Na kolejnej karcie warto zostawi ustawienia domylne.
231
Z listy sterownikw przykadowo mona wybra drukark firmy HP Color LaserJet

2700PS Class Driver.
Na kolejnej karcie naley nada drukarce nazw np. Drukarka Szefa. Nastpnie
mona zainstalowa raz jeszcze t sam drukark nadajc jej nazw np. Drukarka
Pracownika.
232
10.5.2.
Zarzdzanie dostpem do drukarek sieciowych
Naley wej we Waciwoci drukarki (Printer Properties).
W zakadce Udostpnianie (Sharing) mona udostpni drukark w sieci

(analogicznie jak w przypadku plikw), a take doda sterowniki. Np. urzdzenia
czsto wymagaj innych sterownikw w zalenoci od wersji systemu Windows.
Jeli wszystkie zostan tutaj dodane to instalacja na klienckich komputerach
przebiegnie bez potrzeby dostarczania CD producenta.
Zakadka Zaawansowane (Advanced) pozwala na ograniczenie godzin w jakich
mona korzysta z urzdzenia za pomoc opcji Dostpna od (Available from)
(podobne ograniczenia mona te nakada na uytkownikw). Jest take moliwo
ustawiania priorytetw. Im wyszy priorytet tym urzdzenie waniejszy. O
zastosowaniu byo wspomniane wczeniej, za chwil pokazane bdzie jak wdroy
system kolejkowania zlece.
233
Zakadka Zabezpieczenia (Security) odpowiada za dostp do zasobw drukarki.

Dziaa to podobnie jak w przypadku plikw.
234
Z posiadan wiedz i dwa razy zainstalowan t sam drukark mona wdroy

pewn ciekaw funkcjonalno. Naley wej we waciwoci drukarki szefa. W jej
waciwociach ustawia si priorytet na wikszy ni by wczeniej czyli np. 50.
W zabezpieczeniach zostawia si jedynie administratorw (zakada si, e szef jest

administratorem) oraz twrcw-wacicieli.
Dla drukarki pracownikw mona zrobi dokadnie to samo z tym, e im mona

ustawi niszy priorytet np. 10.
Teraz na kadym komputerze szefa naley zainstalowa drukark uywajc tej o
wyszym priorytecie, a na innych komputerach tej o niszym. Oba sterowniki
odnosz si fizycznie do tego samego urzdzenia, dziki czemu wydruki szefa s
waniejsze. Gdy szef zapragnie co wydrukowa, wydruki pracownikw zostan
wstrzymane na tak dugo a szef skoczy drukowa.
235
11.
Serwer Plikw
Serwer plikw stanowi najbardziej potrzebn rol serwera. Suy on nie tylko do
scentralizowanego zarzdzania danymi i dostpem do nich, ale take dba
o bezpieczestwo danych. Wi si z nim takie pojcia jak rozproszony system
plikw, czy klastry, lecz w tym przypadku wiczeniowym zajto si jego
podstawowymi waciwociami.
11.1. Instalacja roli Serwera Plikw

Naley zatem wej do kreatora dodawania rl i doda skadniki serwera plikw,
ktre nie zostay jeszcze zainstalowane. Cz z nich (Storage Pool , Volumes,
Shares , iSCSI Virtual Disks) standardowo jest zainstalowana, poniewa nawet
prosta funkcjonalno jak udostpnianie plikw tego wymaga. Naley wybra
wszystkie brakujce skadniki i klikn Dalej (Next).
236
11.2. Zapoznanie z nowym podejciem do usug plikw

Po instalacji w Menaderze Serwera (Server Manager) pojawi si nowy wpis
Usugi plikw (Files and Storage Services), po jego zaznaczeniu i wybraniu opcji
Serwery (Servers) mona dosta si do gwnej konsoli zarzdzania serwerami
plikw. W sekcji Serwery (Servers) wida list serwerw i mona nimi zarzdza.
Przesuwajc ekran coraz niej mona znale sekcj Zdarzenia (Events), ktra
wypisuje zdarzenia jakie zaszy na serwerze. Uywajc pobliskiego przycisku
Zadania (Tasks) mona zdefiniowa jakiego rodzaju zdarzenia s istotne. Do
wyboru s bdy krytyczne (Critical), bdy zwyczajne (Error), ostrzeenia
(Warning) oraz informacje (Informational). Mona te okreli z jakiego
przedziau czasu zdarzenia maj by prezentowane.
237
Jeszcze niej znajduje si sekcja Usugi (Services). S to usugi powizane z

serwerem plikw, administrator moe z tego poziomu podejrze co si z nimi dzieje
i uruchomi je ponownie.
Poniej znajduje si opcja Best Practices Analyzer, ktra sprawdza konfiguracj

serwera plikw i wywietla porady dotyczce ewentualnych zmian w jego
konfiguracji. Pod guzikiem Zadania (Tasks) kryje si opcja BPA Scan, ktra
przeanalizuje wybrany przez administratora serwer.
238
sekcji
Wydajno
(Performance)
znajduje
si
Monitor
Wydajnoci
(Performance Monitor). Do jego funkcjonalnoci zalicza si tworzenie Alertw

wydajnoci opcj Konfiguruj Alerty Wydajnoci (Configure Performance Alerts).
Na samym dole okna znajduje si sekcja Roles and Features gdzie wypisane s
skadniki serwera plikw jakie funkcjonuj na nim. Wrd rl mona znale m.in.
elementy, ktre wczeniej zostay ju zainstalowane tj. File Server, ktry w systemie
Windows odpowiada za udostpnianie plikw w sieci, BranchCache for Network
Files, czyli sieciowe buforowanie plikw za pomoc technologii BranchCache, Data
Duplication, ktry skanuje dyski twarde w poszukiwaniu duplikatw plikw po to,
aby je skasowa, DFS Name Spaces , DFS Replication odpowiedzialna za replikacj
danych pomidzy rozproszonymi serwerami, File Server Resource Manager bdc
przystawk do bardziej zaawansowanego zarzdzania udziaami, File Server VSS
Agent Service agent niezbdny do archiwizacji uywanych plikw przez inne
aplikacje, SI Target Server, Server for NFS sucy do udostpniania plikw
komputerw bazujcych na Unixie oraz Storage Service odpowiedzialny za obsug
239
urzdze fizycznych.
Po klikniciu w menu na Woluminy (Volumes) zostanie si przeniesionym do
ekranu, w ktrym ma si podgld na woluminy istniejce na danym serwerze.
Poprzez menu kontekstowe wolumin mona naprawi, przeskanowa, stworzy na
nim nowy udzia, sformatowa itp. Jest te podgld jego podstawowych
parametrw, a take co waniejsze, w sekcji Udziay (Shares) znajduje si lista
wszystkich udziaw sieciowych jakie si na nim znajduj.
Naley klikn przycisk Nowy Udzia (New Share) w obrbie sekcji Udziay
(Shares).
Pojawi si kreator udostpniania, ktry pozwala wybra kilka opcji. Te oznaczone
240
przypisem Szybkie (Quick) pozwalaj szybko udostpni udzia protokoem SMB

(dla Windows) lub NFS (dla UNIX). Opcje Zaawansowane (advanced) pozwalaj
dodatkowo w kreatorze zarzdza quotami oraz waciwociami udziau. Istnieje
jeszcze udzia sieciowy dla aplikacji. Jest on dostosowany do tworzenia udziaw z
ustawieniami odpowiednimi dla serwerw aplikacji, serwera Hyper-V czy baz
danych. W ramach wicze zostanie wybrana zaawansowana droga kreatora dla
udziau SMB tj. SMB Share Advanced.
W kolejnym oknie naley wybra serwer, na ktrym dany udzia ma zosta

utworzony, a take zdefiniowa czy udziaem bdzie cay dysk twardy czy jedynie
jaki folder. W przykadzie poniej zdecydowano si jedynie na folder.
241
W nastpnej kolejnoci naley okreli nazw dla udziau sieciowego, mona

zaopatrzy go w opis, a take konieczne jest zdefiniowanie jego cieki sieciowej.
Praktycznie wszystkie pola poza opisem domylnie powinny zosta automatycznie
wygenerowane.
Kolejnym krokiem bdzie zdefiniowanie dodatkowych ustawie. Mona wczy

Listowanie folderu oparte na uprawnieniach uytkownika (Enable access based
enumeration). Rezultat bdzie taki, e uytkownik bdzie mia wgld jedynie do
tych plikw i folderw, do ktrych ma uprawnienia dostpowe.
Opcja Pozwl na buforowanie udziau (Allow Casching of share), pozwoli na
buforowanie zawartoci udziau sieciowego tak, aby by on dostpny, nawet jeeli
uytkownik jest offline. Dodatkowo mona wczy usug BranchCache, wymaga
ona jednak globalnej dostpnoci IPv6.
Ostatni opcj jest Szyfrowany dostp (Encrypt data access), ktra to spowoduje
szyfrowanie danych podczas poczenia pomidzy klientem i serwerem w celu
uniknicia przechwycenia danych przez niepowoan osob.
242
W kolejnym oknie mona podejrze uprawnienia, jakie bd standardowo

przypisane. Przyciskiem Dostosuj Uprawnienia (Cuntomize Permisions) mona je
modyfikowa.
W kolejnym oknie kreatora naley okreli przeznaczenie udziau, czyli to, jakiego
rodzaju dane bdzie on przechowywa.
243
W nastpnym oknie mona naoy ograniczenie co do iloci danych, jakie moe

wgra uytkownik, czyli tzw. Quoty. Mona wybra dowoln ze wczeniej
zdefiniowanych Quot lub utworzy now.
Na oknie podsumowania naley klikn Utwrz (Create).
244
Nastpnie naley powrci do widoku Menadera Serwera (Server Manager) i z

Woluminw (Volumes) przej na Dyski (Disks). Widok jego zawartoci jest
analogiczny do Woluminw jednak dotyczy ju fizycznie caych dyskw.
245
11.3. Storage Pools

W menu po lewej stronie naley przej do Storage Pools. Jeeli komputer spenia
minimalne wymagania sprztowe wewntrz okna powinny by dostpne jakie
urzdzenia magazynujce. Po klikniciu w ktre z nich naley wybra New Storage
Pool.
Storage Pools pozwala na poczenie przestrzeni dyskowych relacjami, aby

zapewni zarwno wydajno jak i bezpieczestwo wraz z wysok dostpnoci
danych. W ramach wiczenia zostanie stworzony jeden wirtualny dysk z kilku
fizycznych dyskw. Nie moe by to uywany dysk, na ktrym zainstalowany jest
ju system operacyjny, wic wymagany jest przynajmniej jeden odrbny dysk na
gwnym serwerze lub dwa w przypadku uycia trybu wysokiej dostpnoci 2-way
Mirror, ktry klonuje zawarto dysku i trzy w trybie 3-way Mirror, gdzie na
kadym przechowywana jest kopia danych. Takie dyski powinny by czyste i nie
sformatowane o rozmiarze minimum 10GB. Dyski musz by zainicjowane i online.
Mog by podczone fizycznie do komputera przez SCSI, iSCSI, SAS czy nawet
USB.
Po pominiciu karty powitalnej naley wprowadzi nazw i ewentualnie opis.
246
W nastpnym oknie kreatora zaznacza si dyski, ktre maj by uyte.
Na koniec naley klikn Utwrz (Create).
247
Klikajc przycisk Udostpnione (Shares) znajdujcy w menu si po lewej stronie

mona przenie si do widoku, w ktrym wida bdzie wszystkie udziay sieciowe
na danym serwerze zebrane w jednym miejscu. W kadej chwili mona
modyfikowa Quoty, wyczy udostpnianie czy edytowa waciwoci udziau.
Powrciwszy do pierwszego okna oznaczonego jako Serwery (Servers) i po

klikniciu prawym przyciskiem myszy na serwerze naley wybra File Server
Resource Manager.
248
11.4. Zarzdzanie przez Menadera Serwera Plikw

Skupiajc si na Menaderze Zasobw Serwera Plikw (File Server Resource
Manager), raporty o tym, jakie pliki i w jaki sposb byy uywane mona obejrze
w sekcji Zarzdzanie Raportami Magazynowymi (Storage Reports Management).
11.4.1.
Zarzdzanie Osonami Plikw
File Screening Management, czyli Zarzdzanie Osonami Plikw z kolei pozwala

nie tylko monitorowa, ale na przykad zakazywa otwierania jakich rodzajw
plikw. W pierwszej kolejnoci naley utworzy Grup plikw (File Group). W
menu z lewej strony naley wybra Grupy plikw (File Groups), a nastpnie w
menu po prawej opcj Utwrz Grup Plikw (Create File Group).
W oknie jakie si pojawi naley poda nazw dla tworzonej grupy plikw, a take
rozszerzenia plikw jakich bdzie ona dotyczy w postaci *.rozszerzenie.
249
Po klikniciu OK grupa pojawi si na licie.
Kolejnym krokiem bdzie utworzenie szablonu osony plikw. Naley klikn wic
na Szablony osony plikw (File Screen Templates) i w menu po prawej stronie
wybra opcj Utwrz szablon osony plikw (Create File Screen Template).
250
W oknie, ktre si pojawi naley zdefiniowa nazw dla szablonu oraz to, czy
bdzie to osanianie Aktywne (Active Screening) czy Pasywne (Passive Screening).
Aktywne nie pozwoli uytkownikom wgra do danego folderu okrelonych przez
administratora typw plikw, z kolei pasywne pozwoli, lecz wyle mu informacje o
tym, wic bdzie suyo bardziej do monitoringu. To, czy zostanie wysany email z
notyfikacj czy te informacja trafi do logw, definiuje si w zakadkach okna. W
wiczeniu tym zostanie wybrane osanianie Aktywne.
251
Na koniec naley zaznaczy Osony Plikw (File Screen) i w menu po prawej

stronie wybra Utwrz oson plikw (Create file Screen).
W oknie, jakie si pojawi naley wybra udostpniony folder jakiego ma dotyczy

osona oraz jaka osona jest na niego narzucana. Wybr finalizuje si przyciskiem
Utwrz (Create).
Od tej pory uytkownicy w wybranym folderze nie bd mieli prawo zapisywania

plikw o okrelonych rozszerzeniach. Na dany folder mona narzuci kilka rnych
oson, powtarzajc kroki, ktre zostay pokazane powyej. Wewntrz danego
252
folderu mona take stworzy wyjtek od osony jeeli w pojedynczym folderze ma

zaistnie pozwolenie na zapisywanie zabronionych plikw przyciskiem Stwrz
wyjtek osony plikw (Create File Screen Exception).
Przykadem z ycia wzitym dla zastosowania takiego rozwizania jest na przykad

zakazanie wczania plikw wykonywalnych, dziki czemu uytkownicy nie bd w
stanie instalowa niepodanych aplikacji.
11.4.2.
Zarzdzanie Przydziaami
Zarzdzanie przydziaami to take bardzo poyteczna funkcjonalno. Wczeniej

zosta naoony limit na rozmiar plikw uytkownika na dysku. Co jednak jeli limit
miaby dotyczy jednego uytkownika, albo konkretnego katalogu, lub uytkownicy
mieliby mie rne limity? Kilka dziaw wczeniej zosta uruchomiony serwer
FTP, wypadaoby jednak jako ograniczy uytkownikom powierzchni dyskow
jak mog oni wykorzysta. Tu wanie mona to zrobi. Istniej oczywicie
predefiniowane szablony, s one raczej pogldowe i przykadowe. To s te same
szablony, ktre kilka stron wczeniej zostay uyte. Aby utworzy wasny szablon w
lewym menu naley rozwin Zarzdzanie Przydziaami (Quota Management) i
klikn Szablony Przydziaw (Quota Templates).
W menu po prawej stronie naley wybra opcj Utwrz Szablon Przydziau (Create
Quota Template). Pojawi si okno, w ktrym nadaje si szablonowi nazw,
nastpnie w sekcji Space limit okrela si rozmiar dozwolonej pamici i definiuje
253
czy przydzia bdzie Sztywny (Hard Quota) czy Elastyczny (Soft Quota). Pierwszy
nie pozwoli wgra wicej danych ni zakada limit, drugi pozwoli, lecz bdzie
komunikowa o tym uytkownika. Wybrana zostanie Hard Quota i nadany limit np.
2 GB.
Z drzewa kategorii z lewej strony naley wybra Przydziay (Quotas), a nastpnie po

prawej klikn w przycisk Utwrz przydzia (Create Quota).
Naley wybra ciek do jakiego katalogu z przygotowanego szablonu.

Uytkownicy teraz nie bd mogli przechowywa tam wicej danych ni przewiduje
limit np. jeeli limit wynosi 100MB, to kady uytkownik moe wgra maksymalnie
100MB wasnych danych. Warto te zaznaczy opcj Auto apply template and
254
create quotas on existing and new subfolders, poniewa dziki temu przydziay
bd rwnie nakadane na nowo tworzone foldery.
255
12.
Praca zdalna
Serwer powinien dawa administratorowi moliwo zarzdzania zdalnego. Dlatego

te skonfigurowane zostanie poczenie pulpitu zdalnego. Proces ten jest relatywnie
atwy, a funkcja pulpitu zdalnego dobrze zaimplementowana. Dzieje si tak,
poniewa elementy interfejsu Windows zawieraj si ju w systemach czy
aplikacjach klienckich. Co wicej klienta dostpu zdalnego Microsoft przygotowa
take na inne platformy jak Linux, OS X, a nawet urzdzenia mobilne, dziki czemu
w awaryjnej sytuacji mona odratowa serwer nawet przez komrk jadc
pocigiem.
12.1. Wstpna konfiguracja serwera

Naley klikn na Serwer Lokalny (Local Server) w Menaderze Serwera (Server
Manager).
Zostanie wybrane i uruchomione Zdalne Zarzdzanie (Remote Management)

znajdujce si po prawej stronie okna.
W okienku, ktre si pojawi naley zaznaczy Zezwalaj na zdalne zarzdzanie tym

serwerem z innych komputerw (Enable remote management of this server from
other computers), co pozwoli na zarzdzanie t maszyn choby przez Menadera
Serwer (Server Manager) uruchomionego na innym komputerze bd za pomoc
256
PowerShella.
Tu poniej naley uruchomi dostp poprzez poczenie Pulpitu zdalnego (Remote

Desktop).
W oknie, ktre si pojawi naley wybra opcj Pozwl na zdalne czenie z tym
komputerem (Allow remote connections to this computer). Mona take zaznaczy
zgod na poczenia zdalne wycznie z komputerw, ktre s zautentykowane na
poziomie sieci, co zwiksza bezpieczestwo.
257
Kliknwszy w opcj Wybierz uytkownikw (Select Users) mona doda

uytkownikw, ktrzy bd mieli moliwo zdalnego czenia si z t maszyn.
Administratorw nie trzeba tu wprowadza, poniewa oni ju domylnie maj
stosowne uprawnienia.
Zanim si przejdzie do konfiguracji klienta i testowania poczenia warto

zainstalowa i skonfigurowa pomoc zdaln. W pierwszym kroku naley
doinstalowa funkcj Zdalna Pomoc (Remote Assistance).
Gdy proces instalacji dobiegnie koca naley wrci do okna, w ktrym zosta
uruchomiony Pulpit Zdalny (Remote Desktop). Teraz bdzie moliwo
uruchomienia rwnie Zdalnej Pomocy (Remote Assistance). Naley zaznaczy
opcj Zezwl na poczenia zdalnej pomocy z tym komputerem (Allow Remote
258
Assistance connections to this computer).
12.2. Korzystanie z Pomocy Zdalnej

Zanim przystpi si do prezentacji dziaania systemu po stronie klienta naley
wysa zaproszenie do pomocy. W wyszukiwarce dla sekcji Ustawienia (Settings)
naley wpisa sowo Zapro (Invite) i z listy wynikw wybra Zapro kogo do
poczenia z twoim PC na pomoc tobie, lub zaoferuj swoj pomoc komu innemu
(Invite someone to connect to your PC and help you, or offer to help someone
else).
Zostanie otwarte nowe okno, w ktrym pojawi si dwie opcje. Pierwsza to proba o
pomoc, druga to pomoc innej osobie. Dla przykadu zostanie wybrana opcja
259
pierwsza Zapro kogo komu ufasz eby ci pomg (Invite someone you trust to
help you).
Naley klikn przycisk Popro kogo komu ufasz o pomoc (Invite someone you
trust to help you) znajdujcy si w centrum ekranu. Pojawi si trzy opcje. Jedna z
nich to stworzenie odpowiedniego pliku z danymi, ktry trzeba dostarczy we
wasnym zakresie danej osobie (Save this invitation as file), kolejna opcja to
zaproszenie poprzez e-mail (Use email to sen dan invitation), a ostatnia opcja to
atwe poczenie (Use easy connect).
260
Najwygodniej bdzie oczywicie to zrobi zapisujc zaproszenie jako plik. Potem go

naley udostpni po sieci i w przypadku ksikowym zostanie uyty komputer
zdalny.
Wygenerowane zostanie haso, ktre trzeba rcznie przekaza osobie, ktra bdzie
udzielaa pomocy.
Jeli nie zostao to wczeniej zrobione, aby mona byo odnale komputer w sieci
naley na serwerze wprowadzi nastpujce ustawienia:
261
Naley udostpni w sieci plik z zaproszeniem. Nastpnie naley wej do

udostpnionego folderu z drugiego komputera.
Naley wybra udostpnione wczeniej zaproszenie i uruchomi je podwjnym

klikniciem. Trzeba pamita o tym, i na zdalnym komputerze take musi by
zainstalowana funkcja zdalnej pomocy. Bdzie take konieczno wprowadzenia
wygenerowanego na serwerze hasa.
262
W tej chwili na komputerze nadawcy pojawi si komunikat, ktry naley

potwierdzi klikajc Tak (YES), dopki nie zostanie to zrobione osoba pomagajca
nie bdzie w stanie nic zrobi.
Na komputerze, ktry potrzebuje pomocy pojawi si okienko czatu, dziki ktremu

mona rozmawia z pomocnikiem itp.
263
Obie strony pracuj jednoczenie na jednym pulpicie i widz go, w zwizku z czym
pomocnik moe albo nauczy czego drug osob wydajc jej polecenia i patrzc
jak je realizuje lub po prostu przej kontrol nad komputerem, do ktrego si
podczy i samemu wykona powierzone zadanie.
264
12.3. Nawizywanie poczenia pulpitu zdalnego

W tym poddziale zostanie nawizane poczenie z serwerem za pomoc Pulpitu
Zdalnego (Remote Desktop). Naley wyszuka program Poczenie Pulpitu
Zdalnego (Remote Desktop Connection), a nastpnie go uruchomi.
Pojawi si mae okno dialogowe, w ktrym de facto wystarczy poda adres serwera.
Nie wane czy bdzie to adres IP czy nazwa domeny np. elitepc.pl. Bdc w
domenie mona po prostu wpisa nazw komputera docelowego.
Przed poczeniem warto take rozwin opcje przyciskiem Poka Opcje (Show
Options). Midzy innymi znajduje si tam moliwo zapisania ustawie poczenia
pulpitu zdalnego w formie pliku, dziki czemu nastpnym razem wystarczy klikn,
265
aby zdalnie poczy si z serwerem.
W zakadce Zasoby lokalne (Local Resources) znajduj si opcje zwizane z

dostpem do zasobw lokalnych. Bdzie mona na komputerze zdalnym midzy
innymi przenie dwik, skrty klawiaturowe, zawarto schowka, drukarki czy
inne urzdzenia Plug and Play.
Po klikniciu Podcz (Connect) naley zalogowa si do docelowego komputera.

Konieczne bdzie podanie danych do logowania.
266
Naley potwierdzi certyfikat. Jest to krok niezbdny, poniewa poczenie pulpitem

zdalnym ze wzgldw bezpieczestwa musi by szyfrowane.
Poczenie powinno zosta nawizane. Ten sposb logowania na serwerze pozwala

na tak prac na serwerze, jak gdyby administrator pracowa na nim bezporednio.
Prac w trybie zdalnym mona rozpozna po dodatkowym pasku na grze ekranu.
267
13. Zarzdzanie dyskami

W systemie Windows Server 2012 mona przekonwertowa dyski na tak zwane
dyski dynamiczne, ktre oferuj zwikszone moliwoci. Dyski dynamiczne
zapewniaj funkcje niedostpne na dyskach podstawowych, takie jak moliwo
tworzenia woluminw obejmujcych wiele dyskw (woluminy czone i rozoone)
czy odpornych na uszkodzenia (woluminy dublowane i RAID-5). Wszystkie
woluminy na dyskach dynamicznych s nazywane woluminami dynamicznymi.
Istnieje pi typw woluminw dynamicznych: proste, czone, rozoone,
dublowane i RAID-5. Woluminy dublowane i RAID-5 cechuj si odpornoci na
uszkodzenia i s dostpne wycznie na komputerach z systemem Windows 2000
Server, Windows 2000 Advanced Server, Windows2000 Datacenter Server lub z
systemami operacyjnymi Windows Server2003 i nowszych. Za pomoc komputera z
systemem Windows 7 Professional mona jednak zdalnie tworzy woluminy
dublowane na komputerach z tymi systemami operacyjnymi. Bez wzgldu na to, czy
uywanym stylem partycjonowania dysku dynamicznego jest gwny rekord
rozruchowy (MBR), czy tabela partycji GUID (GPT), mona utworzy nawet 2000
woluminw dynamicznych. Zalecana liczba woluminw dynamicznych to 32 lub
mniej. Naley wej wic do Konsoli Zarzdzania Komputerem (Computer
Management).
Naley klikn na Zarzdzanie Dyskami (Disk Management), po prawej stronie

pojawi si lista partycji, a pod ni lista fizycznie podczonych do komputera
268
dyskw. Jak wida s to trzy dyski, o ktrych wspomniano w dziale opisujcym

rodowisko, w ktrym Windows Server 2012 zosta zainstalowany. Nie byy one
jeszcze ani formatowane ani inicjalizowane.
Teraz na wybranym nieaktywnym dysku naley klikn Zainicjuj Dysk (Initialize

Disk), po to, aby zacz dziaa.
Naley pamita, e inicjowanie jest nieodwracalne. W oknie, ktre si pojawi

naley wybra wszystkie dyski twarde i klikn OK. Warto zauway, e drzewo
partycji jakie zostanie na nim utworzone moe by typu zarwno MBR jak i nowego
typu GUID. Dla systemw Windows standardem jest MBR.
269
Nastpnie Naley przekonwertowa dyski na dyski dynamiczne. Dziki temu

zyskuje si moliwo ich zaawansowanych ustawie i tworzenie macierzy
dyskowych. Naley jednak pamita, i macierze z racji na to, e nie s sprztowe,
lecz
programowe
bd
wolniejsze
od
sprztowych.
Co
wicej
dysku
skonwertowanego na dynamiczny nie uda si bez problemw odczyta na innym

komputerze. Na wybranym dysku naley klikn prawym przyciskiem myszy i
wybra opcj Konwertuj dysk na dynamiczny (Convert to Dynamic Disk).
W oknie, ktre si pojawi naley wybra dyski. Zostan wybrane tylko trzy
270
dodatkowe dyski suce wiczeniu, a wybr zostanie potwierdzony klikniciem

OK.
Teraz klikajc na wybranym dysku prawym przyciskiem myszy mona utworzy

jeden z 5 woluminw. Wolumin Prosty (Simple Volume) jest odpowiednikiem
zwyczajnej partycji, z tym, e w przyszoci bdzie si dao swobodnie
modyfikowa jego rozmiar jeeli pozwoli na to dysk twardy. Wolumin czony
(Spanned Volume) pozwala poczy ze sob kilka dyskw twardych w jeden duy,
jego zalet jest to, i dyski mog mie rne rozmiary. Nie daje on adnego
przyrostu szybkoci pracy dyskw ani bezpieczestwa przed utrat danych.
Wolumin Rozoony (Stripped Volume) z kolei jest alternatyw dla RAID 0. czy
on dwa dyski o identycznej pojemnoci i zapisujc jednoczenie na obu z nich
fragmenty danych sprawia i dysk dziaa szybciej. Wolumin Dublowany (Mirrored
Volume) czy dwa dyski ze sob w taki sposb, e na jednym z nich
przechowywana jest kopia drugiego, podobnie jak w RAID 1. Dla przykadu
zostanie stworzony nowy wolumin RAID-5. Stanowi on jakby poczenie RAID 0 i
RAID 1. Wymaga on co najmniej 3 dyskw. Dwa z nich czone s tak, jak w
przypadku woluminu rozoonego, natomiast trzeci dysk przechowuje cz danych
uzyskan przez operacj arytmetyczna XOR. Na podstawie tych danych w razie
awarii jednego z dwch pierwszych dyskw mona dane odzyska i serwer dalej
271
dziaa.
W oknie powitalnym naley klikn Dalej (Next), nastpnie wybra dyski i ustawi
odpowiedni rozmiar woluminu. Moe on by tak duy jak duy jest najmniejszy z
dyskw. Naley klikn przycisk Dalej (Next).
Nastpnie konieczne jest wybranie litery, ktra bdzie oznaczaa dysk.
272
Na kolejne karcie mona sformatowa wolumin, wybra odpowiedni system plikw,

a take nada mu odpowiedni etykiet. Naley klikn Dalej (Next).
W okienku podsumowujcym naley klikn Zakocz (Finish).
273
Nastpi synchronizacja dyskw.
Dla testu zostanie stworzony plik na tym dysku.
274
W celach testowych maszyna zostanie wyczona i jeden dowolny dysk zostanie od

niej odczony. Po ponownym uruchomieniu komputera i wejciu do konsoli
Computer Management mona zobaczy, e jednego dysku brakuje.
Jednak jak wida plik dalej istnieje i ma si dobrze.
275
12.4. Wirtualne dyski

Dysk wirtualny to okrelenie zasobw pamici masowej w komputerze
niedostpnych bezporednio w systemie, lecz emulowanych przez oprogramowanie
w taki sposb, jakby byy fizycznie obecne. Najczciej dysk taki jest realizowany w
postaci pliku na fizycznym dysku twardym, ktry potem jest montowany, dziki
czemu z punktu widzenia uytkownika dziaa dokadnie tak samo jak gdyby by to
fizyczny dysk twardy. Po klikniciu prawym przyciskiem myszy na Disk
Management w konsoli Computer Management, w menu kontekstowym mona
ujrze dwie opcje zwizane z tworzeniem wirtualnych dyskw: Utwrz (Create)
oraz Przycz (Attach). Pierwsza z nich, suy do tworzenia dyskw wirtualnych,
druga z kolei do ich podczania do komputera.
W oknie, ktre si pojawi naley poda ciek lokalizacji, w jakiej ma zosta

utworzony wirtualny dysk twardy, a take okreli jego rozmiar i format. Nowoci
w systemie Windows Server 2012 jest wprowadzenie formatu zapisu VHDX, ktry
znosi ograniczenia dyskw w formacie VHD. Teraz wirtualny dysk moe posiada
objto do 64TB, co wicej VHDX jest bardziej odporny na uszkodzenia, ktre
276
mogyby powsta podczas awarii zasilania.

Ostatnim krokiem jest okrelenie typu dysku wirtualnego. Stay rozmiar (Fixed
size) od razu zaalokuje sobie odpowiedni ilo pamici na dysku fizycznym. Jest
rekomendowany ze wzgldu na stabilno oraz szybko dziaania. Typ Alokowany
Dynamicznie (Dynamically alocated) stworzy dysk, ktrego rozmiar bdzie
zwikszany przyrostowo. Im wicej danych zostanie na nim umieszczonych tym
wikszy bdzie rozmiar jego pliku.
Po klikniciu przycisku OK i chwili oczekiwania zalenej od wielkoci tworzonego

dysku w podanej lokalizacji powinien zosta utworzony plik dysku wirtualnego.
277
Zostanie on take automatycznie podczony do komputera. Jeeli jednak wirtualny

dysk zosta skopiowany z innej maszyny naley go podczy opcj Przycz
(Attach) z menu kontekstowego. Wystarczy, e zostanie podana cieka i zostanie
kliknity przycisk OK.
Dyskami VHD i VHDX zarzdza si tak samo jak dyskami fizycznymi i rwnie
naley je inicjalizowa.
278
Dziki dyskom wirtualnym mona bardzo swobodnie przenosi dane, a nawet cae
systemy
operacyjne.
Co
wicej
zwikszaj
one
hermetyczno
danych.
Wydajnociowo dyski Fizyczne i VHD s porwnywalne. VHD nieco lepiej

wypadaj przy zapisie danych.
12.5. Instalacja systemu na wirtualnym dysku

Windows 2012 podobnie jak i Windows 8, Windows 7 czy Windows Server 2008
R2, oferuj moliwo instalacji na wirtualnym dysku twardym. Istniaa rwnie
moliwo takiej instalacji w systemie Windows Vista, lecz nie bya ona ani
wspierana przez Microsoft, ani w 100% dziaajca.
Instalacja na dysku wirtualnym polega na tym, e jest tworzony na istniejcej ju
partycji z zainstalowanym (cho nie koniecznie, wystarczy, e bdzie nim
sformatowana partycja) systemem operacyjnym plik VHD. Dziki temu nie ma
koniecznoci dokupowania dysku, ani zmniejszania partycji na obecnym dysku
twardym, aby mona byo zainstalowa system operacyjny obok ju istniejcego.
Pierwszym pytaniem jakie powinno si nasun jest celowo takiego zabiegu oraz
to, czy jest i jaki jest spadek wydajnoci. Maszyny wirtualne nie oferuj penej
funkcjonalnoci sytemu jak na przykad wsparcie 3D oraz s zdecydowanie
wolniejsze ni zwyke instalacje. W ten sposb mona spokojnie przetestowa
system pod kadym ktem oraz jak bdzie dziaa na fizycznym sprzcie, a nie tym
wirtualnym.
Aby rozpocz instalacj wystarczy tradycyjnie uruchomi komputer z pyty
instalacyjnej Windows 7, na pierwszym ekranie naley wybra odpowiedni jzyk,
lokalizacj i klawiatur.
279
Nastpnie naley wybra kombinacj klawiszy SHIFT+F10, aby pojawia si

konsola CMD. Instalator to nic innego jak system Windows w wersji PE, czyli
polecenia jak regedit do edycji rejestru itp. zadziaaj.
Na komputerze zainstalowany jest ju standardowo jeden system. Na dysku 250GB

jest stworzona jedynie jedna partycja. Na pocztek warto stworzy na dysku
systemowym C folder, w ktrym zostan umieszczone wirtualne dyski.
W nastpnej kolejnoci naley uruchomi narzdzie do zarzdzania dyskami

twardymi, wpisujc w konsoli polecenie diskpart. Trzeba bdzie chwil poczeka
a program si zaaduje z pyty DVD.
280
Kiedy program zostanie wczytany do pamici naley stworzy wirtualny dysk

twardy. Typ fixed oznacza, e dysk nie bdzie dynamicznie si rozszerza, tylko
bdzie mia stay rozmiar. Jest to lepsze rozwizanie, gdy dyski dynamiczne
czasami w tym zastosowaniu powoduj pojawianie si niebieskich ekranw.
Parametr maximum okrela maksymalny rozmiar jaki dysk bdzie mia (Przyjmuje
on wartoci w MB).
Tworzenie dysku chwil potrwa, gdy program w razie potrzeby zdefragmentuje

miejsce tak, aby wirtualny nonik zajmowa jedn du woln przestrze, ktra
take jest zapisywana zerami przy jej tworzeniu. Gdy dysk zostanie przygotowany
naley go zaznaczy, aby mc na nim operowa.
281
Ostatnim ju krokiem bdzie przyczenie dysku poleceniem attach. Jest ono

jednoznaczne z fizycznym podczeniem dysku do komputera.
W dalszym kroku naley zamkn program poleceniem exit, konsol krzyykiem i

wrci do instalatora klikajc Dalej (Next).
Dalsza instalacja jest analogiczna jak w przypadku zwykej instalacji. Wirtualne

dyski zostan automatycznie wykryte przez instalator tak samo jak dyski fizyczne.
Pora przej do pomiarw wydajnoci. System dziaa tak, jakby by normalnie
zainstalowany, jedyn rnic jest to, e mieci si on na sztucznie stworzonym
dysku. Dla porwnania poniej zostay przedstawione wyniki kilku syntetycznych
jak i normalnych testw.
282
1) Start Windows 7
2) Kopiowanie pliku 6GB
3) Tworzenie pliku 6GB
283
4) PCMark HDD Suite
5) HDTune (Mb/s)
6) HDTach 8MB (MB/s)
284
7) HdTach 32MB (MB/s)
Jak wida za wyjtkiem kopiowania pliku dyski VHD s nieco wolniejsze. Nie jest
to jednak spadek wydajnoci na tyle zauwaalny, aby si nim bardzo przejmowa.
Kopiowanie wyszo natomiast nieco lepiej dlatego, e cay obszar pamici jest
dysku wirtualnego jest za alokowany jako jeden cigy obszar. Co za tym idzie
gowica dysku nie musiaa daleko si przemieszcza w celu odczytania i ponownego
zapisu danych. Wycigajc redni arytmetyczn z reszty testw okazuje si, e
wydajno dysku wirtualnego jest nisza od zwykego jedynie o okoo 10,1%.
Zainteresowanym mona take poleci jedn bardzo przydatn aplikacj disk2vhd,
ktr
mona
pobra
us/sysinternals/ee656415.aspx.
ze
strony:
Dziki
niej
http://technet.microsoft.com/enuda
si
dowoln
partycj
przekonwertowa na dysk VHD. Dla przykadu jeli na komputerze jest wgrany

Windows XP i uytkownik nie chce go straci, mona wtedy przeprowadzi tak
operacj. Nastpnie dysk VHD ze starym systemem mona uy pod Windows 7 do
pracy w trybie XP Mode lub jako zwyk maszyn wirtualn w programie Microsoft
Virtual PC.
285
14.
WDS Zdalna Instalacja
Windows Deployment Services, czyli usugi wdraania systemu Windows

pozwalaj na zdaln instalacj systemu na wielu maszynach na raz bez potrzeby
uywania CD. Komputer uruchamia si za pomoc poczenia sieciowego, czy si
z serwerem i uruchamia podany program instalacyjny np. Windows Server 2012.
Za pomoc aplikacji WAIK mona przygotowa instalator systemu nie wymagajcy
interakcji z uytkownikiem, co znacznie upraszcza wdroenie oprogramowania na
wielu komputerach. W tym celu naley zainstalowa rol systemu Windows o
nazwie Usugi wdraania systemu Windows (Windows Deployment Services). Po
wybraniu roli w kreatorze naley klikn Dalej (Next).
Na kolejnej karcie naley ponownie klikn Dalej (Next).
286
Na nastpnej karcie naley wybra odpowiednie Usugi Rl (Role Services) i

klikn przycisk Dalej (Next).
Wybrane wczeniej ustawienia potwierdza si klikajc Instaluj (Install).
287
W Menaderze Serwera (Server Manager) pojawi si wpis WDS, po jego wybraniu

i klikniciu prawym klawiszem na nazwie serwera, mona na nim uruchomi
konsol Usug wdraania systemu Windows (Windows Deployment Services
Management Console).
Na serwerze naley klikn prawym przyciskiem myszy i wybra Skonfiguruj

Serwer (Configure Server).
288
Na ekranie powitalnym naley klikn Dalej (Next).
W kolejnym oknie trzeba zdefiniowa to, czy serwer bdzie dziaa niezalenie czy
w ramach usugi Active Directory.
Na kolejnym naley wybra folder, w ktrym obrazy systemw maj by

przechowywane i klikn Dalej (Next).
289
Na komunikacie, ktry si pojawi naley klikn Tak (Yes).
W nastpnej kolejnoci wymagane jest zaznaczenie opcji niezbdnych do

odpowiadania wszystkim komputerom oraz kliknicie Zakocz (Finish).
Po klikniciu prawym przyciskiem myszy na Install Images w konsoli WDS s do
290
wyboru dwie opcje: Dodaj obraz instalacji (Add Install Image) oraz Dodaj grup
obrazw (Add Image Group).
Jeeli zostanie wybrana opcja Dodaj grup obrazw (Add Image Group) konieczne
bdzie podanie nazwy dla grupy.
Konieczne jest wybranie cieki do obrazu lub obrazw systemu. Nie chodzi tu o
plik ISO, lecz folder, do ktrego na przykad zostanie przekopiowana zawarto
instalacyjnego CD. Naley go przygotowa narzdziem WAIK.
Serwer jest gotowy, aby dao si z niego uruchamia instalacj za porednictwem

sieci lokalnej. Mona te przygotowa Windowsa w wersji PE czy Linuxa w
291
wersji Live CD.
Gdy serwer jest ju skonfigurowany przez kreatory mona zawsze dokona

rcznych zmian jego konfiguracji. Po wejciu we waciwoci serwera z poziomu
konsoli WDS i wybraniu zakadki Boot mona okreli parametry zwizane z
rozruchem przez sie. Definiuje si je osobno dla znanych jak i nie znanych
komputerw klienckich. Midzy innymi definiuje si to, czy uruchamianie ma by
automatyczne czy na danie poprzez wciniecie klawisza F12 oraz czy uytkownik
bdzie mg przyciskiem ESC anulowa proces uruchamiania z sieci. Mona take
okreli domylne obrazy rozruchowe w zalenoci od architektury sprztowej
komputera.
W zakadce DHCP naley zaznaczy obie dostpne opcje jeeli kady komputer,
ktremu zostanie przypisany adres IP ma jednoczenie zna adres serwera PXE.
292
Jeeli w sieci jest DHCP pod kontrol Windows Server zostanie on automatycznie
skonfigurowany, w przeciwnym razie odpowiednie opcje zakresu naley ustawi
rcznie.
Warto take zapozna si z zakadk Client, gdzie mona okreli czy kada
maszyna czy tylko ta o okrelonej architekturze sprztowej moe korzysta z danego
obrazu nienadzorowanej instalacji. Nowoci w Windows Server 2012 jest wsparcie
dla komputerw, ktre zamiast Biosu uywaj UEFI. Mona tutaj take zabroni
podczania komputera do domeny w sposb automatyczny po instalacji oraz
uruchomi logowanie.
293
15.
Hyper V
Ostatnie lata rozwoju brany IT przesiknite s sowem wirtualizacja, na, ktrej to

zaczyna opiera si coraz wicej rozwiza branowych. Polega ona na tym, e na
fizycznie
dziaajcym
systemie
operacyjnym
za
pomoc
odpowiedniego
oprogramowania, w tym przypadku Hyper-V instaluje si dodatkowy system

operacyjny, ktry zachowuje si dokadnie tak samo jak gdyby by zainstalowany na
zwyczajnym komputerze.
Hyper-V zosta wprowadzony w Windows Server 2008, zosta on take rozwinity o
wiele znaczcych funkcjonalnoci w Service Pack 1 do Windows Server 2008 R2.
Windows Server 2012 udoskonala istniejce ju funkcjonalnoci, a take
wprowadza nowe. W Windows Server 2012 moliwe jest utrzymanie 1024
aktywnych maszyn wirtualnych zamiast wczeniejszych 384. Maksymalna ilo
wirtualnych procesorw dostpnych dla maszyny wirtualnej zwikszono z 4 do 32.
Pojedyncza maszyna wirtualna moe korzysta z maksymalnie 512 GB pamici
(wczeniej 64GB), a sama rola Hyper-V bez problemu zagospodaruje moc 160
procesorw logicznych.
a. Instalacja
W celu zainstalowania roli Hyper-V naley uy Menadera Serwera (Server
Manager), w ktrym podczas dodawania nowych rl wybiera si Hyper-V.
294
adne dodatkowe funkcje nie bd wymagane, wic w oknie ich wyboru mona
klikn przycisk Dalej (Next).
295
Kolejne okno kreatora to karta informacyjna, ktra powiadamia o tym i potrzebna

bdzie wiedza na temat tego, ktre interfejsy sieciowe bd wspdzielone z
maszynami wirtualnymi oraz do tego, e do zarzdzania maszynami wirtualnymi
bdzie uywana konsola Hyper-V Manager. Naturalnie jeeli maszyny wirtualne
maj mie dostp do sieci firmowej musz by poczone z interfejsem sieciowym,
ktry jest wpity do tej sieci.
W kolejnym oknie zaznacza si adaptery sieciowe, ktre maj by uyte. Microsoft

rekomenduje pozostawienie jednego interfejsu nieuywanego na potrzeby zdalnej
administracji.
296
Nastpna karta kreatora dotyczy ustawie zwizanych z migracj maszyn

wirtualnych. Jest to nowo w systemie Windows Server 2012. Do tej pory
niezbdne byo uywanie funkcji Failover clustering. Do wyboru s dwa rodzaje
autentykacji podczas migracji. Jednym z nich jest CredSSP, ktry jest mniej
bezpieczny ni protok Kerberos, lecz nie wymaga tworzenia delegacji, a do
przeprowadzenia migracji administrator musi by zalogowany na rdowym
serwerze. W przypadku Kerberosa autentykacja jest bezpieczniejsza, natomiast
wymaga stworzenia delegacji, za to pozwala na zdalne wykonanie migracji. Jeeli
serwer ma by czci klastra nie naley uruchamia migracji, lecz zrobi to
podczas tworzenia klastra.
W kolejnym oknie kreatora definiuje si to, gdzie serwer maszyn wirtualnych ma

przechowywa wirtualne dyski twarde oraz pliki konfiguracyjne tyche maszyn.
Zaleca si je trzyma na szybkich macierzach dyskowych zabezpieczonych przed
utrat danych.
297
Na karcie podsumowujcej naley klikn przycisk Install, aby instalacja si

rozpocza. Wymagane bdzie ponowne uruchomienie komputera. Na serwerze, na
ktrym zainstalowano Hyper-V nie zaleca si instalowania innych rl.
298
b. Zarzdzanie Hyper-V
Z poziomu Menadera Serwera naley do konsoli wej Hyper-V Manager. Jest to
gwna konsola zarzdzania rol Hyper-V, w ktrej bdzie mona wykonywa
wikszo zada administracyjnych z ni zwizanych.
Okno Menadera Hyper-V skada si z trzech sekcji. Pierwsza z nich to drzewo

serwerw pozwalajce zarzdza rnymi serwerami, po prawej stronie znajduje si
menu, natomiast w centralnej sekcji znajduj si maszyny wirtualne oraz ich
migawki. Aby wszystkie funkcje jak na przykad zarzdzanie RemoteFX i kartami
graficznymi byy dostpne musi zosta zainstalowana take rola Remote Desktop
Virtualization, co zostao uczynione w rozdziale 12.
299
Pierwszym krokiem jaki powinno si zrobi jest stworzenie wirtualnych sieci, aby
zapewni czno ze wiatem dla maszyn wirtualnych. Robi si to przyciskiem
Virtual Switch Manager.
300
Stworzy mona trzy rodzaje sieci. Jednym z nich jest poczenie zewntrzne,
mostkowane (Bridged) nazwane External. Symuluje ono wpicie maszyny
wirtualnej do fizycznej sieci. Drugim jest poczenie wewntrzne (Internal), ktre
tworzy sie niemajc wyjcia na wiat i dziaajc tylko i wycznie w obrbie
maszyn wirtualnych w taki sposb, e maszyny do niej wpite bd si midzy sob
komunikoway. Zapewniona bdzie take komunikacja z komputerem hosta
(serwerem Hyper-V). Ostatnim rodzajem wirtualnego przecznika jest sie
prywatna, charakteryzujca si tym, e tylko i wycznie maszyny wirtualne maj
ze sob czno. Po wybraniu odpowiedniego wirtualnego przecznika naley
klikn Utwrz Wirtualny Przecznik (Create Virtual Switch).
Pojawi si okno, w ktrym mona nada danemu przecznikowi nazw oraz opis,
take typ poczenia moe zosta zmieniony w kadej chwili. W przypadku
poczenia zewntrznego (External) mona take z rozwijanej listy okreli, do
ktrej karty sieciowej poczenie bdzie mostkowane. Tylko i wycznie w tym
momencie, czyli podczas tworzenia nowego przecznika mona skorzysta z
funkcji SR-IOV, ktra jest jedn z nowoci w Hyper-V 2012, zaznaczajc opcj
Enable single root I/O virtualization. Funkcja ta daje moliwo przypisania
karty sieciowej wspierajcej standard single root I/O virtualization, co z kolei
wpywa na zmaksymalizowanie przepustowoci sieci oraz zmniejszenie opnie
sieciowych. Dziki temu maszyna wirtualna jest bezporednio wpita do fizycznej
karty sieciowej bez uycia poredniczcego wirtualnego przecznika.
301
Wybranie w lewym menu MAC-Address Range umoliwia zdefiniowanie zakresw

adresacji MAC dla wirtualnych kart sieciowych poprzez okrelenie minimalnych i
maksymalnych wartoci adresu MAC. Przy uyciu przycisku OK naley zapisa i
zatwierdzi wybr, jednoczenie zamykajc okno i wracajc do gwnego menu
Hyper-V.
302
W menu po prawej stronie naley klikn Virtual San Manager, aby zapozna si z
kolejn nowoci w Hyper-V. Pozwala ona na stworzenie wirtualnego kanau typu
fibre-channel, dziki ktremu maszyny wirtualne mog mie dostp do magazynw
typu fibre-channel. Naturalnie wymogiem jest posiadanie portw typu fibre-channel
w komputerze hostujcym. Naley klikn OK.
Wracajc do Menadera Hyper-V mona wybra przycisk Ustawienia Hyper-V

(Hyper-V Settings). Pierwsze dwie opcje, czyli Wirtualne Dyski Twarde (Virtual
Hard Disks) oraz Maszyny Wirtualne (Virtual Machines) pozwalaj na zmian
miejsca
przechowywanie
wirtualnych
dyskw
twardych
oraz
plikw
konfiguracyjnych maszyn wirtualnych. Opcja Physical GPUs pozwala na

zdefiniowanie, ktra karta graficzna moe by uywana przez RemoteFX, a take na
wczenie wsparcia GPU dla RemoteFX. RemoteFX jest technologi wprowadzon
w Service Pack 1 do Windows Server 2008 R2. Daje moliwo wirtualizacji karty
303
graficznej w maszynach wirtualnych, dziki czemu zyskuj one moliwo

akceleracji sprztowej. Pozwala to na renderowanie materiaw 3D, a nawet
uruchamianie gier komputerowych. Umoliwia take przekierowanie portw USB
do maszyn wirtualnych, a take zapewnia wysok jako wideo oraz tekstu.
Kolejn opcj wart omwienia jest NUMA Spanning, ktr take mona
uruchomi w Hyper-V Settings. Technologia ta pozwala na przydzielenie
dodatkowych zasobw dla maszyn wirtualnych, a take pomaga w jednoczesnym
uruchomieniu wielu maszyn wirtualnych, dziki dynamicznemu przydzielaniu
zasobw, jednak w niektrych przypadkach negatywnie wpywa na ogln
wydajno. Jak skorzysta z technologii Virtual NUMA powiedziane bdzie za
chwil przy tworzeniu maszyny wirtualnej. Technologia NUMA nazywana jest
take przetwarzaniem wspbienym nierwnomiernym. Stosowane jest ona w
szczeglnoci w serwerach wieloprocesorowych, gdzie czas dostpu do pamici
operacyjnej zaleny jest od odlegoci od procesora, ktry na przykad szybciej
odwoa si do swojej pamici lokalnej ni do pamici wspdzielonej midzy
procesorami.
304
Wybierajc opcj Migracja w czasie rzeczywistym (Live Migration) ma si dostp

do opcji, ktre zostay skonfigurowane w kreatorze instalacji. Mona tutaj
dodatkowo okreli ile migracji moe by jednoczenie przeprowadzanych oraz
przez jakie sieci mog si one odbywa.
Opcja Migracja Magazynw (Storage Migrations) pozwala na okrelenie jak wiele
305
migracji magazynw danych moe by jednoczenie wykonywana.
Uycie przycisku Konfiguracja Replikacji (Replication Configuration) pozwala na

skonfigurowanie serwera Hyper-V jako serwera przechowujcego replik innych
serwerw. Komunikacja pomidzy serwerami moe odbywa w sposb nie
szyfrowany przy uyciu protokou Kerberos oraz http, lub w sposb szyfrowany
przy uyciu certyfikatw. Jest take moliwo okrelenia tego, czy maj by
przyjmowane repliki z dowolnego serwera czy z okrelonej listy, ktr mona
zdefiniowa.
306
Now maszyn mona stworzy z poziomu Menadera Hyper-V, importujc j bd

tworzc now przy uyciu przycisku Nowy (New), a nastpnie wybierajc
Wirtualna Maszyna (Virtual Machine). Mona stworzy take obraz dyskietki czy
307
wirtualny dysk twardy.
Otworzy si okno kreatora, kliknicie przycisku Zakocz (Finish) spowoduje

stworzenie maszyny wirtualnej z predefiniowanymi ustawieniami, stworzonymi
przez firm Microsoft. Jeeli jednak administrator pragnie mie wikszy wpyw na
konfiguracj wirtualnego komputera powinien klikn przycisk Dalej (Next).
W kolejnym oknie kreatora okrela si nazw maszyny wirtualnej i ewentualn inn

lokalizacj na dysku twardym. Warto te zauway, e w kadej chwili mona uy
przycisku Zakocz (Finish), aby zakoczy kreatora pozostawiajc pozostae opcje
domylne. W przypadku ksikowym zostanie kliknity przycisk Dalej (Next).
308
Na kolejnej karcie okrela si ile pamici RAM zostanie przydzielone tej maszynie
wirtualnej. Mona take wczy dynamiczne alokowanie pamici, o czym wicej
bdzie za chwile.
Nastpnie okrela si wirtualny przecznik, ktry zapewni komunikacj z sieci.
309
Kolejny krok to tworzenie lub przyczanie wirtualnego dysku twardego. S trzy

opcje do wyboru. Pierwsza - Utwrz wirtualny dysk twardy (Create a virtual hard
disk) to stworzenie dysku twardego w formie pliku. W tym przypadku wystarczy
poda jego rozmiar w GB. Druga opcja Uyj istniejcy wirtualny dysk twardy
(Use an existing virtual hard disk) to wykorzystanie istniejcego ju wirtualnego
dysku twardego w formacie VHD lub VHDX. Trzecia Przycz wirtualny dysk
twardy pniej (Attach a virtual hard disk later) to przyczenie wirtualnego dysku
w czasie pniejszym. Jako, e nie zosta wczeniej stworzony aden dysk twardy
naley stworzy go teraz.
Nastpny krok dotyczy instalacji systemu operacyjnego w maszynie wirtualnej.

Mona albo wykona to w pniejszej chwili, lub podmontowa napd CD
gospodarza zamiennie z obrazem ISO pyty, jak rwnie zainstalowa system
operacyjny z obrazu dyskietki lub sieciowego serwera rozruchu. W tym przypadku
zdecydowano si na instalacj systemu Windows Server 2012 z obrazu ISO.
310
Ostatnim krokiem kreatora bdzie wywietlenie karty podsumowujcej, na,\ ktrej

naley klikn przycisk Zakocz (Finish).
Wirtualna maszyna pojawi si w Menaderze Hyper-V w sekcji Maszyny Wirtualne

(Virtual Machines). W menu kontekstowym myszy bd po wybraniu maszyny
wirtualnej w menu po prawej stronie ekranu wywietl si dodatkowe opcje.
Pierwsz z nich jest Pocz (Connect), ktry pozwoli na wywietlenie okna
maszyny wirtualnej, ktre jest realizowane na zasadzie poczenia pulpitu zdalnego.
311
To samo mona uzyska dwukrotnym klikniciem na maszynie wirtualnej. Opcja

Start (Start) uruchamia maszyn wirtualn. Opcja Przenie (Move) uruchamia
kreator przenoszenia maszyny wirtualnej. Opcja Eksportuj (Export) pozwala na
wyeksportowanie maszyny wirtualnej w celu jej zaimportowania na innych
komputerach. Opcja Zmie Nazw (Rename) zmienia nazw, a opcja Usu (Delete)
usuwa maszyn. Przydatna moe si take okaza opcja Wcz Replikacj (Enable
Replication), ktra uruchomi kreator ustawie replikacji dla tej maszyny wirtualnej.
W kreatorze midzy innymi bdzie konieczne wskazanie serwera docelowego bd
brokera replikacji w przypadku klastra.
W menu kontekstowym znajduje si take opcja Migawka (Snapshot), ktra tworzy

migawki stanowice jakby zamroone wersje zainstalowanego systemu. Migawki
pojawiaj si w sekcji Migawki (Snapshots), a w ich menu kontekstowym mona
migawk zastosowa przyciskiem Zastosuj (Apply), co spowoduje wyzerowanie
stanu maszyny wirtualnej do stanu z migawki. W menu kontekstowym znajduje si
take opcja Eksportuj (Export) do eksportowania migawek, Zmie Nazw
(Rename) do zmiany ich nazwy oraz moliwo usunicia samej migawki lub
312
caego drzewa migawek opcjami Usu (Delete).
Kliknwszy na maszynie wirtualnej prawym klawiszem myszki i wybierajc opcj

Ustawienia (Settings), mona dosta si do ustawie wirtualnego komputera.
Zostanie otwarte okno konfiguracji, a w nim zaznaczona opcja Dodaj sprzt (Add
hardware), pozwalajca na przypisanie maszynie wirtualnej dodatkowych urzdze.
S nimi kontroler SCSI, karta sieciowa, stara karta sieciowa, ktra moe by
zainstalowana na starych komputerach, adapter fibre-channel oraz karta graficzna
3D poprzez funkcj RemoteFX.
313
W sekcji Bios definiuje si kolejno urzdze startowych w komputerze.
Klikajc na odnonik Pami (Memory) mona ustawi sta ilo pamici RAM
przypisan danej maszynie, bd uruchomi pami dynamiczn i okreli minimum
jakie maszyna musi mie przydzielone oraz maksimum, ktre bdzie moga mie
przydzielone gdy zajdzie taka potrzeba i obcienie innych maszyn na to pozwoli.
Za pomoc suwaka w sekcji Priorytet Pamici (Memory Weight) okrela si
priorytet dla tej maszyny wirtualnej. Maszyna o najwyszym priorytecie bdzie
miaa przydzielan pami w pierwszej kolejnoci.
314
Po klikniciu w Procesor (Processor) administrator ma moliwo okrelenia iloci

wirtualnych procesorw przydzielonych maszynie, a take ustawienia kontroli
zasobw, poniewa te same procesory prawdopodobnie bd dzielone z innymi
maszynami. Midzy innymi mona take okreli procentow rezerwacj mocy
procesora oraz procentowo maksymalne zuycie procesora, jak rwnie priorytet,
ktry dziaa analogicznie do pamici dynamicznej pod parametrem Relatywny
Priorytet (Relative Weight).
315
W momencie gdy zostanie rozwinite drzewo procesor i wybrana opcja

Kompatybilno (Compatibility), istnieje moliwo wybrania opcji migracji na
komputer z innym procesorem. Przydaje si ona wtedy gdy maszyna zostaa
zaimportowana na innym hocie.
Pole niej w menu to opcja NUMA, w ramach ktrej okrela si maksymaln ilo
procesorw z jakich maszyna moe korzysta oraz maksymaln ilo pamici
operacyjnej.
316
Znajduj si take kontrolery IDE, do kadego z nich mona podpi dwa

urzdzenia. Bdzie to albo dysk twardy albo napd optyczny, do ktrego mona
podmontowa obraz ISO lub fizyczny napd gospodarza.
Poniej znajduj si take ustawienia kontrolera sieci, gdzie mona ustali

minimaln oraz maksymaln przepustowo adaptera w tej maszynie wirtualnej.
317
Przyciskiem OK naley zatwierdzi ustawienia i wrci do Menadera Hyper-V, w

ktrym dwukrotnie naley klikn na utworzonej maszynie wirtualnej, a w oknie,
ktre si pojawi nacisn przycisk Start w celu uruchomienia komputera.
318
Zaaduje si system operacyjny z pyty. Mona na nim pracowa tak jak na

zwykym systemie operacyjnym. Natomiast myszk, ktra zostanie uwiziona w
oknie maszyny wirtualnej mona uwolni kombinacj klawiszy CTRL+Shift+
strzaka w lewo. W grnym menu obok przycisku Start znajduje si ikonka
symbolizujca trzy guziczki suca do wysania do maszyny wirtualnej kombinacji
klawiszy CTRL+ALT+Delete. Po prawej stronie guzika Start znajduj si kolejno
przycisk Turn Off powodujcy wyczenie maszyny wirtualnej, jednoznaczny z
odczeniem prdu, przycisk Shut Down, wysyajcy sygna wyczenia do maszyny
wirtualnej, przycisk Save pauzujcy i zapisujcy stan maszyny wirtualnej, przycisk
Pause wstrzymujcy maszyn wirtualn oraz przyciski Reset, Snapshot i Revert.
W grnym menu rozwijajc przycisk Widok (View) istnieje moliwo

uruchomienia maszyny w trybie penoekranowym. Przycisk Schowek (Clipboard)
daje moliwo skopiowania do maszyny wirtualnej zawartoci schowka oraz
wykonania zrzutu ekranu maszyny wirtualnej. Pod przyciskiem Noniki (Media)
kryje si moliwo szybszego ni przez ustawienia podmontowania obrazu ISO lub
napdu optycznego gospodarza. W menu Akcje (Action) znajduj si te same opcje,
za ktre odpowiadaj ikony. Istnieje take opcja W dysk narzdzi integracji
maszyny wirtualnej (Insert integration services setup disk), ktr bezwzgldnie
naley uruchomi po zainstalowaniu systemu operacyjnego w celu lepszego
zintegrowania go z serwerem Hyper-V oraz wgrania sterownikw.
319
Nowoci w Hyper-V jest take stworzenie nowej lokalnej grupy zabezpiecze o

nazwie Administratorzy Hyper-V (Hyper-V Administrators). Wystarczy doda do
niej uytkownika, aby ten mia peen dostp do funkcji Hyper-V.
320
16.
Windows Server Update Services
Naley doda now rol do serwera, wybierajc z listy Windows Server Update
Services i nastpnie klikn Dalej(Next). Wymagany bdzie IIS. Niniejsza usuga
pobiera z oficjalnej witryny Microsoft Windows Update bd z innego lokalnego
serwera WSUS aktualizacje produktw Microsoft, ktre zostan wybrane w
kreatorze konfiguracji. Nastpnie s one propagowane do innych komputerw w
sieci tak, aby nie musiay one korzysta z oficjalnej witryny Windows Update i
nadmiernie obcia firmowych cz.
Po wybraniu Windows Server Update Services klika si Dalej (Next).
Karta powitalna kreatora informuje o tym, za co odpowiada serwer WSUS, a take

o tym jakie wymagania sieci musz by zapewnione na maszynie hostujcej t rol.
Informuje take o tym i komunikacja pomidzy komputerami klienckimi
a serwerem oraz pomidzy serwerami powinna by szyfrowana protokoem SSL.
W kolejnym oknie kreatora naley wybra skadniki roli Windows Server Update
Services, ktre powinny zosta zainstalowane. Niezbdne bd WSUS Services oraz
321
jedna z baz danych (obu nie mona zainstalowa jednoczenie).
W kolejnym oknie kreatora naley poda miejsce, gdzie maj by przechowywane

pobrane aktualizacje. Musi by to partycja o rozmiarze wynoszcym minimum 6GB
oraz sformatowana w systemie plikw NTFS. Zaleca si uycie szybkiej macierzy
dyskowej, aby wysya aktualizacje do maszyn klienckich bez opnie, o
rozmiarze dostosowanym do iloci wybranych produktw Microsoft dla ktrych
maj zosta pobrane aktualizacje.
W oknie podsumowujcym naley kontynuowa instalacj klikajc przycisk

Zainstaluj (Install).
322
Gdy wszystkie wymagane pliki zostan zainstalowane w Menaderze Serwera, a

dokadniej w Centrum Akcji naley klikn Uruchom czynnoci post instalacyjne
(Launch Post Installation Tasks) w sekcji Konfiguracja powdroeniowa (Postdeployment Configuration) dla Windows Server Update Services.
W ten sposb uruchomiony zostanie kreator konfiguracji roli, ktra wanie zostaa
zainstalowana. Informuje on o tym, e zanim rozpocznie si proces konfiguracji,
powinna zosta skonfigurowana zapora systemowa tak, aby umoliwiaa klientom
323
czenie si z tym serwerem, temu serwerowi na czenie si z witryn Microsoft

Windows Update oraz uzyska informacje dotyczce serwera Proxy jeeli taki jest
uywany.
W kolejnym oknie kreatora mona przystpi do programu poprawy jakoci

produktw Microsoft, nie jest to jednak obligatoryjne.
324
Nastpnie okrela si czy serwer ma si synchronizowa z oficjaln witryn

Microsoft Update czy z innym serwerem WSUS.
Kolejna karta kreatora to opcjonalne ustawienia serwera Proxy.
Nastpnie kreator sprbuje nawiza poczenie z witryn Microsoft Update w celu
325
pobrania informacji na temat rodzajw dostpnych aktualizacji, listy produktw

ktre mog by aktualizowane oraz jzykw w jakich te produkty s dostpne.
Gdy niezbdne informacje zostan ju pobrane w pierwszej kolejnoci naley

wybra jzyki produktw dla jakich bd pobierane aktualizacje.
Po wybraniu jzykw koniecznej jest wybranie z listy produktw, ktre s uywane
326
w przedsibiorstwie, tak aby pobiera wycznie te aktualizacje, ktre s niezbdne.
W kolejnym kroku okrela si rodzaje aktualizacji, jakie maj by pobierane z

witryny Microsft Update. Do wyboru s aktualizacje krytyczne, aktualizacje
definicji, sterowniki, pakiety funkcji, aktualizacje zabezpiecze, aktualizacje
zbiorcze Service Pack, narzdzia, aktualizacji Rollupw oraz zwyke aktualizacje.
327
Gdy uda si przefiltrowa podane pliki do pobrania naley okreli czy serwer
WSUS bdzie synchronizowany z witryn Windows Update rcznie czy
automatycznie. Zaleca si aby aktualizacje pobiera w godzinach nocnych.
Koczc kreator konfiguracji opcj Rozpocznij pierwsz synchronizacj (Begin

initial synchrozation) mona rozpocz wstpn synchronizacj. Z racji tego, e do
pobrania bdzie pokana ilo danych, naley uzbroi si w cierpliwo.
W karcie podsumowujcej naley klikn Zakocz (Finish).
328
Po zakoczeniu kreatora rola WSUS pojawi si w Menaderze Serwera, aby ni

zarzdza naley na wybranym serwerze klikn prawym przyciskiem myszy i
wybra Windows Server Update Services.
W konsoli zarzdzania rol Windows Server Update Services warto szczegln

uwag zwrci na Opcje (Options).
329
W tym miejscu znajduj si dodatkowe ustawienia WSUS. Opcja Automatic

Approvals pozwala okreli jak automatycznie zatwierdzi instalacj updatew dla
wybranych grup. Sychronization Schedule pozwala zarzdza automatycznymi
synchronizacjami bd synchronizowa si manualnie. Computers okrela w jaki
sposb maszyny przypisywane s do grup. Warto take zaznajomi si z innymi
ustawieniami. Na szczegln uwag zasuguje Server Cleanup Wizard, czyli kreator
oczyszczania serwera.
330
Kreator oczyszczania serwera pozwala na automatyczne kasowanie nieuywanych i

nieaktualnych plikw. W oknie, ktre si pojawi okrela si elementy, ktre maj
zosta oczyszczone.
331
Gdy WSUS jest odpowiednio skonfigurowany naley zadba o rzecz najwaniejsz,

czyli o to, aby maszyny klienckie wiedziay, e maj korzysta z tego serwera
zamiast oficjalnej witryny Microsoft Update. Aby wymusi aktualizacj z lokalnego
serwera naley dokona odpowiedniej edycji polisy zwizanej z intranetow witryn
Windows Update. W anglojzycznej wersji systemu Windows Server 2012 nosi ona
nazw Allow signed updates from an intranet Microsoft updates service location.
332
17.
Bezpieczestwo danych i komputera
Backup to rzecz podstawowa w pracy administratora. Dane jak i same systemy

trzeba nieustannie archiwizowa na bezpiecznych nonikach danych.
a. Windows Backup
Naley doda funkcj do serwera, mianowicie Kopia zapasowa systemu Windows
Serwer (Windows Server Backup) i klikn Dalej (Next). Reszt instalacji
przechodzi si analogicznie do instalacji innych rl.
Po
zainstalowaniu
powyszej
funkcji
mona
teraz
wej
Narzdzia
Administracyjne > Kopia zapasowa Systemu Windows Serwer (Tools > Windows
Server Backup).
333
Uruchomiona w ten sposb zostanie konsola backupu w systemie Windows Server.
334
Kopi zapasow mona wykonywa standardowo na nonikach lokalnych.

Nowoci w Windows Server 2012 jest moliwo backupu danych w chmurze.
W drzewie po lewej stronie znajduj si listy dostpnych kopii zapasowych.
335
Nastpnie naley klikn opcj Harmonogram wykonywania (Backup Schedule),

ktra znajduje si w prawym panelu na samej grze.
Otworzy si kreator harmonogramu wykonywania kopii zapasowych, w ktrym

zachodzi potrzeba kliknicia przycisku Dalej (Next).
Nastpnie naley wybra Konfiguracj Niestandardow (Custom) i klikn Dalej

(Next).
336
Naley klikn Dodaj Elementy (Add Items), dziki czemu moliwe jest dodanie
tylko okrelonych elementw do skopiowania zamiast wykonywania kopii caego
serwera. Jest to przydatne gdy administrator pragnie przechowywa rnego rodzaju
dane w rnych bezpiecznych lokalizacjach.
Na nastpnej karcie wybiera si elementy do wykonania kopii zapasowej.
W nastpnym kroku naley okreli harmonogram wykonywania kopii, czyli w
337
jakich godzinach ma by wykonana kopia zapasowa.
Nastpnie naley okreli typ miejsca docelowego. Do wyboru jest kopia na dysku
lokalnym (Back up to a hard disk that is dedicated for backups), na woluminie
(Back up to a volume) oraz w lokalizacji sieciowej (Back up to a shared network
folder)
338
Jeeli administrator zdecyduje si na wykorzystanie caych dyskw, w zalenoci od

ich iloci kreator poczy je w macierz Raid oraz je sformatuje i przygotuje do
przechowywania kopii zapasowej.
W wiczeniowym wirtualnym rodowisku znajduj si dwa dyski po 500MB kady.

Mona zaznaczy wszystkie dyski i klikn OK.
Na komunikacie, ktry si pojawi naley klikn TAK (Yes). Informuje on

czytelnika o tym, i wybrane dyski zostan sformatowane, a dane ju na nich
zebrane zostan utracone.
339
Nastpnie naley potwierdzi kart podsumowujc kreatora klikajc Zakocz

(Finish).
W celach treningowych mona odzyska dane. Naley wic klikn na Odzyskaj

(Recover).
340
Otworzy si kreator odzyskiwania, w ktrym naley wybra lokalizacj, w

ktrej przechowywana jest kopia oraz klikn Dalej (Next). Do wyboru jest
kopia w na Lokalnym serwerze (This server) oraz w Innej lokalizacji (A
backup stored on another location).
Nastpnie wybiera si dat, z ktrej maj zosta przywrcone pliki.
341
Naley wybra typ odzyskiwania i klikn Dalej (Next). Do wyboru jest

Odzyskiwanie plikw i folderw (Files and folders), w ktrym administrator moe
rcznie wybra pojedyncze pliki lub folder, Przywracanie maszyn wirtualnych
Hyper-V (Hyper-V), przywracanie caych Woluminw (Volumes) oraz Aplikacji
(Applications). Mona take przywrci wczeniej zapisany stan systemu
operacyjnego.
342
Po wybraniu pierwszej opcji tj. przywracanie pojedynczych plikw i folderw (Files

and folders) naley zaznaczy elementy do odzyskania i klikn Dalej (Next).
W kolejnym kroku okrela si opcje odzyskiwania. Przede wszystkim naley

okreli czy dane maja by odzyskane w swoim oryginalnym miejscu, a co za tym
idzie nowe pliki zostan nadpisane czy tez w lokalizacji alternatywnej, co pozwoli
zachowa obie wersje plikw. Naley take okreli jak ma si zachowa kreator,
jeeli w docelowej lokalizacji napotka ju jakie wersje plikw oraz to, co ma on
zrobi z uprawnieniami ACL.
343
Na karcie podsumowujcej naley uy przycisku Przywr (Recover), aby

rozpocz przywracanie plikw.
b. Shadow Copies
Funkcja kopiowania w tle (Shadow Copies) folderw udostpnionych umoliwia
tworzenie biecych kopii plikw nalecych do zasobw udostpnionych, takich
jak serwer plikw. Dziki tej funkcji mona przeglda udostpnione pliki i foldery
w stanie, w jakim znajdoway si w okrelonym czasie w przeszoci.
Za pomoc funkcji kopiowania w tle (Shadow Copies) mona odzyskiwa pliki,
344
ktre zostay przypadkowo usunite lub zastpione, oraz porwnywa rne wersje
plikw.
W celu ich uruchomienia naley otworzy Mj Komputer i klikn prawym
przyciskiem myszy na lokalnym dysku komputera, a nastpnie wybra Konfiguruj
Kopie w tle (Configure Shadow Copies).
Nastpnie naley klikn na wybrany wolumin i klikn opcj Wcz (Enable).

Spowoduje to uruchomienie na nim kopii w tle. Za chwil przeprowadzony zostanie
demonstracyjny proces, ktry ma na celu pokazanie w jaki sposb dziaaj kopie w
tle i jak nich korzysta oraz jak je prawidowo skonfigurowa.
Naley klikn Tak (Yes) w komunikacie jaki si pojawi. Informuje on o tym i nie
345
zaleca si uruchamiania kopii w tle na maszynach o duym obcieniu.
Nastpnie konieczne jest wejcie w Ustawienia (Settings) w celu dokonania dalszej

konfiguracji m. in. ustawienia harmonogramu wykonywania kopii.
W nastpnym kroku ustawia si limit miejsca na dysku jakie bdzie zarezerwowane

dla kopii w tle np. wynoszcy 600MB. Gdy limit zostanie osignity kasowane bd
346
najstarsze wersje plikw. Nastpnie naley wybra Harmonogram (Schedule).
Harmonogram okrela jak czsto wykonywana jest kopia plikw, ktre ulegy
zmianie. Mona np. wybra wykonywanie kopii przy logowaniu dziki czemu
uytkownicy zawsze bd mieli dostp do swoich plikw z poprzedniego dnia
pracy.
W celu przeprowadzenia pokazu dziaania kopii w tle naley na wczeniej
347
wybranym woluminie utworzy nowy dokument tekstowy.
Nastpnie w utworzonym dokumencie naley wprowadzi jakkolwiek tre.
W karcie konfiguracyjnej kopii w tle mona klikn Utwrz Teraz (Create Now) co
spowoduje wymuszenie wykonania kopii w tle.
Czynnoci te naley powtrzy kilkukrotnie po to, aby utworzy kilka wersji

tego samego pliku.
Gdy kopie s ju przygotowane, uytkownik na komputerze czcym si do

swojego zasobu bdzie mia pod prawym klawiszem myszy opcj Przywr
348
poprzednie wersje (Restore previous versions). Naley klikn t opcj.
W oknie ktre si pojawi mona wybra dowoln poprzedni wersj pliku.
Poprzedni plik uytkownik moe otworzy w celu podgldu, skopiowa w dowolne

inne miejsce lub przywrci w jego oryginalnej lokalizacji, co spowoduje nadpisanie
najnowszej wersji pliku.
349
Jak wida zostaa przywrcona poprzednia wersja pliku sprzed edycji treci.
c. BitLocker
BitLocker to rozwizanie wbudowane w niektrych systemach operacyjnych firmy
Microsoft. Pozwala on na kryptograficzn ochron danych na dyskach. Mona take
wykorzystywa sprztowe moduy Trusted Platform Module dostpne na coraz to
wikszej iloci pyt gwnych.
Pierwszym krokiem bdzie dodanie funkcji Szyfrowanie danych funkcj BitLocker
(BitLocker Network Unlock).
Niezbdne bdzie ponowne uruchomienie komputera.
350
Naley wczy Zarzdzanie funkcj BitLocker (BitLocker Drive Encryption), co

mona uczyni z poziomu Panelu Sterowania (Control Panel).
W oknie konsoli, ktra si otworzy mona zarzdza moduami TPM, to jednak nie
351
zostanie zrobione. Zostanie jednak wczone szyfrowanie na dysku C. Naley

klikn Wcz funkcj BitLocker (Turn on BitLocker).
Na komunikacie, ktry si pojawi naley klikn Tak (Yes). Szyfrowanie jest do

obciajce dla komputera i trzeba mie to na uwadze.
Chwil to potrwa, pod warunkiem, e w systemie zainstalowany jest modu TPM.

Jeeli takiego moduu nie ma konsola zwrci bd.
352
Informuje on o tym, i na komputerze nie ma moduu TMP i aby uruchomi

szyfrowanie mona uruchomi odpowiedni zasad. Naley wic rozwin drzewo
GPO jak na poniszym zrzucie ekranu.
Nastpnie naley skonfigurowa zasad Wymagaj dodatkowej autentykacji przy

starcie (Require additional authentication at startup) jak na zrzucie ekranu poniej.
353
Teraz po odwieeniu zasad bezpieczestwa poprzez gpuupdate /force dyski

powinny si szyfrowa. Przy ponownej prbie szyfrowania pojawi si pytanie czy
bdzie uywany klucz szyfrujcy w formie napdu USB czy hasa.
354
W przykadzie zdecydowano si na haso.
W kreatorze konieczne jest wykonanie kopii zapasowej hasa dowoln metod np.
poprzez zapis do pliku, jego wydruk bd zapisanie na noniku USB.
355
Nastpnie konieczne jest zdefiniowanie czy szyfrowany bdzie cay dysk czy
jedynie zajta przestrze.
Nastpnie pojawi si karta podsumowujca. Informuje ona o tym, i za chwil

rozpocznie si proces szyfrowania dysku twardego podczas ktrego komputer
spowolni, po czym BitLocker zostanie uruchomiony. Komputer zostanie ponownie
uruchomiony.
356
Podczas ponownego uruchomienia komputera system Windows nie udzieli dostpu

do dysku twardego bez podania wczeniej zdefiniowanego hasa.
Po pierwszym logowaniu od uruchomienia szyfrowania HDD, pojawi si okienko

obrazujce postpy szyfrowania dysku twardego.
357
d. Kilka uwag oglnych

W najbliszych poddziaach czytelnik dowie si kilku ciekawostek na temat systemu
Windows oraz najlepszych praktyk zwizanych z bezpieczestwem. Wyjani one
take niektre polityki bezpieczestwa dyktowane przez Default Domain Policy.
i. Polityka hase
Nadesza pora na zajcie si komputerem klienta. W tym momencie w celach
wiczeniowych naley stworzy dowolnych 4 uytkownikw i da im nastpujce
hasa a, aaa, abc, kowal, a take zainstalowa program LC5, postpujc
zgodnie z kreatorem.
Naley wybra pierwsz opcj Komputer Lokalny (Retrieve from the local
machine).
358
W przykadzie zostanie wybrana najprostsza metoda amania hase.
Reszt ustawie naley zostawi domyln.
359
Tak proste hasa zostay zamane w uamku sekundy najprostsz metod. Dusze
haso "kowal" nie zostao zamane, gdy nie byo go w sowniku. Dlatego tak wane
jest wdroenie odpowiedniej polityki hase. Poleci mona do przetestowania
programy takie jak IRIS do przechwytywania hase podczas logowania do usug np.
FTP czy Telnet, a take WireShark do podsuchiwania ruchu w sieci. Dlatego te
wane jest, aby hasa w sieci miay odpowiedni zoono, a sama komunikacja
wewntrz sieci bya jak najlepiej zabezpieczona.
ii. Podmiana logon.scr

Mona teraz sprbowa nieco podnie swoje uprawnienia, jeli ma si dostp do
dysku C. Aby to zrobi naley.
1. Zalogowa si jako administrator, uruchomi program regedit i zmieni warto
klucza:
ScreenSaveTimeOut na warto 15 (sekund) oraz ScreenSaveActive na warto 1.
(HKEY_USERS\.DEFAULT\Control Panel\Desktop).
2. W katalogu %systemroot%\System32 skopiowa nastpujce pliki:
logon.scr na logon.old.scr
360
cmd.exe na logon.scr.
3. Wylogowa si i odczeka okoo 15 sekund.
4. Po pojawieniu si konsoli (okna polece) wykona nastpujce prby (uwaga:
niektre z nich naley powtrzy kilkakrotnie, ograniczajc do niezbdnego
minimum ilo otwartych okien):
A. Okreli kontekst uytkownika (wykorzysta program whoami z Resource Kit);
B. Uruchomi konsol lusrmgr.msc i wyprbowa moliwoci:
- zmiany hasa dla konta administratora,
- utworzenia nowego konta uytkownika,
- zmiany skadu grup Administrators.
C. Po zamkniciu konsoli lusrmgr.msc, uruchomi program explorer.exe i zbada
moliwoci wykorzystania Narzdzi administracyjnych (np. wyczyci plik
dziennika systemowego).
D. Zamkn okno polece.
5. Zalogowa si jako administrator.
6. Przywrci pierwotne wartoci kluczy w rejestrze, zmienione podczas realizacji
punktu 1.
7. Przywrci pierwotny stan plikw zmieniony podczas realizacji punktu 2.
iii. Niezabezpieczone serwery wydruku

Naley teraz wpisa w wyszukiwarce internetowej Google.pl takie zapytanie
inurl:hp/device/this.LCDispatcher, jest to adres wasny dla serwera wydruku dla
drukarek HP.
361
Czsto administratorzy nie zabezpieczaj serwerw, a dodajc stron do

wyszukiwarek automatycznie Google zapisuje rekord drukarek. Wystarczy wej w
jaki znaleziony link.
Mona teraz zrobi komu arcik i co wydrukowa na jego drukarce.

Na koniec stron godnych polecenia:
362
http://www.auditmypc.com/security-scan.asp
Gdzie
atwo
bdzie
sprawdzi
bezpieczestwo systemu z zewntrz.

Linux naszpikowany hakerskimi programami http://www.backtrack-linux.org/
iv. Best Practices Analyzer

Po zainstalowaniu i skonfigurowaniu wszystkich niezbdnych komponentw
serwera warto jeszcze uy narzdzia, ktre znajduje si w Menaderze Serwera po
klikniciu Serwer Lokalny (Local Server) w lewym menu.
Jest nim okno zarzdzania najlepszymi praktykami. S to wytyczne, uwaane za
idealny sposb konfiguracji rodowiska Windows Server, w normalnych warunkach.
363
18.
Remote Desktop Services
Przed rozpoczciem instalacji usug terminalowych, jeeli dokonywane byy istotne

zmiany w konfiguracji IIS w ramach tego kursu najrozsdniej bdzie odinstalowa
t rol, a nastpnie przystpi do instalacji serwera terminali (w Windowsie 2012
nazywa si to Usug pulpitu zdalnego (Remote Desktop Services)). Do instalacji
tej roli niezbdne s takie skadniki jak NPS, IIS, Usugi Certyfikatw oraz Active
Directory. Wdroenie nie moe mie miejsca na kontrolerze domeny, a komputer
musi by przyczony do domeny.
Naley uruchomi kreatora dodawania rl i funkcji serwera. Tym razem nie wybiera
si jednak instalacji opartych na rolach lub funkcjach, lecz zaznacza opcj Instalacja
Usugi Pulpitu Zdalnego (Remote Desktop Services Installation).
Kolejnym krokiem bdzie okrelenie typu wdroenia. Do wyboru jest Wdroenie

Standardowe (Standard Deployment), ktre pozwala na instalacj na wielu
serwerach jednoczenie. W przypadku wiczeniowym mona zdecydowa si na
opcj Szybki Start (Quick Start), ktra pozwoli zainstalowa szybko i w prosty
sposb Usugi Pulpitu Zdalnego na jednym serwerze, skonfigurowa kolekcj i
opublikowa Zdalne Aplikacje (RemoteApp).
364
W kolejnym oknie kreatora naley zdefiniowa scenariusz wdroenia. Do wyboru s

dwie opcje. Wdroenie oparte na maszynach wirtualnych (Virtual Machine
Based Desktop Deployment), ktre to pozwala uytkownikom na czenie si z
przygotowanymi wczeniej maszynami wirtualnymi i korzysta z zainstalowanych
na nich aplikacji. Drug opcj, ktra zostanie wybrana w ramach wiczenia jest
wdroenie oparte na sesjach (Session Based Desktop Deployment), ktre tak
naprawd jest utosamiane z usugami terminalowymi. W tym podejciu
uytkownicy nie potrzebuj maszyn wirtualnych, poniewa instancje ich aplikacji
mog wykonywa si niezalenie na jednym serwerze.
W kolejnym kroku okrela si serwer, na ktrym bdzie dokonywane wdroenie.
365
Nastpnie pojawi si okno podsumowania, gdzie po zaznaczeniu opcji

umoliwiajcej automatyczne ponowne uruchamianie serwera mona uy
przycisku Wdro (Deploy), ktry rozpocznie cay proces.
Proces instalacji skada si z trzech etapw. Wdraania usug systemu zdalnego

(Remote Desktop Services role services), nastpnie tworzenia kolekcji sesji (Session
collection) oraz uruchamiania programw RemoteApp (RemoteApp programs).
366
Podczas tego procesu komputer kilkukrotnie uruchomi si ponownie.
Po jakim czasie RDS bd zainstalowane. Naley je jeszcze skonfigurowa. Jeeli

nie zostanie wprowadzona adna licencja (kupuje si je osobno w firmie Microsoft)
zyska si 120dni okresu prbnego. Mona cign teraz z Internetu jaki program,
np. CDBurnerXP sucy do nagrywania pyt CD. Po jego cigniciu program
naley zainstalowa. Wane jest to, aby aplikacj instalowa dopiero po
zainstalowaniu roli serwera.
Gdy wgrane s ju wszystkie aplikacje, ktre docelowo bd udostpniane w sieci,

warto pomyle o konfiguracji licencjonowania serwera terminali. Mona jej
dokona z poziomu Menadera Serwera, rozwijajc Remote Desktop Services,
nastpnie wybierajc z listy serwerw ten, ktry jest interesujcy i wybierajc z
367
menu kontekstowego RD Licensing Manager.
Domylnie serwer licencjonowania nie jest aktywny, aby go uaktywni klika si na

nim prawym przyciskiem myszy i wybiera Aktywuj Serwer (Activate Server).
Pierwszym krokiem przed wprowadzeniem licencji jest aktywacja serwera w firmie

Microsoft o czym informuje pierwsza karta kreatora.
368
W kolejnym kroku si okrela czy aktywacja ma si odby przez Internet czy

telefon, bd te pozostawia opcje domylne, czyli wybr automatyczny, ktry w
pierwszej kolejnoci dokona prby aktywacji przez Internet.
W kolejnym oknie wypenia si informacje dotyczce osoby dokonujcej aktywacji,

firmy oraz kraju pochodzenia.
369
Nastpna karta stanowi uzupenienie danych przedsibiorstwa.
Po klikniciu przycisku Dalej (Next) nastpi aktywacja i wywietli si karta

podsumowujca, gdzie mona uruchomi kreatora instalacji licencji poprzez
zaznaczenie opcji Rozpocznij Kreatora Instalacji Licencji (Start Install Licenses
Wizard Now), i wybranie przycisku Dalej (Next).
370
Decydujc si na t opcj pojawi si pierwsze okno nowego kreatora informujce o

jego zadaniu i wymaganiach.
W kolejnym oknie wybiera si obejmujcy firm program licencjonowania i podaje
371
na kolejnych kartach niezbdne dane.
Jeeli zostanie pominity ten krok uzyska si 120 dni okresu prbnego.
Na serwerze, na ktrym zosta zainstalowany RDS po uruchomieniu Menadera
Serwera, rozwiniciu Usugi Pulpitu Zdalnego (Remote Desktop Services) z menu
po lewej stronie, rozwijajc nastpnie Kolekcje (Collections), a potem Kolekcja
Szybkiej Sesji (Quick Session Collection), ktra jest kolekcj utworzon przez
kreatora w czasie instalacji. W sekcji Zdalne Aplikacje (RemoteApp Programs) za
pomoc przycisku Zadania (Tasks) wybiera si opcj Opublikuj Zdalne Aplikacje
(Publish RemoteApp Programs) w celu udostpniania programw w trybie
RemoteApp. Standardowo udostpniony jest Kalkulator, Paint oraz Wordpad.
372
Pojawi si kreator, w ktrym naley zaznaczy aplikacje, ktre maj zosta

udostpnione lub przyciskiem Dodaj (Add) dodaje si aplikacje, ktrych nie ma na
licie.
Pojawi si karta podsumowujca, w ktrej naley klikn przycisk Publikuj

(Publish), a po chwili przycisk Zamknij (Close).
373
Po wpisaniu w przegldarce adresu https://adres_serwera.pl/RDWeb/ nastpi

przeniesienie na stron, ktra oferuje moliwo uruchomienia wczeniej
udostpnionych aplikacji, jak rwnie dostpu za pomoc terminali do komputerw
wewntrz sieci. Wanym aspektem tych dziaa jest to, e aplikacje uruchamiane w
ten sposb dziaaj w kontekcie serwera, czyli nie obciaj komputerw
klienckich.
Nie posiadajc certyfikatu z podpisem cyfrowym konieczne bdzie zaakceptowanie

wyjtku bezpieczestwa. Gdy zostanie potwierdzony pojawi si ekran logowania,
374
gdzie naley poda haso uytkownika oraz jego nazw poprzedzon nazw
domeny. Okrela si take czy komputer wpity jest do bezpiecznej sieci prywatnej
czy publicznej.
Wchodzc do zakadki Zdalne Aplikacje i Pulpity (RemoteApps and Desktops)

mona znale aplikacje udostpnione na serwerze, zarwno te dostpne w samym
systemie jak i te dodatkowo zainstalowane, w tym cignity z internetu CD Burner
XP.
375
Aby uruchomi jak aplikacj wystarczy klikn na niej myszk.
Pojawi si ekran przypominajcy poczenie pulpitu zdalnego, na ktrym

pozostawiajc opcje domylne naley klikn przycisk Pocz (Connect).
376
Rozpocznie si przygotowywanie poczenia z serwerem, ktre moe potrwa kilka

chwil. O postpie w tworzeniu poczenia informuje okienko poczenia.
Gdy aplikacja zostanie uruchomiona, mimo, e dziaa ona w kontekcie serwera na

systemie klienckim nie wida rnicy od pracy jak gdyby ta aplikacja bya
zainstalowana na komputerze klienckim.
Aplikacj uruchomion w trybie RemoteApp rozpozna mona na pasku Start

poprzez znaczek symbolizujcy poczenie zdalne, narzucony na ikon programu.
377
Wchodzc w zakadk Pocz si ze zdalnym komputerem (Connect to a Remote

PC) mona poczy si do komputera znajdujcego si w sieci firmowej poprzez
poczenie pulpitu zdalnego, mona okreli rozdzielczo okienka, w ktrym ma
by nawizane poczenie oraz inne opcje znane ju z nawizywania tradycyjnego
poczenia pulpitu zdalnego. Aby si poczy wystarczy poda adres serwera oraz
uy przycisku Pocz (Connect).
378
Pojawi si okno poczenia pulpitu zdalnego, w ktrym naley nacisn przycisk

Pocz (Connect).
Naley poda dane do logowania, ktre maj zosta uyte do nawizania poczenia
z komputerem zdalnym.
Nastpi przygotowywanie i nawizywanie poczenia zdalnego, ktre musi zosta
379
zabezpieczone, dlatego te proces ten moe chwil zaj.
Jeeli zostao wybrane poczenie pulpitu zdalnego w trybie penoekranowym praca

zdalna bdzie wyglda analogicznie do tej znanej z pracy ze zwykym poczeniem
pulpitu zdalnego. W przeciwnym razie jeeli zostanie wybrana mniejsza
rozdzielczo zostanie otworzone okienko w tym rozmiarze, a obraz pulpitu
komputera zdalnego dostosowany do jego wymiarw.
380
19.
Serwer Wydruku
Na pocztek naley doda now rol do serwera, wybierajc z listy Usugi

drukowania i zarzdzania dokumentami (Print and Document Services). Naley
klikn Dalej (Next).
Naley wybra wszystkie usugi i klikn Dalej (Next).
Po wgraniu niezbdnych plikw powinno si ponownie uruchomi komputer,

szczeglnie jeeli dodatkowo bya instalowana rola IIS.
381
Po wpisaniu adresu http://127.0.0.1/Printers mona wej na stron, na ktrej

zarzdza si wydrukami.
System Windows poprosi uytkownika o uwierzytelnienie przed udzieleniem mu

dostpu do serwera wydrukw.
382
Jeeli
wszystko
przebiegnie
pomylnie
uytkownik
otrzyma
dostp
do
udostpnionych drukarek.
Po wybraniu dowolnej z nich strona www przeniesie uytkownika do podstrony

drukarki, na ktrej mona ni zarzdza.
Opcje serwera wydruku mona skonfigurowa wchodzc do Menadera serwera i

wybierajc Narzdzia (Tools), a nastpnie Zarzdzanie Wydrukami (Print
383
Management).
384
20.
Serwer Faksw
W tym rozdziale zostanie skonfigurowany serwer faxw. Przydatna bdzie drukarka.

Dla wicze zostanie zainstalowana wirtualna drukarka, ktra bdzie zapisywa
wydruki w formacie PDF np. BullZIP PDF Printer.
Drugim niezbdnym urzdzeniem bdzie sam modem. Potrzebny jest fizycznie
zainstalowany modem, aby serwer dziaa, a take naley podpi lini telefoniczn
pod niego.
W ten sposb mona oszuka system wymuszajc na nim instalacj modemu,
ktrego nie jest podpity fizycznie. W panelu sterowania wybiera si opcj Telefon i
Modem (Phone and Modem).
Nastpnie w zakadce modem naley klikn Dodaj (Add).
385
Naley zaznaczy Nie wykrywaj mojego modemu (Dont detect my modem: I will
select it from a list) i klikn Dalej (Next).
Naley chwil zaczeka a lista si wygeneruje, a nastpnie wybra modem z listy.
Gdy na komputerze zainstalowane s wszelkie niezbdne urzdzenia mona

przystpi do waciwej instalacji serwera wydruku. Naley wybra i zainstalowa
rol Serwer Faksw.
386
Nastpnie naley klikn Dalej (Next).
Nastpnie naley zaznaczy opcj Uruchom ponownie serwer docelowy jeli

wymagane (Restart the destination server automatically if required) i klikn
przycisk Instaluj (Install).
387
Aby przystpi do wstpnej konfiguracji serwera naley wybra Menader Usug

Faksowania (Fax Service Manager). Konsola ta jest identyczna jak w systemie
Windows Server 2008 R2.
Ponisze zrzuty ekranu demonstruj moliwoci
konfiguracyjne serwera faksw w Windows Server w wersji 2008.
W dalszej kolejnoci rozwinwszy drzewko menu zgodnie z obrazkiem poniej

mona znale trzy metody odbierania faksw. Pierwsza z nich przekae fax na
podany adres email, ostatnia spowoduje wydruk na drukarce, a rodkowa zapisze
wiadomo w formie pliku. W wiczeniu wybrano wanie t opcj.
388
W zakadce Przechowywanie w folderze naley wskaza ciek do folderu, gdzie

maj by zapisywane pliki i klikn OK.
Naley pamita, aby uytkownicy wczeniej zdefiniowani mieli dostp do tego

folderu czy te do drukarki, ktra byaby konfigurowana. Na koniec naley klikn
prawym guzikiem na wybranej opcji i klikn Wcz (Enable).
W nastpnym kroku konieczne jest kliknicie na modemie i wejcie w jego
389
Waciwoci (Properties).
Na karcie Oglne naley zaznaczy opcj odbierz fax, a nastpnie ustawi liczb
sygnaw po jakich fax zostanie odebrany np. 2.
Odbieranie faksw jest ju zapewnione, a co z wysyaniem? Naley klikn START
390
i uruchomi Faksowanie i skanowanie w systemie Windows (Windows Fax and

Scan).
Na ekranie jaki si pojawi naley wybra Pocz z serwerem faksw w mojej sieci
(Connect to a fax server on my network).
Nastpnie naley wpisa nazw serwera i klikn Dalej (Next).
391
Za pomoc tej aplikacji mona tworzy dokumenty, ktre bd wysane za pomoc

faksu.
Naley take pamita, aby kady uytkownik, ktry ma mie dostp do usug
faksowania zosta dodany do grupy Uytkownicy Faksu (Fax Users).
392
21.
Volume Activation Services
Volume Activation Services jest rol, ktra zastpia Key Management Service
(KMS). Daje ona moliwo aktywacji systemw klienckich, serwerowych oraz
innych aplikacji firmy Microsoft w obrbie przedsibiorstwa bez koniecznoci
nawizywania bezporedniego poczenia z serwerami aktywacyjnymi firmy
Microsoft. Niniejszy rozdzia omawia proces instalacji oraz jej wstpnej
konfiguracji.
a. Instalacja
Aby uytkownik mg zainstalowa Volume Activation Services musi posiada
uprawnienia administratora lokalnego do komputera docelowego oraz by
czonkiem grupy zabezpiecze Administratorzy Przedsibiorstwa (Enterprise
Administrators). Instalacji dokonuje si poprzez Menadera Serwera, uywajc
kreatora dodawania rl i funkcji.
W pierwszej karcie kreatora instalacji Volume Activation Services pojawiaj si

informacje o tym, za co ta rola odpowiada oraz jakie s wymagania do jej instalacji.
Midzy innymi mona si tutaj dowiedzie o tym, i niezbdny bdzie klucz
aktywacji woluminowej.
393
Bezporednio po uyciu przycisku Dalej (Next) zostanie wczytana karta

podsumowujca, gdzie w celu zainstalowania roli naley wybra przycisk Instaluj
(Install).
b. Wstpna konfiguracja VA Services

W Menaderze Serwera w menu po lewej stronie pojawi si rola VA Services. Nie
jest jednak ona jeszcze uruchomiona, niezbdna jest wstpna konfiguracja serwera.
Mona tego dokona poprzez Centrum Akcji, gdzie klika si na nonik Volume
394
Activation Tools w sekcji Post-deployment Configuration.
Pojawi si kreator, ktry skada si z czterech krokw. Pierwszym z nich jest

wprowadzenie do usugi. Znajduj si tam informacje na temat samej roli, jak i
wymaga jakie musz zosta spenione przed dalsz konfiguracj.
W kolejnym kroku naley okreli metod aktywacji. W przypadku domeny
395
najwygodniej bdzie wybra Autentykacja oparta na Active Directory (Active

Directory Based Activation). Dziki temu nowa rola dostosuje si do
infrastruktury AD i nie bdzie wymagana adna dodatkowa konfiguracja np.
Firewalla. W tym oknie istnieje te moliwo podania nazwy uytkownika i hasa,
gdyby obecnie zalogowany uytkownik na komputerze nie mia odpowiednich
uprawnie do przeprowadzenia instalacji.
Na kolejnej karcie konieczne jest wprowadzenie numeru licencji klienta na

podstawie, ktrej dokonywane bd aktywacje.
396
Niezbdne bdzie poczenie z serwerami Microsoft w celu weryfikacji i aktywacji

tego klucza, podobnie jak w przypadku systemw operacyjnych mona tego
dokona online lub telefonicznie zatwierdzajc swj wybr przyciskiem Wykonaj
(Commit).
Pojawi si komunikat informujcy o tym, e do Active Directory zostanie dodany

nowy obiekt, ktry naley zatwierdzi przyciskiem Tak (Yes).
397
Po pomylnej aktywacji rola bdzie zainstalowana i uruchomiona.
398
22.
Triki
a. Wdrujcy i wymuszony profil uytkownika
Naley stworzy profil uytkownika, ktry nie bdzie mg samodzielnie edytowa

ustawie konta, a wprowadzone przez niego zmiany bd automatycznie kasowane.
Na pocztek konieczne bdzie stworzenia jakiego konta uytkownika, a nastpnie
dostosowanie go do wasnych potrzeb. Kolejnym krokiem bdzie wylogowanie si z
komputera i zalogowanie si na nim jako administrator.
Dla przykadu na samym pocztku mona stworzy nowy profil dla uytkownika
test, nastpnie zalogowa si na nim po to, aby system utworzy jego domylny
profil. Mona ten profil dostosowa tak, aby spenia on odpowiednie oczekiwania
(np. posiada odpowiednie pliki czy skrty na pulpicie).
Nastpnie naley wylogowa si z konta uytkownika test i zalogowa jako

administrator. Warto zauway, e na dysku lokalnym C w folderze Users powsta
nowy katalog o nazwie test. Powinien on zosta teraz udostpniony. Aby to uczyni
naley klikn na tym folderze prawym klawiszem myszy i we waciwociach
udostpni go tak, aby tylko docelowa grupa uytkownikw miaa do niego dostp.
Warto te sprawi, aby folder by ukryty w otoczeniu sieciowym.
399
Nastpnie naley otworzy konsol Uytkownicy i Komputery Usugi Active

Directory (Active Directory Users and Computers). We waciwociach
podanych uytkownikw w zakadce profile podaje si na sztywno ciek dla
profilu uytkownika (ciek sieciow). Nie ma znaczenia czy zostanie uyta
adresacja IP czy rekordy serwera DNS.
To jednak nie wszystko. Tak przygotowany profil uytkownicy bd mogli
400
edytowa i zapisywa w nim zmiany. Naley zmieni profil na tzw. Profil

Wymuszony (Mandatory). W tym celu w oknie zawierajcym zawarto profilu
uytkownika w grnym menu naley klikn guzik Widok (View), nastpnie
rozwin Opcje (Options) i wybra Zmie opcje przeszukiwania folderw (Change
folder and search options).
Teraz naley wej w zakadk Widok (View), gdzie naley wybra Poka ukryte
pliki i foldery (Show hidden files, folders and drives) i odznaczy, Ukryj
rozszerzenie znanych typw plikw (Hide extentions for known file types) oraz
Ukryj chronione pliki systemowe (Hide protected operating system files).
W katalogu uytkownika pojawi si teraz wicej plikw oraz ich rozszerzenia.
401
Zmiana rozszerzenia pliku NTUSER.DAT na NTUSER.MAN, spowoduje to, e

adne zmiany wprowadzone w profilu uytkownika, jak na przykad utworzenie
nowego pliku na pulpicie czy zmiana ta pulpitu nie zostan zachowane. Po
wylogowaniu po prostu zmiany wprowadzone przez uytkownika bd tracone.
Obecna konfiguracja zakada jednak to, e uytkownicy przy kadym logowaniu

bd cigali z serwera swoje dane. Jest to o tyle kopotliwe ze moe prowadzi do
zbyt duego obcienia sieci. Wracajc wic do waciwoci udostpnionego folderu
i uruchamiajc jeszcze pliki trybu offline z optymalizacj dla wydajnoci mona
osign to, e dane uytkownikw bd cigane nie zawsze lecz np. wtedy gdy
uytkownik przesidzie si na inny komputer. W przypadku zwykych kont
uytkownika rwnie warto pomyle o takiej optymalizacji jeeli s one
przechowywane w lokalizacji sieciowej.
402
b. Dane w chmurze - mapowanie SkyDrive

Windows Live SkyDrive to wirtualny dysk autorstwa firmy Microsoft i jednoczenie
cz
serwisu Windows
25 GB miejsca,
Live.
ograniczeniem
SkyDrive
wysyanych
darmowej
plikw
jest
wersji
ich
udostpnia
rozmiar
nie
przekraczajcy 100 MB na plik (z racji nieustannie doskonalcej si oferty firmy

Microsoft liczby te mog ulec zmianie). Te wartoci jednak zmieniaj si bardzo
szybko. Teraz zostanie przedstawione jak podmontowa w swoim komputerze lub
serwerze dysk Skydrive tak, aby by widoczny w Moim Komputerze tak samo jak
inne dyski. Dziki temu bdzie mona zabezpieczy w chmurze najwaniejsze dane.
Analogiczne kroki mona podj posiadajc wykupione patne usugi w chmurze w
firmie Microsoft. Konfiguracja dla uatwienia w przykadzie zostanie przedstawiona
na systemie klienckim Windows 7. W innych systemach proces przebiega
analogicznie.
Pierwszym krokiem jest udanie si na stron skydrive.live.com gdzie naley albo si
zalogowa albo zarejestrowa. Po zalogowaniu tworzy si folder bd foldery.
Warto zwrci uwag na to, aby uprawnienia folderw byy adekwatne do celu.
Innymi sowy jeeli foldery maj nie by nikomu udostpniane prawidowym
parametrem udostpniania powinno by Tylko ja
403
W Windows 7 naley wej do panelu sterowania.
Nastpnie naley wybra Konta uytkownikw i Filtr rodzinny.
W dalszej kolejnoci konieczne jest wejcie w Konta Uytkownikw.
404
W kocu w menu po lewej stronie okna naley klikn Pocz identyfikatory w

trybie online.
Na poziomie loga Windows Live ID konieczne jest kliknicie na link Pocz

identyfikator trybu online.
Jeeli s wgrane dodatki Microsoft Live Essentials pojawi si od razu ekran

logowania do usugi Windows Live, w przeciwnym razie najpierw nastpi
przekierowanie do strony www, na ktrej bdzie moliwo pobrania niezbdnego
pliku instalacyjnego.
405
Po chwili oczekiwania pojawi si informacja o powizaniu komputera z usug

Windows Live.
Teraz programy jak Microsoft Office uzyskay moliwo zapisu do dowolnego

folderu na dysku Skydrive. Aby taki folder zamapowa potrzebna bdzie jego
dokadna cieka sieciowa. W tym celu naley wczy np. Excel, z menu Plik
wybra opcj Zapisz i Wylij, a nastpnie w rozwinitym menu Zapisz w sieci Web,
aby po chwili po prawej stronie pojawiy foldery dostpne w usudze Skydrive.
Konieczne jest wybranie folderu, ktry ma zosta zmapowany i kliknicie Zapisz
Jako.
406
Po klikniciu w grny pasek adresu si moliwo skopiowania adresu dysku.
Po wyuskaniu fizycznej cieki internetowej do dysku Skydrive dysk ten mona

zamontowa w tradycyjny sposb na dowolnym komputerze pod kontrol Windows
lub innego systemu operacyjnego.
Naley wej w Mj Komputer i w grnym menu wybra opcj Mapuj Dysk

Sieciowy.
W oknie, ktre si pojawi konieczne jest okrelenie litery dysku oraz wklejenie
407
wczeniej skopiowanego linku. Ca akcj naley zatwierdzi klikajc Zakocz.
Jeeli wszystko przebiegnie pomylnie dysk sieciowy pojawi si w Moim

Komputerze i bdzie automatycznie podczany przy kadym uruchomianiu
komputera. Teraz pozostaje tylko zabezpiecza swoje dane. Mona to robi rcznie
bd uy np. darmowej aplikacji Comodo Backup.
c. GodMode
W Windows Server 2012 mona stworzy specjalny folder, ktry pozwoli zebra
wszystkie narzdzia konfiguracyjne systemu w jednym miejscu. Aby utworzy taki
folder naley postpowa tak, jak w przypadku tworzenia zwykego folderu, czyli
408
klikn na pulpicie prawym klawiszem myszki i wybra opcj Nowy -> Folder, a
nastpnie nada nazw folderowi, musi by dokadnie taka jak poniej:
GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}
Folder zosta utworzony i zmienia si jego ikona oraz nazwa, a mianowicie wyglda
jak na ilustracji poniej:
Jego zawarto jest imponujca i daje administratorowi due moliwoci

wprowadzania przernych konfiguracji dla systemu.
409
23.
Windows 2012 Core
Windows Server 2012 podobnie jak jego poprzednik moe zosta zainstalowany w
trybie Core. Tryb ten charakteryzuje si tym, e nie instaluje on graficznej powoki
systemu Windows. Nie s instalowane take programy korzystajce z graficznego
interfejsu uytkownika za wyjtkiem kilku programw jak na przykad notatnik.
Systemem zainstalowanym w wersji Core mona zarzdza za pomoc wiersza
polece PowerShella, lub zdalnie za pomoc Microsoft Management Console. W
dziale tym czytelnik dowie si w jaki sposb zainstalowa system w wersji Core
oraz pozna podstawy zarzdzania takim systemem na podstawie kilku wybranych
rl.
a. Instalacja wstpna konfiguracja

Proces instalacji systemu Windows Server 2012 w wersji Core praktycznie nie rni
si od standardowej instalacji. Podczas wyboru systemu operacyjnego, ktry ma
zosta zainstalowany wystarczy wybra ten, w ktrego nazwie w nawiasie
wystpuje sformuowanie Server Core.
Pozostae kroki instalatora s analogiczne do tych opisanych w rozdziale 1.

Podobnie jak i w tym rozdziale instalator zakoczy si prob podania nowego hasa
dla administratora.
410
Due zmiany w interfejsie mona dostrzec dopiero po zalogowaniu si do systemu

operacyjnego. Zamiast standardowego GUI jest czarny ekran z uruchomion
konsol CMD.
Podstawowym poleceniem, ktre bdzie wykorzystywane jest sconfig, ktry

uruchamia Narzdzie Konfiguracji Serwera (Server Configuration).
Narzdzie to pozwala na konfiguracj podstawowych ustawie komputera takich

jak:
Domena/grupa robocza
Nazwa komputera
Dodawanie administratorw
Konfigurowanie zdalnego zarzdzanie
411
Konfigurowanie aktualizacji
cignicie i instalacja aktualizacji
Zdalny pulpit
Ustawienia sieci
Ustawienia daty i czasu
Konfiguracja ustawie zwizanych z programem raportowania bdw w

firmie Microsoft
Aktywacja systemu
Wylogowanie uytkownika
Ponowne uruchomienie serwera
Wyczenie serwera
Wyjcie do wiersza polece
Aby dosta si do jakich ustawie wystarczy poda numer wybranej opcji, a wybr
zatwierdzi klawiszem Enter.
412
Pierwszym krokiem bdzie nadanie komputerowi odpowiedniej nazwy. Dokonuje

si tego poprzez wybranie opcji numer 2 i wprowadzenie podanej nazwy
komputera. Po zatwierdzeniu jej klawiszem Enter pojawi si okienko informujce o
tym, e wymagany jest ponowny rozruch komputera.
Gdy komputer ponownie si uruchomi, naley ponownie wczy narzdzie

konfiguracji serwera, aby tym razem skonfigurowa sie za pomoc opcji numer 8.
Po jej wybraniu wylistowana zostanie tablica dostpnych interfejsw sieciowych.
Aby dosta si do konfiguracji, ktrego z nich naley poda jego indeks, a wybr
potwierdzi przyciskiem Enter. Do wyboru pojawi si cztery opcje. S nimi
konfiguracja adresw sieciowych, konfiguracja serwerw DNS, oczyszczenie
ustawie serwerw DNS oraz powrt do poprzedniego menu.
Za pomoc opcji pierwszej naley przypisa serwerowi statyczny adres IP.

Komputer najpierw zapyta czy adres IP ma by przypisywany z serwera DHCP
(opcja D) czy adres bdzie statycznych (opcja S). Nastpnie poprosi o
wprowadzenie kolejnych adresw IP. Jeeli jakie maj nie zosta podane zostawia
si pole puste.
413
Naley take skonfigurowa serwery DNS jeeli bd takowe wymagane. W

przykadowym laboratoryjnym przypadku Windows Server sam w sobie bdzie
serwerem DNS, wic naley wprowadzi adres IP localhosta, czyli 127.0.0.1.
Oprcz korzystania z polece PowerShella oraz przygotowanych programw

mona korzysta take z wiersza polece. Za pomoc polecenia md Share naley
stworzy na dysku C komputera folder o nazwie Share. Poleceniem dir naley
wylistowa zawarto dysku C w celu weryfikacji czy folder zosta utworzony.
414
Aby folder udostpni naley wyda polecenie NET SHARE z odpowiednim

parametrem.
Naturalnie poznanie wszystkich polece oraz wszystkich moliwych parametrw

jest moliwym tematem dla kilku oddzielnych publikacji. Tym o czym bdzie teraz
wspomniane jest moliwo skorzystania z podpowiedzi dla kadej z komend, ktre
mona wywietli za pomoc sformuowania nazwa_polecenia /?
b. Zarzdzanie systemem w wersji Core

W tym podrozdziale najwiksza waga zostanie przywizana do nauki podstaw
zarzdzania systemem Windows Server 2012 w wersji Core. Przede wszystkim
zostan przedstawione rne interfejsy uytkownikw oraz moliwoci przeczania
si midzy nimi oraz rnice pomidzy nimi. Nastpnie zostanie zainstalowanych
kilka podstawowych rl serwera za pomoc wiersza polece zamiast trybu
graficznego.
i. Interfejsy uytkownika
Jedn z nowoci w Windows Server 2012 jest moliwo swobodnego przeczania
415
si pomidzy graficznym interfejsem uytkownika, a tekstowym. Wymagany bdzie

jedynie restart komputera, aby tego dokona. Wczeniej taka zmiana wymagaa
reinstalowania
caego
systemu
operacyjnego.
Jest
to
ukon
stron
administratorw, ktrzy s pocztkujcy w PowerShell i pragn dokona

konfiguracji w trybie graficznym, a nastpnie przeczy si do trybu tekstowego,
dziki czemu serwer nie straci na prostocie konfiguracji, a jednoczenie bdzie
lepiej zabezpieczony. Aby przeczy si z trybu tekstowego na graficzny naley
wyda polecenie: Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-GuiShell Restart. Przed jego wpisaniem naley uruchomi PowerShell komend
PowerShell.
Rozpocznie si proces instalacji i pojawi si pasek postpu. Instalacja moe trwa od

kilku do kilkunastu minut w zalenoci od wydajnoci komputera.
Aby z trybu graficznego powrci do trybu tekstowego naley wpisa polecenie

Uninstall-WindowsFeature Server-Gui-Mgmt-Infra Restart.
W Windows Server 2012 zostaa jeszcze wprowadzona opcja porednia, tzw.
Minimalny interfejs serwera (Minimal Server Interface) zwany rwnie MinShell.
Stanowi on co poredniego pomidzy trybem w peni graficznym, a w peni
tekstowym. Administrator w tym trybie ma dostp do graficznej konsoli menadera
serwera. W czci panelu sterowania konsoli MMC oraz wiersza polece
PowerShell administrator nie ma dostpu do Explorera Windows, Internet Explorera
416
oraz interfejsu startowego metra. Poza zwikszeniem wygody MinShell zwiksza

take bezpieczestwo systemu Windows Server zmniejszajc obszary potencjalnych
atakw. Aby uruchomi system operacyjny w tym trybie naley odinstalowa
wszystkie role i funkcje za wyjtkiem Graphical Management Tools and
Infrastructure. Kolejnym krokiem bdzie ponowne uruchomienie komputera.
Po ponownym uruchomieniu komputera interfejs, ktry si wczyta bdzie

hybrydowy. Pojawi si zarwno elementy z trybu graficznego jak i tekstowego.
417
ii. Podstawowe role serwera

Windows Server 2012 daje moliwo instalacji wikszej iloci rl ni w przypadku
swoich poprzednikw. Oprcz tego wprowadza wiksz liczb polece PowerShell.
Nowoci jest take moliwo instalacji Microsoft SQL Server 2012 w serwerze w
wersji Core, co znaczy, e
serwer IIS ma moliwo hostowania aplikacji
ASP.NET. Moliwe do zainstalowania role to:
Active Directory Certificate Services (AD CS)
Active Directory Domain Services (AD DS)
Active Directory Lightweight Directory Services (AD LDS)
Active Directory Rights Management Server (AD RMS)
DHCP Server
DNS Server
File and Storage Services
Hyper-V
Print and Document Services
Remote Desktop Services (RDS)

o
Remote Desktop Connection Broker
Remote Desktop Licensing
Remote Desktop Virtualization Host
Routing and Remote Access Server (RRAS)
Web Server
Windows Server Update Server (WSUS)
Windows Server 2008 dawa moliwo instalacji nastpujcych rl:
Active Directory Domain Services (AD DS)
Active Directory Certificate Services (AD CS)
Active Directory Lightweight Directory Services (AD LDS)
DHCP Server
418
DNS Server
File Services
Print Services
Streaming Media Services
Internet Information Services (IIS)
Hyper-V
1. Nienadzorowana
instalacja
Active
Directory
Podobnie jak w przypadku trybu graficznego naley wczeniej skonfigurowa
odpowiedni nazw komputera oraz adresacj IP., aby instalacja przebiega
pomylnie niezbdny bdzie serwer DNS. Wprawdzie Windows Server 2012
wprowadza nowe narzdzie konfiguracji domeny, jednak podejcie znane ze
starszych wersji Windows Server rwnie si sprawdzi.
Pierwszym krokiem bdzie uruchomienie notatnika poleceniem notepad w celu

przygotowania pliku konfiguracyjnego dla nienadzorowanej instalacji. To z niego
instalator pobierze informacje i w sposb automatyczny przeprowadzi awans
serwera do pierwszego kontrolera domeny w nowym lesie.
419
Plik tekstowy powinien zaczyna si poleceniem DCINSTALL, ktre mwi o tym

jakiego typu dane si tutaj znajduj. Kolejne wiersze tego pliku to polecenia
odpowiadajce kolejno za:
Okrelenie czy ma by zainstalowany serwer DNS
Okrelenie czy tworzony jest nowy las czy nowa domena
Okrelenie DNSowej nazwy domeny
Okrelenie netbiosowej nazwy domeny
Nazwa lokalizacji
Okrelenie czy tworzona jest nowa domena czy replika
Okrelenie poziomu funkcjonalnoci lasu (1 Windows 2000, 2 Windows

2003, 3 Windows 2008, 4 - Windows 2008 R2, 5 Windows 2012)
Okrelenie poziomu funkcjonalnoci domeny
Lokalizacja bazy danych
Lokalizacja logw
420
Zgoda na zresetowanie komputera po zakoczeniu
Lokalizacja folderu Sysvol
Haso administratora trybu przywracania
Tak przygotowany plik naley zachowa na dysku C, np. AD.txt.
Kolejnym krokiem jest podanie polecenia dcpromo /unattend:c:unattend.txt.
421
Pojawi si informacja o tym, e
dcpromo zostao zastpione przez
ADDSDeployment, a instalacja zostanie kontynuowana. Niezbdny bdzie ponowny

rozruch komputera. Gdy to nastpi Windows Server bdzie mia zainstalowan rol
DNS oraz Active Directory Domain Services.
Nastpnym krokiem bdzie instalacja serwera DHCP przy uyciu PowerShell. Po

uruchomieniu konsoli PowerShell naley wyda polecenie Add-WindowsFeature
DHCP.
Rola serwera DHCP zostaa zainstalowana. Naley jedynie j skonfigurowa.

Inn rol, ktr warto zainstalowa na serwerze w wersji Core jest Hyper-V. Suy
temu polecenie dism /online /enable-feature /FeatureName:Microsoft-Hyper-V
W analogiczny sposb mona zainstalowa pozostae role serwera. Kad z tych rl

mona zarzdza na kilka sposobw, poniewa kada rola posiada szereg polece
422
PowerShell sucych do zarzdzania nimi. Po wicej informacji w tej materii warto

zajrze na stron Microsoft Technet. Innym sposobem zarzdzania jest zarzdzanie z
poziomu Menadera Serwera na innej maszynie z systemem Windows Server bd
za pomoc dodatku na stacje robocze zwanego Narzdziami Administracyjnymi
Serwera (Remote Server Administration Tools).
Pakiet Administration Tools mona znale za darmo w Internecie bd na pycie
instalacyjnej Windows Server.
Zawiera on przygotowane konsole, po wczeniu ktrych za pomoc adresu IP

nastpi poczenie si z serwerem. Jest to sposb wygodny i bezpieczny,
pozwalajcy take na zdalne zarzdzanie nawet spoza przedsibiorstwa przy uyciu
poczenia VPN.
423

Biblia Windows Server 2012. Podręcznik Administratora - Krzysztof Wołk (HQ)

Uploaded by

Copyright:

Available Formats

You might also like

Biblia Windows Server 2012. Podręcznik Administratora - Krzysztof Wołk (HQ)

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Biblia Windows Server 2012. Podręcznik Administratora - Krzysztof Wołk (HQ)

Uploaded by

Copyright:

Available Formats

Biblia Windows Server 2012

Copyright by Krzysztof Wok, 2012

Wszelkie prawa zastrzeone. aden fragment nie moe by publikowany ani

Opracowanie graficzne i projekt okadki:

WYMAGANIA SPRZTOWE I OPIS RODOWISKA ................................................................ 10

PROCES INSTALACJI .................................................................................................... 11

POST INSTALACJA .................................................................................................... 17

NOWY INTERFEJS UYTKOWNIKA ................................................................................... 17

CZYNNOCI POST-INSTALACYJNE ................................................................................... 22

Zmiana nazwy komputera ........................................................................... 25

KONFIGURACJA SIECI .................................................................................................. 27

ZARZDZANIE PROCESORAMI I PAMICI OPERACYJN....................................................... 29

ACTIVE DIRECTORY DOMAIN SERVICES .................................................................... 31

CZYM JEST DOMENA? ................................................................................................. 31

INSTALACJA ACTIVE DIRECTORY DOMAIN SERVICES .......................................................... 34

WSTPNA KONFIGURACJA AD DS ................................................................................. 41

ACTIVE DIRECTORY USERS AND COMPUTERS ................................................................... 45

ACTIVE DIRECTORY ADMINISTRATIVE CENTER.................................................................. 70

SERWER DNS ............................................................................................................ 76

ZAPOZNANIE Z KONSOL DNS MANAGER....................................................................... 76

RCZNA KONFIGURACJA STREFY DNS ............................................................................. 79

ZARZDZANIE SERWEREM DNS .................................................................................... 84

ZAPASOWY SERWER DNS ............................................................................................ 90

INSTALACJA PIERWSZEGO SERWERA DHCP ..................................................................... 99

KONFIGURACJA SERWERA DHCP ................................................................................ 103

ZARZDZANIE SERWEREM DHCP ................................................................................ 109

DHCP Policies ............................................................................................. 113

WYSOKA DOSTPNO DHCP .................................................................................... 118

Konfiguracja klastra DHCP ......................................................................... 118

IIS Z FTP ORAZ URZD CERTYFIKACJI ...................................................................... 125

INSTALACJA ROLI WEB SERVER (IIS) ............................................................................ 125

INSTALACJA ACTIVE DIRECTORY CERTIFICATE SERVICES.................................................... 128

AKTUALIZACJA PLATFORMY .NET ................................................................................ 139

TWORZENIE NOWYCH CERTYFIKATW.......................................................................... 141

ZARZDZANIE SERWEREM IIS ..................................................................................... 144

URUCHAMIANIE SERWERA FTP .................................................................................. 152

IIS I PHP ............................................................................................................... 158

NETWORK ACCESS PROTECTION ............................................................................ 164

NETWORK POLICY AND ACCESS SERVICES ..................................................................... 164

ZARZDZANIE NETWORK POLICY SERVER ...................................................................... 168

VPN, DIRECT ACCESS I NAT..................................................................................... 177

INSTALACJA ROLI REMOTE ACCESS .............................................................................. 177

KONFIGURACJA VPN I NAT ....................................................................................... 181

KONFIGURACJA DIRECTACCESS ................................................................................... 190

POLISY (ZARZDZANIE ZASADAMI GRUPY) ............................................................ 195

WYBRANE NOWOCI W GPO ..................................................................................... 202

UPRAWNIENIA SIECIOWE ........................................................................................... 205

Dodatkowe ustawienia udostpnianych plikw......................................... 208

UPRAWNIENIA NTFS ............................................................................................... 209

AUTORYZACJA METOD CLAIM................................................................................. 215

Nakadanie uprawnie Claim ..................................................................... 216

Definiowanie Claim Types .......................................................................... 222

UPRAWNIENIA NA SYSTEMIE PLIKW REFS ................................................................... 227

ZARZDZANIE DRUKARKAMI ....................................................................................... 230

Instalowanie drukarek ............................................................................... 230

Zarzdzanie dostpem do drukarek sieciowych ......................................... 233

SERWER PLIKW ............................................................................................... 236

INSTALACJA ROLI SERWERA PLIKW ............................................................................ 236