Hans Olav Bøe. Windows Server 2012

Transkript

1 Hans Olav Bøe Windows Server 2012

2 Gyldendal Norsk Forlag as og Dataservice as 2014 Omslag: Redaktør: Formgiver: Hild Mowinckel Øystein Falch Lise Eastgate Trykk og innbinding: 07 media 07.no ISBN Alle henvendelser om forlagets utgivelser kan rettes til Dataservice as Storgata 4C 1767 HALDEN Det må ikke kopieres fra denne boka i strid med åndsverkloven og fotografiloven eller i strid med avtaler om kopiering inngått med KOPINOR, Interesseorgan for rettighetshavere til åndsverk. Kopiering i strid med lov eller avtale kan medføre erstatningsansvar og inndragning og kan straffes med bøter eller fengsel.

3 Introduksjon Windows Server 2012 er et av de mest brukte operativsystemene til lokalnettservere. Med denne boka håper vi å kunne gi deg grunnleggende kunnskap, slik at du kan sette opp og drifte et nettverk med din egen server. Vi går igjennom blant annet maskinvarekrav, installasjon, administrasjon, nettverk og internettilkobling, og vi skal også se på klientdelen av nettverksoppsettet. Hvordan bruker du boka? Hvert kapittel introduseres nytt stoff. Framstillingen av stoffet bør leses av deg eller gjennomgås av instruktør. Etter stoffet følger en metode som i stikkordsform forklarer framgangsmåten for å løse en oppgave. Metoden må du studere spesielt nøye. For å få størst utbytte av boka anbefaler vi at du setter opp et eget nettverk som beskrevet i metoder og eksempler. I slutten av hvert kapittel finnes en oppsummering som du kan benytte som en kontrolliste. Sett kryss ved det du kan, og repeter det du eventuelt ikke har fått med deg. I tillegg finner du oppgaver som du bør løse så mange som mulig av. Oppgavene er av praktisk art, og det er meningen at du skal utføre dem ved maskinen (serveren eller en arbeidsstasjon). Windows Server 2012 er et omfattende produkt, så denne boka dekker ikke alle funksjonene som finnes. Noen funksjoner er kun aktuelle å bruke i store nettverk, og andre funksjoner er såpass spesielle at de ikke brukes ofte. Lykke til med kurset! Forfatteren

4 INNHOLDSFORTEGNELSE OVERSIKT WINDOWS WINDOWS 1.0 TIL WINDOWS SERVER 2012 R WINDOWS 2012 ROLLER FORSKJELLIGE 2012-VERSJONER NETTVERK PRIVAT NETTVERK MED RUTER NØDVENDIG INFORMASJON FOR KONFIGURASJON AV TCP/IP BRUK AV VIRTUELLE MASKINER INSTALLASJON FØR VI STARTER INSTALLASJONEN OMGIVELSER WINDOWS 2012 MEDIA OG LISENS INSTALLASJON TILPASNING AV INSTALLASJONEN SERVER MANAGER ACTIVE DIRECTORY DOMAIN SERVICES OVERSIKT AD INSTALLERE ACTIVE DIRECTORY BRUKERE STARTE ACTIVE DIRECTORY USERS AND COMPUTERS LAGE BRUKERE GRUPPER GRUPPETYPER FORHÅNDSDEFINERTE GRUPPER ORGANISERING AV BRUKERE LAGE FLERE BRUKERE FILDELING OG SKRIVERE FIL- OG PRINTSERVERROLLER DELE FILER NETTVERKSKRIVERE ARBEIDSSTASJONER TILPASNING AV BRUKERMILJØ PROFILER GROUP POLICY PÅLOGGINGSSKRIPT (LOGON SCRIPT) DHCP

5 8.1 OPPSETT AV DHCP-SERVER DRIFT REMOTE DESKTOP REMOTE SERVER ADMINISTRATION TOOLS EVENT VIEWER PERFORMANCE MONITOR DEVICE MANAGER TASK SCHEDULER WINDOWS FIREWALL SERVICES TID UPS SIKKERHETSKOPIERING TASK MANAGER ORGANISERING AV LAGRINGSPLASS DISKER I WINDOWS SERVER DISK MANAGEMENT STORAGE SPACES TIERING KVOTER FILE SCREENING SHADOW COPIES WEBSERVER INSTALLERE WEBSERVER VIRTUELLE MASKINER HYPER-V MASKINKRAV INSTALLASJON AV HYPER-V LAGE EN VIRTUELL MASKIN KOPIERE VIRTUELLE MASKINER INTEGRATION SERVICES CHECKPOINT DYNAMIC MEMORY FLYTTE VIRTUELLE MASKINER WINDOWS DEPLOYMENT SERVICES INSTALLASJON AV WDS STARTE KLIENT FRA NETTVERKET FOR STANDARDINSTALLASJON TILPASSET INSTALLASJON RULLE UT STANDARDOPPSETT WINDOWS PE DRIVERE I WINDOWS PE

6 1 Oversikt Windows Windows Server 2012 er et nettverksoperativsystem i Windowsfamilien. Operativsystemet er nær beslektet med Windows 8, og de fleste som har brukt en PC med Windows, vil kjenne seg igjen. I tillegg til vanlige Windows-funksjoner har det en rekke tilleggsfunksjoner som gjør det egnet som operativsystem for en nettverksserver, både for et lokalnett og Internett. Når du har lest dette kapitlet, vet du hovedfunksjonene i Windows Server 2012 forskjellene på de ulike operativsystemene kravene til maskinvare for de ulike operativsystemene 1.1 WINDOWS 1.0 TIL 2012 Microsoft Windows kom så tidlig som 1981, men da som et svært enkelt system for å bruke vinduer på en datamaskin. Denne versjonen av Windows ble stadig videreutviklet via Windows 3.0, Windows 95 og 98 og til slutt Windows Me som kom i år Samtidig som Microsoft solgte Windows-versjonene nevnt over, utviklet de et helt nytt operativsystem som de kalte NT (New Technology). NT hadde en helt ny "kjerne", dvs. at de grunnleggende funksjonene var nye og kunne bedre utnytte ny maskinvare. NT 3.1 kom i I senere versjoner av Windows har operativsystemene fått andre navn, som Windows XP, Windows 7 og Windows Server Felles for alle disse er at de har en kjerne basert på NT.

7 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 7 Kjerne Windows-utgave Varianter År NT 3.1 Windows NT 3.1 Workstation, Advanced Server 1993 NT 3.5 Windows NT 3.5 Workstation og Server 1994 NT 4.0 Windows NT 4.0 Workstation og Server 1996 NT 5.0 Windows 2000 Workstation og Server 2000 NT 5.1 Windows XP 2001 NT 5.2 Windows Server 2003 Windows XP 64 bit 2003 NT 6.0 Windows Vista Windows Server TIPS! Hvis du åpner et kommandovindu (Start- Kjør-Kommando) og skriver "set os", kan du se at operativsystemet fremdeles kalles NT. Skriver du "ver", kan du se versjonsnummeret. NT 6.1 NT 6.2 NT 6.3 Windows 7 Windows Server 2008 R2 Windows 8 Windows Server 2012 Windows 8.1 Windows Server 2012 R Som vi ser av tabellen, er det flere av Windows-versjonene som har samme versjon av kjernen, f.eks. Windows 8.1/Windows 2012 R WINDOWS SERVER 2012 R2 Windows Server 2012 R2 er andre versjon av Windows R2 står "Revisjon 2" og er altså en oppdatert og utvidet versjon av Windows Windows 2012 kan settes opp til å fungere som server (tjener) for en rekke forskjellige tjenester. De tradisjonelle funksjonene for fil- og printservere gjør det mulig for flere brukere i et lokalnett å dele lagringsplass og skrivere. Andre ressurser, som f.eks. faks og skanner, kan også deles ved hjelp av en Windowsserver.

8 8 For å få en sentral base med brukernavn og passord kan vi legge alle brukerne på serveren ved hjelp av tjenesten Active Directory. En Windows Server 2012 kan også være en webserver, og vi kan også legge inn webapplikasjoner. En Windows-server kan altså fungere på forskjellige måter avhengig av behov. Vi skal se litt nærmere på forskjellige tjenester. Filserver Hvis vi lar en gruppe med brukere, for eksempel ansatte i en bedrift, lagre dokumentene sine på en filserver, oppnår vi en rekke fordeler: Vi kan lage områder på serveren som er felles for alle brukerne, slik at de kan utveksle dokumenter. Hver bruker kan få sitt private område, eller vi kan lage et område som noen brukere kun får lov til å hente dokumenter fra, mens andre også har lov til å opprette og slette dokumenter. Dokumentene på serveren er tilgjengelig uavhengig av hvilken PC man benytter. Fordi alle bedriftens dokumenter ligger på en sentral filserver, er det enkelt å lage gode rutiner for sikkerhetskopiering. En filserver vil vanligvis betjene brukere i et lokalnett, dvs. et internt nett i en organisasjon som gjerne er geografisk avgrenset, men det vil også være mulig å få tak i en filserver via Internett. Printserver Ved å knytte Windows-serveren til alle bedriftens skrivere får vi bedre kontroll på utskrifter. Ved å lage alle printkøer på serveren blir det enklere for brukerne å få oversikt over hvilke skrivere som er tilgjengelig. Det er også mulig å styre hvilke brukere som skal få lov til å bruke de forskjellige skriverne. Brukerdatabase Ved å lage en brukerkonto til alle ansatte på serveren oppnår vi en rekke fordeler, blant annet: Vi kan bestemme tilgang til filområder og skrivere på en enkel måte. Dette gjelder også hvis man har flere enn én filserver. Brukerne kan logge inn fra forskjellige maskiner, de er ikke avhengig av en fast maskin.

9 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 9 Webserver En Windows-server kan også fungere som en webserver. Vi kan legge ut alt fra enkle websider til avanserte webapplikasjoner. Vi kan sette opp en intern webserver som bare er tilgjengelig i lokalnettet i en bedrift. En slik løsning kalles ofte intranett. Det er også mulig å sette opp en ordinær webserver som er tilgjengelig på Internett. Applikasjonsserver Vanligvis kjøres programmene (applikasjonene) vi bruker, på vår egen PC. Når vi bruker en tekstbehandler som f.eks. Word, kjøres denne lokalt på PC-en vår. Noe programvare er bedre egnet til å kjøres på en server, dette gjelder spesielt programvare hvor flere personer skal ha tilgang til felles data. Dette kan f.eks. være et ordrelagersystem, regnskapsprogram eller kundesystem (populært kalt CRM, Custom Relation Management). Ofte vil dette være programvare som er tilpasset bedriften som bruker den. Ofte vil applikasjoner som kjøres på en server, ha et webgrensesnitt og kalles da en webapplikasjon. Vi trenger da ikke å installere noe spesiell programvare hos brukerne. Det finnes også gratis webapplikasjoner som er enkle å installere. Dette kan være alt fra bloggservere, webpubliseringsverktøy (CMS, Content Management System) eller webbasert bildegalleri. Bloggverktøyet WordPress er et eksempel på en webapplikasjon som kan kjøres på Windows server.

10 10 10 Terminalserver Vi kan også kjøre standardprogramvare som f.eks. Word på serveren. Vi kan sette opp serveren slik at den kjører all programvare og omgivelser som skrivebordet for brukerne. Vi kaller gjerne denne funksjonen for terminalserver. Brukerne trenger da ikke å ha denne programvaren på sine lokale maskiner. Det er også mulig å bruke såkalte tynne klienter. Dette er en skjerm som kun har nødvendig maskinvare og programvare for å koble seg opp til en terminalserver. Det er også mulig å sette opp enkeltprogrammer på terminalserveren. En bruker vil da kunne starte programmet som vanlig fra Start-menyen på sin egen PC selv om programmet ikke er installert lokalt. Det er også mulig å gjøre programmet tilgjengelig som en link på en webside. Når et slikt program startes opp, vil det oppleves som et "normalt", lokalt installert program for brukerne, men selve programmet kjøres altså på serveren. Virtuelle maskiner Windows 2012 har støtte for å sette opp virtuelle maskiner. Det vil si at vi på en og samme fysiske server kan installere flere maskiner. Disse virtuelle maskinene trenger ikke nødvendigvis å kjøre Windows Server 2012, i prinsippet kan vi installere et hvilket som helst operativsystem som kan kjøres på en standard server med Intel-prosessor. Vi kan f.eks. ha en eldre versjon av Windows Server (2008), en installasjon av Windows 8 og en installasjon av Linux som kjører virtuelt samtidig på samme fysiske maskin. Det er mange fordeler med å bruke virtuelle maskiner, noen av dem er: Enklere drift det kreves bare noen tastetrykk for å få en ny virtuell maskin på lufta. Økonomi ved å installere mange virtuelle maskiner på en kraftig fysisk server vil prisen på maskinvaren og programvaren totalt sett bli rimeligere. Vi vil også få et lavere strømforbruk. Virtuelle skrivebord Ved å bruke teknologi fra virtuelle maskiner kan vi lage virtuelle skrivebord (desktop) for brukerne våre. Vi kan f.eks. lage Windows 8-skrivebord og legge inn den programvaren brukerne våre trenger. Ved å kjøre disse virtuelt på serveren vår blir det enklere å administrere klientmaskinene. Brukerne våre trenger da kun en fungerende nettleser for å kunne logge inn og kjøre den programvaren de trenger. Teknologien for virtuelle skrivebord kalles gjerne VDI, Virtual Desktop Infrastructure.

11 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R WINDOWS 2012 ROLLER De fleste nettverksfunksjoner i Windows 2012 er delt inn i såkalte roller. Vi vil i denne boka konsentrere oss om de viktigste funksjonene. Det er derfor noen roller vi ikke vil gå nærmere inn på. Her er en kort oversikt over mulighetene vi har med de forskjellige rollene: Active Directory Domain Services Denne rollen er sentral hvis man skal lage et lokalnett med fil- og printservere. Active Directory Domain Services (gjerne omtalt som AD) gjør det mulig å legge inn mange brukere i en sentral database. Se eget kapittel. Application Server Rollen Application Server gjør det mulig å legge inn programvare som kjøres på serveren via nettverket, f.eks. webapplikasjoner. Se avsnitt ovenfor om applikasjonsserver og kapitlet om webserver. DHCP Server DHCP (Dynamic Host Configuration Protocol) er en tjeneste som deler ut nettverksadresser og annen nødvendig nettverksinformasjon til maskiner i lokalnettet. DNS Server Rollen DNS er en tjeneste som oversetter nettverksnavn til nettverksadresser. Hvis vi f.eks. ønsker å gå på websiden nrk.no, vil det bli gjort en forespørsel i en DNS Server, og denne vil gi en adresse som f.eks som svar. Normalt vil vi ikke se nettverksadressene, men det er altså disse som maskinen vår bruker internt for eksempel for å finne fram til en webside. File Services Denne rollen inneholder forskjellige verktøy for å sette opp en filserver. Noen av disse verktøyene er indeksering, for å enklere kunne søke på innholdet på en filserver services for Network File System (NFS), for integrering av filområder med Unix/Linux-maskiner diskkvoter, som gjør det mulig å begrense hvor mye hver bruker kan lagre på serveren disk-screening, som gjør det mulig å bestemme kva som kan lagres på serveren Les mer om File Services i kap. 6.

12 12 12 Hyper-V Hyper V er en rolle som gjør det mulig å sette opp virtuelle maskiner på en Windows-server. Se Virtuelle maskiner ovenfor og kap. 12. Print and Document Services Denne rollen brukes for å administrere skrivere på en eller flere servere. Den gir også mulighet for å dele skrivere med Unix/Linux-maskiner. Hvis man har en skanner med nettverkstilknytning, kan denne deles ved hjelp av denne rollen. Remote Desktop Services Dette er rollen som gir mulighet for terminalserver-tjenester (se ovenfor). Web Services (IIS) Dette er webserveren for Windows. IIS (Internet Information Services) kan også brukes for å sette opp webapplikasjoner. Les mer i kap. 10. Windows Deployment Services Denne rollen kan brukes hvis man har mange PC-er som skal installeres. Med en slik tjeneste kan man starte opp en PC med blank harddisk via nettverket og få lastet ned et ferdig konfigurert oppsett med Windows og applikasjoner. Følgende roller er for litt mer spesielle behov, så vi vil ikke gå nærmere inn på disse i denne boka: Active Directory Certificate Services Denne rollen brukes for å håndtere forskjellige typer sertifikater. Et sertifikat kan f.eks. brukes for å logge inn på en server, kryptere mail og dokumenter eller lagre sikre websider (https). Det er ikke nødvendig å installere denne rollen for å bruke hovedfunksjonene i Windows 2012, så vi vil ikke gå nærmere inn på sertifikater i denne boka. Active Directory Federation Services Dette er en rolle som gjør det mulig å gi brukertilgang mellom forskjellige organisasjoner. Hvis vi f.eks. har en bedrift som har en webside som krever pålogging, og de ønsker å gi tilgang til alle brukerne i en annen bedrift, kan ADFS være tingen. ADFS er f.eks. aktuelt hvis man ønsker å integrere sine egne brukere i Active Directory med tjenesten Office 365. Active Directory Lightweight Directory Services Dette er en rolle som har mye av den samme funksjonen som Active Directory Domain Services, men i en forenklet utgave. Den kan f.eks. være aktuell hvis man har en webapplikasjon som krever tilgang til en brukerdatabase.

13 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 13 ADLDS er en tjeneste for spesielle behov, så vi går ikke nærmere inn på dette i denne boka. Active Directory Rights Management Services Denne rollen gjør det mulig å gi ekstra beskyttelse av dokumenter. På en normal filserver kan vi styre hvem som har tilgang til kataloger og filer, men hvis et dokument blir flyttet, kan det være at denne beskyttelsen blir brutt. Hvis en bruker f.eks. sender et dokument i mail eller lagrer det et annet sted, kan det være at uvedkommende får tilgang til det. Ved å bruke Active Directory Rights Management Services (AD RMS) kan vi styre tilgangen til dokumentet uavhengig av plassering. Vi kan også begrense kopiering fra dokumentet eller sette tidsbegrenset tilgang. AD RMS integreres med f.eks. Microsoft Office. Fax Server Ved å koble et faksmodem til en Windows-server, kan dette deles slik at alle brukerne i lokalnettet kan bruke det. Ved en slik løsning kan man f.eks. sende et dokument på faks direkte fra Word. Network Policy and Access Services Denne rollen inneholder flere funksjoner i forbindelse med sikkerhet og nettverkstilgang. En viktig funksjon er mulighet for å sette opp en sikker forbindelse med VPN (Virtual Privat Network) slik at man kan få tak i en lokalnettserver og andre lokale tjenester via Internett. En annen tjeneste er mulighet for å sette opp tilgangsregler (Policy) for nettverkstilgang. En slik tjeneste kan f.eks. brukes for å kontrollere hvilke maskiner som får lov å koble seg til et trådløst nettverk. Windows Server Update Services (WSUS) WSUS er en tjeneste hvor vi kan kontrollere Microsoft-oppdateringer for alle PC-er i nettverket vårt. Dette gjelder sikkerhets- og andre oppdateringer for Windows, Office og eventuelt andre Microsoft-program. Ved å ha en egen oppdateringsserver kan vi kontrollere hvilke oppdateringer som blir lagt inn, og vi kan også sjekke at alle PC-ene virkelig blir oppdatert. Vi vil ikke gå nærmere inn på denne funksjonen i denne boka. 1.4 FORSKJELLIGE 2012-VERSJONER Windows Server 2012 R2 kommer i fire forskjellige utgaver. De fleste utgavene har de grunnleggende nettverksfunksjonene, men har ekstra funksjoner eller støtte for kraftigere maskinvare.

14 14 14 Windows Server 2012 R2 Foundation Dette er den enkleste utgaven av Windows-server. Den har alle de grunnleggende tjenestene som fil, print- og webserver, men den har en begrensning på 15 samtidige brukere og kan kun bruke maks. 32 GB RAM og ingen virtualisering. Dette er en rimelig utgave av 2012-serveren som normalt blir levert ferdig installert når man kjøper en liten server. Windows Server 2012 R2 Essentials Dette er en rimelig utgave for mindre bedrifter. Det er støtte for maks. 25 brukere, 64 GB RAM og ingen virtualisering. Windows Server 2012 R2 Standard Dette er den vanligste utgaven av Windows-server. Her har vi alle de grunnleggende funksjonene for å sette opp en server for lokalnett eller Internett. Windows Server 2012 R2 Datacenter Datacenter-utgaven er i prinsippet lik standardutgaven, men det følger med lisens for et ubegrenset antall lisenser for virtuelle servere. Hyper-V Server 2012 R2 Hyper-V Server er en egen utgave av Windows Server som kun inneholder virtualiseringsfunksjonene. Den har ingen av de andre rollene til Windowsserver. Til gjengjeld er den helt gratis og fri til å lastes ned. 32 eller 64 bit? Et 32 bit-operativsystem kan direkte adressere 4 GB med minne. Med dagens programvare og maskinvare kan dette fort bli for lite, spesielt på en server. Windows 8 finnes både i 32- og 64 bit-versjoner, mens for Windows Server 2012 har de valgt å lage denne kun for 64 bit. Med 64 bit kan man teoretisk adressere 18,45 Exabytes, eller 4 GB x 4 milliarder, men dette er et ufattelig stort tall og er ikke i nærheten av hva dagens programvare eller maskinvare kan tilby. Windows 2012 R2 krever en 64 bit prosessor for å kunne installeres. Både AMD og Intel har hatt støtte for 64 bit prosessorer fra ca. 2004, så de fleste PC-er og servere som er i bruk i dag, kan benyttes. Windows 2012 kan faktisk installeres med så lite RAM som 512 MB, men man bør normalt ha mer. Hvor mye man faktisk trenger, er avhengig av antall brukere og hvilke tjenester som er installert. En funksjon som er minnekrevende, er virtuelle maskiner. Hvis man f.eks. har fem virtuelle maskiner med 3 GB hver seg, krever bare disse 15 GB.

15 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 15 Windows 2012 R2 Minimum Anbefalt Prosessor 1,4 GHz 64 bit Minne (RAM) 512 MB 2 GB eller mer Skjermoppløsning 1024 x x 768 eller høyere Harddisk 32 GB Maskinvarekrav Windows 2012 R2. Foundation Essentials Standard Datacenter Fysiske prosessorer Maks. minne 32 GB 64 GB 4 TB 4 TB Virtuelle maskiner på samme lisens Ubegrenset De forskjellige varianter av 2012 server. O P P S U M M E R I N G I dette kapitlet har du lært om forskjellige Windows-utgaver om Windows NT-kjernen om forskjellige funksjoner i Windows Server 2012 om roller om forskjellige 2012-varianter O P P G A V E R Oppgave 1 a) Hvilken annen Windows-utgave er beslektet (har samme kjerne) med Windows Server 2012? b) Hva er de fem viktigste serverfunksjonene Windows 2012 kan utføre? c) Hva er en rolle? d) Nevn noen av de mest brukte rollene i Windows Server e) Hva er hovedforskjellene på Windows Server 2012 i Standard- og Datacenter-utgave?

16 2 Nettverk Vi vil i dette kapitlet se nærmere på nettverksteknologi som TCP/IP, ruter, private nett og lignende. Vi vil også se litt nærmere på de praktiske sidene ved å sette opp et testnett, blant annet ved å sette opp en egen ruter. Som vi skal se, er det forskjellige alternativer for å sette opp et testnettverk, men vi vil her konsentrere oss om alternativ 1, to fysiske maskiner med ruter, samtidig som vi ser kort på mulighetene for å sette opp virtuelle maskiner. Les det aktuelle stoffet i boka før du installerer noe. Hvis man er for snar til å sette i gang, kan det være at man kommer skjevt ut. Skriv opp det du gjør. Det er spesielt viktig at du husker alle navn, passord, adresser mm. Bruk Internett aktivt hvis du står fast eller lurer på noe. Har du et problem, er det stor sjanse for at andre har hatt det samme problemet tidligere. Et søk på nettet kan derfor ofte gi svaret. Det er størst sjanse for å få et svar hvis man søker på engelsk. 2.1 PRIVAT NETTVERK MED RUTER Ved å bruke en liten, rimelig hjemmeruter eller trådløs ruter kan vi på en enkel måte få et privat nettverk som vi kan boltre oss på uten å forstyrre eksisterende nett. Vi vil fortsatt kunne ha tilgang til Internett gjennom ruteren.

17 Oppsett av en slik liten ruter vil variere avhengig av produsent, men framgangsmåten er ganske lik: Koble Wan-porten, dvs. den porten som normalt kobles til Internett, til det ekisterende nettet. Forutsetningen er at det deles ut adresser automatisk i dette nettet (DHCP) slik at ruteren vår får en adresse. Sjekk at nettverkskortet på PC-en er satt opp til automatisk å motta en adresse, og koble denne til en av LAN-portene på ruteren. PC-en vår skal nå få en adresse fra ruteren på et privat nett. Mange rutere bruker nettverket eller som standard, så ruteren vil da ha eller som adresse. Du kan sjekke hvilken ip-adresse ruteren har ved å bruke ipconfig-kommandoen. Skriv nå inn adressen til ruteren i en webleser på PC-en. Vi skal nå få fram en webside hvor vi kan logge inn på ruteren. Logg inn med standard passord. Sjekk at vi har tilgang til Internett gjennom ruteren ved å slå opp en webside fra PC-en vår. Ofte er standard nettadresse til ruteren og passord skrevet på undersiden av selve boksen, ellers må vi se i manualen. Hvis vi har kommet så langt, er ruteren i praksis ferdig konfigurert, men det er noen ting vi bør sjekke: Skift admin passord på ruteren. Vi trenger ikke det trådløse nettet i testnettet vårt, så vi kan like godt slå det av så det ikke forstyrrer. Hvis du velger å bruke det trådløse nettet på ruteren, så sørg for at det blir satt sikkerhet på det (helst med wpa2). Hvis ruteren vi bruker, er benyttet tidligere, kan vi resette den til standardverdier ved å trykke inn en reset-knapp. Denne knappen må som regel holdes inne noen sekunder, eventuelt holdes inne mens vi skrur på strømmen. Hvis ruteren har en annen adresse enn den som brukes i boka, kan man eventuelt endre dette under lokalnettkonfigurasjon. Sjekk hvordan DHCP er konfigurert på ruteren.

18 Eksempel på liten hjemmeruter. I menyen til venstre kan vi velge å konfigurere trådløst nett (wireless), WANporten (til Internett), LAN, vårt private lokalnett og DHCP-server. 2.2 NØDVENDIG INFORMASJON FOR KONFIGURASJON AV TCP/IP TCP/IP er en protokoll som brukes på Internett. Vi kan si at TCP/IP er språket som datamaskiner snakker sammen med. Fordi Internett har fått en slik enorm utbredelse, er TCP/IP også blitt standard kommunikasjonsform på lokale nett. Oppsett av TCP/IP Når vi kobler en PC til et nettverk, enten det er hjemme, på jobb eller skole eller andre steder, får vi normalt tildelt en IP-adresse og annen informasjon fra en server (DHCP-server, Dynamic Host Configuration Protocol). I noen tilfeller kan det være aktuelt å sette denne informasjonen manuelt. Nødvendig informasjon for TCP/IP: IP-adresse, f.eks Subnettmaske, f.eks Denne forteller om hvor stort nettverket vårt er. Se mer om maske senere.

19 Default Gateway dette er adressen til ruteren i nettverket vår. Ruteren sørger for å sende trafikk videre til andre maskiner utenfor nettet vårt, dvs. i praksis som regel Internett. DNS Server Address Vi må ha adressen til minst en DNS-server. En slik server sørger for å gjøre om navn til IP-adresser. Hvis vi f.eks. skriver inn vg.no i web-browser på maskinen vår, vil det bli sendt en forespørsel til DNS-serveren, og maskinen får IP-adressen til VG som svar. Ofte kan vi sette adressen til ruteren som DNS-server. Ruteren har riktig nok ingen DNS-server, men den klarer som regel å sende DNS-forespørsler videre til en ekte DNS-server. Mer om nettmaske Hvis vi ser nærmere på en IP-adresse og nettmaske, ser vi at den er delt opp i fire grupper med tall. Hver gruppe kan gå fra 0 til 255. For å se hvordan nettmasken fungerer, skal vi regne om IP-adressen og nettmasken til binære verdier. Vi regner om hver gruppe for seg. Som vi ser, passer det med 8 bit i hver gruppe. Hvis vi skriver nettadressen og nettmasken over hverandre, er det lettere å se hvorfor det kalles en maske. Vi ser at det er 0 i masken i blokken til høyre. Disse bestemmer hvilke bit som er adressen i vårt nett. Samtidig bestemmer antall bit i masken som inneholder 0, størrelsen på nettet vårt. I eksemplet er det 8 bit med 0, dvs. at det er 256 adresser i nettet (2^8=256).

20 IP address ( ) Subnet mask ( ) TIPS! Vi trenger ikke nødvendigvis kunne så mye om binære tall for å jobbe med IP-adresser, men for å få en forståelse av hvordan nettmasken fungerer, er det nesten nødvendig å sette den opp binært. For å regne om fra desimalt til binært kan vi gjøre følgende: Start kalkulator i Windows Skift til programmerermodus ved å velge Vis - Programmerer Skriv inn et tall, for eksempel 255 Trykk så på Bin (binær) Trykk på Dec (desimalt) før du skriver inn et nytt tall og deretter Bin osv. Fordi vi i vårt eksempel har 8 bit med 0 til høyre i masken, betyr det at vi har 256 (2^8=256) adresser i nettverket vårt, fra til I et IP-nett vil alltid første og siste adresse være reservert. Første adresse er adressen til selve nettet vårt og kan ikke settes på noen maskin. Siste adresse er reservert til broadcast, det vil si at hvis vi sender noe til denne adressen, vil alle maskiner i nettet vårt motta informasjonen. Som regel vil den første brukbare adressen, , settes på ruteren i nettverket, men det kan også brukes andre adresser. Hvorfor må vi dele opp i forskjellige IP-nett? Kunne ikke bare alle maskiner ha hver sin adresse? Det er to hovedgrunner: Sikkerhet ved å skille ut et nett bak en ruter kan vi kontrollere hvem og hva som slipper inn på vårt nett. Dette gjøres med brannmurfunksjonen (Firewall) i ruteren. Ytelse Ved å dele opp i smånett kan vi begrense nettverkstrafikken i hvert nett. Et stort nett vil fort gå tregt eller stoppe helt opp. Private nett Et privat nett er TCP/IP-nett med spesielle adresser som er laget for å brukes innenfor egne lokale nett. Slike private adresser kan kun brukes lokalt og er ikke gyldige adresser på Internett. Følgende nett er reservert til privat bruk:

21 Nettadresse Nettmaske Antall nett Antall adresser per nett Klasse A ,777,216 Klasse B Klasse C til til , TIPS! Hvis vi sitter på en maskin med privatnett og vil sjekke hvilken adresse som er synlig på Internett, kan vi gå til en webside som viser IP-adressen vår, f.eks. ess.com/ Ofte brukes klassebetegnelsene A, B og C for størrelsen på et IP-nett. Klasse C-nett er den vanligste størrelsen. Det er imidlertid ikke noe i veien for å sette nettstørrelser som ligger mellom disse klassene. Et IP-nett med en nettmaske vil ha 9 bit i adressefeltet (regn om til binært, så ser du hvor mange 0-er det er i masken) og altså 512 tilgjengelige adresser ( 2^9=512) Hvis en maskin på et privatnett skal kommunisere med en maskin på Internett, må kommunikasjonen gå igjennom en ruter som kan konvertere en privat IPadresse til en som er gyldig på Internett. En slik konvertering kalles gjerne NAT (Network Adress Translation). En ruter som bruker NAT, har gjerne én gyldig, eller offentlig, IP-adresse på WAN-porten (tilkoblingen til Internett). Alle maskinene som er koblet på den private IP-adressen, vil dele denne ene offentlige adressen. I praksis bruker alle hjemmerutere private nett med NAT, men også mange større rutere for bedrifter bruker denne løsningen. I motsetning til offentlige adresser kan samme private adresser brukes i flere nett. 2.3 BRUK AV VIRTUELLE MASKINER Det er mulig å lage virtuelle maskiner og et virtuelt nettverk for å lage et testnett. Vi kan bruke vår egen maskin eller en dedikert ekstra maskin for å sette opp det virtuelle miljøet. En stor fordel med virtuelle maskiner er at vi kan ha forskjellige operativsystemer som kjører samtidig. Hvis vi f.eks. har en maskin med Windows 8 som har programvare for å sette opp virtuelle maskiner, kan vi uten problemer lage maskiner med Windows Server 2012, Windows XP og Linux som kan kjøres samtidig. I Bokmålsordboka finner vi følgende definisjon på ordet virtuell: som tilsynelatende er virkelig. En virtuell datamaskin oppfører seg som en virkelig maskin, den kan kjøre de samme operativsystemene og den samme programvaren som en fysisk maskin. Kommuniserer vi med en virtuell maskin over nettverket, altså bruker den som server, er det ikke mulig å skille denne fra en fysisk maskin.

22 Det er noen ulemper ved å sette opp et virtuelt miljø i vårt tilfelle: Vi får ingen erfaring med å sette opp og koble sammen fysiske maskiner. Vi kan ikke lage virtuelle maskiner på vår egen server (å kjøre virtuelle maskiner under en annen virtuell maskin går dårlig). Oppsett av det private nettet blir noe annerledes. Det kan bli noe problematisk å sette opp DHCP-server på vår egen server. Tilkobling og deling av skriver kan bli noe problematisk. Hyper-V Windows 8 har støtte for å kjøre virtuelle maskiner som standard, men man må selv skru på denne funksjonen: I kontrollpanelet - Programs, velg Programs and Features. Velg deretter Turn Windows Features on or off. Kryss av for Hyper-V og klikk OK. Start så maskinen på nytt. VMware Player VMware Player kan lastes ned og installeres på vår vanlige PC. Det går bra å kjøre Windows 2012 som jo er et 64 bit operativsystem selv om maskinen vår har 32 bit Windows. VMware Player finnes for Windows og Linux. Nå kan vi lage en virtuell maskin og koble denne til en installasjons-dvd med Windows Server 2012 (enten i form av en ISO-fil eller en fysisk DVD). Når vi lager virtuelle maskiner, vil vi som standard få et privat nettverk med NAT, men adressen til nettet vil antagelig være noe annerledes enn den vi bruker i boka. Lag så en ny virtuell maskin som vi kan installere klienten på. Det anbefales å ha 4 GB RAM på maskinen hvis vi skal kjøre to virtuelle maskiner. Det kan være at det går med 2 GB. Prøv f.eks. å sette opp MB på serveren og noe mindre på klienten. Resten av minnet trengs til operativsystemet på vår egen maskin. VMware ESXi ESXi er serverutgaven fra VMWare. Denne programvaren installeres på en ren server, den kjører ikke under noe annet operativsystem. ESXi kan også lastes ned og brukes gratis. Denne programvaren er litt mer omfattende å installere og krever at man bruker litt tid på å sette seg inn i den. Har man en ledig maskin med mye minne (16 32 GB), kan man uten problemer kjøre 20 og kanskje flere virtuelle maskiner på denne.

23 ESXi har ikke noen innebygd NAT-funksjon, men vi kan sette opp en liten virtuell maskin som fungerer som ruter. Programvaren IPcop fungerer fint som en virtuell ruter. O P P S U M M E R I N G I dette kapitlet har du lært om private nett og ruter om TCP/IP om nettmaske om virtuelle maskiner O P P G A V E R Oppgave 1 a) Hva kobles vanligvis en WAN-port til? b) Hva menes med et privat nett? c) Hvilken informasjon trenger vi for å sette en TCP/IP-adresse? d) Hva brukes nettmasken til? e) Hva er NAT? f) Hvilken adresse i et IP-nett er det vanlig å bruke til ruteren (Gateway)?

24 3 Installasjon For å lære om Windows Server bør vi sette opp et lite nettverk på egen hånd. Dette krever at vi som minimum har tilgang til to maskiner med nettverk mellom. Maskinene kan være fysiske eller virtuelle eller en kombinasjon. Nettverket vi bruker, bør være helt lokalt eller privat så vi unngår å komme i konflikt med eksisterende nettverk. 3.1 FØR VI STARTER INSTALLASJONEN Før vi setter i gang å installere server og nettverk, kan det være verdt å ta med seg følgende tips: Les det aktuelle stoffet i boka før du installerer noe. Hvis man er for snar til å sette i gang, kan det være at man kommer skjevt ut. Skriv opp det du gjør. Det er spesielt viktig at du husker alle navn, passord, adresser osv. Bruk Internett aktivt hvis du står fast eller lurer på noe. Har du et problem, er det stor sjanse for at andre har hatt det samme problemet tidligere. Et søk på nettet kan derfor ofte gi svaret. Det er størst sjanse for å få et svar hvis man søker på engelsk. 3.2 OMGIVELSER Alternativ 1, to fysiske maskiner med ruter (foretrukket) Ved å bruke en liten, rimelig hjemmeruter eller trådløs ruter kan vi på en enkel måte få et privat nettverk som vi kan boltre oss på uten å forstyrre eksisterende nett. Vi vil fortsatt kunne ha tilgang til Internett gjennom ruteren. Alternativ 2, to fysiske maskiner med lokalt nett Ved å koble samme to maskiner i et lokalt nett som ikke er koblet til eksisterende nett, vil vi kunne gjøre omtrent det samme som alternativ 1,

25 bortsett fra at vi ikke har internettilgang. Maskinene kan kobles sammen med en liten nettverksvitsj, eventuelt direkte med én kabel mellom to maskiner. (Hvis begge maskinene har Gigabit nettverksport, kan en vanlig nettverkskabel brukes; hvis ikke, må en snudd kabel brukes.) I praksis er det svært upraktisk å installere en server uten å ha tilgang til Internett. Alternativ 3, virtuell maskin på egen PC Ved å installere gratis programvare, f.eks. Microsoft Virtual PC eller VMware Player, kan vi lage en virtuell maskin på vår egen PC. På denne virtuelle maskinen kan vi så installere Windows Server 2012 på samme måte som om vi installerer på en fysisk maskin. Vi kan så bruke vår egen maskin som klient for å teste ut serveren. Det er også mulig å lage to virtuelle maskiner slik at både server og klient kjøres virtuelt. For å lage virtuelle maskiner på en PC bør vi ha minst 2 GB med minne. Alternativ 4, bruke eksisterende virtuelle maskiner Hvis man er et sted hvor det brukes virtuelle maskiner fra før, er det kanskje mulig å få laget et par maskiner som kan brukes til serveroppsettet vårt. 3.3 WINDOWS 2012 MEDIA OG LISENS Hvis du ikke har lisens til Windows 2012, kan du laste ned en demoversjon fra Microsoft. Denne kan i utgangspunktet brukes 180 dager, men kan forlenges noen dager. M E T O D E Laste ned Media a) Gå til og velg Produkter Windows Server. b) Velg så Prøv og velg Windows server 2012 R2. (Pass på at du ikke velger Developer- eller Essentials utgaven.) c) Du trenger en Microsoft-konto (Outlook, Hotmail eller Live) for å logge inn. Hvis du ikke har det, gå til og opprett en konto. d) Filen vi laster ned, er en ISO-fil, det vil si et "image" av en DVD-plate. e) Hvis vi har en PC med DVD-brenner, kan vi brenne en DVD-plate. f) Hvis vi ikke har DVD-brenner, kan vi lage en USB minnepinne med et egnet program, f.eks. Windows 7 USB/DVD Download Tool. g) Hvis vi skal bruke en virtuell maskin, kan vi bruke ISO-filen direkte.

26 26 26 TIPS! Hvis vi trenger litt ekstra tid utover 180 dager, kan vi bruke kommandoen under for å få 10 dager ekstra. Denne kommandoen kan kjøres maksimalt 5 ganger, men ikke bruk den før 180-dagersperioden nærmer seg slutten. 1. Åpne et kommandovindu. 2. Skriv slmgr.vbs -dli for å sjekke status på lisensen. 3. Hvis prøveperioden er i ferd med å gå ut, skriv følgende for å forlenge den med 10 dager: 4. slmgr.vbs rearm 5. Restart serveren. 3.4 INSTALLASJON Sett inn DVD eller minnepinne i serveren, eventuelt koble en ISO-fil til en virtuell maskin. Sørg for at maskinen kan starte fra DVD/USB ved å gå inn i oppstartsmeny eller BIOS på PC-en som skal være server. Framgangsmåten for å komme inn i disse settingene kan variere, men kan typisk være å trykke på F10, F12 eller Esc mens maskinen starter opp. Mange PC-er vil automatisk prøve å starte opp fra DVD eller USB. Første valg er å velge språk og tastatur. OBS: Windows 2012 har ikke norsk som standard, så det er kun tid- og pengeformat (currency) samt tastatur vi kan velge.

27 Språkpakker Vi kan legge inn norsk språk for Windows Server 2012 ved å laste ned og legge inn en språkpakke. Disse pakkene er ikke allment tilgjengelig, men kun gjennom avtaler som f.eks. MSDN. Vi vil kun få norsk språk på standard Windows-funksjoner som vi også finner i Windows 8 (for eksempel Notepad og Windows Explorer), alle tilleggsfunksjoner i Windows 2012 vil fortsatt være på engelsk. For å unngå en blanding av engelsk og norsk anbefaler vi at alt kjøres på engelsk. Denne boka er basert på at alt er på engelsk. På neste side kan vi så starte selve installasjonen med "Install now". OBS: På denne siden er det mulig å velge "Repair your computer". Vi skal ikke bruke dette nå, men husk dette valget i tilfelle du senere har behov for å reparere en installasjon. Nå kan vi velge hvilken versjon av Windows 2012 vi ønsker å legge inn. Hvis vi har kjøpt en lisens, må vi velge den versjonen vi har betalt for. Hvis vi legger inn en testinstallasjon som bruker demo-lisens (maks. 180 dager), står vi fritt til å velge. I denne boka er det Windows Server 2012 R2 Standard (Server with a GUI) som brukes. GUI betyr at Windows får et grafisk grensesnitt som vi er vant til fra andre Windows-versjoner. Det er mulig å installere Server 2012 uten GUI og isteden administrere maskinen fra andre systemer. Dette kan være aktuelt hvis man har flere servere.

28 28 28 Kryss så av for å godta lisensen og gå videre for å velge installasjonstype, Upgrade eller Custom. Upgrade brukes for å oppgradere en eldre Windows-installasjon, for eksempel Windows Server På en ny maskin velger vi Custom. Vi kan nå velge hvilken disk vi vil installere Windows 2012 på (hvis det er flere disker i maskinen). Hvis vi velger disk 0, vil Windows bruke hele disken til C:. Tips: Hvis disken vi skal installere Windows på, inneholder gamle partisjoner, kan disse normalt slettes ved å trykke på Delete. Hvis de ikke lar seg slette, kan følgende metode benyttes for å slette hele harddisken (hvis du er helt sikker på at hele disken kan slettes. Er det flere harddisker i maskinen, må du forsikre deg om hvilken du kan bruke): - Trykk på Shift + F10 for å få et kommandovindu og skriv så følgende kommandoer: o diskpart o List disk o Select disk 0 (Bytt eventuelt ut med annet disknummer) o clean - Gå tilbake til installasjonsvinuet med Alt +Tab eller musepeker og velg Refresh. - Gå nå videre med installasjon av Windows. Ofte kan det være greit å dele opp en disk i partisjoner. Spesielt på en server kan det være lurt å dele opp harddisken i én systempartisjon for Windows og én eller flere partisjoner for brukerdata. Trykk på New for å lage en partisjon. Minste anbefalte størrelse er 32 GB, men det er lurt å ta i litt for å ha plass til framtidige oppdateringer og utvidelser.

29 Skriv inn størrelsen i MB. I eksemplet bruker vi MB for å få en partisjon på 70 GB (1 GB= 1024 MB) og trykk på Apply. Vi vil så få beskjed om at Windows kanskje vil lage ekstra partisjoner. Normalt vil vi få en "System reserved"-partisjon som Windows bruker internt. Marker nå partisjonen vi laget (som nå har blitt 69.9 GB fordi det gikk med 100 Mb til "System reserved"), og trykk på Next for å installere Windows. Den ubrukte plassen (Unallocated Space) kan vi ta i bruk senere. Nå vil Windows installeres, noe som kan ta noen minutter. Windows vil så restarte maskinen et par ganger og konfigurere forskjellige ting uten at vi trenger å gjøre noe. Omsider vil maskinen starte med beskjed om at vi må bytte passord. OBS! Sett et passord som du husker!

30 30 30 Nå er første del av installasjonen ferdig, men det er fortsatt en del tilpasninger som må gjøres før vi kan begynne å legge til roller på serveren. 3.5 TILPASNING AV INSTALLASJONEN Før vi går løs på å sette opp servertjenestene på serveren, bør vi gjøre noen små tilpasninger av Windows. 1. Tilpass skjermoppløsning. Det er viktig å ha gode arbeidsomgivelser, så skjermoppløsningen bør være optimal. Sett oppløsningen så høyt som skjermen er laget for. Det kan være at Windows 2012 ikke har driver for skjermkortet, så da kan man laste ned driver fra produsenten. Eventuelt kan man prøve å bruke driver for Windows 7, 8 eller Vista 64 bit. Gå til kontrollpanelet og velg "Adjust Screen resolution" (Snarvei: Høyreklikk på desktop og velg Screen resolution). En oppløsning på 1280x1024 eller høyere anbefales. 2. Tilpass Windows Explorer. Når man jobber på en server, kan det være aktuelt å endre noen innstillinger:

31 Start Windows Explorer. Velg View - Tools - Folder options og deretter View. Kryss av for "Always show menus" og "Show hidden files...". Fjern kryss på "Hide empty drives..." og "Hide extensions for known file types". 3. Hvis man bruker en virtuell maskin, bør man installere verktøy for integrasjon av den virtuelle maskinen og maskinen man sitter på, f.eks. VMware Tools. Et slikt verktøy er ikke påkrevd, men gjør det enklere å skifte mellom maskinene.

32 SERVER MANAGER Server Manager starter automatisk når vi logger inn på serveren. Ved å velge Local Server kan vi endre noen grunnleggende egenskaper (Properties) på serveren vår. Computer name Her kan vi endre på navnet på maskinen vår. Navnet vi setter på serveren, vil være synlig for brukerne i nettverket vårt, så vi bør bruke et fornuftig navn. I denne boka vil serveren hete Server1. Workgroup Dette kommer vi tilbake til i kapitlet om Active Directory. Windows Firewall (brannmur) er en sikkerhetsfunksjon som kontrollerer hva slags nettverkstrafikk som slipper igjennom til serveren vår. I utgangspunktet er alt stengt, og bare trafikk til de tjenestene som brukes på serveren, slipper inn. Firewall er skrudd på som standard, og vi kan bruke de innstillingene som er satt, inntil videre. Remote Desktop gjør det mulig å fjernadministrere serveren vår. Vi kan gjerne skru den på nå, så kommer vi tilbake til hvordan vi bruker den i kapitlet om drift. NIC Teaming (Network Interface Controller) kan brukes for å slå sammen flere nettverksforbindelser. Har man en litt kraftig server, er det gjerne to eller flere nettverksporter i maskinen. Man kan også kjøpe ekstra nettverkskort og sette i maskinen.

33 Det er to hovedfunksjoner i NIC teaming. Med Load balancing kan man fordele nettverkstrafikken på flere nettverksporter. Man kan f.eks. få en båndbredde på to Gb ved å slå sammen to 1 Gb nettverksporter. Den andre funksjonen er Failover. Hvis en nettverksforbindelse feiler, kan trafikken automatisk fortsette på den andre. Ethernet Her kan vi sette adressen til serveren vår. Adressen til serveren vår er nå utdelt av ruteren. Vi ønsker isteden å sette en fast adresse her: Klikk på adressen, og høyreklikk på Ethernet og velg Properties. Velg så Properties (eller dobbeltklikk) på TCP/IPv4.

34 34 34 Nå kan vi skrive inn de nødvendige verdiene for IP-adresse, subnettmaske, Default gateway (ruter) og Preferred DNS server. Kryss gjerne av for "Validate settings upon exit" slik at det vi skriver inn, blir kontrollert. Windows Update, Last Installed Updates og Last Checked for updates gjelder alle oppdateringsystemet for Windows. Serveren vil i utgangspunktet settes til automatisk å installere sikkerhetsoppdateringer til Windows. Det er alltid viktig å sørge for at operativsystemet vi bruker, er oppdatert. Dette gjelder både sikkerhetsoppdateringer som kan forhindre hackerangrep, og feilfikser som retter opp andre typer feil. Vi velger derfor å la serveren stå til automatisk oppdatering

35 Hvis vi ønsker å endre tidspunktet når oppdateringer kjøres, kan vi gå inn på Change settings og velge Updates will be automatically installed during the maintenance window. OBS! Det er viktig å være klar over at noen oppdateringer krever en omstart av maskinen. Hvis Windows Update skjer automatisk, kan vi altså risikere at serveren blir restartet om natten. Hvis vi har noen tjenester på serveren som krever at den er tilgjengelig om natten, må vi velge en annen innstilling. Vi kan f.eks. velge Download updates but let me choose whether to install them. Det kan også være at vi kjører sikkerhetskopiering av serveren om natten. Vi må da tilpasse tidspunktene for sikkerhetskopiering og automatisk oppdatering for å unngå at sikkerhetskopieringen blir avbrutt av en restart. Windows Error Reporting Vi kan velge om og hvordan serveren vår sender feilmeldinger til Microsoft. Customer Experience Imorovement Program Her kan vi sette opp om vi ønsker å sende anonym brukerstatistikk til Microsoft. Begge disse ovenstående funksjonene er valgfrie, de har ingen betydning for funksjonaliteten til serveren. IE Enhanced Security Configuration Som standard er det ekstra streng (Enhanced) sikkerhet for Internet Explorer i Windows Dette gjøres for å unngå å bli smittet fra skumle websider. En eventuell slik smitte kan få store konsekvenser for en server med mange brukere.

36 36 36 På vår server som kun brukes for testing og opplæring, kan det være greit å kunne bruke webleseren som normalt. OBS: Disse innstilingene gjelder kun Internett Explorer. Hvis du installerer en annen nettleser, så fungerer den som normalt. Velg "Off" for både Administrator og Users. Time zone Hvis vi valgte Norge under første del av installasjonen, skal tidssonen være riktig (Amsterdam, Berlin osv. er i samme tidssone som Norge). Product ID Hvis vi har kjøpt en lisens på Windows Server 2012, kan vi registrere Produkt ID her. Hvis maskinen er på nett og vi skriver inn en korrekt kode, vil vi se at den blir aktivert. Hvis vi bruker en demoversjon av Windows, trenger vi ikke å skrive inn noen kode. For at den 180 dagers prøveperioden skal bli gyldig, må vi sørge for at maskinen blir aktivert ved å koble den til en fungerende internettforbindelse. O P P S U M M E R I N G I dette kapitlet har du lært om Windows 2012 Media og lisens å installere Windows Server 2012 å velge partisjon å tilpasse installasjonen om Initial Configuration tasks

37 å aktivere Windows å konfigurere nettverk om Server manage

38 4 Active Directory Domain Services Active Directory Domain Services (AD) er en katalogtjeneste som brukes for å registrere brukere og ulike ressurser i nettverket. Vi kan sammenligne Active Directory med en katalog vi kjenner godt fra før, nemlig telefonkatalogen. En telefonkatalog har en enkel, men viktig funksjon. Vi kan slå opp på navn på personer eller bedrifter og finne telefonnummer og adresse. Dette er også hovedfunksjonen til Active Directory. Alle brukere, servere, skrivere osv. i nettverket er registrert i Active Directory. Dermed er det enkelt å slå opp og finne informasjon om dem. Når du har lest dette kapitlet, kan du forstå oppbyggingen av Active Directory installere AD konfigurere domenekontroller 4.1 OVERSIKT AD Den viktigste funksjonen til AD er at den inneholder en sentral base med brukernavn og passord. Det er nok å registrere brukere én gang selv om vi har mange maskiner og servere. AD er laget for å kunne brukes i store nettverk og har derfor noen funksjoner for å dele opp nettet.

39 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 39 Domene Når vi tar i bruk AD, blir det opprettet et domene som er en måte å navngi og organisere en gruppe med brukere og maskiner på. I vårt eksempel i denne boka vil vi lage domenet mittdomene.no. Som vi ser, ligner dette domenenavnet på en internettadresse, og det er faktisk det samme. AD bruker navnetjenesten DNS som brukes for alle maskiner på Internett. Når vi lager et AD-domene, må vi ha minst en server (helst flere) som er domenekontroller. Trær Hvis vi har et stort nettverk, kan det være ønskelig å dele det opp i flere domener. En måte å gjøre det på er å lage underdomener til hoveddomenet, eller root-domenet, slik at vi får en trestruktur. I vårt eksempel kunne vi f.eks. laget underdomenene avdeling1.mittdomene.no og avdeling2.mittdomene.no. mittdomene.no avdeling1.mittdomene.no Avdeling2.mittdomene.no Eksempel på et domenetre Skog En skog består som kjent av flere trær, og slik er det også i AD. Hvis det er ønskelig å lage nye domener med forskjellige navn, kan vi lage flere AD-trær og plassere dem i samme skog. Vi kan f.eks. lage domenet nyttdomene.no og plassere dette i samme skog som mittdomene.no. Så lenge domenene våre er i samme skog, kan vi dele ressurser på tvers av domenene. En bruker fra mittdomene.no kan få tilgang til dokumenter på en server som hører til nyttdomene.no. mittdomene.no nyttdomene.no avdeling1.mittdomene.no avdeling2.mittdomene.no ansatte.nyttdomene.no elever.nyttdomene.no Eksempel på en skog som består av to domenetrær

40 Flere servere Det er vanlig å ha minst to servere for et domene. Dette gir oss en sikkerhet mot feil. Hvis en server stopper opp, har vi fortsatt tilgang til hele brukerdatabasen fra den andre. AD sørger selv for at alle serverne i domenet blir oppdatert, vi sier gjerne at AD replikerer mellom domenekontrollerne. 4.2 INSTALLERE ACTIVE DIRECTORY I vårt eksempel skal vi bruke AD og lage et domene. I vårt testnett skal vi bruke ett domene, så vi trenger ikke å tenke på organisering av trær og skoger eller underdomener. Det gjelder også for de fleste aktuelle nettverk under norske forhold. Det er kun i store nettverk det er aktuelt å bruke flere domener. Vi bruker Server Manager for å legge til rollen Active Directory Domain Services. Hvis Server Manager ikke er startet automatisk, finner vi den i Startmenyen, eller vi kan klikke på ikonet for Server Manager (til høyre for startknappen). Server Management I Server Manager er det flere steder vi kan starte funksjonen Add Roles and features, f.eks. i på forsiden under Configure this local server eller Manage-menyen.

41 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 41 Vi får først opp et bilde som ber oss sjekke tre ting før vi legger til en rolle: Sjekk at Administrator-brukeren har et sikkert passord. Sjekk at nettverksinnstillingene er i orden, og at serveren har en fast (static) IP-adresse. Sjekk at de nyeste oppdateringene fra Windows Update er lagt inn. Alt dette har vi gjort tidligere i boka, så det skal være i orden. Denne sjekklisten kommer fram hver gang vi legger til en rolle, så vi kan nå krysse av for Skip this page by default.

42 Deretter må vi velge Installation type. Role based er for å installere på en enkelt maskin og er det valget vi må gjøre. Remote Desktop Services Installation benyttes for å installere på virtuelle maskiner. Når vi trykker på Next, får vi valget Server Selection. Vi velger vår server Server1.

43 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 43 Under Server Roles kan vi nå krysse av for den rollen vi ønsker. Når vi krysser av for Active Directory Domain Services, får vi beskjed om at vi må ta med noen Features som er nødvendig for Active Directory. Dette er nødvendige administrasjonsverktøy, så det er bare å trykke på Add features. Vi får så mulighet for å velge flere features, men vi går bare videre nå. Vi får så opp en side med informasjon (Things to Note): Vi blir anbefalt å ha minst to domenekontrollere i tilfelle en server feiler. I vårt testnett kan vi klare oss med én. AD trenger en DNS-server som den kan legge inn data i. Hvis den ikke finner en slik, vil vi senere få forslag om å installere en. Etter å ha lagt inn AD-rollen må vi kjøre veiviseren DCPromo for å konfigurere en domenekontroller. Til slutt får vi beskjed om tjenester for DFS (Distributed File System) blir lagt inn. Dette er bare aktuelt å bruke hvis vi har flere servere. Vi får så et bilde for å bekrefte valgene våre, og vi kan trykke på Install.

44 Vi kan lukke vinduet mens de tjenestene vi har valgt, installeres. Når installasjonen av AD er ferdig, vil vi få et utropstegn på Notifications (Flagget) i Server Manager.

45 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 45 Vi må nå velge Promote this server to a domain controller for å gjøre ferdig installasjonen av AD. Vi får så valg om vi vil koble oss til en eksisterende domene eller skog (forest). Vårt nett inneholder ingenting fra før, så vi må lage en ny skog (Add a new forest). Vi må deretter skrive inn Root Domain name. I vårt eksempel velger vi «mittdomene.no». Les mer om valg av domenenavn i tekstboksen.

46 Valg av domenenavn Vi kan i prinsippet velge fritt hvilket navn vi skal ha på domenet hvis det kun skal brukes lokalt i nettet vårt, dvs. innenfor ruteren vår. Hvis vi ønsker at noen av tjenestene på serveren vår skal være tilgjengelig over Internett, må domenenavnet vårt være et offisielt DNS-navn, dvs. domenenavn av typen gyldendal.no eller microsoft.com. Hvis vi skulle brukt domenenavnet i eksemplet vårt, mittdomene.no, må dette registreres i.no-domenet. Dette kan gjøres slik: Kontakt din internettleverandør, mange har egne websider hvor man kan søke om domenenavn. Sjekk at navnet er ledig. Forutsatt at domenenavnet er ledig og det er et gyldig navn, kan man bestille domenenavnet mot en avgift. Det er kun godkjente organisasjoner som kan få domene under.no. Hvis man ikke fyller disse kravene, kan man opprette domene under et annet toppdomene, f.eks..net. Domenenavnet ville da bli mittdomene.net. Har man et domene fra før, f.eks. mittfirma.no, kan man bruke det. Det kan være at bedriften har websider fra før ( Vi kan da enten integrere Windows-domenet med det eksisterende domenet, eller vi kan lage et underdomene for Windows-nettet vårt, f.eks. lan.mittfirma.no. Når man først eier et domene, står man fritt til selv å lage underdomener. Vi må så velge Forest og Domain Functional Level. I vårt nettverk skal vi kun ha Windows 2012 R2 server(e), så vi velger dette nivået. Vi får da de nyeste og mest avanserte funksjonene i nettet vårt.

47 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 47 Vi må passe på at Domain Name System (DNS) server er krysset av. Global Catalog må også være med. Directory Service Restore Mode password brukes kun hvis vi får feil i AD-databasen, slik at vi ikke får logget inn med noen annen bruker. Det er liten fare for at vi får en slik feil, men desto viktigere å skrive opp og ta vare på passordet hvis vi skulle få bruk for det. Har vi andre servere med eldre Windows-versjoner, f.eks. Windows 2008, må vi velge Functional Level som passer til disse. OBS: Det er mulig å endre til et høyere nivå i etterkant, men det er ikke mulig å endre til et lavere nivå. Hvis det finnes servere i nettet fra før, er det bedre sette et lavt nivå hvis man er usikker. Vi får beskjed om at systemet ikke klarer å kommunisere med parent zone, det vil si.no-domenet. Dette er naturlig i og med at dette er et offentlig domene som vi ikke har mulighet til å gjøre endringer i. Dette har ingen betydning så lenge vi holder oss til vårt lille lokalnett. Les mer om domener i tekstboksen valg av domenenavn. Hvis vi trykker på Show more, får vi nærmere beskjed.

48 På siden Additional Options vil vi få et forslag på Netbios navn. Dette er en kortversjon av det fulle domenenavnet mittdomene.no. Vi kan endre på Netbiosnavnet hvis vi ønsker, men normalt vil det foreslåttte navnet være greit. Vi får så spørsmål om plassering av database, logfiler og SYSVOL. Vi kan endre plassering til en annen disk hvis det er behov. Vi får så en oppsummering av de valgene vi har gjort, og kan så trykke på Next for starte selve installasjonen av domenet vårt.

49 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 49 Til slutt vil det bli kjørt en Prerequisites Check som sjekker at forutsetningen for å installere Active Directory er til stede. Vi vil i vårt tilfelle få to advarsler. Den første angående sequrity settings er bare aktuell hvis vi ønsker å koble maskiner med veldig gamle Windows-versjoner til serveren vår. Den andre advarselen er DNS-problemet som vi fikk beskjed om tidligere, men som altså ikke har betydning for oss.

50 Systemet vil så jobbe en stund. Det trengs en restart (Reboot) til slutt. Ved den første oppstarten av maskinen som domenekontroller vil det foregå noen siste konfigurasjoner, så maskinen vil starte tregere enn normalt. Vi har nå en fungerende nettverksserver og kan gå videre og lage brukere og koble andre PC-er (klienter) til serveren vår. Les om dette i et senere kapittel. OBS: Første gang vi logger inn etter å ha installert Active Directory, er det mulig at vi må bytte bruker. Kontoen vi brukte tidligere, Server1\Administrator, vil ikke fungere nå. Vi må bytte til Mittdomene\Administrator og logge inn med samme passord. Server Manager Hvis vi nå ser på Server Manager etter at AD-rollen er installert, vil vi se at vi har fått to nye valg, AD DS og DNS.

51 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 51 Hvis vi markerer AD DS, får vi informasjon om Active Directory. Vi skal ikke gå igjennom alt dette, men her er en kort oversikt: Events Dette er et utdrag av loggen på serveren vår. Vi ser de nyeste meldingene (events) som har noe med AD-rollen å gjøre. Det er ikke uvanlig å få noen advarsler eller feilmeldinger i log-en rett etter at vi har lagt til en ny rolle. Ofte er dette feil som Windows selv ordner opp i, men vi bør følge med om det kommer feil som gjentar seg over tid. Les mer om Event Viewer i kapitlet om drift av Windows-server. Services Her er en oversikt over systemtjenester (Services) som hører til rollen. Vi kan se hvilke tjenester som kjører, dvs. vi kan se om de er startet eller stoppet. Til vanlig trenger vi ikke gjøre noe her, men det kan være aktuelt å stoppe og starte tjenester i forbindelse med feilsøking. Best Practices Analyzer Hvis vi velger TASKS og Start BPA Scan, vil vi få fram en del anbefalinger for rollen. I vårt eksempel får vi advarsel om at det bør være minst to domenekontrollere, og at det bør settes opp beskyttelse mot sletting. Vi får også en Error om at serveren ikke er satt opp til å synkronisere klokka fra en ekstern kilde. Vi vil se på dette senere i boka. Performance Monitor Her får vi et raskt overblikk over belastningen på serveren. Vi kan få mer detaljert informasjon ved å starte et eget Performance-program (se Toolsmenyen). Vi kommer tilbake til dette senere i boka.

52 O P P S U M M E R I N G I dette kapitlet har du lært om Active Directory om trær og skog å installere AD å kjøre DCPromo å velge domenenavn O P P G A V E R Oppgave 1 a) Hva er AD (Active Directory)? b) Hva er et domene?

53 5 Brukere Etter at vi har installert AD, kan vi begynne å lage brukere i nettet vårt. En bruker eller brukerkonto (user account) består av et påloggingsnavn med et tilhørende passord. I tillegg kan vi legge inn ekstra informasjon som fullt navn, telefonnummer, adresse osv. STARTE ACTIVE DIRECTORY USERS AND COMPUTERS Programmet som vi kan bruke til å utføre de fleste operasjoner på brukere heter, Active Directory Users and Computers. Vi kan starte dette fra Server Manager ved å høyreklikke på Serveren vår under AD DS eller å velge det fra Toolsmenyen. Alternativt kan vi starte det direkte fra Windows ved å trykke på Windows-tasten og velge Administrative Tools. Vi kan også søke opp kommandoen ved å trykke på Windows ac, dvs. de første bokstavene i kommandoen. LAGE BRUKERE Når vi starter Active Directory Users and Computers, kan vi bl.a. se domenet vårt, mittdomene.no. Ved å klikke på dette og gå videre til "Users" kan vi se hvilke brukere og grupper som er registrert. (Klikk på kolonnebetegnelsen Type for lettere å kunne skille brukere og grupper.) Vi vil ganske snart komme tilbake til hva grupper er.

54 Vi ser at det kun er to brukere, Administrator, som vi nå er logget inn som, og Guest. Brukeren Guest er markert med en liten pil, dette betyr at den ikke er aktiv (disabled). Vi kan lage en bruker, for eksempel Ole Olsen: M E T O D E Lage en bruker a) Høyreklikk på Users og velg New User. Vi kan så skrive inn navn og brukernavn (Logon name). Brukernavn er gjerne et kortnavn vi selv velger. Det kan f.eks. være initialer eller som i eksemplet her: fornavn + første bokstav i etternavn.

55 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 55 b) Klikk så på Next for å sette passord. Vi får noen valg i forbindelse med passord: User must change password at next logon Det kan ofte være ønskelig at brukeren selv velger et annet passord. User cannot change password På enkelte typer brukerkontoer kan det være ønskelig at det ikke er mulig å bytte passord. Password never expires Normalt vil brukerne få beskjed om å bytte passord med jevne mellomrom. Hvis vi krysser av her, kan de bruke et passord så lenge de vil. Account is disabled Hvis vi ønsker å opprette noen brukerkontoer som ikke skal brukes med en gang, kan vi krysse av her. Når brukeren skal tas i bruk, er det fort gjort å høyreklikke på brukernavnet og velge Enable. c) Når vi velger Next, kan det være at vi får denne beskjeden:

56 Det kreves normalt at passordet skal ha en viss vanskeliggrad (password policy requirements). Vi kan selv endre reglene for passordene, men nå vil vi bruke standardinnstillingene, som gjerne er: Passordet må være minst 8 karakterer langt. Det må inneholde tre forskjellige typer karakterer. De forskjellige typene er stor bokstav, liten bokstav, tall og spesialtegn. Det må ikke inneholde brukerens navn. Følgende eksempler på passord er gyldige: Sommer2015 Stor bokstav, liten bokstav og tall. sommer_2015 Liten bokstav, spesialtegn og tall. Mens disse er ikke gyldige: sommer2015 kun to typer karakterer. s2015 kun to typer karakterer og for kort. s_2015 for kort. Ole2015 inneholder navn. d) Vi kan nå se nærmere på brukeren vi har laget, ved å dobbeltklikke på Ole Olsen. På General-fanen kan vi legge inn mer informasjon om personene vi har laget en bruker til. Tilsvarende kan vi legge inn informasjon på fanene Address, Telephones og Organization.

57 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 57 På Account-fanen kan vi sette forskjellige ting på selve brukerkontoen. Logon Hours Her kan vi sette at en bruker bare skal få lov til å logge inn i bestemte tidsperioder. Log On To Her kan vi eventuelt sette hvilke PC-er brukeren skal få lov å logge inn fra. Unlock account Hvis en bruker prøver å logge inn med feil passord flere ganger, kan det være at kontoen blir låst (locked). Dette er en sikkerhetsmekanisme slik at det ikke skal være mulig å gjette passord. Account options Her finner vi igjen bl.a valg for passord. Hvis vi ruller lenger ned i vinduet, finner vi valget for å «disable» kontoen. De andre valgene med kryptering o.l. er ikke så ofte brukt. Account expires Hvis vi ønsker, kan vi sette en dato hvor kontoen slutter å fungere. Profilfanen inneholder informasjon om brukerens profilområde og hjemmeområde. Under fanen Member of kan vi se hvilke grupper en bruker er medlem av. Les mer om grupper nedenfor. Remote Desktop Services Profile brukes hvis vi har brukere som logger inn ved hjelp av Remote Desktop. Remote Virtual Desktop brukes for å gjøre en virtuell maskin (desktop) tilgjengelig. Com+ kan brukes i spesielle tilfeller i forbindelse med applikasjonserver.

58 Dial-in kan brukes hvis man har mulighet for å ringe opp og koble seg direkte til serveren. Det er ikke så vanlig å koble seg opp direkte via telefon lenger, det er mer aktuelt å koble seg opp med VPN (Virtual Privat Network). Hvis man har en VPN-server som kjører under Windows, kan det være aktuelt å styre tilgangen til denne her. Fanene Environment og Sessions kan brukes i forbindelse med Remote Desktop. Remote control er funksjonen i Windows hvor en administrator eller supportperson kan gå inn og "overta" eller se på skjermbildet til en bruker via nettverket. 5.3 GRUPPER Vi kan samle flere brukere i en eller flere grupper. Vi bestemmer ofte hvilken tilgang brukerne skal ha til nettverksressurser, ved hjelp av gruppene. En gruppe tildeles forskjellige rettigheter. Medlemmene i en gruppe vil da få de samme rettighetene og den samme tilgangen til ressurser. Vi kan velge hvilke diskområder, skrivere osv. en gruppe skal kunne benytte. Vi deler inn gruppene etter hvilke brukere som naturlig hører sammen. Skal vi for eksempel definere grupper for en skole, kan disse være aktuelle: klasser (alle skoleklassene får hver sin gruppe) elever prosjekter (prosjekter som går på tvers av klassene) tillitsvalgte blant elevene studieretninger avdelinger lærere tillitsvalgte blant lærerne administrasjon (administrativt personell) ledelse 5.4 GRUPPETYPER Vi har tre forskjellige gruppetyper: globale grupper (Global Groups), lokale grupper (Domain Local Groups) og universelle grupper (Universal Groups). De forskjellige typer av grupper har først og fremst betydning hvis vi har flere domener og vi ønsker å sette rettigheter på tvers av domener.

59 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 59 Lokale grupper kan inneholde andre grupper i tillegg til grupper og brukere fra andre domener, men kan kun brukes på lokalt domene. Globale grupper kan kun inneholde brukere og globale grupper fra eget domene, men kan brukes i alle domener. Vi bruker typisk globale grupper til å dele inn brukerne, mens vi bruker lokale grupper når gruppene skal inneholde andre grupper. Vi oppretter først brukerne, deretter de globale gruppene og til slutt de lokale gruppene. Universale grupper kan inneholde brukere, globale grupper og universale grupper fra alle domener. Universale grupper kan brukes i alle domener. Denne gruppetypen krever større ressurser på server og nettverk, så den bør bare brukes hvis vi virkelig trenger den. Har vi kun ett domene, kan vi holde oss til globale og lokale grupper. For å lage en gruppe kan vi høyreklikke på Users og velge New Group. Vi kan velge Group scope. En global gruppe er standardvalget. Vi skal lage en gruppe for en klasse som vi kaller Kull Denne gruppen skal kun inneholde elever som går i denne klassen, altså kun brukerkontoer. Vi velger derfor en global gruppe. Vi ser at vi også kan velge Group type, enten Security eller Distribution. En distribusjonsliste brukes i forbindelse med mail (e-post). Vi skal kun bruke security-grupper i denne boka.

60 Tips! Når vi skal finne fram til en bruker eller gruppe, trenger vi ikke skrive inn hele navnet. Vi kan skrive inn en eller to av de første bostavene og så trykke på Check Names. Vi kan også skrive inn flere navn med semikolon mellom. For å legge brukere inn i en gruppe kan vi gjøre dette på forskjellige måter: 1. Høyreklikk på en bruker og velg Add to group. Vi kan så skrive inn gruppenavnet. 2. Vi kan markere flere brukere, ev. i kombinasjon med Shift og Ctrltasten, for så å høyreklikke på en av brukerne og legge til en gruppe. 3. Vi kan åpne opp en gruppe, trykke på Members og deretter Add. 4. Vi kan skrive inn deler av navn med semikolon mellom. Når vi trykker Check Names, vil systemet prøve å finne brukere som passer. 5.5 FORHÅNDSDEFINERTE GRUPPER Vi ser at det er mange grupper som er definert under Users og Builtin. Mange av disse gruppene er for å kunne gi brukere administratortilgang til enkelte tjenester på serveren eller i domenet. Hvis vi f.eks. legger en bruker til gruppen DNSAdmins, vil vedkommende kunne administrere DNS-tjenesten i domenet

61 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 61 vårt. Det er bare i store nettverk at det er behov for å dele opp administrasjonen av tjenestene, normalt vil en eller flere personer ha administratortilgang slik at de kan gjøre alt på serveren. De mest aktuelle gruppene er: Domain Admins Her er brukeren administratormedlem. Ved behov kan vi legge inn flere brukere her. Medlemmene av denne gruppen kan administrere alt på serveren og domenet. Domain Guest Hvis vi har flere gjestebrukere i nettet vårt, kan vi samle dem her. Domain Users Alle brukerne vi lager, kommer automatisk i denne gruppen. Domain Computers Også maskinene i nettverket vår har en konto. En slik konto blir automatisk opprettet når vi melder en maskin inn i domenet. Les mer om dette senere. 5.6 ORGANISERING AV BRUKERE Hittil har alle brukere og grupper vi har sett på, ligget under Users. Vi har også andre områder som Builtin og Computers. Disse områdene kalles Organizational Units eller bare OU. Ved å høyreklikke på mittdomene.no og velge New - Organizational Unit, kan vi kan lage nye OU-er. Når vi har laget en ny OU, kan vi klikke og dra en eller flere brukere over i den nye OU-en. Metode: Vi skal lage en OU som inneholder alle elever. Under denne OU-en skal det være en OU for hvert kull.

62 Høyreklikk på mittdomene.no og velg New - Organizational Unit og skriv inn navn på OU-en. Legg merke til at det finnes et valg for om vi ønsker å beskytte OU-en mot sletting. Nå kan vi lage tilsvarende OU-er for hvert kull ved å høyreklikke på Elever. Nå kan vi klikke og dra brukere inn i OU-ene. OBS: Hvis vi ønsker å flytte OU-er, må vi først skru av beskyttelsen mot sletting som beskrevet under. OU-er brukes til å organisere brukere og maskiner. Ofte er det naturlig å følge strukturen i den organisasjonen nettverket skal brukes. Hvis vi f.eks. ser på en skole, kan vi lage OU-er for klasser, lærere og administrasjon. OBS: Det er viktig at vi ikke blander sammen OU-er og grupper. En gruppe brukes til å styre tilgang til f.eks. filområder og skrivere. Disse gruppene heter også Security groups. Bruk av OU-er gir oss en god oversikt hvis det er et stort nettverk. Vi kan også bruke en funksjon som kalles Group Policy, i forbindelse med en OU for å styre innstillinger på maskiner eller brukerkontoer. En bruker kan ligge i kun én OU, men kan være medlem av flere Security groups. Hvis vi prøver å slette en OU, vil vi få følgende beskjed: Dette er en ekstra beskyttelse for at vi ikke skal slette noe ved et uhell. En OU kan inneholde tusenvis av brukere og maskiner i en stor organisasjon. For å slette OU-en må vi gjøre følgende: Sørg for at Advanced Features i View-menyen er på. Gå nå til Properties - Object på OU-en.

63 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 63 Fjern avkryssing for Protect object. Det kan være vanskelig å skille grupper og OU-er i begynnelsen. Grupper brukes til å gi tilgang til filområder, skrivere og andre enheter som vi skal se nærmere på i neste kapittel. En bruker kan være medlem i flere grupper. En lærer kan for eksempel være medlem av følgende grupper: Domain Users (alle brukere), lærere, ansatte, prosjekt og sensur2015. Denne læreren vil da få tilgang til de resurser som disse gruppene er tildelt. 5.7 LAGE FLERE BRUKERE Har vi et nettverk hvor det skal lages mange brukere, trenger vi noen hjelpemidler for å få opprettet brukerkontoer. Hvis det ikke er altfor mange brukere som skal opprettes, kan vi opprette en standardbruker eller en mal som kan kopieres. Vi kan se nærmere på hvordan vi lager en slik mal: 1. Lag en ny bruker som heter standard elev. 2. Sett så all informasjon og innstillinger som skal være felles for alle elever, f.eks. passordinnstillinger. 3. Meld standardbrukeren inn i gruppen elev. Når vi skal lage en ny konto for en elev, kan vi høyreklikke på standard elev og velge copy. Vi kan så skrive inn navn, brukernavn og passord.

64 Vi kan også sette opp malbrukeren slik at vi automatisk får opprettet brukerens hjemmeområde og profilområde. (Du bør vente med å teste dette etter å ha gått igjennom kapitlet om fildeling.) Adressen til Profile og Home folder skrives da på denne måten: \\server1.mittdomene.no\home\%username% Trikset her er å skrive %username%. Når vi senere lager en bruker ved å kopiere standardbrukeren, f.eks. Petter Pettersen med brukernavn perp, vil %username% erstattes med perp. Skal man lage veldig mange brukere, må man ha et skript som kan generere brukere. Standard skriptspråk i Windows Server 2012 er Powershell. Dette er et kommandolinjemiljø og skriptspråk hvor man kan administrere alt på en Windows-server. Powershell er et ganske omfattende system og kan være litt tungt å sette seg inn i, så vi vil se på et annet alternativ for å lage brukere. Kommandoen net kan brukes for å lage brukere, for eksempel slik: net user donald passord_10 /add /fullname:"donald Duck" Denne kommandoen vil lage brukeren donald med passord "passord_10". Skriv net /help og net user /help for å se flere muligheter med denne kommandoen.

65 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 65 O P P S U M M E R I N G I dette kapitlet har du lært å lage brukere om grupper om forskjellige typer grupper om OU-er å lage brukere fra mal O P P G A V E R Oppgave 1 a) Hva menes med en bruker, og hvordan kan vi lage en? b) Hva er en gruppe? c) Hva er en OU, og hva kan vi bruke den til? d) Hvilken kommando kan vi bruke for å lage en bruker fra kommandolinjen? Oppgave 2 For å få trening med å lage brukere, grupper og OU-er kan vi lage noen flere. Vi vil bruke disse senere i boka, så det kan lønne seg å lage disse: a) OU-ene Elever og Lærere b) Under Elever lager vi OU-ene Kull 2016, Kull 2015, Kull (På en ordentlig skole kunne det vært naturlig å lage OU-er for hver klasse under hvert kull, f.eks. Klasse A og Klasse B. Man bør unngå OU-navn som "9.klasse" fordi medlemmene i denne må i tilfelle oppdateres hvert år.) c) Lag (sikkerhets)grupper for Lærere, Kull 2016, Kull 2015, Kull d) Lag følgende brukere under OU Kull 2015: o Anne Andersen o Nils Nilsen o Ole Olsen o Per Pettersen Det kan være lurt å sette samme passord på brukerne og fjerne "User must change password at next logon". Fordi dette er et testnett, trenger vi ikke noen streng sikkerhet, og det blir enklere når vi senere skal logge inn med disse brukerne. e) Lag så en bruker under OU-en Lærere som heter Hans Hansen. f) Legg så de brukerne vi har laget, inn i sine tilhørende grupper. (Husk at det er mulig å markere flere brukere og så legge alle inn i en gruppe.) g) Lag en lokal gruppe som heter Elever, og legg så de tre Kull-gruppene inn i denne.

66 6 Fildeling og skrivere Vi vil i dette kapitlet se hvordan vi gjør filer og skrivere tilgjengelig via nettverket for andre maskiner og brukere. Vi gjør dette ved å dele ut (share) kataloger og skrivere. Vi vil også se hvordan vi kobler en PC til serveren slik at vi kan bruke ressursene der. 6.1 FIL- OG PRINTSERVERROLLER Vi vil først legge til fil- og printserverrollene. Vi gjør dette ved å gå til Server Manager og velge Add Roles fra Manage-menyen. Under valget File and Storage services har vi allerede det vi trenger, men vi må ta med Print and Dokument Services.

67 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 67 Vi får så opp et bilde med Things to Note. Her får vi beskjed en del ting vi må passe på. Dette går i hovedsak ut på at brukerne må være lokal administrator for å installere drivere at Type 3. Denne typen drivere må også legges ut i 32 bit varianter hvis vi har slike klienter. Vi får så spørsmål om hvilke services vi ønsker for Print and document. Til vårt bruk holder det med Print server. Velg så Next og deretter Install. Vi kan nå klikke på de to nye rollene i Server Manager for å få oversikt over dem, tilsvarende det vi gjorde for AD-rollen. Det er ikke så mye mer vi skal gjøre fra Server Manager for disse rollene i denne omgang. 6.2 DELE FILER Vi skal sette opp shares (delinger) for tre områder på serveren vår: Felles Dette området skal alle brukere kunne se og kopiere filer fra (lesetilgang). I noen kataloger kan det være aktuelt at noen brukere har skrivetilgang. Apps Her skal vi legge ut programvare (applikasjoner), enten ferdiginstallert eller som installasjonsfiler. Alle brukere skal ha lesetilgang, og enkelte brukere skal også kunne legge ut filer her (dvs. skrivetilgang). Home Her skal hver bruker ha tilgang til sin private katalog. Det er kun den enkelte bruker (og administrator) som skal ha tilgang til katalogen. Et slikt område kalles gjerne Home Folder, eller hjemmeområde. Vi gir brukerne full tilgang til hjemmeområdet slik at de eventuelt selv kan gi andre brukere tilgang til sitt område. For å dele en katalog gjøres dette direkte fra Windows Explorer (Utforsker):

68 Vi lager først en katalog C:\felles. Nå kan vi høyreklikke på felles og velge Share With - Spesific People. Nå kan vi velge hvem som skal ha tilgang til området. Vi ønsker å gi alle elever lesetilgang og lærere skrivetilgang, så vi gir derfor gruppene elever og lærere en slik tilgang: Administrator får automatisk skrivetilgang med mindre vi fjerner denne. Legg merke til at vi gir tilgang til grupper (ikke OU-er). Dette gjør det enklere å administrere tilgangen. Bare unntaksvis gir vi tilgang til enkeltbrukere. Dette sharet vil nå ha adressen \\server1\felles eller \\server1.hiof.no\felles.

69 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 69 Vi kan teste sharet ved å skrive inn adressen i Windows Explorer: Vi kan også skrive inn adressen til kun serveren \\server1 og få listet opp alle share som er tilgjengelig. Nå kan vi lage et share for Home på tilsvarende måte. Vi gir nå Domain users (dvs. alle brukere unntatt guest) lesetilgang til dette området. Hver enkelt bruker skal ha skrivetilgang til sin private katalog (hjemmeområde) som ligger som underkataloger til Home. Hvis vi oppretter nye brukere (eller endrer på eksisterende) og skriver inn adressen til hjemmeområdet (Home Folder), vil rettighetene til det private området automatisk bli satt riktig for den aktuelle brukeren.

70 Vi kan sjekke at rettighetene til en bruker er riktig, ved å høyreklikke på katalogen til en bruker og velge Properties - Security. Vi kan nå se hvilke brukere og grupper som har rettigheter til katalogen, og hva slags rettigheter de har. For å få litt bedre oversikt kan vi velge Advanced, og vi får denne oversikten: Vi ser her at noen rettigheter er arvet fra (Inherited from) katalogen over (Home), mens andre er satt direkte (None) på brukerens katalog, i dette tilfellet NilsN. Vi ser at Nils Nilsen og Administrator har skrivetilgang, mens Domain Users har lesetilgang. Tilgangen for Domain Users er i dette tilfellet feil, vi ønsker ikke at alle brukere skal kunne lese innholdet i andres hjemmeområder. Vi kan endre dette på følgende måte: Høyreklikk på katalogen Home og velg Properties - Security Advanced. Velg så Change Permissions.

71 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 71 Marker Everyone og velg Edit. Vi kan nå sette at rettighetene for Domain Users skal gjelde for This folder only. Dette betyr at alle kan lese katalogen Home, men de får ikke tilgang til underkataloger bortsett sin egen. Som vi ser, er det mange muligheter for å sette rettigheter for å styre tilgang til kataloger. Hvis man ikke passer på, er det lett å gå surr i rettighetene. Vi bør derfor passe på at vi har en god struktur på gruppene våre, katalogene og hvilke rettigheter vi setter. Hvis vi er i tvil om hvilke rettigheter som gjelder for en bruker på en bestemt katalog, kan vi sjekke tilgangen på denne måten: Høyreklikk på katalogen og velg Properties - Security Advanced. Velg så Effective Permission og velg ut en bruker eller gruppe ved å trykke på Select a user. Vi vil så få en oversikt som f.eks. her:

72 Oversikt over rettigheter Som vi ser, er det litt variasjon i detaljnivået på rettigheter avhengig av hvor vi ser på dem: Når vi lager et share med "share with"-funksjonen, kan vi kun velge Read eller Write. I de aller fleste tilfeller er disse to valgene tilstrekkelig. Går vi på Properties - Security, ser vi følgende rettigheter: Full control Modify Read & execute List folder contents Read Write Spesial Permissions Full skrivetilgang, og brukerne kan gi rettigheter til andre Skrivetilgang Lesetilgang og kjøre programmer Kun se oversikt over filer i foldere Lese filer, ikke kjøre program Skrive filer Disse kan bare settes under Advanced Velger vi Modify, vil alle andre rettigheter bortsett fra Full control bli valgt, og brukeren får skrivetilgang. Velger vi Read & execute, vil List folder content og Read også bli valgt, og brukeren får lesetilgang. Ser vi under Advanced, vil vi se at rettighetene er enda finere inndelt. Det er sjelden vi har bruk for disse ved normal fildeling, så vi vil ikke gå inn på disse. Øvelse 1 Opprett sharet Apps med lesetilgang til alle brukere og skrivetilgang til administratorer. Øvelse 2 For å få litt trening med å sette rettigheter kan vi gjøre følgende: Vi ønsker at en gruppe elever som jobber på prosjekt, skal få skrivetilgang til en bestemt katalog på fellesområdet: Lag en underkatalog til felleskatalogen som heter Prosjekt. Lag en gruppe som heter Prosjekt, og legg til de aktuelle elevene som medlemmer.

73 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 73 Høyreklikk på katalogen Prosjekt og velg Properties - Security Edit. Vi kan nå Velge Add og legge til gruppen Prosjekt. Gi så gruppen Prosjekt rettigheten Modify. Nå vil gruppen Prosjekt ha skrivetilgang, mens elever og lærere vil ha de samme rettighetene som i felleskatalogen (fordi de arves). Ved å legge de aktuelle elevene inn i denne gruppen vil de få skrivetilgang. Det kan jo være aktuelt å fjerne noen rettigheter, f.eks. at alle elever skal ha lesetilgang. Dette kan gjøres på to måter: Skru av arving av rettigheter eller krysse av for Deny på de rettighetene vi vil fjerne. For å stoppe arving til underkatalogen Prosjekt må vi velge Advanced under Security og Disable inheritance. Vi får da spørsmål om Convert eller Remove. Velger vi Convert, vil rettighetene fra nivået over kopieres og settes direkte på prosjektfolderen, slik at vi fritt kan redigere dem. Velger vi Remove, fjernes alle rettigheter, og vi kan legge til nye rettigheter. En enklere metode kan være å krysse av for Deny på de rettighetene vi ikke ønsker skal arves. Ulempen med dette kan være at rettighetene blir litt uoversiktlige.

74 Øvelse 3 Nå som vi har fått opprettet Home-sharet med korrekte rettigheter, kan vi endre på de brukerne vi har laget (fra Active Directory Users and Computers) slik at de får hvert sitt hjemmeområde. Marker alle de aktuelle brukerne ved hjelp av Shift- eller Ctrl-tasten. Velg Folder og kryss av for Profile. Velg Connect N: to og skriv inn. \\server1.mittdomene.no\home\%username% på Profile - Home folder. Kontroller at katalogene har blitt opprettet under Home-katalogen. 6.3 NETTVERKSKRIVERE Hvis vi skal gjøre skrivere tilgjengelig i nettverket vårt, kan vi lage skriverkøer på serveren vår som sørger for at flere brukere kan dele en skriver. Skriverkøen vil også sørge for at utskriftene blir sendt til skriveren når den er klar, slik at brukernes PC-er blir avlastet for denne jobben.

75 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 75 Det finnes forskjellige måter å koble en skriver til nettverket vårt på. Skriver med innebygd nettverkskort Den enkleste og raskeste løsningen er å bruke en skriver med innebygd nettverkskort. Mange skrivere har i dag enten innebygd nettverkskort eller ledig kortplass, slik at vi kan kjøpe og installere et nettkort selv. Alle datamaskiner i et nettverk kan skrive ut direkte på en skriver som er knyttet til nettet, men det er enklere å la utskriftsjobbene gå via en Windowsserver. Da slipper vi å installere den nødvendige programvaren for å kommunisere med skriverne hos alle klientene, og vi får alle de andre fordelene som følger med det å la serveren ta seg av utskriftsjobbene. Skriver koblet til en server De fleste typer skrivere kan kobles direkte til serveren ved hjelp av en USBtilkobling. Skriveren kan deretter gjøres tilgjengelig for andre PC-er over nettet (sharing). Dette er en rimelig måte å koble en skriver til nettet på, men den må da plasseres i nærheten av serveren. Skriver koblet til en arbeidsstasjon I et nettverk med Windows-klienter kan en skriver som er koblet til en arbeidsstasjon, gjøres tilgjengelig for andre brukere av nettet. Ulempen med denne løsningen er at maskinen som skriveren er koblet til, må være slått på for at skriveren skal kunne brukes. Hvis skriveren blir brukt mye av andre, vil dessuten belastningen på datamaskinen bli forholdsvis stor. En Windows-klient fungerer stort sett like greit som en Windows-server når det gjelder utskriftstjenester, men det ligger en begrensning i at det maksimalt kan være ti nettverksforbindelser mot én arbeidsstasjon samtidig. Skriveserver Skriverserver Vi kan koble en skriverserver direkte til nettet. En slik skriverserver er en frittstående boks som har en nettverkstilkobling og én eller flere USB-porter. Dette betyr at vi kan ta en vanlig skriver med USB-tilkobling og koble til hvor som helst i nettverket. Hvis vi ønsker det, kan vi også få skriverservere for trådløst nettverk. Deling av skrivere Hvis man skal dele en USB-skriver, vil installasjonen normalt gå automatisk når man kobler den til serveren første gang. Da kan man gå til Properties - Sharing og lage en skriverdeling der. (Se lenger ned i eksemplet.) I vårt eksempel skal se på hvordan vi kan sette opp og dele en laserskriver som er koblet direkte på nettverket.

76 Først må vi sørge for at skriveren settes opp med en gyldig IP-adresse. Dette vil variere med produsent og type skriver, men har skriveren et display, kan dette gjerne gjøres direkte på skriveren. Vi kan alternativt la skriveren bruke DHCP, men vi må da sette en fast adresse i DHCP-serveren. I vårt eksempel setter vi IP-adressen på skriveren til Vi kan sette opp skriveren fra Devices and Printers fra startmenyen. Dette fungerer på samme måte som i Windows 7 og 8. I vårt eksempel vil vi heller sette opp skriveren i Server Manager: Start opp Print management, enten i eget vindu eller fra Server Manager. Finn fram til Print Servers og Server1. Høyreklikk på Printers og velg Add Printer. Skriveren vår er koblet direkte på nettet, så vi skal legge til en TCP/IP-skriver. Det finnes også en søkefunksjon, men den kan bare brukes på skrivere som er koblet på samme nett som serveren.

77 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 77 Skriv så inn IP-adressen vi satte på skriveren, og gå videre. Programmet vil nå sjekke at den klarer å kommunisere med skriveren, og prøve å finne ut hvilken driver den skal bruke. Vi kan så velge navn på skriveren og om vi ønsker å dele den. Hvis den ikke finner driver automatisk, kan vi velge en manuelt. Trykk eventuelt på Windows Update for å få fram flere drivere. Hvis vi har drivere på CD eller som vi har lastet ned fra produsenten av skriveren, kan vi trykke på Have disk. Hvis vi ikke finner en driver, kan vi prøve å velge en skrivermodell med lignende modellbetegnelse. Skriveren er nå klar til bruk.

78 Det kan være aktuelt å gjøre noen flere innstillinger på skriveren. Dette gjøres ved å høyreklikke på skriveren og velge Properties. Under Sharing kan vi krysse av for List in the directory, dvs. AD. Dette kan være aktuelt når brukeren skal finne fram til skrivere på nettet, spesielt i større nett.

79 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 79 Under Advanced kan vi gjøre en del innstillinger på hvordan printjobbene blir behandlet i køen. Vi kan også gå inn Printing Defaults og sette forskjellige ting som utskriftskvalitet og tosidig utskrift. Valgene her vil variere etter skrivertype.

80 En spesiell mulighet er å sette opp et tidsrom for når skriveren vil fungere. Setter vi opp dette, vil brukerne kunne sende utskrifter til køen hele døgnet, men utskriftene vil ikke bli sendt videre til skriveren før tiden er innenfor tidsrommet vi har satt. Dette kan f.eks. brukes til å sette i gang store utskriftsjobber om natten. Under Security kan vi kontrollere tilgangen til skrivere. I utgangspunktet vil alle ha rettigheter til å bruke skriveren, mens Administrator kan styre den. Hvis vi har plassert noen brukere i gruppene Print eller Server Operators, vil også disse kunne administrere skriveren. Hvis vi ønsker det, kan vi la enkelte grupper eller brukere kontrollere utskriftsjobber ved å gi dem Manage documentsrettigheter. De vil da kunne ta pause eller slette utskrifter fra køen og lignende. Under Ports kan det være aktuelt å legge til eller endre porter for en skriver. Hvis vi for eksempel må endre IP-adressen på en skriver, må vi oppdatere porten her.

81 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 81 Vi kan velge å sette opp printer pooling. Det vil si at vi har to eller flere skrivere som betjener samme utskriftskø. Dette kan være aktuelt hvis vi har stor belastning på en skriver, eller hvis vi vil sikre oss mot at utskriftene stopper på grunn av papirkrasj eller lignende. Hvis vi velger pooling, må vi legge til en port med riktig IP-adresse for hver av skriverne.

82 Tips! I noen tilfeller kan det være aktuelt å lage flere printkøer til samme skriver. Dette kan f.eks. brukes hvis vi ønsker å lage en kø som bare sender ut skriverjobber på natten. Det kan også være aktuelt å lage køer med forskjellige skriverinnstillinger, for eksempel en med fargeutskrift og en med svart-hvitt. Noen skrivere kan brukes med forskjellige typer drivere, f.eks. PCL5, PCL6 og Postscript, og vi kan da lage en kø for drivertype. For å lage en ekstra kø på en eksisterende skriver gjøres dette på samme måte som i eksemplet over, men når vi skal velge port, velger vi "Add a new printer using an existing port". Deretter går vi videre og gir skriveren og sharet et annet navn. 6.4 ARBEIDSSTASJONER Nå har vi kommet så langt at vi kan koble til en annen PC (en klient) og teste ut brukernavn, filområder og skrivere vi har laget. Når vi skal bruke en klient i et Windows-domene, vil vi som oftest melde denne inn i domenet. Dette gir oss fordeler som disse: Alle brukere i domenet kan logge inn på hvilken som helst PC i nettverket vårt med brukernavnet vi har laget. De trenger ikke noe lokalt brukernavn på klienten. Tilgang til filområder og skrivere kan settes opp automatisk ved hjelp av logon skript og policy. Administrator kan gjøre endringer på klientene ved å lage policy på serveren. Det er også mulig å koble en PC til filområder og skrivere uten at den er medlem av domenet, men disse tilkoblingene må settes opp manuelt. En slik tilkobling kan f.eks. være aktuelt for enkelte brukere med bærbar PC. Melde PC inn i domene Det er ikke alle versjoner av Windows som lar seg melde inn i et domene. Dette gjelder alle Home-versjoner av Windows. I vårt eksempel vil vi bruke

83 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 83 Windows 8 Pro i norsk utgave, men også eldre Windows-versjoner kan brukes på en tilsvarende måte så lenge det ikke er Home-utgaver. Fordi domenenavnet vårt, mittdomene.no, er et uoffisielt navn som kun eksisterer i vårt nettverk, må vi sørge for at klienten vår klarer å finne dette navnet. Dette gjøres ved å la klientene bruke vår egen navnetjener (DNSserver). (DNS-server blir automatisk installert på serveren vår når vi lager Windows-domenet.) Det er tre måter vi kan endre DNS-server for klienter på: 1. Sette opp vår egen DHCP-server på Windows-serveren vår. Se i et senere kapittel hvordan dette gjøres. 2. Endre DHCP-innstillingene på ruteren vår slik at den deler ut adressen til serveren vår ( ). 3. Endre direkte på klienten, og dette gjøres slik: System og delingssenter - Endre innstillinger på nettverkskort Velg så egenskaper på Lokal tilkobling (denne kan også ha andre navn) og Internet Protocol versjon 4. Sett så Foretrukket DNS-server til Uansett hvilken metode vi bruker for å endre DNS, kan vi sjekke den på klienten med følgende metode:

84 Åpne et kommandovindu ved å gå til startmenyen og skriv inn cmd. Skriv så kommandoen ipconfig /all og sjekk verdien for DNS. Vi kan nå melde klienten inn i domenet ved å bruke kontrollpanelet System (dette ligger under System og sikkerhet): Velg så Endre innstillinger. Velg så Nettverks-ID for å melde maskinen inn i domenet vårt. Velg Denne maskinen er del av et firmanettverk og deretter Firmaet bruker et nettverk med domene. Vi må oppgi et brukernavn som har rettigheter til å melde maskiner inn i domenet. Foreløpig kan vi bruke brukeren Administrator i domenet vårt (ikke Administrator lokalt på klienten).

85 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 85 Vi får beskjed om at det ikke er noen konto for maskinen. Vi kan opprette en slik konto ved å skrive inn navnet klient1 og gå videre i veiviseren. Det lokale navnet på klienten vil da samtidig bli endret. Det kan være at man må skrive inn administratorpassord for domene på nytt. Vi kan nå starte klienten på nytt og prøve å logge inn i domenet vårt for første gang. Legg merke til at det nå står Logg på: MITTDOMENE. Vi kan f.eks. logge inn som eleven nilsn.

86 Hvis vi har satt opp korrekt Home folder på brukeren (\\server1.mittdomene.no\home\%username%), vil vi nå få opp brukerens private hjemmeområde som disken N: hvis vi ser på Min Datamaskin. Vi har ikke laget noen automatiske koblinger til de andre filområdene ennå, men vi kan finne dem ved å skrive inn adressen \\server1.mittdomene.no i Windows Utforsker. Hvis vi ønsker, kan vi koble Apps og Felles til hver sin diskbokstav ved å høyreklikke på dem og velge Koble til nettverksstasjon. Vi ser også at skriveren vi installerte, kommer fram i utforskeren. Hvis vi klikker på denne, kan vi få installert denne på klienten. Koble frittstående PC til serveren Hvis vi ønsker å koble en PC til serveren vår uten å melde den inn i domenet, kan dette gjøres slik:

87 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 87 Koble maskinen til nettet vårt. Sjekk at DNS-innstillingene er riktig på samme måte som beskrevet over. Skriv inn \\server1.mittdomene.no i Windows Utforsker. Vi vil nå få spørsmål om brukernavn og passord. Skriv inn brukernavn på formen mittdomene\brukernavn, f.eks. mittdomene\nilsn og riktig passord. Vi kan nå filområder og skrivere på serveren som beskrevet over bortsett fra at hjemmeområdet ikke blir koblet opp automatisk. O P P S U M M E R I N G I dette kapitlet har du lært å installere fil- og printserverrollene å lage shares å sette tilgangsrettigheter om forskjellige måter å koble skrivere til nettet på å dele en skriver å melde en klient inn i domenet å logge inn i domenet å koble en frittstående server til serveren O P P G A V E R Oppgave 1 a) Hva er et share? b) Nevn noen eksempler på områder som kan være aktuelle å sette opp som shares på en server. c) Hvordan kan vi sette opp et share slik at brukerne bare kan lese og ikke skrive filer? d) Hva kan vi gjøre for at bare noen utvalgte brukere får tilgang til et share?

88 e) Hva menes med en skriverkø? f) Nevn et par eksempler på hvordan vi kan koble opp en skriver i et nettverk. g) Hva menes med å melde en PC inn i domenet? h) Hvordan kan vi få oversikt over shares på serveren fra en klient?

89 7 Tilpasning av brukermiljø Det finnes en rekke innstillinger i Windows og programmer vi bruker, som påvirker utseende og hvordan programmene oppfører seg. Noen innstillinger er personlige, mens andre er knyttet til maskinen som brukes. Mange av disse innstillingene lagres i brukerprofiler som er en viktig del av brukermiljøet. Ved hjelp av Group Policy kan vi gjøre om på en mengde innstillinger som forandrer brukernes omgivelser. Påloggingsskript kan også benyttes til å påvirke brukermiljøet. Når du har lest dette kapitlet, kan du opprette nettverksprofiler opprette Group Policy opprette påloggingsskript 7.1 PROFILER Profiler brukes for å tilpasse og lagre brukernes omgivelser. I en profil lagres for eksempel skrivebordet, Mine dokumenter og innstillinger i Windows. Også innstillinger fra forskjellige applikasjoner som Word, Excel, Internet Explorer

90 og Windows Live Mail lagres her. Det er for eksempel i profilen vi finner favorittene og adresseboka. Profiler kan enten lagres lokalt (Local Profiles) eller på en server (Roaming Profiles). Profiler gir oss flere fordeler: Flere personer kan dele samme maskin og fortsatt få sitt personlige oppsett. Brukere kan benytte vilkårlige maskiner og få sitt personlige oppsett. Eksempler på slike brukere er elever på en skole eller medarbeidere i et firma uten faste kontorer. Endringer som gjøres av én bruker, påvirker ikke andre. Den nettverksansvarlige kan lage en standardprofil som inneholder fornuftige innstillinger for nye brukere. Roaming Profiles Når vi har brukere som logger seg på et Windows-nettverk, bruker vi ofte Roaming Profiles (roaming = omstreifende). Profilen til alle brukere er da lagret på serveren, og brukerne kan logge på alle PC-er som er medlem av domenet vårt, og få sin egen profil. Når en bruker med Roaming Profiles logger seg på, vil hele profilen bli kopiert fra nettet til harddisken på den lokale PC-en (normalt til C:\Users). Når brukeren logger seg av, blir eventuelle endringer i profilen kopiert tilbake til profilen på nettet. Profilen blir også liggende på den lokale harddisken, slik at ikke hele profilen må kopieres over neste gang brukeren logger seg på den samme maskinen. Når vi oppretter en bruker, må vi fortelle hvor profilen til brukeren skal plasseres. Vi kan enten legge profilen i en mappe på brukerens hjemmeområde, eller vi kan lage en egen deling (et share) for profiler der alle brukerne får hver sin mappe for sin profil. Det kan være noen ulemper med Roaming Profiles. I noen tilfeller kan profilen vokse seg så stor at det tar lang tid å logge seg inn på en ny PC. I andre tilfeller kan profilen bli ødelagt slik at brukeren får problemer med noen programmer. M E T O D E Sette opp en Roaming Profile Vi ønsker å sette opp Roaming Profile for våre studenter. a) Lag en katalog C:\profil og del denne for Domain users med lesetilgang.

91 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 91 b) Gå til Properties - Security - Advanced på profilkatalogen. c) Marker Domain users og velg Edit. d) Endre Applies to slik at rettighetene gjelder This folder only. e) Velg så Show advanced permission og gi gruppen Create file - og Create folder rettigheter. f) Legg til rettigheter for spesialbrukeren Creator Owner. Dette skal gjelde for Subfolders and files only, og rettighetene skal være Full control ( Add Select a principal creat show advanced) Når rettighetene settes slik, vil alle brukerne ha rettigheter til å opprette en katalog for sin profil. Dette skjer automatisk første gang en bruker logger inn med Roaming Profile. Etter at katalogen for brukeren er opprettet, vil rettighetene til Creator Owner sørge for at kun brukeren har tilgang til sin katalog. Dette medfører at heller ikke Administrator har tilgang til brukernes profiler. (For å endre dette kan man bruke Group Policien Computer Configuration - Policies - Administrative Templates - System - User Profiles - Add the administrators security group to roaming users profile.) Vi kan nå gå inn på de eksisterende brukerne og sette profile path til \\server1.mittdomene.no\profile\%username%. Logg så inn og ut igjen med en av de aktuelle brukerne på klienten.

92 Sjekk så at profilkatalogen har blitt opprettet på profilområdet på serveren. Valg av profiltype Vi kan velge om brukerne i nettverket vårt skal ha lokale profiler eller nettverksprofiler (Roaming). Valg av profiltype kan variere ut fra bruksmønsteret i nettverket og hvilken programvare som brukes. Her er noen punkter for valg av profiltype: Hvis hver bruker har en fast PC, kan vedkommende godt klare seg med lokale profiler. Selv om brukerne vanligvis jobber på en fast maskin, kan det allikevel være en fordel om profilen ligger på nettet. Hvis en av brukerne må bytte maskin på grunn av feil eller oppgradering, vil han eller hun fortsatt møtes av sine vanlige omgivelser når vedkommende logger seg inn på en ny maskin. Hvis man bruker lokale profiler, bør man sørge for at de vanligste folderne i profilen (f.eks. Mine dokumenter, Mine bilder og Skrivebord), blir redirigert til brukerens hjemmeområde. Dette sørger for at brukernes dokumenter lagres på serveren. Les mer om redirigering under Group Policy. Hvis man velger nettverksprofiler, bør man også redirigere foldere. Dette forhindrer at brukerprofilen vokser seg for stor. Konklusjon: Vi anbefaler å sette opp Roaming Profil samtidig som man redirigerer flest mulig foldere fra profilen til hjemmeområdet. Søke etter feil i profiler Hvis det oppstår feil i en profil, kan det medføre at en bruker ikke får logget seg inn, eller at han eller hun ikke får utført enkelte oppgaver. Det kan også føre til problemer for brukerne hvis profilen blir så stor at det tar lang tid å logge seg inn. Det kan for eksempel skje hvis en bruker lagrer store dokumenter på skrivebordet eller i Mine dokumenter. Her er noen tips til hvordan du kan løse eventuelle problemer i profiler: Slett Ntuser.dat (brukeren må være logget av) og la brukeren logge seg inn på nytt. Han eller hun vil da få en ny kopi av denne filen fra standardprofilen (Default Profile). Brukeren mister noen av innstillingene sine, men får beholde alle filer og snarveier (Mine dokumenter, Skrivebord, favorittene osv.). Hvis tipset ovenfor ikke hjelper, må du gi hele profilmappa et nytt navn (for eksempel profile.old). Logg så inn som administrator på klienten som brukeren benytter, og slett brukerens profil fra C:\users eller c:\brukere. Gå inn i registry og fjern referansen til brukerens profil fra HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList.

93 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 93 La så brukeren logge seg inn på nytt. Han eller hun vil nå få en helt fersk profil. Enkelte elementer, som favoritter og adressebøker, kan nå kopieres over fra mappa profile.old. For å unngå at profilen blir for stor, kan du flytte mappene Mine dokumenter og Skrivebord ut av profilen og legge dem direkte på hjemmeområdet. Bruk Group Policy (se nedenfor). Disse mappene vil da automatisk bli flyttet for eksisterende brukere. Området som det redirigeres til, må være tilgjengelig med skrivetilgang for brukeren. Hvis det er mange brukere som deler et sett med maskiner, kan det bli liggende mange kopier av profiler på hver maskin, som igjen opptar altfor mye plass. For å unngå det kan vi angi at det ikke skal lagres kopier av profiler når brukerne logger seg av. Sett da opp følgende Group Policy (se nedenfor): Delete cached copies of roaming profiles. (Den ligger under Computer Configuration\Administrative Templates\System\Logon.) 7.2 GROUP POLICY Group Policy er et sett med regler som kan knyttes til grupper av maskiner eller brukere. Disse reglene kan brukes til å styre en rekke forskjellige innstillinger for brukere og maskiner. Group Policy (GP) er et kraftig verktøy for administrasjon av brukere og maskiner, men i og med at det har så mange innstillingsmuligheter, er det også en potensiell feilkilde. En stor fordel med GP er at vi kan endre innstillinger på en PC som en normal bruker uten administratortilgang ikke har rettigheter til å gjøre. Det vil si at vi istedenfor å gå rundt på alle maskiner og gjøre en endring, kan vi gjøre dette automatisk når en normal bruker logger inn ved hjelp av en GP-setting. Her er de viktigste områdene vi kan bruke Group Policy på: Installasjon av programvare Vi kan bruke Group Policy til å sørge for at programvare blir installert på arbeidsstasjonene i nettet. Sikkerhet Vi kan sette opp innstillinger for bytting av passord, logging, brannmur, Windows-oppdateringer osv. Programvareinnstillinger Vi kan for eksempel bestemme hvordan skrivebordet og Start-menyen skal se ut, eller hvilke innstillinger vi skal bruke i Internet Explorer.

94 Systeminnstillinger i Windows Vi kan f.eks. forhindre at arbeidsstasjonene blir skrudd av for brukerne (shutdown), eller at brukerne ikke får fram et kommandovindu. Hvor kan vi bruke Group Policy? Group Policy er nær knyttet til Active Directory. Det er derfor viktig at du kjenner til begrepene Domain (domene) og Organizational Unit (OU) før du tar i bruk Group Policy (se kapitlet om Active Directory). Group Policy kan settes på følgende objekter: Site Vi kan sette Group Policy på en site, det vil si hvis vi har splittet opp ett eller flere domener i flere sites fordi maskinene i nettverket er spredd geografisk. Dette gjelder altså bare store nettverk. Domain Vi kan sette innstillinger som gjelder alle maskiner eller brukere i et domene. Det betyr at hvis nettet vårt bare består av ett domene, vil Group Policyinnstillinger her gjelde alle maskinene. Det finnes en policy som standard som heter Default Domain Policy. OU Vi knytter Group Policy til grupperinger av maskiner eller brukere. En av de største fordelene med å bruke OU-er er kanskje nettopp muligheten til å knytte Group Policy til dem. Det kan derfor være lurt å vente med å lage OU-er til vi har fått oversikt over hva vi har behov for å bruke Group Policy til. Vi kan ikke sette Group Policy på en sikkerhetsgruppe (se brukeradministrasjon). Gruppebegrepet i Group Policy har altså ingen sammenheng med sikkerhetsgrupper som Domain Users eller Domain Admins. Vi kan derimot sette policy på en OU og deretter sette at den kun skal gjelde for enkelte sikkerhetsgrupper (under Scope). Vi kan heller ikke sette policy på standard OU-ene Builtin, Users og Computers (policy som er satt på domene, vil fungere). Vi bør flytte brukere og maskiner over i egne OU-er slik at vi har mulighet for å sette policy direkte på disse. Vi har også noe som heter Local Group Policy. Alle Windows-arbeidsstasjoner (ikke Home-versjonene) har en Local Policy selv om de ikke er knyttet til et nettverk med Active Directory. Her er det et begrenset antall settinger. Når vi

95 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 95 melder en maskin inn i et domene, er det ønskelig å styre alle policies fra serveren, så de lokale innstillingene er det da lite aktuelt å bruke. Vi kan sette policy på flere nivåer. Hvis samme verdi er satt på forskjellige nivåer, vil den som settes sist, gjelde. Følgende rekkefølge gjelder: 1) Local Group Policy, 2) Site Policy, 3) Domain Policy og 4) OU Policy. Vi kan ha flere OU-er under hverandre. I vårt eksempel kan vi sette policy på både Elever og Kull2015. Vi kan ha flere policies på hver OU. I og med at det er mulig å sette policy så mange steder, kan vi lett gå i surr når det gjelder hvilke rettigheter en maskin eller bruker ender opp med. Vi må derfor ha en plan for hvordan vi ønsker at Group Policy skal settes. Her er noen tips i den forbindelse: Tenk igjennom hva du skal bruke Group Policy til, og sørg for at OUstrukturen er bygd opp slik at det blir enklest mulig å gjennomføre det du vil. Finn ut om det først og fremst er behov for å dele opp maskiner eller brukere med forskjellige policies. Ikke sett Group Policy for mange forskjellige steder. Ofte er det tilstrekkelig å sette policy på domenet og enkelte utvalgte OU-er. Ikke lag for mange innstillinger i en policy. Lag heller flere policies. Hvordan sette Group Policy? De objektene det er vanligst å sette Group Policy på, er Domain og OU. Vi bruker verktøyet Group Policy Management i kombinasjon med Active Directory Users and Computers til dette formålet. M E T O D E Sette Group Policy på brukere Vi skal sette Group Policy for alle elever. Vi ønsker blant annet at elevene ikke skal kunne bruke funksjonen Lock Computer. a) Start først Active Directory Users and Computers (AD) og sjekk at alle elevene er plassert under OU-en Elever. b) Start nå Group Policy Management fra Tools menyen i Server Manager. (Snarvei: Skriv inn Group fra startsiden.) c) Finn fram til OU-en Elever.

96 d) Høyreklikk på OU-en og velg Create a GPO in this domain, and link it here... (GPO=Group Policy Object). e) Kall policyen Lock computer. f) Høyreklikk nå på policyen Lock Computer og velg Edit. g) Finn nå fram til settingen User Configuration - Policies - Administrative Templates - System - Ctrl+Alt+Del Options. h) Dobbelklikk på Remove Lock Computer. i) Kryss av for Enabled og trykk på OK. Prøv nå å logge inn som en av elevene og sjekk om policyen virker. Policy på maskiner Vi ønsker å sette en policy på alle maskiner i elevenes maskinrom som hindrer at nye brukere får velkomstanimasjonen i Windows 8. M E T O D E Sette policy på maskiner a) Gå inn i AD og lag en OU som heter Maskinrom. b) Flytt de aktuelle klientene til denne OU-en. c) Start så Group Policy Management.

97 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 97 d) Lag en ny policy på Maskinrom som heter First sign-on. e) Velg Edit på den nye policyen. f) Finn fram til Computer Configuration - Administrative Templates System - Logon. g) Dobbeltklikk på Show first sign-in animation og sett den til Disabled. h) Prøv nå å logge inn med en ny bruker fra klienten. Forskjellige policies Vi skal her gå igjennom noen flere eksempler på innstillingsmulighetene i Group Policy. Vi ser at Group Policy er delt i to hoveddeler: Computer Configuration og User Configuration. Det er viktig å være klar over at hvis vi lager en Group Policy på en OU som inneholder maskiner, er det kun innstillingene i Computer Configuration som vil bli benyttet, selv om valgene for User Configuration er tilgjengelige. Det motsatte gjelder hvis OU-en inneholder brukere. Policysettinger er delt inn i følgende hoveddeler: Under Policies finner vi følgende: Software Settings Windows Settings Administrative Templates Under Preferences finner vi: Windows Settings Control Panel Settings Programvareinnstillinger (Software Settings) Et av bruksområdene til Group Policy er muligheten til automatisk å installere programvare på arbeidsstasjonene. Vi kan knytte et program enten til brukere (User Configuration) eller maskiner (Computer Configuration). Et program kan enten installeres automatisk (Assignment) eller gjøres tilgjengelig slik at brukerne selv kan velge å installere det med funksjonen Add/Remove Programs i kontrollpanelet (Published). Hvis vi legger ut et program ved å tildele det en bruker, vil det bli lagt snarveier til programmet i Start-menyen og på skrivebordet. Den første gangen brukeren

98 forsøker å starte programmet eller åpne et dokument som hører til programmet, vil programmet bli installert. Hvis vi derimot tildeler en maskin programmet, blir det installert automatisk når maskinen startes. Før vi kan bruke programvareinstallasjonen, må vi lage en deling som installasjonsfilene kan ligge i. Hvis vi tildeler et program til maskiner, så installeres dette før noen bruker logger inn. Vi må derfor sørge for at maskinen har tilgang til delingsområdet. Dette gjøres enklest ved å gi rettigheter for gruppen Everyone. Hvis man vil begrense tilgangen til området, kan man gi tilgang til gruppen Domain Computers. (Tips: Velg Object Types.) Installasjon av programvare fra Group Policy baserer seg på at programmet har en installasjonsfil i msi-format (Microsoft Installer). Hvis vi ønsker å installere et program som ikke har noen msi-fil, er det mulig å lage en slik fil selv ved hjelp av egen programvare for dette. M E T O D E Legge ut et program til maskiner på maskinrom Vi ønsker å legge ut webleseren Chrome til alle elever: a) Først må vi laste ned en msi-fil for Chrome. Denne finnes ved å søke på Chrome msi. b) Lagre msi-filen et sted på serveren som alle brukere og/eller maskinene har tilgang til. Vi kan f.eks. lage en katalog under Apps og legge filen der. c) Start Group Policy management og finn fram til OU-en Maskinrom. d) Lag en ny policy som heter Chrome, og velg Edit. e) Finn fram til Machine Configuration - Policies - Software Settings. f) Høyreklikk på Software installation og velg New package.

99 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 99 g) OBS! Vi må nå oppgi share-adressen hvor pakken ligger. Skriv derfor \\server1.mittdomene.no og bla deg fram til Apps Programpakker. h) Velg Assigned. Vi kan nå gå på klienten og teste: i) Når man skal teste en policy på maskiner, bør man ta en omstart av klienten man tester på. j) Noen maskin-policies krever faktisk to omstarter. k) Sjekk at programmet kommer fram på skrivebordet. Windows-innstillinger (Windows Settings) Windows Settings inneholder en rekke innstillinger for følgende områder: Scripts Her kan vi lage logonskript som utfører forskjellige oppgaver hver gang en bruker logger inn. Security Settings Passord og andre sikkerhetsinnstillinger. Folder Redirection Flytte kataloger ut av profilen. Policy-based QoS (Quality of Service) Kan brukes for å reservere kapasitet i nettverket. Deployed Printers Her kan vi sette opp nettverksskrivere slik at de blir koblet opp for brukere eller maskiner. Internet Explorer Maintenance Her kan vi gjøre forskjellige innstillinger i IE. Security Settings Under Account Policies er det spesielt Password Policy og Account Lockout som er viktige. Her setter vi innstillinger som lengde på passord, hvor ofte det må byttes, hvor mange forsøk brukerne skal få ved feil passord før kontoen sperres, og lignende. OBS: Legg spesielt merke til følgende: Account Policies

100 må settes på policyen som ligger på domenenivå (Default Domain Policy). Hvis vi setter Account Policies på OU-er, vil dette kun gjelde for lokale brukerkonti på arbeidsstasjonene i OU-en. Under Local Policies kan vi styre brukernes rettigheter på de maskinene som dekkes av policyen. Vi kan for eksempel nekte enkelte brukere tilgang til disse maskinene (Deny logon locally) eller kontrollere hvem som skal få lov til å skru dem av (Shut down the system). Ved å definere grupper under Restricted Groups kan vi styre hvem som er medlem av de lokale gruppene på hver enkelt PC. Dette kan typisk brukes til å gi enkelte brukere eller grupper lokale administratorrettigheter på enkelte maskiner. M E T O D E Sette lokale rettigheter på PC-er i nettet Vi ønsker å gi alle lærere lokale administratorrettigheter på alle PC-er på maskinrommene for elever. a) Først må vi sjekke at vi har en gruppe i domenet som inneholder de aktuelle brukerne. I vårt tilfelle bruker vi lærere. b) Lag en ny Group Policy som heter Lokal admin på OU-en maskinrom og velg Edit på denne. c) Gå til Computer Configuration - Policies - Windows Settings Security Settings. d) Trykk på browse og finn fram til gruppen mittdomene\lærere. e) Nå kan vi velge This group is a member of og legge til administrators. Administrators er da en lokal gruppe på en klient som bestemmer hvem som har administratortilgang for denne maskinen.

101 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 101 Folder redirection Redirigering brukes for å flytte noen foldere ut fra brukerens profil. Dette gjøres for å forhindre at profilen blir for stor. M E T O D E Redirigering Vi ønsker å redirigere flest mulige foldere ut fra profilene til alle elever. a) Lag en policy på OU-en Elever og kall denne Redirekt. b) Editer Policyen og finn fram til User Configuration - Windows Settings - Folder Redirection. c) Vi kan nå høyreklikke på en av folderne og velge Properties for å sette opp en redirigering.

102 d) Velg verdiene som i figuren. Med disse innstillingene vil det bli opprettet en katalog på brukernes hjemmeområde, i dette eksemplet en Dokumenter-katalog. e) Velg så tab-en Settings.

103 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 103 f) Fjern krysset for Grant the user exclusive rights to desktop. (Hvis vi ikke endrer denne innstillingen, får ikke administrator tilgang til denne katalogen på serveren, og det kan være upraktisk hvis det er behov for vedlikehold av Home-området.) g) Gjenta så tilsvarende for resten av folderne. h) Logg så inn på klienten med en av elevbrukerne og sjekk at det fungerer. (Policyen for redirigering er litt spesiell, så du må antakelig logge på to ganger før den fungerer.) Skrivere Det er mulig automatisk å koble opp skrivere til brukere eller maskiner ved å legge til skriverne under Deployed Printers. For at dette skal fungere, må vi passe på at skriverne er delt og satt opp korrekt på serveren. Administrative maler (Administrative Templates) Med administrative maler kan vi sette registerinnstillinger (Registry) i Windows. I Windows Components kan vi lage en del innstillinger for spesielle programmer. Hvilke valg som er tilgjengelige, er avhengig av om vi er under Computer Configuration eller User Configuration. Vi kan blant annet sette innstillinger for Internet Explorer, Windows Explorer og Windows Installer. Under System kan vi stille inn forskjellige forhold på systemnivå. Vi kan for eksempel fjerne muligheten til å kjøre kommandoen Prompt eller Regedit. Under Logon finner vi innstillinger som har betydning for hva som skjer når en bruker logger seg på eller av. Fra Control Panel kan vi styre hva brukerne skal ha tilgang til i kontrollpanelet. I Desktop og Start Menu & Taskbar kan vi bestemme hvordan disse menyene skal se ut, og hva som skal være tilgjengelig i dem. Preferences Under Preferences kan vi sette en rekke utvidelser til Group Policy som ble introdusert sammen med Windows Server Ved hjelp av disse kan vi bl.a. koble opp nettverksstasjoner, legge til nye snarveier på desktop eller startmeny, endre registry og legge til lokale brukere. Disse funksjonene vil i mange tilfeller erstatte funksjoner vi ellers ville gjort i et logonskript (se senere avsnitt).

104 M E T O D E Lage en snarvei på desktop for flere brukere Vi ønsker å legge ut en snarvei til et program på serveren på desktopen for alle elever. a) For øvelsens skyld legger vi en kopi av notepad.exe i katalogen \\server1.mittdomene.no\apps\notepad. b) Lag en ny policy på Elever. c) Finn fram til User Configuration - Preferences - Windows Settings - Shortcut og legg til en shortcut (snarvei) slik: d) Logg så inn på klienten som en elev og sjekk resultatet.

105 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 105 M E T O D E Koble en diskstasjon til et share for flere brukere Vi ønsker å koble diskstasjonen I: til sharet Apps på serveren for alle elever: a) Bruk samme policy som vi brukte for shortcut. b) Finn fram til Drive - maps og legg til følgende: Når trer en policy i kraft? Når vi lager eller endrer en policy, vil normalt innstillingene i Computer Configurations settes når maskinen startes opp, og innstillingene i User Configurations settes når en bruker logger seg på. I tillegg vil de fleste policyinnstillingene oppdateres med et fast intervall, normalt 90 minutter. Søke etter feil i Group Policy Hvis du har satt innstillinger i Group Policy som ikke trer i kraft, kan du gjøre følgende for å søke etter feil: Dobbeltsjekk plassering av brukere og maskiner i OU-er. Logg inn på nytt, eventuelt start arbeidsstasjonen på nytt for sikkerhets skyld. Kjør programmet gpresult /v fra kommandolinjen for å se hvilke policies som slår til for brukeren og maskinen.

106 Kjør rsop.msc (eventuelt som administrator). Sjekk Windows-logger på den lokale klienten. Ikke sett for mange innstillinger på en gang. Test dem etter hvert. M E T O D E Se policy som blir satt på maskinen Hvis man kjører gpresult eller rsop.msc og ikke har administratortilgang til den lokale maskinen, får man kun sett brukerpolicy. Man kan eventuelt bruke denne metoden for å se policy som blir satt på maskinen: a) Kjør cmd som administrator, enten ved å høyreklikke på cmd og velge kjør som administrator eller trykke på Shift-Ctrl-Enter på cmd. b) Skriv gpresult /user brukernavn /v for å se resultatet for den brukeren man ønsker. c) Skriv eventuelt gpresult /user brukernavn /h rapport.html for å få generert en rapport på html-format. 7.3 PÅLOGGINGSSKRIPT (LOGON SCRIPT) Logon script er en kommandofil som kan kjøres når en bruker logger seg inn på nettverket. Vi kan ha forskjellige skript, både for grupper av brukere og for enkeltbrukere. En av de vanligste funksjonene i et påloggingsskript er oppkobling av logiske stasjoner til områder på en server (mapping). Vi kan også foreta en del vedlikehold og tilpasninger på hver enkelt brukers arbeidsstasjon i påloggingsskriptet. For eksempel kan vi installere programvare, gjøre endringer i registeret og kopiere filer. Etter at vi fikk Preferences-tilleggene i Group Policy, er logonscript ofte unødvendig å off net use i: \\server1.mittdomene.no\apps net use k: \\server1.mittdomene.no\felles Eksempel på et cmd påloggingsskript I Windows Server 2012 kan standard.cmd-filer benyttes som påloggingsskript. Slike filer har begrensede muligheter når det gjelder å utføre avanserte kommandoer, så det kan være aktuelt å benytte andre skriptspråk, f.eks. Powershell. Skript plasseres ofte i delingen netlogon (\WINDOWS\SYSVOL\domain\scripts) lokalt på serveren, men det er mer aktuelt å legge inn skript som en Group Policy (under Windows Settings på Computer eller User Configuration). Ved å bruke Group Policy blir det enklere

107 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 107 å ha forskjellige skript for forskjellige typer brukere. Det er også mulig å lage skript som kjøres når en maskin starter opp eller skrus av, og når en bruker logger av. O P P S U M M E R I N G I dette kapitlet har du lært om brukerprofiler om Group Policy å lage Group Policy å installere programvare fra Group Policy om redirigering av Profil O P P G A V E R Oppgave 1 a) Hva menes med en brukerprofil? b) Nevn noen eksempler på hva som blir lagret i brukerprofilen. c) Hva er en Roaming Profile? d) Hva er Group Policy? e) Nevn noen eksempler på hva Group Policy kan brukes til. f) Nevn et par eksempler på hva Group Policy Preferences kan brukes til.

108 8 DHCP DHCP (Dynamic Host Configuration Protocol) er en tjeneste som deler ut nettverksadresser og annen nødvendig nettverksinformasjon til maskiner i lokalnettet. Når du har lest dette kapitlet, kan du sette opp DHCP-server sjekke DHCP-tildeling på klientmaskin 8.1 OPPSETT AV DHCP-SERVER Vi skal gå gjennom hvordan vi kan sette opp en DHCP-server. M E T O D E Oppsett av DHCP på Windows-server a) Gå til Server Manager, og velg Add Roles og kryss av for DHCP-server.

109 b) Vi må ha en fast IP-adresse på serveren vår for å kunne legge inn DHCP-server. c) Vi kan nå starte DHCP for å konfigurere DHCP-serveren vår. d) Finn fram til IPv4, høyreklikk og velg New scope. e) Vi kan sette ett valgfritt navn på scopet. f) Velg Start IP til f.eks og End IP til g) Vi vil få forslag om lengde på nettadressen og tilhørende nettmaske som stemmer med nettet vårt. h) Vi får spørsmål om Add Exclusion and Delay, og dette kan vi bare hoppe over med Next. i) Lease Duration kan settes til den foreslåtte tiden. Denne kan endres senere. j) Vi får så spørsmål om vi ønsker å konfigurerer DHCP options. Svar ja på dette. k) Vi må oppgi adressen til ruteren vår, normalt l) Vi må legge inn adressen til DNS-server. Vi får forslag om domenenavn mittdomene.no og DNS-server , begge deler er OK. m) Vi velger å ikke bruke Wins. n) Til slutt må vi velge activate this scope now. Før vi kan starte vår egen DHCP-server, må vi stoppe eksisterende DHCPserver i nettet vårt. Har vi en router, må vi logge inn på denne og skru av DHCP-server.

110 Eksempel på konfigurasjon av DHCP på en ruter Hvis du kjører med virtuelle maskiner med VMware Player, kan DHCPserveren fjernes ved å finne fram til tjenester eller services på vertsmaskinen (Kontrollpanel - System og sikkerhet - Administrative verktøy) Vi kan da stoppe VMware DHCP server. Husk også å endre oppstarttype slik at den ikke starter igjen ved neste omstart. M E T O D E Kontrollere DHCP-server Vi kan nå gå til klienten vår for å sjekke at den får utdelt IP-adresse. a) Åpne ett kommandovindu. b) Skriv ipconfig /release og deretter ipconfig /renew for å få klienten til å hente adresse på nytt. c) Skriv så ipconfig /all for å sjekke at klienten har fått en riktig IPadresse, og at adressen til DHCP-serveren er riktig. Hvis vi nå går tilbake til DHCP-serveren vår, skal vi kunne se klienten vår under Address Leases. Trykk eventuelt på F5 for å oppdatere skjermbildet.

111 O P P S U M M E R I N G I dette kapitlet har du lært å sette opp DHCP-server å teste DHCP-server O P P G A V E R Oppgave 1 a) Hva betyr DHCP, og hva kan vi bruke dette til?

112 9 Drift Driften av servere og nettverk kan være svært forskjellig avhengig av hva slags nettverk og organisasjon serveren brukes i. I et lite nettverk er det kanskje bare én person til å drifte alt som har med IT å gjøre. I større nettverk kan driftsoppgavene være fordelt på flere personer. Når du har lest dette kapitlet, kan du utføre overvåking av logger, diskplass og ytelse brukeradministrasjon lage og slette brukerkontoer, hjelpe brukere som har glemt passord, og lignende sikkerhetsoppdateringer oppgradering av maskinvare dokumentasjon 9.1 REMOTE DESKTOP Remote Desktop er kanskje det viktigste verktøyet for å administrere en Windows-server. Med dette verktøyet kan vi få opp skjermbildet fra serveren i et vindu på en klient. I dette vinduet kan vi gjøre de samme oppgavene som om vi satt fysisk ved serveren. Med Remote Desktop kan vi altså sitte på kontoret og administrere serveren selv om den står på et annet rom. Vi satte opp Remote Desktop da vi installerte serveren, så dette skulle være i orden.

113 M E T O D E Kontrollere / endre innstillinger Hvis vi vil kontrollere eller endre innstillingene, kan vi gå inn slik: a) Gå til Kontrollpanel - System and Security - System (Snarveier: Properties på Computer eller Win tast + Pause). b) Velg Remote Settings (man kan også komme hit direkte ved å skrive remote i startmenyen) og velg allow remote access. Nå kan vi koble oss opp fra klienten: c) Start Tilkobling til Eksternt Skrivebord eller Remote Desktop Connection. d) Skriv inn servernavn og brukernavn.

114 114 e) Før vi prøver å koble oss til, kan vi trykke på Alternativer og se igjennom valgene vi får fram. De fleste valgene fungerer med standardverdier, men det kan f.eks. være aktuelt å endre størrelsen på vinduet vårt under Skjerm. Trykk eventuelt på Lagre for å ta vare på de endringene du gjør. f) Når vi kobler til, vil vi få advarsel om problemer ved sertifikat. I vårt testnett kan vi gå videre uten å bry oss om dette. Eksempel på en Windows 7-klient med Remote Desktop tilkobling til en server. Remote Desktop Services Remote Desktop Services er en rolle som kan installeres for å gi vanlige brukere Remote Desktop-tilgang. Hvis vi som administrator ønsker å kunne fjernadministrere serveren, trenger vi ikke installere denne rollen. Det er nok å tillate Remote Desktop som beskrevet her i boka. Samtidig pålogging Når vi kun bruker den administrative fjerntilgangen, er det en begrensning på maks. to samtidige pålogginger. Det er også en begrensning på at samme bruker kun kan være logget på én gang. Dette kan vi endre slik:

115 M E T O D E a) Lag en ny Group Policy på mittdomene.no. b) Gå til Computer/Administrative templates/windows Components/Remote Desktop Services/Remote Desktop Session Host/Connections. c) Endre Restrict Remote Desktop Services users to a single Remote Desktop Services session til Disabled. Remote Desktop gjennom ruter Hvis vi ønsker å kjøre Remote Desktop fra en maskin som er utenfor vårt eget nett, f.eks. hjemmefra, vil nettverkstrafikken som regel være sperret i en ruter eller brannmur. Hvis man ønsker å kjøre Remote Desktop utenfra, må man derfor ha en metode for å få tilgang til serveren. a) Det er mulig å åpne opp i ruteren/brannmuren slik at remote-trafikk til serveren slipper igjennom. Vi kan åpne opp for at kun trafikk som er av typen Remote Desktop (TCP port 3389) som skal til serveren vår, slipper igjennom. b) VPN-server. Ofte vil man ha tilgang til en VPN-server i ett nettverk. Dette kan enten være en egen boks eller en funksjon som er integrert i ruteren. Man kan også sette opp en VPN-server på en Windows-server ved hjelp av rollen Network Policy and Access Service. c) NAT-nettverk. Har man et nettverk med NAT, som vi har i vårt testnett, vil ikke adressen til serveren være synlig utenfor nettverket vårt. Vi kan da bruke en Port Forwarding-funksjon i ruteren som vil sende trafikken videre til serveren. For å koble oss opp til serveren utenfra må vi derfor kjøre Remote Desktop mot IP-adressen til ruteren. Eksempel på Port Forwarding av RDP (Remote Desktop Protocol). I en Zyxelruter kalles denne funksjonen "Application Rule". 9.2 REMOTE SERVER ADMINISTRATION TOOLS Remote Server Administration Tools (RSAT) gir oss en annen mulighet til å fjernadministrere serveren. Det anbefales å bruke en klient av samme

116 116 generasjon som serveren eller en nyere. For Server 2012 R12 er dette Windows 8.1. Programpakken for klienten installeres slik: M E T O D E Installering av Remote Server Administration Tools a) Søk på RSAT Windows 8.1 på nettet. Pass på at du finner en versjon som passer til den Windows-versjonen du har på klienten. b) Bruk av RSAT forutsetter at klienten er meldt inn i domene, se kapitlet om Fildeling. c) Installasjonen kan ta litt tid, men når den er ferdig, kan du starte Server Manager (på klienten). d) Nå kan vi velge Add other servers to manage. e) Trykk på Find Now for å liste opp alle maskiner i Mittdomene. f) Velg Server1. g) Gå nå til All Servers, høyreklikk på Server1 og velg Manage As.

117 h) Nå kan vi skrive inn slik at vi får rettigheter til å administrere serveren. i) Nå kan vi høyreklikke og velge det administrasjonsverktøyet vi ønsker, f.eks. DHCP. 9.3 EVENT VIEWER Vi kan starte Event Viewer fra Tools-menyen i Server Manager, eller bare trykke på Windows event. Med Event Viewer kan vi se på forskjellige loggfiler på serveren. Vi finner tre viktige loggfiler under Windows Logs, nemlig Application, Security og System. Ellers er loggene som ligger under Customs Views for hver rolle, viktige. Meldingene som kommer i loggene, er delt i tre: Informasjon, Advarsel (Warning) og Feil (Error). Av og til kan vi få feil og advarsler som vi kan ignorere. Dette kan f.eks. være i forbindelse med funksjoner som vi ikke benytter.

118 118 Eksempel på meldinger fra DHCP-rollen. Det kommer så mange meldinger i Event Viewer at det kan være vanskelig å hente ut den informasjonen vi ønsker. Feil og Advarsler kommer heldigvis ikke så ofte, så disse er det enklere å følge med på. Hvis vi derimot ønsker å hente informasjon fra informasjonsmeldingene, kan det være tyngre. Vi kan lage Custom Views som kan filtrere ut bestemte typer av informasjon som kan hjelpe oss. M E T O D E Filtrere ut informasjon Hvis vi f.eks. ønsker å se hvem som logger inn på serveren, kan vi gjøre følgende: a) Gå til Security-loggen. b) Finn et eksempel som har Task Category Kerboros Service... c) Noter ned Source, Event Id og Task Category. d) Høyreklikk på Security og velg Create Custom Filter. e) Fyll nå inn Source, Event Id og Task Category for å sette opp et filter. f) Nå kan vi gå til Custom Views og velge filteret vårt. Selv om vi bruker filteret ovenfor, vil vi fortsatt få litt ekstra informasjon i loggen. Dette er fordi også maskinene i domenet logger inn med jevne mellomrom. Les også om Auditing under sikkerhet.

119 9.4 PERFORMANCE MONITOR Performance er et verktøy vi kan bruke til å overvåke ytelsen på en datamaskin med. Vi kan plukke ut noen ressurser som vi ønsker å følge med på, og få presentert disse ved hjelp av grafer. Det er også mulig å samle de dataene vi ønsker i en fil, slik at vi kan analysere dem senere. I tillegg kan vi sette opp alarmer som sier ifra når en variabel oppnår en bestemt verdi, for eksempel når minneforbruket overstiger 80 % av det totale minnet. Performance gir deg anledning til å se på flere maskiner samtidig. I daglig drift er nok Task Manager (se senere) bedre for å få et overblikk over ytelsen på serveren. Hvis vi ønsker å gå grundigere til verks eller samle ytelsesdata over en viss tid, kan Performance Monitor brukes. Vi kan velge forskjellige counters (tellere) som vi vil følge med. Det er flere hundre forskjellige tellere å velge i, så det kan være vanskelig å vite hvilke vi skal bruke. Ofte er det mest aktuelt hvis man skal feilsøke og man har mistanke om en funksjon som bør overvåkes. Hvis man vil se på noen eksempler, kan man prøve tellerne Memory - Pages/sec, Physical Disk - Avg. Disc Queue og Processor - % Processor time. Disse gir en grov indikasjon på belastning av minne, disk og prosessor. M E T O D E Eksempel på bruk av Performance Monitor a) Gå til Diagnostics - Performance - Monitoring Tools. b) Trykk på det grønne plusstegnet og legg til de tre tellerne.

120 DEVICE MANAGER Device Manager kan ikke startes fra Server Manager, men startes fra Windowsmenyen, kontrollpanelet eller Computer Manager. Device Manager gir oss en oversikt over enheter og utstyr som er koblet til serveren. Hvis det er enheter som ikke fungerer eller mangler driver, er det lett å se det her. Det er spesielt ved nyinstallasjon eller oppgradering av utstyr i serveren at vi har nytte av Device Manager. 9.6 TASK SCHEDULER Task Scheduler gjør det mulig å sette opp oppgaver som skal gjentas regelmessig. Dette kan være små rutiner som starter et program eller et skript, eller som bare sender en mail. Det ligger en rekke oppgaver inne som standard som Windows bruker til interne oppgaver. M E T O D E Bruke Task Scheduler Start Task Scheduler for å se oversikt over oppgaver. Vi kan nå lage en egen oppgave for automatisk å starte Notepad (ikke så veldig nyttig, men bare for å illustrere Task Scheduler): a) Marker Task Scheduler Library og velg Create Basic Task. b) Skriv inn navn på oppgaven og når den skal utføres (daily). c) Juster så starttidspunkt til et par minutter fram i tid. d) Velg Start a program og skriv inn notepad. e) Hvis vi ønsker, kan vi senere gå på egenskaper på oppgaven (dobbeltklikk) og endre egenskaper. Vi kan f.eks. velge triggers - edit - og sette at oppgaven skal gjentas hvert 5. minutt. Det mest aktuelle å bruke Task Scheduler til er å starte et skript eller program. Vi kan prøve å lage et enkelt skript som lager en kopi av alle websidene på serveren: M E T O D E Starte skript med Task Scheduler a) Bruk Notepad til å lage filen kopi- med følgende innhold: rem Skript for sikkerhetskopiere webserver xcopy c:\inetpub c:\kopi\ /e /y

121 b) Lagre skriptet i katalogen c:\skript. c) Lag nå en ny task som utfører et program, og velg skriptet for programmet som skal startes. 9.7 WINDOWS FIREWALL Brannmuren (firewall) gir oss en sikkerhet mot angrep og virus som prøver å få urettmessig tilgang til serveren. Selv om vi har en ekstern brannmur/ruter, bør vi bruke den innebygde i Windows i tillegg. Dette gir en ekstra trygghet, og den er den eneste sikkerheten vi har mot eventuelle angrep som kommer fra vårt eget nett. Det kan f.eks. være en bruker i nettverket vår som har blitt smittet av virus. Som vi så i avsnittet om Remote Server Administration Tools, kan vi åpne opp for trafikk til bestemte tjenester eller program ved å lage unntak i brannmuren. I noen tilfeller kan det være aktuelt å åpne opp bestemte TCP-porter, spesielt hvis man bruker annen programvare enn Microsoft sin på serveren: M E T O D E Åpne porter I brannmuren a) Start Windows Firewall with Advanced Security. b) Gå til Inbound Rules for å se hva som allerede er åpnet. c) Ved å scrolle litt til høyre kan vi se hvilke lokale portnummer som er åpne. d) Velg New Rule og deretter Port. e) Skriv så inn portnummeret ved Specific Local ports. Som oftest er det porter av typen TCP som er aktuelle. f) Velg allow the Connection. g) Kryss av for alle aktuelle områder (Domain, Private og Public). h) Gi regelen et navn. 9.8 SERVICES Under Services kan vi få en oversikt hvilke tjenester som er startet opp. En service en programvare som kjører hele tiden, i motsetning til f.eks. en applikasjon som Notepad som avsluttes hvis vi logger ut.

122 TID I noen tilfeller kan det være aktuelt å starte, stoppe eller restarte en service, men vanligvis gjøres dette fra konsollet som administrerer tjenesten, f.eks. DHCP-server. I sjeldne tilfeller kan det være aktuelt å endre startup-type. Hvis vi ikke ønsker at en tjeneste skal starte automatisk når serveren starter, kan vi sette en tjeneste til Manuell eller Disabled. Det er viktig å ha en klokke som går nøyaktig på serveren. Vi bør ha nøyaktige tider i loggene, og dessuten stilles klokka på alle klientene som er medlem av domenet, fra serveren vår. Vi kan stille nøyaktig tid ved hjelp av en NTPserver (Network Time Protocol) på Internett. En NTP-server har en svært nøyaktig klokke ved hjelp av et atomur eller en GPS-mottaker. I motsetning til en Windows-klient blir ikke en Windows-server som er domenekontroller, automatisk stilt fra en Internett-klokke. Dette må settes opp manuelt. I vårt eksempel skal vi bruke en norsk NTP-server. Standard NTPserver på en Windows-klient er time.windows.com. M E T O D E Stille inn tid på serveren I motsetning til en vanlig Windows-klient hvor vi kan skrive inn adressen til en NTP-server direkte der vi stiller klokka (Internet Time), må vi bruke noen kommandoer på serveren: a) Still gjerne klokka noen minutter feil, så er det lettere å få bekreftet at klokka stilles etterpå.

123 b) Skriv inn følgende kommandoer: w32tm /config /manualpeerlist:ntp.uio.no /syncfromflags:manual /update net stop w32time net start w32time c) Klikk på klokka for å følge med på sekundviseren UPS Hvis vi ønsker å ha ekstra sikkerhet mot strømbrudd og forstyrrelser fra strømnettet, kan vi koble en UPS (Uninterruptible Power Supply) til serveren. Dette er en ekstern strømforsyning med reservebatteri som gjør at serveren kan gå en stund selv om strømmen går. En UPS kan også gi beskjed til serveren om at den skal avslutte Windows (Shutdown) når batteriet begynner å bli tomt. Windows Server 2012 har ingen innebygd programvare for å kommunisere med en UPS, så hvis man skal kjøpe en slik, må man sørge for å få med programvare som er kompatibel med Server Utregning for UPS Vi kan regne ut den tiden batteriet vil holde, ut fra hvor stor belastning vi har koblet til UPS-en, og hvor stor kapasitet batteriet har. Nyere UPS-er har gjerne et display som kan vise belastning og anslått levetid for batterier. Effekten på UPS er ofte oppgitt i voltampere (VA). Hvis effekten på utstyret er oppgitt i watt-timer (Wh), kan vi regne ut antall voltampere ved å dele antall watt med 0,7 (VA = W/0,7). Hvis effekten er oppgitt i ampere (A), regner vi ut antall watt slik: W = V * A, hvor V = 230 volt. Den oppgitte effekten på en PC er den maksimale effekten. Det virkelige effektforbruket kan ligge godt under den påstemplede verdien SIKKERHETSKOPIERING Rutiner for å ta skikkelig sikkerhetskopi (backup) er noe av det viktigste en systemadministrator setter opp. Det er ikke moro å forklare tretti medarbeidere at alt arbeidet de har gjort det siste året, er forsvunnet. I mange tilfeller fører

124 124 manglende sikkerhetskopiering til at bedrifter går konkurs eller lider betydelige tap. Vi har flere typer backup-enheter. Disse kan være disk, tape (magnetbånd) eller optisk (DVD/Blueray), Tapestasjoner er fortsatt vanlig fordi teknologien er forholdsvis rimelig og har god kapasitet. En fordel med tape er også muligheten for å arkivere taper på et annet fysisk sted eller i et brannskap. Tapestasjoner av typen LTO kan ha kapasitet opp mot 6 TB. Har man behov for større kapasitet, kan man få taperoboter som skifter tape automatisk. Bruk av backup til disk har blitt vanligere i det siste, men en kombinasjon av disk og tape er kanskje den beste løsningen. Vi kan da ha den nyeste backupen på disk slik at det er enkelt og raskt å hente noe tilbake. Eldre backup kan vi arkivere på tape. Rutiner Hvis enheten kan lagre en kopi av hele serveren på én tape, kan du ta kopi av alt hver dag. Ellers er det vanlig å ta kopi av alt én dag i uken og tilleggskopier (Incremental Backup) de andre ukedagene. Da får vi kopier av alt som er lagret på serveren, én dag i uken, og alle endringer som gjøres etter det, blir kopiert de andre dagene. Det er vanlig å legge uketapen i en bankboks eller på et annet sikkert sted med jevne mellomrom. Om uhellet skulle være ute og serveren blir stjålet eller lokalene blir utsatt for brann, har vi alltid en fullstendig kopi av nyere dato tilgjengelig. Vi har alltid minst én tape plassert utenfor bedriftens lokaler. Vær oppmerksom på sikkerhetsrisikoen ved backuptaper. Dataene på en backuptape blir normalt ikke kryptert, så enhver som får tak i tapen, vil også ha tilgang til bedriftens data. Lag gode rutiner og lås inn tapene internt! Windows Server Backup Det programmet for sikkerhetskopiering som følger med Windows Server 2012, heter Windows Server Backup. Det fungerer fint til å kopiere og legge tilbake data for enkelte servere, men kan bli litt for tynt for et stort nettverk. Derfor velger mange å kjøpe egne kopieringsprogrammer, for eksempel Backup Exec.

125 M E T O D E Sette opp backupjobb a) Før vi kan bruke backup, må vi legge til denne funksjonen ved hjelp av Add roles and features fra Server Manager. Windows Server Backup er en Feature, så vi må hoppe over Server Roles. b) Start Windows Server Backup fra Tools i Server Manager (eller trykk på Win-bac. c) Velg Backup Schedule. d) Vi kan velge en full backup eller velge ut deler manuelt ved å velge Custom og deretter Add Items. e) Velger vi Custom, kan vi krysse av for de disker og foldere vi ønsker å sikkerhetskopiere. f) System State inneholder viktig systeminformasjon som Registry og, spesielt viktig for oss som har en domenekontroller, Active Directory. (Det er her alle brukernavn og passord ligger.) g) Bare Metal Recovery tar backup av det som er nødvendig for å gjenopprette maskinen på en blank maskin (System State) og disk(ene) som inneholder operativsystemet. h) Deretter kan vi velge når og hvor ofte backupen skal gjentas. i) Så må vi velge hvor backupen skal lagres. Hvis vi har en ledig disk, enten intern eller ekstern, kan vi velge denne som dedikert backupdisk. Denne disken vil da bli formatert og kan ikke brukes til noe annet enn backup. Vi kan også velge å lagre backup på et ordinært volum eller et nettverkshare på en annen maskin i nettverket. Windows Server Backup kan ikke bruke tapestasjoner. Recover Hvis serveren vår fungerer og vi bare ønsker å hente fram noen filer fra backup, kan vi gjøre følgende:

126 126 M E T O D E Recover a) Start Windows Server Backup og velg Recover. b) Velg hvor backupen ligger lagret, hva du ønsker å hente tilbake, og hvilken backup den skal hentes fra. c) Vi kan plukke ut enkeltfiler og kataloger eller velge et helt volum. d) OBS: Hvis vi ønsker å legge tilbake Active directory fra backup, må vi først starte serveren i Directory Services Restore Mode. Vi anbefaler at du søker på Internett hvordan dette gjøres, hvis det skulle være aktuelt. Hvis serveren vår har kræsjet helt slik at den ikke vil starte opp, må vi bruke Bare Metal Recovery fra backup: e) Sørg for at mediet som inneholder backupen, er koblet til maskinen. f) Start opp serveren fra installasjons-dvd-en eller minnepinne. g) Velg språk. h) Når du kommer til Install Now-vinduet, velger du Repair Your Computer. i) Velg deretter Restore System Using A System Image You Created Earlier. j) Systemet vil nå lete etter backupfilene, og vi kan deretter velge ut hva vil legge tilbake. k) Hvis backupen ligger på et share på en annen maskin, velg Select a system image og deretter Advanced TASK MANAGER Task Manager gir oss en grei oversikt over hva som foregår på maskinen, og hvor stor belastningen er. Vi starter Task Manager ved å høyreklikke på klokka og velger Start Task Manager. Vi kan også bruke snarveien Ctrl-Shift-Esc eller Alt-Ctrl-Del. For å kunne se det vi trenger, må vi velge More Details. Apps Her ser vi oversikt over applikasjoner som f.eks. Internet Explorer eller Word. Vi ser ikke servertjenester eller systemprogramvare her. I enkelte tilfeller kan det være aktuelt å tvinge et program til å stoppe ved å høyreklikke og velge End Task. Background Processes Background Processes gir oss en oversikt over hva som kjører på maskinen. Hvis vi vil ha en mer detaljert visning av prosessene, kan vi velge tab-en Details. Det kan være nyttig å se hvilke prosesser som bruker mye memory eller CPU. Vi kan trykke på CPU eller memory for å sortere på disse kolonnene. Hvis vi ser et navn

127 på en prosesser som ikke er selvforklarende, kan vi høyreklikke på det og velge Search Online. System Idle Prosess (Idle = tomgang) belaster ikke CPU-en. Den bare viser ledig CPU-kraft. Hvis vi høyreklikker på en prosess, kan vi bl.a. velge prioritet og affinity. Affinity betyr at vi kan velge at en prosess kun skal kjøre på én eller noen CPU-er hvis vi har flere prosessorer i maskinen (eller én prosessor med flere kjerner). Services Her kan vi se hvilke services som kjører. Dette er samme informasjon som vi kan se i Services-konsollet. En nyttig funksjon kan være å høyreklikke på en service og velge Go to Process. Dette er en rask metode for å finne hvilken prosess som hører til en service.

128 128 Performance Her kan vi få en oversikt over belastningen til serveren. CPU CPU Usage viser nåværende CPU-belastning totalt for alle prosessorer. Memory Her kan vi se på bruken av minnet (RAM). Den største grafen viser hvor mye av det totale minnet som er i bruk.

129 Available Dette er minne som er ledig til bruk for nye programmer som startes. Available memory inkluderer Cached, så størrelsen på denne blir fysisk minne minus In use. Cached Her ligger det data som nylig er blitt brukt. Windows lar data bli liggende i Cache en stund selv om de ikke brukes lenger. På denne måten går det raskere å få tak i dem hvis de trengs senere, fordi det er mye raskere å lese data fra RAM enn fra disk. Committed viser hvor mye minne Windows har "lovt bort" (committed) til applikasjoner og services. Denne kan være noe større enn det minnet som faktisk er i bruk. Den siste verdien er summen (18,3 GB) av fysisk minne og Pagefile.

130 130 Paged pool Paged- og NonPaged pool viser oss hvor mye kjernen i Windows bruker av minnet, enten fysisk (Nonpaged) eller virtuelt (Paged). Dette er informasjon som ikke er så viktig i daglig drift. Pagefile Pagefile eller virtuelt minne er en metode for å gjøre mer minne tilgjengelig for maskinen. Når minnet (RAM) begynner å bli fullt, lagrer Windows deler av minne som ikke brukes aktivt på disk, slik at det frigjøres minne til andre program. Hvis maskinen må bruke Pagefile ofte, vil vi merke at maskinen vil gå tregere. Normalt styrer Windows størrelsen på Pagefile selv. I utgangspunktet vil den være like stor som fysisk minne på maskinen- (Vi kan se pagefile.sys på C:\ hvis vi endrer Hide Protected Operating System files under Folder Options i Windows Explorer.) Hvis vi ønsker, kan vi endre størrelsen på Pagefile her: Controlpanel - System and Security - System - Advanced System Settings - Advanced - Performance Settings - Advanced - Virtual Memory

131 Ethernet Ved å velge Ethernet kan vi få en grafisk framstilling av nettverkstrafikken det siste minuttet. Disk Windows 2012 har i motsetning til Windows 8 ikke noe valg for å se på trafikken på diskene. Grunnen til dette er at trafikkovervåkning av disker kan stjele en del kapasitet fra serveren. Hvis vi ønsker å se på belastningen av disker, kan vi heller gå til Resource Monitor. Hvis vi allikevel vil se på disker på samme måte som Windows 8, kan vi gjøre følgende: Åpne et kommandovindu som adminiatrator (Win cmd høyreklikk og Run as administrator). Skriv kommandoen diskperf Y. Lukk Task Manager og start denne på nytt.

132 132 Nå skal vi kunne velge Disk. For å skru av diskovervåking igjen kan vi bruke kommandoen diskperf N. Resource Monitor Ved å gå inn på Resource Monitor kan vi få en mer detaljert oversikt over ressursbruk, bl.a ved å kunne velge ut enkeltprosesser. Sikkerhet Når man setter opp en server, er det alltid viktig å ha datasikkerhet i bakhodet. Vi har ikke mulighet for å gå gjennom alle sider ved datasikkerhet i denne boka, men vi vil se på noen generelle regler. Beskyttelse mot uautorisert tilgang til data Det kan ligge mange motiver bak forsøk på å få uautorisert tilgang til data. Det kan være hackere utenfra som gjør det for å imponere kameratene sine, eller det kan være din argeste konkurrent som er ute etter fortrolig informasjon. At bedriftens tillitsmann er meget interessert i å se de nye lønnsplanene eller

133 hvilke planer ledelsen har lagt for nedskjæringer, er også en trussel vi må være oppmerksomme på. Undersøkelser viser at størsteparten av forsøkene på å få uautorisert tilgang til data kommer fra egne ansatte eller fra tidligere ansatte. Det er derfor viktig at systemet for intern beskyttelse er vel så bra som beskyttelsen mot angrep fra eksterne kilder. Fysisk sikring Serveren bør stå i et avlåst rom hvor færrest mulig har adgang. Har bedriften midler til det, bør det installeres adgangskontroll ved inngangen til serverrommet. Mange bedrifter har allerede alarm- og vaktordninger som gjør uautorisert tilgang til bygget vanskelig. Det bør også mindre bedrifter vurdere å anskaffe seg. Det hjelper ikke med verdens beste brannvegg (sikkerhetstiltak vis-à-vis Internett) hvis det går an å knuse en rute, ta serveren under armen og gå uten at noen merker det. Selv om server- og nettverksoperativsystemet er beskyttet av passord, vil man med fysisk tilgang til selve serveren ha gode muligheter til å finne de dataene man er ute etter. Husk også at enhver som har tilgang til en av maskinene i lokalnettet, i teorien kan komme inn på serveren og hente ut de dataene vedkommende trenger. Det er derfor viktig at kontorer låses etter arbeidstid, slik at adgangen til maskinene gjøres vanskeligere. Sikring av serveren mot interne angrep Windows Server har en rekke hjelpemidler mot uautorisert tilgang til data. I kapitlet om brukeradministrasjon så vi på hvordan vi kan tildele passord og gi rettigheter til grupper og enkeltbrukere. Det er et viktig verktøy for å hindre at feil personer får tilgang til feil data, men verktøyene er kun til hjelp hvis systemadministratoren er seg sitt ansvar bevisst. Hvis en bruker ønsker å være medlem i en gruppe og administratoren inkluderer vedkommende i gruppen fordi det sikkert er OK siden hun spør, er vi like langt. Det er viktig at en bedrift eller skole har klare retningslinjer for hvem som skal ha tilgang til de ulike områdene og ressursene på nettverket. Administratorstillingen er i så måte en nøkkelstilling i og med at den gir ubegrenset tilgang til data. Det er vanlig at systempersonell med slik tilgang skriver under på en taushetserklæring og blir nøye vurdert før de settes i en slik posisjon. Overvåkning I Windows Server finnes det en del verktøy for å finne og avsløre forsøk på uautorisert adgang til serveren (auditing). Disse verktøyene kan blant annet hjelpe oss med å finne ut

134 134 når noen prøver å logge seg på flere ulike konti på serveren (hackere?) når en tjeneste (service) ikke starter eller på andre måter oppfører seg mistenkelig om brukere prøver å utføre systemkommandoer de ikke har tillatelse til om systemet brukes på et tidspunkt det ikke skulle være mulig hvilke kommandoer en bruker med administratorrettigheter har benyttet seg av Fordelen med å logge alt er selvsagt at du får bedre oversikt over hva som har skjedd på serveren. Ulempen er at loggfiler tar plass, og at det kan bli uoversiktlig. Det finnes en rekke tilleggsprodukter til Windows Server som hjelper oss med å gå igjennom loggfilene for å finne angrep og sikkerhetsbrudd. Du bør vurdere å anskaffe et slikt produkt hvis nettverket har mange brukere og er koblet til Internett via en fastlinje. M E T O D E Starte Auditing (overvåkning) a) Gå til Group Policy Management. b) Finn fram til policyen Default Domain Controller Policy og editer denne. c) Gå til Computer Configuration - Policies - Windows Settings - Security Settings - Local Policies - Audit Policy. d) Velg så de tingene du ønsker å overvåke. Sikkerhet mot angrep fra Internett Normalt vil et nettverk som er tilknyttet Internett med fast linje, alltid ha en brannvegg tilgjengelig. En brannvegg sørger for at kun godkjent trafikk slipper inn til lokalnettverket vårt. Ofte bruker vi uoffisielle IP-adresser på innsiden (lokalnettverket) og en offisiell adresse som eneste kontaktpunkt med Internett. En normal brannveggkonfigurasjon kan se slik ut:

135 Her ser vi at brannveggen har én forbindelse til Internett og én til lokalnettet. I tillegg har vi en forbindelse til webservere og andre servere som må være tilgjengelige fra Internett. Disse er plassert i den såkalte DMZ-forbindelsen. Her kan vi bruke brannveggen til å si at webserveren vår kun skal godta trafikk på port 80 (http), slik at den blir atskillig vanskeligere å trenge inn i. Vi får også tilgang til å legge ut websider fra lokalnettet vårt. Antivirus Vi bør ha oppdatert antivirusprogramvare i nettverket vårt. Denne programvaren må ha en funksjon for regelmessig oppdatering. I motsetning til Windows 8 er det ingen innebygd antivirus funksjon i Server Det finnes riktignok uoffisielle oppskrifter på hvordan man installerer gratis antivirus fra Microsoft, men hvis man ønsker den offisielle løsningen, kan man kjøpe Microsoft System Center 2012 R2. Man får da en omfattende administrasjonspakke som har mange funksjoner utover antivirus. Hvis vi kjøper en antivirusprogramvare beregnet for nettverk, får vi også mulighet for å sette opp rapportering slik at vi kan følge med på alle klienter. Vi får da beskjed om maskiner som er smittet, og om klientene er oppdatert med nyeste versjon av antivirusprogramvaren. Driftssikkerhet Et overordnet mål er at servere aldri skal være nede (utilgjengelige for brukerne). Dette er et ambisiøst mål, som det bare er mulig å nå i helt spesielle og kostbare installasjoner. Men ved hjelp av en del enkle tiltak kan du oppnå bra stabilitet i enkle nettverk. Vi skiller mellom planlagte og uforutsette avbrudd i servertilgjengeligheten. Skal du oppgradere eller oppdatere serveren, er du i mange tilfeller tvunget til å starte maskinen på nytt. Det bør du gjøre på et tidspunkt der færrest mulig brukere blir berørt. Husk alltid å informere brukerne om driftsstoppen. Det lønner seg ofte å beregne god tid til slike oppgraderinger, i tilfelle noe skulle gå feil og serveren ikke vil starte igjen. Bruk gjerne en ferie- eller fridag, slik at du har god tid om det skulle oppstå problemer og du for eksempel må legge tilbake data fra en sikkerhetskopi. Stabil maskinvare For at en server skal være driftssikker, er det viktig at maskinvaren den kjører på, er av god kvalitet. Det lønner seg sjelden å spare på dette området; du bør benytte anerkjent og utprøvd maskinvare. Det er også viktig at eventuelt ekstrautstyr, som disker, minne og båndstasjoner, er av god kvalitet og blir forskriftsmessig installert.

136 136 Flere PC-fabrikanter, for eksempel Hewlett Packard (HP), Dell og IBM, har egne modeller som er laget for å være servermaskiner. De er spesielt tilpasset de kravene som må settes til en server. De kan for eksempel ha god plass for utvidelse med ekstra disker, utvidelseskort og minne. De har dessuten ekstra god kjøling og strømforsyning. Her har du noen tips når det gjelder maskinvare: Vær forsiktig med å utvide med for mye ekstrautstyr. Jo mer utstyr du har, jo flere potensielle feilkilder følger med. Hvis du for eksempel skal utvide minnet, kan det være en fordel heller å bytte ut én minnemodul med en større istedenfor å bygge ut med mange minnemoduler. Det samme gjelder for harddisker, med mindre du har koblet diskene i et RAID. Bruk minnemoduler som er tilpasset den maskinen du bruker. Du må ikke nødvendigvis bruke dyrt originalminne tredjepartstilpasset minne kan også være bra. Unngå det rimeligste minnet fra en ukjent produsent i servere, selv om dette tilsynelatende fungerer. Plasser serveren et sted hvor den kan stå i ro, og hvor det ikke er noen fare for at noen kan røre strømledningene til maskinen. Sjekkliste sikkerhet Sørg for at det alltid er backup tilgjengelig. Sjekk at backupkopiene virkelig fungerer. Sørg for gode rutiner slik at administratorer og brukere er bevisst hvordan de behandler data. Bruk sikre passord og sørg for at de må endres av og til. Sørg for å ha god oversikt over hvem som har tilgang til forskjellige fildelinger. Lag en tabell og skriv opp hvis det er mange fildelinger. Bruk sikkerhetsgrupper for tilgangskontroll. Sørg for at servere og klienter blir sikkerhetsoppdatert (Windows Update) regelmessig. Bruk antivirusprogramvare både på server og klienter og sørg for at den oppdateres. Bruk brannmur (firewall), helst både på server, klienter og internettilkobling. Steng alt i brannmuren som utgangspunkt og åpne bare opp for de tjenester som brukes. Bruk stabil hardware på servere. Bruk alltid disker i RAID-oppsett på server (speiling eller RAID 5) slik at serveren ikke stopper opp bare fordi en disk ryker. Vær OBS på bærbare enheter (minnepinner, bærbare PC-er, smarttelefoner o.l.). Hvis f.eks. en bruker mister en minnepinne med viktige dokumenter og ikke har backup av disse, kan dette være et stort problem.

137 O P P S U M M E R I N G I dette kapitlet har du lært om Remote Desktop om RSAT om Server Manager om Performance Monitor om Task Scheduler å sette klokka fra SNTP-server om sikkerhetskopiering om Task Manager om sikkerhet O P P G A V E R Oppgave 1 a) Hva er Remote Desktop? b) Hvordan kan vi bruke Remote Desktop for å administrere en server? c) Hva er Server Manager? d) Hva er Event Viewer? e) Hva er hovedoppgaven til Windows Firewall? f) Hvorfor bør vi ta sikkerhetskopier? g) Nevn kort hovedfunksjonene til Task Manager. h) Nevn noen eksempler på hva vi må sikre oss mot for ikke risikere å tape data.

138 10 Organisering av lagringsplass På en Windows-server vil vi ha én eller flere fysiske harddisker. I dette kapitlet skal vi vise hvordan disse diskene kan deles opp i forskjellige partisjoner og volumer. På partisjonene setter vi opp volumer (for eksempel C:). For å få størst mulig driftssikkerhet kan vi bruke spesielle volumtyper som gjør at vi kan lagre data på flere disker samtidig. Du får også lære mer om de ulike filsystemene og hvordan du kan konvertere fra FAT til NTFS. Mot slutten av kapitlet viser vi hvordan du kan bruke konsollene Disk Management og Storage Spacer til å styre diskene. Harddisker En arbeidsstasjon eller server vil nesten alltid ha harddisker av typen Serial ATA (SATA) eller SAS (Serial Atached SCSI). SATA SATA-disker er den vanligste disktypen. Den brukes både i bærbare og stasjonære PC-er, men også mindre servere. SAS SAS-disker har et mer avansert grensesnitt enn SATA og er derfor bedre egnet til servere. De fleste SAS-disker er raskere enn SATA. De fleste SATA-diskene har en omdreiningshastighet på 7200, mens SAS-disker gjerne har eller omdreininger per sekund. SSD-disker SSD (Solid State Disk) har ingen bevegelige deler, men bruker flash-minne for å lagre data. En SSD-disk kan være mye raskere enn en tradisjonell disk, spesielt på leseoperasjoner. Fortsatt er SSD-disker dyrere enn vanlige disker,

139 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 139 men har man høye krav til ytelse, kan det være aktuelt å bruke SSD-disker også i en server. SSD-disker kommer både med SATA og SAS grensesnitt. Lagringskabinett Hvis man har flere servere og behov for stor lagringskapasitet, kan det være aktuelt å bruke ett eller flere lagringskabinett som er koblet opp i et lagringsnettverk. Et slikt lagringsnett kalles gjerne SAN (Storage Area Network). Det er flere fordeler ved å samle all lagring i et eget nettverk: Det er enkelt å flytte lagringsområder fra en server til en annen i forbindelse med bytte eller oppgradering av maskinvare. Det er enklere å utnytte lagringskapasiteten ved at vi kan tildele diskplass til de serverne som har behov for mest plass. Ved å lage tynne disker får vi stor fleksibilitet. Vi kan f.eks. lage en logisk disk som serveren oppfatter som 1 TB (1024 GB), men som ikke bruker mer plass enn de dataene som ligger på disken. Dette betyr at vi kan lage romslige disker som en server kan ha å vokse på, uten at vi sløser bort diskplass som er ubrukt. Med et diskkabinett kan vi lage snapshot og kopier av volumer uavhengig av serveren. Lagringsnett fungerer meget bra i kombinasjon med virtuelle servere.

140 10.1 DISKER I WINDOWS SERVER 2012 I Windows 2012 kan lagringsplass (harddisker) administreres på to forskjellige måter. Den tradisjonelle måten som vi kjenner fra eldre Windows-versjoner, heter Disk Management og kan fortsatt brukes i Server Har vi kun én eller to harddisker i serveren, kan vi gjerne bruke Disk Management. Hvis vi har flere harddisker og ønsker et mer avansert diskoppsett, bør vi bruke den nye funksjonen Storage Spaces. Volumer På en server som skal inneholde forholdsvis mye data, er det vanlig å dele inn den lagringskapasiteten som er tilgjengelig, i volumer (én harddisk kan deles inn i flere volumer). Hvis det er ønskelig og vi har ledig diskplass, kan vi opprette flere volumer. En vanlig inndeling kan for eksempel se slik ut: Volum Innhold C: SYS Systemprogramvare F: APPS Felles brukerprogramvare G: HOME Private områder for hver enkelt bruker H: FELLES Fellesområde for utveksling av dokumenter og lignende Når vi bruker flere volumer, blir det lettere å administrere plassen på harddisken(e). Hvis vi har en server med en harddisk som er inndelt i samsvar med tabellen, og disken begynner å bli full, kan vi installere en ny harddisk. Et av volumene, for eksempel APPS, kan flyttes over til den nye disken. Ulempen med en slik oppdeling er at vi bruker mer plass fordi vi må ha litt ledig plass å vokse på. Det anbefales å legge systemfiler på et eget volum. Det gjør det enklere å vedlikeholde systemet senere. Hvis vi for eksempel må legge tilbake data fra en sikkerhetskopi, er det enklere når brukerdata og applikasjoner ligger på egne volumer. Filsystemer Standard filsystem for Windows 2012 er NTFS (NT File System). NTFS er et kraftig og avansert filsystem som har støtte for tilgangsrettigheter, komprimering og kryptering. NTFS er også et journalførende filsystem, noe

141 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 141 som betyr at det er meget robust overfor systemkrasj og strømbrudd. Det eldre filsystemet FAT32 (File Allocation Table) brukes normalt ikke på en server, men hvis vi kobler en ekstern disk eller minnepinne til en server, er det stor sjanse at disse har FAT32. Vi bør unngå å bruke slike disker i normal serverdrift. En ekstern harddisk bør i alle fall konverteres til NTFS. ReFS (Resilient File System) er et nytt filsystem som var nytt med Windows Dette skal være enda mer robust enn NTFS og er planlagt å skulle ta over for NTFS på sikt. ReFS skal være spesielt egnet for veldig store datamengder. Foreløpig er det noen begrensninger i bruksområde for ReFS, så det er bare i noen situasjoner det er aktuelt å bruke DISK MANAGEMENT Konsollen Disk Management brukes for å partisjonere, formatere og administrere disker. Dette verktøyet kan benyttes til enkle diskoperasjoner. Vi kan f.eks. høyreklikke på ledig plass (Unallocated) på Disk 1 og lage et nytt volum E:. Om ønskelig kan vi lage flere små volumer. Figuren viser Disk Management med to fysiske harddisker

142 10.3 STORAGE SPACES Storage Spaces er en ny måte å organisere harddisker i Windows på. Denne funksjonen finnes også i Windows 8. Ved å organisere harddisker i én eller flere grupper (pool) kan vi få forskjellige funksjoner for både sikkerhet, administrasjon og ytelse. De viktigste funksjonene er: Feiltoleranse mot diskfeil. Hvis en disk stopper, vil informasjonen vår fortsatt være intakt. Dette kan gjøres ved enten å speile informasjonen over på en annen fysisk disk eller å spre informasjonen over tre eller flere disker på en slik måte at vi ikke mister noe uansett hvilken disk som stopper. Fleksibilitet Når vi har laget en pool, kan vi definere flere logiske disker i denne poolen. Disse kan være av forskjellig type. Simple Denne disktypen gir best hastighet og utnytter den fysiske diskkapasiteten best, men gir ingen beskyttelse mot diskfeil. Mirror Denne disktypen gir god beskyttelse ved at informasjonen speiles mellom to eller flere disker, men reduserer kapasiteten på de fysiske diskene til det halve. Parity Denne disktypen gir oss beskyttelse mot diskfeil, men gir tregere skrivehastighet. Vi mister også noe kapasitet, men ikke så mye som ved speiling. Utvide med flere disker. Hvis vi har en diskpool som er i ferd med å gå full, kan vi utvide med flere disker. Det er også mulig å bytte ut eksisterende disker med større disker. Tynne disker vi kan definere logiske disker som er større enn den fysiske kapasiteten i poolen. Når den logiske disken begynner å fylles opp, kan vi utvide kapasiteten i poolen. Fordelen med dette er at vi kan sette en stor diskstørrelse i utgangspunktet. Tiering Dette betyr en lagdeling av disktyper. Vi kan dele opp diskene i raske og trege typer og så få systemet til automatisk å legge den informasjonen som brukes oftest på de raskeste diskene. Dette systemet er dynamisk slik at informasjon som ikke har vært brukt på en stund, blir flyttet til de tregeste diskene. Dette skjer automatisk, og verken brukere eller Windows vil merke at filene er flyttet (bortsett fra hastigheten). I praksis er det skille mellom vanlige

143 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 143 harddisker og SSD-disker som kan brukes til tiering. SSD-disker er betydelig raskere enn mekaniske disker. Write-Back Cache - Cache (mellomlagring) brukes i mange sammenhenger på en datamaskin. Prinsippet er å bruke et lite, men raskt mellomlager mot et tregere medium. Normalt brukes ikke caching av ting vi skriver til en harddisk. Hvis strømmen går, er faren stor for at vi mister data. Ved å bruke litt av en SSD, disk som mellomlager er denne faren eliminert fordi SSD husker alle data uten strøm. M E T O D E Sette opp Storage spaces Det første vi må gjøre, er å lage en Storage pool. For å sette opp en Storage pool, bør vi ha flere ledige harddisker knyttet til serveren. Vi kan sette opp en pool med kun én disk, men for å kunne bruke de mer avanserte mulighetene for speiling og paritet må vi minst ha tre ledige disker. I eksemplet under bruker vi tre eksterne USB-disker i tillegg til en ledig del av den innebygde Sata-disken. Normalt er det ikke å anbefale å bruke løse USBdisker på en server. Disker bør være installert internt i serveren eller samlet i et eksternt kabinett. Hvis vi må bruke vanlige USB-disker, må vi i alle fall passe på at de er av USB 3.0-typen. Først må vi lage en Storage Pool av de ledige diskene våre.

144 Velg File and Storage Service i Server Manager. Gå så til Storage Pools og velg New storage Pool fra Tasks. Gi så poolen ett navn og eventuelt en beskrivelse av hvilke disker som er med. Vi kan nå gå videre og velge hvilke disker som skal være med. Kryss av for de aktuelle diskene.

145 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 145 OBS: Diskene som skal være med i poolen, må være blanke. Gå eventuelt til Physical disks og velg Reset for å slette disken. Vi kan også bruke Disk Management for å se på og slette innholdet av disker. Vi lar diskene stå med Allocation Automatic. Vi vil se nærmere på dette valget senere. Når vi har fått laget en pool, kan vi gå videre og lage en eller flere virtuelle disker. Velg New Virtual Disk. Gå videre til vi skal angi navn. Vi skal lage en disk med paritet, så vi velger å bruke et navn som viser dette, f.eks. Virtuell Parity. Vi ser at det er noen betingelser for å bruke Tiering. Vi kommer tilbake til dette. På neste side velger vi Parity. Under Provisioning velger vi Fixed. Under Size setter vi opp halvparten av det som tilgjengelig i poolen.

146 Det siste trinnet er å lage et volum. Normalt vil vi automatisk komme til en wizard for dette etter å ha laget en virtuell disk. Under Size velger vi å bruke all plassen på den virtuelle disken vi har laget. Vi kan deretter velge Drive letter, f.eks. E:. På neste side kan vi gi volumet en label. Bruk gjerne et navn som viser hva slags disk det er, f.eks. Logisk disk med parity. Nå kan vi gå til Windows Explorer og sjekke at vi ser det nye volumet. Prøv gjerne å kopiere noe data til den for å sjekke hastigheten TIERING Som vi har sett tidligere, kan vi dele inn disker etter hastighet. Det er når vi har noen disker av SSD-typen at vi kan bruke dette. Hvis vi ønsker å lage logiske disker med speiling eller paritet, må vi bruke minst 2 eller 3 SSD-disker også. Vi kan altså ikke bare legge til en enkelt SSD-disk. M E T O D E Tiering For å teste tiering skal vi bruke én fysisk SSD sammen noen harddisker for å lage et simpelt logisk volum. Et slikt simpelt volum gir oss ingen sikkerhet mot diskfeil, men gir oss i alle fall mulighet til å se hvordan tiering fungerer.

147 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 147 Lag en diskpool med minst en harddisk og en SSD-disk. Hvis vi har en diskpool fra før, kan vi legge til en SSD-disk i den. Før vi går videre, må vi sjekke at Media type er riktig. I noen tilfeller klarer ikke systemet å se hva slags disker som er koblet til. OBS: Dette kan kun gjøres på disker som ligger i en pool. For å kunne endre Media type må vi gå til kommandolinjen, eller nærmere bestemt Powershell. Trykk på symbolet for Powershell og skriv følgende kommandoer: Set-PhysicalDisk -FriendlyName PhysicalDisk2 -MediaType HDD Eventuelt kan vi bruke en tilsvarende kommando for å sette Media type til SSD. Bytt ut PhysicalDisk2 så det stemmer med navnet på disken som skal endres. Vi kan bruke følgende kommandoer for å se på diskene fra Powershell: Get-PhysicalDisk Get-PhysicalDisk ft FriendlyName,MediaType Nå kan vi gå tilbake til Server Manager og sjekke at Media type har blitt riktig (trykk på F5 for å oppdatere). Nå kan vi lage en ny logisk disk. Gi den logiske disken navnet Tiering og kryss av for at vi ønsker Tiering. Fordi vi kun har én SSD, kan vi kun lage en simpel disk. Vi må gi disken en fast størrelse (Fixed) når vi bruker tiering.

148 Nå kan vi velge hvor stor andel av trege og raske disker vi ønsker å bruke. Vi velger å bruke all tilgjengelig plass. Til slutt må vi lage et volum på den logiske disken. Fordi vi bruker tiering, så må plassen på volumet være den samme som den logiske disken KVOTER En diskkvote (Quota) setter en grense for hvor mye data som kan lagres. Vi kan enten sette kvoter per bruker eller for en folder. Diskkvoter Med diskkvoter kan vi sette en grense per bruker. Denne grensen vil da gjelde alle filer en bruker eier på et helt volum. Diskkvote er derfor godt egnet på volumer hvor flere brukere har skrivetilgang til samme kataloger, f.eks. fellesområdet vårt K:.

149 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 149 M E T O D E Sette opp diskkvoter a) Gå til My computer lokalt på serveren og høyreklikk på den disken som inneholder hjemmeområdene (Home-delingen). b) Velg Properties Quota. c) Nå kan du angi de grensene du ønsker skal være standard for brukere. Hvis vi ikke ønsker å begrense plassen for brukerne, men kun bruke kvotene for å få oversikt over diskbruken, lar vi være å krysse av for Deny disk space. Hvis en bruker har filer på volumet fra før, vil ikke denne grensen gjelde. For disse brukerne må vi sette en grense under Quota Entries. d) Klikk på Apply. e) Gå til Quota Entries for å se hvor mye diskplass hver bruker har fått. Det kan være at det først bare dukker opp koder istedenfor brukernavn, men alle navnene kommer etter hvert. f) Ved å klikke på en bruker kan vi justere grensene eller fjerne kvoten helt for den aktuelle brukeren. Vi kan eventuelt merke flere brukere (med Shift- og Ctrl-tasten), høyreklikke og velge Properties for å endre på flere samtidig. Folderkvoter Det er også mulig å sette kvoter per folder. Denne funksjonen er mer brukervennlig ved at vi bl.a. kan få sendt mail til brukere som nærmer seg grensen. På fellesområder hvor flere brukere har skrivetilgang til samme foldere, er diskkvoter bedre egnet. M E T O D E Sette kvoter på foldere Vi kan sette kvoter på alle hjemmeområder med denne metoden: a) Gå til Server Manager File and Storage Service og velg Shares. b) Her ser vi at vi først må installere denne rollen. Trykk på linken for å gjøre dette. c) Når installasjonen er ferdig, kan vi gå tilbake og trykke på F5. d) Nå kan vi f.eks. velge Home-sharet og trykke på linken To set a Quota.

150 e) Vi må velge en template til kvotene våre. Dette er forskjellige sett med forhåndsdefinerte kvotesettinger. Hvis vi har behov for å endre en template, kan vi senere redigere templaten, og endringene kan da påvirke alle foldere som har kvoter med denne. f) Kryss av for å lage kvoter for alle brukere. g) For å se nærmere på kvoter og eventuelt gjøre endringer, kan vi nå starte File Server Resource Manager.

151 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 151 h) Nå kan vi se hvor mye plass som brukes på Home. i) Hvis vi ønsker å endre på grensene, må vi gå inn på Quote Templates og endre på den templaten som brukes, i vårt tilfelle 200 MB Limit Vi kan legge til, fjerne eller endre advarsler og endre maksgrensen (Space Limit). Det kan også være aktuelt å endre til Soft Quota hvis vi bare ønsker å følge med på hvor mye plass som brukes.

152 Hvis vi går inn på en av advarslene, kan vi endre advarselsteksten. Vi kan også velge å legge ved en rapport om hva som bruker plass. Marker f.eks. Warning 95% og trykk på Edit. Mailoppsett For å sende advarsler om diskbruk med mail må vi sette opp informasjon om mailserver og mailadresse. M E T O D E Oppsett av mailserver/-adresse a) Høyreklikk på File Server Resource Manager og velg Configure Options. b) Vi kan nå fylle ut adressen til utgående mailserver og mailadresser. Vi kan ikke bruke vårt domenenavn i avsenderadressen fordi dette ikke er noe offisielt domene. c) For at brukerne skal få mail, må vi oppgi en mailadresse for disse. Dette kan vi legge inn AD Users and Computers.

153 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 153 Mailserver Windows Server 2012 har ingen innebygd mailserver. Microsofts mailprodukt er Exchange Server, som må kjøpes separat. Det er mulig å sette opp en enkel utgående mailserver (SMTP) (legges inn fra Features), men som regel kan vi like greit bruke en ekstern utgående mailserver. For å bruke en ekstern mailserver må det være en som vi har lov til å bruke fra det nettverket serveren er koblet til. Dette kan være en mailserver som vår internettleverandør (ISP) tilbyr, eller en intern mailserver hos vår bedrift eller skole. Vi har heller ikke mailkontoer for våre testbrukere. Vi kan da eventuelt bruke vår egen mailkonto både for administrator og en av brukerne for å få testet at advarsler via mail fungerer. Eventuelt kan vi opprette noen mailkontoer på Google eller Outlook.com.

154 10.6 FILE SCREENING Under File Server Resource Manager har vi mulighet for å sette opp File Screening. Dette er et slags filter som nekter brukere å lagre enkelte typer filer. Et typisk eksempel er brukere som lagrer private musikk- og videofiler. Dette er filer som bruker mye plass, og som fort fyller opp en server. M E T O D E Sette opp File Screening a) Høyreklikk på Filescreens og velg Create File Screen. b) Velg så folder og hvilke typer filer som skal blokkeres. c) Vi kan eventuelt redigere Templates for å tilpasse hva vi vil blokkere SHADOW COPIES Shadow Copies gjør det mulig for brukerne å hente tilbake gamle versjoner av dokumenter de har lagret på serveren. Denne funksjonen tar vare på gamle versjoner av filer og kataloger som slettes eller endres. Hvis en bruker sletter en fil, kan han eller hun selv hente den tilbake. Shadow Copies fungerer slik at serveren med visse mellomrom tar et snapshot av filstrukturen på et volum. Standardinnstillingen er at det blir laget snapshot klokka 7.00 og hver ukedag. Man kan endre hvor ofte det blir laget snapshots, men det bør ikke gjøres for ofte fordi det lagres maksimalt 64 stykk. Man trenger også en del diskplass hvis det skal lagres mange snapshots. Det kan være aktuelt å lagre snapshots på et annet volum enn det man lager snapshot av. Dette er også gunstig for ytelsen. OBS: Et snapshot inneholder kun et bilde av filstrukturen på et gitt tidspunkt. Det blir ikke kopiert noen filer. Det betyr at denne operasjonen går forholdsvis raskt, og at snapshotet ikke blir så veldig stort. Filene som slettes eller endres, blir liggende på samme plass hele tiden, men markert som slettet, slik at de ikke er synlige for brukeren. En forutsetning for at Shadow Copies kan fungere, er

155 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 155 derfor at det er en god del ledig plass på volumet. Vi bør ha minst 10 % av den totale størrelsen til volumet tilgjengelig for Shadow Copies. M E T O D E Sette opp Shadow Copies a) Høyreklikk på et volum og velg Properties. b) Velg deretter Shadow Copies. c) Velg så den aktuelle disken og klikk på Enable. d) Velg Settings for å angi hvor mye plass som skal reserveres, og hvor ofte det skal lages et snapshot (Schedule). OBS: Hvis du ønsker å lagre snapshots på et annet volum, må du endre dette i Settings før du klikker på Enable. e) Klikk på Schedule for å angi hvor ofte det skal lages snapshots. f) Hvis det skal lages flere snapshots i døgnet eller med uregelmessig rytme i løpet av uken, kan du velge New for å definere flere schedules. g) Til slutt kan du teste at Shadow Copies-funksjonen fungerer, ved å bruke en klient (se nedenfor). Lag et snapshot på serveren, slett og endre noen filer fra klienten og test så om du finner tilbake til de gamle filene. Finne slettede filer eller gamle versjoner For å kunne se de slettede filene bruker vi funksjonen Previous versions eller Tidligere versjoner. Alle Windows-versjoner fra og med Windows XP Service Pack 2 har denne funksjonen.

156 M E T O D E Bruke funksjonen Previous versions / Tidligere versjoner For å bruke denne funksjonen gjør du følgende: a) Høyreklikk på en fil eller katalog og velg Properties. b) Velg Tidligere versjoner og deretter den aktuelle filen. c) Velg View, Copy eller Restore. OBS: Ser du på en enkelt fil, vil du bare se gamle versjoner av filen hvis den er endret de siste dagene. d) Velger du View, kan du kopiere eller klikke og dra filene til et annet sted på vanlig måte.

157 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 157 O P P S U M M E R I N G I dette kapitlet har du lært om harddisktyper om partisjoner og volumer om dynamisk disk om Storage Spaces å sette kvoter om File Screening å sette opp Shadow Copies O P P G A V E R Oppgaver a) Hva menes med SATA, SAS og SSD? b) Hva er en partisjon og et volum? c) Hva er en Disk Pool? d) Hvilke disktyper kan vi lage som gir sikkerhet mot diskfeil? e) Hva er tynne disker? f) Hva menes med disk- og folderkvoter? g) Hva er Shadow Copies? h) Hvordan kan en bruker i nettverket ha nytte av Shadow Copies?

158 11 Webserver Internet Information Services, IIS, er Microsofts webserver som følger med Server IIS kan brukes for å sette opp alt fra enkle websider til omfattende webapplikasjoner. I dette kapitlet vil vi se på hvordan vi installerer webserveren og lager en enkel webside. Vi vil også se på bruk av kataloger og hvordan vi kan endre nettadressen. Til slutt vil vi se på hvordan vi kan sette opp webserveren for å betjene flere domener og installere en webapplikasjon. Når du har lest dette kapitlet, kan du installere IIS kjenne oppbyggingen av webadresser gjøre innstillinger i webserveren sette opp flere domener definere webapplikasjoner

159 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R INSTALLERE WEBSERVER Gå til Server Manager og legg til rollen Web Server (IIS). Når installasjonen er ferdig, har vi en fungerende webserver. Vi kan nå teste denne ved å skrive inn server1.mittdomene.no i en webleser på klienten eller serveren. Vi skal da få opp en standardwebside. Vi kan nå endre startsiden til vår egen side: M E T O D E Endre startside Vi kan starte administrasjonsverktøyet for IIS slik:

160 160 a) Velg Internet Information Services (IIS) Manager FRA Tools menyen i Server Manager eller trykk på Win- iis. b) Hvis vi nå markerer Server1, får vi fram forskjellige innstillinger som kan gjøres på webserveren vår (mer om disse senere). Vi får et spørsmål om vi vil starte med Microsoft Web platform. Vi kan svare Nei på dette nå. Vi kommer tilbake til denne. c) Hvis vi går lenger ned til Sites og markerer Default Web Site, vil vi se at vi har mange av de samme innstillingene, men noen endringer spesielt i Action-panelet på høyre side. d) Trykk nå på Explore for å se på filene på webserveren.

161 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 161 Vi får nå et Windows Explorer-vindu opp for katalogen C:\inetpub\wwwroot. Som navnet antyder, er dette rootkatalogen for webserveren. Vi kan nå lage en ny webside. Så lenge vi bare skal lage noen små testsider, kan vi skrive disse direkte i Notepad: <html> <head> <title>testside</title> </head> <body> <h1>test</h1> <p>dette er en testside på Server1.</p> </body> </html> e) Skriv inn teksten ovenfor og lagre som default.htm i wwwroot-katalogen. f) Test nå at du får fram den nye websiden med adressen server1.mittdomene.no. Webadresser Hvis vi ser nærmere på en webadresse, kan vi dele den opp slik: Protokoll: http (Hypertext Transfer Protocol ) er navnet på protokollen for vanlige websider. https er sikre websider. I noen tilfeller kan andre protokoller brukes, f.eks. ftp (File Transfere Protocol). Maskinnavn: Et komplett maskinnavn består av kortnavn + domenenavn. Ofte vil kortnavnet være www. Katalog: Vi kan dele opp websidene i kataloger eller mapper. Filnavn er selve webdokumentet vårt. Hvis det brukes standard dokumentnavn (se nedenfor), vil ikke dette være synlig. Hvis vi har et webområde med dynamisk innhold (en webapplikasjon), vil filtypen på dokumentet være en annen, f.eks. side.asp eller side.php.

162 162 Kataloger Vi kan lage kataloger for å dele opp websiten vår i flere områder. Disse katalogene lages i forhold til roten (startkatalogen), dvs. at de lages under katalogen wwwroot. Hvis vi ønsker områdene info, kurs og kontakt, kan vi lage disse som vanlige kataloger i wwwroot-katalogen. Dette kan gjøres direkte fra Windows Explorer. M E T O D E Bruke kataloger a) Lag en katalog info under wwwroot. b) Kopier default.htm til infokatalogen. c) Endre den nye websiden i infokatalogen slik at vi kan skille den fra den første vi laget. Vi kan f.eks. endre overskriften (h1) til Test - Info. d) Test nå at vi får fram den nye websiden med adressen server1.mittdomene.no/info. Hvis vi har behov for å legge ut websider som ikke kan plasseres under wwwroot, kan vi lage en virtuell katalog. Dette kan være aktuelt av plasshensyn eller fordi vi allerede har filer liggende et annet sted. M E T O D E Lage en virtuell katalog a) Først kan vi lage en ny katalog. b) Gå til Windows Explorer og lag katalogen C:\kontakt. c) Høyreklikk på Default Web Site og velg Add Virtual Directory. d) Skriv Kontakt for Alias. e) Skriv inn C:\kontakt for Physical path. f) Kopier så inn en default.htm og endre innholdet på tilsvarende måte vi gjorde for infokatalogen. g) Test nå at vi får fram den nye websiden med adressen server1.mittdomene.no/kontakt. Det er også mulig å lage virtuelle kataloger som peker til en helt annen server. Vi kan da f.eks. skrive inn \\server2.mittdomene.no\kontakt for Physical path. Ved behov kan vi skrive inn brukernavn og passord ved å trykke på Connect as.

163 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 163 Innstillinger i webserveren Som vi så ovenfor, kan vi endre innstillinger for webserveren flere steder. I tillegg til å endre på server- og sitenivå kan vi også gjøre noen endringer på katalog- og filnivå. Vi vil ikke gå inn på alle innstillingsmuligheter i denne boka. Noen innstillinger er bare aktuelle hvis vi skal kjøre webapplikasjoner, andre er avanserte innstillinger for spesielle situasjoner. Her er noen av de mest brukte innstillingene: Authentication Normale websider krever ingen pålogging med brukernavn og passord (eng. Authentication), men i noen tilfeller kan det være aktuelt å sette passord på en webside. Compression det er mulig å komprimere websider på en tilsvarende måte som vi kan komprimere andre dokumenter til en zip-fil. Webserveren vil da automatisk komprimere en webside før den sendes til webleseren som har bedt om den. Webleseren vil automatisk pakke opp igjen den komprimerte websiden slik at brukeren ikke vil merke noe til komprimeringen. Ved å bruke komprimering blir belastningen på nettverket mindre, noe som er en fordel både for eieren av webserveren og brukeren av websidene. Default Document Standard dokumentnavn. Da vi testet websiden vi laget tidligere, skrev vi ikke noe filnavn. Det er fordi vi lagret websiden som default.htm, som er en av de standard filnavnene som webserveren vil se etter hvis det ikke er oppgitt filnavn. Standard dokumentnavn er Default.htm Default.asp index.htm index.html iisstart.htm index.php Hvis vi har flere av filnavnene i en katalog, vil den som ligger øverst i listen, gjelde. Vi kan legge til, fjerne og endre rekkefølgen på filnavnene etter ønske.

164 164 Hvis vi f.eks. lager en webside som heter side1.htm, må vi oppgi filnavnet i adressen i webleseren fordi det ikke er et av standard filnavnene, for eksempel server1.mittdomene.no/side1.htm. Directory Browsing Hvis vi går inn på en webadresse som bare inneholder domenenavn eller et katalognavn, vil vi normalt bare få opp en webside hvis vi har et dokument som har standard dokumentnavn. Hvis vi ønsker, kan vi vise fram alle filene som ligger i en katalog. Dette kan i noen tilfeller være en rask og enkel metode for å gjøre dokumenter tilgjengelig for brukere. M E T O D E Vise alle filer i en katalog a) Lag katalogen kurs under wwwroot. b) Kopier inn noen vilkårlige filer i kurskatalogen (f.eks. webdokumenter, bilder eller tekstfiler). c) Sjekk at ingen av filene har standard dokumentnavn. d) Gå nå til kurskatalogen i IIS-manager. e) Dobbeltklikk på Directory Browsing og velg Enable på høyre side. f) Prøv nå webadressen server1.mittdomene.no/kurs.

165 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 165 Error Pages Her kan vi endre feilmeldinger fra webserveren slik at vi kan lage våre egne feilmeldinger istedenfor standardmeldinger. Vi vil ikke gå nærmere inn på dette i denne boka. MIME Types Multipurpose Internet Mail Extensions er en Internettstandard for å beskrive innholdstype. Som navnet antyder, er dette en standard som er laget for mail, men brukes i dag også på webservere. Hvis vi går inn på MIME types, ser vi at det ligger en tabell med kobling mellom filtype (file extension) og MIME-type. En.jpg-fil har f.eks. MIMEtypen image/jpeg. Bruk av MIME-typer er spesielt aktuelt når det skal kommuniseres mellom forskjellige plattformer. Hvis f.eks. en bruker på en Linux-klient slår opp en webside på vår server, som jo er en Windows-maskin, vil innholdet på websiden tydelig identifiseres ved hjelp av MIME-typene. Normalt er de MIME-typene som ligger inne som standard, tilstrekkelig, men i sjeldne tilfeller må vi legge til nye MIME-typer. Nettadresse Hittil har vi brukt adressen server1.mittdomene.no, men hvis denne webserveren skal være offentlig tilgjengelig, ønsker vi kanskje å ha en penere adresse, f.eks. M E T O D E Endre nettadresse Alle navnene på serveren vår styres av DNS-serveren, så vi må derfor inn i DNS Manager for å gjøre endringer på navn. a) Start DNS Manager ved å skrive DNS i startmenyen, eller gå inn via Server Manager. b) Gå nå til Server1 - Forward Lookup Zones - mittdomene.no.

166 166 Vi får nå fram informasjonen som er registrert for domenet vårt. Vi finner blant annet navn og adresser til serveren og klienten vår. De feltene som har navn (same as parent folder), er det samme som mittdomene.no og er informasjon om selve domenet. Vi ønsker å kunne bruke navnet men det er ikke så lurt å endre navnet server1.mittdomene.no siden vi bruker dette i lokalnettet vårt. Isteden kan vi lage et navn til eller et alias. c) Høyreklikk på mittdomene.no og velg New Alias. d) Skriv inn verdiene som i figuren. e) Prøv nå webadressen Flere domener Webserveren til Windows 2012 kan settes opp slik at den betjener flere domener. For å få til dette må vi bruke både IISmanager og DNS Manager. La oss si at vi ønsker å lage websider for en butikk som heter butikk55. Webadressen skal da være M E T O D E Bruk av flere domener Først kan vi lage en ny website i IIS Manager: a) Høyreklikk på Sites og velg Add New Web Site. b) Skriv så inn sitenavn og lag en fysisk katalog, f.eks. c:\butikk55.

167 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 167 c) Det er viktig å skrive full nettadresse i feltet Host name. Vi må nå opprette domene i DNS-manager: d) Høyreklikk på Forward Lookup Zones og velg New Zone. e) Velg Primary Zone. f) Bruk standardvalg for Zone Replication. g) Skriv inn butikk55.no for zonename. h) Velg standardverdier for Dynamic Update. Nå er domenet butikk55 opprettet. Nå kan vi gå videre og definere maskinen www: i) Høyreklikk på butikk55 og velg New host. (Som du husker, laget vi tidligere et alias for men fordi vi nå registrerer en adresse i et nytt domene, bør vi isteden lage en ny host.) j) Skriv inn www for Name og for IP address.

168 168 k) Gå nå til kommandolinje og skriv kommandoen "ping for å kontrollere at vi får svar fra vår server ( ) på denne adressen. Vi kan nå teste at webserveren fungerer på den nye adressen: l) Lag først en ny testside på tilsvarende måte som vi gjorde tidligere. m) Test så n) Gå nå til mittdomene.no i IIS Manager og velg Bindings o) Legg til host name p) Test at fortsatt fungerer. Webapplikasjoner En webapplikasjon gjør det mulig å lage websider med dynamisk innhold. Dette kan være alt fra nettbutikker, bloggservere, webpubliseringsverktøy (CMS, Content Management System) eller webbasert bildegalleri. En webapplikasjon kan også erstatte tradisjonelle applikasjoner som installeres lokalt på en PC. Google docs er et eksempel på dette. Vi får her enkle utgaver av tekstbehandling, regneark og kalender. Å lage egne webapplikasjoner krever programmeringskunnskaper og hører derfor ikke hjemme i denne boka, men vi kan prøve å installere noen ferdige applikasjoner som er fritt tilgjengelig: M E T O D E Installere webapplikasjoner a) Gå til b) Velg Downloads. c) Last ned Microsoft Web Platform Installer og installer denne. d) Web Platform Installer kan nå startes som vanlig fra startmenyen eller fra IIS Manager.

169 F E I L! B R U K K A T E G O R I E N H J E M T I L Å B R U K E H E A D I N G 1 P Å T E K S T E N D U V I L S K A L V I S E S H E R. 169 e) Velg Applications og deretter DasBlog. f) Trykk på Install. g) Bytt ut webadressen fra localhost til h) Bruk ellers standardinnstillinger for site information. i) Husk å skrive inn brukernavn og passord. j) Fullfør installasjonen. k) Gå til websiden og sjekk at du får opp en side tilsvarende denne: For å logge inn går du helt nederst i høyre hjørne og trykker på Sign in.

170 170 O P P S U M M E R I N G I dette kapitlet har du lært å installere Webserver om Webadresser om standard dokumentnavn å sette passord på websider å bruke flere domener på webserveren om webapplikasjoner O P P G A V E R Oppgave 1 a) Hva er IIS? b) Hvordan er en webadresse bygd opp? c) Hva er Default document? d) Hvordan kan vi endre navn på webserveren? e) Hva menes med en webapplikasjon? f) Nevn et par eksempler på applikasjoner vi kan laste ned gratis.

171 12 Virtuelle maskiner Hyper-V Hyper-V er Microsofts programvare for å kunne kjøre flere servere eller klienter på én fysisk maskin. Når vi kjører flere datamaskiner på én fysisk maskin, kaller vi det gjerne for virtualisering. De ekstra maskinene er virtuelle fordi de eksisterer bare i form av programvare på en vertsmaskin, men for brukerne av maskinene oppleves de som en normal datamaskin. Vi kaller gjerne den fysiske maskinen for vertsmaskin (host) og de virtuelle for gjester (guests). Når du har lest dette kapitlet, kan du vurdere maskinkrav kopiere virtuelle maskiner bruke Integration Services ta checkpoint av en virtuell maskin benytte Dynamic Memory lage virtuelle maskiner

172 Det er flere fordeler med å bruke virtuelle maskiner: Vi utnytter maskinvaren bedre. Mange datamaskiner går mye på tomgang, så ved å samle flere maskiner på en fysisk boks utnytter vi CPU-kraften og minnet bedre. Når vi bruker færre fysiske maskiner, sparer vi penger på innkjøp av utstyr. Færre maskiner betyr også at vi sparer lommeboka og miljøet ved å bruke mindre strøm. Enklere å administrere. Det er mange ting som blir enklere med virtualisering. Hvis vi f.eks. trenger en ny server, kan vi "lage" en med noen museklikk istedenfor å koble opp en fysisk maskin. Vi kan kopiere en virtuell maskin og bruke den som utgangspunkt for en ny. Forskjellige operativsystemer. Selv om vertsmaskinen vår kjører Windows Server 2012, kan vi kjøre nesten hvilket som helst operativsystem vi ønsker på de virtuelle. Vi kan f.eks. installere Windows 2008 eller Windows 8. Andre typer OS som Linux kan også legges inn MASKINKRAV For å kunne bruke Hyper-V må maskinen vi skal bruke, ha en prosessor som har støtte for virtualisering. De fleste nyere prosessorer har denne støtten, men i noen maskiner må denne funksjonen slås på i BIOS-oppsettet. TIPS! For å se en oversikt over hvilke mikroprosessorer som støtter virtualisering, kan du søke på "x86 virtualization" i Wikipedia. Ellers er det en fordel med kraftig maskinvare. Ved å bruke en maskin med flere CPU-kjerner og mye RAM kan vi kjøre mange virtuelle maskiner på en boks. Hvis vi kjører virtuelle maskiner med normal CPU-belastning (lav til middels), er det gjerne størrelsen på minnet som setter grensen for antall virtuelle maskiner. Flere harddisker og nettverkskort kan også være aktuelt for å kunne fordele belastningen INSTALLASJON AV HYPER-V M E T O D E Konfigurering av Virtual Networks a) Legg til rollen Hyper V. b) Hvis vi får advarsel om at virtualisering må skrus på i Bios, må vi stoppe serveren slik at vi kan gå inn i Bios-oppsettet

173 c) Innstillingene i Bios kan se forskjellig ut fra PC til PC. På en HP-PC finner vi f.eks. disse innstillingene under Security.

174 d) Konfigurer Virtual Switches. Har vi bare ett nettverkskort, kan vi krysse av for dette slik at vi deler det med den fysiske maskinen. Ellers er det vanlig å bruke flere nettverkskort for å kunne fordele nettverkstrafikken.

175 e) På spørsmål om Migration så kan vi hoppe over dette nå. Migrering av maskiner krever minst to fysiske Windows-servere, så vi får ikke brukt dette nå. f) Default store brukes til å lagre de virtuelle maskinene. Disse kan kreve en del plass, så vi bør passe på at disken er stor nok. g) Fullfør veiledningen for å legge til Hyper V-rollen. Gå så til Hyper V Manager LAGE EN VIRTUELL MASKIN Nå kan vi definere en virtuell maskin. M E T O D E Lage en virtuell maskin a) Start Hyper V Manager. b) Høyreklikk på Server1 og velg New Virtual Machine.

176 c) Vi kan velge en annen folder for å lagre den virtuelle maskinen. Trykk på Finish for standardverdier eller Next for å konfigurere manuelt. Vi velger Next nå. d) Vi kan velge Generation 2. e) Under Memory velger vi størrelse på minnet for den virtuelle maskinen, f.eks MB. f) Velg så det virtuelle nettverket vi definerte tidligere.

177 Nå må vi lage en virtuell harddisk og velge hvor den skal plasseres. En virtuell harddisk er bare en fil på vår vertsmaskin. En slik fil vil vokse etter som vi bruker den virtuelle disken. Selv om vi setter at størrelsen på disken skal være 127 GB, vil ikke filen bli større enn summen av innholdet av den virtuelle disken. Vi kaller gjerne dette en tynn disk eller Dynamically expanding disk. g) Under Install Options kan vi velge hvordan vi vil installere et operativsystem på vår nye virtuelle maskin. Vi kan installere fra en fysisk CD/DVD i vertsmaskinen, fra en ISO-fil eller fra nettverk. h) Vi velger å installere operativsystem senere. Nå har vi en ferdig definert virtuell maskin med en blank harddisk. Vi kan godt prøve å starte den (dobbeltklikk på den virtuelle maskinen og trykk på strømbryteren), men vi vil bare få beskjed om at maskinen ikke kan starte. Før vi kan ta i bruk maskinen, må vi installere et operativsystem på den, f.eks. Windows 2012.

178 Installere operativsystem Når vi jobber med virtuelle maskiner, er det veldig greit å ha ISO-filer (imagefiler av CD-er og DVD-er) som vi kan boote fra. Hvis vi tidligere har lastet ned demoversjon av Windows Server 2012, har vi allerede en ISO-fil vi kan kopiere inn på serveren vår (vertsmaskinen). Hvis vi har en DVD-plate med Windows 2012, kan vi laste ned et verktøy, f.eks. ISO Recorder, som kan lage en ISO-fil fra DVD-en. M E T O D E Boote fra en ISO-fil a) Klikk på den virtuelle maskinen vi har laget, og gå på innstillinger. Her kan vi endre de fleste innstillingene som størrelse på minne o.l. b) Gå til SCSI Controller. Hvis vi ikke har noen DVD Drive her, kan vi legge til en ved å velge Add. c) Gå til DVD, kryss av for image og finn fram til ISO-filen for Windows d) Nå kan vi dobbeltklikke på vår virtuelle maskin for å få opp skjermen på maskinen. e) Trykk på strømbryteren for å starte maskinen fig ikon. Nå skal maskinen boote fra ISO-filen. f) Vi kan nå installere en ekstra Windows Server 2012-maskin på samme måte som vi gjorde tidligere.

179 Når vi kjører en virtuell maskin i et vindu, er det noen funksjoner som er viktige. For å kunne logge inn på en Windows-server må vi normalt trykke på Alt-Ctrl-Del. For å få til dette på en virtuell maskin kan vi enten trykke på knappen med tre taster eller på Ctrl-Alt-End. Vi har følgende knapper på toolbaren: Ctrl+Alt+Del Start Gjør det mulig å logge inn på den virtuelle maskinen. Starter maskinen hvis den er skrudd av. Turn Off Shutdown Stopper den virtuelle maskinen med en gang. Tilsvarer å skru av strømmen på en fysisk maskin. Prøver først å kjøre ned operativsystemet før den "skrur av strømmen".

180 Save Pause Reset Checkpoint Lagrer minnet til disk slik at vi kan hente det fram og fortsette å kjøre maskinen (tilsvarer dvale eller hibernate). Hvis vi stopper vertsmaskinen, vil alle gjestene automatisk bli lagret. Stopper maskinen midlertidig. Resetter maskinen uten å kjøre den ned. Lager øyeblikksbilde av en virtuell maskin (se nedenfor) KOPIERE VIRTUELLE MASKINER Vi kan lage en kopi av en virtuell maskin på denne måten: M E T O D E Lage kopi av virtuell maskin a) Stopp maskinen du skal kopiere. b) Finn fram til den virtuelle harddisken til maskinen (en.vhdx-fil). c) Kopier denne filen til en ny katalog. d) Lag så en ny virtuell maskin. e) Når du kommer til oppsett av harddisk (Connect Virtual Harddisk), så velg Use an existing virtual harddisk og finn fram til kopien vi laget. f) Nå kan vi starte opp den nye kopien og gjøre nødvendige justeringer som å endre navn og IP-adresse INTEGRATION SERVICES Integration services er en programpakke som gjør at de virtuelle maskinene fungerer bedre og raskere. Denne programvaren ligger inne som standard i nyere Windows-versjoner, men på eldre versjoner må den installeres slik: M E T O D E Installere Integration Services a) I vinduet til den virtuelle maskinen velg Action - Insert Integration Services Setup Disk. b) Følg veiledningen på skjermen. Hvis det kommer oppdaterte versjoner av Hyper-V, kan det være aktuelt å oppgradere Integration Services på de virtuelle maskinene.

181 12.6 CHECKPOINT Et checkpoint av en virtuell maskin er et øyeblikksbilde som vi senere kan rulle tilbake til. Checkpoint brukes typisk til uttesting av ny programvare og oppdateringer. Et annet ord som ofte brukes om denne teknikken, er snapshot. Vi kan f.eks. bruke checkpoint slik: M E T O D E Lage checkpoint av virtuell maskin a) Vi skal teste en stor programpakke på en virtuell maskin, og vi ønsker å kunne gå tilbake til opprinnelig konfigurasjon hvis det oppstår problemer med installasjonen. b) Vi tar et checkpoint av maskinen før vi starter installasjonen. c) Vi kan så installere programvaren vi skal teste. Hvis vi angrer og vil gå tilbake til maskinen slik den var før vi begynte å teste, gjør vi slik: d) Høyreklikk på checkpointet vi laget, og velg Apply. e) Maskinen vil nå rulles tilbake slik at den blir nøyaktig slik den var før vi begynte å teste. Checkpoint gir oss mulighet for å gå tilbake til eldre versjoner av en maskin, men er ingen erstatning for backup. Vi må derfor sørge for å lage sikkerhetskopier av viktige data i tillegg DYNAMIC MEMORY Dynamic memory gir oss dynamisk tildeling av minne til de virtuelle maskinene. Denne funksjonen gjør at vi kan dele ut minne etter behov, slik at vi får mulighet til å sette opp flere virtuelle maskiner uten å gå tom for RAM på vertsmaskinen. Dynamisk minne fungerer med de fleste aktuelle operativsystemer. Dette er også støtte for flere Linux-distribusjoner. I noen tilfeller kan det være nødvendig å installere nyeste utgave av Integration Services. Vi kan sette en startverdi i tillegg til en minimums- og maksimumsverdi for størrelsen på minne. Startverdien er fast under oppstart eller installasjon av operativsystemet.

182 Vi har også mulighet til å justere prioritet på tildeling av minne (Memory Weight). Memory Buffer er hvor mye ekstra minne den virtuelle maskinen vil få (i forhold til behovet Hyper-V har beregnet). Dette ekstra minnet brukes til Disk Buffer (se Cached i Task Manager) og for at den virtuelle maskinen skal ha litt ekstra minne å gå på i tilfelle minnebehovet øker.

183 12.8 FLYTTE VIRTUELLE MASKINER En meget praktisk mulighet ved virtuelle maskiner er muligheten for å flytte dem til andre fysiske maskiner (host). Dette kan gjøres mens den virtuelle maskinen går, og brukerne av maskinen vil normalt ikke merke noe til at den flyttes. En slik flytting kalles gjerne Live migration. Hvis vi f.eks. har en kraftig server, kan vi gjerne ha 5 10 virtuelle maskiner kjørende i Hyper-V. Hvis vertsmaskinen må restartes, må også alle de virtuelle maskinene restartes. For å unngå dette kan vi flytte de virtuelle maskinene til en annen vertsmaskin før omstart. For at flytting av maskiner skal gå raskest mulig, bør vertsmaskinene ha felles lagring. Dette gjøres tradisjonelt med et lagringsnett (SAN) som er koblet sammen med iscsi. Støtten for slike lagringsnett er innebygd i Windows, men selve lagringskabinettene kan være ganske kostbare. Nytt i Windows 2012 er mulighet for å bruke felles lagring for virtuelle maskiner på et vanlig nettverks-share, altså vanlige disker i en Windows maskin som deles slik vi har gjort tidligere i boka. Det er nyeste versjon av fildelingsprotokollen (smb 3.0) som gjør dette mulig. Hvis hyper-v-maskinene har felles lagring, kan en virtuell maskin flyttes i løpet av sekunder. Det er kun innhold i minnet (RAM) på den virtuelle maskinen som må flyttes. Selv om Hyper-V-maskinene ikke har felles lagring, kan vi allikevel utføre en flytting. Innholdet av harddisken(e) til den virtuelle maskinen må da flyttes over nettverket. Dette kan ta en god stund hvis disken er stor og nettverksforbindelsen er treg. Selv om selve flyttingen tar lang tid, vil ikke maskinen være utilgjengelig mer enn noen millisekunder. Selve byttet skjer etter at alt er kopiert over. Eksempel I vårt nettverksoppsett i denne boka har vi bare en fysisk server, og vi kan derfor ikke utføre en flytting av virtuelle maskiner med dette. For å se nærmere på et eksempel på flytting av virtuelle maskiner vil vi allikevel gi et grovt overblikk over hvordan dette gjøres. Vi kan tenke oss at vi har en ekstra fysisk maskin med følgende oppsett: En PC som kan kjøre Windows 2012 og har støtte for virtualisering Minst 2 GB minne, helst mer

184 Diskplass til noen virtuelle maskiner Vi kan sette opp Windows 2012 tilsvarende den første serveren og kalle den Server2. Det holder å legge inn rollene Fileserver og Hyper-V. Meld den nye serveren inn i domenet mittdomene.no. Dette er ikke nødvendig for å kunne flytte virtuelle maskiner, men gjør det enklere med hensyn til rettigheter. Først kan vi lage et share som vi kan bruke som felles lagring for Hyper-V: Gå til Server manager file and Storage Services Shares. Lag et nytt share av typen SMB share Applications og kall dette Hyper- V. Nå kan vi legge til den andre serveren i Hyper-V-manager slik at både Server1 og Server2 er tilgjengelig. Gå nå inn på Hyper-V settings på begge maskiner og endre folder for Virtual Machine og Virtual Hard Disks til det nye sharet vi laget, f.eks. \\server2.mittdomene.no\hyper-v Kryss av for Enable incoming og use any available network under Live Migration. For å gjøre flyttingen enklere bør vi ha felles navn på de virtuelle switsjene på begge maskiner. Gå inn på Virtual Switch Manager i Hyper-V på begge maskiner. Endre navnet på switsjene til f.eks. Privat nett. Husk å oppdatere settingene på eksisterende virtuelle maskiner. Nå må vi flytte de eksisterende virtuelle diskene til det nye Hyper-V-sharet. Eventuelt kan vi lage en ny virtuell maskin med disken på riktig sted. Stopp de virtuelle maskinene og finn fram til de virtuelle diskene i Windows Explorer. Flytt dem over til det nye sharet. Oppdater settings på de virtuelle maskinene og start dem opp igjen.

185 Nå kan vi prøve å flytte en virtuell maskin over til Server2 ved å høyreklikke på den og velge Move. Hvis begge Hyper-V-maskinene har felles lagring og disken til den virtuelle maskinen ligger der, kan vi velge Move only the virtual machine. Pass på at du er på den fysiske maskinen du flytter fra, når du starter en move. Hvis du får beskjed om at hardware på destination ikke er kompatibel, kan vi gå til settings på den virtuelle maskinen og velge Processor Compatibility og krysse av for Migrate to a physical computer with a different processor version. Virtuell maskin som flyttes til Server2

186 O P P S U M M E R I N G I dette kapitlet har du lært om virtuelle maskiner om maskinkrav til Hyper-V å installere Hyper-V å lage og kopiere virtuelle maskiner om dynamisk minne O P P G A V E R Oppgave 1 a) Hva menes med en virtuell maskin? b) Hva er hovedfordelene med å bruke virtuelle maskiner? c) Hva er en ISO-fil? d) Hva menes med Dynamic Memory?

187 13 Windows Deployment Services Windows Deployment Services (WDS) er et system for å installere Windows fra en nettverksserver. Ved hjelp av WDS kan vi starte opp og installere Windows uten å bruke DVD eller annet lokalt installasjonsmedium. Isteden starter vi opp (eng. boote) maskinen vi ønsker å installere via nettverket, og laster ned installasjonsfilene fra en server. Når du har lest dette kapitlet, kan du installere WDS starte klient fra nettverket for standardinstallasjon tilpasset installasjon rulle ut standardoppsett 13.1 INSTALLASJON AV WDS WDS har to hovedtyper av installasjoner. Vi kan enten kjøre en standardinstallasjon, dvs. at installasjonen foregår omtrent som om vi hadde

188 installert fra DVD, eller som en tilpasset installasjon hvor vi kan legge til annen programvare og gjøre tilpasninger. WDS er meget praktisk hvis man har mange PC-er som skal installeres. Med en slik tjeneste kan man starte opp en PC med blank harddisk via nettverket og få lastet ned et ferdig konfigurert oppsett med Windows og applikasjoner. Vi installerer WDS ved å legge til rollen Windows Deployment services. WDS trenger AD, DNS og DHCP, så dette må være installert først. Vi trenger både Deployment og Transport Server. Vi kan så konfigurere WDS. M E T O D E Konfigurere WDS a) Høyreklikk på server1 og velg configure server. b) Velg Integrated with Active Directory. c) Velg folder hvor vi skal lagre filer og images (C:\Remoteinstall). Det anbefales å bruke en egen disk til WDS, men på vår testserver kan vi bruke hvilken disk vi ønsker så lenge det er en del plass der. d) Fordi vi har en DHCP-server fra før, krysser vi av for Do not listen on DHCP and DHCPv6 og Configure DHCP options for Proxy DHCP.

189 e) Velg Respond to all client... f) Fjern kryss på Require administrator approval. g) Nå kan vi gå til Install Images. Lag en Image group som heter Windows 8. h) Sett inn Windows 8.1 DVD. Hvis du bare har en iso-fil, kan du høyreklikke på den og velge Mount. i) Nå kan vi legge til et Install image. Dette finner vi i \Sources katalogen på DVD-en eller iso-filen. Velg install.vim. j) Nå kan vi gå til Boot Images og legge til boot.wim på tilsvarende måte. Hvis vi nå ser under Install Images - Windows 8, vil vi se installasjonsfilene til de Windows-variantene vi valgte ut fra DVD-en.

190 Under Boot images vil vi få fram Microsoft Windows Setup (x86), eventuelt x64 hvis vi har brukt en 64 bit Windows 8 DVD. Dette er den filen klientene starter opp med (booter), slik at vi kan kjøre installasjonsprogrammet for Windows STARTE KLIENT FRA NETTVERKET FOR STANDARDINSTALLASJON Nå kan vi prøve å starte opp en klient fra nettet. OBS: Hvis vi ønsker å gjennomføre installasjonen, må vi bruke en maskin hvor vi kan slette hele harddisken. Hvis vi bare vil sjekke at vi klarer å starte en maskin fra nettet, kan vi bruke en hvilken som helst PC så lenge vi avbryter installasjonen. Bruk gjerne en virtuell maskin, se tips. De fleste moderne PC-er har støtte for å boote fra nettverket. Denne funksjonen kalles PXE booting (Preboot Execution Environment). Ofte kan vi velge å starte fra nettet ved å trykke på F12 mens maskinen starter (trykk gjerne på F12 flere ganger). Alternativt kan det være en annen tast som må trykkes på for å få fram en boot-meny. Velg i tilfelle boot device for nettverkskort (Internal NIC eller lignende). Hvis vi har problemer med å få maskinen til å prøve å boote fra nettet, kan vi gå inn i Bios og prøve å endre boot-rekkefølgen. I noen tilfeller må PXEfunksjonen aktiveres i Bios første gang. Etter å ha trykt på F12 vil vi se at maskinen får tildelt en IP-adresse.

191 Maskinen vil nå starte med det imaget vi la ut under Boot images. Hvis det ligger flere filer under Boot images, vil vi få et valg på hvilket vi vil starte. Velg språk/tastatur. Dette er kun valg som gjelder for installasjonsprogrammet. Skriv inn mittdomene\brukernavn og passord. Alle brukere i domenet har i utgangspunktet rettigheter for å logge inn. Velg så Windows-versjon og fortsett installasjonen som en normal installasjon av Windows 8.

192 TIPS For å teste Nettverks-boot (PXE) er det veldig lettvint å teste med en virtuell maskin. Det er bare å lage en ny virtuell maskin med en blank harddisk og deretter starte maskinen og trykke på F12. Pass på følgende når du lager den virtuelle maskinen: Hvis vi lager en maskin med Generation 2 virtuell hardware, må vi ha et 64 bit boot image fra en 64 bit Windows DVD eller ISO. Hvis vi ønsker å starte opp en 32 bit (x86) installasjon, kan vi lage en virtuell maskin med Generation 1 hardware. Pass da på at maskinen har et Legacy Network adapter TILPASSET INSTALLASJON Vi kan lage våre egne oppsett (standardoppsett) for PC-er, som vi så kan installere på nye PC-er ved hjelp av WDS. Dette foregår slik: Vi installerer en standard PC med den programvaren vi ønsker. Vi kan f.eks. legge inn Office, PDF-leser og annen programvare etter behov. Vi starter så denne maskinen ved å boote fra nettverket og overfører et image av harddisken til serveren vår. Vi kan nå starte en eller flere nye PC-er fra nettet og laste ned imaget vi laget. På denne måten kan vi raskt sette opp en ny PC fiks ferdig med den programvaren vi bruker. M E T O D E Lage egne installasjonsimage For å kunne lage egne installasjonsimage må vi først gjøre noen tilpasninger på WDS-serveren vår: a) Vi må lage et nytt boot-image som brukes for å fange et image av standard-pc-en vår. b) Gå til Boot Images, høyreklikk på det boot-imaget vi har fra før, og velg Create Capture Image. c) Velg så et navn på boot-imaget, for eksempel Capture (x64). d) Velg en katalog hvor vi kan lagre det nye boot-imaget midlertidig.

193 Når operasjonen med å lage det nye boot-imaget er ferdig, kan vi krysse av for Add image to the Windows Deployment Server now. Nå kan vi gjøre klar standard-pc-en vår: M E T O D E Klargjøre standard-pc a) Det beste er å starte med en frisk installasjon av Windows.

194 b) Legg inn de programmene som skal ligge inne som standard. c) Pass på at Windows og annen programvare er oppdatert. d) Sjekk at alle programmene fungerer som de skal, og dobbeltsjekk at du har lagt inn alt som trengs. e) Bruk nå diskoppryddingsfunksjonen for å fjerne unødige filer. Det er en fordel om standardoppsettet vårt blir så lite som mulig. Husk også å bruke funksjonen for å rydde opp i systemfiler, spesielt er det gjenopprettingspunkter (System Restore) som kan bruke mye plass. Når standard-pc-en er klar, må vi kjøre programmet Sysprep for å gjøre harddisken klar til å lage image av den: f) Start et kommandovindu som administrator (høyreklikk på CMD). g) Skriv cd \windows\system32\sysprep. h) Kjør så Sysprep.

195 i) Sett innstillingene som i figuren. j) Nå vil Sysprep jobbe en stund og så skru av maskinen. k) OBS: Nå er det viktig at ikke Windows starter opp igjen før vi får laget et image av den. Hvis det skulle skje, må vi kjøre Sysprep på nytt. l) Start nå maskinen og trykk på F12 for å få startet maskinen på nettet og deretter F12 en gang til når vi får beskjed om det. m) Vi vil nå få et nytt valg for å starte maskinen. n) Vi velger å boote maskinen med det nye capture-imaget vi laget. o) Nå vil Image Capture-funksjonen starte.

196 p) Vi må deretter velge hvilken disk vi vil lage image av. Vi kan bare velge en disk hvis det er kjørt Sysprep på maskinen. q) Skriv inn navn og en beskrivelse av imaget.