Top 10 razloga da preete na njega

Prolo je mnogo vremena od kada smo videli novu verziju Windows Server-a. Teko je
poverovati da je prolo pet godina od kada je izaao Windows Server 2003. E pa ove
godine moemo da prestanemo da ekamo. Windows Server 2008 je zvanino izaao
ovog meseca i sada imamo pristup svim njegovim elementima. Prolo je mnogo vremena
i Microsoft je uloio jako mnogo truda i rada u Windows Server 2008 kako bi bio najbolji
do sada.
Napravljeno je hiljade izmena u Windows Server-u 2008 u poreenju sa Windows
Server-om 2003. Neke su veoma male, ali neke su veoma velike i znaajne. Ali pitanje
koje svi postavljaju je ta to Windows Server 2008 nudi da vredi nadgraditi na njega?
Odgovor na ovo pitanje e biti glavna tema ove serije kratkih lanaka.
Postoji suvie mnogo izmena i poboljanja u Windows Server-u 2008 da bi mogla sva da
se pokriju u jednom lanku, zato emo izlaganje podeliti na nekoliko kraih lanaka. U
ovim lancima fokusiraemo se samo na funkcije i mogunosti za koje mi mislimo da su
one zbog kojih vredi nadgraditi na Windows Server 2008.
Mnogi e pomisliti da sam izostavio neke vane stvari u ovom opisu mogunosti
Windows Server-a 2008 i bie u pravu, jer nisu svima bitne iste stvari. Zato u ja ovde
govoriti samo o velikim izmenama za koje se ja nadam da e usreiti veinu korisnika.
Sledi lista novosti i pobljanja kojima emo se baviti u ovim lancima o Windows
Server-u 2008 jer mislimo da e one biti najzaslunije za prelazak korisnika sa Windows
Server-a 2003 na Windows Server 2008.
Server Manager i Advanced Event Viewer
Server Core
Terminal Services Gateway
Terminal Services RemoteApps
Izvorna podrka za IPv6
Read Only kontroleri domena
Hyper-V
Network Access Protection (NAP)
Secure Sockets Tunneling Protocol (SSTP)
Windows Advanced Firewall QoS zasnovan na polisama





















Server Manager i napredni Event Viewer
Windows Server 2008 poseduje potpuno novi interfejs za upravljanje poznat pod imenom
Server Manager. Server Manager je jedino mesto koje e vam trebati za konfigurisanje,
upravljanje i praenje servera. On nije kao menaderi servera koje ste koristili u prolosti;
ovaj stvarno radi i njega ete definitivno koristiti svaki dan za upravljanje Windows
Server 2008 raunarima.
U Server Manager, vi moete da instalirate Server Roles-ove (kao to je DNS, DHCP,
Active Directory) i Role servise (kao to je Terminal Services Gateway i RRAS). Kada
instalirate Server Roles-ove (serverske uloge) i Role Services-e (servise uloga), MMC
konzole za ove servise se instaliraju u Server Manager-u. Vie ne treba da kreirate
sopstvene MMC-ove!
Server Manager takoe moe da se pohvali sa novim Event Viewer-om. Ovo nije Event
Viewer vaeg oca koji poseduje samo System, Security i Application nodove. Windows
Server 2008 Event Viewer vam obezbeuje logove dogaaja koje moete da koristite. Tu
su standardni Windows Event Log-ovi: Application, Security i System. Ali sada imate
mogunost da vidite dogaaje za sve aplikacije i servise instalirane na raunaru. Pored
toga, vi moete da kreirate Custom View-ove Event Log-ova, tako da moete da kreirate
sopstvene kontejnere za dogaaje na osnovu filtera koje izaberete.
Jedna od novih Event Log funkcija koja mi se svia je mogunost da se prijavite za
dogaaje na drugim mainama u mrei. To vam omoguuje da skupljate Event Log
podatke sa drugih maina, na osnovu filtera koje ste obezbedili. Na taj nain, vi moete
da konfiguriete filtere za kritine dogaaje na najvanijim serverima u vaoj mrei. Iako
mu nedostaje prefinjenost kompletnog reenja za nadgledanje kao to je System Center
Operations Manager, ovo je veoma dobro reenje za nadgledanje za one kompanije koje
ne ele da plate za mogunosti koje nudi SCOM.








Server Core
Windows Server 2008 moe da se instalira na dva naina: kompletna instalacija full ili
samo jezgro servera. Server Core instalacija instalira podset binarnih fajlova koji su
neophodni da bi jezgro operativnog sistema radilo. Nikakvi opcioni servisi se ne
instaliraju niti se aktiviraju. Nema korisnikog interfejsa osim komandne linije. Nema
koljke Windows Explorer-a i celokupna konfiguracija mora da se uradi lokalno u
komandnoj liniji, ili udaljeno pomou MMC konzole ili nove Windows Remote Shell
(WinRS) aplikacije za udaljeno upravljanje (slino SSH-u).
Cilj jezgra servera nije da bude tei za upravljanje (mada upravljanje jeste tee u
odreenom stepenu jer se mnogi zadaci moraju obavljati iz komandne linije i ne mogu da
se urade udaljeno preko MMC konzole). Pravi cilj Server Core-e je da se redukuje
povrina za napad i da se smanji broj auriranja servera. Poto veina bezbednosnih
auriranja Windows-a obino ukljuuje servise i aplikacije koje ni ne koristite (kao to je
Windows Media Player ili Internet Explorer) na serveru, vi onda ni ne morate da
aurirate ove komponente. A zahvaljujui znatno smanjenom broju servisa i aplikacija
koji rade na jezgru servera, povrina koja moe da se napadne je znaajno smanjena.
Jezgro servera pokree ogranieni broj uloga servera (Server Roles), to znai da morate
da se postarate da je uloga servera koja vas interesuje podrana od strane instalacije
jezgra servera. Takoe, neke od uloga servera nisu u celosti podrane, kao to je Web
Server uloga. Server Core ne podrava .NET upravljani kod, i zbog toga neete moi da
koristite IIS konzolu kao udaljeni MMC. Ovo izaziva ozbiljne upravljake glavobolje
zato to IIS konfiguracija na maini jezgra servera mora da se uradi u komandnoj liniji
pomou appcmd.exe-e. Ako ste administrator Apache-a, biete jako sretni. Ako ste
povremeni administrator IIS-a, verovatno ete eleti da priekate na unapreenja u radu
sa jezgrom servera.
Server Core je definitivno korak u dobrom smeru. Meutim, u ovom trenutku treba ga
posmatrati kao 1.0 izdanje. Sigurni smo da je cilj Server Core-a da se smanji povrina za
napade i smanji potreba za auriranjem, a ne da se njime teko upravlja. Oekujemo da e
sledea auriranja Windows Server-a 2008 omoguiti lake auriranje i tako ispuniti
svaija oekivanja.






Terminal Services Gateway
Jedna od prepreka za potpuno anagaovanje Terminal Services za udaljeni pristup
korisnika je bila injenica da veliki broj administratora nije imao poverenja u sekvencu
autentifikacije i nivo ifrovanja RDP tunela. Drugi problem na koji su naili je injenica
da veliki broj firewall-ova na udaljenim lokacijama nisu dozvoljavali izlazni TCP 3389.
Microsoft je reio ovaj problem tako to je predstavio Terminal Services Gateway u
Windows Server-u 2008.
Terminal Services Gateway je tip SSL VPN-a, na isti nain na koji je RPC/HTTP za
Outlook-ov pristup ka Exchange Server-u SSL VPN. SSL VPN tip je onaj od proksija
protokola aplikacije. Terminal Services Gateway radi sa RDP 6.0+ klijentom kako bi
omoguio inkapsulirane RDP konekcije ka TS Gateway raunarima.
RDP klijent u stvari inkapsulira RDP protokol u dva druga protokola. Prvo, RDP
protokol se inkapsulira u RPC zaglavlje, a onda se inkapsulira drugi put pomou
ifrovanog HTTP zaglavlja (SSL). Protokol koji se koristi za konektovanje sa TS
Gateway-om je u stvari RDP/RPC/HTTP. Microsoft je najverovatnije ovo uradio kako bi
mogao da koristi postojei RPC/HTTP kod koji su ve imali za svoj RPC/HTTP proksi.
Kada konekcija stigne do TS Gateway maine, TS Gateway uklanja RPC i HTTP
zaglavlja i prosleuje RDP konekcije ka odgovarajuem Terminal Server ili Remote
Desktop raunaru.
Connection Authorization Policy ili CAP-ovi se koriste da se odredi koji korisnici mogu
da pristupe resursima kroz ovaj TS Gateway raunar. Windows Server 2008 poseduje
konfiguracioni interfejs za povezivanje sertifikata sa TS Gateway sajtom kako bi bile
omoguene bezbedne SSL konekcije.
Terminal Services Gateway takoe podrava Smart Card autentifikaciju a vi takoe imate
opciju da uvedete NAP klijentsku kontrolu pristupa. Terminal Services Gateway je
definitivno jedan od glavnih razloga da nadgradite na Windows Server 2008.







Terminal Services RemoteApps
Cilj svakog administratora zaduenog za bezbednost je da svaki korisnik ima to je
mogue manje privilegija. To posebno vai za ostvarivanje konekcija na daljinu.
Administratori zadueni za bezbednost ne mogu nou da spavaju razmiljajui o
obezbeivanju potpune udaljene desktop konekcije korisnicima koji nisu administratori.
Sve to je potrebno da bi neki haker stekao potpunu kontrolu nad desktop okruenjem i
kompromitovao vau mreu je otkrivanje korisnikog imena i lozinke jednog korisnika.
To je zastraujua pomisao.
Ali zar korisnicima stvarno treba potpuni pristup desktopu? Ili im treba samo pristup
aplikacijama na desktopu? Najverovatnije im treba samo pristup aplikacijama i
podacima. U tom sluaju, Windows Server 2008 vam obezbeuje reenje koje se zove
Terminal Services RemoteApp. Terminal Services RemoteApp vam omoguava da
obezbedite korisnicima pristup samo ka specifinim aplikacijama preko RDP kanala. Na
taj nain, korisnici ne mogu da izazovu probleme na itavom desktopu, a ako neki haker
otkrije podatke datog korisnika, sve to e moi da kontrolie je aplikacija, koja ima
mnogo manju povrinu koja se moe napasti nego celokupan desktop.
TS RemoteApps je veoma fleksibilan. Vi moete da kontroliete kojim aplikacijama
korisnik moe da pristupi i kako e im pristupati preko svojih sopstvenih raunara. TS
Remote Apps zajedno sa TS Gateway-om ine Windows Server 2008 Terminal Server
veoma privlanim za kompanije koje su zainteresovane za bezbedno RDP zasnovano
reenje za udaljeni pristup.
Pored toga, aktiviranje i podeavanje TS RemoteApps-a je veoma lako i trebae vam
samo nekoliko minuta.
Pa ta biste jo mogli da poelite pored ovoga?!








Izvorna podrka za IPv6
Windows Server 2008 je prva verzija Windows Server-a koja ima izvornu podrku za
IPv6 kao deo IP steka. U prethodnim verzijama Windows-a pre Viste, IPv6 podrka je
bila raena paralelno sa IPv4, i nije postojala integrisana podrka za IPv6 koja bi bila
ukljuena u mreu infrastukture servisa kao to je DNS i DHCP. To vie nije sluaj i sada
je IPv6 utkan u mreni stek Windows Server-a 2008 i servise infrastrukture.
Poto Windows Server 2008 DNS sada podrava IPv6, vi moete da kreirate Quad A
(AAAA) izvetaje a moete da kreirate i IPv6 reverse lookup zone.
DHCP servis je takoe auriran tako da podrava IPv6. Vi moete da konfiguriete
mrene interfejse da koriste statine IPv6 adrese, ili mogu da koriste DHCP kako bi
pribavile informacije o IP adresama.
Windows Server 2008 RRAS serveri koji se ponaaju kao ruteri mogu da se konfiguriu
kao IPv6 ruteri i obezbeuju informacije u porukama rutiranja u zavisnosti od toga kojeg
su prefiksa informacije koje koristi klijent, i da li treba ili ne treba da koriste informacije
adresiranja od DHCP servera.
Windows Server 2008 takoe podrava IPv6 tranzicione tehnologije, kao to su ISATAP,
6to4 i Teredo. Bilo koji Windows Server 2008 raunar moe da se konfigurie kao
ISATAP ruter pomou Netsh interfejsa komandne linije.






















Read Only Domain Controller
Sa razvojem kancelarijskih ogranaka u mnogim organizacijama, mnogi su shvatili da
postoji problem vezan za autentifikaciju. Ogranci firmi obino dobijaju kontroler domena
preko kojeg se korisnici mogu autentifikovati u lokalnom DC-u umesto da moraju da idu
na spori, ili ak srueni, WAN link, koji moe da dovede do greaka ili blokiranja
autentifikacije i nemogunosti da pristupite ak i lokalnim resursima.
Reenje je bilo da se postave kontroleri domena u kancelarijskim ograncima. Iako je ovo
reilo inicijalni problem autentifikacije, javili su se bezbednsoni problemi. Poto veina
ogranaka kancelarija nema isti nivo IT strunosti kao glavna kancelarija, a svakako
nemaju isti nivo fizike bezbednosti, kontroleri domena ogranaka kancelarija postaju
veoma slabe take u itavoj Active Directory infrastrukturi. Promene koje napravi
nestruan korisnik u ogranku kancelarija moe da ima efekte na itavu organizaciju i ako
neko ukrade DC u ogranku kancelarije, to potencijalno moe da kompromituje sve naloge
u organizaciji.
Reenje Windows Server-a 2008 je Read Only Domain Controller (RODC). RODC
sadri read only kopiju Active Directory baze podataka i jedine informacije o nalozima
koje se skladite u RODC-u su za naloge u ogranku kancelarije. Poto se nikakve izmene
u Active Directory-ju ne mogu napraviti u RODC-u, ne postoji bojazan da e nestruni
korisnik napraviti nepopravljivu tetu u Active Directory-u. I poto obino nema
administrativnih korisnika u ograncima kancelarija, postoji relativno mali rizik da e
RODC u ograncima kancelarija posedovati naloge administratora koji se mogu
kompromitovati u sluaju krae RODC-a.
RODC-ovi se takoe mogu konfigurisati da keiraju samo odreene naloge. I u sluaju da
se RODC ukrade, lista keiranih korisnikih naloga na RODC-u je dostupna kroz
administraciju Active Directory-ja u glavnoj kancelariji. To omoguuje administratoru
Active Directory-ja da iskljui ili resetuje prava pristupa ovih naloga iz glavne
kancelarije.







Hyper-V
Hyper-V je hipervizor Windows Server-a 2008 koji vam omoguuje da pokreete
virtualne maine na Windows Server 2008 raunarima. Hyper-V zamenjuje Virtual
Server 2005 i sada je integralni deo operativnog sistema, koji dobijate kao deo paketa.
Krajnji delovi Hyper-V-a nisu jo dostupni, zato emo se u ovom trenutku uzdrati od
konanih zakljuaka vezanih za Hyper-V. Ali, sudei po onome to smo do sada videli,
mi smo veoma impresionirani onim to su uradili sa virtualizacijom Windows Server-a
2008.
Ako traite reenje za virtualizaciju koje vas nee kotati ni dinara, onda treba samo da
nadgradite raunar na Windows Server 2008 i neete pogreiti.
















Network Access Protection (NAP)
Network Access Protection vam omoguuje da kontroliete pristup sa svih raunara koji
su konektovani u vau mreu. Prema Microsoft-u, Network Access Protection (NAP) nije
toliko bezbednosna metodologija koliko je mehanizam namenjen ouvanju zdravlja
klijenta. NAP vam omoguuje da kreirate polise koje odreuju minimalni nivo zdravlja
koji klijent mora da ima pre nego to mu se dozvoli da se konektuje na drugi naraunar u
mrei.
NAP zavisi od infrastrukture Windows Server-a 2008. Trebae vam Windows Server
2008 Network Policy Server za skladitenje vaih polisa zdravlja. Postoji nekoliko naina
na koje moete da kontroliete pristup u mrei: IPsec restrikcije, DHCP restrikcije, 801.x
restrikcije i VPN restrikcije. Hostovima koji ne ispunjavaju zahteve za bezbednom
konfiguracijom se zabranjuje pristup u mree koje koriste bilo koji od ovih metoda.
Meutim, NAP vam dozvoljava da kreirate mree u karantinu na koje klijenti koji ne
ispunjavaju bezbednosne zahteve mogu da se konektuju kako bi se "izleili". im softver
NAP klijenta detektuje da raunar ispunjava bezbednosne zahteve, on e poslati
informaciju komponenti NAP servera koja e informisati NAP klijenta da sada moe da
se konektuje na mreu.
NAP je izuzetno moan metod za kontrolu pristupa u vaoj mrei, i on je ono to smo
ekali od kada je najavljen daleke 2003. godine, i poetkom 2004. Iako ekanje od pet
godina da se NAP pojavi izgleda dugo, mogu slobodno da kaem da se isplatilo.
Administratori velikog broja mrea smatraju da je NAP glavni razlog za nadgranju na
Windows Server 2008.
Teko da postoje ikakvi argumenti pomou kojih bi mogao da opovrgnem miljenje ovih
administratora.
Secure Socket Tunneling Protocol (SSTP) je pravi SSL VPN. Pod terminom pravi SSL
VPN mislim na to da SSTP obezbeuje potpuni mreni VPN pristup ka korporativnim
mreama, na isti nain na koji to obezbeuju PPTP i L2TP/IPSec protokoli. Meutim,
prednost SSTP-a je to to za razliku od PPTP i L2TP/IPSec protokola, vi ne morate da
brinete o firewall-ovima koji blokiraju spoljanji pristup ka SSTP konekcijama.
SSTP je u sutini PPP/SSL. Poto su PPP konekcije ubaene u bezbedno HTTP zaglavlje
(SSL), SSTP moe da proe kroz bilo koji firewall ili Web proksi ureaj koji dozvoljava
SSL ka spolja.
Vie neete morati da reavate probleme korisnika u hotelima i konferencijskim salama
koji se ale na to da im firewall-ovi na njihovim lokacijama ne dozvoljavaju da VPN-uju
u mreu.
Jo jedna lepa stvar u vezi SSTP-a je to to ne morate da dozvolite pristup ka napolje
SSTP konekcijama samo zato to ste dozvolili spoljanje SSL-ove. Postoji vrednost u
CONNECT zaglavlju koje moete da konfiguriete na vaem ISA Firewall-u koje vam
omoguava da blokirate SSTP konekcije i dozvolite ostale SSL konekcije.
SSTP e vam znatno olakati udaljeni pristup ka VPN konekcijama.
Samo ovaj SSTP pristup je dovoljan razlog da nadgradite na Windows Server 2008.




















Windows Advanced Firewall
Windows Vista korisnici e u ovom naslovu prepoznati Windows Advanced Firewall.
Sada u Windows Server-u 2008 dobijate istu onu funkciju koja ve postoji u Visti. Ono
to je jo bolje je da vi sada moete da koristite grupne polise (Group Policy) u Windows
Server 2008 centralizovanom upravljanju sa Windows Advanced Firewall-om. Ako jo
niste koristili Vistin firewall, biete prijatno iznenaeni ovom novom funkcijom
Windows Servera 2008.
Windows Advanced Firewall koji dolazi sa Vistom i Windows Server-om 2008 vam
omoguuje da fino podesite kontrole spoljanjeg i unutranjeg pristupa. Kontrole
spoljanjeg pristupa su bile nedostajui deli u Windows XP firewall-u. Sada vi imate
kontrolu nad spoljanjim konekcijama, tako da ako detektujete u vaem firewall-u da su
hostovi inficirani virusima ili crvima koji napadaju odreene portove ili kolekcije
portova, vi moete iz centra da blokirate svakog hosta zahvaljujui grupnim polisama.
Da bi vam rad sa novom funkcijom bio jo laki, Windows Server 2008 dolazi sa novim
Inbound Rule Wizard-om. Ovaj arobnjak, kojeg moete da koristite preko Group Policy
Management konzole, vam omoguuje da veoma lako konfiguriete unutranja pravila.
Postoji i Outbound Rule Wizard koji vam omoguuje da blokirate spoljanje konekcije.
Vi moete da kontroliete UDP ili TCP portove, kao i ICMP tipove poruka, ili moete da
blokirate aplikaciju po aplikaciju.
Jedna od najimpresivnijih karakteristika Windows Firewall-a je to koliko su
pojednostavljene IPsec polise. U prolosti, podeavanje IPsec polisa se svodilo na
pokuaje i pogreke. Vi ste prolazili kroz opcije arobnjaka i mogli ste samo da se nadate
da ste sve dobro podesili.
To vie nije sluaj sa Windows Advanced Firewall-om, jer sada imate na raspolaganju
New Connection Security Rule Wizard-a, koji omoguava lako kreiranje IPsec polisa za
izolovanje domena, polise za izuzetke od autentifikacije, kao i IPsec konekcije i IPsec
tunele od servera do servera.
Tako je Windows Advanced Firewall promenio nain definisanja IPsec polisa iz posla
koji vas uasava u neto to ete voleti da radite.
Isprobajte ovu novu funkciju, siguran sam da e vam se svideti.




Secure Socket Tunneling Protocol (SSTP)
Jo jedno veliko unapreenje u Windows Server-u 2008 je centralizovano upravljanje
QoS polisama kroz grupne polise (Group Policy). Prethodne verzije Windows-a su
posedovale QoS funkciju, ali poto ona nije bila zasnovana na standardima, jako malo
ljudi je uopte koristilo. Windows Server 2008 je ovo promenio tako to je uveo novu
QoS funkciju koja je zasnovana na polisama, koju ete moi odmah da ponete da
koristite.
Postoje dva naina na koje moete da implementirate QoS polise moete da tvrdo
kodirate throughput vrednosti ili moete da iskoristite Differentiated Services Code Point
(DSCP) vrednosti koje su konfigurisane na vaem mrenom ruteru. DSCP je standardni
industrijski metod za implementiranje QoS-a u korporativnim mreama. Meutim, ak i
ako nemate DSCP osposobljeni ruter, ili ak i ako ne koristite DSCP, vi i dalje moete da
podesite polise tako da lokalni hostovi sprovode kontrolu protoka u TCP ili UDP
portovima, ili u specifinim aplikacijama.
Vi moete da izaberete na koje hostove e ova polisa biti primenjena. Na primer, moda
neete eleti da smanjite protok na vaem SMTP serveru, ali ete moda eleti da
ograniite SMTP saobraaj hostova u vaoj mrei. Na taj nain, moete da kontroliete
koliko e spemom inficiran raunar moi da poalje podataka pre nego to ustanovite da
se maina eksploatie.












Zakljuak
Windows Sever 2008 sadri stotine novih mogunosti i funkcija, i svaka od njih moe da
predstavlja vrednu nadgradnju za vau organizaciju. U ovim lancima mi smo se
fokusirali samo na manji deo novih i pobojanih funkcija za koje mi mislimo da su one
zbog kojih najvie vredi da nadgradite na Windows Server 2008.
Za jo vie informacija o Windows Server-u 2008 i kompletnijem listingu novih i
poboljanih funkcija, idite na Windows Server 2008 Technical Library.