Несподівано! Але чи то криза скінчився (насправді немає), чи то роботодавці зовсім страх втратили (насправді так), чи то продукти Microsoft подешевшали (насправді чуть-чуть), але все проблемодателі хочуть, щоб у них стояв Windows Server!
Якщо попадеться інша версія її можна розтягнути (абсолютно офіційно) на 30 днів, що досить для ознайомлення, продовжуючи до 3х раз, після закінчення, період активації командою:
slmgr -rearm
Що це буде коштувати для офісу
Ціну заліза я не враховую, воно що для бсді що для вінди має бути спеціальним серверним (не дешевим). Єдине що для вінди, потрібен другий фізичний диск - вона не робить копію системного розділу на той же фізичний диск.
Уже негарна цифра виходить. Потім раптом ви вирішуєте встановити Microsoft SQL Server ось це навіть пояснити не можу за чим!
- Microsoft SQL Server Standard Edition
29 118
- ліцензія на підключення 50-ти комп'ютерів
378600
І так далі кожен чих оплачується окремо, плюс ліцензія на кожного хто цей чих почує! Але голий Windows Server Standart, все таки привабливий для управління парком Windows комп'ютерів!
установка
Буду встановлювати на VirtualBOX маючи посередній процесор Intel i5-3470, і всього то 16 гігабайт пам'яті, вже можна не замислюватися скільки віртуальних машин запущено. У властивостях VM даємо 2ядра, 2гіга і 2 мережевих карти (режим Мережевий міст), підключаємо скачав ISO образ.
Пароль повинен виконувати вимоги складності тому у мене він буде
123йцуЙЦУ
Після завантаження міняємо ім'я комп'ютера і налаштовуємо мережеві інтерфейси. До налаштувань легко дістатися з клавіатури
[Win key] + [i]
і вибрати Control Panel
Тут все як завжди. Ім'я комп'ютера за бажанням. А мережеві інтерфейси - відключаємо ipv6 налаштовуємо ipv4:
Локальний дивиться на користувачів:
Вибираємо мережу з діапазонів асигнованих для локальних мереж 10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.31.255.255, 192.168.0.0 - 192.168.255.255 (це книга заговорила) з таким прицілом щоб через 100 років, коли раптом треба буде маршрутизироваться в іншу локальну мережу, щоб вони не співпали.
Те що порожньо то порожньо, так було задумано!
Другий адаптер тут дані провайдера IP, Шлюз, DNS якщо пряме підключення, або дані локальної мережі в яку він дивиться.
Встановлюємо Контролер Домена AD DS
У звичному місці Add roles не видно, але якщо придивитися он вони, та й викликається тим же значком «чемодан з тубусом»
Приступаємо до установки всюди Next в Add Roles and Featers ставимо галочку на Active Directy Domain Services. на останній Install.
Установка завершилася, але нічого не відбувається, але з'явилося якесь повідомлення. Тиснемо на ньому Promte this server to a domaine controller
Тут вибираємо Add new forest і пишемо доменне ім'я наприклад itcooky.www
На наступній сторінці залишаємо як є, просять призначить пароль для DSRM відновлення щось новеньке!
DNS не чіпаємо Netbios не чіпаємо, щось став замислюватися сервер, нічого не міняємо NEXT в кінці тиснемо Install, по путнього встановлюється ще й DNS сервер.
налаштовуємо DNS
У Server Manager на вкладці Local server щось взагалі не щось, то що потрібно ховається справа вгорі Tools> DNS
Всі потрібні зони створилися при установці. Тиснемо на ITCOOKYSERVER> Properties в Interfaces прибираємо зовнішній, не навіщо його слухати.
Дивимося вкладку Forwarders тут прописався DNS зі зовнішнього інтерфейсу як годиться.
Поки ми в DNS можна зіпсувати зони домігшись блокування заборонених URL. Додаємо на нашому DNS сервер Forward lookup zone> Add new zone все за замовчуванням до Zone name тут пишемо домен другого рівня, що блокується сайт (імя.ком). Додаємо в цю нову зону нову A запис New Host ось так
Так само Обнуляємо кеш DNS сервера Clear Cache і за одне робимо Update Server Data File не знаю який зв'язок але якщо перезавантажувати Winodws 8 він вантажиться з непрацюючим DNS (якщо викл вкл ПК такого не відбувається) і це один з кроків які допомагають його змусити працювати, але спочатку після перезавантаження треба викл вкл мережеву карту елси це не допоможе тоді вже з DNS.
Коротше блокування працює але це такий кволий і не надійний спосіб в порівнянні з прозорим проксі сервером на SQUID + SAM
Багато ще чого треба додати але вже хочеться спробувати - що вже працює то!
Встановлюємо Windows 8.1 корпортівних
Чи не встановиться без Windows ID і це Корпоротивная то версія. Аааа еее неймовірно важко викликати меню в віртуальній машині - КРАЇВ НЕМАЄ. Я не зрозумів як точно, але якщо поводити по правому краю, або постояти там курсором, або натиснути воно іноді з'являється!
Тепер вводимо комп'ютер в домен робимо:
[Winkey] + [R]
PC info> Change Settings (там де ім'я комп'ютера)> Change (там де rename ім'я компьютора або домен)> галочку на Domain> пишемо itcooky.www> OK> вводимо Administrotor і його пароль> иииии
Перезавантажуємося і входимо! Windows знову пропонує під ID, але тиснемо на стрілку і заходимо як доменний користувач в якості імені пишемо ITCOOKY \ Administrator
Адміністратору Домену ця призначена для користувача винда не дає відкрити Explorer втім нічого з додатків не дає відкрити, дуже інетересно знати чому, потім дізнаюся!
У схоже це тільки в плитках, в раб.стол IE запускатся ...
З'являються нові вкладки в IPv4> Static Routes прописуємо як на зображенні куди треба ходити за діапазоном 192.168.1.0
На маршрутизаторі 192.168.1.1 прописуємо куди треба ходити за діапазоном 10.38.109.0, а як прописувати залежить від вашого маршрутизатора. Пішов пінг зовні на 10.38.109.1
А 10.38.109.20 Windows 8 НЕ пінгуєтся у нього відключено Загальні Файли і принтери, що так само відрубує ICMP пакети. Включив це в Network and Sharing Center - запінговался.
Компьютори з двох мереж Пінг один одного, але у мережі 10.38.109.0 немає інтернету, вони гуляють під своїми IP а шлюз 192.168.1.1 не дає інтернет IPшнікам не з своєї підмережі. Потрібен NAT.
Йдемо в Tools> Routing and Remote Access і тиснемо на ITCOOKYSERVER і відключаємо Disable Routing and Remote ... це дозволить з нова налаштувати маршрутизацію, вибираємо Configure y Enable ... На сторінці обирає другий NAT далі Ethernet 2 (смотрящий на ружу). З'явилися записи про NAT. У клієнтів все запрацювало!
Ну і Білл з ним! Вважаю що все налаштовано для роботи! Тепер йдемо до цікавинок до шифрування пакетів!
Налаштування IPSec
Існує думка що якщо комп'ютери сидять на одному свіч то можна перехопити їх трафік дізнатися куди вони заходять в інтернет і навіть зібрати файли передаються. Щоб цього уникнути Microsoft пропонує включити IPsec шифрування Пакат, але відразу обмовляється «досвідченому хакеру не важко» все одно перехопити, але це фраза уних перед кожною налаштуванням безпеки. Я на жаль зовсім недосвідчений і не хакер мені ніяк не вдавалося без IPsec перехопити URL, або файл все програми sniffer-и або ловлять нецікавий розмова хостів з сервером, або не ловлять взагалі нічого - особливо платні взагалі нічого!
Однак включимо IPsec за допомогою правил безпечного підключення. Йдемо в GPO натискаємо на наш домен вибираємо Create GPO ... даємо яке-небудь зрозумілу назву типу IPSec Police і редагуємо ону. в Зміни компьютора \ Політики \ Конфігурація Windows \ Параметри безопасноти \ Брендмауре в режимі повишеннним безпеки ... це місце називається WFAS.
Додаємо нове правило. Все за замовчуванням крім імені. На всіх включених компьютором (починаючи з сервера) оновлюємо GPO командою:
gpupdate
На Windows 8 дивимося:
Бачимо правило IPsec все IPsec включений і забезпечує якусь безпеку!
Тільки я ще сподівався що цей спосіб закриває доступ бездоменной компьютором, аж ні, якщо знаєш свій пароль зайдеш і з під бездаменного ... на кой тоді взагалі ...
Чи не Налаштування NAP
У Windwos Server є ще один інструмент дискримінації підключення Networ Policy And Access Services (NAP). Він може приймати чи не приймати підключення якщо на компьюторе користувача, вимкнений файрвол, немає антивіруса, немає останніх апдейтів ... тобто сценарій про відрядження - відповім як в тому анектод - Дружина, що тобі привезти з відпустки? - Привозь що хочеш зараз все лікують ... навіщо цей NAP, кому він потрібен, хто його ставить ...
Тут же з прикрістю дізнаєшся що Microsoft Internet Explorer не довіряє Microsoft сайту, і не є інструментом для скачування файлів - за замовчуванням. Як з цим дебілізмом боротися не скажу, ви повинні самі через це пройти, щоб все життя пам'ятати хто є Microsoft на сам справі!
У вкладці Options> Computers треба вибрати Use Group Policy or registry setting on computers що б GPO розрулювати.
Перезавантажуємо комп'ютер користувача або оновлюємо у нього адміністратором GPO
gpupdate / force
Начебто зафуричіло, але чому то на сервері в WSUS не бачу у вкладці Computers хочаб одного статусу всі нулі. пробував:
wuauclt / detectnow
Чи не змінюється ні чого, хоча на ПК користувача бачу в log C: \ Windows \ WindowsUpdate.log ходить на сервер, але мабуть оновлень немає, нових.
І оп з'являється принтер, за замовчуванням і працює (був момент коли з'являвся не працюючий)!
Тут я так і не зрозумів для ось такого підключення принтера потрібна ліцензія на пристрій (CAL) чи ні - бо спеціальної ролі Print Services для сервера я не ставив, і розшарити принтер я можу і на на серверах, і в GPO прописати - мабуть тут кал не потрібен!
Встановлюємо роль сервера Active Directory Certificate Services все за замовчуванням. Знову з'являється це повідомлення до налаштувати після настройки тут теж за замовчуванням галочку на Certifacate Athurity
Тепер під учеткой Админа на Сервері робимо DRA для Адміністратора (або для будь-якої іншої учеткі аби адміна домену). Йдемо в GPO в наше за замовчуванням політику котра стала IPsec Police> Computer Configuration> Polices> Windows Settings> Security Settings і відкриваємо Public Key Polices а там включаємо Certificate Services Client - Auto Enrollemnt
Там же натискаємо правою мишею на папці Encrypting File System і вибираємо Create Data Recovery Agent
Microsoft дуже боїться DRA агента і радить щоб пароль вводили дві людини по полам і ніхто не знав повного пароля - щоб ніхто не зміг прочитати файли пользоватлей ... як ніби наймолодший адмін не може скинути пароль користувача і увійти під ним і прочитати всі секрети ХА!
Оновлюємо GPO, і додаємо тестового користувача!
Заходимо під новим доменним користувачем. Всі файли які створюються в папці Documents мають зелений колір назви. В інших папках немає, але файли можна зашифрувати через їх Propertis> Advenced
Виходимо на ПК користувача під доменним Адміністратором - Нічого не читається, і не дає скопіювати на сервер.
Тепер завантажимо з Ubuntu і спробуємо відкритий то що в зашифрованою папці
Чи не відкривається і це вже добре! Тільки увагу шифрується НЕ папка а кожен файл в нутрі, перш ніж його кому то послати у властивостях треба прибрати галку шифрувати, як мені здається.
Так все таки, як прочитати зашифровані файли якщо користувач забув пароль?
Треба на учетке користувача зробити Reset password почекати п'ять хвилин, і зайти як користувач прочитати файли або скопіювати їх на Сервер - це спосіб працює якщо ПК живий і підключений до сервера.
Ще можна виймуть жетскую диск з локального ПК і підключити до Сервера, на віртуальке це зробив все читається. ЧОМУ НЕ МОЖНА DRAЧІТЬ ПІД адмін на призначеному для користувача ПК.
Вродеби все потрібне працює ...