listopad 2007 - Posts

31. listopad 2007 23:21

Windows Server 2008 - Network Access Protection

Network Access Protection je nova sigurnosna platforma koja će biti dio Windows Servera 2008, nasljednika današnjeg Windows Servera 2003. Obzirom da se radi o tehnologiji u čiju implementaciju neće biti uključen samo Microsoft već i mnogo drugih proizvođača hardvera i softvera, ima smisla posvetiti joj nešto više pažnje. Obzirom da sam već držao par kurseva i prezentacija vezanih za Windows Server 2008 (Longhorn) u kojima je centralno mjesto zauzimao NAP, ovome sam posvetio prilično pažnje. Dio toga ću podijeliti i sa Vama. Proći ću ovdje kroz NAP sa konceptualnog aspekta, odnosno dati jedan overview. Koga zanima više, odnosno step-by-step upute, može ih naći u mom članku objavljenom u Windows ItPRO magazinu - http://www.windowsitpro.com/authors/authorid/1761/1761.html (za pretplatnike)

 

Ideja za implementaciju tehnologije kao što je Network Access Protection (u daljem tekstu NAP) nije nova, ni kod Microsoft-a, ni kod drugih proizvođača. Već neko vrijeme postoje softveri koji na ovaj ili onaj način kontrolišu sigurnosno stanje klijenata, te ih na osnovu tog stanja puštaju ili ne puštaju da pristupaju određenim mrežnim resursima.Da se podsjetimo, i Microsoft je zajedno sa Service Packom 1 za Windows Server 2003, napravio nešto što se zove Network Access Quarantine (negdje se označava i  kao VPN Quarantine), što je služilo za provjeru sigurnosnog stanja klijenata koji se spajaju kroz VPN konekciju. Obzirom da se radi o prilično traljavom rješenju, malo ko to zaista i koristi van laboratorijskog okruženja, no nije beskorisno podsjetiti se kako to radi, budući da sama zamisao nije loša. Klijentima koji imaju potrebu za spajanjem VPN-om u korporacijsku mrežu, se distribuira Connection Manager client, kojeg prethodno kreiramo na serveru korištenjem alata koji je dio Windows Server 2003 administrativnih alata. Preko njega klijenti uspostavljaju VPN vezu, a po uspostavi veze se na klijentskom računaru pokreću .vbs skripte koje provjeravaju da li je uključen firewall na svim mrežnim konekcijama, da li je ICS (Internet Connection Sharing) deaktiviran, da li screen saver ima zaštitu lozinkom, da li je prisutan/ažuriran antivirus, te da li su instalirani svi važeći fixevi i sigurnosne nadogradnje za OS. Klijentska komponenta ovog sistema bi izvještaj o rezultatima rada .vbs skripti slala Remote Access Serveru, koji bi na osnovu tog izvještaja puštao klijenta u mrežu, ili primjenjivao na njega IP filtere, te mu time u određenoj mjeri ograničavao mogućnosti komunikacije (zapravo, stavljao ga u karantin). Ovo rješenje, iako na prvi pogled može izgledati dobro, ima mnogo mana. Prvo, uopšte nije dinamično. VPN klijent, po dozvoli za ulazak u mrežu, može promijeniti svoje sigurnosno stanje (recimo isključiti firewall ili uključiti ICS), a da to nigdje neće biti registrovano, niti će mu se zbog toga uskratiti pristup mrežnim resursima. Bitno je dakle samo njegovo stanje u momentu ostvarivanja VPN konekcije, odnosno u momentu izvršavanja kontrolnih skripti. Drugo, provjera instaliranih hotifixeva se sastoji u tome da administrator održava jedan txt fajl u kojem su pobrojani, jedan ispod drugog, svi hotfixevi koji se zahtijevaju od klijenata (u formatu kbxxxxxx.exe). Pri pojavi novog hotfix-a, oznaka istog se mora ručno dodati u pomenutu txt listu, te zatim listu distribuirati klijentima, kroz novi connection manager client softver. Dakle, ponovo vrlo statično rješenje. I treće (mada ne i posljednje, ali ostanimo na ovome), provjera stanja antivirus softvera se svodi na pisanje posebnih skripti za svaki tip AV softvera. Ako imamo VPN klijente, koji imaju različite AV programe (što je vrlo vjerovatno), stvar se značajno komplikuje, jer jedna skripta ne može verificirati više od jednog Antivirusa. Ukratko, mogli ste steći utisak da ova tehnologija i nije naročito sretno rješenje, posebno za sisteme u kojima se zahtijeva visoka sigurnost. Svjesni toga su očito bili i u Microsoftu, pa je za Longhorn server kreirana potpuno nova sigurnosna platforma, koja osim toga što popravlja navedene mane, donosi i još dosta toga.Stvar se zove Network Access Protection ili skraćeno NAP.

 

Šta je NAP? Suštinski, radi se o sigurnosnoj platformi, koja služi tome da one klijente koji ne zadovoljavaju korporativnu politiku o sigurnosti, smjesti u odvojenu mrežu (ili karantin), te im ne dozvoli da pristupaju mrežnim resursima, kojima bi inače mogli pristupati. Ono što je vrlo bitno da se odmah na početku naglasi, jeste to da se više ne radi samo o VPN klijentima, već o svim vrstama mrežnih klijenata, bez obzira na interfejs putem kojeg se spajaju na mrežu. Nije bitno da li se klijent u neku lokalnu mrežu želi spojiti putem wireless veze, VPN-om putem Interneta ili tako što će se jednostavno fizički uključiti u lokalnu mrežu putem UTP kabla – ukoliko ne zadovoljava polisu, pristup će mu biti bitno smanjen ili sasvim onemogućen.

SHV

Kako to zapravo radi? Iako NAP sam po sebi ima dosta komponenti i sa jedne i sa druge strane, te je proces provjere prilično kompleksan, pokušat ću to malo pojednostaviti. Ono što nam je ovdje izuzetno bitno, je Security Center komponenta na klijentu, koju imamo kod Windows-a XP sa SP2, te kod Viste (koji su ujedno i jedina dva klijentska OS-a koji podržavaju NAP). Osim toga, mora biti pokrenuti Network Access Protection Agent servis na klijentu (po defaultu ga imamo u Visti, ali je disabled, i u WinXP SP3), te konfigurisan enforcement client (zavisi koji metod spajanja odaberemo).

Pri pokušaju spajanja klijenta na mrežu u kojoj je implementiran NAP, na bilo koji način, klijentska NAP komponenta će serverskoj komponenti poslati stanje iz security centra klijenta koji se spaja. Ako u security centru imamo nekih upozorenja odnosno isključenih komponenti, to će biti javljeno NAP serveru i vrlo vjerovatno će pristup biti uskraćen. Ako je, pak,  u Security Centru klijenta „sve zeleno“, to će biti ok i serveru.Security centar je sam po sebi osmišljen tako da vodi brigu o sigurnosnom stanju mašine, pa će on „zapomagati“ čim se desi nešto što iskače iz sigurnosnih okvira – isključivanje firewall-a, zastario ili nepostojeći antivirus/antispyware, izmjena postavki Automatic Update-a, odnosno pojava nadogradnji koje je potrebno instalirati.Ovim pristupom rješeni su svi problemi koje je Network Access Quarantine (NAQ) imao. Okruženje je vrlo dinamično i reaguje trenutno – klijent se može i vratiti u karantin ako mu se tokom korisničke sesije sigurnosno stanje promijeni, što NAQ nije mogao. Zatim, administrator više ne mora da brine o tome da klijenti moraju da imaju iste Antivirus programe (mada je to poželjno iz nekih drugih razloga) – sve dok Security Center prepoznaje AV i svjestan je njegovog stanja – sve je ok. Na kraju, nema potrebe ni održavati listu nadogradnji koje zahtijevamo od klijenta – i za to se brine Security Center. Obzirom da je Security Center okosnica ovog rješenja sa klijentske strane, jasno zašto ova platforma nije podržana na operativnim sistemima starijim od Windows-a XP sa SP2 (npr. nam Windowsima 2000). Jednostavno, nemamo Security Center, bez kojeg ovo ne funkcioniše. I šta kad smo u karantinu? Samim zatvaranjem klijenta u karantin, ukoliko ne zadovoljava zadatu polisu, ne završavamo priču. Smisao karantina je u tome da klijentu omogućimo da vrijeme koje tu provede iskoristi na popravljanje svog stanja. Zbog toga je potrebno obezbijediti karatnin-resurse, odnosno u NAP terminologiji – remediation servere. Uloga tih resursa je da obezbijede klijentu mogućnost da popravi svoje sigurnosno stanje, te da potom izađe iz karantina i ima puni pristup mreži. Primjera radi, WSUS je tipičan model jednog remediation servera. Ukoliko klijent koji se spoji na mrežu nema instalirane zadnje security hotfixeve, dozvolit će mu se pristup samo da WSUS servera, sa kojeg te fixeve može pokupiti i instalirati. Slično je i za antivirusom/antispyware-om – ako je zastario, takvog klijenta pustit ćemo samo do AV servera. Naravno, ovakvi resursi treba da budu u nekoj vrsti DMZ-a, budući da će im pristupati potencijalno nesigurni klijenti. Što se tiče drugih postavki koje NAP kontroliše, a to su uključen firewall na svim konekcijama, te aktivan automatic update, ukoliko iste nisu na traženim vrijednostima, NAP komponenta na strani klijenta (što je zapravo običan Windows servis), će se pobrinuti da ih automatski dovede u zadovoljavajuće stanje.No, ovdje treba objasniti i kako karantin zapravo radi. Pa, zavisno od situacije. Ako smo NAP implementirali na DHCP nivou, onda će klijentima koji ne zadovoljavaju sigurnosnu polisu (tzv. Unhealthy klijenti), biti dodijeljena IP adresa iz opsega sa kojima radi DHCP, ali će za subnet masku imati 255.255.255.255., neće imati default gateway, te će im biti forsiran skup statičkih ruta prema remediation serverima, odnosno resursima koje im želimo dati na raspolaganje dok su u karantinu. Naravno, smještanje u poseban VLAN bi bilo ljepše rješenje, no DHCP server jednostavno za to nije sposoban.S druge strane, ako se klijent spaja putem Routing and Remote Access servisa (odnosno putem VPN-a, Wireless-a ili 802.1x uređaja), tada će, ukoliko je unhealthy, biti smješten u ograničen VLAN (RRAS to može), te će pomoću IP packet filtera biti ograničen na komunikaciju samo sa remediation serverima.Na kraju, želi li unhealthy klijent pričati po IPSec-u sa nekim resursima u mreži, bit će mu odbijeno izdavanje Health certifikata, koji je za takav vid komunikacije neophodan.  Šta je potrebno za NAP ? Da bi se NAP implementirao, potrebno je imati barem jedan Windows 2008 server u domenskom okruženju. Nije neophodno da Win2008 bude domen kontroler, što znatno pojednostavljuje stvari oko implementacije. Ono što je ovdje bitno naglasiti je da Network Policy Server (koji nosi polise kojima određujemo zahtjeve sigurnosti prema klijentima), zapravo mijenja dosadašnji IAS, pa se na njemu mogu definisati i druge vrste polisa za pristup na mrežu, a ne nužno samo one koje forsiraju NAP.Ono što je još vrlo bitno naglasiti je to da je Microsoft u čitav ovaj NAP projekat ušao sa velikim brojem partnera koji razvijaju slična rješenja (Cisco, Symantec,...). Saradnja na NAP platformi zapravo znači da će se u NAP implementaciju na Longhorn serveru moći integrisati i klijentska strana koja ne mora nužno imati Microsoft bazirano rješenje u vidu Security Centra, nego i neko drugo poput Cisco Secure Client. Ovo će sasvim sigurno ovoj tehnologiji otvoriti vrata, jer je neće ograničiti samo na one koji koriste Windows XP odnosno Vistu. 

U svakom slučaju, prema onome što se sada može vidjeti na osnovu RC0 verzije Windows 2008 servera, NAP je već sasvim funkcionalan. Za očekivati je da u finalnoj verziji imamo još kompletnije i stabilnije rješenje, koje će sasvim sigurno doprinijeti podizanju nivoa mrežne sigurnosti.

Na kraju, volio bih o ovome čuti i malo diskusije. Iako NAP kao rješenje zvuči dobro, malo iskusniji već mogu nazrijeti koji bi to bili problemi pri implementaciji.  

 

Posted by ddamir with 1 comment(s)
Filed under:
29. listopad 2007 22:25

Ovo mi se prilicno svidja - RemoteApp u Windows Serveru 2008

Kod izvršavanje aplikacija kroz terminalski pristup, meni je lično prilično išla na živce potreba da imam aktivnu RDP sesiju na desktop terminal servera. U Windows Serveru 2008 konačno su riješili i taj problem. Naime, kako bi se korisnicima omogućilo da izvršavanje aplikacija na serveru bude što komfornije, Microsoft je ubacio novu funkcionalnost u terminal servise koja se zove RemoteApp (negdje i Remote Programs). Ukratko, radi se o tome da korisnik sada više ne mora ostvarivati RDP sesiju prema terminal serveru da bi pokrenuo aplikaciju, onako kao do sada. Aplikacija se sada pokreće sa korisnikovog računara, ali se izvršava zapravo na serveru. Naravno, u pozadini se ostvaruje RDP sesija, ali sam korisnik ima dojam kao da se aplikacija „vrti“ na njegovom računaru. Nema posebnih RDP desktopa, niti onog klasičnog logiranja na udaljeni sistem. Sve ovo naravno i dalje postoji, ali je sa korisničke strane perfektno zamaskirano, tako da manje iskusan korisnik zaista gotovo i da ne može razlikovati aplikacije sa svog računara i one koje se pokreću na serveru.
Ovaj servis dodaje se na isti način kao i TSG, i da bi proradio potrebno je relativno malo administrativnog truda. RemoteApp mora se instalirati na svakom serveru na kojem se vrši terminalsko korištenje aplikacija, i poželjno je da se instalira prije same aplikacije. Nakon toga, administrator treba da kreira korisniku .rdp ili .msi fajl u kojem će biti terminalska aplikacija „u malom“. Ako se kreira .rdp fajl korisnik ga treba kopirati kod sebe na disk i jednostavnim dvoklikom na isti, aplikacija će, nakon autentikacije, biti pokrenuta u novom prozoru na isti način kako i bilo koja druga. S druge strane, ako se korisnicima distribuira .msi package, oni će ga instalirati kao i svaku drugu aplikaciju te će se zatim pojaviti u start meniju. Što je i još bolje moguće je asocirati ekstenzije fajlova sa lokalnog računara sa terminalskom aplikacijom.Tako recimo ako se npr. Adobe reader instalira kao terminalska aplikacija, korisnik će prilikom klika na svoj lokalni fajl sa .pdf ekstenzijom pokrenuti Adobe Reader sa terminal servera.
remoteapp
Administrator, prije kreiranja samih .rdp i .msi fajlova za terminal aplikacije treba na serveru koji hostira ovaj servis da podesi port na kojem će aplikacije raditi (default je 3389), da konfiguriše listu dostupnih aplikacija, konfiguriše autentikaciju, te eventualno certifikat ukoliko želimo da saobraćaj bude digitalno potpisan. Takođe, moguće je podesiti i opciju za spajanje kroz TSG, čime se omogućava puna funkcionalnost. Korisnik ovako može na isti način pokretati aplikaciju i unutar lokalne mreže, i od bilo kuda drugo gdje postoji Internet link, bez potrebe da promijeni makar i jedan parametar. Takođe, moguće je podesiti i sve ostale parametre vezane za RDP.
Na kraju, potrebno je „izbildati“ rdp ili msi fajlove te iste distribuirati korisnicima.
Posted by ddamir with 1 comment(s)
Filed under:
27. listopad 2007 23:31

Terminal Services Gateway u Windows Serveru 2008

Ova novina u terminal servisima Windows Servera 2008, omogućava jednu vrlo korisnu stvar a to je enkapsulacija RDP saobraćaja unutar HTTPS saobraćaja. Stoga se vrlo često zove i RDP over HTTPS. Funkcioniše tako što se jedan ili više servera konfigurišu kao Terminal Services Gateway-i, na koje se korisnici izvana spajaju putem porta 443, enkriptovanim konekcijama. Unutar tog saobraćaja pakuje se zapravo RDP sa zahtjevom za spajanje na neki od internih računara. Terminal Services Gateway (TSG u daljem tekstu) prima zahtjev koji dolazi preko porta 443, dekriptuje je ga i potom „izvlači“ RDP iz njega te ga potom prosljeđuje željenom računaru putem klasičnog porta 3389. Na ovaj način moguće je da korisnik sa Interneta izvrši uspostavu RDP sesije prema bilo kojem hostu u internoj mreži, specificiranje njegovog DNS imena (lokalnog), te specificiranje imena TSG-a. Što je još bolje, TSG može da autenticira korisnika prije nego proslijedi njegov zahtjev prema odredišnom računaru. Ovim je riješen i problem blokiranih portova na javnim pristupnim tačkama, jer HTTPS saobraćaj uglavnom nikada nije zabranjen.Pogledajmo šta je potrebno da bi ovo proradilo. Servis TSG je lako dodati korištenjem Server Manager konzole, odnosno Add Roles wizarda. Treba odabrati Terminal Services ulogu, te unutar nje odabrati ovaj servis. Pored TSG-a bit će instalirani i IIS7, Network Policy Server, RPC over HTTPS proxy, kao neophodne komponente cijelog rješenja.
Prvo što je potrebno napraviti nakon instaliranja servisa TSG je instaliranje odgovarajućeg certifikata na ovaj server, kako bi se konekcije mogle enkriptovati. Po defaultu, za enkripciju se koristi TLS 1.0, pa nam je potreban certifikat sa namjenom Server Authentication, te sa Subject Name vrijednošću koja je jednaka javnom DNS imenu pod kojim će TSG biti objavljen na Internetu. Važno je napomenuti da se instaliranje ovog certifikata ne može obaviti kroz standardnu Certificates konzolu, nego je potrebno zahtjev pripremiti pomoću certreq command line utility-a. Za one koji ne vole CL alate, mali tip : Može se iskoristiti IIS konzola da se dobije, kroz wizard za web sajt, certifikat kakav je potreban. Ukoliko ne postoji lokalna CA struktura za izdavanje certifikata, a ne želite kupiti ni komercijalni, postoji još jedno rješenje. Kroz TSG konzolu može se kreirati i izdati tzv. „self-signed“ certifikat koji server praktično izda sam sebi. Iako će enkripcija saobraćaja raditi i sa ovakvim certifikatom, njemu neće vjerovati ni jedan klijent koji ga nema eksplicitno dodatog u listi Trusted Root CA.
Nakon što se certifikata instalira i konfiguriše, potrebno je kreirati polise za pristup na TSG. Tu razlikujemo dvije vrste polisa : Connection Authorization Policies (CAP), koje kontrolišu pristup na sam TSG, te definišu autentikacijske metode, kao i redirekciju lokalnih uređaja kroz RDP, te Resource Authorization Policies (RAP) kojima se kontroliše pristup RDP-om na računare unutar lokalne mreže. Potrebno je kreirati polise i u jednoj i u drugoj grupi, da bi TSG radio. Inače, vrijedi pomenuti da polise koje se ovdje kreiraju, zapravo bivaju kreirane na Network Policy Server servisu (zamjena za IAS), koji je i zadužen za kontrolu ovog pristupa.
Polise se kreiraju jednostavno, klikom na odgovarajući store i odabirom opcije sa kreiranje nove polise. Unutar CAP polise treba odabrati grupe (lokalne ili iz AD-a) kojima će biti dozvoljen pristup na TSG, te autentikacijski metod koji će biti podržan (password i/ili smartcard). Takođe, ovdje se konfiguriše i koji nivo redirekcije lokalnih uređaja (diskovi, printeri i sl.) će biti dozvoljen kroz RDP sesiju. S druge strane, RAP polise definišu računare/servere kojima će biti moguće pristupiti terminal sesijom kroz RDP, te grupe korisnika kojima će to biti dozvoljeno. Takođe, tu je moguće podesiti i port preko kojeg će se uspostavljati RDP sesija. Default je TCP 3389, ali se mogu dodati i drugi.
Vrlo je mudro kreirati više od jedne CAP i RAP polise kako bi se na pravi način isfiltrirala kontrola pristupa.Nakon što se ovo konfiguriše, stvar je manje-više spremna za upotrebu. Potrebno je još registrovati javno DNS ime za TSG (mora biti isto kao na certifikatu), te objaviti sam TSG na javnoj IP adresi preko firewall-a. Najkonfigurabilnije i najsigurnije rješenje za objavu TSG-a je ISA Server, mada je to moguće napraviti i sa drugim firewall-ima.
TSG Client
Sa klijentske strane potrebno je vrlo malo konfiguracije. Potrebno je imati instaliran RDP Client 6.0 (besplatan je i dostupan kroz Windows update) te na Advanced tabu istog kliknuti Settings, te zatim konfigurisati javno ime TSG. Spajanje se potom ostvaruje na isti način kao i kada se nalazimo u lokalnoj mreži. Opcije za konfiguraciju TSG-a na klijentskoj strani dozvoljavaju i da se TSG zaobiđe kada se računar sa kojeg se spaja nalazi u lokalnoj mreži, pa se tako ista konekcija može koristiti i unutar i van mreže. Takođe, sve opcije vezane za TSG klijentima je moguće poslati i kroz Group Policy.

 

Posted by ddamir with no comments
Filed under:
26. listopad 2007 11:15

Sta donosi Exchange 2007 SP1?

Za razliku od prethodnih SP-ova koji donose na prvom mjestu gomilu security fixeva, SP za Exchange Server 2007 više je usmjeren na funkcionalnost, i to uglavnom onu koju smo očekivali dobiti u RTM verziji, ali nismo.
Tako je u SP1 dodata grafička konzola za administraciju Public Foldera, jer je u RTM verziji njihova administracija bila moguća samo kroz PowerShell. Slično je dodato i za konfiguraciju POP3 i IMAP4 servisa, za koje takođe nije bilo grafičke konzole. Service Pack 1 donosi i mogućnost instalacije Exchange Servera 2007 na Windows Server 2008, kada bude dostupan, te donosi i native podršku za IPv6. Outlook Web Access, kao jedan od najpopularnijih servisa Exchange Servera, takođe će biti funkcionalno unaprijeđen kroz SP1, dodavanjem mogućnosti kreiranja rule-ova, pristupa public folderima, pravljenjem personalnih distribucijskih listi, te implementacijom S/MIME kontrola. Dodata je i mogućnost exporta mailbox-ova u PST, koju su mnogi uzaludno tražili u RTM verziji. Sa aspekta visoke dostupnosti SP1 donosi Stand-by continuous replikaciju, kao mogućnost za pravljenje backup exchange sajta. Upravljanje mobilnim uređajima (posebno onima sa WM6.0 operativnim sistemom) je takođe značajno poboljšano, dodavanjem više polisa koje je moguće forsirati prema mobilnim klijentima, pa je sada recimo sa Exchange servera moguće klijentu koji ima WM uređaj, zabraniti korištenje kamere, bluetootha ili internet sharing-a.
U svakom slučaju, oni koji su implementirali Exchange Server 2007, dobit će dosta korisnih funkcionalnih poboljšanja kroz prvi Service Pack.
Posted by ddamir with no comments
Filed under:
22. listopad 2007 22:55

Windows Deployment Services - konacno adekvatna zamjena za RIS

Vjerujem da su mnogi od Vas odustali od korištenja RIS-a zbog prekomplikovanog pristupa, ali i potrebe da koriste više alata za jedan cilj. Rješenje je obično bio Ghost ili neki sličan alat. Sada konačno imamo sve na jednom mjestu, i što je najvažnije besplatno. Windows Deployment services može da se instalira na Windows Server 2003 ili kao role na Windows Server 2008. Dio je WAIK skupa alata i može se naći na adresi : http://www.microsoft.com/downloads/details.aspx?familyid=C7D4BC6D-15F3-4284-9123-679830D629F2&displaylang=en . Download  jeste povelik ali se isplati, jer ćete osim WDS-a dobiti i još niz korisnih alata. Pogledajmo sada malo detaljnije šta je WDS. 

Windows Deployment Services omogućava adminstratoru da radi sve ono što je mogao RIS, ali što je važnije, i još neke dodatne stvari koje ranije nisu bile moguće.  Za one koji ne znaju šta je RIS, recimo da je osnovna namjena tog softvera (a i WDS-a) omogućavanje instalacija operativnih sistema i pratećih aplikacija na klijentske računare bez, ili sa što manje, intervencije administratora ili krajnjeg korisnika.
Iako WDS, kada se instalira na Windows 2003, može raditi i u legacy modu, odnosno ponašati se kao RIS, time se ovdje nećemo baviti. Ono što će nas zanimati je rad u Native modu, odnosno rad sa .wim image fajlovima i njihovo apliciranje na radne stanice u mreži.
Cilj je da pomoću pravilno konfigurisanog WDS-a, omogućimo instalaciju OS-a na ciljni računar bez intervencije administratora ili korisnika, te bez korištenja fizičkog medija (CD/DVD). Sve što će biti potrebno je samo fizički uključiti radnu stanicu, pod pretpostavkom da mrežna kartica podržava PXE boot. Dalje, korištenjem novih alata za deployment, iskoristit ćemo WDS i kao mjestu za pohranu custom image fajlova operativnih sistema sa referentnih radnih stanica.Instalirati WDS je vrlo jednostavno. U Windows-ima 2003 dolazi sa SP2 ( i dodaje se kao komponenta) ili se instalira zasebno kroz WAIK skup alata. U Windows-u 2008 je standardna komponenta koja se dodaje kao i sve ostale. Kako god ga instalirali, preporuka je da se uz njega instalira i Windows System Image manager (takođe dio WAIK-a), jer je on neophodan za kreiranje answer fajlova za unattended instalacije. Da bi WDS mogao da radi, potreban mu je Active Directory, na serveru na kojem je on ili na nekom drugom. Preporuka je ipak da WDS bude smješten zajedno sa DHCP servisom, radi lakoće konfiguracije boot-a preko mreže, mada to nije imperativ, samo što će u u suprotnom zahtijevati nešto više ručnog konfigurisanja.Prilikom prvog pokretanja WDS-a, inicirat će se wizard za početnu konfiguraciju. Tu će biti potrebno odrediti lokaciju image fajlova, te konfigurisati DHCP (radi se zapravo o konfiguraciju portova na kojima „sluša“ WDS), te eventualno dodati postojeće image fajlove. Sam wizard je vrlo jednostavan, i neće predstavljati probleme ni manje iskusnim administratorima.Nakon što se završi početna konfiguracija, na red dolazi pravi posao, a radi se o kreiranju okruženja koje će omogućiti podizanje klijentskih sistema preko mreže, te „bešumni“ deployment operativnih sistema na iste. Prvo što je potrebno napraviti je dodati tzv.boot image, odnosno komponentu koja inicira Windows Preinstallation Environment (WinPE), kao okruženje iz kojeg se pokreće sam setup proces operativnog sistema. Bez obzira instalira se na ovaj način Vista ili Windows XP, boot image će vjerovatno biti isti. On se može ručno kreirati pomoću alata iz WAIK-a (ukoliko se zahtijevaju neke specifičnosti), no mnogo jednostavnije rješenje je uzeti već gotov sa DVD-a Windows-a Vista ili još bolje sa instalacijskog DVD-a Windows Servera 2008. Dovoljno je potražiti fajl pod nazivom boot.wim i kopirati ga sa DVD-a u neki folder na WDS serveru. Šta zapravo radi boot.wim? Radi se o fajlu koji sadrži image vrlo ograničene verzije Windows operativnog sistema pod nazivom Windows Preinstallation Environment ili WinPE. WinPE je dovoljan da se iz njega naprave npr. osnovni zahvati nad diskom, te da se pokrene deployment image fajla stvarnog OS-a. Klijentima koji su konfigurisani za boot preko mreže, nakon dodjele IP adrese, bit će TFTP-om poslan upravo ovaj image fajl koji će se cio učitati u radnu memoriju, te pokrenuti WinPE. Kada se doda boot image fajl na njega se može vezati i odgovarajući answer fajl (kreiran kroz Windows System Image Manager – dio koji se odnosi na WinPE) koji će odraditi dio posla vezan za konfiguraciju particija na disku, formatiranje i sl.
Zanimljivo je da se od boot image fajla koji se doda, može kreirati i tzv.Capture image fajl. Ukoliko se korisnik odluči da podigne sistem preko mreže korištenjem Capture image fajla, bit će mu omogućeno da napravi image svog postojećeg sistema, te taj image spremi na WDS. Najtipičniji scenario u kojem bi se ovo koristilo bio bi kreiranje referentne mašine (instaliran OS i sve prateće aplikacije i drajveri) na kojoj se izvrši sysprep. Mašina se potom restarta, boot-a preko mreže korištenjem capture image fajla, te se kreira .WIM image od takvog sistema. Potom se takav image sa WDS-a direktno prosljeđuje radnim stanicama bez OS-a, kojima će pri prvom pokretanju biti kreiran novi SID, te omogućeno konfigurisanje korisničkih specifičnih podataka (user name, time zone, itd.) Kao najvažniji dio u dizajniranju rješenja nameće se upravo dodavanje image fajlova koji sadrže operativne sisteme. Ovdje možemo krenuti u više pravaca. Može se dodati klasični install.wim fajl koji sadrži recimo operativni sistem Windows Vista  sa svim njegovim verzijama. Drugi scenario je da dodajemo image fajl koji smo „pokupili“ (sa capture boot image-om) sa neke mašine koju smo podesili reprezentativno ostalima, te na kojoj je izvršen sysprep. Treća verzija bila bi samo kreiranje image fajla sa neke „žive“ mašine, zbog recimo pravljenja backupa sistema prije upgrade-a. Image fajlova se može dodati proizvoljan broj, te se za svaki od njih može vezati poseban answer fajl, koji će poslužiti sa unattended instalaciju.
U suštini, answer fajlovi se i ne moraju kreirati, mada onda od automatizovane instalacije nećemo vidjeti puno. Sistem se hoće pokrenuti sa mreže, te će se setup proces za OS sam startati, ali za sve ostalo će se čekati intervencija korisnika odnosno administratora.Preporučena konfiguracija za upotrebu WDS-a za automatski deployment Windows-a Vista na računare bez operativnog sistema uključivala bi sljedeće korake :1.       Konfiguracija WDS-a u smislu foldera za image fajlove, te opcija za DHCP2.       Dodavanje boot.wim fajla sa Vista ili Windows 2008 DVD-a kao boot image fajla3.       Kreiranje unattend.xml fajla za PE, sa Windows System image managerom (dovoljno je ubaciti samo opcije iz grupe WindowsPE, za kreiranje partcija, definisanje jezika, te autenticiranje prema WDS-u), te vezivanje tog fajla sa odgovorima za boot image fajl.4.       Dodavanje install.wim fajla sa Windows Vista instalacijskog DVD kao install image fajla5.       Kreiranje unattend.xml fajla sa Windows System Image managerom, za davanje odgovora na pitanje setup procesa OS-a (tretiraju se uglavnom dijelovi oobeSystem, Microsoft Windows Shell Setup i  Windows International Core) te vezivanje ovog fajla sa odgovorima za install image fajl6.       Kreiranje multicast deploymenta (opcionalno, samo za Windows Server 2008)Za druge scenarije, poput kreiranja image-a referentne mašine, koriste se slični postupci, uz modifikacije boot fajlova, odnosno pravljenje capture boot fajlova. Ako se sve napravi kako treba, nakon navedenih 6 koraka, treba još samo uključiti klijentsku mašinu bez OS-a, namjestiti u BIOS-u boot-anje preko PXE-a i sačekati.WDS je konačno komponenta koja će omogućiti administratorima da bez korištenja drugih alata naprave efikasno deployment okruženje. Jednostavan je za korištenje i održavanje, a što nije nimalo zanemarivo besplatan je. Zato ništa ne košta da ga probate!

 

Posted by ddamir with no comments
More Posts Next page »