Professional Documents
Culture Documents
Windows
Server 2019
dla profesjonalistów
Tak stworzysz najnowocześniejsze centrum obliczeniowe!
Jordan Krause
Tytuł oryginału: Mastering Windows Server 2019: The complete guide for IT professionals
to install and manage Windows Server 2019 and deploy new capabilities,
2nd Edition
ISBN: 978-83-283-6486-8
All rights reserved. No part of this book may be reproduced or transmitted in any form or by
any means, electronic or mechanical, including photocopying, recording or by any information
storage retrieval system, without permission from the Publisher.
Autor oraz Helion SA dołożyli wszelkich starań, by zawarte w tej książce informacje były
kompletne i rzetelne. Nie biorą jednak żadnej odpowiedzialności ani za ich wykorzystanie,
ani za związane z tym ewentualne naruszenie praw patentowych lub autorskich.
Autor oraz Helion SA nie ponoszą również żadnej odpowiedzialności za ewentualne
szkody wynikłe z wykorzystania informacji zawartych w książce.
Helion SA
ul. Kościuszki 1c, 44-100 Gliwice
tel. 32 231 22 19, 32 230 98 63
e-mail: helion@helion.pl
WWW: http://helion.pl (księgarnia internetowa, katalog książek)
Drogi Czytelniku!
Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres
http://helion.pl/user/opinie/ws19pr_ebook
Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję.
O autorze 11
O recenzentach 12
Przedmowa 13
4
Spis treści
5
Spis treści
6
Spis treści
7
Spis treści
8
Spis treści
9
Spis treści
10
O autorze
Jordan Krause został sześciokrotnie nagrodzony tytułem MVP nadawanym przez firmę
Microsoft — najnowsza nominacja dotyczy kategorii zarządzania chmurą i centrami danych.
Autor ma wyjątkową okazję zajmować się sieciami Microsoft i technologiami zdalnego dostępu
w swojej codziennej pracy. Specjalizuje się w technologiach Microsoft DirectAccess i Always On
VPN. Ciągle poszerza swoją wiedzę i posiada następujące certyfikaty firmy Microsoft: MCP,
MCTS, MCSA i MCITP Enterprise Administrator. Regularnie publikuje artykuły o swoich
doświadczeniach z tymi technologiami. Jordan mieszka w pięknej, zachodniej części stanu Mi-
chigan (USA), jednakże codziennie współpracuje z firmami z całego świata.
Rozwijanie mikrousług w Pythonie
O recenzentach
Anderson Patricio to kanadyjski posiadacz tytułu MVP firmy Microsoft i konsultant IT pracujący
w Toronto. Specjalizuje się w systemach Microsoft Exchange, Skype for Business, Azure,
System Center i Active Directory. Anderson jest aktywnym członkiem społeczności Exchange
i uczestniczy w forach oraz tworzy blogi, artykuły, a także filmy wideo. Jego strona internetowa,
dostępna w języku portugalskim, zawiera tysiące samouczków związanych z produktami firmy
Microsoft, które pomagają lokalnej społeczności, a także wykłady prowadzone na konferencjach
TechED w Ameryce Południowej i szkolenia w akademii MVA.
12
Przedmowa
Nie jestem do końca pewien, jak i kiedy to się wydarzyło, ale mamy już prawie 2020 rok!
Faktycznie jakaś część mojej osoby naprawdę żałuje, że Microsoft nie chciał poczekać z wyda-
niem nowej wersji systemu Windows Server, abyśmy mogli je nazwać Server 2020. Niestety,
będziemy musieli się zadowolić znacznie mniej egzotycznym brzmieniem Server 2019. Jak
wspaniale jest patrzeć wstecz i zastanawiać się nad wszystkimi wielkimi zmianami, które doko-
nały się w obszarze technologii w ciągu ostatnich 20 lat. W pewnym sensie wydaje się, że
problem roku 2000 (Y2K) właśnie miał miejsce i wszyscy bardzo starali się, aby aplikacje
oparte na systemie DOS i zielonych ekranach były przygotowane do obsługi czterocyfrowych
zakresów dat. Trudno nam obecnie uwierzyć, że systemy informatyczne mogły zostać stwo-
rzone w tak krótkowzroczny sposób. Czy nie braliśmy pod uwagę tego, że świat dożyje 2000
roku? Dziś budujemy technologię opartą na zupełnie odmiennych celach i perspektywie.
Wszystko jest scentralizowane, redundantne, globalne i oparte na chmurze. Użytkownicy ocze-
kują 100% bezawaryjnego dostępu do systemów bez względu na to, gdzie się znajdują i jakie
urządzenia wykorzystują. Świat się naprawdę zmienił.
W ciągu ostatnich kilku lat zaczęliśmy używać programowalnej mocy obliczeniowej (ang. So-
ftware-Defined Computing) ,wykorzystując technologię wirtualizacji do przekształcenia obciąże-
nia serwera w warstwę oprogramowania. Firma Microsoft rozwija ten pomysł, wprowadzając
nowe definicje, takie jak programowalna sieć komputerowa (ang. Software-Defined Networking),
a nawet programowalne centrum danych (ang. Software-Defined Data Center). Technologie,
które umożliwiają realizację tych definicji, pozwalają wirtualizować i udostępniać zasoby na
wielką skalę.
Poświęćmy trochę czasu na zapoznanie się z funkcjami najnowszej wersji serwerowego systemu
operacyjnego, który w nadchodzących latach będzie obsługiwał tak wiele infrastruktur bizneso-
wych. Serwery Windows od ponad dwóch dekad dominują w przestrzeniach naszych centrów
danych. Czy ta najnowsza wersja w postaci Windows Server 2019 będzie kontynuowała ten
trend?
14
Przedmowa
Opis rozdziałów
Rozdział 1., „Pierwsze kroki w systemie Windows Server 2019”, zawiera wprowadzenie do
systemu operacyjnego oraz przegląd nowych technologii i możliwości, które może on zapewnić.
Poświęcimy również trochę czasu na przeanalizowanie unowocześnionego interfejsu — będzie
to przydatne dla tych osób, które jeszcze nie obsługują go w pełni komfortowo.
Rozdział 2., „Instalowanie i zarządzanie systemem Windows Server 2019”, omawia pierwszą
czynność, którą musimy wykonać podczas pracy z systemem Server 2019 — należy go zainsta-
lować! Choć wydaje się to prostym zadaniem, istnieje wiele parametrów dotyczących wersji
i licencji, które należy zrozumieć przed przystąpieniem do instalacji. Od tej pory zaczniesz
poznawać scentralizowaną procedurę obsługi środowisk firmy Microsoft, analizując sposoby,
dzięki którym można zarządzać serwerami i wchodzić z nimi w interakcje bez konieczności
logowania się do nich.
Rozdział 3., „Podstawowe usługi infrastrukturalne”, pozwala uzyskać podstawową wiedzę w za-
kresie technologii, która tworzy infrastrukturę dowolnej sieci zorientowanej na produkty
firmy Microsoft. Omówimy wielką trójkę — usługę katalogową Active Directory (AD), system
nazw domen (Domain Name System — DNS) i protokół dynamicznego konfigurowania ho-
stów (Dynamic Host Configuration Protocol — DHCP), a także zajmiemy się niektórymi
możliwościami tworzenia kopii zapasowych serwerów oraz zaprezentujemy skróty przydatne
podczas obsługi konsoli zarządzania (Microsoft Management Console — MMC) i konfiguracji
systemu (Microsoft Configuration — MSC).
Rozdział 4., „Certyfikaty w systemie Windows Server 2019”, analizuje jeden z elementów
systemu Windows Server, z którym większość spotykanych przeze mnie administratorów nie
jest zaznajomiona, mimo że istnieje od wielu lat. Przyjrzyjmy się bliżej certyfikatom, ponieważ
stają się one coraz częściej wymagane w nowych technologiach, które wdrażamy. Pod koniec
tego rozdziału powinieneś być w stanie stworzyć własną infrastrukturę klucza publicznego (PKI)
i zacząć wydawanie certyfikatów za darmo!
Rozdział 5., „Obsługa sieci w Windows Server 2019”, rozpoczyna się od wprowadzenia do
skomplikowanego i przerażającego protokołu IPv6, a następnie prezentuje zestaw narzędzi,
które są wbudowane w Windows Server 2019 i mogą być używane w codziennych zadaniach
związanych z zarządzaniem siecią komputerową. W tym rozdziale omówimy również sieci
programowalne.
Rozdział 6., „Użycie opcji zdalnego dostępu”, omawia różne technologie zdalnego dostępu,
które są wbudowane w Windows Server 2019. Prezentujemy w nim możliwości, które zapewnia
wirtualna sieć prywatna (VPN), DirectAccess, Web Application Proxy oraz zupełnie nowa usługa
Always On VPN.
15
Windows Server 2019 dla profesjonalistów
Rozdział 7., „Hardening i bezpieczeństwo”, daje pewien wgląd w funkcje bezpieczeństwa i szy-
frowania, które są wbudowane w Windows Server 2019. W tym roku bezpieczeństwo jest na
całym świecie priorytetem dla osób odpowiedzialnych za zarządzanie systemami informatycz-
nymi, więc sprawdźmy, jakie mechanizmy ochrony są dostępne.
Rozdział 8., „Server Core”, wprowadza w świat serwerów bezobsługowych o coraz mniejszych
rozmiarach. Server Core przez wiele lat nie był zbyt zauważalny, jednak należy się z nim
zapoznać, ponieważ w naszej infrastrukturze wprowadzamy nowy poziom świadomego bezpie-
czeństwa. Upewnijmy się, że będziesz mieć wiadomości niezbędne do poprawy bezpieczeństwa
i wydajności w swoim środowisku przy jednoczesnym zmniejszeniu ilości miejsca i zasobów
zużywanych przez serwery.
Rozdział 9., „Redundancja w systemie Windows Server 2019”, prezentuje wybrane platformy
dostępne w systemie Server 2019, które zapewniają wydajną redundancję danych i obliczeń.
Zapoznaj się z równoważeniem obciążenia sieciowego, klastrami pracy awaryjnej oraz zaktuali-
zowaną funkcją Spaces Storage Direct.
Rozdział 10., „PowerShell”, wprowadza w nowy, niebieski interfejs wiersza poleceń, abyś mógł
z niego swobodnie korzystać, a także dowiedzieć się, dlaczego jest on o wiele potężniejszy
niż standardowy wiersz poleceń. PowerShell szybko staje się niezbędnym narzędziem słu-
żącym do administrowania serwerami, szczególnie w przypadkach, gdy stosujesz scentrali-
zowane podejście do zarządzania.
Rozdział 11., „Kontenery i Nano Server”, omawia otwarte oprogramowanie i system Linux
w książce o produkcie firmy Microsoft! Pojemniki z aplikacjami szybko stają się nowym standar-
dem dla hostingu nowoczesnych, skalowalnych rozwiązań. Dowiedz się, jak zwiększyć swoje
doświadczenie inżyniera DevOps za pomocą narzędzi takich, jak Windows Server Containers,
Hyper-V Containers, Docker i Kubernetes.
Rozdział 12., „Wirtualizacja centrum danych za pomocą hiperwizora Hyper-V”, omawia temat,
który każdy administrator serwera powinien znać. Organizacje od wielu lat migrują w dużych
ilościach swoje serwery na maszyny wirtualne. Skorzystaj z tego rozdziału, aby się upewnić,
że rozumiesz, jak działa hiperwizor Hyper-V, a także by zapewnić zasoby niezbędne do zbudo-
wania go i zarządzania nim, jeśli zajdzie taka potrzeba.
16
Przedmowa
Przeanalizujemy również wybrane elementy, które nie są zawarte w samym systemie Server 2019,
ale służą do rozszerzenia jego możliwości i funkcjonalności. Niektóre z tych elementów pozwa-
lają na połączenie ze środowiskiem Azure Cloud, a inne są dostarczane przez firmy zewnętrzne
— przykładowo w systemie Server 2019 można używać środowisk Docker i Kubernetes do
interakcji z kontenerami aplikacji. Nie musisz wykorzystywać tych narzędzi, aby zarządzać
nowym środowiskiem Windows Server 2019, ale pozwalają one na dostęp do kilku całkiem
ciekawych funkcji, z którymi, jak sądzę, będziesz się chciał zapoznać.
KodWTekście: oznacza fragmenty kodu w tekście oraz dane wprowadzane i wyświetlane w wier-
szu poleceń. Oto przykład: „Możesz wyświetlić nazwę serwera z użyciem polecenia hostname”.
Każda informacja wprowadzana lub wyświetlana w wierszu poleceń jest prezentowana w nastę-
pujący sposób:
Uninstall-WindowsFeature -Name Windows-Defender
CzcionkaPogrubiona: wskazuje nowe pojęcie lub ważne słowo. Przykład: „Windows Admin
Center jest platformą służącą do zarządzania serwerem i klientem”.
W ten sposób oznaczone są ostrzeżenia, ważne uwagi, wskazówki i opisy przydatnych sztuczek.
17
Windows Server 2019 dla profesjonalistów
18
1
Pierwsze kroki
w systemie Windows
Server 2019
Około 10 lat temu firma Microsoft zmieniła metodę publikowania systemów operacyjnych.
Polega ona obecnie na tym, że najnowsza wersja systemu Windows Server jest zawsze bardzo
podobna do najnowszego systemu operacyjnego klienta Windows. Ten sposób publikacji stał
się już standardem, ponieważ Server 2008 R2 ściśle odzwierciedla Windows 7, Server 2012
wygląda podobnie jak Windows 8, a wiele funkcji, które były dostarczane z aktualizacją
Windows 8.1, jest też zawartych w systemie Server 2012 R2. Zastosowano tę metodę także
w przypadku systemu Server 2016, ponieważ używając go, odnosisz wrażenie, jakbyś był
zalogowany na stacji roboczej z systemem Windows 10.
Gdy znamy interfejs systemu Windows 10 i umiemy go dobrze obsługiwać, zwykle nie ma-
my problemów z przejściem do interfejsu systemu Server 2016 i przetestowaniem go. Także
Windows Server 2019 nie jest wyjątkiem od tej reguły, z wyjątkiem tego, że sposób wersjo-
nowania systemów operacyjnych po stronie klienta nieco się zmienił. Zamiast publikować
nowe wersje systemu Windows (11, 12, 13 itd.), Microsoft na razie po prostu wciąż oferuje
Windows 10 i nadaje mu numery wersji podrzędnych wskazujące daty ich wydania. Na przykład
wersja systemu Windows 10 1703 została opublikowana w marcu 2017 roku, a wersja systemu
Windows 10 1709 — we wrześniu 2017 roku. Później mieliśmy również wersje 1803 i 1809,
chociaż wersja 1809 była nieco opóźniona i nie została opublikowana przed listopadem, jed-
nakże pierwotny plan nie przewidywał takiego problemu. Obecnie nowe wersje systemu
operacyjnego Windows pojawiają się co mniej więcej pół roku, ale oczekiwanie od działów IT,
by uaktualniały i przenosiły wszystkie serwery tylko w celu zainstalowania systemu opera-
cyjnego nowszego jedynie o 6 miesięcy, jest zupełnie nierealne — czasami samo zaplanowa-
nie migracji wymaga więcej czasu.
Windows Server 2019 dla profesjonalistów
W obecnych czasach wszystko dotyczy danych biznesowych. Nasz e-mail, dokumenty, bazy
danych, listy klientów — wszystko, czego potrzebujemy do dobrego prowadzenia biznesu,
to dane. Są one dla nas kluczowe. Serwery są tym, czego używamy do budowania zaufanej
struktury, która będzie przechowywać nasze dane.
20
Rozdział 1. • Pierwsze kroki w systemie Windows Server 2019
dodany do domeny musi Cię uwierzytelnić jako użytkownika, kontaktuje się z usługą Active
Directory na serwerze, aby zweryfikować poświadczenia i uzyskać token uwierzytelnienia.
Gdy musisz skontaktować się z zasobem według jego nazwy, komputer pyta serwer DNS,
jak się do niego dostać. Jeśli musisz otworzyć plik, prosisz serwer plików, aby wysłał go do
Ciebie zgodnie ze swoim protokołem.
Serwery zostały zaprojektowane tak, aby wspomagały naszą pracę i często funkcjonowały w spo-
sób niezauważalny dla użytkownika. W ostatnich latach podjęto szeroko zakrojone działania,
aby zapewnić, że zasoby będą zawsze dostępne w sposób niewymagający szkolenia ani podej-
mowania dużego wysiłku ze strony naszych pracowników.
W tej książce będziemy oczywiście omawiać infrastrukturę firmy Microsoft. W tego typu
środowiskach system operacyjny Windows Server jest najważniejszy i występuje we wszyst-
kich aspektach technologii. Istnieją alternatywy dla systemu Windows Server, a także różne
produkty, które mogą zapewnić organizacji część funkcjonalności, ale dość rzadko można
spotkać środowisko biznesowe, które działa bez jakiejkolwiek infrastruktury firmy Microsoft.
Windows Server zawiera niesamowitą ilość technologii, które są spakowane w jednym małym
dysku instalacyjnym. W przypadku systemu Windows Server 2019 firma Microsoft zdefinio-
wała, co to znaczy być serwerem, i dlatego zaoferowano kilka nowych, ekscytujących funkcji,
o których opowiem w tej książce. Składniki takie, jak PowerShell, Windows Admin Center
i Storage Spaces Direct, zmieniają sposób, w jaki zarządzamy swoimi środowiskami kompu-
terowymi i je modyfikujemy. Dla administratorów serwerów to ekscytujący czas!
21
Windows Server 2019 dla profesjonalistów
Weź pod uwagę przykładową prostą stronę internetową związaną z handlem elektronicz-
nym, którą konsument może odwiedzić w celu wykonania zamówienia. Być może przez 75%
czasu ta strona może być obsługiwana przez jeden serwer WWW o ograniczonych zasobach,
co przekłada się na dość niski koszt usługi. Jednakże przez pozostałe 25% czasu (być może
w okresach świątecznych) wykorzystanie znacznie rośnie, co wymaga znacznie większej mocy
obliczeniowej. W czasach gdy rozwiązania chmurowe jeszcze nie istniały, oznaczałoby to, że
firma musiałaby wciąż dostosowywać swoje środowisko do maksymalnych wymagań, na wy-
padek gdyby kiedykolwiek były one potrzebne. Przez dużą część roku płacono by za większą
liczbę serwerów i znacznie więcej mocy obliczeniowej, niż byłoby to potrzebne. Dzięki infra-
strukturze chmurowej udostępniającej stronie internetowej możliwość zwiększenia lub
zmniejszenia liczby serwerów, które może mieć do dyspozycji w razie potrzeby, całkowity
koszt usługi można drastycznie zmniejszyć. Jest to obecnie główny czynnik powodujący
rozwój zastosowań chmurowych w biznesie.
Chmura publiczna
Przez większość czasu, gdy Twoja sąsiadka Zuzia Wszystkowiedząca opowiada Ci o chmurze,
po prostu ma na myśli internet. Dokładniej rzecz ujmując, mówi o jakiejś usłudze, z której
korzysta i do której łączy się za pomocą internetu. Na przykład Office 365, Dysk Google,
OneDrive, Dropbox — to wszystko są zasoby chmury publicznej, gdyż przechowują dane
w chmurze. W rzeczywistości Twoje dane znajdują się tylko na serwerach, do których uzyskujesz
dostęp przez internet. Ponieważ jednak tych serwerów nie widzisz i nie musisz nimi zarzą-
dzać ani ich obsługiwać, wydaje się, że jest to magia, którą następnie nazywa się chmurą.
Dla działów IT termin „chmura” częściej oznacza jednego z trzech największych dostawców
hostingu w chmurze. Ponieważ jest to książka o produktach firmy Microsoft, uważam (i to moje
prawdziwe przekonanie), że Azure znajduje się w tej kategorii na pierwszym miejscu. Platforma
Azure mogłaby być tematem innej książki (lub wielu innych), ale krótko mówiąc, jest scentrali-
zowaną architekturą obliczeniową w chmurze, która może zarządzać Twoimi danymi, usługami,
a nawet całą siecią serwerów.
Dzięki przeniesieniu centrum danych na platformę Azure przestaniesz martwić się o sprzęt
serwerowy, wymieniać dyski twarde i wykonywać wiele innych czynności. Zamiast kupować
serwery, rozpakowywać je, instalować w szafach, instalować w nich system Windows, a następnie
konfigurować role, których chcesz użyć, wystarczy kliknąć kilka przycisków, aby uruchomić
22
Rozdział 1. • Pierwsze kroki w systemie Windows Server 2019
nowe serwery wirtualne, których wielkość można zmienić w dowolnym momencie. Oprócz tego
ponosisz mniejsze koszty operacyjne tych serwerów — są to miesięczne lub roczne stawki
za uruchamianie systemów w chmurze, a nie duże opłaty za fizyczny sprzęt komputerowy.
Istnieje wielu dostawców usług chmurowych o podobnych możliwościach, jednak wielka trójka
to Azure, Amazon (AWS) i Google. Z punktu widzenia przedsiębiorstwa Azure po prostu po-
zwala mieć ciastko i jednocześnie jeść to ciastko. Nie jestem pewien, czy inne firmy kiedykol-
wiek będą w stanie nadążyć za wszystkimi zmianami i aktualizacjami, które Microsoft stale
wprowadza do infrastruktury platformy Azure.
Chmura prywatna
Chociaż większość osób pracujących obecnie w sektorze IT całkiem dobrze rozumie, co to
znaczy być częścią usługi w chmurze, a wiele z nich rzeczywiście już to realizuje, przedsiębior-
stwom jest wciąż prezentowany termin „chmura prywatna”, który jednak jest często niezrozu-
miały. Na początku uznałem go za głupią sztuczkę marketingową, rażące i niewłaściwe użycie
terminu „chmura”. Traktowałem to po prostu jako próbę dotarcia do tych osób, które ekscytują
modne słowa. Na szczęście się myliłem. Na początku swojego istnienia technologia chmury
prywatnej nie była po prostu jeszcze gotowa, by sprostać oczekiwaniom rozbudzonym przez
jej reklamę.
Czasy jednak się zmieniły. Obecnie całkowicie możliwe jest pobranie infrastruktury, która została
uruchomiona w prawdziwej, publicznej chmurze, i zainstalowanie jej bezpośrednio we własnym
centrum danych. Dzięki temu możesz zapewnić swojej firmie korzyści pracy w chmurze, takie
jak możliwość zwiększania i zmniejszania zasobów, uruchamiania wszystkiego, co zostało zwirtu-
alizowane, a także implementowania wszystkich wskazówek i porad związanych ze środowiskami
chmurowymi, przy jednoczesnym przechowywaniu danych w Twojej lokalizacji, która została
odpowiednio przez Ciebie zabezpieczona. Zapewnienie bezpieczeństwa danych przez firmy
zajmujące się technologiami chmurowymi jest absolutnie jedną z największych przeszkód
we wdrażaniu rozwiązań w prawdziwych chmurach publicznych. Kiedy jednak instalujesz
własną chmurę prywatną, otrzymujesz z obu światów to, co najlepsze, a w szczególności
uniwersalne i bezpieczne środowisko obliczeniowe, wiedząc przy tym, że nadal kontrolujesz
i posiadasz wszystkie swoje dane.
Nie jest to książka o chmurach publicznych czy prywatnych. Wspominam o nich, by przekazać
punkt odniesienia dla niektórych zagadnień omawianych w późniejszych rozdziałach, a także
po to, aby trochę Cię zachęcić do zdobycia wiedzy na temat technologii chmurowej. Będziesz
mógł poznać interfejs Windows Server 2019, związany na wiele różnych sposobów z chmurą,
a także zauważysz, że dużo podstawowych usług systemu Server 2019 jest podobnych (jeśli nie
takich samych) do tych, które stają się dostępne w Microsoft Azure.
Na stronach tej książki nie będziemy omawiać możliwości platformy Azure, ale raczej skoncen-
trujemy się na bardziej tradycyjnym działaniu systemu Windows Server, który będzie wykorzy-
stywany lokalnie. Dzięki natarczywej reklamie technologii chmurowych łatwo jest stracić
zdolność rozsądnego myślenia i zacząć uważać, że wszyscy szybko pobiegną do chmury ze
wszystkimi swoimi potrzebami technologicznymi — jednak jest to po prostu nieprawdą.
23
Windows Server 2019 dla profesjonalistów
Większość firm będzie potrzebować jeszcze przez długi czas wielu lokalnych serwerów; w rze-
czywistości dużo takich przedsiębiorstw może nigdy nie zaufać chmurze i zawsze będzie utrzy-
mywać własne centra danych. Te centra danych będą miały lokalne serwery, które będą wyma-
gały od administratorów zarządzania nimi. To jest właśnie Twoje zadanie.
Datacenter jest natomiast modelem luksusowym. Istnieje kilka ról i funkcji w systemie Windows
Server 2019, które działają tylko z wersją systemu operacyjnego Datacenter i nie są dostęp-
ne w standardzie. Jeśli kiedykolwiek będziesz szukać nowej technologii firmy Microsoft,
której powierzysz odpowiednie zadanie w swoim środowisku, sprawdź wymagania i dowiedz się,
czy będziesz musiał zainstalować serwer w wersji Datacenter. Pamiętaj, że wersja Datacenter
może kosztować znacznie więcej niż Standard, więc zazwyczaj powinieneś jej używać tylko
tam, gdzie będzie rzeczywiście wymagana. Na przykład, jeśli chcesz zarządzać chronionymi
maszynami wirtualnymi lub wykorzystywać funkcjonalność Storage Spaces Direct, będziesz
musiał na serwerach, które będą używać tych technologii, zainstalować wersję Server 2019
Datacenter.
Jedną z największych różnic funkcjonalnych między wersjami Standard i Datacenter jest liczba
maszyn wirtualnych, które mogą one hostować. Wersja 2019 Standard może uruchamiać tylko
dwie maszyny wirtualne w danym momencie, co jest dość dużym ograniczeniem, jeśli
chcesz zbudować serwer Hyper-V. Datacenter pozwala na uruchamianie nieograniczonej liczby
maszyn wirtualnych, co sprawia, że nie trzeba się zastanawiać podczas budowania serwerów
będących hostami wirtualizacji. Wersja Datacenter jest wówczas najlepszym rozwiązaniem.
24
Rozdział 1. • Pierwsze kroki w systemie Windows Server 2019
Desktop Experience
Jest to najczęstszy wybór wśród serwerów Windows na całym świecie. Niezależnie od tego,
czy budujesz system Windows Server 2019 Standard czy Datacenter, możesz wybrać serwer
z graficznym interfejsem użytkownika lub bez niego. Tradycyjny interfejs typu „wskaż i kliknij”
nazywa się Desktop Experience. Pozwala on na wykonywanie połączeń RDP do Twoich serwe-
rów, ma tradycyjny pulpit, a także możliwość korzystania z graficznego menedżera serwera
bezpośrednio z maszyny, do której się zalogowałeś — w sumie jest to najlepszy wybór, jeśli jesteś
niedoświadczonym administratorem serwera.
Jeśli umiesz obsługiwać system Windows 10, powinieneś być w stanie przynajmniej poruszać
się w systemie Windows Server 2019 w wersji Desktop Experience. Jest to wersja systemu Win-
dows Server 2019, na której będziemy się koncentrować przez większość tej książki. Z niej też
będą pochodzić prawie wszystkie zrzuty ekranu.
Server Core
Jak będziesz mógł zauważyć w trakcie procesu instalacji systemu Windows Server 2019, do-
myślną opcją nie jest Desktop Experience. Oznacza to, że wybranie domyślnej ścieżki instalacyj-
nej spowodowałoby umieszczenie w komputerze bezobsługowej wersji systemu Windows
Server, zwanej najczęściej Server Core. Charakter bezobsługowy sprawia, że Server Core
jest szybszy i bardziej wydajny, niż wersja Desktop, co ma sens, ponieważ nie trzeba uruchamiać
całego dodatkowego kodu i zużywać wszystkich niezbędnych zasobów służących do prezento-
wania złożonego interfejsu graficznego.
Niemal wszystko, co chcesz zrealizować w systemie Windows Server, jest dostępne zarówno
w Server Core, jak i Desktop Experience, główne zaś różnice to interfejs i poziom bezpie-
czeństwa. Aby móc korzystać z Server Core, musisz naprawdę sprawnie obsługiwać interfejs
wiersza poleceń (a mianowicie PowerShell), a także powinieneś rozważyć zdalne zarządza-
nie jako niezawodny sposób interakcji z serwerami. Więcej szczegółów na ten temat dowiesz
się w rozdziale 8., „Server Core”.
Oprócz zwiększonej wydajności największą korzyścią z użycia wersji Server Core jest bezpie-
czeństwo. Większość złośliwego oprogramowania, które próbuje zaatakować serwery Windows,
zależy od elementów istniejących w graficznym interfejsie użytkownika Desktop Experience.
Ponieważ te składniki nie działają wewnątrz środowiska Server Core (niestety, nie możesz
się dostać na pulpit, nawet gdybyś chciał), ataki na maszyny z tą wersją systemu są znacznie
mniej skuteczne.
25
Windows Server 2019 dla profesjonalistów
Nano Server
Istnieje też trzecia platforma Windows Server 2019, znana jako Nano Server. To zminiatury-
zowana wersja Windows Server, bezobsługowa jak Server Core, ale wykorzystująca jeszcze
mniej zasobów. Gdy ostatnio uruchamiałem Nano Server, zauważyłem, że zużył on mniej niż
500 MB pamięci na dane pochodzące z całego systemu operacyjnego, co jest naprawdę niesa-
mowitym rezultatem.
W trakcie pisania tego tekstu Nano Server jest już całkiem dobrze związany z technologią
kontenerów. W rzeczywistości uważam, że jedynym sensownym rozwiązaniem pozwalającym na
obsługę wersji Nano Server jest uruchomienie jej jako obrazu w kontenerze. To zagadnienie
omówimy dokładniej w rozdziale 11., „Kontenery i Nano Server”, jednakże już w tej chwili
można śmiało powiedzieć, że jeśli wiesz, czym są kontenery, i jesteś zainteresowany ich użyciem,
na pewno skorzystasz z przedstawionych później informacji o wersji Nano Server. Jeśli nie
zamierzasz pracować z kontenerami, prawdopodobnie nigdy nie uruchomisz serwera Nano
w swoim środowisku.
Jeśli wymiana systemów operacyjnych serwera dwa razy w ciągu roku wydaje Ci się zniechęca-
jącą perspektywą, wiedz, że nie jesteś w tym osamotniony. Na szczęście Microsoft zna ten
problem i zdaje sobie sprawę, że większość administratorów serwerów nie będzie używać
tego modelu w swoich zwykłych serwerach. Wersje SAC systemu Windows Server będą raczej
26
Rozdział 1. • Pierwsze kroki w systemie Windows Server 2019
Windows Server 2019 jest wersją z kanałem obsługi długoterminowej (LTSC). Zasadniczo
wersje LTSC są tym, co zawsze uważaliśmy za tradycyjne wersje systemu operacyjnego
Windows Server. Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Server 2016,
a obecnie Server 2019 są wersjami LTSC. Zmiana polega na tym, że początkowe wersje wydań
LTSC będą teraz wyposażone w mniej elementów, które są jejku, superniesamowite i zupełnie
nowe, ponieważ będziemy otrzymywać wskazówki na temat tych zupełnie nowych składników
w trakcie ich tworzenia i udostępniania w bardziej krótkoterminowych modelach dzięki wyda-
niom SAC. Twoje wydania SAC będą publikowane mniej więcej co 6 miesięcy, a następnie
co 2 lub 3 lata będziemy otrzymywać nowe wydanie LTSC, które będzie zawierać wszystkie
wcześniejsze zmiany dostępne w SAC.
Podczas gdy kanał obsługi półrocznej jest generalnie przeznaczony tylko dla inżynierów
DevOps i kontenerów, serwery działające w trybie LTSC przydają się w zasadzie w każdym
innym przypadku. Jeśli nie chciałbyś instalować kontrolera domeny, serwera certyfikatów
lub serwera plików i następnie wymieniać ich co 6 miesięcy, powinieneś wybrać kanał obsługi
długoterminowej.
Inna główna różnica między zaprezentowanymi powyżej dwoma kanałami polega na tym, że
jeśli chciałbyś korzystać z systemu Windows Server w wersji Desktop Experience (z graficznym
interfejsem służącym do interakcji ze środowiskiem), powinieneś wybrać LTSC. Wersje SAC
systemu Windows Server NIE zawierają opcji Desktop Experience — jesteś ograniczony tylko
do Server Core lub Nano Server.
Dzięki wersjom LTSC systemu Windows Server nadal uzyskujesz ten sam rodzaj wsparcia,
do którego jesteśmy przyzwyczajeni: 5 lat wsparcia podstawowego, a następnie 5 lat dostępnego
wsparcia dodatkowego.
W tej książce będziemy omawiać system Windows Server 2019 w wersji z kanałem obsługi
długoterminowej (LTSC).
27
Windows Server 2019 dla profesjonalistów
Infrastruktura hiperkonwergentna
Gdy napotykasz termin infrastruktura hiperkonwergentna (ang. Hyper-Converged Infra-
structure — HCI), ważne jest, abyś zrozumiał, że nie mówimy o konkretnej technologii istnieją-
cej w środowisku serwera. Infrastruktura hiperkonwergentna jest raczej zbiorem różnych
technologii, które mogą ze sobą współpracować i którymi można zarządzać. Jej celem jest
stworzenie programowalnego centrum danych (ang. Software-Defined Datacenter —
SDDC). HCI jest najczęściej określane jako połączenie funkcji Hyper-V i Storage Spaces
Direct (S2D) w tym samym klastrze serwerów. Klastrowanie tych usług zapewnia duże korzyści
w zakresie szybkości i niezawodności w porównaniu z hostowaniem ich oddzielnie w ich wła-
snych systemach.
Innym komponentem, który jest częścią programowalnego centrum lub jest z nim związany,
jest programowalna sieć komputerowa (ang. Software Defined Networking — SDN). Podobnie
jak wprowadzenie platform do wirtualizacji obliczeń (takich jak Hyper-V) całkowicie zmieniło
sposób przetwarzania danych w serwerach, który jeszcze 10 lat temu wyglądał zupełnie inaczej,
tak obecnie jesteśmy w stanie odłączyć warstwę sieciową od sprzętu fizycznego oraz umieścić
obszary projektowania sieci i administrowania nimi na poziomie wirtualnym zarządzanym
przez system Windows Server.
28
Rozdział 1. • Pierwsze kroki w systemie Windows Server 2019
Jeśli taka funkcjonalność wydaje Ci się znajoma, może tak być dlatego, że w ciągu ostatniego
roku testowałeś narzędzie o nazwie Project Honolulu. Zgadza się — Windows Admin Center to
Project Honolulu, obecnie udostępniony do publicznego użytkowania.
Aplikacji Windows Admin Center przyjrzymy się bliżej w rozdziale 2., „Instalowanie systemu
Windows Server 2019 i zarządzanie nim”.
Hasła zabronione
Usługa katalogowa Active Directory (AD) od wielu lat przechowuje wszystkie informacje
o koncie użytkownika, w tym hasła. W ostatnich kilku wersjach systemu operacyjnego Windows
Server nie dodano zbyt dużo uaktualnień ani nowych funkcji do AD, jednakże Microsoft
29
Windows Server 2019 dla profesjonalistów
obsługuje obecnie wielu klientów w opartym na chmurze środowisku Azure AD, w którym
są uruchamiane nowe funkcje. Hasła zabronione to jedna z nich. Były one kiedyś opcją dostępną
w usłudze Azure AD, a teraz można ją zsynchronizować z lokalnymi serwerami kontrolerów
domeny, co daje możliwość utworzenia listy haseł, których użytkownicy nie mogą w żaden
sposób używać. Weźmy przykładowo słowo hasło. Zakazem użycia słowa hasło jako hasła sku-
tecznie zabezpieczasz się przed każdym hasłem zawierającym słowo hasło. Mogą to być na
przykład słowa H@sło, Hasło123! lub cokolwiek innego o podobnym znaczeniu.
Miękki restart
Możliwość wykonania miękkiego restartu była nową opcją w wersji systemu Server 2016,
ale administrator, aby ją aktywować, musiał dodać ją jawnie i nie sądzę, by ktokolwiek naprawdę
zaczął jej używać. W ciągu ostatnich 3 lat nigdy nie widziałem, aby ktoś zainicjował miękki
restart, więc zakładam, że nie jest to opcja dobrze znana, i dlatego umieszczę ją na naszej
liście funkcji. Aby przyspieszyć ponowne uruchomienie, udostępniono opcjonalny przełącznik
zwany miękkim restartem, który jest obecnie automatycznie zawarty w wersji Server 2019.
Czym jest miękki restart? Jest to restart bez inicjalizowania sprzętu.
Inaczej mówiąc, restartuje on system operacyjny bez restartowania całego komputera. Jest
on aktywowany przez dodanie specjalnego przełącznika do polecenia shutdown. Co ciekawe,
w wersji Server 2016 można również wywołać miękki restart za pomocą polecenia cmdlet
Restart-Computer w powłoce PowerShell, ale ta opcja prawdopodobnie nie zadziała w systemie
Server 2019. Jeśli więc chcesz przyspieszyć ponowne uruchomienie, musisz wrócić do starego
dobrego wiersza poleceń, jak zaprezentowano poniżej (zwróć uwagę na użyte opcje):
shutdown /r /soft /t 0
Opcja /r oznacza restart, /soft odpowiada miękkiemu restartowi, a /t 0 oznacza odstęp czasowy
równy 0 sekund przed rozpoczęciem restartu.
Integracja z Linuksem
Herezja! Kto upoważnił mnie do użycia słowa Linux w książce o systemie Windows Server?!
Dawniej w korporacyjnych środowiskach komputerowych działał system Windows albo Linux,
a czasami oba jednocześnie, jednakże wyraźnie oddzielone od siebie. Windows Server 2019
zaciera tę linię podziału. Obecnie mamy możliwość uruchamiania maszyn wirtualnych systemu
Linux w ramach Microsoft Hyper-V, a nawet poprawnego komunikowania się z nimi. Czy wiesz,
że niektóre systemy operacyjne Linux potrafią obsługiwać mysz? Wcześniej nie miałeś dużej
szansy, by to sprawdzić, próbując uruchomić w systemie Windows Server maszynę wirtualną
opartą na Linuksie, jednakże teraz w hiperwizorze Hyper-V jest zaimplementowana pewna
kompatybilność.
Kontenery oparte na systemie Linux można również uruchamiać w środowisku Server 2019,
co jest dużą zaletą dla każdego administratora, który chce wdrażać aplikacje skalujące za pośred-
nictwem kontenerów.
30
Rozdział 1. • Pierwsze kroki w systemie Windows Server 2019
Możesz także zabezpieczać swoje systemy Linux przez szyfrowanie ich za pomocą chronio-
nych maszyn wirtualnych!
System Server 2019 zapewnia określone korzyści dla świata chronionych maszyn wirtual-
nych: możemy obecnie chronić maszyny wirtualne zarówno z systemem Windows, jak też
Linux i nie jesteśmy już tak zależni od komunikacji z usługą Host Guardian Service podczas
próby uruchamiania chronionych maszyn wirtualnych znajdujących się na hostach chronio-
nych. Omówimy to szerzej w rozdziale 12.
Obecnie istnieje już niezliczona liczba technologii, które umożliwiają podłączenie sieci lokalnej
do sieci Azure. Są to sieci VPN typu lokacja-lokacja i Azure Express Route. Jednakże od
przybytku głowa nie boli, szczególnie w przypadku małych firm, które nie chcą stawiać czoła
złożoności tworzenia sieci VPN typu lokacja-lokacja ani ponosić kosztów Express Route.
Użyj rozwiązania Azure Network Adapter. Ta nowa funkcja pozwala bardzo szybko i łatwo
dodać wirtualną kartę sieciową do systemu Windows Server (nawet do takiego jak 2012 R2),
a następnie podłączyć ją bezpośrednio do sieci platformy Azure! Jest do tego wymagana aplikacja
Windows Admin Center; przyjrzymy się temu bliżej w rozdziale 5., „Obsługa sieci w Windows
Server 2019”.
31
Windows Server 2019 dla profesjonalistów
Always On VPN
Użytkownicy nienawidzą nawiązywania połączeń VPN. Wiem o tym, ponieważ codziennie
słyszę tego rodzaju uwagi. Konieczność ręcznego nawiązania połączenia z siecią służbową to
strata czasu, który można byłoby wykorzystać do wykonywania rzeczywistej pracy. W roz-
dziale 6., „Użycie opcji zdalnego dostępu”, omówimy różne technologie zdalnego dostępu
zawarte w systemie Windows Server 2019. W rzeczywistości są dwie różne technologie, które
umożliwiają w pełni automatyczne połączenie do sieci korporacyjnej bez zmuszania użytkowni-
ków do wykonywania jakichkolwiek działań. Jedną z nich jest DirectAccess, dostępna od
wersji Server 2008 R2. Omówimy ją szczegółowo, ponieważ jest to wciąż realna i popularna
opcja połączenia. Zaprezentujemy także najnowszą wersję zautomatyzowanej łączności zdalnej
— Always On VPN.
Główna aktualizacja systemów Windows 8.1 i Server 2012 R2 znacząco zmniejszyła poziom
stresu. W lewym dolnym narożniku ekranu znów pojawił się przycisk Start, a oprócz tego
mogłeś wybrać, by system uruchomił się w normalnym trybie pulpitu. Jednak jeśli kiedy-
kolwiek musiałbyś kliknąć przycisk Start, znalazłbyś się z powrotem na pełnym ekranie me-
nu Start, którego prawie wszyscy administratorzy serwerów starają się cały czas za wszelką
cenę unikać.
32
Rozdział 1. • Pierwsze kroki w systemie Windows Server 2019
Jeśli chodzi o interfejs graficzny, Windows Server 2019 niewiele różni się od środowiska
Server 2016, ponieważ w systemie operacyjnym klienta nie było żadnej poważnej aktualizacji
tego interfejsu. Jak już wiesz, każda nowa wersja systemu Windows Server otrzymuje aktualiza-
cje interfejsu typu „wskaż i kliknij”, takie same jak w najnowszym systemie operacyjnym
klienta Windows. Po raz pierwszy od wielu lat zdarzyło się, że została wydana kolejna wersja
serwerowego systemu operacyjnego, podczas gdy wersja systemu operacyjnego klienta pozostała
niezmieniona — Windows 10. Jeśli więc nie masz problemów z poruszaniem się po systemie
Windows 10, łatwo się odnajdziesz w systemie Windows Server 2019.
Poniższy punkt będzie przydatny dla tych, którzy dopiero rozpoczynają pracę w systemie
Windows lub szukają odpowiednich wskazówek, które mogłyby ją ułatwić.
To jest faktycznie powiew świeżego powietrza. Proste, ale przydatne menu Start i, co ważniejsze,
uruchamiające się szybko przez połączenia zdalne, takie jak konsola RDP lub Hyper-V.
33
Windows Server 2019 dla profesjonalistów
34
Rozdział 1. • Pierwsze kroki w systemie Windows Server 2019
jak Event Viewer (Podgląd zdarzeń), System, Device Manager (Menedżer urządzeń), a nawet
umożliwia zamykanie lub ponowne uruchamianie serwera. Dwie najczęściej używane opcje,
które wykorzystuję w tym menu kontekstowym, to funkcja Run (Uruchom) i uruchamianie po-
włoki PowerShell. Jeszcze lepsza jest zdolność tego menu do otwierania programu PowerShell
z uprawnieniami zwykłego użytkownika oraz z podwyższonym, czyli administracyjnym, po-
ziomem uprawnień. Właściwe użycie tego menu oszczędza wiele kliknięć myszą i skraca czas
rozwiązywania problemów.
35
Windows Server 2019 dla profesjonalistów
Oto najprostszy przykład użycia paska wyszukiwania: naciśnij klawisz WinKey na klawiaturze,
a następnie wpisz słowo notepad i naciśnij klawisz Enter. Zobaczysz, że stary, dobry notatnik
otwiera się właśnie przed Tobą. Nie musieliśmy wcale przeszukiwać folderu Program Files, aby
go znaleźć i otworzyć. W rzeczywistości nawet nie dotknęliśmy myszy, co jest muzyką dla uszu
kogoś takiego jak ja, który uwielbia wykonywać wszystko, co możliwe, z użyciem klawiatury:
Jeszcze lepszym przykładem jest wyszukanie czegoś, co zostało schowane dość głęboko w usta-
wieniach lub panelu sterowania. Co powiesz na zmianę czasu, po którego upływie ekran prze-
chodzi w tryb oszczędzania energii i sam się wyłącza? Tradycyjny administrator serwera
otworzy Control Panel (Panel sterowania — jeśli będzie go mógł znaleźć), następnie prawdopo-
dobnie przejdzie do sekcji Appearance and Personalization (Wygląd i personalizacja), ponieważ
nic innego nie wydaje się choćby w miarę odpowiednie, a wciąż nie znajdzie tego, czego
36
Rozdział 1. • Pierwsze kroki w systemie Windows Server 2019
Zauważysz również, że na ekranie wyszukiwania pojawiło się znacznie więcej opcji, niż się spo-
dziewałeś. Wyszukiwanie wyświetliło wiele różnych elementów, z których każdy był związany
z podanym przeze mnie słowem screen. Nie znam bardziej skutecznego sposobu otwierania
aplikacji lub ustawień w systemie Windows Server 2019 niż używanie paska wyszukiwania
wewnątrz menu Start. Wypróbuj go jeszcze dziś!
37
Windows Server 2019 dla profesjonalistów
Wielu czytelników jest już na pewno bardzo dobrze zaznajomionych z procesem przypinania
programów do paska zadań, więc przejdźmy o krok dalej, aby przedstawić dodatkową funkcję
związaną z przypiętymi aplikacjami, której możesz jeszcze nie znać.
Liczba funkcji dostępnych po kliknięciu aplikacji prawym przyciskiem myszy na pasku zadań
różni się w zależności od aplikacji. Na przykład, jeśli kliknę prawym przyciskiem myszy
Command Prompt (Wiersz polecenia), zostaną wyświetlone opcje pozwalające na uruchomienie
tego programu lub odpięcie go od paska zadań — Unpin from taskbar (Odepnij od paska zadań).
Jak widać, są to bardzo proste działania. Jeśli kliknę teraz prawym przyciskiem myszy opcję
menu Command Prompt, będę miał dostęp do tych samych funkcji co poprzednio, ale mogę także
wybrać Properties (Właściwości) lub Run as administrator (Uruchom jako administrator).
Im głębiej wchodzę, tym bardziej zyskuję na funkcjonalności (zobacz pierwszy rysunek na
następnej stronie).
38
Rozdział 1. • Pierwsze kroki w systemie Windows Server 2019
Obecnie po kliknięciu ikony RDP prawym przyciskiem myszy mam na liście łącza do ostatnio
odwiedzonych serwerów. Nie wiem, czy Ty tak postępujesz, ale ja codziennie uruchamiam
sesje RDP do wielu różnych serwerów. Dzięki temu, że mam odnośnik do klienta pulpitu zdal-
nego na pasku zadań, automatycznie zapamiętuje on serwery, które ostatnio odwiedziłem, co zde-
cydowanie oszczędza mi czas oraz kliknięcia myszą podczas wykonywania codziennych zadań
(zobacz rysunek na następnej stronie).
Funkcje klikania prawym przyciskiem myszy istnieją już od kilku wersji systemu operacyjnego,
więc nie jest to nowa technologia, jednak jest ona regularnie ulepszana w miarę wydawania
nowych wersji aplikacji. Omawiamy ją w tej książce również dlatego, że korzysta z niej niewielu
administratorów serwerów. Być może powinni oni zacząć jej używać, aby wydajniej pracować.
39
Windows Server 2019 dla profesjonalistów
Inna funkcja, która została ulepszona na platformach Windows 10 oraz Server 2019 i również jest
bardzo przydatna w codziennej pracy, to widok Quick access (Szybki dostęp), domyślnie wyświe-
tlany po otwarciu aplikacji File Explorer (Eksplorator plików). Wszyscy od dawna znamy
eksploratora plików i używamy go, ale zazwyczaj, gdy chcemy dostać się do określonego miej-
sca na dysku twardym lub do jakiegoś pliku, musimy wykonać wiele kliknięć myszą, aby osiągnąć
docelowy rezultat. Widok szybkiego dostępu w systemie Windows Server 2019 natychmiast
wyświetla zarówno najnowsze, jak i często używane pliki oraz foldery, do których zwykle
uzyskujemy dostęp z serwera. Jako administratorzy często musimy odwiedzać te same miej-
sca na dysku twardym i wielokrotnie otwierać te same pliki. Czy nie byłoby wspaniale, gdyby
eksplorator plików umieścił wszystkie popularne lokalizacje i łącza do plików w jednym
miejscu? Właśnie tak działa widok szybkiego dostępu.
Na poniższym zrzucie ekranu widzimy, że otwarcie eksploratora plików zapewnia szybki dostęp
do łączy do zarówno często używanych folderów, jak i najnowszych plików. Użycie takiej funkcji
może się wiązać z oszczędnością czasu, dlatego regularne korzystanie z niej pozwala na zwięk-
szenie wydajności pracy, a także udowadnia kolegom i innym osobom znajdującym się w pobliżu,
że bardzo dobrze znasz najnowszą wersję systemu operacyjnego i umiesz ją obsługiwać (zo-
bacz rysunek na następnej stronie).
40
Rozdział 1. • Pierwsze kroki w systemie Windows Server 2019
Menu Settings w Windows nie jest zupełnie nowym pomysłem, ale wydaje się całkiem świeżą
rzeczą w porównaniu z panelem sterowania. Windows Server 2012 i 2012 R2 miały coś w ro-
dzaju okna ustawień, które jednak, o ile mi wiadomo, nie było prawie wcale używane przez
administratorów systemów. Uważam, że to wynik złego wykonania; otóż menu ustawień w wersji
Windows 2012 było ukryte za paskiem Charms (Zaklęcia), co zdaniem większości ludzi nie
miało sensu. Nie poświęcimy zbyt wiele czasu na technologię pochodzącą z przeszłości, ale
chciałbym, abyś wiedział, że pasek Charms w systemie Server 2012 był pewnym rodzajem
menu, które pojawiało się po przesunięciu palca z prawej krawędzi ekranu. Tak, masz rację —
serwery zwykle nie mają ekranów dotykowych. Nie spotkałem go na żadnym serwerze spośród
tych, które kiedykolwiek obsługiwałem. Jednak pasek Charms wyświetlał się również po
przemieszczeniu kursora myszy w okolice prawego górnego narożnika ekranu. Dostęp do niego
był dość trudny, ale miał on tendencję do pojawiania się, kiedy akurat tego nie chciałeś, na
przykład gdy próbowałeś kliknąć coś po prawej stronie pulpitu i zamiast tego kliknąłeś jakiś
element na pasku Charms, który nagle się pojawił.
Podaję tylko ogólne informacje, aby przejść do następnego pomysłu. Znaczną część interfejsu
użytkownika w systemie Windows 10, a zatem także w systemach Windows Server 2016 i 2019,
można uznać za mały krok wstecz w dziedzinie obsługi palcami i ekranów dotykowych. Win-
dows 8 i Server 2012 były tak bardzo skoncentrowane na obsłudze palcami dużych kafelków
aplikacji, że wiele osób pogubiło się w tym wszystkim. Różniło się to bardzo od tego, co widzieli-
śmy wcześniej, i było trudne do użycia na poziomie administracyjnym. Opinie otrzymane
od użytkowników sprawiły, że interfejs graficzny i kontrolki w systemie Windows Server 2019
41
Windows Server 2019 dla profesjonalistów
(w tym zarówno menu Start, jak i menu Settings) można umieścić gdzieś pomiędzy systemem
Server 2008 a Server 2012. Ten krok wstecz był właściwy i na razie nie słyszałem nic innego
oprócz pochwał za nowy interfejs użytkownika.
Wracając do menu Settings: jeśli klikniesz przycisk Start, a następnie małą ikonę koła zębatego
tuż nad przyciskami zasilania, zobaczysz nowy interfejs:
Jest wiele ustawień i elementów systemu operacyjnego, które można skonfigurować w nowym
menu Settings. Niektóre ustawienia systemu Windows istnieją obecnie wyłącznie w tym interfejsie,
ale do wielu nadal można uzyskać dostęp zarówno z niego, jak i za pośrednictwem tradycyjnego
panelu sterowania. Wydaje się, że celem jest przejście w przyszłych wydaniach do konfiguro-
wania tylko za pomocą nowego menu. Na razie możemy jednak wciąż zarządzać większością
ustawień za pomocą swoich tradycyjnych metod, jeśli tak zdecydujemy. Wspomniałem wcześniej
o aktualizacjach systemu Windows i jest to dobry przykład do przeanalizowania. Tradycyjnie
konfigurowalibyśmy swoje ustawienia aktualizacji Windows za pomocą panelu sterowania,
ale w systemie Windows Server 2019 zostały one całkowicie przeniesione do nowego menu
ustawień. Wyszukaj w panelu sterowania słowa Windows Update, a jedynym wynikiem będą
obecnie zainstalowane aktualizacje. Jeśli jednak przeszukasz nowe menu Settings przy użyciu
tych samych słów, od razu znajdziesz opcje związane z aktualizacjami Windows.
42
Rozdział 1. • Pierwsze kroki w systemie Windows Server 2019
Niekiedy będziesz musiał użyć kombinacji panelu sterowania i menu ustawień, aby wyko-
nać swoją pracę. Czasami jest to mylące. Czasem nawet klikniesz coś w menu Settings, a otworzy
się okno Control Panel! Wypróbuj to. Otwórz menu Settings i kliknij Network & Internet
(Sieć i Internet). Kliknij opcję Ethernet w lewej kolumnie. W tym miejscu możesz zobaczyć
status swoich kart sieciowych, ale nie możesz nic zmodyfikować, na przykład zmienić adresu
IP. Następnie zauważysz łącze Change adapter options (Zmień opcje karty). Tak, to wygląda już
znacznie ciekawiej. Kliknij to łącze, a przejdziesz do tradycyjnego ekranu Network Connections
(Połączenia sieciowe) o wyglądzie i stylu panelu sterowania:
43
Windows Server 2019 dla profesjonalistów
Co się dzieje? Niestety, nie tego się spodziewałem. Ku mojemu zaskoczeniu stary panel sterowa-
nia uruchamia ładny, świeżo wyglądający interfejs, z którego mogę tworzyć nowe konta użyt-
kowników. Z drugiej strony dostęp do kont użytkowników za pośrednictwem nowszej konsoli
ustawień przenosi mnie do starego interfejsu Local Users and Groups (Użytkownicy i grupy
lokalne). Technicznie rzecz biorąc, za jego pomocą mógłbym bez problemu założyć nowe konto
użytkownika, ale wygląda na to, że występuje tutaj pewna niespójność. Oczywiście, miałeś
nadzieję, że nowy interfejs Settings wywoła nowszy, ładniejszy ekran dodawania kont użytkowni-
ków, jednak okazało się, że jest odwrotnie.
Zaprezentowaliśmy prosty przykład wykonania tej samej funkcji z użyciem dwóch różnych
interfejsów, aby pokazać, że istnieją pewne elementy, które można (i trzeba) wykonać w nowym
kontekście menu Settings. W systemie Windows jest jednak jeszcze wiele funkcji, które wciąż
44
Rozdział 1. • Pierwsze kroki w systemie Windows Server 2019
Jeszcze jedna i zarazem ostatnia sprawa, na którą powinieneś zwrócić uwagę, gdy już za-
czniesz swobodnie obsługiwać menu Settings: wiele parametrów, które konfigurujemy na
swoich serwerach, to ustawienia typu „włącz i wyłącz”. Oznacza to, że mamy do dyspozycji
dwie opcje, z których wybieramy jedną. Dawniej tego rodzaju ustawienia były obsługiwane
przez rozwijane menu lub przyciski radiowe. Jest to normalne, jest to oczekiwane — to jest
Windows. W nowej wersji serwera zauważysz jednak małe paski przeciągania lub suwaki
podobne do wyłącznika światła, które pozwalają włączać i wyłączać ustawienia. Każdy, kto korzy-
stał z interfejsu ustawień w dowolnym smartfonie, wie dokładnie, co mam na myśli. To zacho-
wanie interfejsu użytkownika znalazło zastosowanie w systemach operacyjnych Windows
i prawdopodobnie już w nich pozostanie. Aby dać Ci wyobrażenie o tym, jak to wygląda
w kontekście nowego menu Settings, poniżej umieszczam zrzut obecnego ekranu ustawień
Windows Update, dostępnego w opcji Update & Security (Aktualizacja i zabezpieczenia).
45
Windows Server 2019 dla profesjonalistów
Menedżer zadań
Task Manager (Menedżer zadań) to narzędzie, które było dostępne we wszystkich systemach
operacyjnych Windows od pierwszych dni interfejsu graficznego, ale zarazem przez lata ewolu-
owało. Jednym z celów Windows Server 2019 jest bycie systemem jeszcze bardziej użytecznym
i niezawodnym niż jakakolwiek poprzednia wersja. Ma więc sens to, że ostatecznie całkowi-
cie usunęliśmy menedżera zadań — po prostu nie będzie już potrzebny.
Oczywiście żartuję! Co prawda mam nadzieję, że Server 2019 rzeczywiście okaże się najbardziej
stabilnym i najmniej wymagającym systemem operacyjnym, jaki kiedykolwiek stworzyła
firma Microsoft, jednakże menedżer zadań nadal istnieje i wciąż będzie potrzebny administrato-
rom serwerów na całym świecie. Jeśli od dłuższego czasu nie przyglądałeś się menedżerowi
zadań, wiedz, że zmienił się on znacznie w ciągu ostatnich kilku wydań.
Menedżer zadań nadal zwykle jest wywoływany przez naciśnięcie kombinacji klawiszy
Ctrl+Alt+Del, a następnie wybranie opcji Task Manager. Można także kliknąć prawym przyci-
skiem myszy pasek zadań i wybrać opcję Task Manager. Możesz również uruchomić menedżera
zadań za pomocą kombinacji klawiszy Ctrl+Shift+Esc lub przez wpisanie polecenia taskmgr
w oknie dialogowym Run (Uruchom) lub Search (Wyszukaj). Pierwszą rzeczą, jaką zauważysz,
jest to, że w domyślnym widoku wyświetlanych jest bardzo mało informacji: tylko prosta lista
46
Rozdział 1. • Pierwsze kroki w systemie Windows Server 2019
Przetestuj także inne zakładki dostępne w menedżerze zadań. Zakładka Users (Użytkowni-
cy) wyświetli listę zalogowanych użytkowników oraz ilość zasobów sprzętowych zużywanych
przez ich sesje. Jest to dobry sposób, by na hoście sesji usług pulpitu zdalnego zidentyfikować
użytkownika, który może powodować jego nadmierne obciążenie. Zakładka Details (Szczegóły)
jest nieco bardziej tradycyjnym widokiem zakładki Processes (Procesy), wyświetlającym wiele
takich samych informacji, ale w stylu, do jakiego byliśmy od dawna przyzwyczajeni w starszych
47
Windows Server 2019 dla profesjonalistów
wersjach systemu operacyjnego. Następna zakładka, Services (Usługi), jest dość zrozumiała —
pokazuje usługi Windows zainstalowane na serwerze oraz ich status, a także w razie potrzeby
umożliwia ich uruchomienie lub zatrzymanie bez konieczności otwierania oddzielnej kon-
soli Services.
Zakładka, którą wcześniej pominąłem, aby teraz omówić ją bardziej szczegółowo, ma nazwę
Performance (Wydajność). Ma ona dość potężne możliwości. Wewnątrz niej możesz monitorować
wykorzystanie procesora, pamięci i łącza Ethernet. Jak widać na poniższym zrzucie ekranu, nie
udało mi się dobrze zaplanować zasobów dla tej konkretnej maszyny wirtualnej, ponieważ
procesor prawie nie pracuje, za to niemalże brakuje pamięci systemowej:
Inną przydatną informacją dostępną na tym ekranie jest czas pracy serwera. Odnalezienie
tej informacji może być kluczowe w szybkim rozwiązywaniu problemów, ponieważ
administratorzy czasami wyznaczają czas pracy systemu na podstawie sygnatur czasowych
dziennika. Korzystanie z menedżera zadań jest znacznie łatwiejszym sposobem na znale-
zienie tej informacji!
Jeśli chcesz wyświetlić bardziej szczegółowe dane na temat wydajności serwera, w dolnej części
okna menedżera zadań znajdziesz łącze o nazwie Open Resource Monitor (Otwórz monitor
zasobów). Dwie dostępne w Server 2019 technologie do monitorowania stanu systemu,
w szczególności wydajności sprzętu, to Resource Monitor (Monitor zasobów) i Performance
Monitor (Monitor wydajności). Koniecznie uruchom te narzędzia i zacznij ich używać, ponieważ
48
Rozdział 1. • Pierwsze kroki w systemie Windows Server 2019
mogą one dostarczyć zarówno informacji dotyczących rozwiązywania problemów, jak i waż-
nych danych podstawowych uzyskiwanych po uruchomieniu nowego serwera. Te dane można
następnie porównać z przyszłymi danymi testowymi, dzięki czemu możesz sprawdzać, w jaki
sposób nowe aplikacje lub usługi zainstalowane na określonym serwerze wpłynęły na zużycie
zasobów.
Wracając do menedżera zadań: udostępnia on jeszcze jedną ciekawą sztuczkę, którą chciałbym
zaprezentować. Pozostając w zakładce Performance, kliknij prawym przyciskiem myszy dowolny
interesujący Cię obszar z danymi, na przykład informacje o procesorze w pobliżu lewej krawędzi
okna. Spowoduje to otwarcie okna dialogowego z kilkoma opcjami, z których będę chciał
kliknąć Summary view (Widok podsumowania). Spowoduje to zmniejszenie obszaru zajmującego
poprzednio około połowy powierzchni mojego ekranu do wielkości małego okna, które mogę
po prostu przenieść do narożnika. Jest to dobry sposób na wyświetlanie przez cały czas informa-
cji o sprzęcie podczas wykonywania działań na serwerze, dzięki czemu można obserwować
wszelkie zmiany lub poziom zużycia zasobów w trakcie wprowadzania modyfikacji w systemie:
Widok zadań
Task View (Widok zadań) to nowa funkcja systemu Windows 10 i Windows Server 2016, która
została również zaimplementowana w środowisku Server 2019. Funkcjonalnie jest podobna
do tej, która polega na przytrzymaniu klawisza Alt, a następnie naciśnięciu klawisza Tab, aby
przełączać się między działającymi aplikacjami. Jeśli tego nigdy wcześniej nie robiłeś, po prostu
spróbuj nacisnąć i przytrzymać te dwa klawisze. W zależności od używanej wersji systemu
Windows ekran może się trochę różnić, ale w rzeczywistości są wyświetlanie te same informacje.
Będziesz mógł zobaczyć wszystkie programy, które masz otwarte, a za pomocą dodatkowych
naciśnięć klawisza Tab — przełączać się między nimi, od lewej do prawej. Alternatywnie użyj
kombinacji klawiszy Alt+Shift+Tab, aby przełączać się między nimi w odwrotnej kolejności.
Gdy masz wiele otwartych okien, być może łatwiej będzie po prostu użyć myszy, aby przejść
do określonego okna:
49
Windows Server 2019 dla profesjonalistów
Widok zadań jest o wiele bardziej wydajny, ponieważ pozwala na zarządzanie wieloma pulpi-
tami zawierającymi aplikacje i okna. Na przykład, jeśli na tym samym serwerze pracujesz nad
dwoma różnymi projektami, a każdy z nich wymaga, aby mieć wiele różnych okien otwartych
w tym samym czasie, zaczniesz tracić dużo czasu na przełączanie się między wszystkimi
aplikacjami i oknami, aby znaleźć ten element, którego szukasz. Korzystając z widoku zadań,
możesz na pierwszym pulpicie zostawić wszystkie otwarte okna dla pierwszego projektu, a na-
stępnie na drugim pulpicie otworzyć wszystkie okna dotyczące drugiego projektu. Za pomocą
dwóch kliknięć, z użyciem przycisku Task View, możesz łatwo przełączać się między różnymi
pulpitami. Domyślnie Task View jest niewielką ikoną znajdującą się na pasku zadań, bezpośred-
nio po prawej stronie lupy wyszukiwania w pobliżu przycisku Start. Kliknij ją teraz:
Będziesz mógł zobaczyć listę otwartych okien — wygląda to bardzo podobnie do efektu naci-
śnięcia kombinacji Alt+Tab, o której wspominaliśmy przed chwilą. Różnica polega na istnieniu
małego przycisku o nazwie New desktop (Nowy pulpit) w lewym górnym narożniku ekranu.
Kliknij go:
50
Rozdział 1. • Pierwsze kroki w systemie Windows Server 2019
Widok zadań to świetny sposób na utrzymanie porządku i wydajności dzięki wykorzystaniu wielu
pulpitów na tym samym serwerze. Uważam, że to jak gdyby zarządzanie kilkoma wirtualnymi
ekranami z jednego fizycznego monitora.
Jeśli nie chcesz klikać ikony, aby włączyć widok zadań, to samo osiągniesz kombinacją
klawiszy WinKey+Tab!
Podsumowanie
Ten pierwszy rozdział dotyczący nowego systemu Windows Server 2019 pozwolił Ci zapoznać
się z nim w celu wygodnego poruszania po interfejsie. Istnieją różne sposoby interakcji z syste-
mem Server 2019 — wiele z nich omówimy w tej książce. Większość administratorów będzie
jednak z nim współpracować za pośrednictwem pełnego interfejsu graficznego, z użyciem
myszy i klawiatury. Jeśli wykorzystujesz poprzednie wersje Windows Server, wiele narzędzi,
których użyjesz do obsługi nowej platformy, będzie takich samych jak te, które były używane
w przeszłości, lub przynajmniej podobnych. Każdy nowy system operacyjny powinien być re-
zultatem ewolucji poprzedników, a nie starać się być zupełnie nowym systemem. Myślę, że jest
to wniosek na przyszłość, wynikły z oceny systemów Windows 8 i Server 2012.
W systemie Server 2019 nastąpił daleko idący kompromis między dostępnością do tradycyjnych
funkcji wcześniejszych wersji Windows a nowymi korzyściami z zastosowania przyjaznych
ekranów dotykowych z zaokrąglonymi krawędziami, które będą używane coraz częściej w urzą-
dzeniach opartych na systemie operacyjnym firmy Microsoft. W następnym rozdziale zajmiemy
się instalowaniem systemu Windows Server i zarządzaniem nim.
51
Windows Server 2019 dla profesjonalistów
Pytania
1. W jaki sposób w Windows Server 2019 za pomocą dwóch kliknięć myszy można
uruchomić okno PowerShell z uprawnieniami administracyjnymi?
2. Jaka kombinacja klawiszy służy do otwarcia menu szybkich zadań
administracyjnych?
3. Jak się nazywa oferta usług chmurowych firmy Microsoft?
4. Jakie są dwie wersje licencyjne systemu Windows Server 2019?
5. Ile maszyn wirtualnych może działać na hoście Windows Server 2019 Standard?
6. Jaka opcja instalacji systemu Windows Server 2019 nie udostępnia graficznego
interfejsu użytkownika?
7. Która z nazw jest poprawna w przypadku najnowszej wersji systemu Windows
Server 2019: Long-Term Servicing Branch (LTSB) czy Long-Term Servicing
Channel (LTSC)?
8. Jak nazywa się narzędzie służące do zmiany konfiguracji w systemie Windows
Server 2019: Windows Settings (Ustawienia systemu Windows) czy Control Panel
(Panel sterowania)?
52
2
Instalowanie systemu
Windows Server 2019
i zarządzanie nim
Po krótkiej prezentacji funkcji graficznego interfejsu systemu Windows Server 2019 zdaję
sobie sprawę, że niektórzy z czytelników mogliby pomyśleć: „Wspaniale jest czytać o tym
wszystkim, ale czy mogę w jakiś sposób naprawdę zacząć używać tego systemu?”. Czytanie
o technologii nigdy nie jest tak dobre jak jej używanie, dlatego chciałbym, aby w tym rozdziale
pojawiło się już kilka praktycznych tematów. Jednym z głównych celów tej książki jest zapew-
nienie, że będziesz umiał korzystać z produktu. Prezentowanie faktów dotyczących nowych
funkcji i ulepszonej wydajności może być przyjemne, ale ostatecznie będzie bezwartościowe,
jeśli nie będziesz w stanie sprawić, by wszystko to, o czym czytasz, zadziałało w prawdziwym ży-
ciu. Sprawmy więc, by kawałek serwerowego żelastwa wykonał dla nas trochę pracy.
Są to w pewnym sensie minimalne wymagania, które musisz spełnić, jeśli chciałbyś po prostu
uruchomić Server 2019 i trochę się nim pobawić. W przypadku systemów produkcyjnych
znacznie zwiększ powyższe wartości. Nie ma żadnej magicznej odpowiedzi — określone para-
metry zależą od rodzaju obciążenia, które będzie obsługiwane przez serwer. Istnieją dodatkowe
komponenty, na które warto zwrócić uwagę przy budowaniu nowego systemu, a które są również
wymagane do określonych ról i funkcji. Elementy takie, jak UEFI czy standard TPM, szybko
stają się popularne i są wykorzystywane przez coraz więcej usług w każdej nowej aktualizacji
systemu operacyjnego. Jeśli jesteś w szczególności zainteresowany poprawą bezpieczeństwa
i dodatkową ochroną realizowaną za pośrednictwem funkcji BitLocker lub wykorzystujesz
silne certyfikaty albo funkcję Shielded VM, powinieneś się upewnić, że Twoje systemy będą
zawierać układy TPM 2.0.
54
Rozdział 2. • Instalowanie systemu Windows Server 2019 i zarządzanie nim
lub przebudowę sprzętu komputerowego. Jeśli jesteś podobny do mnie, oznacza to, że nadal
od czasu do czasu reinstalujesz starsze systemy operacyjne, takie jak Windows XP. Umiejętność
przyglądania się jasnoniebieskiemu ekranowi konfiguracji i wiedza o położeniu klawisza F8
na klawiaturze to niezbędne wymagania. Poświęcenie 2 godzin na zwykłe zainstalowanie
podstawowego systemu operacyjnego i zaktualizowanie go do najnowszego pakietu serwisowego
to normalna sytuacja. W porównaniu z tymi zamierzchłymi czasami instalacja nowoczesnego
systemu operacyjnego, takiego jak Windows Server 2019, jest po prostu niewiarygodnie
szybka i prosta.
Jest bardzo prawdopodobne, że większość czytelników już wiele razy wykonywała ten proces.
Jeśli jesteś jednym z nich, możesz pominąć kilka następnych stron. Każda osoba, która dopiero
zaczyna poruszać się po świecie Microsoftu lub ogólnie po branży IT, powinna jednak poświęcić
trochę czasu na zapoznanie się z procedurą instalacji, aby uzyskać podstawową wiedzę po-
zwalającą na rozpoczęcie pracy z systemem Server 2019. Jeśli nie masz jeszcze odznaki po-
twierdzającej umiejętności instalacji kolejnego systemu operacyjnego, nie musisz się nigdzie
spieszyć.
Po pobraniu pliku ISO w celu instalacji systemu Windows Server 2019 włóż czystą płytę
DVD do napędu i w Eksploratorze Windows wyszukaj ten plik. Następnie kliknij go prawym
przyciskiem myszy i wybierz opcję menu Burn disc image (Nagraj obraz płyty). Spowoduje
to uruchomienie prostego kreatora, który wyodrębni i poprawnie wypali Twój nowy plik ISO na
płycie DVD, czyniąc go rozruchowym nośnikiem instalacyjnym dla nowego serwera. Zostało
to przedstawione na poniższym zrzucie ekranu:
55
Windows Server 2019 dla profesjonalistów
Jeśli pobierzesz system Windows Server 2019 i użyjesz narzędzia Windows Disc Image Burner
do wypalenia standardowej płyty DVD, może pojawić się następujący komunikat o błędzie:
The disc image file is too large and will not fit on the recordable disc (Plik obrazu dysku jest za
duży i nie zmieści się na płycie do nagrywania).
Nie powinno to dziwić, ponieważ z biegiem lat pliki instalatora systemu operacyjnego stają
się coraz większe. Dotarliśmy do punktu krytycznego, w którym rozmiar standardowego pliku ISO
instalatora systemu Server 2019 jest większy od typowego dysku DVD o pojemności 4,7 GB.
Aby nagrać ten plik ISO na płycie DVD, musisz pójść do sklepu i kupić dysk dwuwarstwowy,
który może przechować więcej danych.
Aby przygotować taki nośnik, wystarczy mieć komputer z systemem Windows, pendrive o po-
jemności co najmniej 8 GB i dostęp do internetu. Będziesz musiał pobrać ten sam plik ISO,
o którym wspominaliśmy wcześniej, ponieważ zawiera on wszystkie pliki instalacyjne systemu
Server 2019. Następnie musisz pobrać i zainstalować jakieś narzędzie do tworzenia rozruchowej
pamięci USB. Dostępne są różne bezpłatne programy (dość popularny jest Rufus); jest także
produkt pochodzący prosto z firmy Microsoft, który nazywa się Windows 7 USB/DVD Download
Tool. Dlaczego ma taką dziwną nazwę, która zawiera słowa Windows 7? Nie pytaj mnie o to.
Ale mimo to działa poprawnie i umożliwia szybkie, łatwe i darmowe przygotowanie rozruchowej
pamięci USB do nowych instalacji. Należy zaznaczyć, że to narzędzie nie ma nic wspólnego
z systemem Windows 7. Pobierze ono dowolny plik ISO i zamieni go w rozruchowy pendrive.
Taki plik ISO może zawierać system Windows 10 lub Server 2019 i w obu tych przypadkach
procedura zadziała poprawnie.
56
Rozdział 2. • Instalowanie systemu Windows Server 2019 i zarządzanie nim
Program wyczyści i sformatuje pamięć USB. Upewnij się, że nie przechowujesz tam nic
ważnego!
Musisz określić plik ISO, z którego narzędzie powinno pobrać informacje, a następnie wybrać
pamięć USB z listy rozwijanej. Następnie wystarczy nacisnąć przycisk Begin copying (Rozpocznij
kopiowanie), a program spowoduje, że pamięć USB stanie się rozruchowa i umożliwi instalację
całego systemu operacyjnego Windows Server 2019, jak pokazano na poniższym zrzucie
ekranu:
Uruchamianie instalatora
Teraz włóż nowo utworzoną płytę DVD lub rozruchową pamięć USB do nowego sprzętu
serwerowego. Włącz go, a pojawi się kreator instalacji systemu Windows Server 2019.
Obecnie w tym kreatorze nie ma zbyt wielu opcji do wyboru, więc nie poświęcimy mu wiele
miejsca. W większości przypadków wystarczy kliknąć przycisk Next (Dalej), aby przejść do
następnego ekranu. Jest jednak kilka sytuacji, w których trzeba będzie podjąć odpowiednią
decyzję.
Po wybraniu języka instalacji kolejny ekran wydaje się dość prosty. Znajduje się na nim tylko
jeden przycisk, z napisem Install now (Zainstaluj teraz). Tak — to jest właśnie ten przycisk,
który powinieneś kliknąć, ale chciałbym też, abyś zwrócił uwagę na tekst w lewym dolnym
narożniku ekranu. Jeśli kiedykolwiek znajdziesz się w sytuacji, gdy Twojego serwera nie będzie
można uruchomić, a Ty będziesz chciał użyć funkcji odzyskiwania lub diagnostyki w celu rozwią-
zania problemu, możesz kliknąć łącze Repair your computer (Napraw komputer), aby przejść
do konsoli odzyskiwania. W przypadku naszej nowej instalacji serwera nie ma takiej potrzeby,
więc kliknij po prostu przycisk Install now, jak pokazano na poniższym zrzucie ekranu:
57
Windows Server 2019 dla profesjonalistów
Następny ekran jest już interesujący. Jest on pierwszym miejscem, na które naprawdę musisz
zwrócić uwagę. Zobaczysz cztery różne opcje instalacji systemu Windows Server 2019. Jak
widać, istnieją typowe ścieżki instalacyjne zarówno dla wersji Server 2019 Standard, jak
i Server 2019 Datacenter, a oprócz tego każda z nich ma dodatkową opcję, która zawiera słowa
Desktop Experience. Zazwyczaj w programach instalacyjnych firmy Microsoft kliknięcie przyci-
sku Next (Dalej) pozwala uzyskać najbardziej typową i ogólną ścieżkę instalacji bez względu
na to, co się instaluje. Nie jest tak, niestety, w przypadku tego kreatora. Jeśli po prostu opu-
ścisz ekran kliknięciem Next, zostanie wybrany typ instalacji Server Core. Wersję Server
Core omówimy w jednym z dalszych rozdziałów, tu zaś informuję, że jeśli chciałbyś mieć
serwer w takiej postaci, o jakiej wspominaliśmy w rozdziale 1., „Pierwsze kroki w systemie
Windows Server 2019”, ta domyślnie wybrana opcja nie będzie właściwa. Wersja Desktop
Experience, która jest dostępna w drugiej opcji kreatora, zapewnia pełny interfejs graficzny
systemu Windows Server, którego można się spodziewać po zakończeniu instalacji. My chcemy
współpracować z serwerem przy użyciu pełnej grafiki i myszy, dlatego bez względu na to,
czy zdecydujesz się na wersję Standard lub Datacenter, przed kliknięciem przycisku Next
musisz się upewnić, że wcześniej wybrałeś opcję zawierającą słowa Desktop Experience. Zostało
to przedstawione na zrzucie ekranu na następnej stronie.
58
Rozdział 2. • Instalowanie systemu Windows Server 2019 i zarządzanie nim
Kolejny ekran zawiera szczegóły warunków licencjonowania, na które musisz się zgodzić.
Następnie przechodzimy do innego ekranu, na którym najlepsza opcja nie jest najprawdopo-
dobniej tą, którą zamierzasz kliknąć. Rozumiem, dlaczego funkcja Upgrade (Uaktualnij) jest
wymieniona jako pierwsza w przypadku komputera z systemem Windows 10 klasy konsumenc-
kiej, ale nikt nie dokonuje lokalnej aktualizacji dla serwerów Windows. W idealnym świecie,
w którym po aktualizacjach wszystko zawsze działa bezbłędnie, byłaby to świetna metoda.
Możesz mieć wiele serwerów wykonujących swoje zadania, a za każdym razem, gdy jest
udostępniany nowy system operacyjny, wystarczy uruchomić instalatora i je zaktualizować.
Proszę bardzo, oto magia! Niestety, nie działa to w ten sposób i właściwie nie znam administrato-
rów gotowych podjąć ryzyko lokalnej aktualizacji istniejącego serwera produkcyjnego. O wiele
częściej jest tak, że tworzymy zupełnie nowe serwery obok już działających serwerów produk-
cyjnych. Gdy nowy serwer jest skonfigurowany i gotowy do przyjęcia na siebie obowiązków,
wtedy i tylko wtedy faktyczne aplikacje są przenoszone na ten serwer ze starego. W przypadku
zaplanowanego, starannie wymodelowanego procesu migracji stary serwer zostaje wyłączony
i usunięty po jej zakończeniu. Gdybyśmy byli w stanie po prostu zaktualizować istniejące
serwery do najnowszego systemu operacyjnego, zaoszczędziłoby to nam mnóstwo czasu i pracy.
Jest to jednak możliwe tylko wtedy, gdy wiesz, że aktualizacja faktycznie zadziała bez proble-
mów. W większości przypadków nie jesteśmy przygotowani na takie ryzyko. Jeśli proces
aktualizacji nie wykonuje się poprawnie i kończy się uszkodzeniem systemu, zastanawiasz się
nad kosztownym procesem naprawy i odzyskiwania danych na krytycznym dla firmy serwerze
produkcyjnym. Równie dobrze mógłbyś myśleć o pracy w nocy lub w weekend. Czy wolisz
spędzić czas na zaplanowaniu starannie zdefiniowanej migracji, czy na odzyskiwaniu krytycznego
serwera, mając za plecami dział biznesowy patrzący Ci na ręce? Założę się, że wybierzesz tę
pierwszą opcję.
59
Windows Server 2019 dla profesjonalistów
Firma Microsoft ogłosiła, że instalator systemu Windows Server 2019 potrafi uaktualnić
system Windows Server 2016 znacznie lepiej niż jakikolwiek inny program migracji lokalnej
środowiska Windows Server. W przypadku wcześniejszych wersji systemu operacyjnego
nadal zalecane jest, by przygotować zupełnie nowy serwer, a następnie przenieść na niego
dane i aplikacje. Obecnie jednak firma Microsoft najwyraźniej sugeruje, by administratorzy
zaczęli testować lokalne migracje z wersji Server 2016 do Server 2019. Czy to zadziała
w realnym świecie? Sam powinieneś podjąć odpowiednią decyzję…
Biorąc powyższe pod uwagę, wróćmy do głównego wątku. W świecie systemów Windows
Server rzadko używamy opcji Upgrade. Wybierz więc opcję Custom: Install Windows
only (advanced) (Niestandardowa: Zainstaluj tylko system Windows (opcja zaawansowana)),
która pozwoli na zainstalowanie wersji systemu Windows Server 2019 w nowej lokalizacji na
dysku twardym. Zostało to przedstawione na poniższym zrzucie ekranu:
Teraz zdecydujemy, gdzie chcemy zainstalować nową kopię systemu Windows Server 2019.
Często po prostu klikniesz przycisk Next, ponieważ serwer będzie miał tylko jeden dysk twardy,
a być może jedną macierz RAID. W obu tych przypadkach zobaczysz jedną pulę wolnego
miejsca, na której możesz zainstalować system operacyjny. Jeśli jednak masz wiele dysków
twardych zainstalowanych na serwerze i nie zostały one jeszcze w żaden sposób powiązane
ze sobą, będziesz miał na tym ekranie dostępnych wiele możliwości wyboru miejsca instala-
cji systemu Windows Server. Ponieważ mamy tutaj tylko jeden dysk twardy, który nigdy nie
był używany, możemy po prostu kliknąć przycisk Next, aby kontynuować. Zwróć uwagę na to,
że jeśli na dyskach były jakieś dane, masz możliwość sformatowania tych dysków lub usunięcia
ich poszczególnych partycji za pomocą przeznaczonych do tego narzędzi. Jeśli korzystasz
z pewnych specjalizowanych dysków, które wymagają określonych sterowników, możesz użyć
przycisku Load driver (Wczytaj sterownik), aby dodać je do kreatora instalacji w celu uzyskania
dostępu do tego rodzaju dysków.
60
Rozdział 2. • Instalowanie systemu Windows Server 2019 i zarządzanie nim
Ważne jest również, by zdać sobie sprawę z tego, że w przypadku większości nowych instalacji
serwerów nie ma potrzeby wykonywania jakiejkolwiek czynności. Na poniższym zrzucie
ekranu widzimy przycisk New (Nowy), którego można użyć w celu samodzielnego utworzenia
partycji dysku twardego. Wielu administratorów zakłada, że musi ją utworzyć, aby zainstalować
nowy system operacyjny.
W tym przypadku tak nie jest. Nie ma potrzeby tworzenia partycji, chyba że z jakiegoś konkret-
nego powodu chcesz ją skonfigurować samodzielnie. Jeśli Twój dysk twardy to tylko zbiór pu-
stych, nieprzydzielonych miejsc, nie musisz nic zrobić oprócz kliknięcia przycisku Next, a insta-
lator systemu Windows Server 2019 sam odpowiednio skonfiguruje partycje.
Otóż to! Zobaczysz, że instalator serwera zacznie kopiować pliki, instalować funkcje i rozmiesz-
czać wszystko na dysku twardym. Ta część instalatora pracuje samodzielnie przez kilka minut.
Gdy będziesz musiał ponownie wejść w interakcję z serwerem, instalator będzie już działać
w trybie graficznym, w którym możesz zdefiniować hasło administratora. Po wybraniu hasła
znajdziesz się na pulpicie systemu Windows. Teraz naprawdę jesteś gotowy, aby zacząć korzystać
z nowego systemu Windows Server 2019.
61
Windows Server 2019 dla profesjonalistów
opcji ról. Rola jest dokładnie tym, co sama jej nazwa wskazuje: instalacja określonej roli na ser-
werze określa rolę tego serwera w sieci. Innymi słowy, rola nadaje serwerowi jakiś cel w życiu.
Z drugiej strony funkcja jest raczej zestawem usług, które można zainstalować na serwerze.
Funkcje mogą uzupełniać określone role lub działać samodzielnie. W systemie Windows
Server 2019 dostępne są technologie, które nie są domyślnie instalowane ani włączane, po-
nieważ te funkcje nie byłyby używane we wszystkich okolicznościach. Wszelkie informacje
przekazane w dalszych rozdziałach tej książki są związane z funkcjonalnością zapewnianą
przez role i funkcje. Są one chlebem powszednim systemu Windows Server, a bez ich zainstalo-
wania serwery stają się w zasadzie tylko dobrymi przyciskami do papieru. Ponieważ w dalszych
rozdziałach nie poświęcimy już czasu na opisy instalacji każdej konkretnej roli lub funkcji,
przyjrzyjmy się teraz dokładniej najczęściej stosowanym praktykom, które wykorzystują
administratorzy, aby uzyskać odpowiednie role i funkcje na serwerach.
Ponieważ właśnie zalogowałeś się na serwerze, powinieneś wpatrywać się w pulpit nawigacyjny
Menedżera serwera. Pośrodku pulpitu nawigacyjnego zobaczysz łącza, które można klikać,
inaczej mówiąc — listę szybkiego uruchamiania pięciu różnych działań. Jeśli jeszcze tego nie
zrobiłeś, kliknij pierwsze i najważniejsze łącze, Configure this local server (Konfiguruj ten
serwer lokalny), aby uzyskać dostęp do podstawowej konfiguracji serwera.
Elementami, które prawdopodobnie należy zdefiniować, będą nazwa hosta dla serwera i adres IP.
Jeśli dołączasz serwer do istniejącej domeny, zazwyczaj zajmujesz się procesem wstępnej
konfiguracji przed wdrożeniem jakichkolwiek nowych ról. My jesteśmy jednak bardziej zaintere-
sowani samą instalacją roli, więc założymy, że skonfigurowałeś już te drobne opcje, pozwa-
lające na identyfikację serwera i łączność sieciową.
Kliknij więc drugie łącze, Add roles and features (Dodaj role i funkcje). Innym sposobem
uruchomienia tego samego kreatora jest kliknięcie w Menedżerze serwera menu Manage
(Zarządzaj) na górnym pasku, a następnie wybranie z listy rozwijanej opcji Add Roles and
Features (Dodaj role i funkcje). Spowoduje to przejście do takiego samego kreatora instalacji
roli, co zaprezentowano na pierwszym zrzucie ekranu na następnej stronie.
Najpierw zostanie wyświetlony ekran podsumowujący, dotyczący instalowania ról. Kliknij przy-
cisk Next (Dalej), aby go pominąć. Teraz przechodzimy do pierwszej interesującej opcji. Naj-
pierw zostanie zadane pytanie, czy chcemy kontynuować instalację opartą na rolach lub funk-
cjach, o czym wcześniej mówiliśmy. Należy jednak zwrócić uwagę na drugą opcję: Remote
62
Rozdział 2. • Instalowanie systemu Windows Server 2019 i zarządzanie nim
Desktop Services installation (Instalacja usług pulpitu zdalnego). Większość z nas uważa składniki
usług pulpitu zdalnego (RDS) systemu Windows Server za kolejną rolę, którą możemy wy-
brać podczas konfigurowania serwera, podobnie jak ma to miejsce w przypadku instalacji
dowolnej innej roli. Chociaż jest to w zasadzie prawdą, należy zauważyć, że RDS jest tak
funkcjonalnie odmienny od innych rodzajów ról, że po wybraniu drugiej opcji ścieżka pro-
wadząca do instalacji dowolnego z elementów RDS wywołuje własnego kreatora. Tak więc
jeśli kiedykolwiek będziesz szukać opcji dotyczącej instalacji RDS, a ten ekran po prostu
przeskoczysz, ponieważ podobnie jak ja jesteś bardzo przyzwyczajony do automatycznego
klikania przycisku Next, pamiętaj o cofnięciu się, aby poinformować kreatora, że chcesz się
zająć komponentem RDS — wówczas reszta ekranów odpowiednio się dostosuje.
63
Windows Server 2019 dla profesjonalistów
Ekran Server Selection (Wybieranie serwera docelowego) ma duże możliwości. Jeśli już wcze-
śniej definiowałeś jakąś rolę, prawdopodobnie szybko opuściłeś ten ekran przez kliknięcie
przycisku Next, aby przejść dalej. W zasadzie główne zadanie tego ekranu polega na zapytaniu,
gdzie chcesz zainstalować nową rolę lub funkcję. Domyślnie na wyświetlonej liście znajduje
się serwer, na którym jesteś właśnie zalogowany, dlatego kliknięcie przycisku Next w celu
kontynuowania jest bardziej niż prawdopodobne. Mamy tu jednak kilka innych ciekawych opcji.
Po pierwsze, jeśli Twój Menedżer serwera wie o istnieniu innych serwerów w sieci i został
skonfigurowany w celu ich monitorowania, będzie tu dostępna opcja zdalnego zainstalowania roli
lub funkcji na jednym z nich. Wkrótce omówimy tę możliwość. Następna rzadko wykorzystywa-
na funkcja na tej stronie polega na możliwości określenia, czy chciałbyś zainstalować rolę lub
funkcję na wirtualnym dysku twardym. W dzisiejszych czasach wielu z nas używa przede
wszystkim serwerów wirtualnych, dlatego nie jest wymagane, aby tego rodzaju serwer był włą-
czony w celu zainstalowania na nim roli lub funkcji! Możesz wybrać tę opcję, jeśli masz dostęp
do pliku VHDX, czyli pliku dysku twardego, z którego uruchamiany jest Menedżer serwera.
Pozwoli Ci to na umieszczenie nowej roli lub funkcji bezpośrednio na dysku twardym. W 99%
przypadków użycia tego ekranu będziesz jednak zalogowany bezpośrednio na serwerze, na któ-
rym zamierzasz zainstalować jakąś rolę, więc po prostu klikniesz przycisk Next, co zaprezento-
wano na poniższym zrzucie ekranu:
Została wyświetlona lista ról, które można zainstalować. Kliknięcie wiersza z nazwą roli pozwala
wyświetlić krótki opis dotyczący jej funkcjonowania. Podstawowe elementy infrastruktury
omówimy dokładniej w następnym rozdziale, co zapewni Ci dodatkowe informacje na temat
ról. Aby zainstalować rolę na naszym nowym serwerze, wystarczy zaznaczyć pole wyboru i klik-
nąć przycisk Next (Dalej). Ponieważ zamierzamy mieć kontroler domeny, wybiorę rolę Active
Directory Domain Services. Dodatkowo będę chciał, by serwer miał także zainstalowane
role DNS Server i DHCP Server. Nie trzeba uruchamiać jeszcze trzy razy tego samego
kreatora, aby zainstalować te wszystkie role. Mogę po prostu zaznaczyć je na liście i pozwolić
kreatorowi uruchomić wszystkie niezbędne instalatory. Gdy kliknąłem swoje pierwsze pole
wyboru, otrzymałem komunikat, że rola Active Directory Domain Services wymaga dodatko-
wych funkcji, aby mogła poprawnie działać. Jest to normalne zachowanie i będziesz mógł
w przyszłości zauważyć, że wiele ról wymaga zainstalowania dodatkowych składników lub
funkcji. Musisz tylko kliknąć przycisk Add Features (Dodaj funkcje), aby automatycznie do-
dać niezbędne elementy podczas procesu instalacji. Przykład tego pokazano na poniższym
zrzucie ekranu:
64
Rozdział 2. • Instalowanie systemu Windows Server 2019 i zarządzanie nim
Po zaznaczeniu wszystkich trzech ról czas kliknąć przycisk Next. Aby sytuacja była jasna: nie
musiałem instalować jednocześnie tych ról — nie wszystkie są od siebie zależne. Role te są bar-
dzo często instalowane na jednym serwerze, ale mógłbym je rozdzielić na różne serwery.
W większym środowisku możesz co prawda mieć usługi AD DS i DNS zainstalowane
wspólnie na jednym serwerze, ale mógłbyś umieścić rolę DHCP na oddzielnym serwerze i to
byłoby w porządku.
Konfiguruję ten serwer do obsługi małego środowiska laboratoryjnego, więc ma sens włączenie
tych podstawowych usług infrastruktury na jednej liście, co pokazano na pierwszym zrzucie
ekranu na następnej stronie.
Po kliknięciu przycisku Next pojawiła się strona, na której możemy zainstalować dodatkowe
funkcje systemu Windows Server 2019. Niekiedy możesz chcieć jedynie dodać konkretną
funkcję. Wówczas wszystkie ekrany związane z rolami zostaną pominięte, a Ty zostaniesz prze-
niesiony od razu do ekranu instalacji funkcji. Podobnie jak na ekranie instalacji roli, przejrzyj
jeszcze raz wszystkie funkcje, które chcesz zainstalować, a następnie ponownie kliknij przycisk
Next. W przypadku naszego kontrolera domeny nie wymagamy obecnie żadnych dodatkowych
funkcji, dlatego zakończę pracę kreatora, który rozpocznie instalację nowych ról.
W zależności od zainstalowanych ról lub funkcji oraz od tego, czy wymagają one ponownego
uruchomienia, po zakończeniu procesu instalacji może pojawić się monit o ponowny restart
serwera. Po powrocie do Menedżera serwera w górnej części ekranu pojawi się żółty trójkąt
z wykrzyknikiem. Kliknięcie go spowoduje wyświetlenie komunikatów o dalszych działaniach,
które będą wymagane w celu dokończenia konfiguracji nowych ról i uruchomienia ich na
65
Windows Server 2019 dla profesjonalistów
serwerze. Role dla usług AD DS, DNS i DHCP są teraz pomyślnie instalowane, ale trzeba
je dodatkowo skonfigurować, aby mogły one wykonywać swoją pracę. Na przykład, aby zakoń-
czyć przekształcanie swojego serwera w kontroler domeny, muszę przejść proces promowa-
nia w celu zdefiniowania domeny lub określenia tej, do której chcę dołączyć. Istnieją również
pewne czynności, które należy wykonać przed uruchomieniem usługi DHCP:
66
Rozdział 2. • Instalowanie systemu Windows Server 2019 i zarządzanie nim
Na serwerze chciałbym zainstalować funkcję Telnet Client. Używam klienta Telnetu dość regu-
larnie do testowania połączeń sieciowych, więc warto go mieć zainstalowanego na kompute-
rze. Niestety, moje okno programu PowerShell wyświetla obecnie informacje o wielu różnych
rolach i funkcjach, więc nie jestem pewien, jaka jest dokładna nazwa funkcji klienta Telnet.
Uruchommy więc ponownie polecenie Get-WindowsFeature, ale tym razem zastosujmy dodatkową
składnię, aby zmniejszyć ilość wyświetlanych informacji. Chcę zobaczyć tylko funkcje o nazwach
rozpoczynających się od liter TEL, jak pokazano na następującym przykładzie:
Get-WindowsFeature -Name TEL*
67
Windows Server 2019 dla profesjonalistów
Otóż to! Gdy znamy poprawną nazwę funkcji, możemy uruchomić polecenie, aby ją zainstalo-
wać, jak pokazano poniżej:
Add-WindowsFeature Telnet-Client
68
Rozdział 2. • Instalowanie systemu Windows Server 2019 i zarządzanie nim
Scentralizowane zarządzanie
i monitorowanie
Niezależnie od tego, czy instalujesz nowe role, wykonujesz kopie zapasowe i używasz progra-
mów konserwacyjnych, czy też rozwiązujesz problemy i naprawiasz system, warto, żebyś logował
się na tym właśnie serwerze, który zamierzasz obsługiwać. Dawno temu oznaczało to pod-
chodzenie do fizycznego serwera i logowanie się za pomocą klawiatury i myszy podłączonych
bezpośrednio do sprzętu. Później, wciąż całkiem sporo lat temu, stało się to uciążliwe, technolo-
gia zaś rozwinęła się do takiego poziomu, że pojawił się protokół zdalnego pulpitu (RDP).
Zaczęliśmy się więc logować do swoich serwerów zdalnie, za pomocą RDP. Mimo że ten
protokół istnieje już od wielu lat, wciąż jest niezwykle potężnym i bezpiecznym narzędziem,
które pozwala na szybkie i komfortowe łączenie się z serwerami wprost z biurka. Jeśli tylko sieć
ma odpowiednią topologię i zapewnione trasy routingu, możesz pracować na serwerze znajdują-
cym się po drugiej stronie świata tak sprawnie, jakby był on umieszczony w szafie obok Ciebie.
Niedawno przeczytałem, że zostały wydane pierwsze zezwolenia na wydobywanie kopalin
w kosmosie. Zastanów się więc nad swoim centrum danych! Może kiedyś będziemy używać RDP
do łączenia się z serwerami znajdującymi się w kosmosie. Co roku mam okazję współpracować
z dziesiątkami nowych firm i chociaż istnieją różne narzędzia pozwalające na zdalne zarządzanie
infrastrukturą serwerów, RDP jest platformą, którą wybiera 99% administratorów.
Dlaczego wspominamy o protokole RDP? Ponieważ system Windows Server 2019 zawiera
pewne narzędzia, które sprawiają, że jest on znacznie mniej potrzebny w naszej codziennej
pracy. Idea scentralizowanego zarządzania serwerami rozwijała się w kilku ostatnich wersjach
systemu operacyjnego Windows Server. Większość z nas obsługuje tak wiele serwerów, że co-
dzienne logowanie się na nie zajmowałoby zbyt dużo czasu. Potrzebujemy narzędzi, które mo-
żemy wykorzystać, aby nasze zarządzanie i monitorowanie, a nawet procesy konfiguracyjne
były bardziej wydajne, dzięki czemu będziemy mieli czas na ważniejsze projekty.
Menedżer serwera
Jeśli ostatnio pracowałeś w systemie Windows Server, wiesz o tym, że po zalogowaniu jest wy-
świetlane automatycznie duże okno na pulpicie. Tym programem jest Server Manager (Menedżer
serwera). Jak sama nazwa wskazuje, ma on za zadanie wsparcie w zarządzaniu serwerem.
Jednak z mojego doświadczenia wynika, że większość administratorów nie korzysta z Mene-
dżera serwera. Zamiast tego zamykają go tak szybko, jak to możliwe, i przeklinają pod nosem,
ponieważ jego okno wyskakuje i denerwuje ich podczas każdego logowania do serwera przez
ostatnie 10 lat.
Nie rób tak! Ten program jest to po, aby Ci pomóc. Poniższy zrzut ekranu przedstawia domyślny
widok Menedżera serwera na moim nowym kontrolerze domeny:
69
Windows Server 2019 dla profesjonalistów
W tym programie, który się automatycznie otwiera, podoba mi się to, że umożliwia on szybkie
sprawdzenie, co jest obecnie zainstalowane na serwerze. Kolumna po lewej stronie prezentuje
listę ról zainstalowanych i możliwych do zarządzania. Kliknięcie każdej z nich powoduje
przejście do bardziej szczegółowej konfiguracji i dostępnych opcji. Często podczas pracy nad
projektem przełączam się między wieloma różnymi serwerami, a pozostawienie otwartego
Menedżera serwera pozwala mi szybko sprawdzić, czy znajduję się na właściwej maszynie.
Bardzo interesująca jest również sekcja Roles and Server Groups (Role i grupy serwerów),
znajdująca się w dolnej części okna. Kolory na powyższym zrzucie ekranu nie są widoczne, ale
gwarantuję, że pozwalają bardzo szybko stwierdzić, czy usługi działające na serwerze działają
poprawnie. W tej chwili obie funkcje AD DS i DHCP działają normalnie — ich nazwy są
podkreślone ładną zieloną linią. Gdyby jednak którakolwiek z tych ról miała problemy, oznaczono
by to kolorem jaskrawoczerwonym, a ja mógłbym kliknąć dowolny z odnośników wyświetlo-
nych w nagłówkach ról, aby znaleźć problem.
W pobliżu prawego górnego narożnika ekranu zobaczysz kilka pozycji menu, z których dla
mnie najbardziej przydatna jest opcja Tools (Narzędzia). Kliknij ją, a zobaczysz listę wszystkich
dostępnych narzędzi administracyjnych do użycia na tym serwerze. Tak, jest to zasadniczo
ten sam folder narzędzi administracyjnych, który istniał w każdej z poprzednich wersji systemu
Windows Server. Obecnie jest on jednak przechowywany w innej lokalizacji. Z mojego doświad-
czenia wynika, że Server Manager jest teraz najłatwiejszym sposobem uzyskania z jednego
miejsca dostępu do niezliczonych narzędzi:
70
Rozdział 2. • Instalowanie systemu Windows Server 2019 i zarządzanie nim
Obszar centralny konsoli Menedżera serwera to sekcja zatytułowana Welcome to Server Manager
(Menedżer Serwera — zapraszamy). Poniżej znajduje się szereg łączy, które można klikać.
Pierwsze pozwala skonfigurować ustawienia specyficzne tylko dla lokalnego serwera. Drugie
łącze już przetestowaliśmy, gdy dodawaliśmy nową rolę do naszego serwera. Teraz sprawdzimy
trzecie: Add other servers to manage (Dodaj inne serwery do zarządzania).
Nawiasem mówiąc, tę samą funkcję można również wywołać przez kliknięcie górnego menu
Manage (Zarządzaj), a następnie wybranie opcji Add Servers (Dodaj serwery). Zostało to pokazane
na pierwszym zrzucie ekranu na następnej stronie.
71
Windows Server 2019 dla profesjonalistów
Po kliknięciu przycisku OK zobaczysz, że wygląd Menedżera serwera zmienił się, tak by wy-
świetlał on więcej informacji o serwerach i rolach, które są na nich zainstalowane. Gdy zalogu-
jesz się na którymś z nich, natychmiast zobaczysz krytyczne informacje dotyczące działania
wszystkich systemów, które zamierzasz dodać. Możesz nawet użyć oddzielnego serwera,
który byłby przeznaczony wyłącznie do zarządzania. Jestem obecnie zalogowany na zupełnie
nowym serwerze o nazwie CA1. Nie ma tam zainstalowanych żadnych ról, więc Menedżer
serwera — w domyślnej konfiguracji — wygląda dość prosto. Gdy tylko dodam inne serwery
(moje kontrolery domeny) w celu zarządzania nimi, mój Menedżer serwera na maszynie CA1
będzie znał wszystkie szczegóły dotyczące działania zarówno jej, jak i moich kontrolerów
domeny, dzięki czemu na jednym panelu będę mógł wyświetlić informacje o całej infrastruktu-
rze. Jak widać na poniższym zrzucie ekranu, wyświetlonych zostało nawet kilka znaczników
wskazujących, że w mojej infrastrukturze niektóre usługi nie działają poprawnie:
72
Rozdział 2. • Instalowanie systemu Windows Server 2019 i zarządzanie nim
Kliknięcie łącza All Servers (Wszystkie serwery) lub jednej z określonych ról zapewnia jeszcze
bardziej wyczerpujące informacje pobrane ze zdalnych serwerów. Dodanie wielu serwerów
do Menedżera serwera jest przydatne nie tylko do ich monitorowania; przyda się również do
modyfikowania konfiguracji. Czy pamiętasz, że kilka stron wcześniej dodaliśmy nową rolę za
pomocą kreatora? Proces ten zmienił się i stał się teraz bardziej wszechstronny, ponieważ połą-
czyliśmy nasz serwer z innymi maszynami w sieci.
Jeśli teraz zdecyduję się dodać nową rolę, wówczas po przejściu do ekranu z pytaniem, gdzie
chcę ją zainstalować, będę mógł wybrać także moje zdalne serwery, mimo że nie jestem na nich
zalogowany, co pokazano na poniższym zrzucie ekranu:
73
Windows Server 2019 dla profesjonalistów
Gdybym chciał zainstalować rolę AD DS na serwerze DC2, który będzie drugim kontrolerem
domeny w moim środowisku, nie musiałbym już się na nim logować. Właśnie tutaj, z Menedżera
serwera działającego na CA1, mogłem uruchomić kreatora dodawania ról i wskazać DC2
jako serwer, który chcę zmodyfikować, by następnie bezpośrednio z tego samego miejsca zain-
stalować na nim rolę.
Jeśli używasz systemu Windows 10 1809 lub nowszego, zestaw narzędzi RSAT został
już do niego dołączony. Jest on jednak opcjonalną funkcją, którą dopiero trzeba włączyć.
Robi się to w Ustawieniach systemu Windows, w kategorii Aplikacje, za pomocą przycisku
Zarządzaj funkcjami opcjonalnymi.
Uruchom więc Menedżera serwera — znajdź go w menu Start lub użyj paska wyszukiwania,
albo nawet powiedz: Hej, Cortana, otwórz Menedżera serwera. Przepraszam, nie mogłem się
powstrzymać. Bez względu na metodę otwórz Menedżera serwera na swoim komputerze,
a zobaczysz, że wygląda on i działa tak samo jak Menedżer serwera w systemie Windows
Server 2019. Na swoim komputerze klienckim możesz wykonać te same kroki co w systemie
operacyjnym serwera, aby dodać serwery w celu zarządzania nimi.
74
Rozdział 2. • Instalowanie systemu Windows Server 2019 i zarządzanie nim
75
Windows Server 2019 dla profesjonalistów
WAC może zarządzać Twoimi serwerami (począwszy od wersji Server 2008 R2), ich klastrami,
a nawet ma pewne specjalne funkcje służące do zarządzania klastrami infrastruktury hiperkon-
wergentnej. Możesz także zarządzać komputerami klienckimi z systemem Windows 10.
76
Rozdział 2. • Instalowanie systemu Windows Server 2019 i zarządzanie nim
Ile kosztuje to niesamowicie potężne narzędzie? Nic, jest rozdawane za darmo! Jeśli
interesowała Cię działalność firmy Microsoft w ciągu ostatniego roku, być może spo-
tkałeś się już z tym narzędziem w takiej czy innej formie. Czy słowa Project Honolulu
brzmią znajomo? Tak, Windows Admin Center to Project Honolulu, w końcu gotowy
do zastosowań produkcyjnych.
Windows Admin Center obsługuje nawet zewnętrznych dostawców, którzy mogą tworzyć
rozszerzenia interfejsu, więc to narzędzie będzie się wciąż rozwijało. Jeśli do tej pory naślado-
wałeś na swoim serwerze modyfikacje laboratorium testowego wprowadzone w tej w książce,
na pewno będziesz pamiętać Windows Admin Center z treści zawartej w wyskakującym oknie,
które pojawia się przy każdym otwarciu Menedżera serwera. Firma Microsoft tak bardzo
chce, aby administratorzy dowiedzieli się o aplikacji WAC, że przypomina Ci o tym narzę-
dziu za każdym razem, gdy logujesz się do serwera Server 2019. Widać to na poniższym
zrzucie ekranu:
77
Windows Server 2019 dla profesjonalistów
Po pobraniu wystarczy uruchomić instalator na komputerze hosta. Jest kilka prostych decyzji,
które należy podjąć w kreatorze instalacji. Najbardziej zauważalny jest ekran, na którym
określasz ustawienia portu i certyfikatu. W środowisku produkcyjnym najlepszym rozwiązaniem
będzie użycie portu 443 i podanie ważnego certyfikatu SSL, aby ruch do tej witryny i z niej
był odpowiednio chroniony przez protokół HTTPS. W swoim małym laboratorium zamierzam
użyć portu 443 z certyfikatem z podpisem własnym — wyłącznie do celów testowych. Nie
używaj certyfikatów z podpisem własnym w trybie produkcyjnym!
78
Rozdział 2. • Instalowanie systemu Windows Server 2019 i zarządzanie nim
glądarką. Microsoft zaleca Edge, ale WAC współpracuje również z Chrome1. Jestem zalo-
gowany na swojej stacji roboczej z systemem Windows 10, więc po prostu otworzę przeglą-
darkę Edge i spróbuję przejść do nowej witryny, jak pokazano na poniższym zrzucie ekranu:
Pojawi się ostrzeżenie dotyczące certyfikatu. Tego należało się spodziewać, ponieważ używamy
certyfikatu z podpisem własnym, co nie jest dobrym pomysłem. Jego użycie uzasadniam jedynie
tym, że pracuję w laboratorium testowym. Bardziej interesującym zdarzeniem związanym
z powyższym zrzutem ekranu jest jednak to, że pojawi się okno z prośbą o podanie poświad-
czeń. Mimo że zalogowałem się na komputerze z systemem Windows 10, który jest podłączony
do domeny, więc wykorzystuję jej poświadczenia, witryna internetowa WAC nie próbuje ich
automatycznie użyć, ale raczej stara się dowiedzieć, kim jest użytkownik. Jeśli po prostu podam
tutaj poświadczenia mojej domeny, zostanie mi przedstawiony interfejs Windows Admin Center,
jak pokazano na poniższym zrzucie ekranu:
1
Firefox również działa poprawnie — przyp. tłum.
79
Windows Server 2019 dla profesjonalistów
80
Rozdział 2. • Instalowanie systemu Windows Server 2019 i zarządzanie nim
Zarządzanie serwerem
przy użyciu Windows Admin Center
Rozpoczęcie zarządzania serwerem z poziomu WAC jest równie proste jak kliknięcie jego na-
zwy. Jak widać na poniższym zrzucie ekranu, wybrałem serwer DC1, ponieważ jest to obecnie
jedyna maszyna z zainstalowanymi i uruchomionymi prawdziwymi rolami:
Za pomocą powyższego interfejsu mogę zarządzać wieloma różnymi aspektami systemu opera-
cyjnego w swoim serwerze DC1. Są dostępne funkcje kontroli zasilania, jest możliwość urucha-
miania kopii zapasowych — mogę stąd nawet instalować certyfikaty! Możesz monitorować
wydajność serwera, przeglądać dzienniki zdarzeń, modyfikować ustawienia lokalnej zapory
systemu Windows i uruchamiać zdalne połączenie PowerShell z serwerem. Windows Admin
Center został stworzony po to, aby być kompleksowym punktem obsługi, zdalnie zarządzającym
Twoimi serwerami. Myślę, że jest on na dobrej drodze do tego celu.
W swoim laboratorium nie mam co prawda jeszcze żadnych instancji systemu Server Core,
ale zapewniam, że WAC może być używany do zarządzania nimi, a także serwerami w wersji
Desktop Experience. To sprawia, że Windows Admin Center staje się jeszcze bardziej wydajnym
i intrygującym narzędziem dla administratorów serwerów.
81
Windows Server 2019 dla profesjonalistów
Zanim zacznę dokładniej opisywać proces Sysprep, chciałbym wcześniej wspomnieć, że w infra-
strukturze Windows dostępnych jest więcej odpowiednich technologii, które umożliwiają
automatyczne wdrażanie systemu operacyjnego oraz instalowanie serwerów i mogą uczynić
ten proces jeszcze łatwiejszym, niż to narzędzie, o którym właśnie zamierzam opowiedzieć.
Problem z niektórymi zautomatyzowanymi technologiami polega na tym, że infrastruktura
wymagana do ich prawidłowego działania jest bardziej zaawansowana niż ta, która jest dostępna
dla większości osób dopiero uczących się obsługi systemu Windows Server. Innymi słowy,
dostępność w pełni zautomatyzowanego mechanizmu wdrażania serwerów nie jest zbyt realna
w małych środowiskach lub laboratoriach testowych, których większość z nas używa, ucząc się
nowych technologii.
Nie przeanalizujemy więc dokładniej automatycznych metod instalowania serwerów, ale po-
święcimy kilka minut dodatkowej pracy na naszej pierwszej maszynie, co następnie pozwoli
zaoszczędzić mnóstwo czasu na każdym innym serwerze, który zbudujemy później. Głównym
elementem całego procesu jest narzędzie Sysprep, które jest umieszczane we wszystkich wer-
sjach systemu Windows, dzięki czemu można je uruchomić na dowolnym komputerze, niezależ-
nie od tego, czy jest to klient czy serwer.
Sysprep to narzędzie, które przygotowuje system do wykonania duplikatu. Jego oficjalną nazwą
jest Microsoft System Preparation Tool. Mówiąc krótko, narzędzie pozwala utworzyć dla serwera
obraz wzorcowy, którego następnie można użyć dowolną liczbę razy w celu zainstalowania
dodatkowych maszyn. Kluczową zaletą korzystania z programu Sysprep jest to, że na swoim
serwerze możesz wprowadzić niestandardowe ustawienia i wcześniej zainstalować takie składniki
jak aktualizacje Windows, co spowoduje, że te wszystkie konfiguracje i łatki pojawią się w Twoim
obrazie wzorcowym. Korzystanie z Sysprep pozwala zaoszczędzić czas, ponieważ nie trzeba
przeprowadzać instalacji systemu operacyjnego. Dodatkowo oszczędzamy czas dzięki temu, że
nie czekamy, aż funkcja aktualizacji Windows zainstaluje wszystkie bieżące poprawki w każdym
nowo tworzonym systemie. W tym miejscu niektórzy czytelnicy mogą się zastanawiać, dlaczego
Sysprep jest w ogóle potrzebny.
82
Rozdział 2. • Instalowanie systemu Windows Server 2019 i zarządzanie nim
Przecież jeśli chcesz sklonować serwer główny, możesz po prostu użyć narzędzia do tworzenia
obrazu dysku twardego lub (jeśli masz do czynienia z maszynami wirtualnymi) skopiować i wkleić
sam plik VHDX. Zgadza się, jednakże dużym problemem jest to, że właśnie utworzony nowy
obraz lub dysk twardy będzie dokładną repliką oryginalnego. Nazwa hosta będzie taka sama,
a co ważniejsze, identyczne będą również niektóre podstawowe informacje identyfikacyjne
w systemie Windows, takie jak numer identyfikatora zabezpieczeń systemu operacyjnego
(SID). Jeśli włączyłbyś zarówno oryginalny serwer główny, jak i nowy serwer oparty na dokład-
nej replice, spowodowałbyś konflikty i kolizje w sieci, ponieważ te dwie maszyny walczyłyby
o swoje prawo do bycia jedynym serwerem o unikatowej nazwie i wartości SID. Ten problem
nasila się w środowiskach domenowych, gdzie jeszcze ważniejsze jest, aby każdy system w sieci
miał unikatowe identyfikatory SID oraz GUID (identyfikator w usłudze Active Directory).
Jeśli utworzysz dokładne kopie serwerów i uruchomisz je, założę się, że żaden z nich nie będzie
zadowolony z tej sytuacji.
Narzędzie Sysprep rozwiązuje wszystkie problemy pojawiające się w procesie duplikacji syste-
mu przez zastosowanie losowo generowanych identyfikatorów. Aby przygotować się do wdroże-
nia wielu serwerów przy użyciu obrazu wzorcowego utworzonego za pomocą Sysprep, należy
wykonać następujące działania:
1. Zainstaluj system Windows Server 2019 na nowym serwerze.
2. Skonfiguruj ustawienia i aktualizacje na tym serwerze.
3. Uruchom narzędzie Sysprep, aby przygotować i wyłączyć serwer główny.
4. Utwórz swój wzorcowy obraz dysku.
5. Wdrażaj nowe serwery z użyciem kopii obrazu wzorcowego.
83
Windows Server 2019 dla profesjonalistów
maszynach. To, co przed chwilą powiedziałem, może być nieco mylące, ponieważ wcześniej
mówiłem, aby nie instalować ról na serwerze głównym. Wynika to z faktu, że instalacja roli
powoduje wiele zmian w systemie operacyjnym. Niektóre z instalowanych ról wiążą się z okre-
śloną nazwą hosta zdefiniowanego w systemie. Jest bardzo prawdopodobne, że tego typu
rola przestałaby działać, gdyby została sklonowana na nowym serwerze. Modyfikacje, które
można wprowadzić na serwerze głównym, to między innymi umieszczanie plików i folderów,
które mogą być potrzebne na wszystkich serwerach, na przykład katalogu Narzędzia administra-
cyjne lub czegoś podobnego. Możesz także uruchamiać lub zatrzymywać usługi, które powinny
być tak samo zdefiniowane na każdym z Twoich serwerów, a także zmieniać ustawienia rejestru,
jeśli jest to element normalnego procesu przygotowywania serwera lub jego hardeningu.
Niezależnie od wprowadzonych modyfikacji warto wykonać pełen zestaw testów na pierwszym
nowym serwerze zbudowanym na podstawie obrazu wzorcowego, aby upewnić się, że wszystkie
zmiany zostały poprawnie zaakceptowane przez proces Sysprep.
Teraz możesz też zezwolić na zainstalowanie w nowym serwerze tych poprawek Windows,
które powinny się w przyszłości pojawić na wszystkich pozostałych maszynach. Nie ma nic
bardziej frustrującego niż instalacja nowego systemu operacyjnego w 5 minut, a następnie
czekanie 4 godziny na wgranie wszystkich aktualizacji i poprawek, zanim będzie można sko-
rzystać z nowego serwera. Jeśli uwzględnisz te wszystkie składniki w obrazie wzorcowym,
oszczędzisz czas, który w przeciwnym razie musiałbyś poświęcić na ich pobieranie i instalację
dla każdego z nowo tworzonych serwerów.
Aby oszczędzić czas i siły, twórz co kilka miesięcy nowe kopie obrazów wzorcowych.
W ten sposób najnowsze poprawki zawsze będą dołączane do obrazu wzorcowego,
co pozwoli zaoszczędzać coraz więcej czasu przez cały okres użytkowania systemu
Windows Server 2019.
84
Rozdział 2. • Instalowanie systemu Windows Server 2019 i zarządzanie nim
Ponieważ do narzędzia Sysprep zawsze używam tego samego zestawu opcji, wolę po prostu
użyć wszystkich niezbędnych przełączników bezpośrednio w wierszu poleceń, dzięki czemu
całkowicie pomijam ekran graficzny. Oto kilka informacji o różnych przełącznikach, które można
wykorzystać:
/quiet: nakazuje programowi, aby nie wyświetlał na ekranie komunikatów
o swoim działaniu.
/generalize: określa, że Sysprep powinien usunąć wszystkie unikatowe informacje
systemowe (SID) z instalacji systemu Windows, dzięki czemu końcowego obrazu
będzie można używać na wielu komputerach w sieci, ponieważ każda nowa
maszyna wygenerowana z niego otrzyma odmienny, unikatowy SID.
/audit: powoduje ponowne uruchomienie komputera w specjalnym trybie audytu,
w którym przed wykonaniem finalnego obrazu masz możliwość dodania
niestandardowych sterowników do systemu Windows.
/oobe: powoduje, że przy następnym uruchomieniu systemu Windows zostanie
uruchomiony kreator uproszczonej konfiguracji.
/reboot: uruchamia ponownie maszynę po zakończeniu działania narzędzia
Sysprep.
/shutdown: wyłącza system (nie wykonuje restartu) po zakończeniu działania
narzędzia Sysprep. Jest to ważny przełącznik i zazwyczaj go używam.
/quit: zamyka narzędzie Sysprep po zakończeniu jego działania.
/unattend: można utworzyć specjalny plik answerfile, który będzie używany
w połączeniu z procesem Sysprep w celu dalszej konfiguracji nowych serwerów,
gdy staną się dostępne w sieci. Na przykład w tym pliku można określić, że określony
instalator lub plik wsadowy powinien zostać uruchomiony przy pierwszym
uruchomieniu systemu Windows już po użyciu narzędzia Sysprep. Może to być
przydatne do wykonywania wszelkiego rodzaju zadań porządkujących, na przykład
pliku wsadowego usuwającego wpisy w plikach dzienników po pierwszym
uruchomieniu nowo utworzonych serwerów.
85
Windows Server 2019 dla profesjonalistów
Upewnij się, że serwer NIE uruchomi się ponownie z systemem Windows, dopóki nie
utworzysz obrazu wzorcowego lub nie wykonasz wzorcowej kopii pliku VHDX. Przy
pierwszym uruchomieniu systemu Windows zostanie utworzony nowy identyfikator
SID, a przecież chciałbyś, aby to działanie wykonało się tylko na nowych serwerach,
które utworzyłeś na podstawie nowego obrazu.
Po uruchomieniu tego polecenia zobaczysz, jak narzędzie Sysprep wykonuje pewne działania
w systemie Windows, a po kilku minutach wyłącza serwer, jak pokazano na poniższym zrzucie
ekranu:
86
Rozdział 2. • Instalowanie systemu Windows Server 2019 i zarządzanie nim
Gdy nowo utworzone serwery włączą się po raz pierwszy i uruchomią system Windows, pojawi
się na nich gotowy do użycia kreator uproszczonej konfiguracji. Ponadto system operacyjny
otrzyma w tle losową i unikatową nazwę hosta oraz wartość identyfikatora SID, dzięki czemu
będziesz mieć pewność, że w sieci nie występują żadne konflikty.
Na przykład serwer, nad którym pracowałem, otrzymał nazwę DC1 przed uruchomieniem
narzędzia Sysprep i utworzeniem obrazu wzorcowego, pierwotnie bowiem zamierzałem go
użyć jako kontrolera domeny w mojej sieci. Ponieważ jednak nie zainstalowałem na nim odpo-
87
Windows Server 2019 dla profesjonalistów
wiedniej roli ani nie skonfigurowałem żadnej związanej z nią domeny, był on idealnym kandy-
datem do zaprezentowania działania procesu Sysprep, więc użyłem go przykładowo podczas
pisania tej książki. Uruchomiłem na nim narzędzie Sysprep, zamknąłem go, wykonałem kopię
jego pliku VHDX (która stała się wzorcowym plikiem obrazu), a następnie ponownie go uru-
chomiłem. Teraz we właściwościach systemu możesz zauważyć, że nazwa hosta stała się losowa,
zatem jeśli nadal chciałbym używać tego serwera jako DC1, musiałbym ją zmienić, gdy zakończy
się wczytywanie systemu poprzez kreatora uproszczonej konfiguracji, co pokazano na poniższym
zrzucie ekranu:
Mam nadzieję, że zaprezentowany przeze mnie proces pomoże zaoszczędzić czas podczas two-
rzenia nowych serwerów w Twoim środowisku. Wypróbuj go koniecznie następnym razem,
gdy będziesz musiał zainstalować nową maszynę! Możesz dodatkowo skorzystać z narzędzia
Sysprep, przechowując wiele różnych plików obrazów wzorcowych. Być może masz kilka ro-
dzajów serwerów, które regularnie instalujesz. Nic nie stoi na przeszkodzie, abyś utworzył od-
powiednią liczbę serwerów głównych, a na ich podstawie — różne obrazy wzorcowe.
Podsumowanie
Każdy, kto jest zainteresowany stanowiskiem administratora systemu Windows Server, musi
wprawnie instalować serwery i nimi zarządzać. Te czynności stanowią ważną podstawę do dal-
szych działań. W dzisiejszym świecie IT powszechne stało się dokładne testowanie nowych
wersji systemu operacyjnego, zarówno dlatego, że dzięki technologiom wirtualizacji zasoby
sprzętowe serwera są dla nas tak łatwo dostępne, jak też dlatego, że większość systemów bizne-
sowych jest teraz projektowana w taki sposób, by działać bezprzerwowo. Taki poziom niezawod-
ności wymaga bardzo dokładnego testowania wszelkich zmian platformy. Aby przeprowadzić
testy systemu operacyjnego Windows Server 2019 w swoim środowisku, będziesz musiał po-
święcić sporo czasu na wielokrotne wykonywanie podstawowych procesów instalacyjnych.
Mam nadzieję, że dobrze wykorzystasz sugestie zawarte w tym rozdziale, aby zaoszczędzić
dodatkowe cenne minuty podczas wykonywania tych zadań w świecie systemów Windows
Server.
Wiele lat temu sporo wysiłku włożono w ustalenie, które role i usługi mogłyby współistnieć,
ponieważ wówczas liczba dostępnych serwerów była ograniczona. Dzięki nowemu paradygma-
towi wirtualizacji i chmury wiele firm ma właściwie nieograniczoną liczbę serwerów, które
mogą być uruchamiane, a to oznacza, że obsługujemy znacznie większą liczbę maszyn, które
wykonują te same zadania i funkcje. Procesy zarządzania i administrowania tymi serwerami stają
88
Rozdział 2. • Instalowanie systemu Windows Server 2019 i zarządzanie nim
się wówczas kosztami działów IT, dlatego zastosowanie scentralizowanych narzędzi i rozwiązań
dostępnych w systemie Windows Server 2019 pozwala zaoszczędzić sporo czasu i wysiłku
podczas codziennej pracy. W następnym rozdziale przyjrzymy się podstawowym usługom
infrastrukturalnym.
Pytania
1. Jak nazywa się nowe sieciowe narzędzie służące do centralnego zarządzania
serwerami firmy Microsoft (wcześniej znane jako Project Honolulu)?
2. Windows Server 2019 musi zostać zainstalowany na sprzęcie serwerowym
umożliwiającym montaż w szafie — prawda czy fałsz?
3. Jeśli wybierzesz domyślną opcję instalacji systemu Windows Server 2019, uzyskasz
interfejs użytkownika podobny do systemu Windows 10 — prawda czy fałsz?
4. Jak nazywa się polecenie cmdlet programu PowerShell, które wyświetla obecnie
zainstalowane role i funkcje w systemie Windows Server 2019?
5. Menedżera serwera można używać do zarządzania wieloma różnymi serwerami
jednocześnie — prawda czy fałsz?
6. Jak nazywa się zestaw narzędzi, który można zainstalować na komputerze z systemem
Windows 10 w celu uruchomienia Menedżera serwera?
7. Jakie przeglądarki internetowe mogą być używane z platformą Windows
Admin Center?
89
Windows Server 2019 dla profesjonalistów
90
3
Podstawowe usługi
infrastrukturalne
Serwer jest przeznaczony do obsługi danych. Rodzaje danych, które udostępnia, oraz cel,
jakiemu one służą, zależą całkowicie od tego, jakie role serwer powinien obsługiwać. Musisz
po prostu zainstalować role w systemie Windows Server 2019, aby móc coś zrobić. Wiesz
już, jak zainstalować role na serwerze, ale nie omawialiśmy żadnego związanego z nimi celu.
W tym rozdziale przyjrzymy się podstawowym rolom infrastrukturalnym dostępnym w systemie
Windows Server. Przeanalizujemy ogólne cele ról, a także zdefiniujemy wybrane zadania,
które są z nimi związane i które będziesz musiał codziennie wykonywać jako administrator
serwera.
Po utworzeniu domeny, w której możesz przechowywać różne dane, możesz następnie założyć
konta użytkowników i hasła, które będą wykorzystywane przez pracowników do uwierzytel-
niania. Następnie możesz dołączyć inne serwery i komputery do tej domeny, aby mogły akcep-
tować poświadczenia użytkowników i z nich korzystać. Posiadanie domeny i dołączenie urządzeń
do niej to tajny przepis na sukces, który pozwoli Ci przeglądać komputery w firmie i logować się
do każdego z nich przy użyciu własnej nazwy użytkownika i hasła, nawet jeśli nigdy wcze-
śniej tego w nich nie robiłeś. Jeszcze bardziej imponująca jest funkcjonalność umożliwiająca
aplikacjom kompatybilnym z usługą Active Directory uwierzytelnianie się w razie potrzeby
bezpośrednio w niej. Na przykład, gdy jako użytkownik domeny loguję się do komputera
w pracy przy użyciu swojej nazwy użytkownika i hasła, system operacyjny Windows działający
na moim komputerze kontaktuje się z serwerem kontrolera domeny i sprawdza, czy moje
hasło jest poprawne.
Gdy kontroler domeny potwierdzi, że naprawdę jestem tym, za kogo się podaję, wydaje token
uwierzytelniający i przesyła go z powrotem na mój komputer, dzięki czemu jestem w stanie
się zalogować. Później otwieram jakąś aplikację — powiedzmy, że jest nią Outlook, dzięki
któremu chcę uzyskać dostęp do swojej poczty e-mail. Ten program pocztowy został zapro-
92
Rozdział 3. • Podstawowe usługi infrastrukturalne
jektowany w taki sposób, aby połączyć się z serwerem poczty elektronicznej zwanym serwerem
Exchange, a następnie uwierzytelnić się na nim, by się upewnić, że zostanie udostępniona
skrzynka pocztowa należąca do mnie, a nie do jakiegoś innego użytkownika. Czy to oznacza,
że muszę ponownie wprowadzić nazwę użytkownika i hasło do programu Outlook lub jakiejkol-
wiek innej aplikacji, którą otwieram z komputera? Otóż nie. Powodem, dla którego nie mu-
szę ponownie wprowadzać danych uwierzytelniających, jest to, że moja nazwa użytkownika,
mój komputer i serwery aplikacji są częścią domeny. Jeśli jest to prawdą i dotyczy większo-
ści sieci, mój token uwierzytelniania może być współużytkowany przez różne programy.
Gdy więc zaloguję się do komputera, moje programy będą mogły uruchamiać się i otwierać,
a także przekazywać dane uwierzytelniające poprzez serwer aplikacji bez potrzeby żadnych
dodatkowych działań z mojej strony. Byłoby to naprawdę frustrujące doświadczenie, gdyby-
śmy wymagali od swoich użytkowników wprowadzania haseł za każdym razem, gdy otwie-
rają programy, których potrzebują do wykonywania swojej pracy.
Pierwszy skonfigurowany kontroler domeny będzie miał pełne uprawnienia do zapisu oraz
będzie mógł przyjmować dane od przyłączonych do domeny użytkowników i komputerów
pracujących w sieci. W rzeczywistości większość kontrolerów domeny w sieci będzie najpraw-
dopodobniej w pełni funkcjonalna. Warto jednak poświęcić krótką chwilę, aby wspomnieć
o kontrolerze domeny o ograniczonym zakresie działania, zwanym kontrolerem domeny tylko
do odczytu (ang. Read-Only Domain Controller — RODC). Jak sama nazwa wskazuje, z kontro-
lera RODC można jedynie odczytywać dane. Modyfikacje, które mogą być wykonywane
w domenie, takie jak zmiana hasła lub utworzenie nowego konta użytkownika, są niemożliwe
przy użyciu kontrolera RODC. Zamiast tego kontrolery RODC czytają od innych, bardziej
tradycyjnych kontrolerów domeny dane katalogowe, a następnie wykorzystują je do weryfikacji
żądań uwierzytelnienia pochodzących od użytkowników i komputerów. Gdzie taki kontroler
domeny o ograniczonym dostępie miałby zastosowanie? Wiele firm instaluje je w mniejszych
oddziałach lub mniej bezpiecznych biurach, aby lokalne komputery w tych miejscach miały
szybki i łatwy dostęp do odczytu i uwierzytelniania w domenie, bez możliwości naruszania
polityki bezpieczeństwa związanego z dostępem nieautoryzowanego użytkownika do serwera
fizycznego i modyfikowania domeny w nieodpowiedni sposób.
Sama usługa Active Directory jest wystarczająco obszernym zagadnieniem, aby można było
jej poświęcić całą książkę, i rzeczywiście wiele napisano na jej temat. Skoro masz już podsta-
wową wiedzę na temat tego, czym ona jest i dlaczego powinniśmy jej używać w środowisku
Windows Server, zajmijmy się czymś bardziej praktycznym i skorzystajmy z niektórych narzędzi
zainstalowanych na kontrolerze domeny podczas instalacji roli AD DS.
93
Windows Server 2019 dla profesjonalistów
Chociaż okno wygląda trochę jak Eksplorator plików z drzewem folderów, nie są one tak na-
prawdę żadnymi katalogami. Większość folderów reprezentowanych przez ikony w kolorze żół-
tym jest znana pod nazwą jednostek organizacyjnych (ang. Organizational Units — OU).
Mam na myśli większość, ponieważ istnieje kilka poprawnych kontenerów, które służą do prze-
chowywania elementów, ale nie są one oficjalnie jednostkami organizacyjnymi. Te, które wskaza-
liśmy wcześniej, czyli Users i Computers, są w rzeczywistości kontenerami ogólnego zasto-
sowania i nie są prawdziwymi jednostkami organizacyjnymi. Jednak wszelkie nowe foldery,
które utworzysz w AD, będą jednostkami organizacyjnymi. Różnicę można zauważyć w wyglą-
dzie ikon. Na poniższych zrzutach ekranu widać, że niektóre ikony mają dodatkową grafikę
nałożoną na obraz reprezentujący folder. Tylko te katalogi, których ikony zawierają dodatkowy,
mały element, są prawdziwymi jednostkami organizacyjnymi.
94
Rozdział 3. • Podstawowe usługi infrastrukturalne
Konta użytkowników
Mamy już gotowe jednostki organizacyjne służące do przechowywania naszych obiektów,
stwórzmy więc nowego użytkownika. Załóżmy, że mamy nowego administratora serwera,
więc powinniśmy mu zdefiniować konto w usłudze Active Directory, aby mógł rozpocząć
pracę. Po prostu znajdź odpowiednią jednostkę organizacyjną, w której założysz konto, kliknij
prawym przyciskiem myszy jej ikonę i z menu podręcznego wybierz opcję New/User
(Nowy/Użytkownik). Pojawi się okno dialogowe umożliwiające wprowadzenie wszelkich
niezbędnych informacji, których AD potrzebuje do utworzenia nowego konta. Większość
z wyświetlonych pól jest zrozumiała, ale jeśli dopiero zaczynasz korzystać z usługi Active
Directory, chciałbym zwrócić uwagę na pole User logon name (Nazwa logowania użytkownika).
Wszelkie umieszczone w nim informacje będą stanowić oficjalną nazwę użytkownika w sieci.
Podczas każdego logowania się do komputera lub serwera będzie on musiał podać tę nazwę.
Po zakończeniu wprowadzania danych nasz nowy administrator będzie mógł użyć swojej nazwy
użytkownika i hasła w celu zalogowania się do komputerów i serwerów w sieci, oczywiście
w ramach zasad bezpieczeństwa ustanowionych na tych urządzeniach. Jest to jednak temat
następnego rozdziału.
95
Windows Server 2019 dla profesjonalistów
Grupy zabezpieczeń
Innymi przydatnymi jednostkami organizacyjnymi w usłudze Active Directory są grupy zabez-
pieczeń (ang. Security Groups). Jednostki organizacyjne pozwalają odróżnić typy i rodzaje
użytkowników od kont komputerowych, ale jak poradzić sobie w sytuacji, gdy swoją upo-
rządkowaną strukturę trzeba trochę „zanieczyścić krzyżowo”? Być może masz pracownika,
który zajmuje się kadrami i realizuje pewne operacje księgowe. Jeszcze bardziej prawdopodobne
jest, że tak skonfigurowałeś uprawnienia do plików i folderów na swoich serwerach plików,
aby tylko osoby należące do niektórych grup miały możliwość odczytu i zapisu w określonych
folderach. Zuzanna z działu HR musi mieć dostęp do folderu płac, ale Janek z tego samego
działu już nie. Zarówno Zuzanna, jak i Janek znajdują się w tej samej jednostce organizacyjnej,
więc na tym poziomie będą mieli te same uprawnienia i możliwości. Wyraźnie jednak potrzebu-
jemy innego sposobu ich rozróżnienia, aby tylko Zuzanna miała dostęp do informacji o liście
płac. Utworzenie grup zabezpieczeń w usłudze Active Directory umożliwia dodawanie i usuwa-
nie określonych kont użytkowników, kont komputerów, a nawet innych grup, dzięki czemu
możemy precyzyjnie określać dostęp do zasobów. Nowe grupy tworzysz w taki sam sposób jak
konta użytkowników. Wyszukujesz jednostkę organizacyjną, w której dana grupa powinna
się znajdować, klikasz prawym przyciskiem myszy i wybierasz opcję New/Group (Nowy/Grupa).
Po utworzeniu grupy kliknij ją prawym przyciskiem myszy i przejdź do opcji Properties
(Właściwości). Następnie możesz kliknąć zakładkę Members (Członkowie) — w tym miejscu
dodasz wszystkich użytkowników, którzy mają należeć do tej nowej grupy:
96
Rozdział 3. • Podstawowe usługi infrastrukturalne
97
Windows Server 2019 dla profesjonalistów
Co więc można zrobić, aby rozwiązać ten potencjalny problem? Odpowiedzią jest wstępne
przygotowanie kont domenowych dla nowych serwerów. Zasadniczo możesz wstępnie przygo-
towywać wszystkie nowe konta komputerowe, ale zazwyczaj jest to wymagane tylko w dużych
przedsiębiorstwach. Wstępne utworzenie konta komputera przypomina tworzenie nowego konta
użytkownika. Przed dołączeniem komputera do domeny tworzysz dla niego obiekt w usłudze
Active Directory. Zakładając obiekt przed procesem przyłączania komputera do domeny,
możesz wybrać, w której jednostce organizacyjnej będzie się on znajdować. Oprócz tego możesz
się upewnić, że będzie to jednostka organizacyjna z odpowiednimi ustawieniami i zasadami
bezpieczeństwa, które zamierzasz stosować na nowo utworzonym komputerze lub serwerze.
Zdecydowanie zalecam wstępne przygotowywanie kont komputerów w usłudze Active Directory
dla wszystkich nowych serwerów udostępnianych w sieci. Jeśli sprawisz, że stanie się to praktyką,
98
Rozdział 3. • Podstawowe usługi infrastrukturalne
stworzysz dobry nawyk, który nawet jeśli nie będzie zawsze wymagany, może Cię kiedyś
uratować przed koniecznością odbudowywania serwera, który zepsujesz przez zwykłe przyłą-
czenie go do swojej domeny.
Przygotowanie obiektu komputera jest niezwykle szybkie i proste — zróbmy to razem. W przy-
szłości planuję utworzyć system Windows Server obsługujący rolę dostępu zdalnego, aby
podłączać użytkowników mobilnych do sieci z ich domów, kawiarni itd. Niektóre komponenty
zawarte w roli Remote Access są „wybredne”, jeśli chodzi o bezpieczeństwo sieci, dlatego
wolałbym się upewnić, że mój nowy serwer RA1 nie otrzyma całego zestawu zasad blokowania,
gdy tylko dołączę go do domeny. Wcześniej utworzyłem jednostkę organizacyjną o nazwie
Remote Access Servers, a teraz wstępnie przygotuję w niej obiekt komputera dla swojego
serwera RA1.
Kliknij prawym przyciskiem myszy jednostkę OU Remote Access Servers, a następnie wybierz
opcję New/Computer (Nowy/Komputer). Potem w polu Computer name (Nazwa komputera)
podaj nazwę swojego serwera. Chociaż jeszcze nie utworzyłem serwera, planuję go nazwać RA1,
więc wpisuję tę nazwę w polu:
Otóż to! Za pomocą kilku prostych kliknięć myszą i przez wpisanie nazwy jednego serwera
przygotowałem (wstępnie utworzyłem) obiekt mojego komputera dla serwera RA1. Jeśli przyj-
rzysz się uważnie poprzedniemu zrzutowi ekranu, zauważysz, że możesz również ustalić,
którzy użytkownicy lub jakie grupy mogą dołączać ten konkretny komputer do domeny. Jeśli
planujesz zbudować nowy serwer i chciałbyś się upewnić, że będziesz jedyną osobą, która
może go dołączyć do domeny, powinieneś zaktualizować odpowiednie pole, aby spełnić ten
wymóg.
99
Windows Server 2019 dla profesjonalistów
Rozwijające się organizacje często znajdują się w sytuacji, w której muszą regularnie zarządzać
relacjami zaufania w wyniku przejęć biznesowych. Jeśli firma Contoso przejmie Fabrikam,
wówczas zakładając, że obie mają w pełni funkcjonalne środowiska domenowe, często korzystne
będzie wykonanie rozszerzonego procesu migracji w celu przeniesienia pracowników firmy
Fabrikam do Active Directory firmy Contoso, w przeciwnym razie należałoby ponieść
wszelkie straty związane z wyłączeniem sieci Fabrikam. Tak więc przez pewien czas obie
domeny musiałyby działać jednocześnie, mając ustanowioną relację zaufania między nimi.
100
Rozdział 3. • Podstawowe usługi infrastrukturalne
Jeśli znajdziesz się w sytuacji, w której konieczna będzie jakakolwiek migracja domeny, zainte-
resuj się narzędziem, którego możesz użyć. Nazywa się ono Active Directory Migration
Tool (ADMT) i może być bardzo przydatne w sytuacjach takich jak ta opisana wcześniej.
Gdybyś chciał się zapoznać z tym narzędziem, możesz je pobrać z następującego adresu:
https://www.microsoft.com/en-us/download/details.aspx?id=19188.
W takiej sytuacji narzędzie Active Directory Sites and Services staje się niezbędne. Za jego
pomocą budujesz różne fizyczne witryny i przypisujesz do nich kontrolery domeny. Użytkownicy
i komputery przyłączeni do domeny podlegają teraz regułom wprowadzonym za pośrednictwem
tego narzędzia, dzięki czemu zawsze łączą się ze swoimi lokalnymi kontrolerami domeny i uwie-
rzytelniają się na nich. To oszczędza czas, ponieważ połączenia są szybsze i bardziej wydajne,
a także chroni przed niepotrzebnym przesyłaniem danych po sieci WAN, co często oszczędza
także pieniądze.
Oto krótka prezentacja narzędzia Active Directory Sites and Services. Jak widać, na liście przed-
stawiono wiele lokalizacji, które są powiązane z odpowiednimi informacjami o podsieciach.
W ten sposób następuje odwzorowanie adresów IP na odpowiednie lokalizacje. Gdy komputer
kliencki przechodzi w tryb online, wie na podstawie adresu IP, którego używa, jakiej podsieci
jest częścią. Ten adres informuje także narzędzie Active Directory Sites and Services o tym,
101
Windows Server 2019 dla profesjonalistów
w której lokalizacji przebywa obecnie klient. Identyfikacja lokalizacji pomaga następnie usłudze
Active Directory w kierowaniu żądań uwierzytelnienia do odpowiednich kontrolerów domeny.
Wspomaga także inne składniki domeny, takie jak zasady grupy (które wkrótce omówimy),
ponieważ umożliwia przetwarzanie informacji specyficznych dla lokalizacji. Jeśli jesteś częścią
rozwijającej się organizacji, jest duża szansa, że pewnego dnia będziesz musiał skorzystać z tego
narzędzia:
Świetnym przykładem tej funkcjonalności jest główna strona narzędzia ADAC. Częstym zada-
niem pracowników pomocy technicznej w dowolnej sieci jest resetowanie haseł do kont użyt-
kowników. Bez względu na to, czy użytkownik zapomniał hasła, zmienił je ostatnio, ale wpisał
niepoprawnie, czy też administrator musiał zresetować hasło podczas rozwiązywania proble-
mów, ta czynność zwykle wymaga wielu kliknięć myszą w narzędziu Active Directory Users
and Computers. Na głównej stronie centrum administracyjnego usługi Active Directory mamy
obecnie dostępne szybkie łącze Reset Password (Resetowanie hasła). Przydatna jest także znaj-
dująca się obok funkcja Global Search (Wyszukiwanie globalne), która pobiera dowolny ciąg
102
Rozdział 3. • Podstawowe usługi infrastrukturalne
Jeśli klikniesz nazwę swojej domeny w drzewie nawigacyjnym znajdującym się po lewej stronie
okna, dokładniej poznasz możliwości ADAC. Jak widzimy, wyświetlane tutaj informacje są
pobierane z Active Directory i wyglądają tak samo jak te, które można zobaczyć w narzędziu
Active Directory Users and Computers. To prawda, z wyjątkiem tego, że zamiast musieć klikać
prawym przyciskiem myszy w celu wykonania administracyjnych czynności, takich jak tworzenie
nowych użytkowników lub wyszukiwanie, masz dostępnych po prawej stronie okna kilka opcji,
które pozwolą na szybki dostęp do odpowiednich funkcji. Interesujące są również łącza pozwa-
lające na podniesienie poziomu funkcjonalności lasu lub domeny. Wykonanie tych zadań za
pomocą klasycznych narzędzi wymaga najczęściej uruchomienia interfejsu Active Directory
Domains and Trusts. Jedną z największych zalet nowszego narzędzia ADAC jest to, że jest ono
w stanie udostępnić scentralizowany interfejs zarządzania, z którego można wykonywać zadania
wymagające w razie jego braku użycia wielu okien i konsol zarządzania. Czy dostrzegasz, że
zastosowano tu znajomą strategię polegającą na scentralizowanym zarządzaniu wszystkimi
aspektami środowiska w systemie Windows Server 2019?
103
Windows Server 2019 dla profesjonalistów
Jeśli w firmie istnieje mniejszy oddział z niewielką liczbą zatrudnionych osób, być może warto
mieć lokalny kontroler domeny, aby przetwarzanie danych logowania było szybkie i wydajne.
Ponieważ jednak nie potrafisz w pełni zarządzać bezpieczeństwem fizycznym w tym małym
biurze, wolałbyś nie używać tam w pełni funkcjonalnego kontrolera domeny, który ktoś mógłby
ukraść. W tym przypadku można wykorzystać kontroler RODC. Inna sytuacja dotyczy bez-
104
Rozdział 3. • Podstawowe usługi infrastrukturalne
piecznej sieci DMZ. Taką sieć strefową zwykle projektuje się pod kątem bardzo ograniczonego
dostępu, ponieważ jest podłączona do publicznego internetu. Niektóre z Twoich serwerów
i usług znajdujących się w sieci DMZ mogą wymagać dostępu do usługi Active Directory.
Nie chcesz jednakże otwierać kanału komunikacyjnego łączącego strefę DMZ z pełnoprawnym
kontrolerem domeny w sieci lokalnej. Możesz więc zdefiniować kontroler RODC w strefie DMZ,
nakazać mu buforowanie informacji potrzebnych do obsługi określonych serwerów, które się
w niej znajdują, i dzięki temu stworzyć znacznie bezpieczniejsze środowisko domeny lub
subdomeny.
Odpowiedzią jest potęga zasad grupy. Umożliwia ona tworzenie obiektów zasad grupy (ang.
Group Policy Objects — GPO) zawierających ustawienia i konfiguracje, które chcesz zastosować
do komputerów lub użytkowników w domenie Active Directory. Po utworzeniu obiektu GPO
z różnymi ustawieniami możesz umieścić go w odpowiednim miejscu katalogu domeny. Jeśli
masz zasadę, którą chciałbyś zastosować do wszystkich systemów komputerowych, możesz
przypiąć ją do odpowiedniej jednostki organizacyjnej lub grupy zabezpieczeń w usłudze
Active Directory, która zawiera wszystkie komputery stacjonarne dołączone do domeny. A może
utworzyłeś obiekt GPO, który dotyczy tylko komputerów z systemem Windows 7? Możesz
użyć odpowiedniego filtrowania, aby tylko określone systemy otrzymały zasady. Prawdziwą
magią jest to, że wprowadzanie ustawień odbywa się automatycznie — po prostu przez dołącze-
nie komputerów do Twojej domeny. Nie musisz wcale logować się na systemy klienckie, aby
przekazywać im ustawienia przez GPO. Za pomocą zasad grupy możesz dostosować lub zablo-
kować prawie wszystkie składniki w systemie operacyjnym Windows.
Po raz kolejny patrzę na listę dostępnych ról w moim systemie Windows Server 2019 i po
prostu nie widzę żadnej o nazwie Group Policy. Powtarzam: nie ma takiej roli! Okazuje się
jednak, że jeśli powtarzasz kroki wykonane podczas konfigurowania środowiska laboratoryjnego
w tej książce, masz już w pełni funkcjonalne zasady grupy w sieci. Wszystko, czego potrzebują
zasady grupy do działania, jest już zawarte w roli Active Directory Domain Services. Tak więc
jeśli w sieci zainstalowałeś kontroler domeny, masz również zasady grupy działające na tym sa-
mym serwerze, ponieważ wszystkie informacje, które one wykorzystują, są przechowywane
w katalogu. Instalacja roli AD DS jest wszystkim, czego potrzebujemy, aby korzystać z zasad
grupy. Taką rolę już zainstalowaliśmy na naszym kontrolerze domeny, zatem przejdźmy od razu
105
Windows Server 2019 dla profesjonalistów
do rzeczy i przeanalizujmy kilka zagadnień, które od razu pozwolą Ci zacząć korzystać w swoim
środowisku z zasad grupy. Przez lata współpracowałem z wieloma małymi przedsiębiorstwami,
które używały systemu Windows Server, ponieważ wszyscy tak właśnie robili. Niestety,
informatyk lub firma, która konfigurowała serwer, z pewnością nigdy nie powiedzieli niczego na
temat obiektów GPO, więc sytuacja wyglądała tak, że to potężne narzędzie po prostu było
schowane w pudełku, nikt go nie używał i mogło ono jedynie czekać na uwolnienie. Jeśli jeszcze
nie używasz obiektów zasad grupy, chcę, abyś otworzył to pudełko i dał im szansę.
Po otwarciu konsoli rozwiń nazwę lasu w drzewie nawigacyjnym znajdującym się po lewej
stronie okna, a następnie rozwiń opcję Domains (Domeny) i wybierz nazwę domeny. Wewnątrz
zobaczysz kilka znajomo wyglądających elementów. Będzie tam lista jednostek organizacyj-
nych, które utworzyłeś wcześniej, a także kilka innych folderów:
Wkrótce wyjaśnię, dlaczego znajduje się tu lista jednostek organizacyjnych. Na razie chciałbym
jednak omówić jeden obiekt zasad grupy, który zwykle znajduje się na jej górze, bezpośrednio
pod nazwą Twojej domeny. Nazywa się on Default Domain Policy (Domyślne zasady domeny).
106
Rozdział 3. • Podstawowe usługi infrastrukturalne
Ten obiekt GPO jest podczas instalacji domyślnie podłączony do usługi Active Directory i jest
stosowany do każdego użytkownika i komputera, który jest częścią katalogu domeny. Ponieważ
jest on aktywny od samego początku i używany przez wszystkie elementy katalogu, może
być centralnym miejscem pozwalającym na egzekwowanie globalnych zasad haseł lub reguł
bezpieczeństwa, które muszą obowiązywać wszystkich w firmie.
W tym miejscu możesz zobaczyć listę różnych dostępnych opcji umożliwiających konfigu-
rowanie zasad haseł w Twojej domenie. Dwukrotne kliknięcie dowolnego z tych ustawień
pozwala je zmodyfikować, a zmiana natychmiast zaczyna obowiązywać na wszystkich kompute-
rach przyłączonych w sieci do domeny. Na przykład widzimy, że domyślna wartość parametru
Minimum password length (Minimalna długość hasła) jest ustawiona na 7 znaków. Wiele firm
analizowało już zagadnienie związane ze standardową długością haseł w komputerach podłączo-
nych do sieci. Aby pozwolić infrastrukturze katalogowej zaakceptować podjętą decyzję, wystar-
czy zmodyfikować to pole. Zmiana minimalnej długości hasła na 12 znaków wymagałaby odpo-
wiednich modyfikacji dla wszystkich kont użytkowników przy następnym resetowaniu haseł.
Jeśli przyjrzysz się drzewu opcji w edytorze Group Policy Management Editor (Edytor za-
rządzania zasadami grupy), zauważysz, że istnieje niewiarygodnie duża liczba ustawień i konfi-
guracji, które można zmodyfikować za pomocą zasad grupy. Chociaż domyślne zasady domeny to
bardzo szybki i łatwy sposób na skonfigurowanie niektórych ustawień i przekazanie ich wszyst-
kim, należy ostrożnie wprowadzać zmiany w taki sposób. Za każdym razem, gdy wprowadzasz
107
Windows Server 2019 dla profesjonalistów
tu zmianę ustawienia, pamiętaj, że wpłynie ona na wszystkie obiekty w Twojej domenie, wlicza-
jąc w to Ciebie. Wiele razy będziesz jednak tworzyć zasady, które nie muszą mieć zastosowania
do wszystkich. W takich przypadkach zdecydowanie zaleca się unikanie domyślnych zasad do-
meny, a zamiast tego skonfigurowanie zupełnie nowego obiektu zasad grupy do zadania, które
zamierzasz zrealizować. W rzeczywistości niektórzy administratorzy zalecają, aby w ogóle nie
używać domyślnych zasad domeny, a w sytuacji, w której należy zdefiniować nowe ustawienia,
utworzyć oddzielny obiekt zasad grupy. W praktyce wiele firm korzysta z wbudowanych
domyślnych zasad domeny jedynie w celu spełnienia wymagań dotyczących złożoności haseł1.
Wszystkie inne modyfikacje lub ustawienia powinny zostać uwzględnione w nowym obiekcie
zasad grupy.
W konsoli zarządzania zasadami grupy kliknij prawym przyciskiem myszy folder o nazwie Group
Policy Objects (Obiekty zasad grupy), a następnie wybierz opcję New (Nowe). Nazwij odpowied-
nio swój nowy obiekt zasad grupy — mój nazywa się Adding Trusted Sites (Dodawanie zaufanych
witryn), a następnie kliknij przycisk OK. Nowy obiekt zasad grupy pojawi się teraz na liście
dostępnych obiektów, ale nie ma jeszcze zastosowania do żadnego użytkownika ani komputera.
Zanim przypiszemy komukolwiek ten nowy obiekt GPO, utwórzmy listę zaufanych witryn,
aby zasady zawierały odpowiednie informacje o konfiguracji. Mamy nowe zasady, ale obecnie są
one pozbawione jakichkolwiek ustawień.
1
Ponieważ w całej domenie jest możliwe użycie tylko jednej, wspólnej zasady dotyczącej złożoności
haseł, nie można utworzyć oddzielnego obiektu GPO, który pozwalałby na stosowanie innych ustawień
np. dla określonej jednostki organizacyjnej. Jedynym rozwiązaniem jest więc zdefiniowanie globalnych
ustawień w domyślnych zasadach domeny — przyp. tłum.
108
Rozdział 3. • Podstawowe usługi infrastrukturalne
Kliknij prawym przyciskiem myszy nowo utworzony obiekt zasad grupy i wybierz opcję Edit…
(Edytuj…). Następnie przejdź do opcji Computer Configuration/Policies/Administrative
Templates/Windows Components/Internet Explorer/Internet Control Panel/Security Page
(Konfiguracja komputera/Zasady/Szablony administracyjne/Składniki systemu Windows/Internet
Explorer/Internetowy panel sterowania/Strona zabezpieczeń). A nie mówiłem, że tam znaj-
dziemy to ustawienie?
Teraz dwukrotnie kliknij pozycję Site to Zone Assignment List (Lista przypisywanie witryn
do stref) i ustaw ją na Enabled (Włączone). Dzięki temu będziesz mógł kliknąć przycisk
Show… (Pokaż…), w którym wybierzesz strony internetowe i przypiszesz im strefy. Każde
ustawienie GPO zawiera dokładny opis, który dokładnie informuje, do czego służą i co oznaczają
określone opcje. Aby ustawić witryny jako zaufane, muszę nadać im wartość strefy równą 2.
Z ciekawości dodałem także witrynę, która nie powinna być dostępna dla moich użytkowników,
i nadałem jej wartość strefy równą 4, dzięki czemu strona badsite.contoso.com stała się elemen-
tem strefy witryn z ograniczeniami na wszystkich moich komputerach stacjonarnych. Oto
moja pełna lista — zobacz pierwszy rysunek na następnej stronie.
Czy to wszystko? Prawie. Gdy tylko kliknę przycisk OK, ustawienia zostaną zapisane w moim
obiekcie zasad grupy i będą gotowe do wdrożenia. Dotąd jednak nowego obiektu zasad gru-
py do niczego nie przypisałem, więc po prostu oczekuje on na zastosowanie.
109
Windows Server 2019 dla profesjonalistów
Wróć do konsoli zarządzania zasadami grupy i znajdź lokalizację, z którą chcesz połączyć ten
nowo utworzony obiekt GPO. Możesz połączyć obiekt zasad grupy z całą domeną w sposób
podobny do stosowania domyślnych zasad domeny, ale wówczas dotyczyłby wszystkich elemen-
tów. W rezultacie zacząłby on obowiązywać na każdym komputerze w sieci domeny. W naszej
sytuacji nie chcielibyśmy, aby ustawienia zaufanych witryn były globalne, dlatego utworzymy
łącze do określonej jednostki organizacyjnej. W ten sposób nowy obiekt zasad grupy będzie
miał zastosowanie tylko do komputerów przechowywanych w tej jednostce OU. Chciałbym
przypisać obiekt GPO do jednostki organizacyjnej Accounting Desktops, którą utworzyłem
wcześniej. Po prostu wyszukuję tę jednostkę OU, klikam ją prawym przyciskiem myszy, a na-
stępnie wybieram opcję Link an Existing GPO… (Połącz z istniejącym obiektem zasad grupy…):
Teraz widzę listę obiektów GPO, które można połączyć. Wybierz nowo utworzony obiekt
Adding Trusted Sites, a następnie kliknij przycisk OK — to wszystko! Nowy obiekt zasad grupy
jest teraz połączony z jednostką organizacyjną Accounting Desktops i zastosuje swoje ustawienia
do wszystkich komputerów, które w niej umieszczę.
Możesz połączyć obiekt zasad grupy z więcej niż jedną jednostką organizacyjną. Po prostu
wykonaj ponownie ten sam proces, tym razem wybrawszy inną jednostkę organizacyj-
ną, w której chcesz utworzyć łącze, a dany obiekt zasad grupy zacznie działać w obu
jednostkach organizacyjnych. Możesz również usunąć pojedyncze łącza po tym, jak klik-
niesz sam obiekt zasad grupy i wyświetlisz jego właściwości.
110
Rozdział 3. • Podstawowe usługi infrastrukturalne
Sekcja Filtrowanie zabezpieczeń jest wyświetlana po kliknięciu dowolnego obiektu zasad grupy
z poziomu konsoli zarządzania zasadami grupy. Otwórz więc konsolę GPMC i po prostu
kliknij jeden z obiektów zasad grupy. Po prawej stronie okna pojawi się zakładka Scope (Zakres).
W górnej części zakładki znajduje się obszar o nazwie Links (Linki), w którym pokazano łącza
aktywne dla danej zasady. W dolnej połowie zakładki wyświetlono sekcję Security Filtering
(Filtrowanie zabezpieczeń). Widzimy, że połączyłem mój obiekt zasad grupy z jednostką organi-
zacyjną Accounting Desktops, a ponadto ustawiłem dodatkowy filtr zabezpieczeń, aby tylko
komputery należące do grupy Accounting — Trusted Sites faktycznie wczytały ustawienia
z tego obiektu zasad grupy (zobacz rysunek na następnej stronie).
Inną ciekawą funkcją, którą można wykorzystać, jest zakładka Settings (Ustawienia),
znajdująca się na tym samym ekranie. Kliknij tę zakładkę, aby wyświetlić konfigurację
zdefiniowaną w Twoim obiekcie zasad grupy. Jest to bardzo przydatne do sprawdza-
nia obiektów GPO utworzonych przez kogoś innego, możesz bowiem się dowiedzieć,
które ustawienia zostały modyfikowane.
111
Windows Server 2019 dla profesjonalistów
Jak wspomniałem, mógłbyś zająć się dowolną z konsol zarządzania lub tematem dotyczącym
podstawowych usług infrastruktury w systemie Windows Server i stworzyć na tej podsta-
wie własną książkę. Tak właśnie zrobiłem w przypadku zasad grupy. Jeśli chcesz dowiedzieć
się więcej o zasadach grupy i sposobach, w jakie można je wykorzystać do zabezpiecze-
nia infrastruktury, zapoznaj się z książką Mastering Windows Group Policy (wyd. Packt,
https://www.packtpub.com/networking-and-servers/mastering-windows-group-policy).
DNS to usługa, która zazwyczaj jest dostarczana przez system Windows Server. Istnieje
jednak wiele różnych platform, poczynając od serwerów Linux, a kończąc na wyspe-
cjalizowanych urządzeniach zaprojektowanych specjalnie do zarządzania usługą DNS
w sieci, które można wykorzystać w tym celu. W przypadku większości sieci zoriento-
wanych na produkty firmy Microsoft, a także na potrzeby tej książki, założymy, że będziesz
chciał używać systemu Windows Server 2019 do obsługi roli DNS.
112
Rozdział 3. • Podstawowe usługi infrastrukturalne
Usługa DNS jest podobna do Active Directory, ponieważ jest strukturalną bazą danych, którą
często przechowuje się na serwerach kontrolera domeny i automatycznie dystrybuuje w sieci
do innych kontrolerów domeny i serwerów DNS. Baza danych AD zawiera informacje o samych
obiektach domeny, a usługa DNS jest odpowiedzialna za przechowywanie i rozpoznawanie
wszystkich nazw w sieci. Co mam na myśli, używając słowa „nazwy”? Za każdym razem, gdy
użytkownik lub komputer próbuje skontaktować się z dowolnym zasobem z użyciem jego
nazwy, DNS próbuje przekształcić ją w coś innego, aby zezwolić na ruch sieciowy do właściwego
miejsca docelowego. Przesyłanie danych z klienta do serwera odbywa się za pośrednictwem
sieci (zazwyczaj poprzez stos TCP/IP) przy wykorzystaniu adresu IP miejsca docelowego.
Gdy otwieram aplikację na komputerze, aby uzyskać dostęp do niektórych danych znajdujących
się na serwerze, mogę skonfigurować ją w taki sposób, aby komunikowała się bezpośrednio
z tym serwerem za pomocą jego adresu IP dostępnego w sieci.
Jeśli swojej aplikacji podam adres IP 10.10.10.15, wówczas zadziała ona bez problemu.
Gdybym w ten sposób skonfigurował setki różnych komputerów, z których każdy wskazywałby
na adresy IP, wszystko funkcjonowałoby poprawnie tylko przez jakiś czas. Ale nadejdzie
dzień, w którym z jakiegokolwiek powodu ten adres IP będzie wymagał zmiany. A może dodam
drugi serwer, aby rozdzielić obciążenie i obsłużyć zwiększony ruch użytkowników? Co należało-
by zrobić w takiej sytuacji? Musiałbyś ponownie zalogować się na każdym komputerze klienckim
i zaktualizować używany adres IP. Zdecydowanie nie jest to dobre rozwiązanie. Jest to jeden
z powodów, dla których DNS ma decydujące znaczenie dla sposobu projektowania infrastruktury
i zarządzania nią. Korzystając z DNS, możemy stosować nazwy zamiast adresów IP. Dzięki
DNS moja aplikacja może zostać skonfigurowana do komunikowania się z serwerem Server01
lub jakąkolwiek inną nazwą przypisaną do maszyny docelowej. Jeśli będę musiał później
zmienić adres IP, po prostu zmodyfikuję go w konsoli DNS i natychmiast wszystkie komputery
klienckie zaczną przypisywać nazwę Server01 do nowego adresu IP (inaczej mówiąc, rozwiązy-
wać ją). Mogę nawet użyć bardziej ogólnej nazwy, takiej jak intranet, i rozwiązywać ją na
wielu różnych serwerach. Omówimy to nieco później.
Za każdym razem, gdy komputer nawiązuje połączenie z serwerem, usługą lub witryną,
używa usługi DNS, aby przekształcić ich nazwy w bardziej przydatną informację, co pozwoli na
zrealizowanie połączenia sieciowego. To samo dotyczy zarówno sieci korporacyjnych lokalnych,
jak i zewnętrznych. Jeśli na swoim laptopie otworzę przeglądarkę Internet Explorer i spróbuję
przejść na adres https://www.bing.com, serwer DNS mojego dostawcy usług sieciowych prze-
kształci nazwę http://www.bing.com na odpowiadający jej adres IP w internecie, czyli taki,
z którym mój laptop się połączy i dzięki temu pomyślnie otworzy docelową stronę. Jednak
w sieciach korporacyjnych w przypadku wewnętrznych informacji o nazwach serwerów nie
chcemy polegać na dostawcy publicznym, dlatego tworzymy własne, wewnętrzne systemy DNS.
Ponieważ rekordy DNS w sieci domeny prawie zawsze tłumaczą nazwy na obiekty znajdujące
się w Active Directory, sensowne jest, aby role DNS i AD DS były ze sobą ściśle zintegrowane.
To odnosi się do większości sieci firmy Microsoft, dla których bardzo powszechną praktyką
jest instalowanie zarówno roli AD DS, jak i DNS na serwerach kontrolera domeny.
113
Windows Server 2019 dla profesjonalistów
W moim nowym środowisku laboratoryjnym nie utworzyłem jeszcze żadnych rekordów DNS,
a jednak gdy w menu Tools Menedżera serwera otwieram konsolę o nazwie DNS Manager
(Menedżer DNS), widzę zestaw istniejących już rekordów. Wynika to z faktu, że w czasie,
gdy dołączałem każdą z maszyn do domeny, automatycznie dodawały one swoje rekordy do
bazy DNS, dzięki czemu nazwy nowych serwerów i klientów były natychmiast poprawnie
rozwiązywane wewnątrz naszej domeny:
114
Rozdział 3. • Podstawowe usługi infrastrukturalne
Rekordy A dotyczą adresów IPv4 i będą używane w większości firm jeszcze przez wiele lat.
Rekordy AAAA mają dokładnie ten sam cel, którym jest tłumaczenie nazwy na adres IP, ale doty-
czą tylko adresów IPv6 i przydadzą się wyłącznie w razie wykorzystania w sieci protokołu IPv6.
Na poprzednim zrzucie ekranu widzimy rekordy Host (A), które zostały automatycznie utworzone,
gdy komputery łączyły się z naszą domeną. Mam również inny serwer działający w mojej sieci,
który nie został jeszcze dołączony do domeny, więc nie zarejestrował się sam w usłudze
DNS. Ten serwer nazywa się RA1, ale nie będę mógł się z nim skontaktować, jeśli zaloguję
się do dowolnego innego systemu dostępnego w sieci, ponieważ jego nazwa nie została jeszcze
wprowadzona do bazy DNS:
Na razie nie zamierzam dołączać tego serwera do domeny, abyśmy mogli samodzielnie utworzyć
dla niego rekord DNS i upewnić się, że po wykonaniu tej czynności będę w stanie poprawnie
rozwiązać jego nazwę. Będąc z powrotem w Menedżerze DNS na serwerze DNS, kliknij pra-
wym przyciskiem myszy nazwę swojej domeny wymienioną w folderze Forward Lookup Zones
(Strefy wyszukiwania do przodu), a następnie wybierz opcję New Host (A or AAAA) (Nowy host
(A lub AAAA)). Aby utworzyć nowy rekord hosta, w wyświetlonym oknie dialogowym wy-
starczy wprowadzić nazwę serwera i adres IP zdefiniowany w interfejsie sieciowym:
115
Windows Server 2019 dla profesjonalistów
Po utworzeniu nowego rekordu hosta powinniśmy być w stanie natychmiast zacząć rozwiązywać
wprowadzoną nazwę w naszej sieci domenowej. Wrócę do komputera klienckiego, z którego
wcześniej próbowałem łączyć się z serwerem RA1, a następnie spróbuję ponownie wykonać to
samo polecenie ping. Tym razem nazwa została poprawnie rozwiązana, a serwer odpowiedział:
Nowy rekord DNS nie tylko ułatwił pracę użytkownikowi, ale jednocześnie uprościł admi-
nistrowanie siecią, ponieważ obecnie możesz łatwo zmieniać składniki serwera, które odpo-
wiadają temu rekordowi, bez konieczności modyfikowania żadnych ustawień w maszynach
klienckich lub ponownego szkolenia pracowników w zakresie dostępu do strony. Może mu-
sisz zmienić serwer WWW? Nie ma problemu, po prostu wskaż rekordem aliasu nowy ser-
wer. Chcesz dodać kolejny serwer WWW? To również łatwe, możemy bowiem utworzyć
wiele rekordów aliasu z tą samą nazwą intranet, a następnie skierować je na różne serwery
stron WWW, które działają w środowisku. Tworzy to bardzo prostą formę równoważenia ob-
ciążenia, ponieważ DNS zacznie wyrównywać ruch sieciowy pomiędzy różnymi serwerami
na podstawie rekordu CNAME o nazwie intranet.
116
Rozdział 3. • Podstawowe usługi infrastrukturalne
Gdy użyję teraz polecenia ping z adresem intranet, będzie można zauważyć, że następuje roz-
wiązanie nazwy serwera web1. Aby wyświetlić stronę, mogę po prostu wpisać słowo intranet
w pasku adresu przeglądarki Internet Explorer. Strona docelowa nie wie nic o zmianie nazwy,
więc nie musiałem wprowadzać żadnych zmian w witrynie, tylko w samej usłudze DNS:
117
Windows Server 2019 dla profesjonalistów
Istnieje wiele innych możliwych typów rekordów, które można przechowywać i wykorzy-
stywać w bazie danych DNS, ale nie są one zasadniczo istotne dla typowego administratora
serwera w standardowej sieci opartej na środowisku firmy Microsoft.
118
Rozdział 3. • Podstawowe usługi infrastrukturalne
bują czasu, aby je rozpoznać. Jest to normalne zachowanie, a czas, jaki upłynie, zanim Twoja
zmiana zostanie rozpoznana przez całą sieć, będzie zależał całkowicie od tego, jak duża ona
jest i w jaki sposób została skonfigurowana replikacja Active Directory. Po utworzeniu no-
wego rekordu DNS na jednym kontrolerze domeny musi się on zreplikować na wszystkich
pozostałych kontrolerach domeny w sieci. Ten proces może potrwać nawet kilka godzin, jeśli
usługa AD nie została skonfigurowana w celu wykonywania szybszej replikacji. W przeciw-
nym razie rozpowszechnienie zmian zajmuje tylko kilka minut. Gdy nowy rekord będzie już
istnieć na wszystkich kontrolerach, może jeszcze trochę potrwać, zanim użytkownicy będą
mogli z niego skorzystać, ponieważ komputery klienckie w sieci domenowej przechowują
dane DNS w pamięci podręcznej. Dzięki temu nie muszą się kontaktować z serwerem DNS
przy każdym żądaniu rozpoznawania nazwy. Zamiast tego odwołują się szybciej do swojej
lokalnej pamięci podręcznej, aby sprawdzić dane odczytane podczas ostatniego zalogowania
się na serwerze DNS. Jeśli spróbujesz przetestować nowo utworzony przez siebie rekord DNS
i okaże się, że nie działa, możesz uruchomić na komputerze klienckim polecenie ipconfig /
flushdns. Zmusi ono klienta do usunięcia lokalnie przechowywanych kopii rekordów usługi
rozpoznawania nazw i pobrania nowych informacji z serwera DNS. Po opróżnieniu pamięci
podręcznej rekord najprawdopodobniej zacznie działać poprawnie.
Odpowiedzią jest protokół dynamicznej konfiguracji hosta (ang. Dynamic Host Configuration
Protocol — DHCP). Został on tak zaprojektowany, aby umożliwić podłączanie maszyn i urzą-
dzeń do sieci oraz automatyczne uzyskiwanie informacji o adresie IP. Prawie każdy użytkownik
dowolnego urządzenia na całym świecie korzysta codziennie z DHCP, nawet nie zdając sobie
z tego sprawy. Po podłączeniu laptopa lub smartfona do routera Wi-Fi w celu uzyskania dostępu
119
Windows Server 2019 dla profesjonalistów
Zakres DHCP
Do tej pory statycznie przypisywałem adresy IP wszystkim tworzonym serwerom w projektowa-
nym przeze mnie środowisku laboratoryjnym z systemem Windows Server 2019. Nie jest to
zbyt nowoczesne rozwiązanie i nie można nim dobrze zarządzać. Gdy skonfigurowałem
pierwszy kontroler domeny, faktycznie zainstalowałem na nim również rolę DHCP, która jednak
nie otrzymała jeszcze żadnego zadania. Czego potrzebuje serwer DHCP, aby zacząć przydzielać
adresy IP? Aby mógł on rozpocząć przekazywanie odpowiedniej informacji komputerom,
musi wiedzieć, jakie adresy IP, maska podsieci, brama domyślna i adresy serwerów DNS są
dostępne w Twojej sieci. Ten pakiet informacji wewnątrz serwera DHCP jest nazywany zakre-
sem DHCP. Serwer DHCP po zdefiniowaniu zakresu zacznie przekazywać jego adresy IP do
nowych serwerów i komputerów, które nie mają jeszcze zdefiniowanych adresów statycznych.
Po raz kolejny musimy w naszym systemie Windows Server 2019 uruchomić odpowiednie
narzędzie do zarządzania i ponownie najłatwiejszym sposobem jest użycie menu Tools w Mene-
dżerze serwera i kliknięcie opcji DHCP. Po otwarciu konsoli zobaczysz nazwę serwera, na
którym działa serwer DHCP. Rozwiń ją, a pojawią się opcje o nazwach IPv4 oraz IPv6. Tak
— oznacza to, że możesz użyć tego serwera DHCP do rozpowszechniania zarówno adresów
IPv4, jak i IPv6 dla tych klientów, którzy testują nowy protokół lub planują jego użycie
w przyszłości. Na razie trzymajmy się jednak starego, dobrego protokołu IPv4. Kliknę więc
prawym przyciskiem myszy nazwę IPv4 i wybiorę opcję New Scope (Nowy zakres). Spowoduje
to uruchomienie kreatora New Scope Wizard (Kreator nowych zakresów), który poprosi Cię
o podanie kilku informacji potrzebnych serwerowi DHCP do utworzenia zakresu i rozpoczęcia
przydzielania adresów IP w sieci. Zdefiniuję nowy zakres w taki sposób, aby udostępniał ad-
resy IP od 10.10.10.100 do 10.10.10.150 (zobacz pierwszy rysunek na następnej stronie).
Gdy tylko zakończysz tworzenie zakresu, stanie się on aktywny i każdy komputer w sieci,
którego karta sieciowa została skonfigurowana do automatycznego pobierania adresu z serwera
DHCP, zacznie to wykonywać.
Po utworzeniu nowego zakresu możesz go kliknąć w konsoli DHCP i dzięki temu wyświetlić
dodatkowe związane z nim informacje. Kliknięcie folderu Address Leases (Dzierżawy adresów)
pozwoli zobaczyć wszystkie dynamiczne adresy, które zostały przekazane przez ten serwer
DHCP. Jak widać na poniższym zrzucie ekranu, mam w sieci komputer kliencki z systemem
Windows 10, który nie miał skonfigurowanego adresu statycznego, więc pobrał adres dynamiczny
z mojego serwera DHCP. Otrzymał pierwszy dostępny adres IP, który zdefiniowałem w moim
zakresie, czyli 10.10.10.100. Następna maszyna, która sięgnie po adres IP z tego serwera DHCP,
otrzyma 10.10.10.101 itd. (zobacz drugi rysunek na następnej stronie).
120
Rozdział 3. • Podstawowe usługi infrastrukturalne
121
Windows Server 2019 dla profesjonalistów
Zastrzeżenia DHCP
Przypisywanie adresów IP przy wykorzystaniu dużej puli dostępnych pozycji jest świetnym
rozwiązaniem, jednak dzierżawy adresów podlegają wygaśnięciu i zmianom. Oznacza to, że
komputer z adresem 10.10.10.100 może jutro otrzymać adres 10.10.10.125. Z punktu widzenia
komputera użytkownika nie jest to zazwyczaj problemem, ponieważ ogólnie rzecz biorąc, takie
urządzenia nie muszą mieć wciąż takiego samego adresu IP. Komputery klienckie zwykle
używają usług spoza sieci lokalnej, ale inne urządzenia rzadko próbują się z nimi kontaktować.
Jak rozwiązać jednak sytuację, w której masz bardziej stacjonarne urządzenie w sieci, takie
jak Windows Server, ale nie chcesz się zajmować jego statycznym adresowaniem? W takim
przypadku należy zastosować zastrzeżenia DHCP. Zastrzeżenie to czynność polegająca na
przejęciu jednego adresu IP w ramach zakresu DHCP i zarezerwowaniu go dla określonego
urządzenia. Będzie ono otrzymywać ten sam adres IP za każdym razem, gdy połączy się z serwe-
rem DHCP. Ten adres IP na pewno nie zostanie przekazany żadnemu innemu urządzeniu
w sieci. Z wykorzystaniem opcji zastrzeżeń DHCP możesz zezwolić serwerowi DHCP na
przypisywanie adresów IP nawet serwerom stacjonarnym, dzięki czemu nie będziesz musiał
ręcznie konfigurować ich kart sieciowych, a jednocześnie będą one nadal zachowywać stałe
adresy IP.
W konsoli DHCP możesz zauważyć folder Reservations (Zastrzeżenia). Obecnie nic w nim nie
ma, ale przez kliknięcie prawym przyciskiem myszy nazwy Reservations i wybranie opcji
New Reservation… (Nowe zastrzeżenie…) utworzymy nowe zastrzeżenie. Użyjmy jeszcze raz
serwera web1. W tej chwili do tego serwera jest przypisany statyczny adres IP, jednakże zamiast
niego utworzę rezerwację na adres 10.10.10.150:
Zaraz, zaraz, momencik. Większość informacji wyświetlanych na tym ekranie ma sens, na przy-
kład krótki opis nazwy serwera i sam adres IP — ale o co chodzi z adresem MAC? Adres
MAC to fizyczny adres karty sieciowej w sieci. Gdy urządzenie sieciowe próbuje wysłać infor-
122
Rozdział 3. • Podstawowe usługi infrastrukturalne
macje na określony adres IP lub (jak w naszym przypadku) serwer DHCP musi przekazać
określony adres IP karcie sieciowej zainstalowanej w serwerze, wówczas potrzebny jest fizyczny
identyfikator karty. Tak więc adres MAC jest unikatowy dla karty sieciowej znajdującej się
w moim serwerze web1. Będąc zalogowanym na tym serwerze, mogę wydać polecenie
ipconfig /all i wyświetlić adres MAC przypisany do mojej karty sieciowej — jest to ta śmieszna
kombinacja liter i cyfr wyświetlana w wierszu o nazwie Physical Address (Adres fizyczny).
Tam znajdę informację, której szukam. W taki sposób serwer DHCP decyduje, kiedy należy
użyć zastrzeżenia. Jeśli interfejs sieciowy prosi go o adres dynamiczny, a adres MAC urządzenia
znajduje się w bazie zastrzeżeń, wówczas serwer DHCP przekazuje do tego urządzenia zastrze-
żony adres, a nie bierze go z puli ogólnej:
Po utworzeniu rezerwacji DHCP przejdę do ustawień karty sieciowej na swoim serwerze web1
i pozbędę się wszystkich parametrów dotyczących adresowania statycznego przez wybranie
opcji Obtain an IP address automatically (Uzyskaj adres IP automatycznie):
Gdy wykonam powyższą czynność, serwer web1 skontaktuje się z usługą DHCP i poprosi o adres.
Jak widać na rysunku, przydzielono mi zarezerwowany adres 10.10.10.150. Od tego momentu
ten adres będzie zawsze nadawany serwerowi web1, chyba że zmienię zastrzeżenie DHCP
lub w jakiś sposób zmodyfikuję adres MAC karty sieciowej. Mogłoby się to zdarzyć, gdybym
zainstalował nową kartę sieciową w serwerze:
123
Windows Server 2019 dla profesjonalistów
W swojej sieci możesz także tworzyć zastrzeżenia DHCP dla obiektów innych niż maszyny
z systemem Windows. Ponieważ wszystko, czego potrzebujesz, to adres MAC urządzenia
(a każdy sprzęt z kartą sieciową ma adres MAC), łatwo jest zdefiniować zastrzeżenie
dla urządzeń takich, jak serwery druku, maszyny kopiujące i systemy alarmowe.
124
Rozdział 3. • Podstawowe usługi infrastrukturalne
ją zapisać i jak często powinna być uruchamiana. Następnie możemy po prostu usiąść, zrelakso-
wać się i mieć świadomość, że nasze systemy wykonują to zadanie samodzielnie.
Jak widać, na liście znajduje się opcja o nazwie Backup Once… (Jednorazowa kopia zapaso-
wa…), która, jak sama nazwa wskazuje, wykona na poczekaniu zadanie tworzenia kopii zapaso-
wej. Chociaż jest to przydatna funkcja, żaden administrator serwera nie będzie logował się
na wszystkich swoich serwerach i uruchamiał jej codziennie. Zamiast tego kliknięcie akcji
Backup Schedule… (Harmonogram wykonywania kopii zapasowych…) spowoduje uruchomienie
kreatora konfiguracji w celu zdefiniowania zaplanowanego, cyklicznego zadania tworzenia
kopii zapasowej:
Najpierw będziesz musiał zdecydować, jakie dane mają być uwzględnione w backupie danych.
Domyślnie wybraną opcją jest Full server (Cały serwer), dzięki czemu narzędzie wykona kopię
zapasową wszystkich plików z systemu operacyjnego. Jeśli jednak chcesz dostosować ilość da-
nych, możesz wybrać opcję Custom (Niestandardowa) i przejść do następnego etapu kreatora.
Ponieważ mam dużo miejsca na dysku, zastosuję zalecaną ścieżkę tworzenia pełnych kopii
zapasowych serwera.
125
Windows Server 2019 dla profesjonalistów
Trudno mi określić, która opcja jest najlepsza, ponieważ zależy to od tego, w jaki sposób pla-
nujesz korzystać z kopii zapasowych we własnym środowisku. Ekran, na którym wybieramy
typ docelowy kopii zapasowych, zawiera kilka wartych przeczytania pomocniczych wskazówek.
Wśród nich znajduje się ważna uwaga mówiąca o tym, że podczas korzystania z udostępnionego
126
Rozdział 3. • Podstawowe usługi infrastrukturalne
folderu sieciowego można na nim zapisać tylko jeden plik backupu serwera, ponieważ uru-
chamiany następnego dnia proces tworzenia nowej kopii zastąpi poprzednią:
Po wybraniu miejsca docelowego dla kopii zapasowych i określeniu lokalizacji udziału siecio-
wego (jeśli tę opcję wybrałeś) kreator zakończy pracę. Twoje zadania tworzenia kopii zapa-
sowych zostaną automatycznie uruchomione w wyznaczonym czasie, określonym w kreatorze,
więc jutro pojawi się nowy plik backupu Twojego serwera. Jeśli podobnie jak ja jesteś
niecierpliwy i chciałbyś zobaczyć, w jaki sposób działa zadanie tworzenia kopii zapasowej,
możesz w konsoli Windows Server Backup wybrać inną akcję, o nazwie Backup Once…
(Jednorazowa kopia zapasowa…), aby natychmiast ręcznie uruchomić backup:
127
Windows Server 2019 dla profesjonalistów
Spowoduje to wywołanie innego kreatora, który przeprowadzi Cię przez proces odzyskiwania.
Najpierw określasz lokalizację pliku kopii zapasowej. Jeśli na serwerze lokalnym masz lokalizację
przeznaczoną wyłącznie do backupu, znalezienie jej jest dość proste. W przeciwnym razie, tak
jak w moim przykładzie, w którym określono lokalizację sieciową, wybierz opcję A backup
stored on another location (Kopia zapasowa przechowywana w innej lokalizacji), a następnie
Remote shared folder (Zdalny folder udostępniony), aby wskazać, gdzie można znaleźć plik
kopii zapasowej:
Na podstawie wybranej lokalizacji kopii zapasowej kreator wyświetli obecnie wszystkie daty wy-
konania backupów. Jeśli przechowujesz pliki kopii zapasowej na dysku lokalnym i masz dostępne
punkty przywracania z wielu dni, zobaczysz wiele dat, które możesz wybrać. Ponieważ zdecy-
dowałem się przechowywać kopie zapasowe w lokalizacji sieciowej, dostępne są tylko informacje
o backupie z jednego dnia, dlatego wczorajsza data jest jedyną, którą mógłbym wybrać. Zdecy-
duję się więc przywrócić wczorajszą kopię zapasową i wykonywać dalsze działania za pomocą
kreatora.
Gdy już zidentyfikowaliśmy określony plik kopii zapasowej, który będzie używany do odzy-
skiwania danych, możemy wybrać, jakie informacje powinny zostać przywrócone. Jest to intere-
sująca opcja systemu backupu, ponieważ przywracanie kopii zapasowej często dotyczy wyłącznie
określonych plików i folderów, które mogły zostać usunięte lub uszkodzone. W takim przy-
padku wybierz górną opcję, o nazwie Files and folders (Pliki i foldery). W innych może być
konieczne przywrócenie z określonej daty całego serwera, więc należy wówczas wybrać opcję
Volume (Woluminy). Ponieważ brakuje mi tylko kilku plików, które w jakiś sposób zniknęły
między dniem wczorajszym a dzisiejszym, wybiorę domyślną opcję Files and folders.
128
Rozdział 3. • Podstawowe usługi infrastrukturalne
Pozostaje tylko określić, gdzie chcesz umieścić odzyskane pliki. Możesz zdecydować, by odtwo-
rzone pliki zostały umieszczone z powrotem w pierwotnej lokalizacji, lub — jeśli urucha-
miasz ten proces odzyskiwania na innym komputerze — możesz przywrócić pliki w nowym
miejscu, z którego następnie będziesz mógł je pobrać i samodzielnie umieścić w wybranej
lokalizacji.
129
Windows Server 2019 dla profesjonalistów
Należy pamiętać, że omawiany proces odzyskiwania nie będzie miał dostępu do lokali-
zacji w sieci, a plik kopii zapasowej będzie musiał być przechowywany na dysku podłączo-
nym do serwera. Jeśli pierwotnie nie skonfigurowałeś zadania kopii zapasowej do
współpracy z istniejącym dyskiem lokalnym, podczas odzyskiwania danych możesz skorzy-
stać z napędu USB.
Żeby było ciekawiej, zamierzam uszkodzić własny serwer. Jest to maszyna, której kopię zapasową
wykonaliśmy kilka minut temu. Przypadkowo usunąłem niektóre bardzo ważne pliki z kata-
logu C:\Windows, i proszę — to wszystko, co widzę, gdy próbuję uruchomić ten serwer:
Taki ekran z samego rana może zepsuć cały dzień! Ponieważ wydaje mi się, że tu utknąłem i nie
mogę uruchomić systemu Windows, moje szanse na uruchomienie kreatora odzyskiwania są
zerowe. Co robić? Uruchomić system Windows Server 2019 z instalacyjnego dysku DVD?
Nie chcę ponownie instalować systemu Windows, ponieważ w takim przypadku wszystkie moje
programy i dane mogą zostać nadpisane. Gdy jednak przejdziesz do ekranów instalatora, zauwa-
żysz, że w dolnym narożniku jest wyświetlana opcja Repair your computer (Napraw komputer).
Wybierz ją, aby z instalacyjnego dysku DVD uzyskać dostęp do opcji odzyskiwania danych.
Jeśli uważasz, że możesz rozwiązać problem przy użyciu opcji Command Prompt (Wiersz
polecenia), wybierz ją i spróbuj samodzielnie naprawić uszkodzone środowisko. W naszym
przypadku jestem prawie pewien, że znacząco zmodyfikowałem system operacyjny, więc użyję
opcji System Image Recovery (Odzyskiwanie obrazu systemu) (zobacz drugi rysunek na na-
stępnej stronie).
130
Rozdział 3. • Podstawowe usługi infrastrukturalne
Gdy do maszyny zostanie podłączony dysk twardy zawierający plik kopii zapasowej systemu
Windows Server, nastąpi uruchomienie kreatora, który odczyta z niej odpowiednie informacje.
Ponieważ pierwotnie postanowiłem przechowywać plik kopii zapasowej w lokalizacji sieciowej,
skopiowałem go na dysk. Następnie dysk ten podłączyłem do serwera. Kreator automatycznie
rozpoznał plik kopii zapasowej i wyświetlił go na ekranie Select a system image backup (Wybierz
kopię zapasową obrazu systemu):
131
Windows Server 2019 dla profesjonalistów
Po kliknięciu w kreatorze kilka razy przycisku Next (Dalej) kopia zapasowa obrazu zacznie
się przywracać na mój serwer:
132
Rozdział 3. • Podstawowe usługi infrastrukturalne
sprzed zaledwie kilku dni będzie na ogół rozwiązaniem problemu. Jeśli jednak przywrócisz
obraz, który ma 6 miesięcy, sam system Windows zostanie co prawda odzyskany bez żadnych
kłopotów i wszystkie dane będą istnieć, ale w tym czasie Twoje konto komputera dla tego
serwera z pewnością nie zsynchronizuje się z domeną, co spowoduje błędy uwierzytelnienia
w kontrolerach domeny. W celu odzyskania połączenia z domeną w niektórych przypadkach
może być nawet konieczne wykonanie tak dziwnych czynności, jak odłączenie i ponowne
dołączenie serwera do domeny po przywróceniu obrazu. Jeśli będziesz regularnie tworzył
kopie zapasowe, takie problemy nie pojawią się.
133
Windows Server 2019 dla profesjonalistów
Wybierz przystawkę zarządzania, której chcesz używać, i dodaj ją do konsoli. Istnieje wiele
funkcji zarządzania, do których można uzyskać dostęp za pośrednictwem standardowej konsoli
MMC. W przypadku niektórych szczególnych funkcji konsola MMC jest preferowaną, a niekiedy
jedyną metodą interakcji ze składnikami systemu Windows. Na przykład w dalszej części tej
książki zajmiemy się magazynami certyfikatów w systemie Windows Server 2019 i wykorzystamy
MMC do niektórych z tych interakcji.
Innym ciekawym sposobem na otwarcie wielu konsol zarządzania jest bezpośrednie użycie
odpowiedniej nazwy MSC. Plik MSC to po prostu zapisana konfiguracja sesji konsoli MMC.
Istnieje wiele skrótów MSC przechowywanych w systemie Windows Server 2019 i od razu
gotowych do użycia po jego zainstalowaniu. Jeśli daną konsolę zarządzania można uruchomić
przez plik MSC, wystarczy wpisać jego nazwę po przejściu do opcji Start/Run (Start/Uruchom)
lub w wierszu poleceń czy też oknie programu PowerShell. Określona konsola zarządzania
uruchomi się natychmiast bez konieczności naciskania jakiegokolwiek klawisza i otwierania
Menedżera serwera. Ponieważ wolę używać klawiatury zamiast myszy, w każdym systemie
mam zawsze otwarte okno programu PowerShell lub okno wiersza poleceń. Dzięki temu
mogę bardzo szybko użyć tego okna, aby otworzyć dowolną konsolę administracyjną MSC.
Zaprezentuję jeden przykład, abyś dokładnie wiedział, jak korzystać z tej funkcji, a następnie
przedstawię listę typowych konfiguracji MSC, które uważam za przydatne do codziennej pracy.
Zostanie otwarte okno aplikacji Windows Defender Firewall with Advanced Security (Zapora
Windows Defender z zabezpieczeniami zaawansowanymi), gotowe do interakcji z użytkowni-
kiem. Nie musieliśmy wykonywać typowych działań pozwalających na dostęp do tej konsoli
za pomocą myszy, czyli otwierać narzędzi Control Panel (Panel sterowania) lub Windows
Settings (Ustawienia systemu Windows), w których należałoby wyszukać opcję Firewall and
network protection (Zapora i ochrona sieci), a następnie kliknąć łącze Advanced Settings (Usta-
wienia zaawansowane). Ponieważ znałem nazwę skrótu MSC, mogłem od razu otworzyć w pełni
działającą konsolę WFAS, w której często sprawdzam określone reguły zapory lub jej status:
134
Rozdział 3. • Podstawowe usługi infrastrukturalne
Gdy wiesz już, jak działa polecenie MSC i w jaki sposób można je wywołać, chciałbym przed-
stawić listę typowych konfiguracji MSC, które możesz uruchomić w celu szybkiego dostępu
do różnych konsol administracyjnych na swoich serwerach:
DSA.MSC: Active Directory Users and Computers (Użytkownicy i komputery usługi
Active Directory),
DSSITE.MSC: Active Directory Sites and Services (Lokacje i usługi Active Directory),
DNSMGMT.MSC: DNS Manager (Menedżer DNS),
GPEDIT.MSC: Local Group Policy Editor (Edytor lokalnych zasad grupy),
GPMC.MSC: Group Policy Management Console (Zarządzanie zasadami grupy),
CERTSRV.MSC: Certification Authority Management (Zarządzanie urzędem certyfikacji),
CERTTMPL.MSC: Certificate Template Management (Zarządzanie szablonami certyfikatów),
CERTLM.MSC: Local Computer Certificates Store (Lokalny magazyn z certyfikatami
komputerowymi),
CERTMGR.MSC: Current User Certificates Store (Magazyn certyfikatów bieżącego użytkownika),
COMPMGMT.MSC: Computer Management (Zarządzanie komputerem),
DEVMGMT.MSC: Device Manager (Menedżer urządzeń),
DHCPMGMT.MSC: DHCP Manager (Menedżer DHCP),
DISKMGMT.MSC: Disk Management (Zarządzanie dyskami),
EVENTVWR.MSC: Event Viewer (Podgląd zdarzeń),
PERFMON.MSC: Performance Monitor (Monitor wydajności),
SECPOL.MSC: Local Security Policy Console (Zasady zabezpieczeń lokalnych),
135
Windows Server 2019 dla profesjonalistów
Podsumowanie
W tym rozdziale omówiliśmy niektóre role i składniki systemu Windows Server 2019, z których
będziesz musiał umieć skorzystać, jeśli chciałbyś uruchomić infrastrukturę rzeczywiście zorien-
towaną na produkty firmy Microsoft. Active Directory, DNS i DHCP to podstawowe główne
usługi, które leżą u podstaw systemu i obsługują całą infrastrukturę. Ich podstawowa znajo-
mość jest niezbędna każdemu administratorowi systemu Windows Server, a dogłębna wiedza na
temat współpracy tych narzędzi ze sobą otworzy przed Tobą wiele drzwi w miarę postępów
w karierze zawodowej w obszarze IT. Prawie wszystkie inne role i funkcje dostępne w systemie
Windows Server są obsługiwane przez te podstawowe usługi lub zależą od nich. Mam nadzieję,
że swobodnie poruszasz się po nich po wykonaniu przykładów z tego rozdziału.
Za chwilę będziemy kontynuować naszą podróż przez system Windows Server 2019, analizu-
jąc jedno z bardziej przerażających zagadnień (w każdym razie dla wielu administratorów)
— mam na myśli certyfikaty! W następnym rozdziale przyjrzymy się certyfikatom w systemie
Windows Server 2019.
Pytania
1. Jak się nazywa kontener (folder) znajdujący się wewnątrz usługi Active Directory,
który przechowuje konta komputerów i użytkowników?
2. Jak zwana jest operacja tworzenia konta komputera w usłudze Active Directory
przed jego dołączeniem do domeny?
3. Które narzędzie zarządzania służy do wiązania fizycznych lokalizacji w sieci
z określonymi podsieciami IP?
4. Jak nazywa się specjalny kontroler domeny, który nie zapisuje nowych informacji,
tylko synchronizuje się z istniejącym kontrolerem domeny?
5. Który obiekt zasad grupy w nowo zainstalowanym systemie zawiera ustawienia
złożoności hasła?
6. Jaki rodzaj rekordu DNS rozwiązuje nazwę na adres IPv6?
7. Jak się nazywa skrót MSC służący do otwierania konsoli Active Directory Users
and Computers (Active Directory Users and Computers)?
136
4
Certyfikaty w systemie
Windows Server 2019
Jeśli powyższe słowa brzmią znajomo, nie rezygnuj jeszcze z zaplanowanego projektu! Korzysta-
nie z certyfikatów wydaje się z jakiegoś powodu trudnym zadaniem dla wielu z nas — nawet
dla tych, którzy pracują w środowisku IT od wielu lat. Dzieje się tak prawdopodobnie dlatego,
że na serwerze certyfikatów dostępnych jest wiele różnych opcji, a jednocześnie konsola zarzą-
dzania nie została zbyt sensownie zaprojektowana i nie jest przyjazna dla użytkownika w zakresie
obsługi certyfikatów. Ta cecha w połączeniu z wieloletnim brakiem wymagań dotyczących
certyfikatów na serwerach oznacza, że chociaż odpowiednia technologia od dawna istnieje,
wielu administratorów nie miało jeszcze okazji samodzielnie wdrażać certyfikatów. Regularnie
implementuję technologie, które wymagają szerokiego zastosowania certyfikatów w organizacji.
Często wydaje się je wszystkim stacjom roboczym lub użytkownikom w sieci, a jednak przez cały
czas słyszę różnego rodzaju obawy. Wydanie certyfikatu jednemu kluczowemu dla biznesu
serwerowi WWW wydaje się dość zniechęcające, jeśli nie ma się żadnego doświadczenia w tym
procesie, już nie mówiąc o wydawaniu setek lub tysięcy certyfikatów jednocześnie. Innym
typowym scenariuszem jest sytuacja, w której przedsiębiorstwo interesuje się certyfikatami,
ale brakuje mu odpowiednio wyszkolonych pracowników i dlatego wynajmuje firmę zewnętrzną
w celu wdrożenia certyfikatów w sieci. Chociaż powoduje to, że certyfikaty się pojawiają,
często pozostaje brak wiedzy, która nigdy nie zostaje uzupełniona. Możesz więc mieć urucho-
miony serwer certyfikatów, ale nie będziesz umiał go modyfikować ani wykorzystywać.
Środowisko certyfikatów jest dobrze znane pod nazwą infrastruktury klucza publicznego
(ang. Public Key Infrastructure — PKI). Taką nazwę prawdopodobnie napotkasz w pewnym
momencie w dokumentacji lub wymaganiach technicznych. Twoja infrastruktura PKI jest za-
pewniana przez określone serwery w sieci, a sposób ich konfiguracji zostanie zaprezentowany
Windows Server 2019 dla profesjonalistów
w tym rozdziale. Maszyny, które określasz jako serwery certyfikatów, są znane pod nazwą ser-
werów urzędu certyfikacji (ang. certification authority — CA) i tak będziemy je nazywać
w tej książce.
Oto zagadnienia, które omówimy w tym rozdziale w celu wdrożenia środowiska certyfikatów
w Twojej sieci:
Ogólnie używane typy certyfikatów.
Planowanie środowiska PKI.
Tworzenie nowego szablonu certyfikatu.
Wydawanie nowych certyfikatów.
Określanie sposobu automatycznej rejestracji certyfikatów.
Uzyskanie certyfikatu SSL organu publicznego.
Eksportowanie i importowanie certyfikatów.
Certyfikaty użytkownika
Jak można się domyślić, certyfikat użytkownika służy do celów, które są specyficznie związane
z nazwą użytkownika. Jednym z elementów zachęcających do zastosowania certyfikatów jest
proces uwierzytelniania w sieci. Firmy, które wymagają silniejszego uwierzytelniania w swoich
środowiskach, często chcą użyć certyfikatów jako składnika procesu uwierzytelniania. Karty
inteligentne są jednym ze specyficznych mechanizmów, które można w tym celu wykorzystać.
Może to być w szczególności jakaś fizyczna karta, którą należy podłączyć do komputera, aby
użytkownik mógł uzyskać do niego dostęp.
1
ang. Trusted Platform Module — układ cyfrowy służący do bezpiecznego przechowywania poświadczeń
oraz unikatowych par kluczy PKI — przyp. tłum.
138
Rozdział 4. • Certyfikaty w systemie Windows Server 2019
nia zapewnia certyfikat użytkownika zapisany na takiej karcie. Jeśli zostaniesz zaangażowany
w projekt wdrożenia kart inteligentnych, prawdopodobnie będziesz potrzebować PKI.
Certyfikaty komputera
Certyfikaty komputera (inaczej zwane certyfikatami maszyny) są wydawane komputerom w celu
wspierania interakcji między siecią a samym kontem komputera. Technologie takie jak SCCM,
które współdziałają z systemami komputerowymi i zarządzają nimi niezależnie od tego, jacy
użytkownicy są w nich zalogowani, korzystają z certyfikatów komputerów. Tego rodzaju certyfi-
katy są również używane do wspierania szyfrowania między systemami w sieci, na przykład
w protokole IPsec, służącym do szyfrowania komunikacji między klientami a wysoce bezpiecz-
nym serwerem plików. Wydawanie certyfikatów komputerów dla punktów końcowych w tym
łańcuchu komunikacji jest niezbędne do jego prawidłowego działania. Często zdarza się, że
wystawiam certyfikaty komputerowe dla maszyn firmy w celu uwierzytelnienia tuneli DirectAccess,
czyli pewnej formy automatycznego dostępu zdalnego. Na pewno istnieje wiele interesujących
technologii wymagających wydawania certyfikatów stacjom roboczym klienta w Twoim środowi-
sku, a także innych powodów, by to robić.
Certyfikaty SSL
Jeśli znajdziesz się w sytuacji, w której tak naprawdę nie zarządzałeś serwerem CA, ale w pew-
nym momencie wydałeś i zainstalowałeś jakiś certyfikat, jest szansa, że był to certyfikat SSL.
Jest to zdecydowanie najczęstszy typ certyfikatu używany w dzisiejszej infrastrukturze technolo-
gicznej. Twoja firma najprawdopodobniej korzysta już z certyfikatów SSL, nawet jeśli nie jesteś
tego świadomy i nie masz ani jednego serwera CA w sieci.
139
Windows Server 2019 dla profesjonalistów
Oto prosty przykład. Załóżmy, że jeden z Twoich użytkowników jest w kawiarni i korzysta
z publicznej sieci Wi-Fi. Osoba atakująca wymyśliła sposób manipulowania systemem DNS
w tej sieci, więc gdy użytkownik spróbuje odwiedzić firmową stronę mail.contoso.com w celu
uzyskania dostępu do programu Outlook Web Access i sprawdzenia wiadomości e-mail, atakujący
przechwyci ten ruch i spowoduje, że użytkownik otworzy inną stronę, która co prawda wygląda
jak portal firmy, ale w rzeczywistości jest zarządzana przez atakującego. Użytkownik wpisuje
swoją nazwę użytkownika i hasło, a atakujący odczytuje teraz jego poświadczenia i może ich
użyć do uzyskania dostępu do Twojej prawdziwej sieci. Co sprawia, że taka sytuacja nie zdarza
się codziennie w prawdziwym świecie? Odpowiedzią są certyfikaty SSL. Gdy witryna ze-
wnętrzna, na przykład strona logowania do poczty e-mail, jest typu HTTPS, przeglądarka
klienta musi sprawdzić certyfikat SSL, który jest prezentowany na danej stronie. Ten certyfikat
SSL zawiera informacje, które ma tylko Twoja firma i których nie można podmienić. Gdy więc
użytkownik uzyskuje dostęp do prawdziwej strony logowania, przeglądarka sprawdza jej certyfi-
kat SSL, a następnie stwierdza, że jest on poprawny, i po prostu kontynuuje swoje działanie.
Użytkownik nawet nie wie, że jest chroniony — może tylko zauważyć mały symbol kłódki
w pobliżu paska adresu przeglądarki. Z drugiej strony, jeśli ruch sieciowy zostanie przechwycony
i przekierowany na fałszywą stronę WWW, sprawdzenie certyfikatu SSL zakończy się niepowo-
dzeniem (ponieważ osoba atakująca nie będzie miała ważnego certyfikatu SSL powiązanego
z nazwą witryny Twojej firmy), a przeglądarka wyświetli odpowiednie ostrzeżenie. W tym mo-
mencie użytkownik powinien się wycofać i zdać sobie sprawę, że coś jest nie w porządku, a na-
stępnie skontaktować się z administratorami IT, aby mogli dokładniej zbadać problem.
Certyfikaty SSL używane na stronach internetowych są prawie zawsze dostarczane nie przez
wewnętrzny serwer CA, ale przez publiczny urząd certyfikacji. Prawdopodobnie słyszałeś
o wielu z nich, na przykład Unizeto, Verisign, Entrust, DigiCert lub GoDaddy. Firmy zazwyczaj
kupują od tych organów publicznych certyfikaty SSL, ponieważ są one domyślnie zaufane w no-
wych komputerach, które użytkownicy mogą kupować w sklepach. Jeśli po zakupie nowego
komputera (nawet w sklepie detalicznym) otworzysz lokalny magazyn certyfikatów, który istnieje
od samego początku w systemie operacyjnym, znajdziesz listę zaufanych organów publicznych.
Gdy odwiedzisz witrynę chronioną certyfikatem SSL wydanym przez jeden z nich, certyfikatowi
temu, a zatem stronie internetowej, będzie automatycznie ufać Twój komputer. Publiczne urzędy
certyfikacji są powszechnie uznanymi podmiotami, znanymi ze zdolności do bezpiecznego
wydawania certyfikatów SSL.
Gdy firma nabywa certyfikat SSL od jednego z tych organów publicznych, przeprowadza on do-
głębną weryfikację, aby upewnić się, że osoba wnioskująca o certyfikat (czyli Ty) naprawdę
pracuje we właściwej firmie i jest upoważniona do wydawania certyfikatów. Jest to podstawa
bezpieczeństwa przy korzystaniu z certyfikatów SSL zakupionych w publicznym urzędzie
certyfikacji. Wszystkie nowe komputery domyślnie ufają certyfikatom wydanym przez te organy
i nie musisz podejmować żadnych specjalnych działań, aby otwierać witryny internetowe.
Z drugiej strony możliwe jest wydawanie certyfikatów SSL z serwera CA, który sam zbudo-
wałeś i który znajduje się w sieci lokalnej. W tym przypadku pojawiają się jednakże utrud-
nienia, ponieważ Twojemu serwerowi CA nie ufają, oczywiście, wszystkie komputery na całym
świecie — tak nawet nie powinno być. Po pierwsze, jeśli chcesz wystawić własny certyfikat
SSL do użytku na publicznej stronie internetowej, musisz przekazać na zewnątrz przynajm-
niej część swojej wewnętrznej infrastruktury PKI, znanej jako lista odwołania certyfikatów
140
Rozdział 4. • Certyfikaty w systemie Windows Server 2019
(ang. Certificate Revocation List — CRL). Za każdym razem, gdy publikujesz jakiś kompo-
nent, który należy do Twojej sieci wewnętrznej, wprowadzasz ryzyko bezpieczeństwa, więc
generalnie nie powinieneś tego robić, jeśli absolutnie nie musisz. Drugim powodem, dla którego
trudno jest używać własnych certyfikatów SSL w publicznych witrynach, jest to, że tylko
komputery przyłączone do domeny Twojej firmy będą umiały zaufać takiemu certyfikatowi SSL.
Jeśli więc użytkownik zabierze swojego firmowego laptopa do domu i użyje go do uzyskania
dostępu do firmowej strony w celu odczytania poczty e-mail, prawdopodobnie wszystko będzie
działać dobrze. Jeśli jednak użytkownik spróbuje uzyskać dostęp do tej samej strony poczty
e-mail ze swojego komputera domowego, który nie jest częścią Twojej domeny ani sieci, otrzyma
komunikat ostrzegawczy certyfikatu i będzie musiał podjąć specjalne kroki, aby uzyskać wła-
ściwy dostęp. Jakże wielka uciążliwość dla użytkowników. Nigdy nie należy zachęcać użytkowni-
ków do zaakceptowania ryzyka i pominięcia komunikatu ostrzegawczego związanego z certyfi-
katem. Jest to przepis na katastrofę, nawet jeśli certyfikat został wydany przez urząd certyfikacji
własnej firmy. Zasadniczo nigdy nie należy akceptować takiego ryzyka.
Tych problemów pozwala uniknąć zakup certyfikatu SSL od jednego z publicznych urzędów
certyfikacji. Jest to standardowy i zalecany sposób wykorzystywania protokołu SSL w publicznie
dostępnych witrynach internetowych. Strony intranetowe znajdujące się w sieci lokalnej to
już całkiem inna historia, ponieważ nie są one udostępnione w internecie, a ich poziom bezpie-
czeństwa jest znacznie mniejszy. Możesz użyć wewnętrznego serwera CA do wydawania certyfi-
katów SSL dla swoich wewnętrznych stron intranetowych, więc nie musisz ponosić kosztów
związanych z zakupem certyfikatów.
Istnieje kilka różnych poziomów certyfikatów SSL, które można kupić w publicznym urzędzie
certyfikacji. Informacje o nich są podawane na stronach internetowych takiego urzędu. Zasadni-
czo chodzi o to, że im wyższa cena certyfikatu, tym bardziej jest on bezpieczny. Poziomy są
związane ze sposobem kontroli osoby żądającej certyfikatu, ponieważ to właśnie decyduje o od-
powiednim bezpieczeństwie w przypadku certyfikatów SSL. Urząd gwarantuje, że jego certyfi-
kat został wydany prawdziwej firmie, która jest właścicielem danej witryny internetowej.
Oprócz poziomu kontroli, który można ustalić przy zakupie certyfikatu, należy wybrać jeszcze
jedną opcję. Jest ona o wiele ważniejsza z technicznego punktu widzenia i jest związana ze
sposobem działania certyfikatów. Dostępne są różne konwencje nazewnictwa i nie ma najlepszej
odpowiedzi na pytanie o to, jaką opcję powinno się wybrać. Każda sytuacja, która wymaga
użycia certyfikatu, będzie wyjątkowa i każdą należy ocenić indywidualnie przed podjęciem
decyzji, który schemat nazewnictwa zadziała najlepiej. Omówmy w skrócie trzy wersje konwen-
cji nazewnictwa certyfikatów SSL.
141
Windows Server 2019 dla profesjonalistów
(Nazwa pospolita) formularza wniosku. Ta pojedyncza nazwa DNS jest jedyną nazwą, która może
być chroniona i sprawdzana przez ten certyfikat.
Różne witryny (usługi) używane przez serwer Lync są następnie udostępniane na jednym lub
wielu serwerach. Aby zweryfikować ruch sieciowy skierowany do dowolnego z tych serwerów,
możesz użyć tego samego certyfikatu SAN.
Certyfikaty wieloznaczne
Ostatni, ale na pewno nie mniej ważny jest certyfikat wieloznaczny (ang. wildcard certificate).
To model luksusowy, który ma najwięcej możliwości i jest najbardziej uniwersalny, a jednocze-
śnie zapewnia najłatwiejszy sposób implementacji na wielu serwerach. Nazwa na certyfika-
cie wieloznacznym zaczyna się od gwiazdki (*). Oznacza ona, że każda subdomena, której
nazwa poprzedza nazwę domeny DNS, zostanie objęta tym certyfikatem. Jeśli jesteś właścicielem
adresu contoso.com i planujesz określić wiele publicznych rekordów DNS, które będą przy-
pisane do różnych witryn i serwerów internetowych, możesz kupić pojedynczy certyfikat
wieloznaczny o nazwie *.contoso.com, który zapewni zabezpieczenie wszystkich Twoich
subdomen.
142
Rozdział 4. • Certyfikaty w systemie Windows Server 2019
dowolny sposób, dzięki czemu możesz wdrożyć różne witryny i usługi na wielu serwerach, a także
wszędzie z niego korzystać.
Wadą certyfikatu wieloznacznego jest jego wysoka cena. Jeśli jednak masz duże potrzeby
związane z certyfikatami lub rozległe plany ich rozwoju, administrowanie certyfikatami wielo-
znacznymi będzie w dłuższej perspektywie znacznie łatwiejsze, szybsze i bardziej opłacalne.
Po zaimplementowaniu roli urzędu certyfikacji nie można zmienić nazwy serwera i jego
statusu w domenie. Upewnij się, że przed zainstalowaniem roli AD CS nadałeś serwerowi
właściwą nazwę i dołączyłeś go do domeny (jeśli to konieczne). Nie będziesz później
mógł zmienić tych ustawień!
Usługi roli AD CS
Pierwszą decyzją, jaką musisz podjąć podczas instalowania roli AD CS, jest wybór odpowiednich
usług, co zaprezentowano na poniższym zrzucie ekranu:
143
Windows Server 2019 dla profesjonalistów
Po kliknięciu danej opcji zostanie wyświetlony opis jej możliwości, co prawdopodobnie pomoże
Ci wybrać, których elementów roli będziesz potrzebować. Oto krótkie podsumowanie tych
opcji. Zwróć uwagę na to, że nie wymieniam ich w kolejności, w jakiej są wyświetlone na ekra-
nie, ale raczej sugeruję się ich poziomem ważności podczas konfiguracji:
Certification Authority (Urząd certyfikacji): jest to podstawowy komponent
certyfikatów, który musi zostać zainstalowany, aby serwer mógł oficjalnie stać się
urzędem certyfikacji.
Certification Authority Web Enrollment (Obsługa urzędu certyfikacji przez serwer
WWW): ta usługa również jest często instalowana, szczególnie w środowiskach,
które są na tyle małe, by można było uruchomić jeden serwer CA dla całej sieci.
Powoduje ona zainstalowanie na serwerze funkcji IIS (serwera WWW) i uruchomienie
prostej witryny WWW służącej do wysyłania żądań wydania certyfikatów.
Omówimy ją w dalszej części rozdziału, gdy przejdziemy do wydawania certyfikatów
za pomocą interfejsu WWW.
Certificate Enrollment Web Service (Usługa sieciowa dla rejestracji certyfikatów)
i Certificate Enrollment Policy Web Service (Usługa sieciowa dla zasad rejestracji
certyfikatów): przez większość czasu będziemy się zajmować wydawaniem
certyfikatów tylko swoim firmowym systemom dołączonym do domeny. W takich
przypadkach te dwie opcje nie są konieczne. Jeśli planujesz wydawać ze swojego
serwera certyfikaty dla komputerów nieprzyłączonych do domeny, musisz wybrać
te opcje.
Network Device Enrollment Service (Usługa rejestracji urządzeń sieciowych):
jak sama nazwa wskazuje, ta usługa urzędu certyfikacji umożliwia wydawanie
certyfikatów routerom i innym urządzeniom sieciowym.
Online Responder (System odpowiedzi na zapytania): jest to specjalna usługa
zarezerwowana dla większych środowisk. Wewnątrz każdego certyfikatu znajduje
się specyfikacja listy odwołania certyfikatów (CRL). Gdy komputer kliencki próbuje
skorzystać z certyfikatu, sprawdza listę CRL, aby się upewnić, że certyfikat nie
został odwołany. Lista CRL jest ważnym elementem zabezpieczeń certyfikatu.
W środowisku składającym się z tysięcy klientów Twoja lista CRL może być
bardzo zajęta odpowiadaniem na wszystkie ich żądania. Aby zmniejszyć obciążenie,
możesz wdrożyć dodatkowe serwery CA, które będą działać w trybie odpowiedzi
na te zapytania.
144
Rozdział 4. • Certyfikaty w systemie Windows Server 2019
dokonania poważnego wyboru. Czy chcesz, aby nasz serwer był urzędem certyfikacji przedsię-
biorstwa (ang. Enterprise CA) czy urzędem autonomicznym (ang. Standalone CA)?
Z drugiej strony, jeśli samodzielny, główny urząd certyfikacji jest wyłączony, atak nie będzie
miał na niego żadnego wpływu. W takim przypadku możesz po prostu usunąć zaatakowane
145
Windows Server 2019 dla profesjonalistów
serwery certyfikatów, ale Twój serwer główny pozostanie w bezpiecznym miejscu. Możesz
następnie przywrócić tę maszynę do trybu online, dołączyć do niego nowe serwery podrzędne
i w prosty sposób zapewnić ciągłość usług. Główne klucze przechowywane w urzędzie certyfi-
kacji nie będą musiały zostać ponownie wydane, ponieważ nigdy nie zostały narażone na szwank
podczas ataku.
Jak wspominałem, powyższe rozwiązanie nie jest zbyt często stosowane, ale można je zaim-
plementować. Jeśli chcesz dowiedzieć się więcej na temat głównych urzędów certyfikacji
działających w trybie offline i ich zastosowań, zdecydowanie polecam zapoznanie się z artykułem
TechNet znajdującym się pod adresem http://social.technet.microsoft.com/wiki/contents/articles/
2900.offline-root-certification-authority-ca.aspx. Jeśli zastanawiasz się nad wyborem głównego
urzędu certyfikacji działającego w trybie offline dlatego, że to rozwiązanie wydaje się bardziej
bezpieczne, ale poza tym nie masz żadnego innego powodu, zalecam zmianę planów i użycie
urzędu certyfikacji przedsiębiorstwa dostępnego online. Wprawdzie użycie głównego urzędu
w trybie offline jest bezpieczniejsze, ale większość firm uważa, że taka konfiguracja nie jest
warta dodatkowych kłopotów, które towarzyszą korzystaniu z niej. Jeśli ją wybierzesz, pojawią
się pewne ograniczenia w zakresie użyteczności.
Odpowiedni wybór jest tak naprawdę tylko kwestią tego, jak ma wyglądać Twoja hierarchia
urzędów certyfikacji. W drzewie PKI znajduje się jeden najważniejszy certyfikat wysokiego
poziomu, podpisany przez główny urząd certyfikacji. Z drugiej strony w drzewie hierarchii
poniżej głównego urzędu certyfikacji znajduje się podrzędny urząd certyfikacji, który ma certyfi-
kat wystawiony przez ten główny urząd.
Jeśli masz zamiar uruchomić tylko jeden serwer CA, musi zostać na nim uruchomiony głów-
ny urząd certyfikacji. Jeśli chcesz stworzyć wielopoziomową konfigurację służącą do wydawania
certyfikatów, pierwszy urząd certyfikacji w Twoim środowisku powinien być głównym, a pod
nim możesz umieścić podrzędne. W sieci dozwolone jest posiadanie wielu urzędów głównych,
a zatem wielu drzew hierarchii, tak więc konfiguracja środowiska PKI może zostać zdefiniowana
według Twojego uznania. W mniejszych firmach bardzo często spotyka się tylko jeden serwer CA
— jest nim główny urząd certyfikacji przedsiębiorstwa. Ze względu na prostotę administracji
użytkownicy są gotowi podjąć ryzyko, że w przypadku jeśli coś stanie się z tym serwerem,
stworzenie nowego i ponowne wydanie certyfikatów nie będzie wielkim problemem.
146
Rozdział 4. • Certyfikaty w systemie Windows Server 2019
Otóż nadaliśmy serwerowi nazwę, która została zapisana w bazie Active Directory, ponieważ jest
on dołączony do domeny. Rzeczywista nazwa urzędu certyfikacji to jednak coś zupełnie innego.
Jest to nazwa, która będzie widnieć we właściwościach każdego certyfikatu wystawianego przez
ten urząd certyfikacji. Zostanie ona także skonfigurowana w różnych miejscach usługi Active
Directory, ponieważ tworzę urząd certyfikacji przedsiębiorstwa. Kreator sam określa możliwą
do użycia nazwę, którą wielu administratorów po prostu przyjmuje i stosuje. Jeśli chcesz zapro-
ponować własną nazwę, powinieneś to zrobić na obecnym ekranie. Po określeniu nazwy nie
będzie można już jej zmienić:
147
Windows Server 2019 dla profesjonalistów
ścieżka instalacji zalecana przez firmę Microsoft, dlatego powinieneś tworzyć urzędy certyfikacji
na oddzielnych serwerach. Jeśli to tylko możliwe, staraj się nie instalować na nich żadnych
innych ról.
Aby wykonać działanie, po raz kolejny musimy uruchomić odpowiednią konsolę administra-
cyjną. W menu Tools (Narzędzia) Menedżera serwera kliknij opcję Certification Authority
(Urząd certyfikacji). Wewnątrz konsoli możesz rozwinąć nazwę swojego urzędu certyfikacji i zo-
baczyć niektóre foldery, w tym jeden na dole o nazwie Certificate Templates (Szablony certyfika-
tów). Po kliknięciu tego folderu zobaczysz listę szablonów, które są obecnie wbudowane w nasz
serwer CA. Ponieważ nie chcemy korzystać z jednego z tych wcześniej zdefiniowanych szablo-
nów, moglibyśmy kliknąć ten folder prawym przyciskiem myszy i utworzyć nowy szablon,
ale nie jest to właściwe miejsce, w którym należałoby to zrobić. Jest to trochę bezsensowne, ale
być może istnieje jakiś mądry powód, dla którego nowe szablony certyfikatów nie mogą być
tworzone bezpośrednio z tego ekranu. Musimy przejść do innego okna, z którego można fak-
tycznie zarządzać swoimi certyfikatami i je modyfikować. W tym celu kliknij prawym przyci-
skiem myszy folder Certificate Templates, a następnie wybierz opcję Manage (Zarządzaj):
148
Rozdział 4. • Certyfikaty w systemie Windows Server 2019
Teraz widzisz znacznie bardziej szczegółową listę szablonów, a na niej kilka, których nie wyświe-
tlono na pierwszym ekranie. Aby stworzyć nowy szablon, powinniśmy użyć wcześniej istnieją-
cego, który działa podobnie jak ten, którego funkcjonalność zaplanujemy. Szablony kompu-
terów są powszechnie wydawane w wielu organizacjach z powodu coraz większej liczby
technologii wymagających istnienia certyfikatów, ale jak stwierdziliśmy, nie chcemy korzy-
stać z wbudowanego szablonu, który nazywa się po prostu Computer, ponieważ wolelibyśmy,
aby nasz miał bardziej konkretną nazwę, i być może chcielibyśmy też, by okres ważności
certyfikatu był dłuższy, niż określono to w ustawieniach domyślnych. Kliknij prawym przyci-
skiem myszy wbudowany szablon Computer, a następnie wybierz opcję Duplicate Template
(Duplikuj szablon). Spowoduje to otwarcie okna Properties (Właściwości), w którym powinieneś
przejść do zakładki General (Ogólne) i nadać naszemu nowemu szablonowi unikatową nazwę.
Jeśli certyfikaty, które chcesz wystawić, wymagają jakichkolwiek dodatkowych zmian usta-
wień, możesz wybrać dostępne zakładki zawarte w oknie Properties i dokonać niezbędnych
modyfikacji. W naszym przykładzie zmienię inne ustawienie, które znajduje się w zakładce
Subject Name (Nazwa podmiotu). Chciałbym, aby moje nowe certyfikaty miały nazwę pod-
miotu zgodną z nazwą komputera, dla którego będą wystawiane, dlatego z rozwijanej listy
wybrałem opcję Common name (Nazwa pospolita) (zobacz drugi rysunek na następnej stronie).
149
Windows Server 2019 dla profesjonalistów
150
Rozdział 4. • Certyfikaty w systemie Windows Server 2019
Mamy jeszcze jedną zakładkę do odwiedzenia. W każdym nowo tworzonym szablonie certyfi-
katu powinieneś zawsze skonfigurować zakładkę o nazwie Security (Zabezpieczenia). Chcemy się
tu upewnić, że uprawnienia zabezpieczeń dla tego szablonu są zdefiniowane w sposób, który
umożliwia wydawanie certyfikatu odpowiednim użytkownikom lub komputerom. Jednocześnie
musimy być pewni, że ustawienia zabezpieczeń szablonu nie są zbyt niskie, w przeciwnym
razie certyfikat mógłby otrzymać obiekt nieuprawniony. W naszym przykładzie planuję wydawać
certyfikaty DirectAccess wszystkim komputerom w domenie, ponieważ takie certyfikaty
mogą być również używane do ogólnych uwierzytelnień IPsec, które kiedyś chciałbym
skonfigurować.
Właśnie dlatego upewniam się, że w zakładce Security znajduje się pozycja o nazwie Domain
Computers (Komputery domeny), która powinna mieć uprawnienia do odczytu i rejestrowania.
Dzięki temu każdy komputer przyłączony do mojej domeny będzie miał możliwość zażądania
nowego certyfikatu utworzonego na podstawie tego szablonu:
Zdefiniowałem już wszystko, czego potrzebuję dla swojego certyfikatu, więc po prostu klikam
przycisk OK. Nowy szablon certyfikatu pojawia się teraz na liście szablonów w moim serwerze CA.
151
Windows Server 2019 dla profesjonalistów
Mimo że nowy szablon został utworzony, nie został jeszcze opublikowany. W obecnej chwili
serwer CA nie będzie oferował klientom nowego szablonu, nawet jeśli są mu przypisane od-
powiednie uprawnienia zabezpieczeń. Proces publikowania szablonu certyfikatu jest bardzo
szybki — to tylko kilka kliknięć myszą — ale jeśli nie wiesz, że należy go wykonać, może to
być dla Ciebie bardzo frustrujące, ponieważ w interfejsie nie znajdziesz żadnej wskazówki
dotyczącej tego wymagania.
Publikowanie szablonu
Jeśli konsola szablonów certyfikatów jest nadal otwarta (za pomocą niej zarządzaliśmy na-
szymi szablonami), zamknij ją, aby wrócić do głównej konsoli zarządzania urzędem certyfi-
kacji. Zauważyliśmy, że lista dostępnych szablonów certyfikatów, która się w niej wyświetla,
jest znacznie krótsza, pamiętasz? Dzieje się tak, ponieważ zawiera ona tylko te szablony certyfi-
katów, które zostały opublikowane i są dostępne do wydania. Aby dodać inne szablony do
opublikowanej listy, w tym nasz nowy, wystarczy kliknąć prawym przyciskiem myszy folder
Certificate Templates (Szablony certyfikatów), a następnie przejść do opcji New/Certificate
Template to Issue (Nowy/Szablon certyfikatu do wystawienia):
Pojawi się nowe okno dialogowe z listą dostępnych szablonów, które nie zostały jeszcze wydane.
Wszystko, co musisz zrobić, to wybrać swój szablon z tej listy i kliknąć przycisk OK. Nowy
szablon znajdzie się teraz na liście opublikowanych szablonów certyfikatów i komputer
kliencki może wystąpić z prośbą o zainstalowanie Twojego certyfikatu:
152
Rozdział 4. • Certyfikaty w systemie Windows Server 2019
Jeśli przyjrzysz się liście i nie zauważysz na niej swojego nowo utworzonego szablonu, może
być konieczne wykonanie dodatkowego kroku. Czasami trzeba po prostu chwilę odczekać,
ponieważ musi się zakończyć proces replikacji pomiędzy kontrolerami domeny. Innym ra-
zem nowy szablon nie pojawi się na tej liście nawet po dłuższym czasie. W takim przypadku
prawdopodobnie wystarczy ponownie uruchomić usługę urzędu certyfikacji, aby zmusić ją
do pobrania informacji o nowym szablonie. Aby to zrobić, kliknij prawym przyciskiem myszy na-
zwę urzędu certyfikacji widniejącą w górnej części konsoli i przejdź do opcji All Tasks/Stop
Service (Wszystkie zadania/Zatrzymaj usługę). Zatrzymanie tej usługi zwykle zajmuje sekundę
lub dwie; następnie możesz natychmiast ponownie kliknąć prawym przyciskiem myszy nazwę
urzędu certyfikacji i tym razem wybrać opcję All Tasks | Start Service (Wszystkie zadania/
Uruchom usługę). Teraz spróbuj ponownie opublikować nowy szablon, a powinieneś zobaczyć
go na liście:
153
Windows Server 2019 dla profesjonalistów
Na następnej stronie kliknij przycisk Finish (Zakończ), aby wybrać opcję domyślną, czyli Local
computer (Komputer lokalny). Dzięki temu będziemy mogli zarządzać certyfikatami dostępnymi
w lokalnym magazynie certyfikatów komputera.
Aby poprosić o nowy certyfikat z naszego serwera CA, po prostu kliknij prawym przyciskiem myszy
folder Personal, a następnie wybierz opcję All Tasks/Request New Certificate... (Wszystkie
zadania/Żądaj nowego certyfikatu...). Spowoduje to otwarcie kreatora — kliknij od razu
przycisk Next (Dalej).
154
Rozdział 4. • Certyfikaty w systemie Windows Server 2019
Teraz pojawi się ekran, który wygląda tak, jakby trzeba było coś na nim wykonać. Ponieważ jed-
nak żądamy certyfikatu na jednym z naszych firmowych komputerów przyłączonych do do-
meny, w rzeczywistości nie musimy nic robić (patrz poniższy zrzut ekranu). Po prostu kliknij
przycisk Next (Dalej), a kreator wyśle zapytanie do usługi Active Directory, aby wyświetlić
wszystkie szablony certyfikatów, które są możliwe do wydania:
Zostanie wyświetlony ekran Request Certificates (Żądaj certyfikatów), na którym pojawi się
lista dostępnych szablonów. Jest ona dynamiczna — jej zawartość zależy od tego, na jakim
komputerze jesteś zalogowany i jakie są uprawnienia konta użytkownika. Czy pamiętasz, jak
konfigurowaliśmy zakładkę związaną z zabezpieczeniami naszego nowego szablonu certyfikatu?
To tam określiliśmy, kto i co może pobierać nowe certyfikaty oparte na danym szablonie.
155
Windows Server 2019 dla profesjonalistów
Gdybym zdefiniował bardziej szczegółową grupę niż komputery w domenie, możliwe, że mój
nowy szablon DirectAccess Machine nie pojawiłby się na tej liście. Ponieważ jednak stworzyłem
szablon w taki sposób, by mógł być dostępny dla dowolnego komputera z naszej domeny,
widzę go na ekranie:
Jeśli nie widzisz swojego szablonu na liście, zaznacz pole wyboru Show all templates
(Pokaż wszystkie szablony). Dzięki temu uzyskasz pełną listę wszystkich szablonów
znajdujących się na serwerze CA oraz odpowiednie wyjaśnienia, dlaczego nie są one
obecnie możliwe do wydania.
Zaznacz opcję wyboru znajdującą się obok żądanego certyfikatu i kliknij przycisk Enroll (Zareje-
struj). Cała operacja potrwa kilka sekund, podczas gdy serwer CA będzie przetwarzać Twoje
żądanie i wyda nowy certyfikat, który będzie przeznaczony dla Twojego komputera i będzie
zawierał ustawienia umieszczone przez nas w szablonie. Po zakończeniu operacji będziesz
mógł odnaleźć nasz nowy certyfikat maszyny w folderze Personal/Certificates (Osobisty/Certyfikaty)
konsoli MMC. Po dwukrotnym kliknięciu certyfikatu możesz sprawdzić jego właściwości,
aby się upewnić, że wszystkie ustawienia, które zdefiniowałeś w szablonie, pojawiły się
w certyfikacie (zobacz pierwszy rysunek na następnej stronie).
156
Rozdział 4. • Certyfikaty w systemie Windows Server 2019
w sieci nie mielibyśmy witryny WWW działającej na naszym serwerze CA, więc nie mogli-
byśmy za jej pomocą zażądać certyfikatu. Jeśli serwer CA nie ma włączonej opcji rejestracji
przez serwer WWW, możesz ponownie odwiedzić stronę instalacji roli w Menedżerze ser-
wera i dodać tę opcję:
Po zainstalowaniu opcji obsługi urzędu certyfikacji przez serwer WWW, na naszym serwerze CA
działa obecnie witryna, do której można uzyskać dostęp za pośrednictwem przeglądarki inter-
netowej. Posiadanie tej witryny jest przydatne, jeśli z jakiegoś powodu użytkownicy muszą
mieć możliwość wydawania własnych certyfikatów. Znacznie prościej będzie przekazać im
dokumentację lub przeszkolić ich w zakresie żądania certyfikatu za pomocą strony internetowej,
niż zmuszać do sprawnego korzystania z konsoli MMC. Ponadto, jeśli spróbujesz zażądać
certyfikatów od komputerów, które nie znajdują się w tej samej sieci co serwer CA, użycie
MMC może być trudne. Na przykład, jeśli użytkownik, będąc w domu, będzie chciał poprosić
o nowy certyfikat, konsola MMC bez ustanowionego tunelu VPN najprawdopodobniej nie
będzie w stanie połączyć się z serwerem CA w celu pobrania tego certyfikatu. Ponieważ funk-
cjonuje nasza witryna do rejestracji certyfikatów, możesz (podobnie jak w przypadku każdej
157
Windows Server 2019 dla profesjonalistów
innej witryny w sieci) uczynić ją dostępną z zewnątrz z użyciem odwrotnego proxy lub zapory
sieciowej, tak aby zapewnić bezpieczeństwo ruchu i możliwość żądania certyfikatów z dowolne-
go miejsca.
Aby uzyskać dostęp do tej witryny, skorzystajmy ponownie z naszego zwykłego komputera
klienckiego. Tym razem zamiast otwierać MMC, po prostu uruchomię przeglądarkę Internet
Explorer lub dowolną inną, a następnie zaloguję się na stronie WWW o adresie https://
<SERWER_CA>/certsrv. W moim konkretnym środowisku dokładny adres to https://CA1/certsrv:
Nasz adres URL rozpoczyna się od HTTPS. Aby możliwe było wysyłanie żądań, konfigu-
racja witryny musi pozwalać na wykorzystanie protokołu HTTPS zamiast zwykłego
HTTP. Wydawanie certyfikatów nie będzie funkcjonować poprzez protokół HTTP, po-
nieważ informacje do klienta byłyby wtedy przesyłane w postaci zwykłego, niezaszy-
frowanego tekstu. Umożliwienie korzystania na stronie serwera CA z protokołu HTTPS
zapewnia, że wydany certyfikat będzie przesyłany w postaci zaszyfrowanej.
Kliknięcie łącza Request a certificate (Poproś o certyfikat) przeniesie Cię do kreatora, w którym
będziesz mógł poprosić serwer CA o nowy certyfikat. Zazwyczaj ten interfejs WWW służy
do uzyskania certyfikatu użytkownika. W przypadku certyfikatów na poziomie komputera
istnieją dość proste sposoby ich automatycznej dystrybucji bez potrzeby interakcji ze strony
użytkowników. (Za chwilę dokładniej omówimy to zagadnienie). W naszym przykładzie
prosimy użytkowników o zalogowanie się na stronę i kliknięcie łącza User Certificate (Certyfikat
użytkownika) (zobacz pierwszy rysunek na następnej stronie).
Jeśli nie jesteś zainteresowany certyfikatem użytkownika i chcesz użyć interfejsu WWW
do zażądania certyfikatu komputera, serwera WWW lub jeszcze innego, możesz wy-
brać łącze advanced certificate request (zaawansowane żądanie certyfikatu) i postąpić
zgodnie z instrukcjami.
158
Rozdział 4. • Certyfikaty w systemie Windows Server 2019
159
Windows Server 2019 dla profesjonalistów
sekund na każdej stacji roboczej), jeśli jednak musiałbyś go wykonać indywidualnie na kilku ty-
siącach komputerów, trzeba byłoby na to poświęcić bardzo dużo czasu. Ponadto w wielu przy-
padkach wydawane certyfikaty będą ważne tylko przez rok. Czy to oznacza, że każdego roku
będę miał do czynienia z ogromną ilością pracy administracyjnej związanej z ponownym
wydawaniem tych certyfikatów po ich wygaśnięciu? Zdecydowanie nie!
Zastanówmy się, jak można wykorzystać zasady grupy do utworzenia obiektu GPO, który
automatycznie zarejestruje nasze nowe certyfikaty na wszystkich komputerach w sieci, a oprócz
tego skonfiguruje je tak, aby w odpowiednich odstępach czasu, przed upływem terminu ważno-
ści, certyfikat mógł się automatycznie odnawiać.
Zaloguj się do serwera kontrolera domeny, a następnie otwórz konsolę Group Policy Management
(Zarządzanie zasadami grupy). Utworzyłem nowy obiekt zasad grupy o nazwie Enable Certificate
Auto-enrollment (Włącz automatyczne rejestrowanie certyfikatów), a teraz zamierzam poddać go
edycji i znaleźć ustawienia, które muszę odpowiednio skonfigurować, aby poprawnie działał
(zobacz pierwszy rysunek na następnej stronie).
Odpowiednie ustawienie obiektu GPO, które chcemy skonfigurować, znajduje się w folderze
Computer Configuration/Policies/Windows Settings/Security Settings/Public Key Policies/Certificate
Services Client — Auto-Enrollment (Konfiguracja komputera/Zasady/Ustawienia systemu
Windows/Ustawienia zabezpieczeń/Zasady kluczy publicznych/Klient usług certyfikatów —
automatyczna rejestracja).
Kliknij dwukrotnie to ustawienie, aby wyświetlić jego właściwości. Wszystko, co musimy zrobić,
to zmienić opcję Configuration Model (Model konfiguracji) na Enabled (Włączony), a następnie
zaznaczyć pola wyboru Renew expired certificates, update pending certificates, and remove
revoked certificates (Odnów wygasłe certyfikaty, aktualizuj oczekujące certyfikaty i usuń odwołane
160
Rozdział 4. • Certyfikaty w systemie Windows Server 2019
certyfikaty) oraz Update certificates that use certificate templates (Aktualizuj certyfikaty, które
używają szablonów certyfikatów). Zmiana tych ustawień zagwarantuje, że automatyczne odno-
wienie zostanie wykonane automatycznie, gdy tylko zacznie się zbliżać termin ważności certyfikatów:
161
Windows Server 2019 dla profesjonalistów
Co jeszcze musimy zdefiniować dla naszego obiektu GPO, aby go uruchomić? Utworzyć łącze,
aby można go było użyć! Jak pisałem w poprzednim rozdziale, we własnym środowisku zapewne
utworzysz łącze do określonej jednostki organizacyjnej. Ja jednak chciałbym, aby w moim labo-
ratorium certyfikaty były używane w każdej maszynie przyłączonej do domeny, dlatego podłączę
swój nowy obiekt zasad grupy do katalogu głównego domeny, aby dotyczył on wszystkich
klientów i serwerów.
Gdy obiekt GPO zostaje utworzony, skonfigurowany i połączony z domeną, mogłoby się wyda-
wać, że zostaną wydane nowe certyfikaty, a w folderze Issued Certificates będzie więcej pozycji.
Niczego nowego tam jednak nie ma. Chwileczkę, w naszym obiekcie GPO tak naprawdę nie
zdefiniowaliśmy niczego, co byłoby związane z szablonem DirectAccess Machine! Czy może
to być przyczyną problemu? Nie, w rzeczywistości nie ma żadnej dostępnej opcji, która po-
zwalałaby nam określić, jakiego rodzaju szablon chcielibyśmy wykorzystać do automatycznej
rejestracji.
Gdy w zasadach grupy umożliwiasz automatyczną rejestrację certyfikatu, staje się ona dostępna
dla każdego szablonu certyfikatu. Po zdefiniowaniu zasady automatycznej rejestracji i powiązaniu
jej z domeną, dzięki czemu stała się aktywna, działa ona teraz na każdym komputerze przy-
łączonym do domeny, dla każdego szablonu certyfikatu opublikowanego w naszym urzędzie
certyfikacji. Jednak na razie żaden certyfikat nie został wydany moim komputerom. Dzieje
się tak, ponieważ powinniśmy jeszcze dostosować ustawienia zabezpieczeń w nowym szablonie
DirectAccess Machine. Na razie skonfigurowaliśmy je w taki sposób, aby wszystkie komputery
domeny miały uprawnienia do rejestracji. Być może pamiętasz, że w zakładce Zabezpieczenia
znajdującej się we właściwościach szablonu certyfikatu było dodatkowe pole o nazwie Autoenroll
(Autorejestrowanie). Każdy szablon certyfikatu ma uprawnienie pozwalające na autoreje-
strowanie, lecz domyślnie nie jest ono włączone. Gdy umożliwiliśmy już wykonywanie automa-
tycznej rejestracji w naszej domenie, musimy również zezwolić na automatyczną rejestrację
w szablonie, który chcemy dystrybuować. Gdy tylko odblokujemy to uprawnienie, certyfikaty
zaczną się pojawiać w naszej sieci.
Przejdź do sekcji zarządzania certyfikatami na serwerze CA, a następnie dla nowego szablonu
otwórz opcję Properties (Właściwości). Wybierz zakładkę Security (Zabezpieczenia) i zezwól
na uprawnienie Autoenroll (Autorejestrowanie) dla grupy Domain Computers (Komputery
domeny). Dzięki temu urząd certyfikacji zacznie odpowiednio dystrybuować certyfikaty (zo-
bacz pierwszy rysunek na następnej stronie).
Jeśli dam swojemu środowisku chwilę, która pozwoli Active Directory zaktualizować zasady grupy
na wszystkich komputerach, zobaczę, że z serwera CA zostało wydanych więcej certyfikatów
(zobacz drugi rysunek na następnej stronie).
162
Rozdział 4. • Certyfikaty w systemie Windows Server 2019
163
Windows Server 2019 dla profesjonalistów
Aby korzystać z HTTPS, musimy na serwerze WEB1 zainstalować certyfikat SSL. Na tym
serwerze działa platforma usług internetowych firmy Microsoft znana pod nazwą Internet
Information Services (Internetowe usługi informacyjne — IIS). Trójetapowy proces będzie
taki sam w przypadku każdego innego serwera WWW, takiego jak Apache. Określone działania,
które musisz wykonać, są jednak różne, ponieważ Apache i inne serwery WWW mają odmienne
od IIS interfejsy użytkownika. Ponieważ pracujemy na serwerze sieciowym Windows Server
2019, używamy IIS 10.
164
Rozdział 4. • Certyfikaty w systemie Windows Server 2019
Bardzo ważne jest, aby podczas instalowania na serwerze WWW certyfikatu SSL znał on
Twój klucz prywatny. Jak możemy się upewnić, że tak się stanie? Tu wchodzi w grę żądanie
podpisania certyfikatu (ang. Certificate Signing Request — CSR). Pierwszym krokiem do prawi-
dłowego uzyskania certyfikatu SSL jest wygenerowanie pliku CSR. Podczas jego generowa-
nia platforma serwera WWW tworzy i ukrywa niezbędny klucz prywatny. Ponieważ plik CSR
potrafi współpracować z tym kluczem prywatnym, po zalogowaniu się na stronie internetowej
urzędu certyfikacji używasz tego pliku w celu zażądania certyfikatu.
Klucz prywatny nie znajduje się wewnątrz pliku CSR. Urząd certyfikacji nigdy nie pozna
Twojego klucza prywatnego. Jest on bardzo ważny i przechowuje się go wyłącznie na
serwerze WWW Twojej organizacji.
Aby wygenerować plik CSR, w Menedżerze serwera otwórz IIS z menu Tools, a następnie
kliknij nazwę serwera WWW w drzewie nawigacyjnym znajdującym się po lewej stronie
okna. Spowoduje to wyświetlenie szeregu różnych apletów na głównym obszarze konsoli. Inte-
resujący nas element nazywa się Server Certificates (Certyfikaty serwera). Kliknij go dwukrotnie
(zobacz pierwszy rysunek na następnej stronie).
W oknie Server Certificates możesz teraz zobaczyć wszystkie istniejące certyfikaty, które znajdują
się na danym serwerze. W tym miejscu pojawi się ostatecznie nasz nowy certyfikat SSL, którego
użyjemy we właściwościach witryny, gdy będziemy gotowi włączyć protokół HTTPS. Pierw-
szym krokiem do uzyskania nowego certyfikatu jest utworzenie żądania certyfikatu, którego
będzie można użyć w połączeniu z danym urzędem certyfikacji. Jeśli spojrzysz na prawą stronę
okna, zobaczysz sekcję Actions (Akcje), w której znajduje się łącze Create Certificate Request…
(Utwórz żądanie certyfikatu…). Kliknij je (zobacz drugi rysunek na następnej stronie).
165
Windows Server 2019 dla profesjonalistów
Pojawi się nowe okno kreatora (zobacz pierwszy rysunek na następnej stronie). Musisz po-
dać w nim informacje, które będą przechowywane w certyfikacie SSL. Najważniejsze jest tu
pole Common name (Nazwa pospolita). Musi ono zawierać nazwę DNS serwera, który ma być
chroniony przez certyfikat. Zasadniczo podajesz tutaj nazwę swojej witryny. Następnie konty-
nuujesz wypełnianie informacji dotyczących Twojej firmy. Zwróć uwagę na pole Organizatio-
nal unit (Jednostka organizacyjna), które może zawierać dowolny ciąg znaków — zazwyczaj
po prostu wpisuję tu słowo Web. W przypadku pola State (Województwo) należy podać pełną
nazwę.
166
Rozdział 4. • Certyfikaty w systemie Windows Server 2019
szyfrowania SSL zdecydowała jednak, że wartość 1024 jest zbyt niska, a nowym standardem
powinno być 2048 bitów. Gdy wejdziesz na stronę swojego urzędu certyfikacji, aby poprosić
o certyfikat, jest bardzo prawdopodobne, że twoje żądanie będzie musiało mieć minimum
2048 bitów. Wybierz więc z rozwijanego menu wartość 2048:
Trzeba jeszcze wybrać lokalizację i nazwę pliku CSR. Należy zapisać ten plik w postaci teksto-
wej, ponieważ w momencie, gdy będziemy chcieli poprosić o certyfikat, będziemy musieli
otworzyć ten plik, a następnie skopiować i wkleić jego zawartość. Utworzyłeś właśnie plik CSR,
który można wykorzystać w celu żądania certyfikatu od publicznego urzędu certyfikacji.
167
Windows Server 2019 dla profesjonalistów
Te dziwnie wyglądające dane są jednak wymagane przez urząd certyfikacji w celu utworzenia
nowego certyfikatu SSL, który będzie poprawnie współpracować z kluczem prywatnym ser-
wera WWW. Tylko serwer, który wygenerował dany plik CSR, będzie mógł zaakceptować i pra-
widłowo wykorzystać oparty na nim certyfikat SSL. Zazwyczaj musisz jedynie skopiować całą
zawartość pliku CSR i wkleić ją na stronie internetowej urzędu certyfikacji.
Gdy będziesz już w stanie pobrać certyfikat ze strony urzędu certyfikacji, skopiuj go na serwer
WWW, na którym wygenerowaliśmy plik CSR. Bardzo ważne jest, aby zainstalować nowy
certyfikat właśnie na tym samym serwerze. Jeśli zainstalowałbyś go na innym serwerze WWW,
168
Rozdział 4. • Certyfikaty w systemie Windows Server 2019
który nie wygenerował pliku CSR, certyfikat zostałby zaimportowany pomyślnie, ale nie byłby
w stanie funkcjonować. Taki problem pojawiłby się, ponieważ klucz prywatny, z którym certyfikat
powinien współpracować, nie byłby obecny na innym serwerze.
Po powrocie do konsoli zarządzania IIS możemy użyć następnej akcji z listy po prawej stronie,
Complete Certificate Request… (Ukończ żądanie certyfikatu...). Spowoduje to uruchomienie
niewielkiego kreatora, w którym podasz właśnie pobrany plik certyfikatu i zaimportujesz go
na nasz serwer. Gdy certyfikat znajdzie się na serwerze, będzie gotowy do użycia w Twojej
witrynie.
Jest jeszcze jeden dodatkowy element, który zawsze sprawdzam po zainstalowaniu lub za-
importowaniu certyfikatu SSL. W programie IIS możesz już zobaczyć swój nowy certyfikat
widniejący na liście. Po jego dwukrotnym kliknięciu zostanie wyświetlona strona właściwo-
ści certyfikatu. W dolnej części zakładki General (Ogólne) powinna się wyświetlić mała ikona
klucza, a obok niej komunikat You have a private key that corresponds to this certificate (Twój
klucz prywatny odpowiada temu certyfikatowi). Jeśli go widzisz, import się powiódł, a nowy plik
certyfikatu idealnie pasuje do pliku CSR. Serwer i certyfikat współdzielą teraz kluczowe infor-
macje o kluczu prywatnym. Certyfikat SSL może więc poprawnie działać i chronić stronę
WWW. Jeśli nie widzisz tego komunikatu, wystąpił błąd podczas żądania i pobierania naszego
certyfikatu. W takim przypadku musisz rozpocząć wszystko od nowa i wygenerować plik CSR,
ponieważ certyfikat, który otrzymałeś, nie mógł zostać odpowiednio utworzony na podstawie tego
pliku. Jeśli w dolnej części okna nie pojawi się komunikat o poprawnym zaimportowaniu
certyfikatu, nie będzie można zarządzać szyfrowanym ruchem.
Oto przykładowy wygląd zakładki w przypadku, gdy certyfikat został prawidłowo zaimportowany:
169
Windows Server 2019 dla profesjonalistów
Eksportowanie i importowanie
certyfikatów
Często muszę używać tego samego certyfikatu SSL na wielu serwerach. Może się tak zdarzyć
w przypadku, gdy mam kilka serwerów IIS obsługujących tę samą stronę WWW, dla których
używam jakiejś formy równoważenia obciążenia, aby podzielić ruch między nimi. Potrzeba
ta może również się pojawić podczas używania sprzętowego modułu równoważenia obciążenia,
ponieważ czasami trzeba instalować certyfikaty nie tylko na samych serwerach WWW, ale
także we wspomnianym urządzeniu. Innym przykładem jest użycie certyfikatów wieloznacz-
nych. Tego typu certyfikaty zazwyczaj zamierzasz instalować na wielu serwerach.
Czy to oznacza, że muszę wygenerować plik CSR dla każdego serwera i wielokrotnie żądać
nowej kopii tego samego certyfikatu? Zdecydowanie nie; mogłoby to nawet spowodować
powstanie problemów. Gdy publiczny urząd certyfikacji ponownie generuje certyfikat (innymi
słowy, jeśli kiedyś zażądałeś certyfikatu o określonej nazwie, a po jakimś czasie ponownie
przyszedłeś poprosić o jego kopię), wówczas może unieważnić pierwszy z nich, a następnie
wydać drugi. Nie zawsze jest to od razu zauważalne, ponieważ zwykle mija jakiś czas, zanim
pierwszy certyfikat zostanie unieważniony. Jeśli ponownie zalogujesz się do urzędu certyfikacji
poprzez przeglądarkę i poprosisz o nową kopię tego samego certyfikatu z wykorzystaniem
nowego pliku CSR, wygenerowanego dla drugiego serwera WWW, może się zdarzyć, że przez
kilka dni wszystko będzie poprawnie działać, aż nagle główny serwer WWW przestanie zarzą-
dzać ruchem, ponieważ jego certyfikat SSL wygaśnie.
Co powinniśmy więc zrobić? Jeśli musisz ponownie użyć tego samego certyfikatu SSL na wielu
serwerach, możesz po prostu wyeksportować go z jednej maszyny i zaimportować w innej.
W ogóle nie ma potrzeby kontaktowania się z urzędem certyfikacji. Proces ten jest dość prosty
i możliwy do zrealizowania na dwa sposoby: w przystawce MMC dla certyfikatów lub w samym
narzędziu IIS. Należy jednak pamiętać, że proces ten różni się nieznacznie w zależności od wy-
branej metody, dlatego podczas klikania w kolejnych oknach kreatorów musisz być szczegól-
nie świadomy tego, co się dzieje z kluczem prywatnym.
170
Rozdział 4. • Certyfikaty w systemie Windows Server 2019
Ponieważ kreator ostrzeże Cię, gdy wybierzesz opcję eksportu certyfikatu z kluczem prywatnym,
musisz podać hasło, które będzie używane do ochrony wyeksportowanego pliku PFX. Waż-
ne jest, aby to hasło było poprawne. Jeśli go zapomnisz, wyeksportowany plik będzie całkowicie
bezużyteczny. Jeśli wpiszesz hasło, które jest bardzo proste lub łatwe do odgadnięcia, każdy, kto
uzyskałby dostęp do tego pliku PFX, być może byłby w stanie użyć Twojego certyfikatu
i klucza prywatnego na swoich serwerach WWW, co nie byłoby dobrą wiadomością.
Podczas eksportowania certyfikatu przy użyciu przystawki MMC było o wiele więcej opcji
do wyboru, dlaczego więc ten kreator jest tak uproszczony? Konsola IIS przyjmuje niejawnie
określone założenia dotyczące pozostałych ustawień w celu przyspieszenia procesu eksportu.
Jest bardzo prawdopodobne, że podczas eksportowania certyfikatu SSL zamierzasz również
171
Windows Server 2019 dla profesjonalistów
wyeksportować klucz prywatny, dlatego IIS po prostu przyjmuje to założenie i pomija resztę
opcji. Jesteś zmuszony wprowadzić hasło, ponieważ nie możesz pominąć dołączenia klucza pry-
watnego do certyfikatu. Jeśli więc zamierzałeś wyeksportować certyfikat bez informacji o kluczu
prywatnym, nie możesz do tego wykorzystać konsoli IIS. Musisz otworzyć przystawkę MMC
i użyć bardziej rozbudowanego kreatora, którego w niej znajdziesz.
Znajdź więc serwer z certyfikatem SSL i przetestuj procedurę jego eksportu z kluczem
prywatnym oraz bez niego. Zobaczysz, że podczas importowania w innym serwerze pliku
certyfikatu bez klucza prywatnego w dolnej części okna nie pojawi się odpowiedni komunikat,
i odwrotnie — wyeksportowany plik zawierający klucz prywatny spowoduje wyświetlenie
tekstu. Dodatkowo spróbuj użyć obu certyfikatów w testowej witrynie i zobacz, co się stanie.
Przekonasz się, że certyfikat bez klucza prywatnego nie będzie umiał weryfikować ruchu SSL.
Podsumowanie
Certyfikaty mają często złą reputację. Moim zdaniem to dlatego, że w przekonaniu użytkowni-
ków zarządzanie certyfikatami jest uciążliwe i powoduje ból głowy. Widzę w tym jakiś sens.
Bez posiadania wiedzy związanej z obsługą różnych konsoli administracyjnych zarządzają-
cych infrastrukturą certyfikatów trudno byłoby uruchomić nawet najprostsze funkcje. Mam
nadzieję, że wykonując najczęściej spotykane zadania związane z certyfikatami, osiągnąłeś
już pewien poziom pewności i komfortu, dzięki czemu możesz kontynuować prace nad projek-
tami, które są obecnie wstrzymane i czekają na stworzenie infrastruktury zarządzającej certyfi-
katami. W następnym rozdziale zajmiemy się obsługą sieci w systemie Windows Server 2019.
172
Rozdział 4. • Certyfikaty w systemie Windows Server 2019
Pytania
1. Jak nazywa się rola w systemie Windows Server 2019, która umożliwia wydawanie
certyfikatów z serwera?
2. Jaki serwer urzędu certyfikacji jest zazwyczaj instalowany jako pierwszy
w środowisku domeny?
3. Czy powinno się zainstalować rolę urzędu certyfikacji na kontrolerze domeny?
4. Co należy zrobić po utworzeniu nowego szablonu certyfikatu, zanim na jego
podstawie będzie można wydawać certyfikaty komputerom lub użytkownikom?
5. Jaka jest ogólna nazwa ustawienia GPO, które wymusza automatyczne wydawanie
certyfikatów bez osobistej interwencji administratora?
6. Certyfikat SSL będzie mógł poprawnie zweryfikować ruch tylko wówczas,
jeśli udostępni informacje o kluczu _______ serwerowi WWW.
7. Jakich podstawowych informacji potrzebuje publiczny urząd certyfikacji,
aby wystawić nowy certyfikat SSL (wskazówka: generujesz je na swoim
serwerze WWW)?
173
Windows Server 2019 dla profesjonalistów
174
5
Obsługa sieci
w Windows Server 2019
Jak wynika z informacji przedstawionych dotąd w tej książce, serwery są czymś w rodzaju
pni drzew w naszych sieciach. Stanowią one infrastrukturę szkieletową, która umożliwia
wykonywanie naszej pracy. Jeśli serwery są pniami, wówczas same sieci muszą być korze-
niami. Twoja sieć to platforma obsługująca infrastrukturę firmy. Tworzy kanały, z których korzy-
stają wszystkie urządzenia w firmie, aby się ze sobą komunikować.
sieciami komputerowymi, ponieważ będą one ważne dla każdego administratora. Później po-
święcimy kilka chwil na bliższe zapoznanie Cię z wirtualizacją sieci.
Powiem wprost: nie próbuję Cię przekonywać, że trzymanie się protokołu IPv4 to sposób na
przyszłość. Informuję tylko, że dla większości organizacji w ciągu najbliższych kilku lat będzie to
po prostu prawda. Powodem, dla którego w tej książce chciałbym omówić protokół IPv6,
jest to, że ostatecznie będziesz musiał sobie z nim poradzić. Ale kiedy to zrobisz, będziesz
naprawdę podekscytowany! Protokół IPv6 ma kilka olbrzymich zalet w porównaniu z IPv4,
w tym ogromną liczbę adresów IP, które można przechowywać w ramach jednej sieci. Zespoły
administratorów sieciowych w firmach na całym świecie zmagają się codziennie z potrzebą
budowania coraz większej liczby sieci IPv4 i ich łączenia. Pomyśl o tym: istnieje mnóstwo
firm, w których liczba pracowników przekracza 10 tysięcy. W niektórych jest ich nawet o wiele
176
Rozdział 5. • Obsługa sieci w Windows Server 2019
więcej. W dzisiejszym świecie każdy potrzebuje właściwie ciągłego dostępu do swoich danych.
Dane to nowa waluta. Większość użytkowników ma teraz co najmniej dwa fizyczne urządzenia,
z których korzysta w pracy. Często spotykane konfiguracje to laptop i tablet, laptop i smartfon lub
komputer stacjonarny, laptop, tablet i smartfon. W świecie IPv4, w którym masz do czynie-
nia ze stosunkowo małymi zakresami adresów IP, musisz bardzo kreatywnie tworzyć podsieci,
aby pomieścić te wszystkie fizyczne urządzenia, z których każde potrzebuje unikatowego ad-
resu IP do komunikacji. Największą zaletą protokołu IPv6 jest to, że natychmiast i z definicji
rozwiązuje on wszystkie te problemy, ponieważ zapewnia możliwość posiadania ogromnej
liczby adresów IP w jednej sieci. O jakiej liczbie adresów mówimy? Oto niektóre dane porów-
nawcze, które pozwolą uzyskać pewien pogląd na tę sprawę:
Adres IPv4 to adres o długości 32 bitów, który wygląda tak:
192.168.1.5
Adres IPv6 to adres o długości 128 bitów, który wygląda tak:
2001:AABB:CCDD:AB00:0123:4567:8901:ABCD
Jak widać, adres IPv4 jest znacznie krótszy, co oczywiście oznacza, że istnieje mniej możliwości
uzyskania unikatowych adresów IP. W rzeczywistości nie widzisz, jak długie są adresy IPv6.
W powyższych przykładach przedstawiono adresy IPv4 i IPv6 w takiej postaci, jaka została
przyjęta do ich wyświetlania. Naprawdę jednak adres IPv4 jest prezentowany w postaci dziesięt-
nej, a IPv6 w systemie szesnastkowym. Adresy IPv6 są wyświetlane przy użyciu systemu
szesnastkowego, dzięki czemu są maksymalnie skompresowane. Jeśli zajrzysz pod maskę,
adres IPv6 w swojej natywnej 128-bitowej formie może wyglądać mniej więcej tak, jak pokazano
poniżej (i właśnie tak wygląda wewnątrz pakietu danych):
0001000001000001000011011001100000000000000000010000000000000000
0001000000000000000000000000100000000000000000000000000000000001
To imponujący zestaw cyfr, ale nie jest on czymś bardzo użytecznym lub przyjaznym dla ludz-
kiego oka. Może więc zamiast w systemie dwójkowym zaprezentowalibyśmy adres IPv6
w formacie dziesiętnym — w taki sam sposób, w jaki są pokazywane adresy IPv4? W takim
przypadku adres IPv6 będzie wyglądać mniej więcej tak:
192.16.1.2.34.0.0.1.0.0.0.0.0.0.0.1
Teraz w pełni rozumiesz, dlaczego adres IPv6 jest zawsze używany i wyświetlany w systemie
szesnastkowym — jest on wystarczająco długi nawet w tym skompresowanym formacie!
177
Windows Server 2019 dla profesjonalistów
jednej sieci IPv4 w celu zwiększenia swojego użytecznego zakresu adresów IP, ale wymaga
to starannego planowania i obliczania przestrzeni adresowych. Jest to powód, dla którego pole-
gamy na doświadczonych administratorach sieci, którzy zarządzają tym fragmentem infrastruktury.
Jedna niepoprawna konfiguracja podsieci w tablicy routingu może zablokować cały ruch siecio-
wy. Administrowanie podsieciami w dużej sieci IPv4 nie jest zadaniem dla osób o słabym sercu.
Aby przeanalizować liczbę adresów, których moglibyśmy używać w typowej sieci wewnętrznej
w wersji IPv6, przyjrzyjmy się jeszcze raz wcześniej zaprezentowanemu adresowi. Wymyśliłem
go na poczekaniu, ale postarajmy się go podzielić na części:
2001:AABB:CCDD:AB00:0123:4567:8901:ABCD
W porównaniu z prostym adresem 192.168.1.5 powyższy ciąg znaków wygląda jak potwór.
Wynika to z tego, że generalnie nie jesteśmy przyzwyczajeni do obsługi formatu szesnastko-
wego — to po prostu inny sposób patrzenia na dane. Jak wspomniałem, jest to adres 128-bitowy.
Został on podzielony na 8 różnych sekcji, a każda z nich jest oddzielona dwukropkiem i składa
się z 16 bitów. Pierwsze 64 bity (pierwsza połowa) adresu to informacje o routingu, a ostat-
nie 64 bity to unikatowy identyfikator urządzenia w sieci. W pierwszej części mamy dwa różne
komponenty. Pierwszych 48 bitów (3 grupy szesnastkowe) to prefiks organizacyjny, który
będzie taki sam dla wszystkich naszych urządzeń w sieci. Następnie czwarty zestaw informacji,
czyli dalszych 16 bitów, może być naszym identyfikatorem podsieci. Daje nam to możliwość
posiadania w przyszłości wielu różnych podsieci. Po użyciu pierwszej połowy adresu pozostaje
nam jeszcze druga część, czyli ostatnie 64 bity, które możemy wykorzystać do nadawania
identyfikatorów urządzeniom. Ta część adresu będzie odmienna dla każdego urządzenia w sieci
i pozwoli na nadawanie indywidualnych, statycznych adresów IPv6, które będą używane do
komunikacji. Pokażę to wszystko dokładniej. Weźmy poprzedni przykładowy adres i podzielmy
go na następujące części:
prefiks organizacyjny: 2001:AABB:CCDD,
identyfikator podsieci: AB00,
identyfikatory urządzeń: 0123:4567:8901:ABCD.
Ile urządzeń możemy mieć w swojej sieci ze schematem IP takim jak powyższy? Cóż, nawet
w naszym przykładzie, w którym przydzieliliśmy tylko jedną 16-bitową sekcję dla podsieci
i 64 bity dla rzeczywistych adresów IP, uzyskalibyśmy możliwość posiadania ponad 65 000
podsieci i kwintylionów unikatowych identyfikatorów urządzeń w naszym zakresie IP. Impo-
nujące, prawda?
Jeśli zastosujemy powyższy schemat i użyjemy tylko jednej podsieci w celu zarządzania wszyst-
kimi urządzeniami, pierwsza połowa naszych adresów będzie zawsze taka sama, dzięki czemu
będą one łatwiejsze do zapamiętania i obsługi. Zaskakujące jest to, że szybko przyzwyczaisz
się w swoim środowisku do wyświetlania tych dużych liczb szesnastkowych. Nawet jeśli za-
178
Rozdział 5. • Obsługa sieci w Windows Server 2019
czniesz je rozpoznawać, prawdopodobnie nadal nie będziesz chciał od razu logować się na ser-
wery lub komputery w sieci przy użyciu ich statycznych adresów IP. Wiem, że wciąż wielu z nas
ma w zwyczaju mówić: „Muszę szybko wskoczyć na mój serwer WWW, więc połączę się
z adresem 192.168.1.5 przez zdalny pulpit”. Sam czas potrzebny na wpisanie adresów IPv6,
nawet jeśli je pamiętasz, na ogół nie jest tego wart. Wdrożenie protokołu IPv6 pociągnie za sobą
większe uzależnienie od usług DHCP i DNS, co sprawi, że stanie się on bardziej użyteczny.
Gdy już wiemy, do jakich celów są wykorzystywane określone fragmenty adresu, musimy się za-
stanowić, w jaki sposób moglibyśmy przypisać numery identyfikacyjne wszystkim komputerom,
serwerom i innym urządzeniom w swojej sieci. Mógłbyś zacząć od cyfry 1 i po prostu za
każdym razem zwiększać liczbę o jeden. Innym pomysłem jest zamiana starych adresów IPv4 na
wartości szesnastkowe i użycie ich jako ostatnich 32 bitów adresu. Na swoim komputerze
otwórz aplikację kalkulatora, a następnie przejdź w tryb programisty. Dzięki temu otrzymasz
szybkie i łatwe w użyciu narzędzie, które można wykorzystać do konwersji liczb dziesiętnych na
szesnastkowe i odwrotnie. Weźmy przykład mojego serwera WWW, który działa pod adresem
192.168.1.5. W sieci zamierzam wdrożyć protokół IPv6 i dlatego chciałbym, aby adres IPv6
mojego serwera odzwierciedlał w sekcji identyfikatora urządzenia oryginalny adres IPv4. Jeśli
w kalkulatorze wprowadzisz wartość 192, wyświetli się odpowiednia liczba szesnastkowa, jak po-
kazano na poniższym zrzucie ekranu:
179
Windows Server 2019 dla profesjonalistów
Jeśli postąpimy tak samo z każdym oktetem naszego adresu IPv4, otrzymamy następujące wyniki:
192 = C0
168 = A8
1 = 01
5 = 05
Zatem adresowi 192.168.1.5 odpowiada wartość C0A8:0105. Teraz mogę jej użyć w połączeniu
z prefiksem organizacyjnym i identyfikatorem podsieci, aby utworzyć statyczny adres IPv6
dla swojego serwera WWW:
2001:AABB:CCDD:0001:0000:0000:C0A8:0105
Być może zauważyłeś, że na końcu adresu IPv6 umieściłem szesnastkowy identyfikator urządze-
nia, a oprócz tego wprowadziłem kilka innych zmian. Założyliśmy, że ostatnie 64 bity będą prze-
znaczone dla identyfikatora urządzenia. Jednakże mój stary adres IPv4 zużywa tylko 32 bity,
więc w środku pozostały jeszcze 32 bity do wykorzystania. Byłoby dziwnie mieć w nich jakieś
losowe dane, więc po prostu wyzerowałem je, aby uprościć schemat adresowania. Oprócz
tej zmiany zainicjalizowałem swój identyfikator podsieci wartością 1, ponieważ jest to pierwsza
podsieć w mojej sieci.
Nowe adresowanie zaczyna wyglądać bardziej przejrzyście i ma więcej sensu. Gdy spoglą-
dam na ten nowy adres naszego serwera WWW, przychodzą mi do głowy kolejne pomysły
na wprowadzenie ulepszeń. W tej chwili adres jest w stu procentach poprawny. Mógłbym
wprowadzić go we właściwościach karty sieciowej swojego serwera i działałby bez problemu.
Jednak jest tam wiele zer i nie muszę ich wszystkich przechowywać. Za każdym razem, gdy
w 16-bitowym segmencie poprzedzającym rzeczywistą liczbę pojawiają się zbędne zera, można
je po prostu usunąć. Na przykład nasz identyfikator podsieci i pierwsze 32 bity naszego
identyfikatora urządzenia mają wiele niepotrzebnych zer, więc mogę skonsolidować adres w na-
stępujący sposób:
2001:AABB:CCDD:1:0:0:C0A8:0105
Idźmy dalej — za każdym razem, gdy 16-bitowe sekcje są złożone całkowicie z zer, można je
zamienić na podwójny dwukropek. Tak więc pierwsze 32 bity naszego identyfikatora urządzenia,
które są zerami, mogę zastąpić znakami ::. Poniżej zaprezentowałem adres pierwotny i po
konsolidacji. Te liczby wyglądają zupełnie inaczej. Mimo że skonsolidowany adres jest znacznie
łatwiejszy do odczytania, z technicznego punktu widzenia jest on dokładnie taki sam jak
oryginalny:
2001:AABB:CCDD:0001:0000:0000:C0A8:0105
2001:AABB:CCDD:1::C0A8:0105
Jeśli tworzysz strukturę laboratorium lub chcesz szybko przetestować protokół IPv6, możesz
użyć adresów tak prostych, jak podano w poniższym przykładzie. Dwa adresy, które tu przed-
stawię, są dokładnie takie same:
2001:0000:0000:0000:0000:0000:0000:0001
2001::1
180
Rozdział 5. • Obsługa sieci w Windows Server 2019
Należy pamiętać, że podwójnego dwukropka można użyć tylko raz w obrębie adresu
IP. Jeśli w tym samym adresie są dwa miejsca, w których można go zastosować, możesz
wybrać tylko jedno z nich w celu uproszczenia zapisu. W drugim miejscu zapis musi
pozostać w standardowej postaci.
Dzięki podanym powyżej informacjom powinieneś być w stanie stworzyć własny wzorzec
adresów IPv6 i zacząć je przypisywać komputerom lub serwerom w sieci. Temu tematowi można
poświęcić całą książkę i faktycznie powstało ich dużo.
Wszystkie te narzędzia są bezpłatne, więc nie masz żadnej wymówki, aby się z nimi nie zapoznać.
Polecenie ping
Nawet najbardziej nowocześni specjaliści IT są zwykle zaznajomieni z poleceniem ping.
Można je wywołać z wiersza polecenia lub z programu PowerShell. Służy ono do wysłania
zapytania o nazwę DNS i (lub) adres IP, po którym następuje oczekiwanie na odpowiedź na
to wywołanie. Polecenie ping zawsze było i wciąż jest naszym głównym narzędziem do testowa-
nia łączności między dwoma urządzeniami w sieci. W swoim kliencie Windows 10 podłączonym
do sieci LAN mogę uruchomić wiersz poleceń i wykonać instrukcję ping <ADRES_IP>. Po-
nieważ w środowisku używam usługi DNS, które zamienia nazwy na adresy IP, mogę również
użyć polecenia ping <NAZWA_SERWERA>, jak pokazano na poniższym przykładzie. Możesz zauwa-
żyć, że mój serwer odpowiada na polecenie ping, informując mnie, że jest w sieci i pracuje:
181
Windows Server 2019 dla profesjonalistów
Ruch sieciowy generowany przez polecenie ping jest technicznie zwany ruchem ICMP. Jest to
ważna informacja, ponieważ protokół ICMP jest obecnie coraz częściej blokowany, a zapory
są domyślnie włączone w wielu naszych systemach i urządzeniach. ping był zawsze narzędziem,
na które mogliśmy liczyć, gdy chcieliśmy dość dokładnie ustalić, czy między dwoma urządze-
niami istnieje połączenie sieciowe. Niestety, już tak nie jest. Jeśli na komputerze zainstalujesz
system Windows i podłączysz go do sieci, może się on poprawnie komunikować z internetem
i wszystkimi serwerami. Jeśli jednak z innego urządzenia w sieci spróbujesz wysłać do tego
nowego komputera polecenie ping, prawdopodobnie nie zostanie wykonane. Dlaczego tak
się dzieje? Wynika to stąd, że system Windows ma wbudowane pewne zabezpieczenia, w tym
zdefiniowane w zaporze blokowanie ruchu ICMP. W takim przypadku musisz wyłączyć zaporę
albo dodać do niej regułę dostępu, która zezwoli na ruch ICMP. Po włączeniu takiej reguły
nowy komputer zacznie odpowiadać na polecenie ping. Pamiętaj, że w dzisiejszym świecie
podczas tworzenia nowych systemów lub serwerów w sieci polecenie ping nie zawsze jest
narzędziem, na którym można polegać.
Na odpowiedzi ICMP można łatwo zezwolić przez dodanie reguły do zapory Windows Defen-
der z zabezpieczeniami zaawansowanymi. Nadal jednak musiałbyś pamiętać, aby tę operację
wykonywać ręcznie na każdym nowym systemie, który podłączasz do sieci. Na szczęście już
wiesz, jak korzystać z zasad grupy w celu zbudowania obiektu GPO i umieszczenia go na wszyst-
kich komputerach. Jak się zapewne domyślasz, w obiekcie GPO możesz bez problemu umie-
ścić reguły zapory. Dodanie reguły zapory za pomocą zasad grupy to powszechny sposób na
dopuszczenie lub zablokowanie protokołu ICMP w całej organizacji.
Polecenie tracert
Polecenie tracert (skrót od słów Trace Route) służy do śledzenia pakietu sieciowego, który
przemieszcza się po Twojej sieci. Tak naprawdę to polecenie obserwuje wszystkie miejsca, które
napotyka pakiet, zanim dotrze do miejsca docelowego. Te „nierówności na drodze”, przez
które musi przejść pakiet sieciowy, nazywane są przeskokami (ang. hops). Trasa śledzenia poka-
zuje wszystkie przeskoki, które odwiedza Twój pakiet, gdy zbliża się do serwera docelowego
lub dowolnego innego urządzania, z którym próbuje się skontaktować. Moja sieć laboratoryjna
182
Rozdział 5. • Obsługa sieci w Windows Server 2019
jest bardzo płaska i nudna, więc wykonanie polecenia tracert nie pokazałoby nam wiele. Jeśli
jednak otworzę program PowerShell w komputerze podłączonym do internetu i wykonam pole-
cenie tracert do serwera sieciowego takiego jak Bing, otrzymam kilka interesujących wyników:
Jeśli wykorzystujesz polecenie tracert, ale w danych wyjściowych nie chcesz widzieć
żadnych informacji z usługi DNS, użyj opcji tracert -d, aby zachować wyłącznie adresy IP.
183
Windows Server 2019 dla profesjonalistów
Polecenie pathping
Polecenie tracert jest użyteczne i wydaje się faktycznie standardem przy śledzeniu pakietów
w sieci, jednak moim zdaniem pathping jest jeszcze potężniejsze. Polecenie pathping zasadniczo
wykonuje dokładnie to samo co tracert, z tym wyjątkiem, że zapewnia jeszcze jedną istotną
informację. Podczas używania zaprezentowanych narzędzi najczęściej chciałbyś się tylko do-
wiedzieć, w którym miejscu w łańcuchu przeskoków coś się psuje. Konfigurując serwery do
zastosowań sieciowych, często używam urządzeń, które mają wiele różnych kart sieciowych.
Gdy w systemie mamy do czynienia z wieloma kartami sieciowymi, lokalna tabela routingu
jest tak samo ważna jak zewnętrzne routery i przełączniki, więc często chciałbym sprawdzić
ścieżkę pakietu, aby zobaczyć, z której lokalnej karty jest wysyłany. W takiej sytuacji polecenie
pathping jest lepsze od tracert. Pierwszą informacją, którą prezentuje polecenie tracert,
jest przeskok na następne urządzenie sieciowe. Polecenie pathping pokazuje również, z którego
interfejsu sieciowego Twojego komputera są wysyłane pakiety.
Oto przykład: często konfiguruję serwery dostępu zdalnego z wieloma kartami sieciowymi. Pod-
czas tego procesu tworzę wiele tras na serwerze lokalnym, dzięki czemu wie on, jaki ruch należy
wysłać w danym kierunku — na przykład jaki ruch powinien wychodzić z wewnętrznej
karty sieciowej i jaki ruch musi wchodzić przez zewnętrzną kartę sieciową. Po wypełnieniu
wszystkich tabel routingu dla wewnętrznej karty sieciowej testuję je przez wysłanie polecenia
ping do serwera w sieci. Być może wykonanie tego polecenia nie powiedzie się, a ja nie będę
wiedział, jaki jest tego powód. Mogę spróbować użyć polecenia tracert, ale nie dowiem się
niczego nowego, ponieważ ono po prostu nie widzi pierwszego przeskoku, więc następuje
przekroczenie limitu czasu. Jeśli jednak spróbuję zastosować polecenie pathping, pierwszy prze-
skok co prawda nadal nie będzie dostępny, ale teraz dowiem się, że mój ruch próbuje się wydo-
stawać przez ZEWNĘTRZNĄ kartę sieciową. Ojej! Na serwerze musieliśmy nieprawidłowo
skonfigurować swoją statyczną trasę. Wiem więc, że muszę ją usunąć, a następnie utworzyć
ponownie, aby ruch odbywał się przez wewnętrzną kartę sieciową.
Poniżej przedstawiono wiersz poleceń programu PowerShell uruchomiony na tym samym kom-
puterze, którego użyłem do wykonania zrzutu ekranu dla polecenia tracert. Widzimy, że
pathping wyświetla adres IP lokalnej karty sieciowej mojego laptopa, przez którą odbywa się
ruch. Polecenie tracert nie wyświetlało tych informacji:
184
Rozdział 5. • Obsługa sieci w Windows Server 2019
Polecenie Test-Connection
Instrukcje, które omówiliśmy do tej pory, można było uruchomić z wiersza poleceń lub progra-
mu PowerShell. Nadszedł jednak czas, aby zaprezentować nowsze narzędzie, które można
wywołać tylko w powłoce PowerShell. Mam na myśli polecenie o nazwie Test-Connection — jest
ono czymś w rodzaju polecenia ping na sterydach. Jeśli otworzymy wiersz poleceń PowerShell
w naszym środowisku laboratoryjnym, a następnie uruchomimy instrukcję Test-Connection
WEB1, otrzymamy wynik, który jest bardzo podobny do tego, jaki uzyskalibyśmy po użyciu zwy-
kłego polecenia ping. Informacje są jednak wyświetlone w sposób, który moim zdaniem jest
bardziej przyjazny dla użytkownika. Pojawiła się również nowa kolumna danych o nazwie Source
(Źródło):
Ciekawa sprawa. Gdy uruchomiłem to polecenie, byłem zalogowany na serwerze DC1, więc był
on moim urządzeniem źródłowym. Czy to oznacza, że w poleceniu Test-Connection mam
możliwość zmiany komputera źródłowego? Tak, jest to prawdą. Podobnie jak w przypadku
wszystkich innych elementów zarządzających systemem Windows Server 2019, nie ma potrzeby
logowania się na serwerze lokalnym. W przypadku polecenia Test-Connection oznacza to, że
możesz otworzyć wiersz poleceń programu PowerShell w dowolnym komputerze podłączonym
do sieci i przetestować połączenia między dwoma różnymi punktami końcowymi, nawet jeśli nie
jesteś zalogowany do żadnego z nich. Sprawdźmy to.
Nadal jestem zalogowany na serwerze DC1, ale zamierzam użyć polecenia Test-Connection,
aby przetestować połączenia między kilkoma serwerami w sieci. Nie tylko możesz określić
komputer źródłowy inny niż ten, na którym jesteś obecnie zalogowany, ale też możesz pójść
o krok dalej i za pomocą tego potężnego polecenia określić wiele źródeł i miejsc docelowych.
Jeśli więc chcę przetestować połączenia z kilku różnych maszyn źródłowych do kilku różnych
miejsc docelowych, mogę to łatwo zrobić za pomocą następującego polecenia:
Test-Connection -Source DC1, DC2 -ComputerName WEB1, BACK1
185
Windows Server 2019 dla profesjonalistów
Jeszcze jedną przydatną funkcjonalnością, na którą należy zwrócić uwagę, jest to, że za pomocą
przełącznika -Quiet można dość łatwo zmniejszyć ilość informacji wyjściowych. Przez dodanie
opcji -Quiet do polecenia Test-Connection likwidujesz prawie wszystkie dane wyjściowe
i otrzymujesz tylko proste potwierdzenia True lub False w zależności od tego, czy połączenie się
powiodło czy nie. Niestety, nie można łączyć przełączników -Source i -Quiet, ale jeśli używasz
polecenia Test-Connection z oryginalnego komputera źródłowego, na którym jesteś zalogowany
(jak większość z nas i tak robi), wówczas opcja -Quiet działa świetnie. W większości przypadków
tak naprawdę zależy nam na zwykłej odpowiedzi Tak lub Nie, by dowiedzieć się, czy połączenia
działają, a niekoniecznie chcielibyśmy oglądać na ekranie dokładne wyniki wszystkich prób.
Po użyciu opcji -Quiet otrzymujemy dokładnie to, o co nam chodzi:
Test-Connection -Quiet -ComputerName WEB1, BACK1, DC2, CA1
Gdybym użył polecenia Test-Connection w standardowy sposób, aby spróbować się połączyć ze
wszystkimi serwerami w swojej sieci, otrzymałbym bardzo dużą liczbę wyników. Dzięki wyko-
rzystaniu parametru -Quiet otrzymuję tylko krótkie odpowiedzi True (Prawda) lub False (Fałsz),
jednoznacznie informujące, czy można się skontaktować z danym serwerem:
186
Rozdział 5. • Obsługa sieci w Windows Server 2019
Polecenie telnet
Polecenie telnet zapewnia sporo możliwości zdalnego zarządzania. Zasadniczo umożliwia
ono nawiązanie połączenia między dwoma komputerami w celu zarządzania maszyną zdalną
za pośrednictwem wirtualnego połączenia terminalowego. Nie będziemy jednakże omawiać tu
żadnej rzeczywistej funkcjonalności zapewnianej przez telnet, ponieważ w kontekście sieci
uważam, że jest to całkiem przydatne, proste narzędzie służące do testowania połączeń i nie
trzeba nic wiedzieć o tym, jakie ma zaawansowane opcje.
Gdy analizowaliśmy polecenie ping, wspominaliśmy o wadach protokołu ICMP. Można go łatwo
zablokować i przez to w obecnie tworzonych sieciach coraz częściej polecenie ping nie działa
prawidłowo. Jest to smutne, ponieważ było ono zawsze najczęstszą formą testowania połączenia
sieciowego. W rzeczywistości jednak, jeśli ułatwiało nam życie, ułatwiało też życie hakerom.
Skoro nie możemy już polegać na poleceniu ping, gdy chcemy uzyskać informację, czy istnieje
połączenie ze zdalnym systemem, czego powinniśmy używać w zamian? Innym często spotyka-
nym przypadkiem jest sytuacja, w której sam serwer może reagować poprawnie, ale określo-
na usługa działająca na nim ma problem i nie odpowiada. Proste polecenie ping może informo-
wać, że serwer jest co prawda w trybie online, ale nie może nam nic powiedzieć na temat
konkretnej usługi. Z wykorzystaniem poleceń klienta Telnetu możemy w prosty sposób wysłać
zapytania do serwera. Co ważniejsze, możemy sprawdzić pojedynczą usługę na tym serwerze,
aby upewnić się, że działa ona poprawnie.
Oto praktyczny przykład. Często konfiguruję serwery WWW wymagające dostępu do inter-
netu. Po uruchomieniu nowego serwera warto sprawdzić, czy można się do niego dostać
z internetu, i upewnić się, że odpowiada. Być może jednak sama witryna nie jest jeszcze dostępna,
więc nie mogę jej wczytać za pomocą przeglądarki Internet Explorer lub innej. Jest też całkiem
prawdopodobne, że na tym serwerze lub na poziomie firmowej zapory sieciowej wyłączyliśmy
odpowiadanie na polecenie ping, ponieważ w internecie często blokuje się protokół ICMP
w celu zmniejszenia podatności na ataki. Tak więc mój nowy serwer działa i wydaje się nam,
że sieć jest poprawnie skonfigurowana, ale nie mogę użyć polecenia ping, serwer bowiem
z założenia nie odpowie na nie. Czego mogę więc użyć do przeprowadzenia testów? Polecenia
telnet. Używając go, mogę nakazać komputerowi, aby sprawdził określony port na moim
nowym serwerze internetowym i dowiedział się, czy istnieje odpowiednie połączenie. W ten
sposób ustanawia się połączenie gniazda z portem na tym serwerze, co jest znacznie bardziej
zbliżone do rzeczywistego ruchu generowanego przez użytkownika niż użycie polecenia
ping. Jeśli polecenie telnet połączy się pomyślnie, będziesz już wiedział, że ruch dociera do
serwera, a usługa działająca na porcie, którego dotyczy zapytanie, wydaje się odpowiadać
poprawnie.
Możliwość korzystania z usługi Telnet nie jest domyślnie dostępna w systemie Windows Se-
rver 2019 ani w żadnym innym systemie operacyjnym Windows, dlatego najpierw musimy
przejść do Menedżera serwera i wybrać opcję Add Roles and Features (Dodaj role i funkcje),
aby zainstalować funkcję o nazwie Telnet Client (Klient Telnetu):
187
Windows Server 2019 dla profesjonalistów
Gdy funkcja klienta Telnetu zostanie już zainstalowana, będziemy mogli jej użyć z wiersza
poleceń lub programu PowerShell, dzięki czemu spróbujemy się połączyć ze swojego komputera
do usługi zdalnej. Wystarczy podać nazwę (lub adres IP) serwera docelowego i jego port.
Następnie telnet po prostu połączy się poprawnie lub przekroczy limit czasu, a my na podstawie
otrzymanego wyniku będziemy mogli stwierdzić, czy dana usługa na serwerze odpowiada.
Wypróbujmy to narzędzie na naszym serwerze WWW. Właśnie wyłączyłem stronę interne-
tową w konsoli IIS, więc mamy obecnie sytuację, w której co prawda serwer jest online, ale
sama strona nie działa. Jeśli spróbuję użyć polecenia ping z serwerem WEB1, uzyskam poprawną
odpowiedź. Jak widać, narzędzia do monitorowania serwera oparte na protokole ICMP mogłyby
przekazać fałszywe informacje, ponieważ stwierdziłyby, że serwer działa, nawet jeśli nasza
strona jest niedostępna. Na poniższym zrzucie ekranu widać, że po wykonaniu polecenia
ping próbowałem również wysłać zapytanie na port 80 serwera WEB1. W tym celu użyłem
polecenia telnet web1 80. Okazało się, że upłynął limit czasu. Dzięki temu możemy stwierdzić,
że strona internetowa działająca na porcie 80 nie odpowiada (zobacz pierwszy rysunek na
następnej stronie).
Po włączeniu strony możemy ponownie spróbować wykonać polecenie telnet web1 80 i teraz
już nie otrzymamy komunikatu o przekroczeniu limitu czasu. Tym razem wnętrze okna pro-
gramu PowerShell zostanie wyczyszczone, a pod jego górną krawędzią pojawi się migający
kursor. Chociaż nie otrzymałem jawnego komunikatu „Super, połączyłeś się!”, ten migający
kursor wskazuje, że połączenie z serwerem zostało pomyślnie nawiązane po porcie 80, co ozna-
cza, że witryna jest w trybie online i odpowiada (zobacz drugi rysunek na następnej stronie).
188
Rozdział 5. • Obsługa sieci w Windows Server 2019
Polecenie Test-NetConnection
Jeśli poleceniu ping odpowiada ulepszone polecenie programu PowerShell o nazwie Test-
-Connection, moglibyśmy zapytać, czy istnieje również poprawione narzędzie, które działa
podobnie jak telnet i służy do testowania połączeń po określonych portach. Odpowiedź jest
twierdząca. Polecenie Test-NetConnection programu PowerShell to kolejny sposób na sprawdze-
nie określonych portów lub usług w systemie zdalnym, przy czym uzyskane dane wyjściowe
są bardziej przyjazne niż w przypadku usługi Telnet.
189
Windows Server 2019 dla profesjonalistów
190
Rozdział 5. • Obsługa sieci w Windows Server 2019
W takiej sytuacji przydają się narzędzia Wireshark i Message Analyzer. Oba są bezpłatne i oba
można łatwo pobrać. Mają także te same funkcje. Zostały zaprojektowane do przechwytywania
ruchu sieciowego opuszczającego system lub docierającego do niego, a także wyświetlania in-
formacji zawartych w samych pakietach, abyś mógł dokładniej zapoznać się z sytuacją. W przy-
padku naszej przykładowej aplikacji, która nie może się połączyć, mógłbyś uruchomić jedno
z tych narzędzi na komputerze klienckim, aby obserwować ruch wychodzący. Możesz je także
uruchomić na serwerze aplikacji, aby śledzić pakiety przychodzące od klienta.
Każde z narzędzi działa jednak trochę odmiennie, a ponieważ nie mamy tutaj miejsca, aby
je dokładnie omówić, poniżej podam jedynie odnośniki, za pomocą których możesz je pobrać
w celu przetestowania:
1. Wireshark: https://www.wireshark.org/download.html,
2. Microsoft Message Analyzer: https://www.microsoft.com/en-us/download/
details.aspx?id=44226.
Narzędzie TCPView
Narzędzia, które omówiliśmy do tej pory, są świetne i mogą być używane na co dzień do testo-
wania określonych zasobów, jednakże zdarzają się sytuacje, w których musisz się wycofać
i przede wszystkim dowiedzieć, czego w ogóle szukasz. Być może obsługujesz aplikację na
komputerze i nie masz pewności, z jakim serwerem się ona komunikuje. A może podejrzewasz,
że komputer „złapał” wirusa, który próbuje się połączyć z zarządzającym nim serwerem, a Ty
chciałbyś zidentyfikować jego lokalizację lub sam proces nawiązujący połączenie. W takich
sytuacjach pomocne byłoby narzędzie, które można by uruchomić na komputerze lokalnym
w celu zaprezentowania w jasny i zwięzły sposób wszystkich aktywnych strumieni ruchu
sieciowego. Właśnie taką funkcję ma narzędzie TCPView. Zostało ono pierwotnie stworzone
przez zespół programistów Sysinternals. Być może słyszałeś o innych stworzonych przez niego
narzędziach, takich jak ProcMon i FileMon. Program TCPView wyświetla w czasie rzeczywistym
wszystkie aktywne połączenia TCP i UDP używane na danym komputerze. Ważne jest również
to, że nie musisz go instalować. Jest to samodzielny plik wykonywalny, dzięki czemu można
go łatwo użyć, a przy tym po zakończeniu pracy sam usuwa swoje ślady z pamięci.
Po prostu skopiuj plik na komputer lub serwer, który chcesz monitorować, a następnie kliknij
go dwukrotnie. Poniżej zamieszczono zrzut ekranu z interfejsem programu TCPView, który
działał na moim lokalnym komputerze i wyświetlał wszystkie połączenia tworzone w danym
momencie przez system Windows i inne oprogramowanie. Możesz zatrzymać przewijanie ekranu,
aby przyjrzeć się bliżej wynikom, a także zdefiniować filtry, by ograniczyć ilość danych i znaleźć to,
czego naprawdę szukasz. Filtry pozwalają pozbyć się śmieci, dzięki czemu można się przyjrzeć
bliżej określonemu docelowemu miejscu lub identyfikatorowi procesu:
191
Windows Server 2019 dla profesjonalistów
192
Rozdział 5. • Obsługa sieci w Windows Server 2019
adresowość, są serwery Hyper-V. Bardzo często mają one wiele kart sieciowych, ponieważ
działające na nich maszyny wirtualne mogą wymagać połączenia z różnymi sieciami fizycznymi
w organizacji.
Gdy już ustaliliśmy, czym jest serwer o wielu adresach, możesz nadal się zastanawiać, dlaczego
o tym wspominam. Jeśli mam więcej niż jedną kartę sieciową, czyż konfigurując każdą z nich
w systemie Windows, nie nadam im po prostu określonych adresów IP, tak jak zrobiłbym
w przypadku pojedynczej karty sieciowej na dowolnym serwerze? Tak i nie. Tak — konfigu-
rujesz adresy IP na każdej karcie sieciowej, ponieważ jest to niezbędne do odpowiedniej
identyfikacji i transportu pakietów w sieci. Nie — nie konfigurujesz wszystkich kart sieciowych
na swoim serwerze w ten sam sposób. Jest jeden kluczowy element, o którym należy pamiętać
i który należy uwzględnić, aby pakiety na serwerze wieloadresowym były poprawnie przesyłane.
Gdy mamy wiele kart sieciowych w systemie Windows Server, nie możemy zdefiniować dla
każdej z nich bramy domyślnej, ponieważ zakłóci to przepływ ruchu z Twojego serwera. Nie
da się przewidzieć, która z kart zostanie wybrana podczas każdej transmisji sieciowej wykorzy-
stującej bramę domyślną. Pomogłem wielu osobom, które miały właśnie taki problem w swoich
serwerach. Musiały one używać serwera jako mostu między dwiema sieciami lub z jakiegoś
powodu podłączyły go do wielu różnych sieci, a teraz miały problem, ponieważ połączenie
czasami wydaje się działać, a czasem nie. Zaczynam więc przeglądać właściwości kart sieciowych
i odkrywam, że każda z nich ma wprowadzony domyślny adres bramy we właściwościach
protokołu TCP/IP. No i proszę, znaleźliśmy przyczynę. Gdy system próbuje wysyłać pakiety,
jest całkowicie zdezorientowany, ponieważ nie wie, z której bramy powinien skorzystać w danym
momencie.
Jeśli kiedykolwiek próbowałeś konfigurować domyślne bramy w większej liczbie kart sieciowych
na tym samym serwerze, prawdopodobnie znasz już komunikat ostrzegawczy wyświetlany
po wykonaniu tej czynności. Przeprowadźmy test. Dodałem kolejną kartę sieciową do jednego ze
swoich serwerów i skonfigurowałem ustawienia IP tylko na jednej z nich. Teraz dodam
193
Windows Server 2019 dla profesjonalistów
nowy adres IP, maskę podsieci i domyślną bramę do swojej drugiej karty sieciowej. Aby zapisać
zmiany, klikam przycisk OK i pojawia się następujące okno:
Okno zawiera jedno z tych ostrzeżeń, które łatwo pominąć z powodu jego nieco tajemniczej
natury, ale i tak rozumiesz sedno: działasz na własne ryzyko! A co w tym momencie robi więk-
szość administratorów? Po prostu klika i zapisuje zmiany. Następnie zaczynają się pojawiać
problemy z routingiem. Może nie dzisiaj, ale następnym razem, gdy ponownie uruchamiasz
ten serwer, a być może dopiero 3 tygodnie później. Na pewno jednak w pewnym momencie
Twój serwer zacznie wysyłać pakiety do niewłaściwych miejsc i powodować problemy.
Definiowanie trasy
Co więc należy zrobić w takiej sytuacji? Zbudować statyczną tablicę routingu. Jeśli na serwerze
zainstalowano wiele kart sieciowych, co powoduje, że ma on wiele adresów IP, musisz w tablicy
routingu poinformować system Windows, której karty sieciowej należy używać do jakiego
rodzaju ruchu. Gdy pakiety będą musiały zostać wysłane do określonego miejsca docelowego,
tablica routingu będzie świadoma istnienia różnych ścieżek sieciowych i odpowiednio przekieruje
ruch. Nadal będziesz polegać na routerach, które zajmą się resztą ruchu, ale dostarczenie pakie-
tów do właściwego routera przez wysłanie ich przez odpowiednią fizyczną kartę sieciową jest
kluczem do tego, by cała operacja przebiegła poprawnie w Twoim serwerze wieloadresowym.
Gdy już rozumiesz, dlaczego tablica routingu jest ważna, i wiesz, w jaki sposób należy jej
używać, zabierzmy się do pracy i dodajmy kilka tras na serwerze z podwójną kartą sieciową.
Działania wykonamy za pomocą wiersza poleceń oraz programu PowerShell, jednakże zastoso-
wana składnia będzie odmienna w zależności od tego, jakiego narzędzia użyjesz.
194
Rozdział 5. • Obsługa sieci w Windows Server 2019
będzie połączyć przez internet. Przez umieszczenie domyślnej bramy w swojej karcie DMZ
sprawiam, że wewnętrzna karta sieciowa jest jej pozbawiona i przez to ma bardzo ograniczone
możliwości kontaktowania się z innymi sieciami. Wewnętrzna podsieć, do której jestem fizycz-
nie podłączony, ma adres 10.10.10.0/24, więc mogę się teraz kontaktować z dowolnym jej
elementem, poczynając od adresu 10.10.10.1, a kończąc na 10.10.10.254. Te adresy są dostępne
lokalnie i nie wymagają żadnej bramy (trasa typu on-link). Jestem podłączony bezpośrednio
do tej podsieci, dlatego mój serwer automatycznie wie, jak należy w niej kierować ruchem.
Jednakże za pośrednictwem swojej wewnętrznej karty sieciowej nie mogę się skontaktować
z niczym innym, gdyż tablica routingu nie wie nic o pozostałych podsieciach, które istnieją
w mojej sieci wewnętrznej. Na przykład mam dodatkową podsieć 192.168.16.0/24 zawierającą
urządzenia, z którymi muszę się łączyć ze swojego nowego serwera. Gdybym musiał się teraz
połączyć z jednym z tych urządzeń, pakiety zostałyby wysłane przez kartę sieciową DMZ.
Ponieważ tablica routingu na moim serwerze nie ma pojęcia, jak radzić sobie z ruchem o ad-
resach 192.168.16, wysłałaby go do bramy domyślnej. Poniżej zaprezentowałem ogólną składnię
instrukcji route, której musimy użyć, aby ruch został skierowany z naszego serwera do nowej
podsieci:
route add -p <ID_PODSIECI> mask <MASKA_PODSIECI> <BRAMA> IF <ID_INTERFEJSU>
Zanim będziemy mogli użyć unikatowej instrukcji route dotyczącej dodania sieci 192.168.16,
musimy wykonać trochę pracy detektywistycznej i dowiedzieć się, co oznaczają poszczególne
opcje. Poniżej przedstawiono opis poszczególnych elementów, które są wymagane do popraw-
nego uruchomienia instrukcji route:
-p: ta opcja sprawi, że polecenie zdefiniuje trasę na czas niekreślony. Jeśli zapomnisz
wstawić opcję -p do instrukcji route add, nowa trasa zniknie przy następnym
uruchomieniu serwera. Niedobrze.
ID_PODSIECI: jest to podsieć, którą dodajemy; w naszym przypadku jest równa
192.168.16.0.
MASKA_PODSIECI: maska podsieci dla nowej trasy (255.255.255.0).
BRAMA: ten parametr jest trochę mylący. Często zdaje się oznaczać, że należy
wprowadzić adres bramy dla nowej podsieci, jednakże nie jest to prawdą.
W rzeczywistości za pomocą tego parametru definiujesz pierwszy przeskok,
na który trafią wysyłane przez serwer dane. Jaki byłby domyślny adres bramy
w wewnętrznej karcie sieciowej? W przypadku naszej sieci jest to 10.10.10.1.
ID_INTERFEJSU: podanie numeru interfejsu nie jest konieczne do utworzenia trasy,
ale jeśli tego nie zrobisz, jest szansa, że Twoja trasa zostanie powiązana z niewłaściwą
kartą sieciową i ruch zostanie wysłany w złym kierunku. Doświadczyłem już czegoś
takiego, więc od tego czasu zawsze podaję numer identyfikacyjny interfejsu karty
sieciowej. Zazwyczaj jest to jedno- lub dwucyfrowa liczba, która jest identyfikatorem
zdefiniowanym przez system Windows dla wewnętrznej karty sieciowej.
Odczytując wyniki polecenia route print, możemy się dowiedzieć, jaki jest numer
identyfikacyjny interfejsu:
195
Windows Server 2019 dla profesjonalistów
Na samym początku listingu zawierającego wynik działania polecenia route print zostają wy-
świetlone wszystkie karty sieciowe dostępne w wymienionym systemie. W naszym przypadku
wewnętrzna karta sieciowa jest położona na najwyższym miejscu listy. Zidentyfikowałem ją przez
porównanie adresu MAC uzyskanego z danych wyjściowych polecenia ipconfig /all. Jak widać,
moja wewnętrzna karta interfejsu sieciowego ma numer 5, więc w instrukcji route add zamie-
rzam użyć parametru IF 5, aby upewnić się, że nowa trasa zostanie powiązana z tą kartą.
Jeśli teraz wykonasz polecenie route print, będziesz mógł zobaczyć nową trasę 192.168.16.0
wymienioną w sekcji Persistent Routes (Trasy statyczne) tablicy routingu. Z naszego serwera
możemy obecnie wysyłać pakiety danych do tej podsieci. Ilekroć w serwerze pojawi się pakiet,
który będzie musiał zostać skierowany do podsieci 192.168.16.x, będzie on przesyłany przez
wewnętrzną kartę sieciową w kierunku routera 10.10.10.1. Router następnie odbierze ten pakiet
i prześle do podsieci 192.168.16:
196
Rozdział 5. • Obsługa sieci w Windows Server 2019
Usuwanie trasy
Czasami możesz błędnie wprowadzić instrukcję route. Najlepszym wyjściem jest wtedy po pro-
stu usunięcie złej trasy, a następnie ponowne użycie instrukcji route add z poprawną składnią.
Być może istnieją też inne powody, dla których od czasu do czasu konieczne będzie usuwanie
tras, dlatego warto zapoznać się z tym poleceniem. Usuwanie tras jest znacznie prostsze niż
ich dodawanie. Musisz tylko znać identyfikator podsieci dla trasy, którą chcesz usunąć, a następ-
nie po prostu wykonać polecenie route delete <ID_PODSIECI>. Na przykład, aby pozbyć się
naszej trasy 192.168.16.0, którą utworzyliśmy za pomocą wiersza poleceń, użyłbym takiej
instrukcji:
route delete 192.168.16.0
Widzimy, że składnia polecenia jest podobna do składni poprzedniego, ale nieco bardziej przyja-
zna. Zamiast wprowadzać całą maskę i adres podsieci, możesz użyć metody z ukośnikiem,
aby określić podsieć i jej maskę w ramach tego samego identyfikatora. Ponadto nie znajdziemy tu
opcji zwanej bramą, która zawsze jest nieco myląca, ale zamiast niej mamy parametr o nazwie
NextHop (dosł. „następny przeskok”). Ma on dla mnie trochę więcej sensu.
Poprzednio korzystaliśmy z polecenia route print, aby wyświetlić całą tablicę routingu. Do wy-
świetlenia tej tablicy w programie PowerShell służy polecenie cmdlet o nazwie Get-NetRoute:
197
Windows Server 2019 dla profesjonalistów
Samo grupowanie kart sieciowych nie jest niczym nowym, ponieważ istnieje w systemie
operacyjnym Windows Server już od ponad 10 lat. Jednak wczesne wersje tego rozwiąza-
nia były problematyczne, a na podstawie własnego doświadczenia uważam, że Windows
Server 2016 to najwcześniejszy system operacyjny, który większość pracowników IT uważa
za wystarczająco stabilny, by można było w nim korzystać z grupowania kart sieciowych
w środowisku produkcyjnym. W związku z tym to rozwiązanie jest wciąż stosunkowo
świeże.
198
Rozdział 5. • Obsługa sieci w Windows Server 2019
Aby rozpocząć grupowanie kart sieciowych, musisz się upewnić, że istnieje ich więcej w serwe-
rze. W swoim komputerze mam obecnie cztery porty kart sieciowych. Chciałbym utworzyć
dwa zespoły: moja pierwsza i druga karta sieciowa zostaną zgrupowane, aby stać się zespołem
sieci wewnętrznej, a karta trzecia i czwarta staną się zespołem sieci DMZ. W ten sposób po obu
stronach swojej sieci zapewnię na tym serwerze redundancję kart sieciowych.
Pierwszym działaniem, które należy wykonać, jest usunięcie wszelkich ustawień związanych
z adresami IP, które mogą istnieć w kartach sieciowych. Gdy połączysz wiele kart sieciowych
w jeden zespół, skonfigurujesz dla niego parametry adresów IP. Nie będziesz już zajmował się
właściwościami poszczególnych kart w celu przypisania im adresów IP. Otwórz więc właściwości
każdej karty sieciowej i upewnij się, że nie zawierają informacji o statycznym adresie IP, tak
jak na poniższym zrzucie ekranu:
Teraz otwórz Menedżera serwera i kliknij łącze Local Server (Serwer lokalny). Przeglądając
informacje o właściwościach serwera, zobaczysz opis każdej karty sieciowej, a także opcję
o nazwie NIC Teaming (Zespół kart interfejsu sieciowego), która ma obecnie wartość Disabled
(Wyłączone):
199
Windows Server 2019 dla profesjonalistów
Kliknij opcję Disabled, a następnie poszukaj sekcji zatytułowanej Teams (Zespoły). Kliknij
przycisk Tasks (Zadania) i wybierz opcję New Team (Nowy zespół).
Nadaj nowemu zespołowi odpowiednią nazwę i wybierz karty sieciowe, które mają być częścią
tego zespołu. Możesz wykonać te same kroki tyle razy, ile potrzebujesz, aby utworzyć dodatkowe
zespoły z pozostałymi kartami sieciowymi:
Gdy zakończysz działania, Twoje zespoły zostaną wyświetlone w Menedżerze serwera. Jeśli
w Panelu sterowania otworzysz okno Network Connections (Połączenia sieciowe), zobaczysz,
że oprócz czterech fizycznych kart sieciowych będziesz miał dwa nowe elementy, które odpo-
wiadają konfiguracjom naszych nowych zespołów. Mogę kliknąć prawym przyciskiem myszy
każdy z tych zespołów i skonfigurować parametry związane z adresem IP, podobnie jak zrobił-
bym to dla pojedynczej karty sieciowej. Właściwości związane z adresem IP będą obowiązywać
dla wszystkich kart sieciowych wchodzących w skład zespołu:
200
Rozdział 5. • Obsługa sieci w Windows Server 2019
Czy masz serwer, który chciałbyś przenieść do innego centrum danych w Twoim kraju? A może
zastanawiasz się nad przeniesieniem całego centrum danych do nowej kolokacji w innym mie-
ście? Być może niedawno nabyłeś nową firmę i musisz umieścić jej infrastrukturę w swojej
sieci, ale okazuje się, że pewne konfiguracje nakładają się na siebie. Czy kupiłeś już miejsce
u dostawcy usług w chmurze, a teraz próbujesz uporządkować bałagan związany z planowa-
niem migracji wszystkich serwerów do tej chmury? Oto pytania wymagające odpowiedzi,
którą jest programowalna sieć komputerowa.
Programowalna sieć komputerowa (SDN) jest szerokim, ogólnym terminem, który oznacza
wiele technologii współpracujących ze sobą w celu uzyskania wymaganej funkcjonalności.
Celem tego rozwiązania jest rozszerzenie granic sieci, bez względu na to, gdzie się znajdu-
jesz i kiedy żądasz jakichś usług. Rzućmy okiem na niektóre składniki dostępne w systemie
Windows Server 2019, które działając wspólnie, tworzą wirtualne środowisko sieciowe — pierw-
szy krok w procesie realizacji sieci zdefiniowanej programowo.
201
Windows Server 2019 dla profesjonalistów
Ta koncepcja jest trochę trudna do zrozumienia, jeśli po raz pierwszy o niej słyszysz, więc za
chwilę omówimy kilka rzeczywistych sytuacji, w których można by skorzystać z tego rodzaju
separacji.
Chmury prywatne
Prywatne chmury pojawiają się w centrach danych na całym świecie, ponieważ ich tworze-
nie ma sens. Każdy administrator, który chciałby skorzystać z zalet chmury w swoim środo-
wisku, jednocześnie unikając jej wad, może zastosować to rozwiązanie. Utworzenie chmury
prywatnej daje możliwość dynamicznego powiększania i zmniejszania zasobów obliczeniowych
oraz obsługiwania wielu dzierżawców lub działów w ramach tej samej infrastruktury. Interfejsy
zarządzające mogą być obsługiwane bezpośrednio w tych działach, dzięki czemu sam dzierżawca
realizuje drobiazgowe prace konfiguracyjne, a administrator nie musi tracić czasu i zasobów
na wykonywanie na poziomie dostawcy infrastruktury niewielkich, ale złożonych zadań.
Chmury prywatne umożliwiają korzystanie ze wszystkich funkcji chmury publicznej, bez obawy
o poziom prywatności danych przechowywanych u zewnętrznego dostawcy usługi, nad którymi
nie można mieć wówczas realnej kontroli.
Gdy w lokalnej infrastrukturze należy wdrożyć prywatną chmurę, szczególnie taką, w której
chcesz zapewnić obsługę wielu dzierżawców, warto (a nawet trzeba) skorzystać z zalet wirtuali-
zacji sieci. Załóżmy, że udostępniasz zasoby komputerowe dwóm oddziałom firmy, a każdy
z nich ma własne potrzeby hostingu niektórych serwerów WWW. Nie wygląda to na wielkie
wyzwanie, ale problemem jest to, że te oddziały mają zespoły administracyjne, które chcą korzy-
stać ze schematów IP w zakresie 10.0.0.0. Oba muszą mieć możliwość korzystania z tych
samych adresów IP w tej samej sieci szkieletowej, którą udostępniasz, a cały ruch musi zostać
całkowicie rozdzielony i odseparowany. Wymagania te byłyby niemożliwe do spełnienia w trady-
cyjnej sieci fizycznej, ale wirtualizacja sieci pozwala w prosty sposób każdemu z działów
przydzielić podsieci IP i dowolne schematy adresowania. Dzięki temu można uruchamiać ser-
wery w dowolnych podsieciach i adresacjach IP, a cały ruch jest w pełni hermetyzowany,
dzięki czemu pozostaje odseparowany i całkowicie „nieświadomy” pozostałego ruchu w tej sa-
mej fizycznej sieci szkieletowej, która działa pod warstwą wirtualizacji. Ten scenariusz do-
brze się również sprawdza w przypadku przejęć korporacyjnych. Dwie firmy, które łączą
siły na poziomie IT, często mają konflikty dotyczące domen i podsieci. Dzięki wirtualizacji sieci
można zachować istniejącą konfigurację infrastruktury oraz serwerów, jednocześnie dodając je
do tej samej sieci fizycznej dzięki zastosowaniu wirtualizacji sieci Hyper-V.
202
Rozdział 5. • Obsługa sieci w Windows Server 2019
Innym, prostszym przykładem jest sytuacja, w której po prostu chcesz przenieść serwer w sieci
korporacyjnej. Być może masz starszy serwer biznesowy, do którego wciąż wielu pracowników
potrzebuje dostępu, ponieważ musi używać aplikacji branżowej, która działa przez cały czas.
Problem z przenoszeniem serwera polega na tym, że aplikacja branżowa na komputerach klienc-
kich zawiera statyczny adres IPv4 skonfigurowany w celu komunikacji z serwerem. Gdy użyt-
kownik otwiera aplikację, powoduje nawiązanie łączności z serwerem o adresie 10.10.10.10.
Tradycyjnie mógłby się tu pojawić duży problem, gdyż przeniesienie tego serwera z obecnego
centrum danych do nowej lokalizacji oznaczałoby zmianę adresu IP, a to z kolei uniemożliwiłoby
wszystkim dostęp do niego. W przypadku sieci wirtualnych nie stanowi to żadnego kłopotu.
Dzięki możliwości kontrolowania ruchu sieciowego i podsieci IP w warstwie wirtualizacji
serwer ten można przenieść z Warszawy do Krakowa i zachować jego wszystkie ustawienia
dotyczące adresu IP, ponieważ działająca pod spodem sieć fizyczna nie ma żadnego znaczenia.
Zanim dane zostaną wysłane przez sieć fizyczną, nastąpi ich hermetyzacja, dzięki czemu
adres IP starszego serwera może pozostać niezmieniony, a on sam może być bez żadnych
problemów przenoszony do dowolnego miejsca w Twoim środowisku.
Chmury hybrydowe
Chociaż zwiększenie uniwersalności sieci korporacyjnych jest już ogromną korzyścią, możliwości
udostępniane przez wirtualizację sieci rosną wykładniczo, gdy decydujesz się skorzystać z praw-
dziwych zasobów chmurowych. Kiedy podejmiesz decyzję o przeniesieniu części zasobów,
która powinna być zarządzana przez dostawcę usług w chmurze publicznej, prawdopodobnie
uruchomisz środowisko chmury hybrydowej. Oznacza to, że zdefiniujesz niektóre usługi
w chmurze, ale zachowasz także niektóre serwery i usługi w lokalnej infrastrukturze. Przewi-
duję, że w przypadku większości firm scenariusz chmury hybrydowej będzie realizowany
bez końca, ponieważ stuprocentowe przejście do chmury publicznej jest po prostu niemożliwe,
biorąc pod uwagę sposoby, w jakie wiele przedsiębiorstw prowadzi działalność. Gdybyś chciał
skonfigurować chmurę hybrydową, ponownie należałoby przeanalizować wszelkie problemy
związane z przepływem zasobów między Twoimi sieciami fizycznymi i chmurowymi. Gdy chcę
przenieść lokalny serwer do chmury, muszę tak dostosować jego parametry, aby konfiguracja
sieci była zgodna z infrastrukturą chmury. Czy więc nie muszę ponownie konfigurować karty sie-
ciowej na swoim serwerze, aby pasowała do podsieci działającej w mojej sieci w chmurze? Nie,
jeśli masz uruchomioną infrastrukturę wirtualizacji sieci. Po raz kolejny użycie sieci definiowanej
programowo oszczędza czas dzięki temu, że daje nam możliwość zachowania informacji o adre-
sach IP na serwerach, które są przenoszone, ponieważ po prostu będą one używały tej samej
adresacji w chmurze. Jak już wspominałem, ze względu na hermetyzację ruchu fizyczna sieć
zapewniana przez chmurę nie musi być zgodna z naszą siecią wirtualną, a to daje nam możliwość
płynnego przenoszenia serwerów z infrastruktury lokalnej do chmury (i odwrotnie) bez koniecz-
ności spełnienia specjalnych wymagań dla sieci.
203
Windows Server 2019 dla profesjonalistów
zentuję je za chwilę, dzięki czemu lepiej zrozumiesz działanie odpowiednich elementów i termi-
nologię, z którą będziesz mieć do czynienia po rozpoczęciu pracy z sieciami programowalnymi.
Kontroler sieci może służyć do konfigurowania wielu różnych aspektów sieci wirtualnych i fi-
zycznych. Dzięki niemu można skonfigurować podsieci i adresy IP, parametry sieci VLAN
na przełącznikach Hyper-V, a nawet użyć go do zdefiniowania kart sieciowych na maszynach
wirtualnych. Kontroler sieci pozwala także na tworzenie reguł związanych z listą kontroli
dostępu (ACL) w przełączniku Hyper-V i zarządzanie nimi, dzięki czemu na tym poziomie
można zdefiniować własne rozwiązanie zapory bez konieczności konfigurowania lokalnych za-
pór na samych maszynach wirtualnych lub posiadania specjalizowanego sprzętu. Kontroler sieci
może nawet służyć do konfigurowania równoważenia obciążenia i zapewnienia dostępu VPN za
pośrednictwem serwerów RRAS.
204
Rozdział 5. • Obsługa sieci w Windows Server 2019
z innej podsieci, możesz bez problemu utworzyć sieć wirtualną 10.10.10.x, jednakże aby
wszystko działało, pakiety danych muszą być w stanie poruszać się po fizycznej sieci 192.168.
W tym momencie zaczyna odgrywać rolę hermetyzacja routingu. Wszystkie pakiety z sieci
10.10.10.x są hermetyzowane przed wysłaniem ich przez fizyczną sieć 192.168.0.x.
Istnieją dwa różne, specyficzne protokoły hermetyzacji routingu, które są obsługiwane w środo-
wisku wirtualizacji sieci Microsoft Hyper-V. We wcześniejszych wersjach środowiska Windows
Server mogliśmy się skoncentrować wyłącznie na standardzie Network Virtualization Generic
Routing Encapsulation (NVGRE), ponieważ był to jedyny protokół wykorzystywany przez
system Windows do wirtualizacji sieci. Od dłuższego czasu istnieje jednak inny protokół, zwany
Virtual Extensible Local Area Network (VXLAN), dlatego wiele przełączników sieciowych
(szczególnie firmy Cisco) częściej obsługuje VXLAN niż NVGRE. Tak więc w przypadku
nowych platform wirtualizacji sieci, poczynając od systemu Windows Server 2016, jesteśmy
w stanie obsługiwać protokoły NVGRE lub VXLAN w zależności od tego, co najlepiej odpo-
wiada potrzebom przedsiębiorstwa.
Nie musisz rozumieć, w jaki sposób działają protokoły GRE, aby sprawić, by wykonywały
swoją pracę, ponieważ zostaną one skonfigurowane za pomocą narzędzi istniejących w stosie
wirtualizacji sieci Hyper-V. Ważne jest jednak, aby biorąc pod uwagę koncepcję wirtualnego śro-
dowiska sieciowego, zrozumieć, że za sprawą protokołu GRE wszystkie elementy współpracują
ze sobą i poprawnie działają.
205
Windows Server 2019 dla profesjonalistów
Windows Server Gateway jest, ogólnie rzecz biorąc, maszyną wirtualną, zintegrowaną z wirtuali-
zacją sieci Hyper-V. Pojedynczej bramy można użyć do kierowania ruchem w przypadku
różnych klientów, dzierżawców lub oddziałów. Chociaż ci różni klienci mają oddzielne sieci, które
muszą być odseparowane od siebie, dostawca chmury (publicznej lub prywatnej) może nadal
wykorzystywać pojedynczą bramę do zarządzania całym ruchem, ponieważ bramy pozwalają
zapewnić całkowitą izolację między poszczególnymi strumieniami danych.
Brama Windows Server Gateway istniała już w systemie Server 2016, ale po jej wdrożeniu wy-
kryto pewne problemy związane z wydajnością, które ograniczają przepustowość ruchu siecio-
wego. Te ograniczenia zostały znacznie zmniejszone w systemie Windows Server 2019, co ozna-
cza, że jedna brama może teraz obsługiwać szerszy zakres ruchu i większą liczbę dzierżawców.
Na szczęście Windows Server 2019 udostępnia nową funkcjonalność w ramach sieci definiowa-
nych programowo. Nazywa się ona szyfrowaniem sieci wirtualnej i realizuje dokładnie to,
co sugeruje jej nazwa. Gdy dane są przesyłane między maszynami wirtualnymi a serwerami
Hyper-V (w tej samej sieci), całe podsieci mogą zostać przeznaczone do zaszyfrowania, co ozna-
cza, że ruch w nich jest automatycznie szyfrowany na poziomie sieci wirtualnej. Aby można
było skorzystać z tego rozwiązania, serwery VM i aplikacje działające na nich nie muszą być
w żaden sposób konfigurowane ani zmieniane, ponieważ to sama sieć automatycznie szyfruje
cały odbywający się w niej ruch.
Za pomocą programowalnej sieci komputerowej systemu Server 2019 każda podsieć w sieci
wirtualnej może zostać oznakowana w celu szyfrowania, włącznie ze zdefiniowaniem odpowied-
niego certyfikatu. Jeśli kiedyś obecne standardy szyfrowania staną się nieaktualne lub niepewne,
programowalna sieć komputerowa będzie mogła zostać odpowiednio zaktualizowana, aby speł-
niała nowe wymagania. Odpowiednie podsieci nadal będą szyfrowane przy użyciu nowych
metod bez konieczności wprowadzania jakichkolwiek zmian w maszynach wirtualnych lub
aplikacjach. Jeśli w swoim środowisku używasz programowalnej sieci komputerowej i sieci wir-
tualnych, włączenie ich szyfrowania nie jest żadnym problemem!
206
Rozdział 5. • Obsługa sieci w Windows Server 2019
Za pomocą aplikacji Windows Admin Center można szybko dodać kartę Azure Network Adapter
do lokalnego serwera, który połączy się bezpośrednio z siecią platformy Azure za pomocą
połączenia VPN typu punkt-lokacja. Super!
Aby to było możliwe, należy spełnić kilka wymagań: musisz mieć aktywną subskrypcję platformy
Azure i skonfigurować co najmniej jedną sieć Azure Virtual Network.
Następnie musisz zarejestrować swoją aplikację Windows Admin Center na platformie Azure.
Aby to zrobić, możesz otworzyć Windows Admin Center, a następnie przejść do opcji Settings
(Ustawienia). W dalszej kolejności klikasz łącze Azure w grupie Gateway (Brama) i przechodzisz
przez proces rejestracji:
207
Windows Server 2019 dla profesjonalistów
Gdy na platformie Azure zarejestrowałeś już swoją aplikację Windows Admin Center, za jej po-
mocą otwórz serwer, którym zarządzasz, a następnie przejdź do sekcji Network (Sieć). Pojawi się
lista wszystkich kart sieciowych, które są dostępne w Twoim serwerze, a w górnej części okna
będzie widnieć menu rozwijane Actions (Akcje). Wewnątrz tego menu wybierz opcję Add
Azure Network Adapter (Dodaj kartę sieciową Azure).
Przekonasz się, że wszystkie dane wymagane przez platformę Azure do nawiązania połączenia
zostały już automatycznie uzupełnione na podstawie parametrów Twojej sieci i subskrypcji.
Jeśli nie masz jeszcze sieci Azure Virtual Network, ten kreator może nawet ją utworzyć. Będziesz
miał również możliwość zdefiniowania własnego certyfikatu w celu uwierzytelnienia tworzonego
połączenia. Takie działanie będzie dobrym pomysłem, jeśli planujesz używać długoterminowego
połączenia z platformą Azure. W przeciwnym razie możesz pozwolić aplikacji Windows Ad-
min Center i platformie Azure na wygenerowanie certyfikatu z podpisem własnym i po prostu
kliknąć przycisk Create (Utwórz). Windows Admin Center uruchomi połączenie między ser-
werem lokalnym a wirtualną siecią platformy Azure. To tylko kilka kliknięć myszą! Oto wspaniała
metoda prostego i szybkiego tworzenia połączeń ad hoc między serwerami a platformą Azure.
208
Rozdział 5. • Obsługa sieci w Windows Server 2019
Jeśli później będziesz musiał odłączyć serwer od sieci platformy Azure, możesz otworzyć
okno połączeń sieciowych, tak jak zrobiłeś podczas próby modyfikacji właściwości karty siecio-
wej, a przekonasz się, że aplikacja Windows Admin Center po prostu skonfigurowała połączenie
VPN typu punkt-lokacja, które pojawia się obecnie na liście Network Connections (Połączenia
sieciowe). Możesz kliknąć prawym przyciskiem myszy połączenie Azure VPN i rozłączyć je.
Podsumowanie
Zadania administrowania serwerami i sieciami były w większości organizacji dość wyraźnie
rozdzielone, ale z czasem te obszary zaczęły się pokrywać. Istnieje wiele konfiguracji i zadań
związanych z siecią, które muszą być teraz wykonywane przez administratorów systemu
Windows Server bez angażowania zespołu administratorów sieciowych, dlatego ważne jest, abyś
dobrze zrozumiał, jak działa Twoja infrastruktura. Znajomość narzędzi przedstawionych w tym
rozdziale umożliwi konfigurowanie, monitorowanie i rozwiązywanie problemów w przypadku
większości sieci zorientowanych na produkty firmy Microsoft.
Wprowadzenie do sieci definiowanej programowo może się okazać dość trudnym podroz-
działem, jeśli nigdy wcześniej nie spotkałeś się z takim rozwiązaniem. Mam jednak nadzieję,
że zachęci Cię to do zainteresowania się tym tematem, dzięki czemu będziesz mógł sobie
z nim poradzić w przyszłości. Przetwarzanie w chmurze będzie już cały czas dostępne niezależ-
nie od tego, czy jesteś na nie gotowy. Sieci lokalne firmy Microsoft potrafią w różny sposób
współpracować z usługą Microsoft Azure, dlatego wkrótce pracownicy działu IT będą musieli się
zapoznać z tymi koncepcjami. Idea programowalnej sieci komputerowej zyska na popularności
w nadchodzących latach. Obecnie może się ona wydawać trochę zniechęcająca, ale za kilka
lat będziemy się dziwić, w jaki sposób wszystko kiedyś mogło funkcjonować bez sieci wirtual-
nych. Znacznie więcej informacji o takich sieciach znajduje się zarówno w witrynie Microsoft
Docs, jak też w opublikowanych książkach na temat wirtualnej sieci Hyper-V oraz platformy
System Center Virtual Machine Manager. Warto, abyś dogłębniej zapoznał się z tymi materiała-
mi, jeśli jesteś zainteresowany przetestowaniem nowych rozwiązań. W następnym rozdziale
zajmiemy się użyciem opcji zdalnego dostępu.
Pytania
1. Ile bitów ma adres IPv6?
2. Zapisz następujący adres IPv6 w formie skróconej:
2001:ABCD:0001:0002:0000:0000:0000:0001.
3. Jak nazywa się polecenie podobne do trace route, ale wyświetlające lokalną kartę
sieciową, z której są wysyłane dane?
4. Na serwerze z wieloma kartami sieciowymi można wprowadzić adres bramy
domyślnej dla każdej z tych kart — prawda czy fałsz?
209
Windows Server 2019 dla profesjonalistów
5. Jak nazywa się polecenie cmdlet programu PowerShell, którego można używać
do tworzenia nowych tras w systemie Windows Server?
6. Jakich wersji systemów operacyjnych Windows Server można używać z kartą Azure
Network Adapter w celu połączenia serwerów bezpośrednio z wirtualnymi
sieciami platformy Azure?
210
6
Użycie opcji
zdalnego dostępu
Większość sieci VPN w dzisiejszych firmach jest realizowana przez produkty firm innych niż
Microsoft. Rola dostępu zdalnego w systemie Windows Server 2019 ma na celu zmianę tego po-
dejścia. Po wprowadzeniu wielu ulepszeń w komponentach VPN bezpośrednio w systemie
Windows Server, stał się on realną i bezpieczną platformą zapewniającą dostęp do zasobów fir-
mowych ze zdalnych komputerów. W systemie Windows Server 2019 oprócz VPN zawarto
kilka nowszych technologii, które również mają na celu zapewnienie zdalnego dostępu do zaso-
bów korporacyjnych, jednakże przy użyciu innych sposobów.
Always On VPN
Zapewnienie użytkownikowi dostępu do połączenia VPN oznacza tradycyjnie udostępnienie
mu specjalnego łącza do połączenia sieciowego, w którym po uruchomieniu można wprowa-
dzić poświadczenia, aby wykonać poprawne uwierzytelnianie, a następnie połączyć się z sie-
cią swojego środowiska pracy w celu komunikacji z zasobami firmy. Po uruchomieniu VPN
użytkownicy mogą otwierać pocztę e-mail, wyszukiwać dokumenty, uruchamiać aplikacje bizne-
sowe lub w inny sposób pracować tak, jakby fizycznie znajdowali się w biurze. Ponadto w przy-
padku połączenia przez VPN możliwe jest zarządzanie ich laptopami, co umożliwia popraw-
ne działanie systemów takich, jak zasady grupy i SCCM. Usługa VPN zapewni doskonałe
połączenie z Twoją siecią, ale (pamiętaj, wspominamy tutaj o tradycyjnych, standardowych
połączeniach VPN) działa tylko wtedy, gdy użytkownik uruchomi ją ręcznie. Gdy użytkownicy
nie połączą się z siecią VPN, mogą jedynie przeglądać internet bez możliwości dostania się
do firmowego centrum danych. Oznacza to również, że tradycyjne połączenie VPN nie może
zostać ustanowione już na ekranie logowania Windows, ponieważ dopóki użytkownicy nie zalo-
gują się do komputera, nie będą mieli możliwości uruchomienia tunelu VPN. Wynika stąd,
że wszystko, co może nastąpić przed zalogowaniem lub w trakcie logowania, tak jak wyszuki-
wanie uwierzytelnienia na żywo, przetwarzanie zasad grupy lub uruchamianie skryptów logowa-
nia, nie będzie działać za pośrednictwem tradycyjnej sieci VPN.
Usługa Always On VPN (AOVPN) po prostu sprawia, że połączenie VPN jest stałe i automa-
tycznie nawiązywane. Innymi słowy, za każdym razem, gdy laptop użytkownika znajduje się
poza biurem i jest podłączony do internetu, tworzony jest automatycznie tunel VPN do sieci
korporacyjnej, w optymistycznym wariancie bez udziału pracownika w tym procesie. Pozwala
to użytkownikom całkowicie zapomnieć o VPN — urządzenie jest zawsze podłączone i gotowe
do użycia. Mogą się oni po prostu zalogować na swoich komputerach, uruchomić aplikacje i roz-
począć pracę. Oznacza to również, że składniki zarządzania środowiskiem informatycznym,
takie jak zasady bezpieczeństwa, aktualizacje i pakiety instalatora, mogą być przesyłane na kom-
putery klienckie przez większą część czasu ich działania, ponieważ nie czekamy, aż użytkownik
ponownie się połączy ze środowiskiem firmowym. Takie połączenie jest nawiązywane automa-
tycznie i właściwie przez cały czas.
Na komputerze klienckim istnieją faktycznie trzy różne sposoby uruchamiania usługi Always
On VPN. Żaden z nich nie wiąże się z koniecznością ręcznego ustanawiania połączenia VPN
przez użytkownika:
Usługę AOVPN można skonfigurować tak, aby była zawsze włączona, co oznacza,
że gdy tylko komputer uzyska dostęp do internetu, od razu spróbuje się połączyć.
Inną opcją jest uruchamianie przez aplikację, co oznacza, że możesz skonfigurować
usługę AOVPN w taki sposób, aby aktywowała się tylko wtedy, gdy na stacji roboczej
zostaje otwarta jedna z określonych aplikacji.
Trzecią opcją jest uruchamianie oparte na nazwie DNS. Gdy zostaje użyta określona
nazwa DNS, nastąpi uruchomienie połączenia VPN, co zwykle ma miejsce wówczas,
gdy użytkownicy otwierają określone programy.
212
Rozdział 6. • Użycie opcji zdalnego dostępu
Ponieważ oczywiście nie potrzebujesz połączenia Always On VPN, gdy Twój laptop jest we-
wnątrz sieci korporacyjnej, powinienem również wspomnieć, że usługa AOVPN jest wystar-
czająco inteligentna, aby się wyłączyć, gdy użytkownik pojawi się w firmie. Komputery z włą-
czoną funkcją AOVPN automatycznie wykrywają, czy są wewnątrz sieci, a tym samym wyłączają
komponenty VPN. Jeśli są poza siecią, wówczas muszą uruchomić połączenie tunelowe
VPN. Ten proces jest znany pod nazwą wykrywania zaufanej sieci. Po właściwym skonfigu-
rowaniu składniki usługi Always On VPN uzyskują informacje na temat tego, jaki jest we-
wnętrzny sufiks DNS firmy, a następnie monitorują ustawienia karty sieciowej i zapory sieciowej
w celu ustalenia, czy do tych składników przypisano ten sam sufiks. Gdy pojawi się dopasowa-
nie, usługa będzie wiedziała, że jesteś w sieci wewnętrznej, a następnie się wyłączy.
Tunele użytkownika
Tunel użytkownika jest najczęściej stosowaną metodą nawiązywania połączenia w standardzie
AOVPN. Ten tunel jest uwierzytelniany na poziomie użytkownika. Certyfikaty użytkownika
są wydawane Twoim komputerom z wykorzystaniem wewnętrznej infrastruktury kluczy publicz-
nych. Następnie stanowią one część procesu uwierzytelniania podczas połączenia. Tunele
użytkownika obsługują cały ruch komputera i użytkowników, należy jednak pamiętać, że nie
można ich ustanowić, gdy komputer wyświetla ekran logowania, ponieważ nie nastąpiło jeszcze
uwierzytelnienie. Tak więc tunel użytkownika uruchomi się dopiero po tym, jak ten pomyśl-
nie zaloguje się na komputerze. Gdy dostępny jest tylko tunel użytkownika, komputer nie będzie
miał połączenia z siecią korporacyjną, dopóki ktoś nie zaloguje się na nim. Oznacza to również,
że w trakcie logowania będziesz musiał polegać na poświadczeniach buforowanych.
Tunele urządzenia
Tunel urządzenia nie ma wad, które byłyby widoczne podczas korzystania z tunelu użytkownika.
Jest on uwierzytelniany za pomocą certyfikatu maszyny, również wydawanego przy użyciu we-
wnętrznej infrastruktury PKI. Oznacza to, że tunel urządzenia można ustanowić nawet przed
uwierzytelnieniem użytkownika. Innymi słowy, działa on także wówczas, gdy komputer wyświetla
ekran logowania Windows. Umożliwia to działanie narzędzi zarządzających, takich jak zasady
grupy i SCCM, niezależnie od tego, czy użytkownik zalogował się na komputerze. Pozwala także
na uwierzytelnianie w czasie rzeczywistym na kontrolerach domeny, umożliwiając użytkownikowi
213
Windows Server 2019 dla profesjonalistów
logowanie się do stacji roboczej, na której nigdy wcześniej nie pracował. Można również w cza-
sie rzeczywistym obsługiwać proces wygaśnięcia hasła.
Chociaż ręczne tworzenie regularnych połączeń VPN jest możliwe w systemach operacyjnych
klienta Windows już od ponad 15 lat, narzędzie Always On VPN jest całkiem nowe. Aby
można było z niego skorzystać, pracownicy muszą używać systemu Windows 10, i to w wersji
1607 lub nowszej.
214
Rozdział 6. • Użycie opcji zdalnego dostępu
Wybór określonej wersji systemu: 1607, 1709, 1803 czy 1809, nie ma znaczenia. Always On VPN
współpracuje z wersjami Windows 10 Home, Pro, Enterprise i każdą inną. Oznacza to, że
tunel użytkownika działa w tych wszystkich wersjach systemu Windows.
Warto podkreślić jeszcze raz: jeśli w narzędziu Always On VPN chcesz skorzystać z tunelu urzą-
dzenia, musisz użyć systemu Windows 10 Enterprise lub Education dołączonego do domeny.
Dołączenie do domeny
Ustaliliśmy już, że jeśli w AOVPN chcesz skorzystać z tunelu urządzenia, komputery klienckie
muszą zostać dołączone do domeny. Jeśli jednak wystarcza Ci korzystanie z tunelu użytkow-
nika, nie ma żadnych wymagań dotyczących członkostwa w domenie. Klienty nadal powinny
używać systemu Windows 10 1607 lub nowszego, jednakże o dowolnym typie — mogą być
nawet wykorzystywane komputery domowe dodane do prostych grup roboczych, ponieważ
domena nie jest wymagana.
Wdrażanie ustawień
Załóżmy, że po stronie serwera masz już wszystkie składniki gotowe do wdrożenia w celu
ustanowienia połączenia VPN. W rzeczywistości udało Ci się ustalić, że możesz bez problemu
doraźnie tworzyć tradycyjne połączenia VPN do sieci firmowej. Wspaniale! Wygląda na to, że
infrastruktura została przygotowana. Co należy więc zrobić, aby klienci zaczęli nawiązywać
połączenia Always On VPN?
215
Windows Server 2019 dla profesjonalistów
Część wymagań jest obecnie dość trudna do spełnienia dla niektórych firm. Sama konfiguracja
zasad dla połączenia Always On VPN nie jest zbyt skomplikowana. Musisz się jedynie zapoznać
z różnymi dostępnymi opcjami, zdecydować, które z nich są ważne w Twoim przypadku,
a następnie stworzyć odpowiedni plik konfiguracyjny lub skrypt. Chociaż nie ma tu miejsca,
aby szczegółowo omówić wszystkie te opcje, metoda pozwalająca na zdefiniowanie określonych
ustawień polega zazwyczaj na ręcznym wykonaniu połączenia VPN, dostosowaniu go do wyma-
gań bezpieczeństwa i uwierzytelniania, a następnie uruchomieniu narzędzia, które wyeks-
portuje parametry do plików konfiguracyjnych. Ustawienia profilu VPN można zapisywać
w plikach XML i PS1 (skrypt PowerShell). Być może oba te pliki będą potrzebne do przeniesie-
nia ustawień do komputerów pracowników. Aby dowiedzieć się więcej, odwiedź następującą
stronę: https://docs.microsoft.com/en-us/windows-server/remote/remote-access/vpn/always-on-vpn/
deploy/vpn-deploy-client-vpn-connections.
Byłoby wspaniale, gdybyś miał zainstalowany program SCCM! Dzięki niemu możesz łatwo
skonfigurować i wdrożyć ustawienia oparte na skryptach PowerShell w komputerach klienckich,
a następnie umożliwić im używanie połączeń Always On VPN.
Być może nie masz programu SCCM, ale używasz chmury i wszystkie Twoje komputery są pod-
łączone do usługi Intune? Świetnie! Możesz użyć usługi Intune, aby wdrożyć ustawienia
AOVPN za pomocą plików XML. Jedną z zalet tej metody jest to, że usługa Intune może
zarządzać komputerami nieprzyłączonymi do domeny, dzięki czemu można teoretycznie
dodać komputery domowe i osobiste użytkowników do infrastruktury zarządzanej przez
usługę Intune i skonfigurować je do korzystania z połączeń Always On VPN.
Systemy SCCM i Intune są świetne, ale nie wszyscy ich używają. Istnieje trzecia opcja wdraża-
nia ustawień Always On VPN za pomocą skryptów PowerShell. Chociaż jest to plan B firmy
Microsoft (która naprawdę wolałaby, abyś wdrożył AOVPN za pośrednictwem MDM), obawiam
się, że PowerShell stanie się rzeczywistością dla wielu klientów z sektora małych i średnich
przedsiębiorstw, którzy chcą korzystać z połączeń AOVPN. Największą wadą używania progra-
mu PowerShell w celu wdrożenia ustawień AOVPN jest to, że musi on być uruchamiany
w trybie wysokich uprawnień, co oznacza, że trudno jest zautomatyzować cały proces, ponieważ
zalogowany użytkownik (za pomocą którego należy nawiązać połączenie VPN) powinien być
lokalnym administratorem, aby skrypt działał poprawnie.
216
Rozdział 6. • Użycie opcji zdalnego dostępu
jednak, aby odwiedzić witrynę Microsoft Docs w celu uzyskania najnowszych informacji na
ten temat, ponieważ narzędzie AOVPN jest stale ulepszane i prawdopodobnie nastąpią
pewne zmiany w tym obszarze technologii.
Wiele osób automatycznie zakłada, że usługa AOVPN jest związana z systemem Windows
Server 2019, ponieważ jest ona nową technologią, która właśnie została udostępniona.
Wcale tak nie jest. Możesz zarządzać infrastrukturą VPN (rolą zdalnego dostępu) w systemach
Server 2019, Server 2016, a nawet Server 2012 R2. Działa ona wszędzie w taki sam sposób,
udostępniając klientom zasoby, z których mogą korzystać dzięki połączeniom VPN.
217
Windows Server 2019 dla profesjonalistów
Protokół IKEv2
IKEv2 to najnowszy, najbardziej zaawansowany i najwszechstronniejszy sposób łączenia
komputerów klienckich za pośrednictwem sieci VPN lub AOVPN. Jest to jedyny sposób
umożliwiający podłączenie tunelu urządzenia w usłudze AOVPN. Protokół IKEv2 wymaga
w celu uwierzytelnienia wystawienia certyfikatów komputera dla maszyn klienckich. Ogólnie
oznacza to, że jeśli chciałbyś, aby klienty łączyły się za pomocą protokołu IKEv2, powinny
zostać dodane do domeny. Bardzo ważne jest, aby pamiętać, że IKEv2 używa do nawiązania
połączenia portów UDP 500 i 4500.
Protokół SSTP
Protokół SSTP wykorzystuje strumień SSL i jest uważany za zastępczą metodę nawiązywa-
nia połączeń AOVPN. Z tego powodu wymaga zainstalowania certyfikatu SSL na serwerze
dostępu zdalnego, ale nie potrzebuje certyfikatów maszyn na komputerach klienckich. Proto-
kół SSTP używa portu TCP 443, dzięki czemu pozwala na uzyskiwanie połączeń nawet z bardzo
restrykcyjnych sieci, w których protokół IKEv2 może nie zadziałać (z powodu jego zależności od
protokołu UDP).
Protokół L2TP
Ten protokół zwykle nie jest używany podczas wdrażania usługi AOVPN. Jest w stanie nawiązy-
wać połączenia VPN za pomocą certyfikatów lub klucza wstępnego. Ponieważ masz już do
dyspozycji dwa lepsze protokoły, nie powinieneś z niego korzystać.
Protokół PPTP
Mimo że ten protokół jest nadal poprawną opcją konfiguracji w konsoli RRAS, trzymaj się z dala
od niego! Protokół PPTP został zasadniczo złamany, więc jeśli nadal korzystasz z opartych na
nim połączeń VPN, musisz uznać strumienie danych za niezaszyfrowane i przyjąć, że przesyłają
czytelny tekst przez internet.
Urząd certyfikacji
Certyfikaty maszyn, certyfikaty użytkownika, certyfikaty SSL… coś strasznego! Oczywiste
jest, że aby korzystać z usługi Always On VPN, musisz wiedzieć, w jaki sposób działają certyfi-
katy i jak należy je wdrażać. Staje się to coraz bardziej powszechne w przypadku nowszych,
dobrze zabezpieczonych technologii. Głównym wymaganiem jest to, że w celu wydawania
certyfikatów musisz mieć w swoim środowisku wdrożoną infrastrukturę klucza publicznego
i co najmniej jeden serwer Windows będący urzędem certyfikacji. Poniżej zaprezentowano
listę obszarów, w których infrastruktura AOVPN może wykorzystywać certyfikaty:
Certyfikaty użytkownika: są to certyfikaty wydawane użytkownikom VPN
z wewnętrznego urzędu certyfikacji i wykorzystywane do uwierzytelniania
tunelu użytkownika.
Certyfikaty maszyny: są to certyfikaty wydawane dla stacji roboczych
(głównie laptopów) z wewnętrznego urzędu certyfikacji i używane do
uwierzytelniania tunelu urządzenia.
218
Rozdział 6. • Użycie opcji zdalnego dostępu
Podczas obsługi połączeń VPN firmy Microsoft konfigurujemy serwer NPS najczęściej w taki
sposób, aby uprawnienia mieli użytkownicy należący do określonej grupy zabezpieczeń usługi
Active Directory. Na przykład, jeśli utworzysz grupę o nazwie Użytkownicy VPN, a następnie
przypiszesz ją do serwera NPS, połączenia VPN będą mogli realizować tylko ci użytkownicy,
których umieściłeś w tej grupie.
NPS jest kolejną rolą systemu Windows Server, która może być zainstalowana na jednym
serwerze lub na wielu maszynach w celu zapewnienia nadmiarowości. Podobnie jak w przypad-
ku roli dostępu zdalnego, usługa serwera NPS nie wymaga najnowszej wersji systemu Windows
Server, czyli Server 2019 — równie dobrze można ją wdrożyć we wcześniejszych.
W małych środowiskach, które używają tylko jednego serwera dostępu zdalnego, często umiesz-
cza się rolę NPS na tym samym serwerze, który zapewnia łączność VPN.
DirectAccess
Podczas omawiania usługi Always On VPN kilka razy wspominałem o produkcie Microsoft
DirectAccess. DirectAccess (w skrócie DA) to kolejna forma automatycznej łączności typu VPN,
jednakże działa ona odmiennie od Always On VPN. Podczas gdy usługa AOVPN po prostu
używa oczekiwanych, dobrze znanych protokołów VPN, a następnie stosuje sprytną magię,
aby automatycznie uruchamiać tradycyjne tunele VPN, tunele DirectAccess są unikatowe.
Są one chronione przez protokół IPsec i w zasadzie niedostępne oraz bezosobowe. Uważam,
że zespoły bezpieczeństwa uwielbiają zabezpieczenia i złożoność zawartą w tunelach usługi
DirectAccess, ponieważ jest to platforma połączeń, do której atakujący nie potrafią się wła-
mać ani jej skopiować.
219
Windows Server 2019 dla profesjonalistów
znajdują się oni poza biurem. Jednak różni się ona od VPN metodą, której pracownicy uży-
wają, aby uzyskać to połączenie. DirectAccess nie jest komponentem oprogramowania: jest
to szereg składników, które są już wbudowane w systemie operacyjnym Windows i wspólnie
działają, aby zapewnić użytkownikowi bezproblemowy dostęp. Co mam na myśli pisząc
„bezproblemowy”? Podobnie jak usługa AOVPN łączy się bez interakcji użytkownika, tak nie
musi on nic robić w celu nawiązania połączenia DirectAccess. Połączenie tworzy się samo.
Gdy tylko komputer zdalny uzyskuje połączenie do internetu, czy to poprzez domową sieć
bezprzewodową, czy publicznie dostępny internet w kawiarni, czy też hotspot telefonu komór-
kowego, tunele DirectAccess są automatycznie ustanawiane.
Gdy komputer łączy się automatycznie, oszczędzasz czas i pieniądze niezależnie od tego,
czy korzystasz z usług Always On VPN czy DirectAccess. Oszczędzasz czas, ponieważ użyt-
kownik nie musi już uruchamiać połączenia VPN. Pieniądze są oszczędzane, ponieważ czas
to pieniądz, ale także dlatego, że stałe połączenie oznacza, iż poprawki są instalowane, zasady
bezpieczeństwa stosowane, a zdalne komputery zarządzane cały czas, nawet wówczas, gdy użyt-
kownik pracuje zdalnie. Nie musisz już czekać, aż użytkownicy wrócą do biura lub zdecydują się
ręcznie uruchomić połączenie VPN, aby móc przesłać nowe ustawienia i zasady do ich kom-
puterów. Wszystko to dzieje się niezależnie od tego, gdzie się znajdują — o ile mają dostęp do
internetu. Odkąd są dostępne dwie różne technologie zdalnego dostępu firmy Microsoft,
które mają na celu zrealizowanie automatycznego połączenia dla zdalnych użytkowników,
pracownicy mogą osiągać większą produktywność. Słowa „przyjazny dla użytkownika” i „VPN”
nigdy wcześniej nie były ze sobą powiązane, a w najnowszych wersjach systemów operacyj-
nych Windows — owszem, są.
220
Rozdział 6. • Użycie opcji zdalnego dostępu
Kiedy jestem w domu i pracuję na firmowym laptopie, DirectAccess łączy mnie z siecią
korporacyjną. Moja wewnętrzna sieć w pracy nie używa protokołu IPv6 — obecnie jest ona
całkowicie siecią IPv4. Dotyczy to w dzisiejszych czasach większości firm. Jednak gdy otwieram
wiersz poleceń i w swoim laptopie używającym usługi DirectAccess wykonuję polecenie
ping, które wysyła zapytanie do jednego z serwerów, otrzymuję następujące wyniki (przepraszam
za usunięte fragmenty nazwy serwera i adresu):
O co chodzi? Dla mnie wygląda to jak protokół IPv6. To oczywiste, że usługa DirectAccess
współpracuje z protokołem IPv6. Cały ruch przesyłany w internecie w ramach połączenia
między moim laptopem a serwerem DirectAccess, który znajduje się w centrum danych, jest
ruchem typu IPv6. Moja sieć wewnętrzna używa adresów IPv4, również mój serwer
DirectAccess ma tylko adresy IPv4, a jednak utworzony tunel przesyła dane przy użyciu
protokołu IPv6. Jest to sedno działania usługi DirectAccess i nie można tego zmienić. Twój
laptop za pośrednictwem internetu wysyła do serwera DirectAccess pakiety IPv6 zaszyfro-
wane protokołem IPsec. Gdy serwer DA odbierze te pakiety, może je przekształcić w wersję
IPv4 w celu przesłania ich na serwer docelowy w sieci korporacyjnej. Na przykład, gdy
otwieram program Outlook i próbuję połączyć się z serwerem Exchange, moje pakiety pro-
gramu Outlook przepływają przez tunel DirectAccess z użyciem protokołu IPv6. Gdy pa-
kiety te trafiają na serwer DirectAccess, sięga on do wewnętrznej usługi DNS, aby się dowie-
dzieć, czy mój serwer Exchange używa protokołu IPv4 czy IPv6. Jeśli faktycznie korzystasz
w sieci z wersji IPv6, a serwer Exchange ma adres typu IPv6, serwer DA po prostu wyśle
pakiety IPv6 do serwera Exchange. Połączenie zakończone! Jeśli natomiast używasz w swo-
jej sieci protokołu IPv4, serwer DA zobaczy tylko jeden rekord hosta w DNS, co oznacza, że
serwer Exchange jest dostępny pod adresem IPv4. Serwer DirectAccess zmieni pakiet IPv6
na IPv4, a następnie wyśle go do serwera Exchange. Dwie technologie, które obsługują mo-
dyfikacje pakietów, zwane są DNS64 i NAT64. Prawdopodobnie widziałeś ich nazwy w nie-
których dostępnych w sieci dokumentach związanych z usługą DirectAccess. Celem tych
technologii jest zamiana przychodzącego strumienia pakietów IPv6 na IPv4 dla sieci, w któ-
rych jest to wymagane (czyli obecnie dla prawie każdej sieci), a następnie, dla ruchu po-
wrotnego, zamiana z IPv4 z powrotem na IPv6, aby dane mogły się przedostać z powrotem
do komputera zdalnego klienta przez tunel IPsec oparty na protokole IPv6 i łączący klienta
z serwerem DA poprzez internet.
Ważne jest, aby pamiętać, że DirectAccess korzysta z IPv6, ponieważ wszelkie zasady bez-
pieczeństwa, które domyślnie blokują IPv6 na komputerach klienckich, nie pozwalają działać
usłudze DirectAccess również w Twoim środowisku. Trzeba będzie odpowiednio zmodyfikować
te zasady, aby umożliwić klientom przesyłanie pakietów IPv6 do internetu. Jednak powinieneś
także wiedzieć, że nie musisz wdrażać protokołu IPv6 wewnątrz sieci korporacyjnej, ponieważ
sam serwer DirectAccess potrafi przekształcić cały ruch do protokołu IPv4, zanim trafi on do tej
sieci. Większość implementacji DirectAccess, które obecnie działają na świecie, funkcjonuje
właśnie w ten sposób.
221
Windows Server 2019 dla profesjonalistów
Dołączenie do domeny
Pierwszym znaczącym wymaganiem jest dodanie systemów z usługą DirectAccess do domeny.
Twój serwer (lub serwery) DA muszą być dołączone do domeny, i to samo dotyczy wszystkich
komputerów klienckich, z których chcesz się łączyć do sieci wewnętrznej. Członkostwo w do-
menie jest wymagane przede wszystkim do celów uwierzytelniania, a także dlatego, że ustawie-
nia klienta DirectAccess, które należy zastosować w komputerach przenośnych, są do nich
przesyłane za pomocą zasad grupy. Na wczesnym etapie procesu planowania zawsze lubię
zwracać uwagę na to wymaganie, oznacza ono bowiem, że użytkownicy, którzy kupują sobie
laptopy w sklepie, zazwyczaj nie będą mogli skorzystać z usługi DirectAccess, chyba że nie masz
nic przeciwko dodaniu komputerów domowych do Twojej domeny. Wygląda na to, że DA
jest tak naprawdę technologią przeznaczoną do łączenia zasobów firmowych, które są dodane do
domeny, i zarządzania nimi. Ważne jest też, aby zrozumieć to wymaganie z punktu widzenia
bezpieczeństwa, ponieważ serwer DirectAccess zwykle będzie się znajdować na brzegu sieci.
Zewnętrzna karta sieciowa w serwerze DA często jest umieszczana w strefie DMZ, ale musi
ona również należeć do domeny, co być może nie jest standardowym rozwiązaniem dla syste-
mów z sieci granicznej.
222
Rozdział 6. • Użycie opcji zdalnego dostępu
223
Windows Server 2019 dla profesjonalistów
jest wiele powodów, dla których podział dostępu do sieci na serwerze zdalnego dostępu może
być korzystny, nie będzie to działać tak, jak oczekujesz. Usługa DirectAccess może zarządzać
tylko dwoma różnymi interfejsami sieciowymi.
Jak widać na poniższym zrzucie ekranu, podczas obsługi kreatora instalacji będziesz musiał
ustawić jedną kartę sieciową jako External (Zewnętrzna), a drugą jako Internal (Wewnętrzna).
Niestety, żadne inne karty sieciowe, które istnieją w tym serwerze, nie będą używane przez
usługę DirectAccess. Być może w przyszłych wersjach to się zmieni!
Protokół 6to4
Klienty DirectAccess będą próbować połączyć się przy użyciu protokołu 6to4 tylko wtedy,
gdy zdalny laptop ma prawdziwy publiczny adres IP. W dzisiejszych czasach z powodu braku
dostępnych internetowych adresów IPv4 taka sytuacja jest rzadka, dlatego protokół 6to4 za-
zwyczaj nie jest używany przez komputery klienckie DirectAccess. W rzeczywistości może on
sprawiać problemy, gdy użytkownicy łączą się z internetem przy użyciu kart telefonów komór-
224
Rozdział 6. • Użycie opcji zdalnego dostępu
Protokół Teredo
Gdy klienci DA są podłączeni do internetu za pomocą prywatnego adresu IP, schowani na
przykład za routerem domowym lub publicznym routerem Wi-Fi, podejmą próbę połączenia
z wykorzystaniem protokołu Teredo. Teredo używa strumienia UDP do hermetyzacji pakie-
tów DirectAccess, więc dopóki połączenie internetowe użytkownika zezwala na wychodzący
ruch typu UDP po porcie 3544, dopóty protokół zazwyczaj funkcjonuje poprawnie i jest uży-
wany przez połączenie DirectAccess.
Protokół IP-HTTPS
Jeśli protokół Teredo nie nawiąże połączenia, na przykład w przypadku, gdy użytkownik jest
podłączony do sieci, która blokuje wychodzące pakiety UDP, połączenie DirectAccess spró-
buje skorzystać z protokołu IP-HTTPS (ang. IP over HTTPS). Protokół ten hermetyzuje pa-
kiety IPv6 w nagłówkach IPv4, a następnie opakowuje je w nagłówkach HTTP i przed wy-
słaniem do internetu szyfruje za pomocą protokołów TLS i SSL. Dzięki temu połączenie
DirectAccess staje się strumieniem SSL, podobnie jak ma to miejsce podczas przeglądania
witryny HTTPS.
Aby połączenie działało, karta sieciowa nie musi być podłączona bezpośrednio do internetu.
W zależności od możliwości zapory może być dostępna opcja ustanowienia zmostko-
wanej strefy DMZ (ang. Bridged DMZ), w której nie zachodzi translacja NAT. Powinieneś się
skontaktować ze sprzedawcą zapory, aby się dowiedzieć, czy jest to możliwe. W tym
scenariuszu nadal będzie można konfigurować prawdziwe publiczne adresy IP w ze-
wnętrznej karcie sieciowej, ale ruch zostanie najpierw przepuszczony przez zaporę, aby
można go było chronić i nim zarządzać.
225
Windows Server 2019 dla profesjonalistów
możliwe i lepiej chroni sam serwer DirectAccess przed atakiem z internetu, ma ono dużą
wadę. Po zainstalowaniu serwera DirectAccess przy użyciu translacji NAT protokół Teredo
przestanie działać. W rzeczywistości kreator konfiguracji DirectAccess rozpozna, że prywatny
adres IP został umieszczony na zewnętrznej karcie sieciowej, i po prostu nie włączy tego
protokołu.
Gdy protokół Teredo nie będzie dostępny, wszystkie klienty DirectAccess będą się łączyć
przy użyciu protokołu IP-HTTPS. Dlaczego więc powinniśmy się przejmować sytuacją, w której
protokół Teredo jest niedostępny? Ponieważ jest on bardziej wydajny niż IP-HTTPS. Gdy
Teredo tuneluje pakiety, po prostu hermetyzuje IPv6 wewnątrz IPv4. Strumień ruchu DirectAc-
cess jest przez cały czas szyfrowany protokołem IPsec, więc tunel Teredo nie musi wykony-
wać żadnego dodatkowego szyfrowania. Z drugiej strony, gdy IP-HTTPS tuneluje pakiety,
pobiera już zaszyfrowany strumień ruchu IPsec i szyfruje go po raz drugi za pomocą SSL.
Oznacza to, że wszystkie przychodzące i wychodzące pakiety podlegają podwójnemu szyfrowa-
niu, co powoduje dodatkowe przetwarzanie, zużywa cykle procesora oraz spowalnia połą-
czenie. Powoduje to także nadmiarowe obciążenie sprzętowe na samym serwerze DirectAccess,
obsługuje on bowiem dwa razy więcej procesów szyfrujących.
Ten problem jest szczególnie widoczny, gdy na komputerach klienckich używasz systemu
Windows 7, ponieważ podwójne przetwarzanie szyfrowania zauważalnie spowalnia połączenie.
DirectAccess nadal działa dobrze, ale jeśli umieścisz laptopa podłączonego przez protokół
Teredo obok laptopa podłączonego przez IP-HTTPS, zauważysz różnicę prędkości.
226
Rozdział 6. • Użycie opcji zdalnego dostępu
Warunek wstępny uruchomienia serwera NLS jest łatwy do spełnienia. Wszystko, co musisz
zrobić, to uruchomić maszynę wirtualną i zainstalować na niej usługę IIS, która będzie obsługi-
wać nową stronę intranetową, lub nawet dodać tę stronę do istniejącego serwera WWW
w sieci. Są tylko dwa czynniki, na które należy zwrócić uwagę podczas konfigurowania
witryny NLS. Po pierwsze, musi to być witryna HTTPS, a zatem wymaga certyfikatu SSL.
W dalszej części tego rozdziału omówimy ten certyfikat, a także inne, które są wykorzystywane
przez usługę DirectAccess. Musisz nie tylko się upewnić, że witryna jest dostępna za pośred-
nictwem protokołu HTTPS, ale również zadbać o unikatowość nazwy DNS, której używasz
do łączenia się z tą witryną. Ten warunek trzeba spełnić, bez względu bowiem na to, jaką nazwę
wybierzesz dla witryny NLS, nie da się jej rozwiązać, gdy komputery klienckie znajdują się
poza siecią korporacyjną. Taka funkcjonalność jest zaplanowana, ponieważ oczywiście nie chciał-
byś, aby klienci mogli z powodzeniem skontaktować się z witryną NLS, gdy pracują zdalnie,
gdyż spowodowałoby to przerwanie połączenia DirectAccess.
Powodem, dla którego nalegam na unikatową nazwę DNS, jest to, że często mam do czynie-
nia z niedoświadczonymi administratorami DirectAccess wykorzystującymi istniejącą, we-
wnętrzną witrynę internetową jako stronę NLS. Na przykład, jeśli Twoja strona intranetowa
https://intranet działa jako witryna SharePoint, mógłbyś po prostu użyć jej w konfiguracji
DA jako definicji serwera NLS. Jednak po wprowadzeniu takiej modyfikacji zdasz sobie
wkrótce sprawę, że żaden pracownik podłączony zdalnie nie będzie mógł uzyskać dostępu
do strony https://intranet. Jest to zamierzone, ponieważ środowisko DirectAccess traktuje
teraz witrynę intranetową jako serwer NLS i jest ona nieosiągalna dla użytkownika, który
znajduje się poza firmą. Jakie jest rozwiązanie tego problemu? Upewnij się, że zdefiniowałeś
nową nazwę DNS, która będzie używana dla witryny NLS. Może to być coś podobnego do adresu
https://nls.contoso.local.
227
Windows Server 2019 dla profesjonalistów
228
Rozdział 6. • Użycie opcji zdalnego dostępu
będziesz ponosić żadnych związanych z nim kosztów. Nie musisz kupować go z publicznego
urzędu certyfikacji, gdyż dostęp do niego będzie możliwy tylko z komputerów przyłączonych do
domeny i będących klientami DirectAccess. Ponieważ komputery przyłączone do domeny
automatycznie ufają lokalnym serwerom urzędu certyfikacji, wymagany certyfikat można po
prostu uzyskać z takiego urzędu i będzie on poprawnie wykonywał swoje zadanie.
Jeśli Twoja firma posiada wieloznaczny certyfikat SSL, użyj go w tym przypadku, aby
obniżyć koszty!
Najlepszą metodą uzyskania certyfikatów maszyny jest zalogowanie się na serwerze urzędu
certyfikacji i zdefiniowanie nowego szablonu certyfikatu, który zostanie utworzony na podstawie
wbudowanego szablonu komputera. Podczas konfigurowania nowego szablonu certyfikatu
upewnij się, że spełnia on następujące wymagania:
Pole Common Name (Nazwa pospolita; podmiot) certyfikatu powinno być zgodne
z nazwą FQDN komputera.
Pole Subject Alternative Name (Alternatywna nazwa podmiotu — SAN)
certyfikatu powinno być równe nazwie DNS komputera.
Certyfikat powinien służyć zamierzonym celom (rozszerzone użycie klucza)
zarówno w przypadku uwierzytelnienia klienta, jak i serwera.
Powinienem tutaj wspomnieć (choć tak naprawdę nie chcę), że wydanie tych certyfikatów
nie jest absolutnie konieczne, aby usługa DirectAccess mogła działać. Jeśli po stronie klienta
korzystasz z systemu Windows 8 lub nowszego, możliwe jest, że usługa DA będzie działać
bez certyfikatów komputera. Komputery będące w sieci mogą podczas tworzenia tuneli IPsec
229
Windows Server 2019 dla profesjonalistów
Nie klikaj łącza Open the Getting Started Wizard! Ten kreator to skrótowa metoda implementacji
usługi DirectAccess, zaprojektowana wyłącznie w celu jak najszybszego jej uruchomienia —
być może do prostej weryfikacji koncepcji. Pod żadnym pozorem nie należy ufać kreatorowi
230
Rozdział 6. • Użycie opcji zdalnego dostępu
GSW w produkcyjnym środowisku DA, ponieważ szybka i łatwa konfiguracja zawiera mnóstwo
kompromisów, które nie są najlepszymi wzorcami postępowania.
Ponieważ jesteś świadomym administratorem, powinieneś w konsoli kliknąć łącze Run the
Remote Access Setup Wizard (Uruchom kreatora konfiguracji dostępu zdalnego). Spowoduje
to wywołanie pełnowymiarowego kreatora konfiguracji DirectAccess. Konfiguracja DA składa
się z czterech różnych etapów, przy czym każdy zawiera kilka okien, w których będziesz mu-
siał wybrać odpowiednie opcje konfiguracji. Na tych ekranach znajduje się dużo informacji obja-
śniających, co oznacza każda z opcji, więc nie obawiaj się i określ poprawnie wszystkie para-
metry. Jeśli podczas konfiguracji usługi DirectAccess skorzystałeś z kreatora Getting Started
Wizard, może ona działać, ale nie będzie tak wydajna ani bezpieczna, jak mogłaby być. Poniżej
znajduje się krótka lista z powodami, dla których użycie kreatora Getting Started Wizard nie
leży w Twoim interesie. Oto działania wykonywane przez tego kreatora, które są sprzeczne
z najlepszymi wzorcami postępowania podczas konfiguracji usługi DirectAccess, wraz z towarzy-
szącymi im komentarzami z loży szyderców:
Kreator GSW umieszcza witrynę NLS na serwerze DirectAccess — źle!
Kreator GSW stosuje ustawienia zasad grupy klienta DirectAccess
do komputerów domeny — to okropny pomysł!
Kreator GSW korzysta z certyfikatów z podpisem własnym — „poziom
zabezpieczeń minus jeden”, bez sensu!
Kreator GSW automatycznie wyłącza protokół Teredo — nieefektywne!
Kreator GSW nie udostępni Ci żadnej zaawansowanej opcji DirectAccess,
prawdopodobnie dlatego, że sposób, w jaki wszystko zostaje skonfigurowane,
nie pozwala skorzystać z takich funkcji — kiepska sprawa!
231
Windows Server 2019 dla profesjonalistów
Rzućmy okiem na tę konsolę, abyś zapoznał się z różnymi oknami, których będziesz używać
podczas interakcji z systemem:
Configuration
Ekran Configuration (Konfiguracja) jest dość intuicyjny; w tym miejscu tworzysz początkową
konfigurację dostępu zdalnego, a w przyszłości aktualizujesz jego ustawienia. Jak widać na zrzu-
cie ekranu, bezpośrednio z tej konsoli możesz skonfigurować opcje DirectAccess and VPN
(DirectAccess i VPN), a nawet Web Application Proxy (Serwer proxy aplikacji sieci Web).
Nie rób tego, co wykonałem na powyższym zrzucie ekranu. Zainstalowałem rolę zdal-
nego dostępu z opcjami DA i VPN, a także z usługą serwera proxy aplikacji sieci Web,
jednakże nie zaleca się jednoczesnego uruchamiania tych dwóch elementów na tym
samym serwerze. Zrobiłem to po prostu w celu stworzenia zrzutów ekranu w moim
laboratorium testowym.
Jeśli chodzi o VPN, nie ma tu wiele do skonfigurowania. Tak naprawdę masz tylko jedno
okno z opcjami, w którym określasz, jaki rodzaj adresu IP ma być przekazywany łączącym
się klientom VPN i jak obsługiwać uwierzytelnianie VPN. Od razu chciałbym podkreślić, że
dostęp do tego ekranu nie jest oczywisty. W sekcji konfiguracyjnej usług DirectAccess i VPN
232
Rozdział 6. • Użycie opcji zdalnego dostępu
Dashboard
Ekran Remote Access Dashboard (Pulpit nawigacyjny dostępu zdalnego) udostępnia znakomity
punkt widokowy pozwalający na obserwowanie statusu serwera dostępu zdalnego. Możesz
szybko wyświetlić stan komponentów działających na serwerze, niezależnie od tego, czy najnow-
sze zmiany konfiguracji zostały wprowadzone. W dolnej części okna będziesz także mógł
dostrzec niektóre statystyki dotyczące trwających połączeń DirectAccess i VPN (zobacz
zrzut na następnej stronie).
Operations Status
Jeśli chciałbyś dokładniej zbadać, co dzieje się po stronie serwera połączeń, wiedz, że do
tego właśnie służy ekran Operations Status (Status operacji). Możesz na nim zobaczyć więcej
szczegółów dotyczących każdego z komponentów, które działają w tle i umożliwiają wykonywa-
nie połączeń DA oraz VPN. Jeśli któryś z nich nie działa poprawnie, możesz go kliknąć, aby
uzyskać nieco więcej informacji. W ramach testu wyłączyłem serwer webowy NLS w swojej
sieci laboratoryjnej, dlatego na stronie Operations Status mogę zauważyć, że usługa NLS zawiera
znacznik błędu (zobacz kolejny zrzut na kolejnej stronie).
233
Windows Server 2019 dla profesjonalistów
Ważne jest, aby pamiętać, że ekran Remote Client Status pokazuje tylko aktywne połączenia,
trwające „na żywo”. Nie są tutaj wyświetlane żadne informacje historyczne.
234
Rozdział 6. • Użycie opcji zdalnego dostępu
Reporting
Zgadłeś: Reporting (Raportowanie) to ekran, który musisz odwiedzić, jeśli chciałbyś się zapoznać
z historycznymi informacjami o zdalnym dostępie. To okno wygląda prawie tak samo jak
ekran Remote Client Status, z tą różnicą, że masz możliwość generowania raportów z danymi
historycznymi pobranymi dla wybranych zakresów dat. W raporcie masz takie same możliwości
wyszukiwania i filtrowania, jakie miałeś na ekranie Remote Client Status.
Raportowanie jest domyślnie wyłączone, ale wystarczy przejść do strony Reporting i kliknąć
odnośnik Configure Accounting (Konfiguruj raportowanie). Wówczas pojawi się opcja przecho-
wywania informacji historycznych. Możesz przechowywać dane w lokalnej bazie lub na zdalnym
serwerze RADIUS.
235
Windows Server 2019 dla profesjonalistów
Tasks
Ostatnim obszarem okna w konsoli zarządzania dostępem zdalnym, na który chcę zwrócić
uwagę, jest pasek Tasks (Zadania) po prawej stronie ekranu. Działania i opcje wyświetlane
na tym pasku zadań zmieniają się w zależności od tego, na którym fragmencie konsoli się znaj-
dujesz. Upewnij się, że pamiętasz o tym obszarze ekranu podczas konfigurowania co bardziej
zaawansowanych funkcji. Oto niektóre przykłady dostępnych zadań na pasku Tasks: tworzenie
raportów użytkowania, odświeżanie ekranu, włączanie lub wyłączanie sieci VPN oraz konfigu-
rowanie równoważenia obciążenia sieciowego lub wielowitrynowości, jeśli używasz wielu
serwerów dostępu zdalnego.
236
Rozdział 6. • Użycie opcji zdalnego dostępu
Nie musisz wcale wybierać między nimi! Obie technologie można uruchomić jednocześnie,
nawet na tym samym serwerze dostępu zdalnego. Każda z nich ma swoje zalety i wady, a sposób,
w jaki je wykorzystasz, będzie zależał od wielu zmiennych. W procesie decyzyjnym będą
musieli zostać uwzględnieni użytkownicy, komputery klienckie i indywidualne potrzeby organi-
zacji. Omówmy pewne różnice istniejące między usługami DirectAccess i VPN, abyś mógł pod-
jąć inteligentną decyzję, które platformy łączności będą najlepiej odpowiadać Twojej organizacji.
Dołączenie do domeny?
Jednym z najważniejszych wymagań dotyczących komputera klienckiego używającego usługi
DirectAccess jest to, że musi on zostać przyłączony do domeny. Chociaż ten wymóg sam
w sobie nie wydaje się tak istotny, jego konsekwencje mogą być ogromne. Ufanie kompute-
rowi w stopniu umożliwiającym przyłączenie go do domeny oznacza najprawdopodobniej, że
jest on własnością firmy. Zapewne znaczy to również, że taka maszyna została zainstalowana
i przygotowana przez zespół IT. Firmy, które mają zwyczaj zezwalania pracownikom na używanie
własnych komputerów w pracy, mogą stwierdzić, że usługa DirectAccess niezbyt dobrze pa-
suje do ich modelu biznesowego. Nie jest ona także idealna w sytuacji, w której pracownicy
używają istniejących komputerów domowych do zdalnego łączenia się z siecią firmową.
237
Windows Server 2019 dla profesjonalistów
Pamiętaj, że chociaż tunel użytkownika w usłudze Always On VPN jest pod tym względem bar-
dziej uniwersalny niż połączenie DirectAccess, to jeśli zamierzasz korzystać z tunelu urządzeń
AOVPN, Twoje komputery nadal będą musiały zostać dołączone do domeny.
Może ostatnio oglądałem zbyt wiele programów typu „zrób to sam”, ale jestem miłośnikiem
domów z wbudowanymi składnikami. Takie elementy są zasadniczo meblami trwale zintegrowa-
nymi ze ścianami, narożnikami lub innymi miejscami. Wnoszą wartość dodaną i znacznie
lepiej łączą się z całym domem niż te, które zostały złożone oddzielnie, a następnie przymo-
cowane do ściany w narożniku pokoju.
238
Rozdział 6. • Użycie opcji zdalnego dostępu
Och, i są darmowe! W każdym razie wliczone w koszt licencji systemu Windows. Nie istnieje
żadna licencja CAL dla użytkownika ani bieżące koszty licencyjne związane z wdrażaniem
rozwiązań firmy Microsoft zarządzających zdalnym dostępem.
Jeśli używasz maszyn z systemem Windows 10, usługi Microsoft DirectAccess i Microsoft Al-
ways On VPN wyraźnie wygrywają w porównaniu z jakimkolwiek rozwiązaniem innych firm
służącym do połączeń VPN.
Jakie jest rozwiązanie problemów z hasłem podczas połączenia VPN? Zresetuj hasło użyt-
kownika, a następnie każ mu się pojawić w biurze, aby mógł się zalogować na swoim laptopie.
Tak, tego rodzaju rozmowy telefoniczne wciąż odbywają się każdego dnia. Jest to przykry,
ale prawdziwy problem występujący w staromodnych sieciach VPN.
Czy mam jakieś dobre wieści? Nowe rozwiązania firmy Microsoft obsługujące zdalny dostęp nie
mają tego rodzaju problemów! Ponieważ usługi DA i AOVPN są częścią systemu operacyjnego,
obie mogą się uruchamiać za każdym razem, gdy Windows uzyskuje połączenie z siecią kom-
puterową. Dotyczy to także ekranu logowania! Nawet jeśli komputer wyświetla ekran logowania
lub ekran blokady pulpitu, a system oczekuje na podanie nazwy mojego użytkownika i hasła,
to w przypadku, gdy jestem podłączony do internetu, mam również działający tunel
DirectAccess lub tunel urządzeń Always On VPN. Oznacza to, że mogę aktywnie wykonywać
zadania związane z zarządzaniem hasłami. Jeśli moje hasło wygasa i muszę je zaktualizować,
taka operacja się powiedzie. Jeśli zapomniałem hasła i nie mogę się dostać do laptopa,
dzwonię do działu pomocy technicznej i proszę o zresetowanie hasła. Następnie poprzez
usługę DA lub AOVPN mogę, będąc w domu, natychmiast zalogować się do swojego laptopa
przy użyciu nowego hasła.
239
Windows Server 2019 dla profesjonalistów
— to nigdy nie zadziała. Dzięki usłudze DirectAccess jest to bułka z masłem! Po prostu się
wylogowuję, wpisuję nazwę innego użytkownika, jego hasło, i to wszystko. Jestem zalogowany,
siedząc w piżamie przed komputerem.
Czy nowsze technologie dostępu zdalnego będą umiały poprawnie nawiązać połączenie, gdy
znajdziesz się za zaporą sieciową ograniczającą porty?
Usługa DirectAccess została stworzona, aby z definicji obsłużyć taki scenariusz. Czy pamiętasz
trzy różne protokoły, których DA może użyć w celu uzyskania połączenia? Opcja rezerwowa
nosi nazwę IP-HTTPS i wykorzystuje ruch po porcie TCP 443. Tak więc DirectAccess, nawet
będąc za najpoważniejszymi zaporami sieciowymi, zazwyczaj łączy się automatycznie i bez
żadnego wahania.
Usługę Always On VPN zwykle się wdraża, mając na uwadze najlepsze wzorce postępowania
(tak właśnie powinno być), w tym priorytetyzację IKEv2 jako protokołu łączności VPN. Jednak
niektóre firmy wdrażają AOVPN tylko z protokołem IKEv2. W tym przypadku zapora sieciowa
ograniczająca porty przeszkadza w wykonywaniu połączeń VPN, ponieważ IKEv2 używa do
łączności portów UDP. Usługa AOVPN nie zadziała więc. Rozumiesz już, mam nadzieję, że
konfigurując usługę AOVPN, powinieneś się upewnić, czy podjąłeś niezbędne kroki, aby
uwzględnić również opcję SSTP VPN jako metodę awaryjną? Protokół SSTP używa także
portu TCP 443, dzięki czemu pakiety mogą zostać wysłane na zewnątrz nawet przez najbardziej
restrykcyjne zapory sieciowe.
240
Rozdział 6. • Użycie opcji zdalnego dostępu
Nadzwyczaj ważne!
Tunel urządzeń w przypadku usługi AOVPN może używać tylko protokołu IKEv2. Jeśli
znajdujesz się za zaporą ograniczającą porty i korzystasz z tunelu urządzeń, połączenie
nie zostanie nawiązane. Tunel użytkownika AOVPN jest jedynym, który może zadziałać
w trybie awaryjnym SSTP.
Niedawno analizowałem ten scenariusz, współpracując z firmą, która stała przed konieczno-
ścią wybrania usługi DirectAccess lub Always On VPN dla swoich zdalnych komputerów.
Było to przedsiębiorstwo zarządzające komputerami w wielu szpitalach i gabinetach lekar-
skich, które nie miały łączy WAN. Biura miały jednak dostęp do internetu, dlatego chcieli-
śmy automatycznie łączyć komputery z głównym centrum danych. Na początku analizy mieli-
śmy do wyboru usługi DirectAccess i Always On VPN. Podczas testów jednak odkryliśmy, że
wiele sieci szpitalnych ogranicza wychodzący ruch do internetu. Jedyną metodą, dzięki której
usługa DA mogła się połączyć, było wykorzystanie protokołu IP-HTTPS. W przypadku
AOVPN był to wyłącznie protokół SSTP. To nie problem, prawda? Otóż jednak problem istniał.
Okazuje się, że te zdalne stacje robocze są często traktowane jako kioski lub maszyny typu
walk-up, do których wielu różnych pracowników może w każdej chwili podejść i się zalogować.
Często oznacza to, że użytkownicy logują się na komputerach, których nigdy wcześniej nie
używali, więc system nie buforuje ich danych uwierzytelniających.
Być może podejrzewasz, że nie mieliśmy wyboru i w tym scenariuszu musieliśmy skorzystać
z DirectAccess. Usługa ta pozwala na uzyskanie połączenia już na etapie ekranu logowania,
nawet jeśli korzysta z awaryjnej metody IP-HTTPS. Z drugiej strony połączenie Always On VPN
może działać na ekranie logowania jedynie przy zastosowaniu protokołu IKEv2, wymaga go
bowiem tunel urządzeń. Ponieważ IKEv2 korzysta z protokołu UDP, który został zablokowany
przez zaporę, jedynym sposobem na uzyskanie połączenia AOVPN było użycie SSTP. Połą-
czenie nie mogło jednak zostać nawiązane aż do momentu uruchomienia tunelu użytkownika,
co nastąpiło dopiero po zalogowaniu się użytkownika na maszynie. Ten niezwykle interesujący
przypadek użycia usług łączności w świecie rzeczywistym rzucił nieco światła na proces de-
cyzyjny, który będziesz musiał wziąć pod uwagę we własnym środowisku.
Ręczne rozłączanie
Jeśli wciąż nie jesteś przekonany, że tradycyjne sieci VPN są już przestarzałe, weźmy pod
uwagę jeszcze jedną kwestię. Gdy korzystasz z sieci VPN, które wymagają ręcznego uruchomie-
nia połączenia, to od samego użytkownika zależy, czy jego komputer będzie właściwie zarządza-
ny i aktualizowany. Możesz oczywiście mieć zautomatyzowane systemy takie, jak WSUS,
SCCM i zasady grupy, które wykonują odpowiednie działania za Ciebie. Gdy jednak laptop
znajduje się poza firmą i jej siecią LAN, te systemy zarządzania mogą wykonywać swoje zadania
tylko wtedy, gdy użytkownik zdecyduje się na ustanowienie połączenia VPN. Laptop pracownika
może spędzić tygodnie poza siecią korporacyjną, łącząc się z dziesiątkami niepewnych
punktów dostępowych, na przykład w trakcie podróży statkiem wycieczkowym po Karaibach.
Po tygodniach spędzonych na zabawach i korzystaniu z usług Netflix użytkownik połączy się
241
Windows Server 2019 dla profesjonalistów
ponownie z siecią LAN lub VPN, aby trochę popracować. Okaże się wówczas, że jego maszyna
bardzo długo nie korzystała z firmowych zasad bezpieczeństwa i w międzyczasie nagroma-
dziła wiele różnego rodzaju zabawnych i kreatywnych programów, z którymi teraz musisz
walczyć.
Nie jest tak w przypadku narzędzi zdalnego dostępu firmy Microsoft! Zapewnienie opcji auto-
matycznego połączenia, takiej jak Always On VPN lub DirectAccess, oznacza, że laptop byłby
podłączony i odbierał wszystkie zasady bezpieczeństwa i poprawki również podczas długiego
urlopu pracownika.
Niestety, te możliwości nie zostały (w każdym razie do tej pory) przeniesione do świata Micro-
soft VPN. Bez względu na to, czy umożliwiasz łączenie systemów Windows 7 za pomocą trady-
cyjnej sieci VPN, czy też nakazujesz klientom systemu Windows 10 wykonywanie połączeń
za pomocą Always On VPN, infrastruktura zaplecza RRAS VPN jest taka sama i nie ma wbudo-
wanej opcji obsługi wielu serwerów lub witryn. Taka funkcjonalność jest oczywiście możliwa
po uczynieniu danego systemu VPN redundantnym. Wymagałoby to jednak samodzielnego
skonfigurowania go za pomocą zewnętrznych mechanizmów równoważenia obciążenia,
a często użycia globalnych mechanizmów równoważenia obciążenia witryny lub serwera w celu
umożliwienia poprawnego przesyłania ruchu sieciowego.
242
Rozdział 6. • Użycie opcji zdalnego dostępu
Oto podsumowanie całego podrozdziału. Jeśli porównuje się usługę DirectAccess z tradycyjny-
mi, ręcznie uruchamianymi sieciami VPN, ta pierwsza bez problemu wygrywa. Naprawdę nie
ma żadnej wątpliwości. Gdy jednak mamy też do dyspozycji drugą usługę, Always On VPN,
możemy stwierdzić, że każda z nich ma swoje zalety i wady. Obie zapewniają te same wyniki
przy użyciu różnych metod. Jak dotąd wydaje się, że w przypadku większości klientów de-
cydującym czynnikiem są przede wszystkim możliwości wdrażania po stronie użytkownika nie-
zależne od dostępu do systemu MDM, a także wymagania dotyczące użycia tunelu urządze-
nia. Celem firmy Microsoft jest to, by usługa AOVPN udostępniała te same funkcje, co
DirectAccess. Taka funkcjonalność coraz bardziej staje się rzeczywistością. Always On VPN
ma również niektóre zaawansowane funkcje uwierzytelniania, których nie ma DirectAccess,
takie jak integracja z systemami Windows Hello for Business lub Azure MFA.
243
Windows Server 2019 dla profesjonalistów
Jeśli wszyscy Twoi pracownicy mobilni mają dostęp do sieci DirectAccess lub VPN, praw-
dopodobnie nie używasz systemu WAP. Jednak wraz z rosnącym wykorzystaniem chmury
użytkownicy często oczekują, że będą mogli otworzyć przeglądarkę internetową z dowolnego
komputera i miejsca oraz uzyskać dostęp do niektórych swoich aplikacji. Dostęp do dokumentów
jest obecnie często zapewniany przez usługi sieciowe, takie jak SharePoint. Dostęp do poczty
e-mail można uzyskać zdalnie z dowolnego komputera przy użyciu systemu Outlook Web Access.
Użycie tylu aplikacji i danych jest możliwe tylko za pośrednictwem przeglądarki internetowej,
która pozwala pracownikom na dostęp do nich bez konieczności tworzenia pełnego tunelu
korporacyjnego, takiego jak VPN. Więc jaki jest rzeczywisty powód stosowania systemu WAP?
To komputery domowe, których nie chcesz podłączać do sieci VPN. W ten sposób nie musisz się
martwić tak bardzo o poziom bezpieczeństwa i stan komputerów domowych lub innych,
które należą do użytkowników, ponieważ jedynym programem, który wchodzi w interakcje
z Twoją firmą, jest przeglądarka internetowa. Ogranicza to potencjał ataków na Twoją sieć pro-
wadzonych z tych komputerów. Jak widać, technologia taka jak WAP z pewnością ma swoje
miejsce na rynku systemów dostępu zdalnego.
Mam nadzieję, że z czasem usługa WAP będzie coraz lepsza, co pozwoli na faktyczne zastąpienie
systemu UAG, który działał w środowisku Windows Server 2008 R2 i został oficjalnie wycofany
jako produkt firmy Microsoft. Rozwiązaniem najbardziej podobnym do UAG jest rola WAP.
Nie jest jeszcze tak uniwersalna, ale programiści firmy Microsoft pracują nad jej ulepszeniem.
Obecnie usługa WAP pozwala uzyskać dostęp do prostych aplikacji internetowych. Możesz także
zapewnić dostęp do zaawansowanych klientów korzystających z podstawowego uwierzytelniania
HTTP, takich jak Exchange ActiveSync. Uwzględniono również możliwość publikowania
danych na klientach korzystających z protokołu MSOFBA, na przykład w sytuacji, gdy użytkow-
nicy próbują pobrać dane firmowe z aplikacji Word lub Excel uruchomionych na kompute-
rze lokalnym.
244
Rozdział 6. • Użycie opcji zdalnego dostępu
Usługa WAP może działać jak odwrotne proxy i umożliwiać zdalny dostęp do takich systemów
jak środowiska Exchange i SharePoint. Nie jest to drobiazg, ponieważ są to technologie, z któ-
rych korzysta prawie każdy. Z pewnością więc wdrożenie usługi WAP może być korzystne,
gdy celem jest uzyskanie bezpiecznego dostępu do tych zasobów. Jest to z pewnością lepsze
niż skonfigurowanie translacji NAT bezpośrednio do serwera Exchange.
Jeśli jesteś zainteresowany korzystaniem z usługi WAP, a zatem uwzględniasz wymagania do-
tyczące roli AD FS, musisz pamiętać o tym, że można ją wykorzystać do innych celów. W rze-
czywistości jedną z najczęściej obecnie wykorzystywanych nowości jest integracja ze środowi-
245
Windows Server 2019 dla profesjonalistów
skiem Office 365. Jeśli planujesz użyć systemu Office 365 w swoim środowisku, AD FS będzie
doskonałym narzędziem, które może w tym przypadku ulepszyć możliwości uwierzytelniania.
Wiesz już, że obecnie usługa WAP może wstępnie uwierzytelniać aplikacje internetowe,
jednak jej pierwotna wersja nie mogła wykonywać żadnych wstępnych uwierzytelnień w aplika-
cjach typu HTTP Basic, na przykład gdy firma chciała opublikować dostęp do systemu
Exchange ActiveSync. Ta niezdolność powodowała, że usługa ActiveSync była zbyt narażona
na ataki z zewnątrz i stanowiła zagrożenie dla bezpieczeństwa. Na szczęście w systemie Win-
dows Server 2016 zaszły pozytywne zmiany — możesz teraz wstępnie uwierzytelniać stru-
mienie ruchu, które używają autoryzacji HTTP Basic.
246
Rozdział 6. • Użycie opcji zdalnego dostępu
HTTPS była uciążliwa i utrudniała jej wdrażanie, ale sytuacja już się zmieniła. Serwer proxy
aplikacji sieci Web umożliwia usłudze WAP przekierowanie ruchu HTTP na HTTPS, co
oznacza, że użytkownicy nie muszą już wpisywać słowa HTTPS w pasku adresu przeglądarki.
Mogą po prostu podać nazwę DNS witryny i pozwolić usłudze WAP obsługiwać translację
danych.
Ulepszenia usługi WAP i pulpitu zdalnego pozwalają obecnie na uzyskiwanie dostępu do samego
serwera Remote Desktop Gateway. Tradycyjnie brama pulpitu zdalnego jest umieszczana na
brzegu sieci i łączy użytkowników zewnętrznych z wewnętrznymi serwerami pulpitu zdal-
nego. Umieszczenie systemu WAP przed bramą pulpitu zdalnego umożliwia uzyskanie lepszego
uwierzytelniania wstępnego dla usług pulpitu zdalnego i zwiększa separację między sieciami
wewnętrznymi a zewnętrznymi.
Trzymam kciuki za tym, aby te systemy wciąż były rozwijane, a usługa WAP mogła w przyszłości
standardowo obsługiwać protokoły takie jak pulpit zdalny nawet bez potrzeby korzystania z bramy
Remote Desktop Gateway.
247
Windows Server 2019 dla profesjonalistów
sieci Web. Zanim otworzysz samą konsolę, upewnij się, że odpowiednie pole wyboru zostało
zaznaczone podczas instalacji roli dostępu zdalnego. Jeśli nie wybrałeś opcji Web Application
Proxy (Serwer proxy aplikacji sieci Web) w trakcie instalacji tej roli, wróć do funkcji dodawania
i usuwania ról w Menedżerze serwera, aby dodać usługę WAP do serwera:
Należy pamiętać, że chociaż serwer proxy aplikacji sieci Web jest składnikiem tej samej
roli dostępu zdalnego, która zawiera połączenia DirectAccess i VPN, nie zaleca się urucha-
miania usługi WAP jednocześnie z DA i VPN na tym samym serwerze. Jak już wiesz, możesz
zarządzać połączeniami DA i VPN na jednym serwerze dostępu zdalnego. W przypadku
usługi WAP powinien to być jednak samodzielny komponent. Nie uruchamiaj jej na serwe-
rze DA lub VPN, a także nie instaluj połączeń DA i VPN na serwerze WAP.
Gdy do naszego systemu dodaliśmy już serwer proxy aplikacji sieci Web, możesz otworzyć
konsolę zarządzania dostępem zdalnym i zobaczyć go na liście w sekcji Configuration (Konfigu-
racja). W tym miejscu uruchomisz kreatora Web Application Proxy Configuration Wizard
(Kreator konfiguracji serwera proxy aplikacji sieci Web) i będziesz konfigurować serwer AD FS,
certyfikaty, których zamierzasz użyć, a także inne parametry wymagane dla roli:
248
Rozdział 6. • Użycie opcji zdalnego dostępu
Podsumowanie
Obecna technologia pozwala na to, by firma umożliwiała swoim pracownikom dostęp do ich za-
sobów z dowolnego miejsca. Coraz więcej organizacji zatrudnia pracowników zdalnych i dlatego
wymaga bezpiecznego, stabilnego i wydajnego sposobu na zapewnienie im dostępu do danych
i aplikacji firmowych. Rola dostępu zdalnego w systemie Windows Server 2019 została za-
projektowana właśnie w tym celu. Dzięki niej możemy skorzystać z trzech różnych sposobów
zdalnego dostępu do zasobów korporacyjnych. Działy IT nigdy wcześniej nie miały tak wielu
technologii zdalnego dostępu zawartych w systemie operacyjnym Windows i dostępnych na
wyciągnięcie ręki. Jeśli nadal używasz systemu VPN innej firmy lub starszego typu, zdecydowa-
nie powinieneś zapoznać się z nowymi możliwościami i dowiedzieć, w jaki sposób mogą one
wesprzeć Twoją firmę.
Pytania
1. Co oznacza skrót AOVPN?
2. Jakie są dwa podstawowe protokoły używane podczas łączenia klientów za pomocą
usługi AOVPN?
3. W której wersji systemu Windows 10 udostępniono usługę AOVPN?
4. W jakim szczególnym przypadku klient AOVPN musiałby zostać dołączony
do Twojej domeny?
5. Czy usługa DirectAccess wymaga, aby wewnętrzna sieć firmowa działała
w wersji IPv6?
6. Jak nazywa się wewnętrzna strona internetowa, z którą łączą się klienci
DirectAccess w celu ustalenia, czy znajdują się w sieci korporacyjnej?
7. Jaką rolę odgrywa serwer WAP w środowisku federacyjnym?
249
Windows Server 2019 dla profesjonalistów
250
7
Hardening
i bezpieczeństwo
Trzy i osiem dziesiątych miliona dolarów. Szacunek dla każdego, kto przeczytał to zdanie
głosem Doktora Zło. Jeśli nie masz pojęcia, o czym piszę, być może miałeś beztroskie dzie-
ciństwo. Żarty na bok — ta liczba ma duże znaczenie dla bezpieczeństwa IT. Dlaczego? Ponie-
waż 3,8 miliona dolarów to średni koszt naruszenia bezpieczeństwa danych w amerykańskiej
firmie. Tego rodzaju przerażające informacje usłyszałem na konferencji firmy Microsoft
w Redmond kilka lat temu, a z roku na rok koszty rosną. A może chciałbyś się zapoznać się
z innym rodzajem statystyki, której można by użyć, aby uzyskać zgodę na zwiększenie budżetu
bezpieczeństwa? Istnieją różne analizy, ale ogólnie rzecz biorąc, średnia liczba dni, w których
osoba atakująca przebywa w Twojej sieci (czas spędzony na przeglądaniu plików i infrastruktury
przed wykryciem i wyeliminowaniem intruza), wynosi około 200. Pomyśl o tym — 200 dni!
To większa część roku, spędzona ciekawie w Twoim środowisku, zanim się zorientujesz! Co
zazwyczaj atakujący robią w ciągu tych 200 dni? Krok po kroku wysyłają wszystkie dane tylnymi
drzwiami. Następna liczba to 76% — procent włamań do sieci, które mają miejsce w wyniku
naruszenia danych uwierzytelniających użytkownika. Co więcej, identyfikacja tych ataków
staje się coraz trudniejsza, ponieważ osoby atakujące korzystają z legalnych narzędzi infor-
matycznych, aby zdobyć to, czego chcą. Na przykład mogą używać inżynierii społecznej, aby
zdobyć zaufanie któregoś z pracowników i następnie wykorzystać je w celu zainstalowania na-
rzędzia zdalnego dostępu na jego komputerze roboczym. Po co stosować złośliwe oprogramo-
wanie, skoro można użyć osoby, do której wszyscy mają zaufanie i która nie będzie alarmować
systemów wykrywania włamań? Dla mnie ma to sens.
Nawet nowszy, bardziej zaawansowany program Windows Defender Advanced Threat Protec-
tion (ATP) to tak naprawdę cała rodzina produktów i systemów, które współpracują ze sobą
w celu ochrony Twoich maszyn ze środowiskiem Windows. Ochrona przed wirusami i atakami
typu malware to tylko jedna z możliwości. Wbudowany program antywirusowy nadal jest
całkiem nowym pomysłem, jeśli chodzi o rodzinę systemów Windows Server. Pierwszym serwe-
rowym systemem operacyjnym, który miał wbudowany antywirusowy program Defender,
był Server 2016. Podejrzewam, że obecnie większość produkcyjnych serwerów działających
w firmach na całym świecie wciąż zawiera system Server 2012 R2, dlatego ulepszenie programu
Defender w wersji Server 2019 to kolejny powód, aby już dziś rozpocząć planowanie migracji.
W tej książce nie mamy wystarczającej ilości miejsca, aby przeanalizować każdy aspekt produktu
Windows Defender ATP, który jest wciąż udoskonalany. Omówimy niektóre jego interfejsy,
a także pokażę, jak należy korzystać z najczęściej używanych składników, które nie wymagają
stosowania zasad grupy. Zaprezentuję również niektóre bardziej zaawansowane funkcje, dzięki
czemu będziesz mógł je dokładniej przeanalizować w wolnej chwili.
252
Rozdział 7. • Hardening i bezpieczeństwo
Jeśli z jakiegoś powodu to pole nie zostało zaznaczone, należy to zrobić, aby zainstalować
produkt Windows Defender Antivirus.
Pamiętaj, że nie musiałeś nic robić, aby włączyć którąkolwiek z tych funkcji — są one gotowe
do użycia (zobacz na zrzucie ekranu na następnej stronie).
253
Windows Server 2019 dla profesjonalistów
wielu innych opcji, które można włączyć lub wyłączyć. Na następnej stronie zaprezentowano zrzut
ekranu z kilkoma ustawieniami dostępnymi w aplikacji Defender AV. Zdecydowałem się po-
kazać właśnie te trzy ustawienia, ponieważ są one związane z innym zagadnieniem, które
wkrótce omówimy, gdy będziemy analizować zaawansowaną ochronę przed zagrożeniami
w programie Windows Defender.
Po pierwsze, aplikacja Defender AV została zaprojektowana w taki sposób, aby się automa-
tycznie wyłączała w przypadku zainstalowania innego programu antywirusowego. Najprawdo-
podobniej wystarczy zainstalować narzędzie antywirusowe firmy zewnętrznej, a po restarcie
serwera program Defender AV przestanie działać i zezwoli na uruchomienie tego innego
produktu, aby nie powodować konfliktów. Jest to ważne, ponieważ wielu informatyków nie
zdaje sobie sprawy z tego, że kilka programów antywirusowych działających w jednym systemie
to, ogólnie rzecz biorąc, okropny pomysł. Często powodują one konflikty; występują również
błędy alokacji pamięci, a sam system działa wolno i nieprzewidywalnie.
254
Rozdział 7. • Hardening i bezpieczeństwo
Jeśli planujesz korzystać z własnego programu antywirusowego i chcesz mieć pewność, że apli-
kacja Defender zostanie całkowicie usunięta, możesz odinstalować tę funkcję z serwera. Najła-
twiej to wykonać za pomocą powłoki PowerShell przy użyciu następującego polecenia:
Uninstall-WindowsFeature -Name Windows-Defender
255
Windows Server 2019 dla profesjonalistów
Niezwykle intrygujące dla nas może być to, że firma Microsoft w sprytny sposób wykorzystuje
połączenie z chmurą i przetwarzanie w niej danych w celu ciągłego ulepszania usługi Defender
AV. Być może nie wiesz o tym, ale większość komputerów z systemem Windows podłączonych
do internetu nieustannie sobie pomaga, zgłaszając do firmy Microsoft nowo odkryte luki
w zabezpieczeniach i złośliwe działania. Informacje te są następnie analizowane przy użyciu
algorytmów uczenia maszynowego, a uzyskane informacje mogą być natychmiast wykorzystane
na całym świecie przez pozostałe maszyny z systemem Windows.
Choć brzmi to trochę jak jakaś odmiana Wielkiego Brata i zapewne wiele osób obawia się
zagrożenia prywatności, wierzę, że wkrótce pokonamy ten strach i uświadomimy sobie, że
korzyści przeważają nad potencjalnymi obawami. Miliony użytkowników przesyłają obecnie
wiadomości e-mail za pośrednictwem usługi Office 365. Możesz nawet nie zdawać sobie z tego
sprawy, ale system Office 365 również zajmuje się tego rodzaju analizą danych w celu identyfi-
kowania i blokowania exploitów. Na przykład, jeśli duża grupa osób otrzymuje nagle maila
z załącznikiem będącym dokumentem Word z włączoną obsługą makr, co zazwyczaj nie jest
typową opcją, środowisko Office 365 może bardzo szybko przenieść ten dokument do bezpiecz-
nej strefy, otworzyć go (lub uruchomić, jeśli załącznik jest plikiem wykonywalnym) i sprawdzić,
czy dany plik jest rzeczywiście złośliwym oprogramowaniem. Jeśli tak, Office 365 natychmiast
rozpocznie jego blokowanie i w ten sposób zatrzyma potencjalnie katastrofalne w skutkach
rozprzestrzenianie się tego składnika. Wszystko to dzieje się bez udziału użytkownika lub perso-
nelu IT firmy. Nie jest to nawet działanie związane z danym nadawcą wiadomości. Jeśli jakiś
z moich użytkowników jako pierwszy otrzyma w poczcie elektronicznej dziwne oprogramowa-
nie, które zostanie następnie zidentyfikowane jako wirus, to odkrycie pozwoli je zablokować
również u innych klientów przechowujących swoje wiadomości w chmurze Microsoft. To coś
niesamowitego!
Ta sama zasada będzie obowiązywać w przypadku antywirusa Defender AV, jeśli zdecydujesz
się zezwolić mu na komunikację i przesyłanie informacji do zasobów chmurowych firmy
Microsoft. Wcześniej wkleiłem zrzut ekranu z funkcjami aplikacji Defender AV zwanymi
Cloud-delivered protection (Ochrona dostarczana z chmury) i Automatic sample submission
(Automatyczne przesyłanie próbek). To właśnie te elementy pozwalają na działanie magii opartej
na chmurze i przynoszą korzyści wszystkim komputerom.
256
Rozdział 7. • Hardening i bezpieczeństwo
1
Również na zamontowanych dyskach sieciowych, jeśli użytkownik ma na nich uprawnienia do zapisu
— przyp. tłum.
257
Windows Server 2019 dla profesjonalistów
Bezpieczeństwo sieci.
Czy powiedziałeś „zapora sieciowa”? Ja odpowiedziałbym w taki sposób. Gdy myślimy o zabez-
pieczeniu swoich urządzeń na poziomie sieci, bierzemy pod uwagę sieci graniczne. Są one
zdefiniowane i chronione przez zapory sieciowe, głównie na poziomie sprzętowym. Wyko-
rzystują specjalistyczne urządzenia w celu zapewnienia wysokiego poziomu bezpieczeństwa.
W tym podrozdziale chcę omówić kolejny element zabezpieczeń sieci, którego możesz i powi-
nieneś używać w swoich środowiskach. Tak, mam na myśli zaporę systemu Windows. Przestań
się śmiać, to niegrzeczne!
Biorąc pod uwagę przeszłość, łatwo wyśmiewać zaporę systemu Windows. W czasach systemów
Windows XP i Server 2003 była ona dość bezużyteczna i powodowała znacznie więcej proble-
mów, niż rozwiązywała. W rzeczywistości to wrażenie było tak powszechne, że wciąż istnieje
wiele firm, które w domyślnych zasadach grupy całkowicie wyłączają zaporę systemu Windows
we wszystkich swoich systemach przyłączonych do domeny. Gdy zadajesz im pytanie, dlaczego
tak robią, zwykle okazuje się, że nie mają określonego powodu. Standardowymi odpowiedziami
są: „Po prostu zawsze tak było” lub „Tak mamy zapisane w naszej formalnej polityce bezpieczeń-
stwa”. Jest to problem, ponieważ zapora Windows Defender z zaawansowanymi zabezpie-
czeniami (ang. Windows Defender Firewall with Advanced Security — WFAS) dostępna w naj-
nowszych systemach operacyjnych Windows jest znacznie bardziej niezawodna i zaawansowana
niż jakakolwiek jej wcześniejsza wersja. Można ją więc bez problemu wykorzystać w celu
poprawy architektury bezpieczeństwa. Chciałbym nawet oświadczyć, że wyłączenie zapory
WFAS w jednym z tych najnowszych systemów operacyjnych będzie niemądrym zachowaniem,
chyba że masz bardzo dobry konkretny powód.
258
Rozdział 7. • Hardening i bezpieczeństwo
Co ciekawe, łącze prowadzi do konsoli konfiguracji zapory systemu Windows w panelu sterowa-
nia, który jest przestarzałym programem służącym do wprowadzania ustawień systemowych.
Konsola jednak wciąż działa i jest w pełni zdolna do wprowadzania zmian w podstawowych
funkcjach zapory, takich jak jej włączanie lub wyłączanie. Ponieważ narzędzie znajduje się
w panelu sterowania, musimy założyć, że tak naprawdę nie jest ono zalecane przez firmę Microsoft.
Pamiętaj, że wszystkie nowe parametry konfiguracyjne zostały przeniesione do programu
Windows Settings, którego należy używać zamiast starego panelu sterowania:
259
Windows Server 2019 dla profesjonalistów
Zgadza się. Otwórz panel Windows Settings i kliknij opcję Update & Security (Aktualizacja
i zabezpieczenia), a następnie Windows Security (Zabezpieczenia Windows). Byłeś tu już
wcześniej — jest to ekran, który zawiera krótkie podsumowanie składników środowiska Win-
dows Defender. Jednym z nich jest Firewall & network protection (Zapora i ochrona sieci).
Kliknij tę opcję, aby otworzyć nową platformę, której nie było we wcześniejszych wersjach
systemu Windows, a która obecnie służy do konfigurowania funkcji zapory Windows:
260
Rozdział 7. • Hardening i bezpieczeństwo
Chociaż wyłączenie zapory jest ogólnie złym pomysłem, czasami należy to zrobić, aby dopaso-
wać się do modelu biznesowego:
Okno konfiguracji zapory dostępne w ustawieniach Windows jest dobrym miejscem do podej-
mowania prostych, ogólnych decyzji dotyczących zapory Windows Defender, ale możliwości
tego interfejsu są ograniczone. Aby móc w jak najszerszym zakresie wykorzystać funkcje zapory
lub ją skonfigurować, należy użyć innego narzędzia, które omówimy poniżej.
261
Windows Server 2019 dla profesjonalistów
W tej konsoli możesz się zapoznać z o wiele bardziej szczegółowymi informacjami na temat
aktywności zapory Windows, a także dokonać bardziej precyzyjnych korekt w regułach zezwala-
jących i blokujących. Istnieje również sekcja Monitoring (Monitorowanie), za pomocą której
można wyświetlić aktywne reguły, w tym reguły zabezpieczeń połączeń. Jest to ważne miej-
sce, ponieważ potwierdza ono, że zapora WFAS wykonuje znacznie więcej działań niż samo
blokowanie ruchu sieciowego. Ta aplikacja jest nie tylko zaporą sieciową, ale także platformą
połączeń. Jeśli planujesz użyć protokołu IPsec do szyfrowania ruchu sieciowego, bez względu
na to, czy będzie to natywny protokół IPsec w sieci, czy też realizowany w ramach dostępu
zdalnego DirectAccess, w sekcji monitorowania zostaną wyświetlone reguły, które są defini-
cjami tuneli IPsec. Zapora systemu Windows jest faktycznie odpowiedzialna za tworzenie
zaszyfrowanych połączeń i tuneli, dzięki czemu jest o wiele bardziej zaawansowana niż poprzed-
nio używany produkt.
262
Rozdział 7. • Hardening i bezpieczeństwo
do sieci korporacyjnej, możesz pracować swobodniej niż wówczas, gdy ten sam komputer
jest podłączony do sieci hotelowej. Przypisanie bardziej restrykcyjnych reguł zapory do profilu,
który staje się aktywny, gdy jesteś podłączony do publicznego internetu, na przykład w hotelu,
lepiej zabezpiecza Cię przed atakującymi. Przeanalizujmy te trzy różne typy dostępnych profili:
Domain Profile (Profil domeny): to jedyny profil, którego nie możesz przypisać.
Profil domeny jest aktywny tylko wtedy, gdy jesteś zalogowany na komputerze
przyłączonym do domeny i podłączonym do sieci, w której jest dostępny kontroler
domeny. Tak więc w przypadku każdej maszyny firmowej w sieci korporacyjnej
można oczekiwać, że jej profil domeny będzie aktywny.
Private Profile (Profil prywatny): gdy łączysz się z nową siecią i jesteś proszony
o wybranie lokalizacji, połączenie zostanie przypisane do profilu prywatnego,
jeśli wybierzesz Home (Dom) lub Work (Praca).
Public Profile (Profil publiczny): jeśli wybierzesz opcję Public Profile, wtedy
oczywiście zostanie Ci przypisany publiczny profil zapory. Ponadto stanie się
on domyślny, jeśli z jakiegoś powodu nie pojawi się pytanie ze strony zapory lub
w ogóle nie wybierzesz określonej opcji i po prostu zamkniesz okno z pytaniem
o przypisanie nowego połączenia. W nowszych wersjach systemu Windows
(szczególnie w Windows 10) zazwyczaj nie pojawia się pytanie o wybór sieci.
Zamiast tego pojawia się okno z pytaniem, czy chcesz zezwolić komputerowi na
komunikowanie się z innymi urządzeniami w nowej sieci. W rzeczywistości jest to
nadal pytanie o profil publiczny, a odpowiedź twierdząca spowoduje przypisanie
połączenia do prywatnego profilu zapory (ponieważ łączność z innymi urządzeniami
powinna być dopuszczona tylko w przypadku sieci zaufanych).
Każda karta sieciowa ma przypisaną własną definicję profilu. W tym samym systemie może być
aktywny więcej niż jeden profil zapory. Na przykład mój serwer RA1 jest podłączony zarówno do
sieci korporacyjnej, jak i publicznego internetu. W zaporze WFAS widać, że aktywne są
zarówno profil domeny, jak i profil publiczny (zobacz na pierwszym zrzucie ekranu na na-
stępnej stronie).
Alternatywnie możesz na serwerze otworzyć panel Network and Sharing Center (Centrum
sieci i udostępniania) i w prosty sposób stwierdzić, która karta sieciowa używa danego profilu
(zobacz na drugim zrzucie ekranu na następnej stronie).
263
Windows Server 2019 dla profesjonalistów
być podłączonym bezpośrednio do sieci zewnętrznej. Jest to duży problem, ponieważ teraz
każdy mądrala może znaleźć mój serwer w internecie, użyć protokołu RDP i spróbować zalogo-
wać się na maszynę przy użyciu ataku brute force.
Aby zlikwidować ten problem, chciałbym zablokować protokół RDP tylko w swojej zewnętrz-
nej karcie sieciowej. Jednocześnie powinien on pozostać aktywny wewnątrz sieci, aby nadal
pozwalać mi na łączenie się z serwerem z własnego biurka. Czy jednak konsola WFAS pozwala
w prosty sposób utworzyć regułę zapory sieciowej, która zablokuje dostęp do protokołu RDP
tylko z zewnątrz? Oczywiście, że tak.
Uruchom plik wf.msc, aby wyświetlić okno zapory Windows Defender z zaawansowanymi
zabezpieczeniami, a następnie przejdź do sekcji Inbound Rules (Reguły przychodzące), dzięki
czemu zobaczysz wszystkie istniejące reguły zapory dla ruchu przychodzącego w tym serwerze
264
Rozdział 7. • Hardening i bezpieczeństwo
(znajdziesz tu wiele gotowych reguł, nawet jeśli nigdy wcześniej nie odwiedzałeś tej konsoli
— zostały one zainstalowane wraz z systemem operacyjnym). Kliknij prawym przyciskiem my-
szy pozycję Inbound Rules, a następnie z menu podręcznego wybierz opcję New Rule… (Nowa
reguła…). Spowoduje to uruchomienie kreatora, za pomocą którego utworzymy naszą nową
regułę zapory. Pierwszy ekran to miejsce, w którym określamy rodzaj nowo tworzonej reguły.
Możesz utworzyć regułę modyfikującą ruch dla określonego programu lub przejrzeć listę
uprzednio zdefiniowanych protokołów. Chciałbym jednak dokładnie wiedzieć, w jaki sposób
działa moja reguła, więc wolałbym sam ją zaprojektować, a nie polegać na wcześniej istniejącej
definicji protokołu. Wiem też, że protokół RDP działa na porcie TCP 3389. Na tym ekranie
wybiorę więc opcję Port, a po kliknięciu przycisku Next (Dalej) wprowadzę numer portu 3389:
Następnym etapem będzie podjęcie decyzji o tym, czy chcemy zezwolić na ruch po wybranym
porcie, czy też go zablokować. Istnieje też trzecia opcja, zezwalająca na połączenie tylko
wtedy, gdy zostało ono uwierzytelnione przez protokół IPsec. Ta opcja ma duże możliwości, ale
wymaga zdefiniowania protokołu IPsec w naszej sieci. Ze względu na to wymaganie nie może
ona być wybierana zbyt często. W naszym przykładzie mamy już działający protokół RDP,
ale chcemy go zablokować na jednej z kart sieciowych, dlatego wybiorę działanie Block the
connection (Zablokuj połączenie):
265
Windows Server 2019 dla profesjonalistów
Nie chcemy jednak blokować protokołu RDP dla wszystkich kart sieciowych, więc musimy się
dobrze zastanowić przy wyborze opcji na następnym ekranie. W tym miejscu powinieneś sobie
przypomnieć niedawno zdobytą wiedzę o profilach zapory. Pamiętaj, że wewnętrzne karty sie-
ciowe podłączone do naszej sieci domenowej będą miały przypisany profil domeny. Z drugiej
strony wszystkie karty sieciowe, które nie są podłączone do sieci wewnętrznej z kontrolerem
domeny, będą miały aktywne profile publiczne lub prywatne. Tę wiedzę musimy wykorzystać na
obecnym ekranie. Jeśli chcemy wyłączyć protokół RDP tylko na zewnętrznej karcie sieciowej,
nasza reguła powinna być aktywna wyłącznie dla profilu prywatnego i publicznego. Przyglądając
się wcześniejszym zrzutom ekranu, widzimy jednak, że zewnętrzna karta sieciowa ma już
przypisany profil publiczny, więc możemy w tym miejscu zaznaczyć tylko pole wyboru Public
(Publiczny), co spowoduje, że protokół RDP zostanie dla niej zablokowany. Na wypadek gdyby-
śmy w przyszłości dodali do serwera więcej kart sieciowych, dla których chcielibyśmy zabloko-
wać dostęp po protokole RDP, pozostawimy zaznaczone oba pola Public i Private (Prywatny),
aby zapewnić wyższy poziom bezpieczeństwa. Upewnij się, że usunąłeś zaznaczenie profilu
Domain (Domena)! W przeciwnym razie całkowicie zablokujesz dostęp po protokole RDP.
Jeśli w tym momencie używasz tego protokołu w celu łączenia się z serwerem, na którym pra-
cujesz, zostaniesz w nim zablokowany i nie będziesz mógł się ponownie połączyć:
Wymyślmy jeszcze nazwę nowej reguły, i będziemy mieli wszystko gotowe! Możliwość nawią-
zywania połączeń z internetu po protokole RDP do naszego serwera została wyłączona i mo-
żemy być już bardziej spokojni.
266
Rozdział 7. • Hardening i bezpieczeństwo
nie działa dobrze, ponieważ większość nowo zainstalowanych systemów Windows od razu
blokuje odpowiedzi na pakiety ICMP. Oznacza to, że możesz próbować kontaktować się
z jakimś adresem IP i nie doczekać się odpowiedzi. Okaże się, że w rzeczywistości pod tym adre-
sem będzie jednak istnieć działający serwer.
Wróćmy do naszego problemu. Być może konieczne będzie włączenie protokołu ICMP na
nowym serwerze, aby mógł odpowiedzieć, gdy ktoś spróbuje się z nim skontaktować za pomocą
polecenia ping. Gdy musimy stworzyć regułę włączającą protokół ICMP, definiujemy ją podob-
nie jak w przypadku protokołu RDP, jednakże pojawia się jeden problem. Gdy rozpoczniesz
tworzenie nowej reguły i będziesz chciał wybrać jej rodzaj, na pierwszym ekranie, Rule Type
(Typ reguły), nie znajdziesz żadnych opcji ani wstępnych definicji związanych z protokołem
ICMP. Uważam, że jest to trochę dziwne, ponieważ reguły związane z protokołem ICMP są
często definiowane. Okazuje się jednak, że wybranie opcji ICMP z rozwijanej listy byłoby po
prostu zbyt łatwe. Zamiast tego utworzysz nową regułę ruchu przychodzącego, tak jak w przy-
padku RDP, a na pierwszym ekranie wybierzesz opcję Custom (Niestandardowa).
Na następnym ekranie pozostaw zaznaczoną opcję All programs (Wszystkie programy). Ponownie
kliknij przycisk Next (Dalej), a pojawi się rozwijana lista o nazwie Protocol type (Typ protokołu).
Z niej właśnie możesz wybrać protokół ICMP. Jak widać na poniższym zrzucie ekranu, dostępne
są opcje ICMPv4 lub ICMPv6, w zależności od tego, jakiego typu jest ruch sieciowy. Moje la-
boratorium testowe jest przeznaczone tylko dla ruchu IPv4, więc wybiorę ICMPv4:
267
Windows Server 2019 dla profesjonalistów
Jeśli kiedykolwiek będziesz musiał zmodyfikować jakąś regułę lub zagłębić się w jej bardziej
zaawansowane właściwości, możesz na ekranie Inbound Rules (Reguły przychodzące) kliknąć
prawym przyciskiem myszy określony wiersz i przejść do opcji Properties (Właściwości). Zosta-
nie otwarte nowe okno z zakładkami, w których będziesz mógł zmodyfikować dowolne kryteria
dotyczące danej reguły. Na przykład możesz dodać kolejne porty, zmienić powiązanie z określo-
nym profilem, a przy wykorzystaniu zakładki Scope (Zakres) nawet określić, jakich adresów IP
dotyczy ta reguła.
Pozwala to stosować regułę zapory tylko dla ruchu przychodzącego lub wychodzącego
z określonej części sieci lub podzbioru maszyn. Na poniższym zrzucie ekranu zmodyfikowałem
ustawienia zakładki Scope w taki sposób, aby reguła zapory miała zastosowanie tylko do ruchu
przychodzącego z podsieci 192.168.0.0/16:
268
Rozdział 7. • Hardening i bezpieczeństwo
Na szczęście mamy obiekty zasad grupy (GPO). Podobnie jak w przypadku większości ustawień
i funkcji systemu Microsoft Windows, skonfigurowanie zasad dla zapory sieciowej, które będą
dotyczyć wszystkich, jest w komputerach przyłączonych do domeny bardzo proste. Jeśli chcesz,
możesz nawet stworzyć więcej zestawów zasad, przykładowo zdefiniować obiekt zasad grupy,
który będzie stosować reguły zapory dla klientów, a także oddzielny obiekt GPO stosujący
reguły zapory dla serwerów. Chodzi o to, że możesz przydzielić komputery do określonych
kategorii, utworzyć reguły GPO dla każdej z nich, a następnie automatycznie zastosować je
w każdej maszynie z wykorzystaniem potężnych możliwości dystrybucji obiektów zasad grupy.
Ponieważ już wiesz, jak tworzy się obiekty GPO, zdefiniuj teraz taki, który będzie zawierał
pewne ustawienia związane z zaporą sieciową. Następnie odpowiednio podłącz ten
obiekt i przefiltruj, aby otrzymały go tylko te maszyny, które powinny. Być może przed wdroże-
niem produkcyjnym dobrym pomysłem będzie użycie testowej jednostki organizacyjnej, abyś
mógł się upewnić, że wszystkie reguły, które zamierzasz umieścić w obiekcie zasad grupy,
działają poprawnie i dobrze współpracują ze wszystkimi innymi istniejącymi politykami.
Po utworzeniu nowego obiektu GPO kliknij go w konsoli zarządzania zasadami grup prawym
przyciskiem myszy, a następnie wybierz opcję Edit… (Edytuj…):
269
Windows Server 2019 dla profesjonalistów
Gdy mamy już otwarty nowy obiekt zasad grupy, musimy się dowiedzieć, w którym miejscu
znajdują się parametry związane z regułami zapory. Gdy jesteś zalogowany na komputerze
lokalnym, możesz je znaleźć w ścieżce Computer Configuration/Policies/Windows Settings/Security
Settings/Windows Defender Firewall with Advanced Security (Konfiguracja komputera/Zasady/
Ustawienia systemu Windows/Ustawienia zabezpieczeń/Zapora Windows Defender z zabezpiecze
niami zaawansowanymi):
Jak widać, w tym miejscu będziesz mógł także włączyć (lub wyłączyć) określone profile zapory
lub ją całą. Tutaj również możesz wyłączyć zaporę Windows dla wszystkich użytkowników.
Kliknąwszy prawym przyciskiem myszy opcję Windows Defender Firewall with Advanced Secu-
rity (Zapora Windows Defender z zabezpieczeniami zaawansowanym), a następnie wybrawszy
opcję Properties (Właściwości), możesz oddzielnie zdefiniować status każdego z profili (zobacz
na pierwszym zrzucie ekranu na następnej stronie).
Po zakończeniu definiowania profili zgodnie z Twoimi wymaganiami kliknij przycisk OK, a znaj-
dziesz się ponownie w części WFAS obiektu zasad grupy. Podobnie jak w przypadku lokalnej
konsoli zapory WFAS, znajdują się tu opcje Inbound Rules (Reguły przychodzące) i Outbound
Rules (Reguły wychodzące). Po prostu kliknij prawym przyciskiem myszy łącze Inbound Rules,
a następnie wybierz opcję New Rule… (Nowa reguła…), aby rozpocząć tworzenie reguły
bezpośrednio w obiekcie zasad grupy. Pojawi się ten sam kreator, który poznałeś, tworząc
regułę w lokalnej konsoli WFAS. Gdy zakończysz pracę, nowa reguła przychodząca zostanie
wyświetlona w obiekcie zasad grupy.
270
Rozdział 7. • Hardening i bezpieczeństwo
Zacznie ona od razu działać w usłudze Active Directory i zainstaluje się na komputerach
oraz serwerach zdefiniowanych w łączach do zasad, a także kryteriach filtrowania:
271
Windows Server 2019 dla profesjonalistów
Technologie szyfrowania
Kiedyś zajmowały się nim wyłącznie wielkie organizacje. Obecnie każdy ich potrzebuje.
Chodzi o szyfrowanie. Większość z nas, korzystając z witryn internetowych, używa ruchu
szyfrowanego za pomocą stron HTTPS, jednakże nawet w tej dziedzinie istnieją zaskakujące
wyjątki, a wiele tanich firm hostingowych nadal udostępnia strony logowania, które przesyłają
dane w sposób nieszyfrowany. Jest to straszne, ponieważ w przypadku danych, które przesyłasz
przez internet za pomocą zwykłego protokołu HTTP lub niezaszyfrowanego maila, musisz
założyć, że będą one odczytane przez nieuprawnione osoby. Możliwe, że jesteś paranoikiem
i nikt tak naprawdę nie przechwytuje i nie odczytuje Twoich danych. Musisz jednak wiedzieć,
że jeśli otwierasz stronę internetową o adresie rozpoczynającym się od znaków HTTP lub
wysyłasz wiadomość e-mail przy użyciu jakiejś bezpłatnej usługi poczty elektronicznej, wszelkie
dane wprowadzane na tej stronie lub przesyłane w mailu mogą zostać łatwo odczytane przez
osoby z całego świata. Szyfrowanie danych jest obecnie absolutnym wymogiem dla firm, które
korzystają z internetu. Mimo tych słów zdaję sobie sprawę, że ogromna większość firm nadal
nie używa żadnej technologii szyfrowania w swoich systemach mailowych, a więc po prostu
czeka na katastrofę.
Chociaż coraz lepiej chronimy ruch w przeglądarce internetowej, tradycyjnie nadal nie przywią-
zujemy dużej wagi do danych, które wydają się bezpieczne w naszej sieci firmowej. Źli ludzie nie
są jednak głupi i mają do wyboru bardzo duży zestaw sztuczek, aby za pomocą inżynierii
społecznej dobrać się do tych danych. Co się stanie, gdy znajdą się już wewnątrz naszej sieci?
W większości przypadków będą mieli wszystko podane na talerzu. Zdobądź dostęp do jednego
konta użytkownika lub komputera, a otrzymasz klucze do dużej części królestwa. Na szczęście
istnieje kilka technologii wbudowanych w system Windows Server 2019, które zostały zaprojek-
towane do zwalczania tego typu włamań, a także do ochrony informacji, nawet wówczas, gdy
znajdują się one w naszym centrum danych. Zapoznajmy się ze sposobem działania tych tech-
nologii, abyśmy mogli ich ewentualnie użyć w celu lepszej ochrony swoich danych.
Wraz z coraz szerszym użyciem chmury do przetwarzania danych coraz bardziej sensowny
staje się pomysł, aby technologię BitLocker wykorzystać również na serwerach. Gdy myślimy
o chmurze, tak naprawdę chcemy, by BitLocker był zainstalowany na maszynach wirtualnych,
niezależnie od tego, czy są to systemy klienckie czy serwerowe. Bez względu na to, czy prze-
chowujesz swoje maszyny wirtualne (VM) w prawdziwym środowisku chmurowym zapew-
nianym przez publicznego dostawcę usług w chmurze, czy też zarządzasz własną chmurą pry-
272
Rozdział 7. • Hardening i bezpieczeństwo
watną, w której użytkownicy tworzą własne maszyny wirtualne i zarządzają nimi, Twoje dane nie
będą w pełni bezpieczne, jeśli pliki VHD i VHDX wirtualnych dysków twardych nie zostaną za-
szyfrowane. Dlaczego? Ponieważ każdy, kto ma uprawnienia administracyjne na platformie
hosta wirtualizacji, może łatwo uzyskać dostęp do dowolnych danych znajdujących się na dys-
kach twardych serwera, nawet nie mając jakiegokolwiek dostępu do sieci lub konta użytkownika
w domenie. Wystarczy, że ktoś skopiuje plik VHDX (dysk twardy Twojego serwera) na pamięć
USB, przyniesie do domu, zamontuje ten wirtualny dysk we własnym systemie, i już ma dostęp
do wszystkich danych z serwera. Mamy tu duży problem ze spełnieniem wymogów ochrony
danych.
Użyj wirtualnego modułu TPM. Ta opcja pojawiła się w systemie Windows Server 2016. Mamy
obecnie możliwość przydzielania swoim wirtualnym serwerom wirtualnego modułu TPM,
którego można użyć do przechowywania kluczy odblokowujących! Te niesamowite wieści
oznaczają, że możemy w końcu zaszyfrować wirtualne maszyny niezależnie od tego, czy są one
umieszczone na fizycznych serwerach Hyper-V w naszym centrum danych czy w chmurze Azure.
Znacznie więcej szczegółów na temat chronionych maszyn wirtualnych podam w rozdziale 12.,
„Wirtualizacja centrum danych za pomocą hiperwizora Hyper-V”.
273
Windows Server 2019 dla profesjonalistów
Tak! Wszystkie te funkcje możemy uzyskać dzięki wykorzystaniu programowalnej sieci kompu-
terowej (SDN) i nowej opcji zwanej szyfrowanymi sieciami wirtualnymi. Ten punkt tak na-
prawdę jest tylko odnośnikiem, który kieruje Cię z powrotem do rozdziału 5., „Obsługa sieci
w Windows Server 2019”, na wypadek gdybyś pominął go podczas czytania tej książki. Omówili-
śmy już programowalne sieci komputerowe i ich nowe możliwości tworzenia oraz automatycz-
nego szyfrowania sieci wirtualnych, które łączą maszyny wirtualne oraz serwery hostów Hyper-V.
Jeśli więc ten pomysł jest dla Ciebie intrygujący, wróć do rozdziału 5.
Myślę, że wiele firm nie stosuje jednak systemu EFS, ponieważ to użytkownik musi podjąć
decyzję o tym, jakie dokumenty należy przeznaczyć do zaszyfrowania. Oznacza to w takim
razie, że użytkownicy powinni pamiętać o szyfrowaniu, czyli najpierw muszą zrozumieć, jak
ważne ono jest, aby mogli mu później poświęcić swój czas. Chciałem tu wspomnieć o systemie
EFS, jest bowiem wciąż obsługiwaną i działającą platformą, za pomocą której możesz szyfrować
dane, jednakże większość administratorów wybiera BitLockera jako lepsze rozwiązanie.
Brak odpowiedzialności ze strony użytkownika i scentralizowana platforma zarządzania spra-
wiają, że BitLocker znacząco wyprzedza system EFS. Mimo to obie technologie mogą
z pewnością współistnieć, zapewniając bezpieczeństwo danych na dwóch różnych poziomach,
co jest pewną zaletą, ponieważ nie musisz polegać tylko na jednej z dostępnych technologii
szyfrowania danych.
274
Rozdział 7. • Hardening i bezpieczeństwo
Protokoły IPsec
Wiele technologii szyfrowania wbudowanych w systemy operacyjne dotyczy danych, które zo-
stały zapisane i nie są już przenoszone. Ale co możemy zrobić ze swoimi danymi, które się prze-
mieszczają? Omawialiśmy już użycie protokołu SSL w witrynach HTTPS jako sposobu szyfro-
wania danych docierających do przeglądarki internetowej. Jak jednak chronić inne dane,
które nie są związane z przeglądarką?
Co mógłbym zrobić, jeśli nawet nie przejmuję się danymi wysyłanymi przez internet, ale jestem
zainteresowany ochroną ruchu, który może istnieć w mojej wewnętrznej sieci korporacyjnej?
Czy jest coś, co może mi pomóc w zwiększeniu bezpieczeństwa danych? Oczywiście.
Rola dostępu zdalnego nie koncentruje się niestety na obsłudze ruchu wewnątrz sieci. Gdy
masz na myśli VPN lub DirectAccess, bierzesz pod uwagę dane, które są przesyłane w interne-
cie. Co mógłbyś jednak zrobić, gdybyś po prostu chciał szyfrować ruch, który powstaje między
dwoma różnymi serwerami w tej samej sieci, a także taki, który pojawia się między komputerami
klienckimi w biurze a lokalnymi serwerami? W tej sytuacji staje się przydatna pewna znajomość
ustawień zasad IPsec, ponieważ dzięki nim możemy sprawić, by ruch w naszych sieciach
korporacyjnych był szyfrowany przy użyciu tego protokołu. Aby tak się stało, należy użyć
odpowiednich zasad.
275
Windows Server 2019 dla profesjonalistów
zabezpieczeniami. Zapora WFAS jest najbardziej uniwersalnym rozwiązaniem, ale nie zaw-
sze można jej użyć w starszych systemach dostępnych w Twoim środowisku.
Najpierw rzućmy okiem na starszą konsolę zasad IPsec. Zaczniemy od niej, ponieważ różne
dostępne opcje pomogą Ci zdobyć podstawową wiedzę pozwalającą na zrozumienie działania
protokołu IPsec wykorzystywanego między dwoma punktami końcowymi. W konsoli istnieją trzy
różne klasyfikacje zasad IPsec, które można przypisać do komputerów. Poświęćmy chwilę na wyja-
śnienie każdej z nich, ponieważ nazwy tych zasad mogą być nieco mylące. Przeanalizowanie zapre-
zentowanych opcji pomoże Ci zrozumieć, jak działają odpowiednie ustawienia w zaporze WFAS.
Zasada serwera
Nazwę „zasada serwera” należałoby prawdopodobnie zmienić na „zasada żądającego”, ponieważ
tak właśnie ona działa. Gdy komputer lub serwer wysyła żądanie sieciowe skierowane do innej
maszyny, żąda nawiązania połączenia sieciowego. Na komputerach żądających — tych które
inicjują ruch — właśnie w tym miejscu informujemy, że ma zastosowanie zasada serwera IPsec.
Zasada ta nakazuje danemu komputerowi lub serwerowi zażądać szyfrowania protokołem
IPsec sesji komunikacyjnej ustanowionej między maszyną inicjującą a komputerem zdalnym.
Jeśli zdalny system obsługuje protokół IPsec, tworzony jest tunel IPsec w celu ochrony ruchu
pojawiającego się między dwoma urządzeniami. Zasada serwera nie jest jednak bezkompromi-
sowa, więc jeśli komputer zdalny nie obsługuje protokołu IPsec, połączenie sieciowe nadal działa,
ale pozostaje niezaszyfrowane.
Zasada klienta
Nazwę „zasada klienta” należałoby zmienić na „zasada odpowiadającego”, ponieważ ma ona
zastosowanie na drugim końcu połączenia. Zasady klienta nie interesuje żądanie nawiązania
sesji IPsec — zależy jej tylko na odbiorze. Gdy komputer wysyła żądanie sieciowe do drugiej
maszyny i używa zasady serwera lub serwera bezpiecznego, a więc żąda nawiązania połączenia
IPsec, to drugie urządzenie musi mieć przypisaną zasadę klienta, aby zaakceptować i ustanowić
tunel IPsec. Zasada klienta odpowiada, zezwalając na szyfrowanie danych w sesji połączenia.
276
Rozdział 7. • Hardening i bezpieczeństwo
Po uruchomieniu przystawki możesz w niej zauważyć istniejące zasady IPsec, które zostały już
wcześniej utworzone. Możesz także rozpocząć tworzenie własnych zasad z użyciem opcji Create
IP Security Policy… (Utwórz zasadę zabezpieczeń IP…), dostępnej po kliknięciu prawym
przyciskiem myszy wiersza IP Security Policies (Zasady zabezpieczeń IP), znajdującego się
po lewej stronie okna. Spowoduje to uruchomienie kreatora, który skonfiguruje określone
zasady IPsec:
277
Windows Server 2019 dla profesjonalistów
Gdy pojawi się okno kreatora, będziesz mógł zauważyć, że dostępne opcje są zupełnie inne
niż te, które zostają wyświetlone podczas tworzenia nowej reguły zapory. W tym miejscu
ustanawiasz reguły bezpieczeństwa połączeń IPsec definiujące formę tuneli IPsec oraz okre-
ślające urządzenia lub adresy IP, które muszą być aktywne:
W tej książce nie możemy co prawda omówić szczegółowo wszystkich dostępnych opcji tego
kreatora, ale zdecydowanie zalecam zdobycie dodatkowej wiedzy na ten temat przez zapoznanie
się z artykułem opublikowanym w witrynie TechNet i dostępnym pod następującym adresem:
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-
-and-2012/hh831807(v=ws.11).
Hasła zabronione
Jeśli jesteś klientem usługi Azure Active Directory, masz już dostęp do tej nowej funkcji
zwanej hasłami zabronionymi. Pomysł jest następujący: firma Microsoft utrzymuje globalną
i wciąż aktualizowaną listę złych haseł (takich jak słowo hasło) i automatycznie blokuje
278
Rozdział 7. • Hardening i bezpieczeństwo
wszystkie ich warianty: H@sło, Hasło123 itd. Każde z tych potencjalnych haseł zostanie
całkowicie zablokowane, jeśli użytkownik kiedykolwiek spróbuje ich użyć. W interfejsie
usługi Azure Active Directory masz również możliwość dodawania własnych niestandardowych
haseł zabronionych. Po uruchomieniu funkcji blokowania haseł na platformie Azure można
ją następnie przenieść do lokalnego środowiska Active Directory, wdrażając usługę pośrednika
do ochrony haseł w Azure Active Directory (co to za nazwa!). Interfejs pośrednika między
lokalnymi kontrolerami domeny a usługą Azure Active Directory zapewnia, że hasła, które
użytkownicy próbują zapisać na lokalnych kontrolerach domeny, są zgodne z regułami określo-
nymi przez algorytmy haseł zabronionych na platformie Azure.
Aby skorzystać z tej technologii, musisz oczywiście być klientem usługi Azure Active Directory,
więc nie każdy może się nią cieszyć. Jeśli jednak używasz usługi Azure Active Directory
i synchronizujesz z nią swoje środowisko, ta technologia może nawet zostać zaimportowana
do starszych wersji lokalnych kontrolerów domeny, takich jak Windows Server 2012.
Zasada działania usługi ATA jest dość prosta do zrozumienia i tak logiczna, że wszyscy zastana-
wiają się, dlaczego tak długo zajęło jej wdrożenie. Powodem jest to, że uczenie się usługi ATA
i przetwarzanie przez nią danych jest bardzo zaawansowane. Tak — napisałem „uczenie
się”. Jest to najciekawsza funkcjonalność usługi ATA. Swoją sieć powinieneś skonfigurować
tak, aby cały ruch wychodzący z kontrolerów domeny oraz do nich wchodzący trafiał rów-
nież do systemu ATA. Najbezpieczniejszym sposobem spełnienia tego wymagania na poziomie
sieci jest uruchomienie klonowania portów (ang. port mirroring), aby wszystkie pakiety uży-
wane przez kontroler domeny też trafiły do usługi ATA, ale na poziomie, którego atakujący nie
byłby w stanie zobaczyć. Dzięki temu, nawet jeśli w Twojej sieci znajduje się włamywacz
i sprawdza, czy jakieś zabezpieczenia są aktywne, usługa ATA pozostaje niewidoczna dla je-
go wścibskich oczu. Jednak mniejsze firmy mogą nie być w stanie wykonać klonowania por-
tów lub jego wstępna konfiguracja może być dla nich zbyt skomplikowana. Dlatego istnieje dru-
ga opcja, polegająca na zainstalowaniu niewielkiego agenta ATA bezpośrednio na samych
kontrolerach domeny. Agent ten wysyła następnie niezbędne informacje do serwerów przetwa-
rzania usługi ATA.
279
Windows Server 2019 dla profesjonalistów
W każdym z tych dwóch przypadków serwery przetwarzania usługi ATA otrzymują wszystkie
dane i zaczynają wyszukiwać wzorce. Jeśli Beata korzysta z komputera stacjonarnego o nazwie
BEATA-PC i tabletu o nazwie BEATA-TABLET, usługa ATA rozpozna ten wzorzec działania
i powiąże konto użytkownika Beaty z tymi urządzeniami. Usługa zauważa również jej standar-
dowy styl pracy. Beata zwykle loguje się do komputera w przybliżeniu o 8 rano, a wychodzi
do domu około godziny 17. Zwykle korzysta z kilku serwerów plików i serwera SharePoint.
Po mniej więcej tygodniu gromadzenia i monitorowania danych usługa ATA ma całkiem
niezłe pojęcie o standardowym dniu pracy Beaty.
Pewnej nocy coś się dzieje. Usługa ATA zauważa kilka błędów podczas używania hasła do
konta Beaty. To samo w sobie może nie być zbyt ekscytujące, ale za chwilę Beata loguje się
do serwera terminali, którego zazwyczaj nie używa. Następnie jej dane uwierzytelniające są
używane do uzyskania dostępu w kontrolerze domeny. To wygląda na atak! Co możemy zrobić za
pomocą zwykłych narzędzi istniejących w usłudze Active Directory? Niewiele. Jeśli przejrzymy
dzienniki zdarzeń, możemy zauważyć wpisy o próbach wprowadzenia błędnego hasła. Na
tej podstawie moglibyśmy spróbować przeszukać dzienniki zdarzeń innych serwerów, aby
dowiedzieć się, do jakich systemów miało dostęp dane konto, ale tak naprawdę nie mieliby-
śmy powodu, aby podejrzewać coś poważniejszego. To mógłby jednak być początek bardzo
niebezpiecznego ataku, którego nigdy byśmy nie wykryli. Na szczęście usługa ATA wie lepiej,
co się dzieje.
Usługa ATA wciąż jest na tyle nowa, że większość społeczności IT nie miała jeszcze z nią do
czynienia, więc gorąco zachęcam, by to zmienić. Któregoś dnia może Ci pomóc ocalić własną
skórę. Poniżej przedstawiam zrzut ekranu interfejsu sieciowego usługi ATA, dzięki czemu
możesz zobaczyć, jak wygląda w nim wysyłanie informacji w stylu kanału społecznościowe-
go. Ten zrzut ekranu został wykonany podczas działania wersji demo produktu. W tym przy-
padku użytkownikowi na potrzeby prezentacji skradziono token protokołu Kerberos, a następnie
wykorzystano go na innym komputerze w celu uzyskania dostępu do niektórych poufnych
plików, do których powinien mieć dostęp tylko użytkownik Demi Albuz. Chociaż usługa
ATA nie zatrzymała tej aktywności, natychmiast (mam na myśli: w ciągu kilku sekund), zaalar-
mowała na kanale, że właśnie odbywa się atak Pass-the-Ticket:
280
Rozdział 7. • Hardening i bezpieczeństwo
Oto następny przykład, w którym użytkownik o nazwie Almeta Whitfield nagle uzyskał dostęp
do 16 komputerów, których zazwyczaj nie używa. To kolejne poważne ostrzeżenie, że coś
dzieje się z kontem użytkownika:
Aby uzyskać więcej informacji na temat usługi ATA lub rozpocząć korzystanie z niej, zapoznaj się
z następującym odnośnikiem: https://docs.microsoft.com/en-us/advanced-threat-analytics/what-is-ata.
281
Windows Server 2019 dla profesjonalistów
Niestety, takie praktyki były stosowane przez wiele lat w prawie każdej organizacji i do tej pory
nie zniknęły całkowicie. Nadal regularnie obserwuję, jak inżynierowie podczas konfigurowania
nowo tworzonych serwerów wykorzystują do wielu zadań ogólne konto administratora domeny.
Tak, mają oni dostęp do potencjalnie najważniejszego konta w sieci i używają go do codziennych
zadań. Co gorsza, każda czynność wykonywana za pomocą tego konta użytkownika staje się
anonimowa. Co mam na myśli? Gdy przy użyciu ogólnego konta administratora konfiguruję
nowy serwer lub wprowadzam zmiany w istniejącej maszynie, powoduje to powstanie poważne-
go problemu, ponieważ nikt nie może udowodnić, że to ja wykonałem te działania. Korzystanie
z ogólnych kont użytkowników to bardzo dobry sposób na uniknięcie odpowiedzialności
w przypadku, gdy coś się nie powiedzie. Nie zamierzam oczywiście sugerować, że zawsze
szukasz winnego, ale jeśli popsułbym coś na serwerze aplikacji, którym zazwyczaj nie admini-
struję, byłoby miło, gdyby osoby próbujące go naprawić mogłyby szybko znaleźć sprawcę
i dowiedzieć się, co takiego zrobił, a to na pewno pomogłoby w rozwiązaniu problemu. Istnieje
wiele powodów, dla których korzystanie z wbudowanego konta administratora powinno być
zabronione.
Jeśli chodzi o stronę klienta: czy Twoi użytkownicy naprawdę potrzebują praw administracyjnych
na swoich komputerach? Jesteś pewien? Prawdopodobnie znalazłbyś inne rozwiązanie. Obniże-
nie uprawnień użytkowników na ich komputerach do poziomu standardowego, lub nawet roz-
szerzonego, ale poniżej administratora lokalnego, może mieć ogromny wpływ na bezpie-
czeństwo systemów. Jeśli przed kontynuowaniem procedury instalowania oprogramowania
użytkownik musi jawnie wydać zgodę na użycie uprawnień administratora, zmniejsza się
prawdopodobieństwo zainfekowania systemu przez wirusy. Taki sposób pracy pozwala również
zachować wszystkie komputery w znacznie spójniejszym stanie, ponieważ nie będą one zawierać
282
Rozdział 7. • Hardening i bezpieczeństwo
283
Windows Server 2019 dla profesjonalistów
Bez względu na to, czy zdecydujesz się rozdzielić dostęp administracyjny na poziomie konta
użytkownika czy komputera, pamiętaj o następującej prostej zasadzie: nigdy nie zarządzaj usługą
Active Directory z tego samego miejsca, z którego przeglądasz Facebooka. Myślę, że jest to cał-
kiem dobre podsumowanie powyższej analizy.
Nie loguj się w taki sposób nawet w witrynach, którym ufasz. Atak typu man-in-the-middle
lub przejęcie strony internetowej może łatwo uszkodzić system serwerowy. Pamiętaj, że o wiele
łatwiej jest odtworzyć komputer użytkownika niż sam serwer.
284
Rozdział 7. • Hardening i bezpieczeństwo
Myśląc „po staremu”, moglibyśmy łatwo potraktować JEA jako działanie polegające na umożli-
wieniu użytkownikom uzyskania dostępu administracyjnego w programie PowerShell, nawet
jeśli nie mają oni takiego pełnego dostępu do samego systemu operacyjnego. Jednak opcja
JEA jest czymś więcej. Pozwala ona uzyskać użytkownikom dostęp administracyjny tylko do
określonych instrukcji i poleceń cmdlet programu PowerShell. Uprawnienia do pozostałych
składników PowerShell pozostają na standardowym poziomie.
Pójdźmy o krok dalej. Być może jesteś administratorem serwera DNS i wiesz, że czasami
trzeba restartować usługi DNS. Ponieważ przyjmujemy sposób pracy typowy dla zasad JEA
i RBAC, nie powinieneś mieć uprawnień administracyjnych w systemie operacyjnym serwera
DNS, ale będziesz mieć uprawnienia oparte na JEA w programie PowerShell, co pozwoli Ci na
uruchamianie narzędzi, których potrzebujesz w swojej pracy. Ponowne uruchomienie usługi
DNS wymaga dostępu do polecenia cmdlet Restart-Service, zgoda? Ale czy to nie oznacza, że
będę mógł zrestartować dowolną usługę na serwerze i przez to potencjalnie będę mógł wykonać
różne działania, które nie należą do moich obowiązków? Opcja JEA jest tak sprytna, że może sobie
poradzić także z takim scenariuszem. Podczas konfigurowania poziomu dostępu, jaki musi uzy-
skać użytkownik, możesz definiować szczegółowe uprawnienia dotyczące poszczególnych
poleceń cmdlet. W przypadku naszego przykładu możesz co prawda zapewnić użytkownikowi
dostęp do polecenia cmdlet Restart-Service, ale dać mu tylko uprawnienia do restartowania
określonych usług, takich jak te, które są związane z DNS. Jeśli użytkownik spróbuje użyć pole-
cenia Restart-Service dla innej usługi, choćby WINrm, zakończy działanie niepowodzeniem.
Podsumowanie
Najważniejszym zadaniem w tym roku dla wielu szefów działów IT jest zapewnienie bezpie-
czeństwa. Bezpieczeństwa komputerów klienckich, bezpieczeństwa sieci, bezpieczeństwa
zasobów w chmurze i, co najważniejsze, bezpieczeństwa danych. Nie ma jednego uniwersalnego
rozwiązania, które zabezpieczy całą Twoją infrastrukturę. Zapewnienie odpowiedniego poziomu
285
Windows Server 2019 dla profesjonalistów
bezpieczeństwa zasobów wymaga użycia wielu składników i różnych technologii, które współ-
pracują ze sobą. Celem tego rozdziału było przedstawienie przykładowych środków bezpieczeń-
stwa i technologii, które można wykorzystać w dowolnym środowisku, a także wskazanie na wy-
sokie znaczenie bezpieczeństwa w dzisiejszym świecie IT. Zagadnienia dotyczące prywatności
i bezpieczeństwa należy analizować w przypadku każdego rozwiązania technologicznego, które
instalujemy. Zbyt często zdarza się, że w organizacjach są wdrażane nowe aplikacje bez brania
pod uwagę ich poziomu bezpieczeństwa. Aplikacje, które przesyłają lub przechowują dane nie-
zaszyfrowane, wymagają modyfikacji lub odinstalowania. Ochrona informacji ma zasadnicze
znaczenie dla trwałości naszych firm.
Nie możemy zakończyć dyskusji o bezpieczeństwie w systemie Windows Server 2019 bez
omówienia domyślnej opcji instalacji systemu operacyjnego, którą w tej książce do tej pory
ignorowaliśmy. Przejdź więc do następnej strony, aby mieć możliwość zapoznania się z bezob-
sługową i bardziej odporną na ataki wersją systemu Windows Server zwaną Server Core.
Pytania
1. Jak nazywa się produkt chroniący przed atakami typu malware dostępny w systemie
Windows Server 2019?
2. Który profil zapory Windows Defender powinien być aktywny, gdy komputer
przyłączony do domeny znajduje się w korporacyjnej sieci LAN?
3. Jakie są, oprócz profilu domeny, dwa możliwe do wykorzystania profile zapory
Windows Defender?
4. Jaki typ protokołu należy określić w regule wejściowej podczas tworzenia reguły
zapory, która zezwala na komunikację z poleceniem ping dla protokołu IPv4?
5. Jaki jest najłatwiejszy sposób na przekazanie wszystkim pracownikom
znormalizowanych reguł zapory Windows Defender?
6. Jak nazywamy maszyny wirtualne, których pliki wirtualnego dysku twardego
zostały zaszyfrowane?
7. Jak nazywa się technologia firmy Microsoft, która analizuje dane przesyłane
do kontrolera domeny w celu identyfikacji ataków typu pass-the-hash i pass-the-ticket?
286
8
Server Core
Kochanie, zmniejszyłem serwer! Kolejny rozdział, kolejne odwołanie do starego filmu. Przez
ostatnie 20 lat przyglądaliśmy się rozwojowi systemów operacyjnych firmy Microsoft. Taki roz-
wój może mieć dobry skutek — nowe funkcje i ulepszenia ułatwiają nam życie. Przynosi on jed-
nak także niedogodności, na przykład zbyt duże struktury plików i interfejsy graficzne powodu-
jące nadmierne zużycie pamięci. Jeśli porównałbyś systemy operacyjne Windows oraz Windows
Server i wyznaczył ich wielkość na podstawie takich czynników, jak zużycie miejsca na dysku
i wymagania dotyczące pamięci, okazałoby się, że każda nowa wersja jest obszerniejsza od
poprzedniej — wymagałaby nieco więcej mocy obliczeniowej i miejsca na dysku twardym.
Tak było prawdopodobnie do momentu wydania wersji Windows 8 i Server 2012. W celu ob-
niżenia wymagań związanych z zasobami zostały podjęte pewne działania, co było mile widzianą
zmianą. Ale zmiana ta nie była zbyt dramatyczna. Mam na myśli choćby to, że nowa wersja
Windows Server 2019 wciąż zawiera w katalogu C:\Windows\System32 wszystkie podstawowe
pliki. Nie chcę nawet wspominać o tym, co znajduje się w rejestrze. Oczywiście, nadal można
coś usunąć, ale na pewnym poziomie nowe systemy operacyjne wciąż są tworzone na podstawie
ich starszych wersji.
Teraz coś się być może zmieniło. W tym rozdziale omówimy alternatywny sposób korzysta-
nia z systemu Windows Server 2019, na znacznie mniejszą skalę. Opcja Server Core istnieje
już od dłuższego czasu, ale nie znam wielu osób, które faktycznie z niej korzystają. Ta zminiatu-
ryzowana wersja systemu Server 2019 została stworzona, aby udostępnić mniej wymagającą,
wydajniejszą i bezpieczniejszą platformę serwerową.
Dlaczego powinniśmy zacząć korzystać z wersji Server Core? Ponieważ firma Microsoft uważa,
że serwery bez graficznego interfejsu użytkownika to przyszłość. Czy uwierzysz, że we wcze-
snych wersjach systemu Windows Server 2016 w ogóle nie istniała opcja Desktop Experience?
W takich wersjach nie mogłeś uruchomić w pełni graficznego interfejsu, z wyjątkiem niewielkiej
pseudopowłoki, którą można było zainstalować na serwerze Core. Firma Microsoft otrzymała
z tego powodu tyle słów krytyki, że opcja pełnego, graficznego pulpitu została dodana już
w jednej z wersji Technical Preview. Mimo to prawdopodobnie zauważyłeś, że Server Core
stał się domyślną opcją instalacji każdego systemu operacyjnego Windows Server. Pamiętasz, że
w jednym z początkowych rozdziałów tej książki analizowaliśmy faktyczną instalację systemu Se-
rver 2019? Domyślną opcją instalacji nie jest już Desktop Experience. Zamiast niej najważniej-
szą opcją na poniższym zrzucie ekranu jest wersja Server Core z wierszem poleceń:
288
Rozdział 8. • Server Core
Istnieją też inne oczywiste zalety korzystania z tej uproszczonej, ograniczonej wersji systemu
operacyjnego. Server Core zajmuje mniej miejsca na dysku twardym, a oprócz tego charaktery-
zuje się mniejszym zużyciem pamięci oraz mniejszą podatnością na ataki od tradycyjnego,
pełnowymiarowego serwera. Teraz już wiesz, dlaczego przed chwilą tak kategorycznie stwier-
dziłem, że wszyscy powinniśmy zacząć używać systemu Server Core! Weźmy pod uwagę wiel-
kość serwera. Podstawowa wersja systemu Server 2019 Standard z uruchomioną opcją Desktop
Experience zajmuje około 10 GB na dysku twardym. Przed chwilą to sprawdziłem — odczyta-
łem właściwości swojego wirtualnego pliku dysku twardego używanego przez serwer CA1.
Ma on zainstalowany standardowy system Windows Server 2019 z pełną opcją Desktop
Experience. Po jakimś czasie ukończyłem instalację swojego pierwszego systemu operacyjnego
Server Core i okazało się, że plik VHDX używany przez nową maszynę wirtualną ma wielkość
tylko 5,8 GB, co oznacza 40% mniej miejsca w porównaniu z poprzednim rozmiarem. Przedsta-
wia to poniższy zrzut ekranu:
289
Windows Server 2019 dla profesjonalistów
Teraz nie jest to już dopuszczalne! Możliwość zmiany wersji serwera została zlikwidowana.
Powtarzam, taka operacja nie jest dostępna. Obecnie musisz się dokładnie zastanowić, jaką wer-
sję systemu operacyjnego chciałbyś zainstalować. Jeśli wdrożysz nowy serwer w wersji Server
Core, będzie on musiał pozostać w tej odmianie przez cały okres jego użytkowania.
Czy naprawdę widać tu okno wiersza poleceń z komunikatem Press Ctrl-Alt-Del to unlock
(Naciśnij Ctrl+Alt+Del, aby odblokować)? Tak, zgadza się. Gdy administrator widzi je po
raz pierwszy, wywołuje to zwykle u niego stłumiony śmiech. W każdym razie ja tak zarea-
gowałem. Ten ekran przypomniał mi trochę kodowanie prostych gier na kalkulatorach TI-83
w liceum matematycznym. Naciśnij klawisze Ctrl+Alt+Del, a zostaniesz poproszony o zmianę
hasła administratora, co jest tym samym zadaniem, które zawsze musi zostać wykonane na sa-
mym początku w wersjach graficznych systemu Windows Server. Wyjątkiem oczywiście jest
to, że wszystko wykonujesz z poziomu okna wiersza poleceń, wyłącznie z użyciem klawiatury.
Po formalnym zalogowaniu się do serwera zostanie uruchomiony klasyczny wiersz poleceń
C:\Windows\system32\cmd.exe, a migający kursor będzie oczekiwać na instrukcje:
Co ciekawe, okno wiersza poleceń nie zajmuje całego ekranu. Oczywiście, za okno z czar-
nym tłem odpowiada program cmd.exe. Jest to ważna uwaga, ponieważ można stwierdzić, że
sam system operacyjny Core jest czymś więcej niż tylko wierszem poleceń, a cmd.exe jest wy-
290
Rozdział 8. • Server Core
łącznie aplikacją, która uruchamia się automatycznie po zalogowaniu. Możesz nawet użyć myszy
i zmienić rozmiar okna wiersza poleceń lub go przesunąć. Zastanawiam się, czy (i kiedy) w jego
miejsce pojawi się okno programu PowerShell, które stanie się domyślnym interfejsem.
Jeszcze bardziej interesujące jest odkrycie, że z okna wiersza poleceń można uruchamiać
niektóre aplikacje używające interfejsu graficznego. Na przykład mógłbyś otworzyć Notatnik
i korzystać z niego zarówno przy użyciu klawiatury, jak i myszy — tak jak w przypadku dowolnej
innej wersji systemu Windows. Jeśli więc masz otwarty Notatnik, stwórz notatkę, a następnie
zapisz ją. Widzimy, że na dysku istnieje prawdziwa struktura plików i zestaw względnie normal-
nie wyglądających folderów systemowych. Tak więc Server Core nie jest niczym magicznym,
lecz faktycznie prawdziwym systemem operacyjnym Windows Server, umieszczonym w mniej-
szym i bezpieczniejszym pudełku:
PowerShell
Jeśli więc chodzi o zarządzanie systemem Server Core, możesz oczywiście pracować bezpośred-
nio z konsoli i używać wiersza poleceń, który wydaje się domyślnym interfejsem prezentowanym
przez system operacyjny. W rzeczywistości jednak polecenia i funkcje dostępne z poziomu
tego programu będą ograniczone. Jeśli jesteś zalogowany do konsoli systemu Windows Server
Core, o wiele bardziej sensowne będzie zastosowanie wiersza poleceń tylko w jednym celu,
a mianowicie do wywołania programu PowerShell, którego następnie możesz użyć do wykony-
wania wszelkich koniecznych zadań na tym serwerze. Najszybszym znanym mi sposobem,
aby przejść do okna programu PowerShell z podstawowego wiersza poleceń, jest po prostu
napisanie powershell i naciśnięcie klawisza Enter. Spowoduje to przeniesienie możliwości pro-
gramu PowerShell bezpośrednio do istniejącego okna wiersza poleceń, dzięki czemu będzie
291
Windows Server 2019 dla profesjonalistów
można rozpocząć używanie nowych instrukcji i poleceń cmdlet, które są wymagane, by rzeczy-
wiście można było zarządzać serwerem:
W przypadku wersji Server Core, w której jest dostępny jedynie interfejs wiersza poleceń,
poniższe polecenia cmdlet są niezbędne do zdefiniowania połączenia sieciowego na nowym
serwerze:
Get-NetIPConfiguration: wyświetla bieżącą konfigurację sieci.
Get-NetIPAddress: wyświetla bieżące adresy IP.
Get-NetIPInterface: wyświetla listę z informacjami o kartach sieciowych i ich
numerycznych identyfikatorach interfejsów. Identyfikator będzie przydatny podczas
definiowania adresu IP, ponieważ musimy być pewni, że PowerShell przypisze
go do właściwej karty sieciowej.
New-NetIPAddress: służy do konfigurowania nowego adresu IP.
Set-DNSClientServerAddress: polecenie jest używane do konfigurowania ustawień
serwera DNS we właściwościach karty sieciowej.
292
Rozdział 8. • Server Core
Gdy znamy już numer interfejsu, użyjmy dwóch poleceń, które skonfigurują ustawienia ad-
resu IP w karcie sieciowej. Pierwsze polecenie przypisze karcie adres IP, prefiks maski podsieci
i bramę domyślną, drugie zaś przypisze jej adresy serwerów DNS:
New-NetIPAddress -InterfaceIndex 4 -IPAddress 10.10.10.12 -PrefixLength
24 -DefaultGateway 10.10.10.1
Set-DNSClientServerAddress -InterfaceIndex 4 -ServerAddresses
10.10.10.10,10.10.10.11
293
Windows Server 2019 dla profesjonalistów
Wszystkie ustawienia IP powinny być już zapisane w karcie sieciowej. Sprawdźmy to za pomocą
polecenia Get-NetIPConfiguration, jak pokazano na poniższym zrzucie ekranu. Alternatywnie
możesz użyć starego, dobrego polecenia ipconfig, ale czy jest w tym jakaś frajda?
Pamiętaj, że konfigurowanie karty sieciowej zawsze można uprościć przez użycie rezerwa-
cji DHCP. Gdybyś w systemie Server Core uruchomił proste polecenie ipconfig /all,
a następnie zanotował adres MAC karty sieciowej, mógłbyś go użyć do utworzenia rezer-
wacji w usłudze DHCP i w ten sposób przypisać określony adres IP nowemu serwerowi.
Aby zmienić nazwę serwera, musimy użyć polecenia PowerShell. Przejdź do okna z programem
PowerShell, a następnie po prostu wykonaj polecenie cmdlet Rename-Computer, aby ustalić
nową nazwę serwera. Zdecydowałem się przypisać swojemu nowemu serwerowi nazwę
WEB4, ponieważ później zainstalujemy na nim rolę Web Services, aby można było zarządzać
witryną internetową. Pamiętaj, że po zmianie nazwy komputera (podobnie jak w wersji graficznej
294
Rozdział 8. • Server Core
systemu Windows Server) konieczne będzie ponowne uruchomienie systemu, aby modyfikacje
zostały wprowadzone. Po wykonaniu polecenia Rename-Computer możesz więc wydać następne,
Restart-Computer, aby ponownie uruchomić maszynę:
Rename-Computer WEB4
Restart-Computer
Dołączanie do domeny
Kolejnym logicznym krokiem jest oczywiście dołączenie do domeny. Są to standardowe
funkcje, które wykonałbyś w swoim środowisku na każdym nowym serwerze. Obecnie uży-
wamy ich jednak w sposób, z którym być może nigdy wcześniej się nie spotkałeś, ponieważ
wszystko jest wykonywane wyłącznie z poziomu wiersza poleceń i interfejsów PowerShell.
Aby dołączyć do domeny maszynę z systemem Server Core, przejdź do okna programu Po-
werShell, a następnie użyj polecenia cmdlet Add-Computer. Zostaniesz poproszony o podanie
nazwy domeny i poświadczeń pozwalających na dołączenie do niej. Są to te same informa-
cje, które musisz podać, jeśli dołączasz do domeny serwer zawierający graficzną wersję
systemu Windows Server 2019. Najpierw musisz podać poświadczenia potrzebne do przyłą-
czenia do domeny:
295
Windows Server 2019 dla profesjonalistów
Alternatywnie w celu określenia nazwy domeny można użyć parametru -DomainName w połącze-
niu z oryginalnym poleceniem cmdlet Add-Computer. Oczywiście po dołączeniu do domeny
musisz ponownie uruchomić komputer, aby sfinalizować tę zmianę.
Otwórz okno programu PowerShell, będąc zalogowanym w innym systemie — może to być
serwer, a nawet system operacyjny klienta. PowerShell został oczywiście uruchomiony w kontek-
ście komputera, na którym obecnie jesteś zalogowany, więc wszelkie polecenia dotyczące
naszego serwera i wydawane za pomocą tego programu będą powodowały wyświetlenie błęd-
nych odpowiedzi z systemu lokalnego. Aby rzeczywiście podłączyć program PowerShell do
instancji systemu Server Core o nazwie WEB4, wydam odpowiednie polecenie. Po jego uru-
chomieniu pojawi się monit o podanie hasła do konta administratora. Następnie będę mógł
wykonywać zdalne polecenia PowerShell w naszym systemie Server Core:
Enter-PSSession -ComputerName WEB4 -Credential administrator
296
Rozdział 8. • Server Core
Gdy z naszym systemem Server Core nawiązaliśmy już połączenie poprzez program PowerShell,
możemy bezpośrednio z niego wykonywać niemalże wszystkie działania na zdalnym serwerze.
297
Windows Server 2019 dla profesjonalistów
Menedżer serwera
Chociaż początkowo konfiguracja serwera będzie modyfikowana za pomocą interfejsu wiersza
poleceń dostępnego w konsoli, po podłączeniu go do sieci bardziej korzystne będzie użycie
innych narzędzi. Prawdopodobnie istnieją polecenia cmdlet programu PowerShell, które
pozwalają zarządzać dowolnym składnikiem nowego serwera, ale dla większości z nas to rozwią-
zanie nie jest zbyt przyjazne. Jesteśmy jednak przyzwyczajeni do korzystania z narzędzi gra-
ficznych, takich jak Menedżer serwera. Wiesz już, że Server Manager może być używany do
administrowania wieloma systemami, zarówno lokalnymi, jak i zdalnymi, ponieważ jest czę-
ścią scentralizowanego mechanizmu zarządzania stworzonego przez firmę Microsoft. Funkcja
zdalnego zarządzania dostępna w Menedżerze serwera, którą zaprezentowaliśmy wcześniej
w tej książce, pozwala korzystać nie tylko z serwerów Windows opartych na graficznym interfej-
sie użytkownika, ale także z instancji Server Core.
Chcę zainstalować rolę na nowym serwerze WEB4. Mógłbym to zrobić bezpośrednio z konsoli
za pomocą poleceń PowerShell, ale zamiast tego spróbuję dodać maszynę WEB4 do Menedżera
serwera, który jest uruchomiony na innym moim serwerze. Mam zatem zamiar zalogować
się do serwera WEB3 i z tego miejsca użyć aplikacji Server Manager. Jak już wiesz, mogę
dodać nowy serwer do Menedżera serwera za pomocą menu Manage/Add Servers (Zarzą-
dzaj/Dodaj serwery):
Po dodaniu nowego serwera WEB4 do listy zarządzanych komputerów będzie można nim
zarządzać z poziomu Menedżera serwera. Chciałbym jednak wrócić do swoich pierwotnych
zamiarów i zainstalować rolę serwera WWW (IIS) na serwerze WEB4. Jeśli w Menedżerze
serwera użyję teraz funkcji Add roles and features (Dodaj role i funkcje), będę mógł wybrać
serwer WEB4 (zobacz pierwszy rysunek na następnej stronie).
Podobnie jak w przypadku każdego innego serwera wyposażonego w pełną wersję Desktop
Experience systemu Windows Server, możemy przejść do kreatora instalacji roli, a rola serwera
WWW zostanie zainstalowana na maszynie WEB4.
298
Rozdział 8. • Server Core
operacyjnym klienta. W naszym przypadku mamy już maszynę z systemem Windows 10, na któ-
rej wcześniej zainstalowałem RSAT, więc zaloguję się na nią i dodam serwer WEB4 do interfejsu.
Właśnie zakończyło się poprzednie zadanie, polegające na zainstalowaniu roli IIS na naszym
serwerze, więc powinienem być w stanie zobaczyć ją dostępną w programie RSAT po podłącze-
niu się do WEB4.
Jeśli nie korzystałeś wcześniej z narzędzi RSAT i nie zapoznałeś się z odpowiednimi informa-
cjami zamieszczonymi w rozdziale 2., powinieneś wiedzieć, że nie istnieje aplikacja o nazwie
„Narzędzia administracji zdalnej serwera”. Po zakończeniu instalacji RSAT otwórz menu
Start, a zobaczysz program o nazwie Server Manager (Menedżer serwera). W taki właśnie
sposób można wykorzystać klienta Windows 10 do zdalnego zarządzania instancjami Windows
Server 2019:
Wykonaj dokładnie taką samą operację jak w przypadku interfejsu Menedżera serwera dla
systemu Windows Server 2019 — użyj kreatora, aby dodać inne serwery w celu zarządzania
nimi. Po dodaniu w systemie Windows 10 serwera WEB4 do Menedżera serwera mogę zoba-
czyć usługę IIS na pulpicie nawigacyjnym. Oznacza to, że usługa, która działa na serwerze
WEB4, jest widoczna, dostępna i konfigurowalna bezpośrednio z mojego komputera stacjonar-
nego z systemem Windows 10. W przypadku większości zadań, które powinienem wykonać
na serwerze WEB4, nigdy nie będę musiał się logować do jego konsoli.
299
Windows Server 2019 dla profesjonalistów
Jeśli kliknę prawym przyciskiem myszy nazwę serwera WEB4 w konsoli RSAT, zauważę, że ist-
nieje wiele dostępnych funkcji, których mogę użyć do zarządzania zdalną instancją Server Core:
Okazuje się, że istnieją sposoby pozwalające na korzystanie z narzędzi GUI w celu zarządzania
instancjami Windows Server bez interfejsu graficznego. To tylko kwestia potraktowania serwerów
jako bezobsługowych, ponieważ narzędziom takim, jak PowerShell lub Server Manager,
w rzeczywistości jest wszystko jedno, czy maszyna, którą obsługują, jest lokalna czy zdalna.
Procesy i narzędzia są takie same w obu przypadkach. Na poprzednim zrzucie ekranu widać, że
mógłbym nawet kliknąć opcję menu, aby uruchomić zdalne połączenie PowerShell z serwerem
WEB4. Spowodowałoby to natychmiastowe wyświetlenie okna programu PowerShell, który
jest zdalnie połączony z serwerem WEB4, mimo że obecnie jestem zalogowany tylko na
stacji roboczej z systemem Windows 10. Jest to nawet prostsze niż wydanie polecenia cmdlet
Enter-PSSession z poziomu programu PowerShell.
300
Rozdział 8. • Server Core
Jak można przywrócić normalną pracę tego serwera? Czy musimy go koniecznie zrestarto-
wać? To przerwałoby działanie wszystkich uruchomionych ról i zatrzymało ruch sieciowy, za
pomocą którego ten serwer obsługuje zdalnych użytkowników, więc oczywiście nie jest to
idealne rozwiązanie.
Dzięki użyciu narzędzia Task Manager (Menedżer zadań) można w prosty sposób uruchomić
nową instancję. Po omyłkowym zamknięciu bieżącego okna wiersza poleceń, mając przed
oczami pusty, czarny ekran konsoli Server Core, możesz nacisnąć sekwencję klawiszy
Ctrl+Alt+Del, a zostaną wyświetlone opcje zaprezentowane na poniższym zrzucie ekranu:
Wyświetlona zostanie lista kilku funkcji, które możesz wykonać, co jest całkiem miłym pomy-
słem. Jeśli jednak chcesz przywrócić okno wiersza poleceń, użyj klawiszy strzałek, aby podświe-
tlić wiersz Task Manager, a następnie naciśnij klawisz Enter. Spowoduje to uruchomienie
menedżera zadań, którego wszyscy znamy. Kliknij łącze More details (Więcej szczegółów),
aby udostępnić więcej szczegółów, a następnie z menu File (Plik) wybierz opcję Run new task
(Uruchom nowe zadanie):
W oknie dialogowym Create new task (Utwórz nowe zadanie) wprowadź nazwę cmd i naciśnij
przycisk OK:
301
Windows Server 2019 dla profesjonalistów
Za pomocą tego okna dialogowego możesz także uruchomić dowolną inną aplikację. Jeśli
zamiast otwierać wiersz poleceń, chciałbyś przejść bezpośrednio do okna PowerShell, mógłbyś
po prostu w polu edycji wpisać powershell, a zostałoby ono otwarte:
302
Rozdział 8. • Server Core
Zostały one jednak zepchnięte na dalszy plan przez nowo wprowadzoną aplikację Windows
Admin Center. Wiesz już, jakie są jej możliwości związane z centralnym zarządzaniem całą in-
frastrukturą serwera. Powinienem jednak podkreślić, że aplikacja WAC może obsługiwać
serwery zarówno z interfejsami graficznymi, jak i bez nich.
Na szczęście nie trzeba się uczyć na pamięć całego podręcznika z poleceniami PowerShell,
aby skorzystać z wersji Server Core! Aplikacja Windows Admin Center traktuje instancje
Server Core tak samo jak serwery używające graficznego interfejsu. Po prostu działa!
Gdy po raz pierwszy będziemy się łączyć z serwerem WEB4 za pośrednictwem konsoli
WAC, w rzeczywistości nic nie będzie wskazywać na to, że mamy do czynienia z instancją
Server Core, ponieważ dostępne są wszystkie graficzne narzędzia i programy użytkowe (zo-
bacz pierwszy rysunek na następnej stronie).
Wypróbujmy kilka opcji dostępnych w aplikacji Windows Admin Center. W górnej części
ekranu znajdują się kontrolki, za pomocą których możesz w prosty sposób wyłączyć lub zrestar-
tować serwer. Jest to o wiele łatwiejsze i szybsze niż ustanowienie zdalnego połączenia Po-
werShell w celu wydawania poleceń, by uzyskać ten sam wynik. Na ekranie głównym (po
przewinięciu go w dół) są również wyświetlane wskaźniki wydajności, pokazujące użycie
takich zasobów, jak CPU (Procesor), Memory (Pamięć) i Networking (Sieć). Aby mieć możliwość
zobaczenia tych statystyk bez zainstalowanej aplikacji WAC, musiałbyś się zalogować bez-
pośrednio do serwera WEB4 i uruchomić Menedżera zadań (zobacz drugi rysunek na na-
stępnej stronie).
Opuśćmy teraz ten jakże przydatny ekran główny i spróbujmy kliknąć jedno z narzędzi
znajdujących po lewej stronie ekranu, na przykład Events (Zdarzenia). Gdybyś chciał roz-
wiązać problem, nie mając aplikacji WAC, musiałbyś się zalogować na maszynę Server Core
i przejrzeć jej dzienniki zdarzeń. W jaki jednak sposób wykonałbyś to z poziomu interfejsu
wiersza poleceń? Przypuszczam, że po zalogowaniu się do konsoli Server Core użyłbyś Mene-
dżera zadań w celu uruchomienia programu EventVwr. Wykorzystanie aplikacji WAC i kliknię-
cie opcji Events jest jednakże znacznie łatwiejsze (zobacz kolejny zrzut na kolejnej stronie).
303
Windows Server 2019 dla profesjonalistów
304
Rozdział 8. • Server Core
Innym przykładem przydatnej (szczególnie podczas pracy z instancją Server Core) funkcji
udostępnianej w aplikacji WAC jest opcja Files (Pliki), która służy do poruszania się po strukturze
plików i folderów dysku twardego. Istnieje również inna funkcja, o nazwie Firewall (Zapora),
pozwalająca na tworzenie lub usuwanie reguł zapory Windows, a także narzędzie Network
(Sieć), za pomocą którego można konfigurować adresy IP.
W aplikacji Windows Admin Center jest dostępnych jeszcze wiele innych narzędzi, a ostatnim,
na które chciałbym zwrócić uwagę, jest kolejne powtórzenie opcji PowerShell (podobnej do
tej, którą możemy napotkać w Menedżerze serwera). Przycisk PowerShell wywoła i wyświetli
zdalne połączenie programu PowerShell z instancją Server Core. Będzie on przydatny, jeśli
w aplikacji WAC nie będziesz mógł znaleźć potrzebnej Ci funkcji i trzeba będzie wykonać
z wiersza poleceń bardziej niskopoziomowe instrukcje. Najlepsze jest jednak to, że nie będziesz
wcale musiał uruchamiać samego programu PowerShell! Wszystko odbędzie się wyłącznie
w oknie przeglądarki internetowej (zobacz pierwszy rysunek na następnej stronie).
Istnieje jeszcze wiele innych funkcji dostępnych z poziomu aplikacji Windows Admin Center,
na przykład edycja rejestru, dodawanie ról i funkcji, sprawdzanie stanu usług, a nawet łączenie
z usługą Windows Update. Najwyższy czas zacząć używać aplikacji WAC!
Narzędzie Sconfig
A teraz cofnijmy się o krok i przetestujmy narzędzie dostępne w środowisku Server Core,
które jest jednak na ogół przydatne jedynie podczas pracy w konsoli serwera. Jak już wiesz,
za każdym razem, gdy uruchamiasz środowisko Server Core, trafiasz do okna wiersza poleceń,
z którego następnie możesz uruchomić program PowerShell i użyć tradycyjnych poleceń
cmdlet systemu Windows w celu wykonania czynności konfiguracyjnych.
305
Windows Server 2019 dla profesjonalistów
Alternatywnie mógłbyś jednak wykorzystać program użytkowy o nazwie Sconfig. Jest to zestaw
narzędzi (coś w rodzaju skrótów w wierszu poleceń) służących do implementacji podstawowych
składników potrzebnych do przełączenia nowego serwera w tryb online i podłączenia go do
sieci. Program Sconfig został tak zaprojektowany, by można go było uruchamiać zaraz po
zainstalowaniu systemu operacyjnego. Umożliwia on przeprowadzenie wstępnej konfigura-
cji nowo utworzonego serwera, dzięki czemu można następnie rozpocząć korzystanie z jednego
z bardziej niezawodnych interfejsów administracyjnych, takich jak Menedżer serwera lub
Windows Admin Center.
Po uruchomieniu nowej instancji Server Core znajdziesz się w oknie wiersza poleceń, które
oczekuje na instrukcje. Wprowadź nazwę sconfig i naciśnij klawisz Enter; ekran powinien
szybko zmienić kolor z czarnego na niebieski i wyświetlić następujące informacje (zobacz
pierwszy rysunek na następnej stronie).
Opcje zawarte w narzędziu Sconfig są dość oczywiste, jednak postaram się przeanalizować
dostępne w nim typowe zadania. Oczywiście każde z nich można zrealizować za pomocą
poleceń cmdlet programu PowerShell, ale uważam, że łatwiej do tego celu wykorzystać
aplikację Sconfig. Najczęstsze zastosowania tego interfejsu to konfiguracja początkowych
ustawień sieciowych przez naciśnięcie klawisza 8 lub skonfigurowanie nazwy serwera i dodanie
go do domeny za pomocą opcji 2 i 1.
Naciskam więc klawisz 2, a następnie Enter, co powoduje pojawienie się monitu z prośbą
o podanie nazwy nowego komputera. Jest to niezwykle szybki sposób pozwalający na skonfi-
gurowanie nazwy serwera w nowo utworzonej maszynie Server Core. Ponieważ tak naprawdę
nie chcę zmieniać nazwy WEB4, nic nie wprowadzę i po prostu nacisnę klawisz Enter, aby
powrócić do ekranu głównego.
306
Rozdział 8. • Server Core
Najpierw wybrałem indeks karty sieciowej, który wynosi 1. Zostały wyświetlone dodatkowe
ustawienia tej karty, a także opcje pozwalające na zmianę konfiguracji. Ponowne wybranie
opcji 1, o nazwie Set Network Adapter Address (Ustaw adres karty sieciowej), umożliwi ustawie-
nie adresu karty sieciowej (zobacz pierwszy rysunek na następnej stronie).
Wprowadź literę S, oznaczającą, że chcesz wprowadzić statyczny adres IP, a następnie podaj
jego wartość, którą chcesz przypisać do danej karty sieciowej. Przypiszę serwerowi WEB4
adres 10.10.10.30, aby po prostu udowodnić, że cała procedura działa. Po wprowadzeniu
adresu IP muszę również ustawić nową maskę podsieci i adres bramy (zobacz drugi rysunek
na następnej stronie).
Jak widać, karcie sieciowej serwera WEB4 został natychmiast przypisany nowy adres IP,
10.10.10.30. Wykorzystywanie narzędzia Sconfig po przeprowadzeniu wstępnej konfiguracji
instancji Server Core może nie być częstym zjawiskiem. Jednak to narzędzie rzeczywiście po-
zwala zaoszczędzić czas, gdy jest używane do początkowej modyfikacji ustawień związanych
z siecią i nazwą tworzonego serwera.
307
Windows Server 2019 dla profesjonalistów
308
Rozdział 8. • Server Core
309
Windows Server 2019 dla profesjonalistów
Jednak nieszczęśliwie dla entuzjastów systemu Nano Server, a szczególnie dla każdego, kto już
wykonał prace związane z jego instalacją i wdrożeniem do użytkowania, w ciągu ostatnich
kilku lat historia potoczyła się w zupełnie innym kierunku. Krótko mówiąc, nie można już
stosować systemu Nano Server do żadnych typowych zadań serwerowych. Nie można go
zainstalować na fizycznym sprzęcie, a nawet na maszynie wirtualnej. Ponadto funkcje zarządza-
nia, takie jak PowerShell i WinRM, zostały z niego usunięte i nie można na nim instalować
żadnych ról infrastrukturalnych firmy Microsoft.
Odpowiedzią na te pytania są kontenery. Obecnie domeną zastosowań serwera Nano jest wyko-
rzystanie kontenerów do wdrażania skalowalnych aplikacji gotowych do pracy w chmurze i za-
rządzania nimi. Więcej informacji na temat kontenerów i całkowitego powiązania z nimi
systemu Nano Server podam w rozdziale 11., „Kontenery i Nano Server”. Na razie wystar-
czy stwierdzić, że obrazy kontenerów na stronie internetowej firmy Microsoft będą jedynym
miejscem, w którym znajdziesz system Nano Server.
Podsumowanie
Muszę być z Tobą szczery — napisanie tego rozdziału było dodatkowym impulsem, którego
potrzebowałem, aby zacząć myśleć o zmniejszeniu własnych serwerów. Jadę na tym samym
wózku co wielu czytelników: wiem, czym jest Server Core, i nawet testowałem go, ale nigdy
nie podjąłem kroków, aby naprawdę wdrożyć go w środowisku produkcyjnym, które obsłu-
guję. Gdy dostępne stały się narzędzia takie, jak Sconfig i nowa aplikacja Windows Admin
Center, oficjalnie zabrakło mi wymówek, aby nie wdrażać nowych ról w maszynach wyposa-
żonych w Server Core. Chociaż zdobywanie nowej wiedzy nie jest bolesne, korzystanie z wersji
systemu Server Core nie wymaga już płynnej znajomości poleceń powłoki PowerShell. Począt-
kowo środowisko Server Core faktycznie wymagało naprawdę dobrego zrozumienia progra-
mu PowerShell, ponieważ był on jedynym niezawodnym sposobem konfigurowania tych
niewielkich serwerów i łączenia się z nimi. Nowe narzędzia pozwalają nam jednak korzystać
z prostszej platformy i administrować nią bez konieczności zapamiętywania wielu poleceń
cmdlet powłoki PowerShell.
Bezpieczeństwo jest głównym powodem, dla którego wszyscy powinniśmy uważać wersję
Server Core za swój nowy standard. Interfejs graficzny systemu Windows zawiera dużo kodu
i udostępnia wiele możliwości osobom zalogowanym na serwerach, na przykład umożliwia
przeglądanie internetu. Pozwala to na dotarcie do luk w zabezpieczeniach, które po prostu
nie istnieją w wersji Server Core. W następnym rozdziale zajmiemy się zagadnieniem redun-
dancji w systemie Windows Server 2019.
310
Rozdział 8. • Server Core
Pytania
1. Server Core jest domyślną opcją instalacji dla systemu Windows Server 2019 —
prawda czy fałsz?
2. Programu PowerShell można użyć do zmiany wersji systemu Server 2019 z Server
Core na Desktop Experience — prawda czy fałsz?
3. Jaka aplikacja pojawia się na konsoli świeżo uruchomionej instancji serwera
Windows Server 2019 Server Core?
4. Jakiego polecenia cmdlet można użyć do wyświetlenia bieżącej konfiguracji sieci
w systemie Server Core?
5. Jakiego polecenia cmdlet programu PowerShell można użyć do skonfigurowania
nazwy serwera w systemie Server Core?
6. Wymień niektóre narzędzia zarządzające, których można użyć do zdalnego
łączenia się z systemem Server Core.
7. Jak nazywa się narzędzie wbudowane w system Server Core, które można uruchomić
w celu uzyskania dostępu do czynności związanych z konfiguracją adresów IP,
nazwą serwera i członkostwem w domenie?
311
Windows Server 2019 dla profesjonalistów
312
9
Redundancja
w systemie Windows
Server 2019
Pomnóż to przez dwa. To zdanie słyszę cały czas podczas planowania projektów. Jestem pe-
wien, że Ty też je znasz. Za każdym razem, gdy wdrażasz nową technologię, chcesz bardzo
dokładnie zaplanować cały proces. Dowiedz się, jakich serwerów będziesz potrzebować,
gdzie należy je umieścić i jak należy dla nich skonfigurować sieć. Po zakończeniu planowania
zamów wszystko podwójnie — na wypadek gdyby jeden z elementów się zepsuł. Żyjemy
w świecie permanentnie działających technologii. Awarie usług są niedopuszczalne, szcze-
gólnie jeśli zarządzamy chmurami publicznymi lub prywatnymi. Prawdą jest, że każda apli-
kacja lub usługa, od której zależy wykonanie pracy przez naszych użytkowników, ma kry-
tyczne znaczenie dla całego procesu i wymaga w zasadzie stuprocentowo bezawaryjnego
działania. Problem z redundancją polega na tym, że znacznie łatwiej jest mówić, niż coś zrobić.
Być może któregoś dnia otrzymamy magiczny przycisk o nazwie Naciśnij tutaj, aby uczynić
ten serwer redundantnym. Ten dzień jednak jeszcze nie nadszedł. Musimy zrozumieć techno-
logie, które są dostępne i umożliwiają zapewnienie redundancji w naszych systemach. W tym
rozdziale poznasz niektóre z tych rozwiązań. Ponieważ w niniejszej książce prezentujemy
system Server 2019 używany w lokalnej sieci, technologie, które za chwilę omówimy, będziesz
mógł wykorzystać we własnych centrach danych, na prawdziwych (fizycznych lub wirtualnych)
serwerach, które tworzysz, konfigurujesz i utrzymujesz. Chmura oczywiście może zapewnić
nam magiczne opcje skalowalności i redundancji, ale są one proste w użyciu i często nawet
nie musimy rozumieć, jak działają. W jaki więc sposób możemy zwiększyć niezawodność
systemów, które są zainstalowane na serwerach w naszych lokalnych centrach danych?
Windows Server 2019 dla profesjonalistów
314
Rozdział 9. • Redundancja w systemie Windows Server 2019
wiedni serwer WWW. Dzięki temu taki serwer jest mniej obciążony, ponieważ nie musi po-
święcać czasu procesora na szyfrowanie i deszyfrowanie pakietów. Jednak w tej książce nie
będziemy w ogóle omawiać sprzętowych modułów równoważących obciążenie, ale raczej zapre-
zentujemy funkcje równoważenia obciążenia sieciowego, które są dostępne bezpośrednio w syste-
mie Windows Server 2019.
315
Windows Server 2019 dla profesjonalistów
Z równoważeniem obciążenia sieciowego często też współdziała rola dostępu zdalnego. W szcze-
gólności usługa DirectAccess może korzystać z wbudowanego równoważenia obciążenia
sieciowego systemu Windows, aby zapewnić środowisku zdalnego dostępu nadmiarowe
serwery będące punktami wejściowymi. Podczas konfigurowania funkcji DirectAccess w celu
skorzystania z równoważenia obciążenia nie jest od razu oczywiste, że będziesz używał
technologii redundancji wbudowanej w system operacyjny, ponieważ ustawienia równoważe-
nia obciążenia wprowadzasz z poziomu konsoli zarządzania dostępem zdalnym, a nie konsoli
NLB. Po zakończeniu obsługi kreatorów zarządzania dostępem zdalnym w celu zdefiniowania
równoważenia obciążenia konsola dostępu zdalnego faktycznie sięga do usługi NLB zaszytej
w systemie operacyjnym i konfiguruje ją w taki sposób, aby jej algorytmy i mechanizmy trans-
portowe były elementami używanymi przez DirectAccess do rozdzielania ruchu pomiędzy wiele
serwerów.
316
Rozdział 9. • Redundancja w systemie Windows Server 2019
Każdy serwer obsługuje tę samą stronę internetową za pomocą odpowiednich adresów DIP.
Ważne jest, aby zrozumieć, że ustanawiając równoważenie obciążenia sieciowego między dwoma
serwerami, muszę im zapewnić dedykowane adresy IP, ale powinienem także utworzyć dodat-
kowy adres, który będzie przez nie współdzielony. Ten wspólny adres IP nosi nazwę wirtualnego
adresu IP (VIP). Gdy wkrótce przeprowadzimy konfigurację NLB, adres 10.10.10.42 stanie
się adresem VIP, ponieważ do tej pory nie był używany w mojej sieci. Oto krótka lista adre-
sów IP, które będą używane w trakcie konfigurowania witryny z równoważeniem obciążenia
sieciowego:
Adres DIP serwera WEB1 = 10.10.10.40
Adres DIP serwera WEB2 = 10.10.10.41
Współdzielony adres VIP = 10.10.10.42
Podczas definiowania rekordu DNS dla adresu intranet.contoso.local, który jest nazwą mojej
strony intranetowej, utworzę tylko jeden rekord A hosta, wskazujący na wirtualny adres
IP 10.10.10.42.
Aby odpowiedzieć na to pytanie, musimy się na chwilę zatrzymać i przeanalizować przepływ ru-
chu w Twojej sieci. Gdy otworzysz przeglądarkę internetową na swoim komputerze i urucho-
misz stronę HTTP://WEB1, usługa DNS przypisze jej adres IP 10.10.10.40. Gdy pakiety danych
pojawią się w Twoich przełącznikach, będą one musiały zdecydować, dokąd należy przesłać
ruch pochodzący z adresu 10.10.10.40. Zapewne znane jest Ci pojęcie adresów MAC.
Każda karta sieciowa ma adres MAC. Po przypisaniu adresu IP do karty sieciowej oba adresy,
MAC i IP, są następnie rejestrowane w sprzęcie sieciowym. Adresy MAC są przechowywane
w tablicy ARP, która znajduje się w większości przełączników, routerów i zapór sieciowych.
Gdy mój serwer WEB1 otrzymał adres IP 10.10.10.40, zarejestrował swój adres MAC odpowia-
dający temu adresowi IP. Gdy pakiety danych muszą zostać przesłane do serwera WEB1,
317
Windows Server 2019 dla profesjonalistów
przełączniki wiedzą, że ruch przeznaczony dla adresu 10.10.10.40 powinien zostać skierowany
na adres MAC tej konkretnej karty sieciowej, więc odpowiednio go przekierowują.
Gdy w świecie NLB wysyłasz pakiety do jednego adresu IP, który jest wykorzystywany przez
wiele kart sieciowych, w jaki sposób ten ruch jest przetwarzany na poziomie adresów MAC?
Odpowiedź w przypadku użycia trybu emisji pojedynczej polega na tym, że adres MAC fizycz-
nej karty sieciowej zostaje zastąpiony wirtualnym adresem MAC, który przypisuje się do
wszystkich kart sieciowych w macierzy serwerów NLB. Powoduje to, że pakiety przepływające do
tego adresu MAC są dostarczane do wszystkich kart sieciowych, a więc do wszystkich serwerów
w tej macierzy. Jeśli wydaje Ci się, że w takim rozwiązaniu przełączniki obsługują zbyt wiele
niepotrzebnego ruchu sieciowego, masz rację. Tryb emisji pojedynczej oznacza, że gdy pojawią
się pakiety przeznaczone dla wirtualnego adresu MAC macierzy serwerów, ruch w zasadzie
będzie przetwarzany przez wszystkie porty przełącznika, zanim dotrze do miejsca docelowego.
Największą zaletą tego trybu jest to, że emisja pojedyncza działa w większości przypadków bez
konieczności specjalnego konfigurowania przełączników lub sprzętu sieciowego. Równoważenie
ruchu sieciowego definiujesz na poziomie narzędzi Windows Server, a sam system zajmuje się
resztą. Wadą trybu emisji pojedynczej jest to, że pojawiają się pewne problemy związane z ko-
munikacją wewnątrz macierzy serwerów, ponieważ ten sam adres MAC istnieje w każdym z wę-
złów. Innymi słowy, serwery obsługujące równoważenie obciążenia sieciowego będą miały
problemy z łączeniem się ze sobą. Często nie ma to większego znaczenia, gdyż serwer WEB1
rzadko miałby powód do bezpośredniej komunikacji z WEB2. Jeśli jednak naprawdę chciał-
byś, aby serwery sieciowe łączyły się ze sobą w sposób konsekwentny i niezawodny, najłatwiej
będzie zainstalować oddzielną kartę sieciową na każdym z nich i użyć jej do komunikacji we-
wnątrz macierzy, pozostawiając podstawową kartę sieciową skonfigurowaną dla ruchu NLB.
Inną wadą trybu emisji pojedynczej jest to, że może on powodować przepełnianie przełączni-
ków. Przełączniki nie są w stanie nauczyć się stałej trasy dla wirtualnego adresu MAC, ponie-
waż jest on przypisany do wszystkich węzłów w naszej macierzy. Każdy pakiet kierowany do
wirtualnego adresu MAC jest wysyłany wszelkimi możliwymi portami przełącznika, by mógł
trafić do wszystkich kart sieciowych macierzy serwerów. Z tego powodu przełączniki mogą zo-
stać przeciążone nadmierną liczbą pakietów sieciowych. Jeśli niepokoi Cię to lub od admini-
stratorów sieciowych otrzymujesz skargi dotyczące przepełniania przełączników, powinieneś
w swoim klastrze NLB użyć jednego z trybów multiemisji.
318
Rozdział 9. • Redundancja w systemie Windows Server 2019
res MAC. Dzięki temu każdy element macierzy NLB ma dwa adresy MAC: oryginalny i ten,
który został utworzony przez mechanizm NLB. Powoduje to, że przełączniki i sprzęt sieciowy
łatwiej uczą się tras i wysyłają ruch do właściwych miejsc docelowych, bez użycia nadmiernej
liczby pakietów. Aby uzyskać taką funkcjonalność, należy poinformować przełączniki, które
adresy MAC powinny odbierać ruch NLB. Jeśli tego nie zrobimy, pojawi się przepełnienie
przełączników, tak jak w przypadku trybu emisji pojedynczej. Aby poinformować przełączniki,
z którymi adresami MAC należy się kontaktować, należy się zalogować do nich i utworzyć sta-
tyczne wpisy ARP. Jeśli firma ma administratora sieci, zwykle biegłego w obsłudze sprzętu Cisco,
nie będzie to problemem. Jeśli jednak nie jesteś zaznajomiony z modyfikowaniem tabel ARP
i dodawaniem tras statycznych, poprawne wykonanie tej operacji może być trochę uciążliwe.
W sumie jednak tryb multiemisji jest na ogół lepszy od trybu emisji pojedynczej, chociaż może
powodować problemy administracyjne. Ja mimo wszystko optuję za wyborem trybu emisji
pojedynczej, szczególnie w mniejszych firmach. Jest on używany w wielu różnych sieciach bez
żadnych problemów, a jego ważną zaletą jest to, że możemy zapomnieć o programowaniu
przełączników.
Wybór trybu NLB będzie w dużej mierze zależał od możliwości Twojego sprzętu sieciowego.
Jeśli Twoje serwery mają tylko jedną kartę sieciową, spróbuj użyć trybu multiemisji, w przeciw-
nym razie wystąpią problemy w komunikacji wewnątrz macierzy. Z drugiej strony, jeśli Twoje
przełączniki i routery nie obsługują tego trybu, nie masz wyboru — emisja pojedyncza będzie
jedyną opcją dostępną w konfiguracji równoważenia obciążenia sieciowego systemu Windows.
319
Windows Server 2019 dla profesjonalistów
Nazwa tego ustawienia będzie czymś zbliżonym do opcji Enable MAC address spoofing (Zezwól
na spoofing adresu MAC), chociaż oczywiście może się różnić w zależności od używanej
technologii wirtualizacji. Ustawienie powinno być prostym polem wyboru, które musisz włączyć,
aby spoofing adresu MAC mógł poprawnie działać. Wykonaj tę operację dla wszystkich
wirtualnych kart sieciowych, które zamierzasz wykorzystać do równoważenia obciążenia
sieciowego. Pamiętaj, że jest to ustawienie karty sieciowej, a nie maszyny wirtualnej. Jeśli
w maszynie wirtualnej masz wiele kart sieciowych, może być konieczne zaznaczenie pola dla
każdej z ich, jeśli planujesz wszystkich użyć do równoważenia obciążenia.
320
Rozdział 9. • Redundancja w systemie Windows Server 2019
Aby można było wprowadzić modyfikację, maszyna wirtualna musi zostać wyłączona. Zamkną-
łem więc swoje serwery WEB1 i WEB2. A teraz znajdź wymagane pole wyboru i zaznacz je.
Ponieważ używana przeze mnie technologia opiera się na systemach firmy Microsoft, oczywiście
wykorzystuję Hyper-V jako platformę wirtualizacyjną dla moich maszyn z laboratorium. Jeśli
w Hyper-V kliknę prawym przyciskiem myszy serwer WEB1, a następnie przejdę do ustawień
maszyny wirtualnej, mogę następnie wybrać kartę sieciową, aby wyświetlić różne parametry,
które można dla niej zmieniać. W najnowszych wersjach środowiska Hyper-V wymagane
przez nas ustawienie znajduje się we właściwościach karty sieciowej, w sekcji Advanced Features
(Funkcje zaawansowane). Tu właśnie znalazłem pole wyboru Enable MAC address spoofing
(Zezwól na spoofing adresu MAC). Po prostu kliknij je, aby włączyć opcję, i to wszystko:
Jeśli opcja Enable MAC address spoofing jest niedostępna, pamiętaj, że maszyna wirtualna
musi zostać całkowicie wyłączona, zanim będzie można wprowadzić zmiany. Zamknij serwer,
a następnie wejdź do ustawień i spróbuj ponownie. Opcja powinna być teraz możliwa do
zmodyfikowania.
Aby zdefiniować początkową konfigurację opcji NLB, będę używać serwera WEB1. Gdy się na
niego zalogujesz, będziesz mógł zauważyć, że na liście narzędzi dostępnych w Menedżerze ser-
wera pojawiła się nowa opcja o nazwie Network Load Balancing Manager (Menedżer równowa-
żenia obciążenia sieciowego). Kliknij ją, aby otworzyć konsolę. Po otwarciu Menedżera równo-
ważenia obciążenia sieciowego kliknij prawym przyciskiem myszy nazwę Network Load
Balancing Clusters (Klastry równoważenia obciążenia sieciowego) i z menu podręcznego wybierz
opcję New Cluster (Nowy klaster), jak pokazano na poniższym zrzucie ekranu:
321
Windows Server 2019 dla profesjonalistów
Podczas tworzenia nowego klastra można zauważyć, że obecnie nie ma w nim żadnych maszyn.
Nawet serwer, w którym uruchomiliśmy tę konsolę, nie został automatycznie dodany do klastra
i musimy pamiętać, aby to zrobić. Tak więc wprowadzę nazwę swojego serwera, WEB1, i kliknę
przycisk Connect (Połącz). Po wykonaniu tej czynności Menedżer NLB wyśle zapytanie do ser-
wera WEB1 w poszukiwaniu jego kart sieciowych i wyświetli ich listę, którą mogę wykorzystać
w celu skonfigurowania równoważenia obciążenia:
Ponieważ w tym serwerze mam tylko jedną kartę sieciową, po prostu pozostawię ją wybraną
i kliknę przycisk Next (Dalej). Na następnym ekranie będzie możliwość ustawienia dodatkowych
adresów IP do serwera WEB1, ale korzystamy tylko z jednej karty sieciowej, dlatego opuszczę
ten ekran bez wprowadzania żadnych zmian i ponownie kliknę przycisk Next.
322
Rozdział 9. • Redundancja w systemie Windows Server 2019
adresem VIP dla strony WWW będzie 10.10.10.42, więc kliknę przycisk Add… (Dodaj…)
i wpiszę ten adres IPv4 wraz z odpowiednią maską podsieci:
Kolejne kliknięcie przycisku Next spowoduje wyświetlenie okna z parametrami klastra. Zawiera
ono grupę o nazwie Cluster operation mode (Tryb działania klastra). W zależności od konfiguracji
sieci wybierz jedną z opcji Unicast (Emisja pojedyncza), Multicast (Multiemisja) i IGMP
multicast (Multiemisja IGMP) (zobacz pierwszy rysunek na następnej stronie).
Kolejny ekran kreatora NLB umożliwia konfigurację reguł portów. Domyślnie istnieje jedna re-
guła, która aktywuje równoważenie obciążenia dla każdego ruchu sieciowego korzystającego
z dowolnego portu, ale jeśli chcesz, możesz to zmienić. Ja nie znam wielu osób, które definiują tu
reguły pozwalające na przypisanie określonych portów do miejsc docelowych.
Ciekawszą opcją dostępną na tym ekranie jest jednak możliwość wyłączenia niektórych zakresów
portów. Ta funkcja może być bardzo przydatna, jeśli chcesz zablokować niepotrzebny ruch
w warstwie NLB. Na poniższym zrzucie ekranu pokazano przykładową konfigurację, która nie
pozwalałaby mechanizmowi NLB na obsługę ruchu sieciowego dla portów wyższych lub
równych 81 (zobacz drugi rysunek na następnej stronie).
323
Windows Server 2019 dla profesjonalistów
Ukończenie tego kreatora jest równoznaczne z utworzeniem klastra NLB! Jednak do tej pory
skonfigurowaliśmy tylko adres VIP i serwer WEB1. Nie ustawiliśmy jeszcze żadnych parame-
trów serwera WEB2. Istnieje już macierz serwerów NLB, ale obecnie zawiera ona tylko jeden
węzeł, więc cały ruch sieciowy dociera wyłącznie do maszyny WEB1. Kliknij prawym przyci-
skiem myszy nowy klaster i wybierz opcję Add Host To Cluster (Dodaj hosta do klastra):
324
Rozdział 9. • Redundancja w systemie Windows Server 2019
Wprowadź nazwę serwera WEB2, kliknij przycisk Connect (Połącz) i użyj kreatora, aby dodać
nowy węzeł WEB2 do klastra. Po skonfigurowaniu obu węzłów nasza macierz NLB — lub,
inaczej mówiąc, klaster — będzie gotowa do użycia (czy nie wspominałem, że słowo klaster
jest używane w wielu miejscach, nawet jeśli w ogóle nie mamy na myśli klastra pracy awaryjnej?).
Jeśli w konfiguracji kart sieciowych naszych serwerów WWW klikniesz przycisk Advanced
(Zaawansowane) dostępny w oknie właściwości protokołu TCP/IPv4, zobaczysz, że do interfejsu
sieciowego został dodany nasz nowy adres IP klastra 10.0.0.42. Każda karta sieciowa będzie
teraz zawierać zarówno przypisany jej adres DIP, jak i adres VIP współdzielony w macierzy:
Ruch sieciowy przeznaczony dla adresu IP 10.10.10.42 będzie rozdzielany na dwa węzły.
Na razie jednak strony WWW działające na serwerach WEB1 i WEB2 wciąż są skonfigurowane
w taki sposób, aby wykorzystywały dedykowane adresy 10.10.10.40 i 10.10.10.41, więc musimy
to zmienić.
325
Windows Server 2019 dla profesjonalistów
zania strony WWW. Otwórz konsolę zarządzania IIS i rozwiń folder Sites (Witryny), aby wy-
świetlić właściwości swojej witryny. Kliknij prawym przyciskiem myszy nazwę strony i z menu
podręcznego wybierz opcję Edit Bindings… (Edytuj powiązania…):
W oknie dialogowym Site Bindings (Powiązania witryny) wybierz powiązanie, które chcesz zmo-
dyfikować, a następnie kliknij przycisk Edit… (Edytuj…). Nasza witryna intranetowa jest
prostą stroną HTTP, więc wybiorę odpowiednie powiązanie HTTP. Jest ono obecnie przypisane
do adresu 10.10.10.40 w serwerze WEB1 i adresu 10.10.10.41 w serwerze WEB2. Oznacza
to, że witryna odpowiada tylko na ruch przychodzący na te adresy IP. Aby to zmienić, wystarczy
z menu rozwijanego IP address (Adres IP) wybrać nasz nowy adres VIP, czyli 10.10.10.42.
Po wprowadzeniu tej modyfikacji (na obu serwerach) i kliknięciu przycisku OK strona natych-
miast zacznie odpowiadać na ruch przychodzący przez adres IP 10.10.10.42:
Dochodzimy do ostatniego elementu układanki — jest nim usługa DNS. Pamiętaj, że chcieli-
byśmy, aby użytkownicy mogli w swoich przeglądarkach internetowych po prostu wprowa-
dzić adres http://intranet w celu przeglądania nowej witryny wykorzystującej równoważenie
obciążenia sieciowego, dlatego musimy odpowiednio skonfigurować rekord A hosta w usłudze
326
Rozdział 9. • Redundancja w systemie Windows Server 2019
DNS. To działanie będzie dokładnie takie samo jak w przypadku dodawania każdego innego
rekordu hosta DNS. Po prostu utwórz go i przypisz adresowi intranet.contoso.local adres
10.10.10.42:
Testowanie rozwiązania
Czy skonfigurowano usługę równoważenia obciążenia sieciowego? Tak.
Czy powiązania IIS zostały zaktualizowane? Tak.
Czy utworzono rekord DNS? Tak.
Możemy więc przetestować nasze rozwiązanie. Jeśli otworzę przeglądarkę internetową na kom-
puterze klienckim i przejdę do adresu http://intranet, zostanie wyświetlona następująca witryna:
W jaki sposób możemy jednak sprawdzić, czy funkcja równoważenia obciążenia naprawdę
działa? Jeśli nadal będę odświeżać stronę lub przeglądać ją z innego klienta, przez cały czas będę
uzyskiwał dostęp do adresu http://intranet, aż wreszcie mechanizm NLB zdecyduje, że nowe żą-
danie powinno zostać wysłane do serwera WEB2 zamiast do WEB1. Gdy tak się stanie, wy-
świetli się następująca strona:
327
Windows Server 2019 dla profesjonalistów
Na potrzeby tego testu zmodyfikowałem treść stron znajdujących się na serwerach WEB1
i WEB2, aby móc rozróżnić, z którego węzła są pobierane. Gdybyśmy mieli do czynienia
z prawdziwą produkcyjną witryną intranetową, musielibyśmy się upewnić, że zawartość obu
stron jest dokładnie taka sama, dzięki czemu użytkownicy byliby całkowicie nieświadomi, że
w tle działa równoważenie obciążenia sieciowego. Powinni oni tylko wiedzieć, że witryna
będzie poprawnie działać przez cały czas.
Jak to wygląda w rzeczywistości? Pakiety danych przestaną docierać do tych kart sieciowych,
których modyfikacje nie zostały zauważone przez sprzęt sieciowy. Czasami po ustanowieniu
równoważenia obciążenia sieciowego i jego włączeniu cały ruch sieciowy nagle przestaje korzy-
stać z tych interfejsów sieciowych. Co należy zrobić, aby rozwiązać problem? Czasami wy-
starczy poczekać, i w ciągu kilku minut, godzin, a nawet dni przełączniki usuną stare informacje
z pamięci podręcznej ARP i pozwolą nowym wirtualnym adresom MAC na zarejestrowanie
się w tabeli. Co możesz zrobić, aby przyspieszyć ten proces? Opróżnić pamięć podręczną ARP.
328
Rozdział 9. • Redundancja w systemie Windows Server 2019
nazwa będzie zbliżona do opróżniania pamięci podręcznej ARP. Gdy uruchomisz tę opcję na
swoim sprzęcie, usunie ona tabelę ARP, pozbywając się starych informacji, które powodują
problemy. Dzięki temu pozwolisz nowym adresom MAC na zarejestrowanie się w odświe-
żonej tabeli.
Taką funkcjonalność zapewnia klaster pracy awaryjnej i może być on używany w przypad-
kach, w których węzły klastra uzyskują dostęp do współdzielonych danych. Jest to kluczowy
czynnik decydujący o sposobie zaprojektowania klastrów pracy awaryjnej, ponieważ pamięć
używana przez węzły klastra musi być współdzielona i dostępna dla tych węzłów, które jej po-
trzebują. Istnieje wiele różnych ról i usług, które mogą korzystać z klastra pracy awaryjnej.
Cztery technologie wydają się jednak stanowić większość klastrów działających obecnie
w centrach danych: Hyper-V, usługi plikowe, Exchange i SQL. Jeśli wykorzystujesz którąkol-
wiek z nich (a możliwe, że używasz każdej), musisz się zapoznać z opcjami wysokiej dostępno-
ści, którą można wdrożyć w Twojej infrastrukturze za pomocą klastrów pracy awaryjnej.
Chociaż klaster pracy awaryjnej zapewniany przez system Windows Server został zaprojek-
towany w firmie Microsoft i może bardzo dobrze współpracować z wieloma innymi rolami
i usługami, należy pamiętać, że aplikacje innych firm, które działają na serwerach Windows
w Twoim środowisku, a nawet te stworzone przez programistów Twojej firmy, również mogą
korzystać z klastra pracy awaryjnej. Dopóki aplikacja korzysta z pamięci współdzielonej
i można dla niej zdefiniować zadania, które powinny być wykonywane przez narzędzia służące
do administrowania klastrami (uruchomienie i zatrzymanie usługi, monitorowanie jej stanu itp.),
można ją wykorzystać w klastrze pracy awaryjnej i zapewnić jej znaczny poziom redundancji.
329
Windows Server 2019 dla profesjonalistów
szy wszystkim serwerom Hyper-V dostęp do tej samej współdzielonej pamięci, w której
przechowywane są wirtualne dyski twarde, a także konfigurując klaster pracy awaryjnej dla
węzłów, możesz stworzyć niezwykle wydajne i redundantne środowisko wirtualizacji dla swojej
firmy. Gdy jakiś serwer Hyper-V ulegnie awarii, maszyny wirtualne, które na nim działały,
zostaną w trybie awaryjnym przeniesione na inną maszynę Hyper-V i na niej się uruchomią.
Nie będzie potrzebne żadne działanie! Jeśli została włączona funkcja równoważenia obciąże-
nia maszyn wirtualnych, obciążenie klastra jest oceniane w sposób automatyczny, a odpowied-
nie maszyny wirtualne są przenoszone w trakcie ich działania, bez przestojów, w locie, dzięki
czemu praca jest w równym stopniu przydzielana do każdego z węzłów klastra, włącznie z nowo
utworzonym. Równoważenie obciążenia maszyn wirtualnych możesz uruchamiać na żądanie,
gdy tylko uznasz to za stosowne. Możesz także zapewnić automatyczne wykonywanie usługi
i sprawdzanie środowiska co 30 minut. Dzięki temu decyzja o przenoszeniu maszyn wirtual-
nych będzie podejmowana bez Twojego udziału.
330
Rozdział 9. • Redundancja w systemie Windows Server 2019
Oczywiście, konieczne jest zastosowanie redundancji dla plików wirtualnych dysków twardych.
Ich utrata byłaby zgubna dla firmy. Na szczęście mamy funkcjonalność skalowalnego serwera
plików (ang. Scale-Out File Server, w skrócie SOFS), która potrafi zapewnić wysoki poziom
dostępu do danych aplikacyjnych. Jeśli planujesz zarządzać maszynami wirtualnymi za pomocą
usługi Hyper-V, zdecydowanie powinieneś się zainteresować możliwościami klastra pracy
awaryjnej, które mogą wspomóc tę usługę. Jeśli ponadto zamierzasz korzystać z serwerów
Hyper-V umieszczonych w klastrze, powinieneś użyć serwera z funkcjonalnością SOFS do
obsługi tego wysoce dostępnego środowiska wirtualizacji. Wspiera on działanie klastra pracy
awaryjnej w ten sposób, że zapewnia serwerom plików możliwość używania wielu węzłów
jednocześnie (tryb aktywny-aktywny), które przez cały czas są ze sobą połączone. Jeśli wówczas
jeden serwer z danymi ulegnie awarii, pozostałe zastąpią go i staną się natychmiast dostępne.
Nie nastąpi żaden proces przełączania, który wymagałby przestoju maszyn. Jest to ważne,
gdy bierzemy pod uwagę różnicę w obsłudze danych statycznych, takich jak dokumenty, i plików
wirtualnych dysków twardych, do których mają dostęp maszyny wirtualne. Maszyny wirtualne
są w stanie wciąż działać podczas awarii serwera plików zawierającego funkcjonalność
SOFS, a to naprawdę niesamowita sprawa!
Poziomy klastrowania
Konieczne będzie zrozumienie pewnego zagadnienia związanego z klastrem pracy awaryjnej.
Chodzi o różne tryby pracy klastra, które w określonych sytuacjach mogą być wykorzysty-
wane przez użytkowników. Istnieją dwa takie poziomy pozwalające na korzystanie z klastro-
wania. Możesz użyć tylko jednego z nich, ale także mógłbyś wykorzystać oba jednocześnie,
aby naprawdę zaimponować kolegom z działu wdrażania wysokiej dostępności.
331
Windows Server 2019 dla profesjonalistów
332
Rozdział 9. • Redundancja w systemie Windows Server 2019
wszystkich aplikacji, maszyn wirtualnych lub innych usług działających w urządzeniu, które
uległo awarii. Mogą występować niewielkie przerwy w działaniu systemów, ponieważ kom-
ponenty będą musiały poświęcić pewien czas na uruchomienie się w nowym węźle. Cały
proces jest jednak zautomatyzowany i przebiega bez angażowania administratora, co ogranicza
przestoje do absolutnego minimum.
Gdy planujesz przeniesienie usług z jednego węzła do drugiego, na przykład w celu zainstalo-
wania na serwerze poprawek lub przeprowadzenia konserwacji, pojawia się jeszcze ciekaw-
sza możliwość. Dzięki procesowi znanemu jako migracja na żywo możesz przenieść usługi
na inny węzeł bez żadnych przestojów. W ten sposób możesz usunąć węzły z klastra w celu
ich konserwacji, zainstalowania łatek bezpieczeństwa lub z jakiegokolwiek innego powodu,
nie wpływając w żaden sposób na pracę użytkowników lub systemu. Migracja na żywo jest
szczególnie przydatna w klastrach Hyper-V, w których przypadku często trzeba samemu
zdecydować, na jakim serwerze powinno się umieścić określone maszyny wirtualne, aby mieć
możliwość wykonania pewnych prac na innym węźle (lub węzłach).
Jeśli klastrów jest więcej niż jeden, stosuje się opcję o nazwie kworum. Oznacza ona, że jeśli
klaster zostanie podzielony, czyli przykładowo jakiś węzeł przestanie odpowiadać lub wiele
węzłów stanie się nagle niedostępnych z powodu rozłączenia sieci, wówczas zostanie aktywo-
wana logika kworum w celu ustalenia, który segment klastra jest tym działającym. Załóżmy, że
masz duży klaster, który obejmuje wiele podsieci, a coś niedobrego stanie się w warstwie sieci,
która rozdziela węzły tego klastra od siebie. Wówczas obie strony klastra nie mogłyby się ko-
munikować z innymi jego elementami. Bez opcji kworum te dwie strony automatycznie przy-
jęłyby, że powinny teraz wziąć odpowiedzialność za zarządzanie klastrem.
Ustawienia kworum informują klaster, ile awarii węzłów może się wydarzyć, zanim konieczne
będzie podjęcie jakichś działań. Gdy cały klaster zna konfigurację kworum, może to być przy-
datne w udzieleniu odpowiedzi na pytanie, która sekcja klastra powinna stać się podstawową
w razie jego awaryjnego podziału. W wielu przypadkach klastry zapewniają kworum, polegając
na innym obiekcie, zwanym świadkiem. Jak sama nazwa wskazuje, świadek obserwuje status
klastra i pomaga podejmować decyzje o tym, kiedy i gdzie powinno nastąpić przejście do trybu
awaryjnego. Omawianie tego zagadnienia w tym miejscu jest tylko wstępem do bardziej
szczegółowej analizy dotyczącej nowych opcji technologii klastrowania zawartych w systemie
Server 2019, z których jedna polega na ulepszeniu sposobu działania świadków w niewielkich
środowiskach.
Tworzenie złożonych klastrów, które zawierają kworum i świadków, wymaga zapoznania się
ze znacznie większą ilością informacji. Jeśli chcesz się dowiedzieć więcej na ten temat, odwiedź
stronę https://docs.microsoft.com/en-us/windows-server/storage/storage-spaces/understand-quorum.
333
Windows Server 2019 dla profesjonalistów
Konfigurowanie serwerów
Mamy już dwa serwery z zainstalowanym systemem Windows Server 2019. Na tych serwerach
nie skonfigurowałem nic specjalnego oprócz tego, że dodałem do nich rolę File Server (Serwer
plików), ponieważ docelowo stworzę z nich klaster serwerów plikowych. Kluczową kwestią jest
to, że serwery powinny być jak najbardziej podobne do siebie. Role, z których zamierzasz
korzystać w klastrze, powinny być już wcześniej zainstalowane.
Jeszcze jedna uwaga na tym etapie: jeśli to możliwe, postaraj się, aby serwery składowe należące
do tego samego klastra znajdowały się w tej samej jednostce organizacyjnej (OU) w usłudze
Active Directory (AD). Powód tego wymagania jest dwojaki. Po pierwsze, zapewnia to stosowa-
nie tych samych obiektów zasad grupy do całej grupy serwerów, dzięki czemu ich konfigu-
racje są możliwie zbliżone.
Po drugie, podczas tworzenia klastra będą automatycznie generowane pewne obiekty, które
następnie zostaną umieszczone w AD. Gdy serwery składowe będą się znajdować w tej samej
jednostce organizacyjnej, te nowe obiekty również zostaną w niej utworzone. W działającym
klastrze bardzo często zdarza się, że jego obiekty w AD są częścią tej samej jednostki organiza-
cyjnej i że jest ona przeznaczona specjalnie dla tego klastra:
334
Rozdział 9. • Redundancja w systemie Windows Server 2019
Instalowanie funkcji
Gdy nasze serwery zostały już podłączone do sieci i działają, chcemy na nich zainstalować
opcję tworzenia klastra. Ponieważ jedną z funkcji systemu Windows Server jest Failover
Clustering (Klaster pracy awaryjnej), otwórz kreatora Add roles and features (Dodaj role
i funkcje) i dodaj ją do wszystkich węzłów przyszłego klastra:
335
Windows Server 2019 dla profesjonalistów
Zanim będziemy mogli skonfigurować sam klaster lub dodać do niego węzły serwerów, musimy
najpierw sprawdzić konfigurację sprzętową. Klaster pracy awaryjnej jest dość złożonym zesta-
wem technologii, więc istnieje wiele elementów, których niepoprawne konfiguracje lub niespój-
ności mogłyby doprowadzić do awarii całego środowiska. Twoje plany związane z konfiguracją
klastra mają oczywiście na celu uzyskanie niezawodnej redundancji, ale nawet prosty błąd
w konfiguracji serwerów składowych może powodować problemy na tyle duże, że awaria
węzła nie doprowadzi do automatycznego odzyskania systemu, co kłóci się z głównym celem
definiowania klastra. Aby się upewnić, że wszystkie szczegóły zostaną poprawnie skonfigu-
rowane, w Menedżerze klastra pracy awaryjnej zdefiniowano kilka złożonych procedur
sprawdzania, które są czymś w rodzaju wbudowanego analizatora najlepszych wzorców postę-
powania. Analizę można uruchomić w dowolnym momencie — przed stworzeniem klastra
lub po wielu latach jego produkcyjnego użytkowania. Jeśli kiedykolwiek będziesz musiał
wysłać zgłoszenie do pomocy technicznej w firmie Microsoft, najprawdopodobniej pierwszą
czynnością, o którą zostaniesz poproszony, będzie uruchomienie narzędzi sprawdzania popraw-
ności konfiguracji i umożliwienie pracownikom działu obsługi technicznej przejrzenia wyników.
Na ekranie Testing Options (Opcje testowania) można wybrać opcję Run only tests I select (Uru-
chom tylko wybrane testy), dzięki czemu będziesz mógł uruchomić tylko określone testy kontrol-
ne. W zasadzie podczas konfigurowania nowego klastra będziesz chciał uruchomić wszystkie
testy, aby się upewnić, że wszystko działa poprawnie. W systemie produkcyjnym można jed-
nak ograniczyć liczbę uruchomionych testów. Jest to stwierdzenie szczególnie prawdziwe w od-
niesieniu do testowania opcji Storage (Magazyn), ponieważ w tym przypadku podczas urucha-
miania testów klaster może przejść w tryb offline, a przecież nie chciałbyś ingerować w działające
usługi produkcyjne, jeśli nie wykonujesz swojej pracy w zaplanowanym oknie obsługi (zobacz
drugi rysunek na następnej stronie).
336
Rozdział 9. • Redundancja w systemie Windows Server 2019
Ponieważ zakładam nowy klaster, pozwolę sobie na uruchomienie wszystkich testów, dlatego
zalecaną opcję Run all tests (recommended) (Uruchom wszystkie testy (zalecane)) pozostawiam
wybraną i klikam przycisk Next (Dalej):
337
Windows Server 2019 dla profesjonalistów
zielonym jest pozytywny, w czerwonym natomiast negatywny, a kolor żółty oznacza, że opcja
będzie działać, ale nie stosujesz się do najlepszych wzorców. Na przykład każdy z moich serwe-
rów jest wyposażony tylko w jedną kartę sieciową. Kreator ostrzega, że powinny one zawierać po
dwie karty, aby moja konfiguracja była naprawdę redundantna. Oczywiście, będę mógł kontynu-
ować pracę, ale otrzymam wskazówkę, że powinienem ulepszyć klaster przez dodanie drugiej
karty sieciowej do każdego z węzłów.
Jeśli kiedykolwiek będziesz musiał ponownie otworzyć ten raport lub go pobrać, aby zapisać go
w bezpiecznym miejscu, pamiętaj o tym, że znajduje się on w katalogu, z którego uruchomiono
testy, czyli C:\Windows\Cluster\Reports:
Ponownie musimy najpierw określić, które serwery powinny być częścią nowego klastra, dlatego
wprowadzę tutaj nazwy swoich serwerów, WEB1 i WEB2. Oprócz tego w celu skonfigurowania
klastra nie trzeba podawać zbyt wielu danych, jednakże na ekranie Access Point for Administering
the Cluster (Punkt dostępu do administrowania klastrem) musisz wprowadzić unikatową nazwę,
która będzie używana przez klaster i współdzielona między jego serwerami składowymi. Jest
ona znana jako Cluster Name Object (obiekt nazwy klastra, w skrócie CNO). Po zakończeniu
konfiguracji klastra zobaczysz tę nazwę w postaci obiektu AD:
338
Rozdział 9. • Redundancja w systemie Windows Server 2019
339
Windows Server 2019 dla profesjonalistów
Począwszy od wersji Server 2019 świadek może być zwykłym dyskiem USB i nie musi nawet
zostać podłączony do systemu Windows Server! Istnieje wiele urządzeń sieciowych (przełącz-
niki, routery itp.), które mogą akceptować nośniki danych oparte na USB. Pamięć USB podłą-
czona do takiego urządzenia sieciowego spełnia wymagania świadka klastra. Jest to ważna
zaleta podczas definiowania klastrów w niewielkich środowiskach.
340
Rozdział 9. • Redundancja w systemie Windows Server 2019
instalacji. Jeśli jednak masz serwery połączone z różnymi domenami, możesz teraz ustanowić
klaster między nimi. Ponadto serwery składowe klastra mogą obecnie należeć tylko do grupy
roboczej i wcale nie muszą zostać dołączone do domeny.
Chociaż poszerza to dostępne możliwości tworzenia klastrów pracy awaryjnej, jest również kilka
ograniczeń. Podczas korzystania z klastrów w wielu domenach lub grupie roboczej będziesz
musiał używać wyłącznie programu PowerShell, który jest interfejsem służącym do zarządzania.
Jeśli jesteś przyzwyczajony do interakcji z klastrami za pomocą jednego z narzędzi graficz-
nych, powinieneś w tym przypadku zmienić swój sposób myślenia. Konieczne będzie również
utworzenie lokalnego konta użytkownika, które zostanie użyte w klastrze i udostępnione do każ-
dego z jego węzłów. Konto musi mieć na tych serwerach węzłowych uprawnienia administracyjne.
Sztuczka, która obecnie umożliwia bezproblemową aktualizację, polega na tym, że sam klaster
nadal działa na poziomie funkcjonalności 2012 R2, dopóki nie wydasz polecenia przełączenia go
na poziom funkcjonalności systemu Server 2016. Do czasu wykonania tego polecenia klaster
działa na starszym poziomie funkcjonalnym, nawet w przypadku nowo wprowadzonych węzłów
zaopatrzonych w system operacyjny Server 2016. W trakcie indywidualnego uaktualniania
pojedynczych węzłów pozostałe serwery, które nadal są aktywne w klastrze, pozostają w trybie
341
Windows Server 2019 dla profesjonalistów
online i wciąż obsługują użytkowników i aplikacje, dzięki czemu wszystkie systemy z punktu wi-
dzenia środowiska działają poprawnie. Nowe maszyny z systemem Server 2016, które są doda-
wane do klastra, przechodzą w tryb online, ale na poziomie funkcjonalności Windows Server
2012 R2. Jest to określane jako tryb mieszany. Dzięki temu możesz nawet usunąć ostatnią ma-
szynę z Windows 2012 R2, zmienić jej system na Server 2016 i przywrócić do klastra — nikt
nie będzie o tym wiedział. Następnie, po zakończeniu wszystkich aktualizacji systemu opera-
cyjnego, wydajesz w programie PowerShell polecenie Update-ClusterFunctionalLevel, aby przełą-
czyć poziom funkcjonalności, i masz w wyniku tego klaster systemu Windows Server 2016,
który został bezproblemowo zaktualizowany bez przestojów.
Inna zmiana polega na tym, że niepoprawnie działające węzły klastra są obecnie umieszczane
w kwarantannie na czas określony przez administratora. Nie wolno im ponownie przyłączyć
się do klastra, dopóki nie zostaną zidentyfikowane jako w pełni funkcjonalne i nie spędzą okre-
ślonego czasu w kwarantannie. Zapobiega to sytuacjom takim jak awaria węzła, który utknął
w czasie restartu, ponieważ niezamierzenie przyłączył się do klastra, i powodował ciągłe pro-
blemy przez to, że cyklicznie przełączał swój stan z offline na online.
Storage Replica
Storage Replica (w skrócie SR) to nowy sposób synchronizacji danych między serwerami.
Jest to technologia replikacji danych na poziomie bloków, która umożliwia wykonywanie
procesu kopiowania pomiędzy serwerami znajdującymi się nawet w różnych lokalizacjach
fizycznych. Storage Replica jest pewnym rodzajem redundancji, który nie istniał przed wy-
daniem systemu Windows Server 2016. Wcześniej, aby skorzystać z takiej funkcjonalności,
musieliśmy polegać na narzędziach innych firm. Tę technologię warto przy tym zaprezento-
wać zaraz po analizie klastra pracy awaryjnej, ponieważ jest ona tajemniczym składnikiem,
który umożliwia tworzenie klastrów pracy awaryjnej korzystających z wielu lokalizacji. Jeśli
chcesz zarządzać węzłami klastra znajdującymi się w wielu różnych lokalizacjach fizycz-
342
Rozdział 9. • Redundancja w systemie Windows Server 2019
nych, potrzebujesz sposobu, aby się upewnić, że dane używane przez te węzły są synchroni-
zowane w sposób ciągły, tak aby możliwe było zrealizowanie przełączenia awaryjnego. Taki
przepływ danych zapewnia technologia Storage Replica.
Jedną ze sprytnych cech rozwiązania Storage Replica jest to, że pozwala jednemu dostawcy
rozwiązania (przy czym tym dostawcą jest oczywiście firma Microsoft) udostępniać kom-
pleksową technologię i oprogramowanie służące do przechowywania danych oraz tworzenia
klastrów. Jest ono również niezależne od sprzętu, co daje możliwość korzystania z własnych
nośników pamięci.
Jeśli chodzi o system Windows Server 2019, wart podkreślenia jest fakt, że technologia Storage
Replica jest obecnie dostępna już w wersji Server 2019 Standard Edition (wcześniej wymagała
ona wersji Datacenter, która nie mogła być wykorzystywana w niektórych implementacjach)!
Zarządzanie rozwiązaniem jest możliwe za pomocą znanej już Ci aplikacji Windows Admin
Center (WAC).
Mówiąc w skrócie, S2D jest sposobem pozwalającym zbudować niezwykle wydajną i redun-
dantnie scentralizowaną platformę przechowywania danych opartą na sieci, wykorzystującą
wyłącznie serwery Windows. Mimo że zadaniem tej technologii jest przechowywanie plików,
przez co nie różni się od tradycyjnych systemów NAS lub SAN, jest oparta na zupełnie innym
rozwiązaniu, ponieważ nie wymaga specjalistycznego sprzętu, specjalnych przewodów ani
połączenia między węzłami klastra S2D.
343
Windows Server 2019 dla profesjonalistów
Dzięki tej technologii dyski twarde serwerów będących węzłami klastra S2D zostaną połą-
czone ze sobą, tak że utworzą pule pamięci definiowane programowo. Te pule pamięci będą
miały funkcje buforowania, a nawet wbudowaną odporność na uszkodzenia. Oczywiście nie
chciałbyś, aby pojedynczy węzeł S2D, a nawet pojedynczy dysk twardy przestał działać, co mo-
głoby spowodować problem dla środowiska Storage Space Direct. Oczywiście firma Microsoft
także nie chce, aby tak się stało. Gdy więc grupujesz serwery i umieszczasz wszystkie ich
dyski twarde w dużych pulach pamięci S2D, dyski te są automatycznie konfigurowane w taki
sposób, aby informacje o parzystości były rozproszone pomiędzy nimi, tak więc nawet jeśli
jakiś komponent przestanie działać, nie spowoduje to utraty danych, ani nawet spowolnienia
systemu.
Chociaż w przypadku wersji Server 2016 obsługa S2D polega głównie na wykorzystaniu pro-
gramu PowerShell (co niestety oznacza, że wielu administratorów nie próbowało wdrażać
tego rozwiązania), jednak Windows Server 2019 zapewnia nowy zestaw narzędzi i opcji konfigu-
racyjnych, zawarty w aplikacji Windows Admin Center:
344
Rozdział 9. • Redundancja w systemie Windows Server 2019
Podsumowanie
Redundancja jest we współczesnym świecie kluczowym elementem wpływającym na sposób
planowania infrastruktury i tworzenia serwerów. Windows Server 2019 ma wbudowane potęż-
ne funkcje, z których natychmiast możesz skorzystać w swoim środowisku! Mam nadzieję, że
dzięki zdobyciu odpowiedniej wiedzy na temat zarówno równoważenia obciążenia sieciowego,
jak i klastra pracy awaryjnej będziesz w stanie usprawnić działanie swojej organizacji przez
zastosowanie zaprezentowanych technik i poprawę współczynnika dostępności usług. Jeśli mógł-
bym coś zasugerować, rozpocznij od zbudowania własnej infrastruktury hiperkonwergentnej.
Wykorzystaj w tym celu bezpośrednie miejsce do magazynowania i klaster pracy awaryjnej,
dzięki czemu Twoja infrastruktura Hyper-V zostanie uodporniona. Wdrożenie infrastruktury
hiperkonwergentnej zmieni sposób Twojej pracy i zapewni Ci spokój, którego wcześniej nie
mógłbyś osiągnąć w świecie dążącym do 99,999% ciągłości czasu działania. W następnym roz-
dziale przyjrzymy się programowi PowerShell.
345
Windows Server 2019 dla profesjonalistów
Pytania
1. Jaka technologia jest bardziej odpowiednia do implementacji redundancji ruchu
sieciowego na serwerze WWW — równoważenie obciążenia sieciowego czy klaster
pracy awaryjnej?
2. Co oznaczają akronimy DIP i VIP w przypadku równoważenia obciążenia
sieciowego?
3. Jakie są trzy tryby pracy równoważenia obciążenia sieciowego?
4. Czy opcja „równoważenie obciążenia sieciowego” jest w systemie Windows
Server 2019 rolą czy funkcją?
5. Jakie role są najczęściej wykorzystywane w przypadku klastra pracy awaryjnej?
6. Jakiego rodzaju niewielkiego urządzenia można obecnie używać jako świadka
kworum klastra (jest to nowość w systemie Server 2019)?
7. Bezpośrednie miejsce do magazynowania wymaga użycia dysków SSD —
prawda czy fałsz?
346
10
PowerShell
Bądźmy szczerzy — wielu z nas nadal codziennie korzysta z wiersza poleceń. Jeśli jednak
należysz do tych osób, które zaczęły używać nowszej powłoki PowerShell jako całkowitego
zamiennika wiersza poleceń, czapki z głów! Sam nadal mam tendencję do otwierania z przy-
zwyczajenia programu cmd.exe, chociaż w najnowszych wersjach systemu Windows 10
i Windows Server 2019 zdecydowanie częściej podejmuję świadomy wysiłek, aby korzystać
z nowszego, bardziej niebieskiego, ładniejszego i potężniejszego interfejsu, jakim jest PowerShell.
W tym rozdziale dowiesz się, dlaczego też powinieneś to zrobić. Poza faktem, że firma Micro-
soft zmniejszyła domyślny rozmiar czcionki w oknie starego interfejsu, aby zniechęcić nas
do korzystania z niego (co uważam za dość zabawne), istnieją przyczyny czysto techniczne,
dla których PowerShell jest o wiele bardziej przydatny i potężniejszy, niż kiedykolwiek mógłby
być wiersz poleceń.
Ograniczenia wiersza poleceń, które zmuszają Cię do używania myszy i współpracy z inter-
fejsem graficznym, nie istnieją w programie PowerShell. Jest on jak najbardziej wszech-
stronny i może modyfikować prawie każdy aspekt systemu operacyjnego Windows. W jaki
sposób PowerShell stał się o wiele potężniejszy niż wiersz poleceń? Różni się on od dowol-
nej klasycznej powłoki poleceń tym, że został zbudowany na platformie .NET, i dlatego jest
bardziej podobny do języka programowania niż prostych instrukcji wejścia i wyjścia.
Polecenia cmdlet
Większość funkcji, których użyje tradycyjny administrator serwera, będzie miało postać pole-
ceń cmdlet (skrót od angielskich słów command-let). Są to polecenia uruchamiane z wiersza
poleceń programu PowerShell, ale można je traktować raczej jako narzędzia niż proste in-
strukcje. Poleceń cmdlet można używać zarówno do uzyskiwania informacji, jak i wprowadza-
nia danych i parametrów do serwera. Wiele poleceń cmdlet ma intuicyjne nazwy, które zaczy-
nają się od get lub set. Podobnie jak większość interfejsów wiersza poleceń, również każde
polecenie cmdlet zawiera różne przełączniki lub opcje, które można konfigurować i umiesz-
czać na końcu instrukcji, aby uzyskać zaawansowaną funkcjonalność. Warto wiedzieć, że pole-
cenia cmdlet zawsze występują w postaci czasownik-rzeczownik. Ty określasz akcję, którą
chcesz wykonać (na przykład get lub set), a następujący po niej rzeczownik jest elementem
systemu Windows, który próbujesz modyfikować. Oto kilka prostych przykładów poleceń
cmdlet w programie PowerShell, które dają wyobrażenie o tym, jak one wyglądają i jak proste
mają nazwy:
Get-NetIPAddress: za pomocą tego polecenia cmdlet możemy wyświetlić adresy
IP istniejące w naszym systemie.
Set-NetIPAddress: możemy użyć tego polecenia do zmodyfikowania istniejącego
adresu IP.
New-NetIPAddress: to polecenie cmdlet pozwala nam utworzyć dla komputera
nowy adres IP.
Rename-Computer: jak już wiesz, to polecenie umożliwia szybkie i łatwe
wprowadzenie nazwy komputera w systemie.
Jeśli nie będziesz pamiętać nazwy lub składni określonego polecenia, zawsze możesz sko-
rzystać z witryny internetowej Microsoft Docs (dawniej, a czasami i obecnie nazywanej
TechNetem), która zawiera pełne informacje o każdym poleceniu cmdlet dostępnym w pro-
gramie PowerShell. Może być ona niezwykle przydatna, ale niekiedy po prostu nie będziesz
chciał tracić czasu na wchodzenie do internetu, aby znaleźć nazwę polecenia, którego w tej
chwili nie pamiętasz. Jedno z najbardziej przydatnych poleceń cmdlet w programie Po-
werShell wyświetla listę wszystkich dostępnych poleceń. Koniecznie sprawdź w działaniu
Get-Command:
348
Rozdział 10. • PowerShell
Wyświetliło się nam mnóstwo stron z poleceniami cmdlet! Zamiast przeszukiwać całą listę,
aby znaleźć potrzebne polecenie, można w prosty sposób ją przefiltrować według dowol-
nych kryteriów. Gdybyśmy chcieli zobaczyć tylko polecenia dotyczące adresowania IP, mo-
glibyśmy spróbować wykonać coś takiego:
Get-Command -Name *IPAddress*
349
Windows Server 2019 dla profesjonalistów
że tak naprawdę nic nie zostało wykonane. To było chyba zbyt proste, a program za szybko
przetworzył moje polecenie, prawda? W każdym razie lepiej wrócę do interfejsu graficzne-
go, aby dokładniej sprawdzić, czy PowerShell rzeczywiście wykonał zadanie.
Gdy zacząłem używać programu PowerShell, ciągle mnie kusiło, aby robić dokładnie to, o czym
wspomniałem powyżej. Ale im częściej go wykorzystywałem i im dokładniej analizowałem
interfejsy graficzne, tym bardziej zdawałem sobie sprawę, że nie tylko ja go używam. Wiele gra-
ficznych narzędzi administracyjnych również to robi! Nawet nie zdając sobie z tego sprawy,
używasz programu PowerShell do wykonywania różnych zadań w systemie operacyjnym
Windows Server. Co się stanie, gdy otworzysz konsolę zarządzania, aby mieć możliwość mo-
dyfikacji każdego składnika serwera, wprowadzisz jakąś zmianę, a następnie klikniesz przycisk
Przejdź lub Zakończ? Jak myślisz, w jaki sposób ta konsola graficzna wprowadziła do syste-
mu Twoją modyfikację? Użyła programu PowerShell. Konsola w tle odczytuje wprowadzane
informacje i uzupełnia nimi polecenia cmdlet programu PowerShell, które następnie uruchamia
w celu wykonania rzeczywistej akcji. Wiele narzędzi administracyjnych, które uruchamiamy
z poziomu Menedżera serwera, stosuje taką metodę — oczekuje na wprowadzenie danych, a na-
stępnie umieszcza odpowiednie parametry w poleceniach programu PowerShell, które
działają w tle, aby wprowadzić zmiany w życie.
Nie powinieneś się więc wahać przed użyciem programu PowerShell, jeśli uważasz, że po
prostu nie jesteś do niego przyzwyczajony lub nie ufasz, że będzie on działać inaczej niż używany
przez Ciebie interfejs graficzny. Pamiętaj, że gdy używasz myszy do zmiany ustawień na
serwerze, w rzeczywistości wywołujesz polecenia cmdlet programu PowerShell.
Skrypty
Im więcej korzystasz z programu PowerShell, tym staje się on potężniejszy. Oprócz doraź-
nego uruchamiania pojedynczych instrukcji i poleceń cmdlet możesz tworzyć złożone
skrypty, które mogą wykonywać różne czynności. Jak pamiętasz, wspomniałem, że program
PowerShell jest podobny do zwykłego języka programowania. Do tego przyczyniają się wła-
śnie skrypty. PowerShell zapewnia możliwość tworzenia plików skryptów, co wkrótce zrobimy,
aby mieć je pod ręką i od czasu do czasu łatwo uruchamiać. Podobnie jak w innych językach,
można również używać zmiennych, co pozwala definiować parametry wejściowe i obiekty,
które mogą być używane przez skrypty, a dzięki temu czynić je bardziej uniwersalnymi i osiągać
jeszcze większą funkcjonalność.
Server Core
Jeśli istniałby jakikolwiek obszar, w którym jako administratorzy serwerów moglibyśmy le-
piej wykorzystać dostępną technologię, byłoby to, moim zdaniem, użycie programu Po-
werShell do realizacji modelu scentralizowanego zarządzania zdefiniowanego przez firmę
Microsoft. Gdy musimy coś zrobić na serwerze, najczęściej logujemy się do tego serwera
(zwykle przez RDP), a następnie używamy myszy do klikania opcji, aby wykonać zadanie.
Logowanie do serwera staje się coraz bardziej niepotrzebne, ponieważ moglibyśmy zaosz-
350
Rozdział 10. • PowerShell
Tego rodzaju zdalne zarządzanie nie tylko staje się bardziej wydajne, ale także jest niezbęd-
ne, ponieważ zaczynamy coraz częściej używać serwerów bezobsługowych. Mam nadzieję,
że poziom wykorzystania systemu Server Core w naszych organizacjach zwiększy się w ciągu
najbliższych kilku lat, a interakcja z takimi serwerami będzie wymagać od administratorów
zmiany sposobu myślenia. Gdy nauczysz się wykonywać codzienne zadania z poziomu programu
PowerShell, będziesz lepiej przygotowany do rozpoczęcia administrowania serwerami bez-
obsługowymi, które będą wymagały od Ciebie innego rodzaju interakcji, niż do tej pory
zwykle stosowałeś.
Ponieważ staram się używać klawiatury do wszystkiego, co tylko możliwe, sposobem, w jaki
zwykle otwieram program PowerShell, jest przytrzymanie klawisza Windows i naciśnięcie R
w celu otwarcia okna Run (Uruchamianie), wpisanie słowa powershell i naciśnięcie klawisza Enter
(zobacz pierwszy rysunek na następnej stronie).
351
Windows Server 2019 dla profesjonalistów
352
Rozdział 10. • PowerShell
Jeśli klikniesz prawym przyciskiem myszy przycisk Start, a w wyświetlonym menu nie znajdziesz
opcji pozwalających na otwarcie programu PowerShell, ale zamiast tego będziesz mógł otwo-
rzyć wiersz poleceń, nie przejmuj się. Te opcje są konfigurowalne, więc w menu szybkich
zadań administracyjnych możesz wyświetlić akcje związane z wierszem poleceń lub programem
PowerShell. Jeśli prawym przyciskiem myszy klikniesz pasek zadań i wybierzesz opcję Taskbar
settings (Ustawienia paska zadań), będziesz mógł znaleźć przełącznik o długiej nazwie Replace
Command Prompt with Windows PowerShell in the menu when I right-click the start button
or press Windows key+X (Po kliknięciu prawym przyciskiem myszy przycisku Start lub naciśnię-
ciu klawiszy Windows+X zastępuj w menu wiersz polecenia programem Windows PowerShell).
Jego przełączanie będzie powodować odpowiednią zmianę zawartości menu.
Możesz również wywołać program PowerShell z istniejącego okna wiersza poleceń. Zwykle
podczas pracy z użyciem wiersza poleceń nie można stosować żadnych poleceń cmdlet pro-
gramu PowerShell. Spróbujmy to zmienić. Otwórz administracyjne okno wiersza poleceń i spró-
buj wpisać nazwę jednego z poleceń cmdlet, o których wspominałem. Możesz przykładowo użyć
polecenia Get-NetIPAddress, aby wyświetlić dostępne adresy IP w systemie. Ojej, nie udało się,
ponieważ polecenie cmdlet Get-NetIPAddress po prostu nie zostało rozpoznane.
A teraz wprowadź słowo powershell i naciśnij klawisz Enter. Nie zostało otwarte nowe okno pro-
gramu PowerShell, ale w istniejącym zmienił się tylko znak zachęty. Jesteś obecnie w powłoce
PowerShell, która została uruchomiona z wnętrza czarnego okna wiersza poleceń, więc możesz
zacząć swobodnie używać poleceń cmdlet. Ponowne uruchomienie polecenia Get-NetIPAddress
wygeneruje już pewne informacje:
Z powłoki PowerShell możesz wrócić do zwykłego trybu wiersza poleceń przez wpisanie pole-
cenia exit.
353
Windows Server 2019 dla profesjonalistów
Nie powinno się to zdarzyć na zupełnie nowej instancji systemu Windows Server 2019, ale
może się zdarzyć, jeśli w serwerze zostaną użyte obiekty GPO lub jeśli użyjesz innego sys-
temu operacyjnego i spróbujesz uruchomić niektóre skrypty PowerShell. Wówczas możesz
zaraz na początku utknąć przy jednym z tego typu komunikatów o błędzie. Chociaż sposób
działania niektórych wersji systemu Windows, domyślnie blokujących uruchamianie skryptów,
oznacza poprawę poziomu bezpieczeństwa, powoduje też powstanie problemu, który należy
w jakiś sposób rozwiązać. Jeśli go napotkasz, na szczęście rozwiązanie będzie proste: aby
umożliwić poprawne wykonanie skryptów, wystarczy w programie PowerShell dostosować
domyślne zasady wykonywania (ang. Default Execution Policy — DEP).
Niestety, nie jest to zwykłe wyłączenie lub włączenie opcji. Zasady wykonywania mają pięć
różnych poziomów i ważne jest, aby zrozumieć każdy z nich, ponieważ dzięki temu będziesz
mógł wybrać odpowiednią opcję w kontekście zabezpieczeń, które chcesz wprowadzić na swoich
serwerach. Oto objaśnienia dotyczące każdego z poziomów, w kolejności od konfiguracji
najbardziej bezpiecznej do najmniej bezpiecznej.
Restricted
Zasady Restricted pozwalają co prawda na uruchamianie instrukcji i poleceń cmdlet, ale całko-
wicie blokują wykonywanie skryptów.
AllSigned
Każdy uruchamiany skrypt musi zostać podpisany przez zaufanego wydawcę. Jeśli wybierzesz
zasady AllSigned, nawet te skrypty, które sam napiszesz, będą musiały przejść proces sprawdza-
nia poprawności i zostać podpisane, zanim będą mogły być uruchamiane.
RemoteSigned
Jest to domyślna zasada w systemie Windows Server 2019. W przypadku skryptów pobranych
z internetu wymaga się, aby były one podpisane podpisem cyfrowym pochodzącym od zaufanego
wydawcy. Jeśli jednak zdecydujesz się utworzyć własne skrypty, będziesz mógł je uruchamiać,
nawet jeśli nie będą podpisane cyfrowo.
354
Rozdział 10. • PowerShell
Unrestricted
Podpisane lub niepodpisane skrypty mogą być uruchamiane. Nadal pojawia się ostrzeżenie
podczas korzystania ze skryptów pobranych z internetu.
Bypass
W trybie Bypass nic nie jest blokowane i nie są wyświetlane żadne ostrzeżenia podczas urucha-
miania skryptów. Krótko mówiąc, jesteś zdany wyłącznie na siebie.
Czasami pojedyncza zasada wykonania nie spełnia wszystkich Twoich wymagań. Zależy to od
tego, w jaki sposób korzystasz ze skryptów PowerShell. Zasady DEP można więc dodatkowo
ulepszyć przez określenie zakresu zasad wykonywania (ang. Execution Policy Scope), który po-
zwala zdefiniować różne zasady wykonywania dla różnych aspektów systemu. Trzy zakresy,
które można wykorzystywać, to Process (proces), CurrentUser (bieżący użytkownik) i Local-
Machine (maszyna lokalna). Domyślnie zasady DEP dotyczą maszyny lokalnej, więc wszystkie
uruchomione skrypty są z nimi zgodne. Możesz jednak zdefiniować inne zasady DEP dla bie-
żącego użytkownika, lub nawet pojedynczego procesu, jeśli jest to wymagane.
Jeśli nie jesteś pewien, jakie są obecne zasady wykonywania, lub podejrzewasz, że ktoś mógł
je zmienić, możesz łatwo wyświetlić zdefiniowany poziom DEP za pomocą prostego polecenia
cmdlet o nazwie Get-ExecutionPolicy. Jak widać na poniższym zrzucie ekranu, moje zasady
DEP mają poziom Restricted, co wyjaśnia pojawienie się wcześniej zaprezentowanego komuni-
katu o błędzie, gdy próbowałem uruchomić skrypt:
Po podjęciu decyzji, jaki poziom DEP chciałbyś ustawić na serwerze lub stacji roboczej, możesz
użyć prostego polecenia cmdlet, aby to wykonać. Moje serwery znajdują się w laboratorium
testowym, w sieci odizolowanej, dlatego nie martwię się o ich bezpieczeństwo. Chciałbym więc,
aby ich skrypty mogły być uruchamiane, dlatego zamierzam zmienić poziom na Unrestricted.
Oto w jaki sposób należy to zrobić (zobacz pierwszy rysunek na następnej stronie):
Set-ExecutionPolicy Unrestricted
355
Windows Server 2019 dla profesjonalistów
Jeśli wpiszesz ciąg znaków get-co, a następnie naciśniesz klawisz Tab, w oknie automatycz-
nie pojawi się pełne polecenie cmdlet Get-Command. Ponieważ istnieje wiele poleceń cmdlet,
które zaczynają się od znaków get-co, po kilkakrotnym naciśnięciu klawisza Tab będzie
można zauważyć, że są one cyklicznie wyświetlane.
Klawisz Tab działa również w przypadku nazw plików i folderów. Przykładowo pobrałem
poprawkę, którą należy zainstalować na serwerze. Chcę uruchomić tę poprawkę za pomocą
wiersza poleceń programu PowerShell, który mam już otwarty, ale nie chcę marnować czasu,
próbując wpisać jej bardzo długą nazwę. Przemieściłem się już do folderu, w którym znajduje
się moja poprawka. Jeśli teraz po prostu podam kilka pierwszych liter nazwy pliku i nacisnę
klawisz Tab, PowerShell uzupełni resztę nazwy pliku. Następnie wystarczy nacisnąć klawisz
Enter, aby uruchomić instalatora:
356
Rozdział 10. • PowerShell
357
Windows Server 2019 dla profesjonalistów
Polecenie shutdown
Jeśli uruchomisz proste polecenie shutdown, system wyłączy się po minucie. Nie jestem pewien,
dlaczego taka jest domyślna funkcjonalność, ponieważ nigdy nie spotkałem żadnego admini-
stratora IT, który tak naprawdę chciałby poczekać dodatkową minutę przed wyłączeniem
systemu. Na szczęście możemy zmienić ten czas. W poleceniu shutdown /r /t 0 zdecydowałem,
że chcę zrestartować system, zamiast go zamykać (opcja /r). Zarządziłem także, aby polecenie
czekało zero sekund przed wykonaniem restartu (opcja /t 0). Dzięki temu następuje on natych-
miast i nie muszę czekać na upłynięcie domyślnych 60 sekund.
Polecenie Install-WindowsFeature
Użyj polecenia Install-WindowsFeature programu PowerShell, aby uprościć instalację ról i funk-
cji na serwerach.
358
Rozdział 10. • PowerShell
Polecenie New-NetIPAddress
Użyj polecenia New-NetIPAddress, aby przypisać adresy IP do swoich kart sieciowych. Oto
przykład:
New-NetIPAddress -InterfaceIndex 12 -IPAddress 10.10.10.40 -PrefixLength
24 -DefaultGateway 10.10.10.1
Polecenie Set-DnsClientServerAddress
Polecenie Set-DnsClientServerAddress jest często używane w połączeniu z poleceniem
New-NetIPAddress. Służy ono do wprowadzania adresów serwerów DNS we właściwościach
karty sieciowej, na przykład:
Set-DnsClientServerAddress -InterfaceIndex 12 -ServerAddresses 10.10.10.2,10.10.10.3
359
Windows Server 2019 dla profesjonalistów
pomocy jest więc oddzielną jednostką i nie musi być aktywowana w danym poleceniu, inaczej
niż w przypadku znaku zapytania.
Parametr Format-Table
Cel parametru Format-Table jest dość prosty: dane wyjściowe z polecenia są wyświetlane w po-
staci tabeli. Powoduje to, że informacje są zasadniczo łatwiejsze do odczytania i zrozumienia.
Spójrzmy na przykład. Użyliśmy kilka razy polecenia Get-NetIPAddress, ale bądźmy szczerzy,
otrzymane wyniki są trochę nieuporządkowane. Uruchomienie polecenia cmdlet na moim
serwerze wirtualnym, do którego przypisano tylko jedną kartę sieciową, powoduje wyświetlenie
360
Rozdział 10. • PowerShell
czterech stron danych w oknie programu PowerShell, włącznie z wszelkiego rodzaju polami
informacyjnymi, które są niewypełnione lub nieistotne podczas wyszukiwania adresów IP
przypisanych do serwera:
361
Windows Server 2019 dla profesjonalistów
Niektórzy czytelnicy mogą znać polecenie cmdlet o nazwie Select-Object, które ma tę samą
funkcjonalność co parametr Format-Table. Chociaż Select-Object wydaje się bardziej znanym
poleceniem, z mojego doświadczenia wynika, że jest ono mniej wydajne niż użycie parametru
Format-Table, dlatego sugeruję, abyś postarał się je przetestować.
Parametr Format-List
Parametr Format-List działa podobnie do opcji Format-Table i pozwala na wyświetlenie danych
wyjściowych polecenia w postaci listy właściwości. Wypróbujmy to w praktyce. Wiesz już,
że Get-Command udostępnia nam polecenia cmdlet dostępne w programie PowerShell i domyślnie
wyświetla je w formie tabeli.
Jeśli jednak chcielibyśmy wyświetlić dane wyjściowe w postaci listy, która dodatkowo zawierałaby
więcej informacji przy każdym z poleceń cmdlet, moglibyśmy użyć następującej instrukcji:
Get-Command | Format-List
W wyniku otrzymałem tak olbrzymią ilość informacji, że moje okno programu PowerShell
miało problem z ich wyświetleniem. Może więc powinniśmy trochę ją zmniejszyć przez ogra-
niczenie zakresu wyszukiwania. Wyszukajmy zatem wszystkie polecenia cmdlet zawierające
słowo Restart i wyświetlmy je w formacie listy:
Get-Command -Name *Restart* | Format-List
362
Rozdział 10. • PowerShell
Skrypty w programie PowerShell wykorzystują ten sam pomysł, ale są znacznie potężniejsze.
Instrukcje wykonywane w wierszu poleceń są użyteczne, ale ograniczone, podczas gdy polecenia
cmdlet programu PowerShell umożliwiają zarządzanie dowolnymi elementami systemu opera-
cyjnego. Z powłoki PowerShell możemy się również odwoływać do wewnętrznych zmiennych
środowiskowych lub rejestru. Można z łatwością wydawać polecenia zdalnym systemom, a na-
wet używać zmiennych w skryptach PowerShell, tak jak w przypadku dowolnego typowego
języka programowania.
Poznaj kilka różnych sposobów, za pomocą których możesz rozpocząć tworzenie swoich pierw-
szych skryptów PowerShell.
363
Windows Server 2019 dla profesjonalistów
Pliki PS1
Prosty plik .PS1 (plik skryptów PowerShell) tworzy się prawie tak samo jak plik .BAT. Wystarczy
w swoim ulubionym edytorze utworzyć nowy dokument tekstowy, umieścić w nim szereg
instrukcji lub poleceń cmdlet, a następnie zapisać plik jako NAZWA_PLIKU.PS1. Jeśli środowi-
sko PowerShell pozwala na uruchamianie skryptów (patrz wcześniejszy punkt „Domyślne
zasady uruchamiania”), możesz teraz kliknąć dwukrotnie ten plik lub uruchomić go z dowol-
nego okna programu PowerShell, aby wykonać zapisaną w nim serię poleceń. Sprawdźmy to
w praktyce i udowodnijmy, że możemy stworzyć prosty skrypt, a następnie go uruchomić.
Ponieważ zamierzasz tworzyć skrypty wykonujące określone zadania, zastanówmy się nad
przykładem z realnego świata. Dość często zdarza mi się obsługiwać serwery terminalowe
— przepraszam, serwery RDS — a częste żądanie klientów dotyczy informacji o tym, jacy użyt-
kownicy są zalogowani do których serwerów. Prostym sposobem na zebranie tych informacji
jest utworzenie skryptu, który będzie zapisywał w pliku dane użytkownika podczas jego logowa-
nia. Taki skrypt powinien się uruchamiać w trakcie procesu logowania. Aby skrypt był bardziej
interesujący i uniwersalny, zamierzam wykorzystać niektóre zmienne zawierające nazwę
użytkownika oraz bieżącą datę i godzinę, a także zapamiętać nazwę serwera RDS, do którego
się loguję. W ten sposób mogę przeanalizować zbiorczy zestaw dzienników i łatwo ustalić,
którzy użytkownicy byli zalogowani na poszczególnych serwerach. Do stworzenia tego
skryptu zamierzam użyć programu Notatnik. Otworzyłem jego nową instancję, wprowadziłem
poniższe polecenia i zapisuję plik jako C:\Scripts\UserReporting.ps1:
$User = $env:username
$RDSH = $env:computername
$Date = Get-Date
echo $User,$Date,$RDSH | Out-File C:\Scripts\UserReporting.txt -append
Prawdopodobnie wiesz już, co wykonuje ten skrypt, ale i tak postaramy się go przeanalizo-
wać. Po pierwsze, definiujemy trzy zmienne. Zmiennej $User przypisujemy wartość odczytaną
ze zmiennej środowiskowej przechowującej nazwę użytkownika systemu. Zmienna $RDSH
będzie nazwą serwera, na którym loguje się użytkownik. Tę nazwę również pobieramy z odpo-
364
Rozdział 10. • PowerShell
365
Windows Server 2019 dla profesjonalistów
przyciskiem myszy i wybrać opcję Edit (Edytuj). W przeciwnym razie kliknij prawym przyci-
skiem myszy ikonę aplikacji PowerShell (na przykład znajdującą się na pasku zadań), a znajdziesz
opcję uruchomienia programu Windows PowerShell ISE bezpośrednio w menu podręcznym:
Jeśli teraz zaczniemy wprowadzać te same instrukcje, których wcześniej użyłem w Notatniku,
nawet w trakcie tej czynności będą się pojawiać wyskakujące okienka i zachęty, pomagające
w podjęciu decyzji, które polecenia cmdlet lub zmienne powinniśmy wykorzystać. Środowisko
działa w sposób podobny do inteligentnych wirtualnych klawiatur na naszych smartfonach.
Po rozpoczęciu wprowadzania tekstu udostępnia odpowiednie podpowiedzi, dzięki czemu
nie musisz pamiętać, jak dokładnie nazywają się polecenia cmdlet lub parametry. Możesz
pamiętać, od jakiej litery rozpoczyna się nazwa polecenia, a następnie po jej wprowadzeniu
wybrać określoną instrukcję z zaprezentowanej listy. Po prawej stronie okna znajduje się również
lista wszystkich dostępnych poleceń, którą można przeszukiwać! To świetna funkcjonalność, któ-
ra naprawdę pomaga podczas tworzenia skryptów (zobacz pierwszy rysunek na następnej
stronie).
Przydatny jest także mniejszy, niebieski ekran powłoki PowerShell, który zajmuje dolną połowę
okna w zintegrowanym środowisku projektowym. Gdy wpisujesz określone instrukcje, śro-
dowisko pomaga się upewnić, że będą one poprawnie działać, zaznacza bowiem odpowiednimi
kolorami polecenia cmdlet i parametry w celu ich łatwej identyfikacji. Następnie na pasku
zadań możesz kliknąć zielony przycisk strzałki o nazwie Run Script (F5) (Uruchom skrypt
(F5)). Nawet jeśli nie zapisałeś swojego skryptu, środowisko wykona Twoje polecenia i zapre-
zentuje dane wyjściowe w niebieskim oknie PowerShell. Pozwala to na przetestowanie całego
programu lub wprowadzonych przez siebie modyfikacji bez konieczności zapisania pliku, a na-
stępnie uruchomienia go oddzielnie przy użyciu tradycyjnego okna programu PowerShell
(zobacz drugi rysunek na następnej stronie).
366
Rozdział 10. • PowerShell
367
Windows Server 2019 dla profesjonalistów
Jeszcze lepsze jest to, że możesz wyróżnić poszczególne sekcje skryptu i wybrać uruchamianie
wyłącznie izolowanych fragmentów kodu. Pozwala to przetestować niektóre fragmenty
skryptu lub wykonać inną, kreatywną czynność. Typowy plik skryptu PS1 może być pełen
często używanych poleceń programu PowerShell. Gdy będziesz chciał uruchomić tylko jedno
z nich, możesz po prostu zaznaczyć odpowiedni fragment tekstu, a następnie kliknąć ikonę
Run Selection (Uruchom wybrany fragment) lub nacisnąć klawisz F8. Dzięki temu zaznacze-
niu zostaną uruchomione jedynie wybrane polecenia cmdlet. Na poniższym zrzucie ekranu
widzimy, że w moim pliku skryptu znajduje się dużo różnych poleceń cmdlet, ale uruchomione
zostanie wyłącznie to, które zostało wyróżnione:
368
Rozdział 10. • PowerShell
Korzystając z tego pomysłu i realizując go, przeanalizujemy kryteria niezbędne do tego, aby
zdalne zarządzanie serwerami za pomocą programu PowerShell było możliwe również w naszym
środowisku. Postaramy się sprawić, aby jeden z serwerów mógł przyjmować zdalne połączenia
PowerShell. Następnie użyjemy programu PowerShell zainstalowanego na innym komputerze,
aby odczytywać informacje i wprowadzać zmiany na zdalnym serwerze.
Usługa WinRM
Jednym z elementów składających się na funkcjonalność zdalnego zarządzania jest usługa
WinRM. Po prostu upewnij się, że jest ona uruchomiona. Jeśli ją zatrzymałeś, ponieważ
chciałeś zwiększyć poziom bezpieczeństwa serwera, musisz przywrócić działanie usługi, aby
móc korzystać ze zdalnego połączenia poprzez program PowerShell.
369
Windows Server 2019 dla profesjonalistów
Polecenie Enable-PSRemoting
Jedyne, co należy zrobić na zdalnym serwerze, to wykonanie prostego polecenia cmdlet. Oczy-
wiście maszyna musi mieć dostęp do sieci, w przeciwnym razie nie będzie można jej znaleźć.
Tak więc przy użyciu konsoli serwera musisz się upewnić, że połączenie sieciowe funkcjonuje
i ruch sieciowy się odbywa, a także wykonać następujące polecenie, które umożliwi tej maszynie
akceptowanie przychodzących zdalnych połączeń PowerShell:
Enable-PSRemoting -Force
Użycie opcji -Force na końcu polecenia Enable-PSRemoting powoduje, że jest ono uruchamiane
bez pytania o potwierdzenie. W tle jest wykonywanych kilka czynności. Po pierwsze, polecenie
próbuje uruchomić usługę WinRM. Dlaczego wcześniej wspomniałem, że jej stan należy
sprawdzić ręcznie? Ponieważ jeśli wyłączyłeś ją w ramach strategii blokowania, może to zakłócić
działanie polecenia Enable-PSRemoting. Sprawdzanie usługi WinRM przed użyciem polecenia
Enable-PSRemoting zwiększa szanse na jego udane uruchomienie. Instrukcja wykonuje także
dwie inne czynności: uruchamia proces nasłuchujący dla połączeń zdalnych i tworzy odpowied-
nią regułę zapory w systemie, aby umożliwić pomyślny przepływ ruchu przychodzącego.
Jeśli zamierzasz używać programu PowerShell na dużą skalę, zniechęcające może być logowanie
się do każdego serwera i uruchamianie omówionego powyżej polecenia. Na szczęście nie musisz
tego robić! Podobnie jak w przypadku większości funkcji w świecie Windows, możemy użyć
zasad grupy, aby automatycznie wprowadzić odpowiednią modyfikację. Utwórz nowy obiekt
zasad grupy, podłącz go i odpowiednio przefiltruj, aby dotyczył tylko tych serwerów, którymi
chcesz centralnie zarządzać, a następnie skonfiguruj następujące ustawienie: Computer
Configuration/Policies/Administrative Templates/Windows Components/Windows Remote Mana-
gement (WinRM)/WinRM Service (Konfiguracja komputera/Zasady/Szablony administracyjne/
Składniki systemu Windows/Zdalne zarządzanie systemem Windows (WinRM)/Usługa WinRM).
Włącz opcję Allow remote server management through WinRM (Zezwalaj na zdalne zarządzanie
serwerem za pośrednictwem usługi WinRM), jak pokazano na zrzucie ekranu na następnej stronie.
370
Rozdział 10. • PowerShell
zdalne połączenia, będą się łączyć komputery z innej domeny, która nie jest zaufana, a nawet
z grupy roboczej, wówczas będziesz musiał wydać polecenie pozwalające ręcznie dodać je
do zbioru maszyn zaufanych. Na przykład, jeśli planuję zarządzać wszystkimi swoimi serwerami
z komputera klienckiego o nazwie Win10Client, któremu te maszyny nie ufają, muszę na nich
uruchomić następujące polecenie:
Set-Item wsman:\localhost\client\trustedhosts Win10Client
371
Windows Server 2019 dla profesjonalistów
Jak widać, lokalna usługa WinRM ma stan Stopped (Zatrzymana). Gdy jednak wydam to samo
polecenie z parametrem -ComputerName odpowiadającym serwerowi WEB3, otrzymam informację,
że usługa WinRM rzeczywiście poprawnie działa na tej zdalnej maszynie:
Hostname
Get-Service WinRM
Get-Service WinRM -ComputerName WEB3
Teraz postaram się sprawdzić, jakie role są zainstalowane na serwerze WEB4, który zawiera
nową instancję systemu Server Core, skonfigurowaną jakiś czas temu (zobacz pierwszy ry-
sunek na następnej stronie):
Get-WindowsFeature -ComputerName WEB4 | Where Installed
372
Rozdział 10. • PowerShell
Będziesz mógł zauważyć zmianę znaku zachęty, co oznacza, że pracuję teraz w kontekście
serwera WEB4.
373
Windows Server 2019 dla profesjonalistów
Jeśli Twoje konto użytkownika nie ma dostępu do serwera, możesz zdefiniować alterna-
tywne poświadczenia, które będą używane podczas tworzenia zdalnego połączenia. Do
polecenia cmdlet Enter-PSSession wystarczy dodać opcję -Credential NAZWA_UŻYTKOWNIKA,
aby określić inne konto użytkownika.
Polecenia, które teraz będę wykonywać, zostaną uruchomione w kontekście serwera WEB4.
Sprawdźmy to. Jeśli wyświetlę zawartość zmiennej $env:computername, będę mógł zobaczyć,
że na ekranie pojawia się nazwa WEB4:
374
Rozdział 10. • PowerShell
zainstalujmy na nim jakąś nową funkcję. Często używam klienta Telnet do testowania połączeń
sieciowych, jednakże widzę, że nie jest on obecnie zainstalowany na serwerze WEB4.
Get-WindowsFeature -Name *telnet*
Możliwość wywołania zdalnej sesji PowerShell to potężne narzędzie, które pozwala na obsługę
nie tylko serwerów z pełnym interfejsem graficznym Desktop Experience, ale także zabez-
pieczonych systemów Server Core. Umiejętność pracy w zdalnych sesjach PowerShell będzie
niezbędna do pomyślnego wdrożenia wersji Server Core w Twojej infrastrukturze.
375
Windows Server 2019 dla profesjonalistów
Bardzo łatwo jest utworzyć skrypt w taki sposób, aby działał poprawnie na serwerze, którego
obecnie używasz. Jeśli jednak spróbujesz wdrożyć ten sam skrypt na innej maszynie, która może
znajdować się w odmiennej jednostce organizacyjnej (OU) lub mieć zainstalowane w systemie
inne elementy, skrypt może zwracać wyniki różne od oczekiwanych. Konfiguracja żądanego
stanu ma za zadanie właśnie przeciwdziałanie takim sytuacjom.
Tworząc konfigurację DSC, identyfikujesz określone role, ustawienia, funkcje, konta, zmienne itd.,
które chcesz zachować w określonym, żądanym stanie. Po zdefiniowaniu tych elementów DSC
będzie działać w taki sposób, aby zapewnić, że ich stan się nie zmieni i będzie zgodny z Twoimi
zasadami konfiguracji. Oznacza to, że elementy będą miały taki sam stan również na innych
serwerach, na których uruchomisz dany skrypt.
Podstawowym celem DSC jest sprawienie, by serwery i usługi znajdowały się w niezmiennym
i spójnym stanie. Możliwości konfiguracji żądanego stanu oraz jej dostęp do składników systemu
operacyjnego są coraz lepsze, w miarę jak modyfikowane są role w celu współpracy z platformą
DSC. Uważam, że celem firmy Microsoft jest sprawienie, by w każdym serwerze działał
skrypt konfiguracyjny DSC, zapewniając ciągłą pracę w ramach zdefiniowanych standardów
i pomagając utrzymać stan dostępności na poziomie 99,999%.
Tematyka związana z platformą DSC jest bardzo rozległa, więc zachęcam Cię do dokładniejszego
zapoznania się z tym zagadnieniem, gdy tylko nauczysz się tworzyć skrypty PowerShell oraz
ich używać. Oto parę polecanych stron, które pozwolą dowiedzieć się więcej o konfiguracji
żądanego stanu:
https://docs.microsoft.com/en-us/powershell/scripting/dsc/overview/
overview?view=powershell-6,
https://channel9.msdn.com/Series/Getting-Started-with-PowerShell-
-DSC?l=ZwHuclG1_2504984382.
376
Rozdział 10. • PowerShell
Podsumowanie
Wiele składników systemu Windows Server 2019 preferuje rozwiązanie polegające na wykony-
waniu zadań administracyjnych za pomocą programu PowerShell. Ponieważ programy
okienkowe służące do zarządzania są obecnie tylko powłokami uruchamiającymi skrypty
PowerShell, a domyślną opcją instalacji dla systemu Windows Server jest Server Core, możemy
założyć, że serwery bezobsługowe wykorzystujące wiersz poleceń będą naszymi maszynami
przyszłości. Mimo że interfejs PowerShell stanowi rdzeń funkcjonalności systemu operacyjnego
od wersji Server 2012, wciąż uważam, że kiedyś był postrzegany przez większość administrato-
rów jako po prostu alternatywny sposób zarządzania serwerami. Tak — oczywiście wiem, że
taki program istnieje i powinienem zacząć go używać, a jego skrypty wyglądają całkiem nieźle,
ale nadal mogę zrobić wszystko, co chcę, za pomocą starego, dobrego wiersza poleceń lub
przycisku mojej myszy. Ten przestarzały sposób myślenia szybko się jednak zmienia.
Gdy pojawiają się nowe technologie, takie jak DSC, widzimy, że PowerShell zaczyna być
wyposażany w funkcje, które po prostu nie istnieją nigdzie indziej w systemie operacyjnym.
W połączeniu z możliwością zdalnego zarządzania zapewnianą przez znormalizowaną plat-
formę PowerShell, której można używać na wszystkich urządzeniach wyposażonych w nowe
wersje systemu Windows (a nawet na serwerach znajdujących się na platformie Azure!),
oznacza to, że na pewno rola interfejsu PowerShell będzie wzrastała w kolejnych wydaniach
systemów operacyjnych i usług firmy Microsoft. W następnym rozdziale omówimy kontenery
i Nano Server.
Pytania
1. Jaki jest najszybszy sposób przejścia z wiersza poleceń do programu PowerShell?
2. Jakie polecenie cmdlet wyświetla wszystkie dostępne polecenia cmdlet programu
PowerShell?
3. Jakiego polecenia cmdlet programu PowerShell można użyć do połączenia
interfejsu PowerShell ze zdalnym komputerem?
4. Jakie rozszerzenie ma plik skryptu PowerShell?
5. Jaki poziom ustawień mają domyślne zasady wykonywania w nowo zainstalowanym
systemie Windows Server 2019?
6. Jakiego klawisza na klawiaturze można użyć do automatycznego uzupełnienia
pozostałej części polecenia cmdlet lub nazwy pliku podczas pracy w interfejsie
PowerShell?
7. Jaka usługa musi zostać uruchomiona w systemie, aby można się było z nim połączyć
za pomocą zdalnej sesji PowerShell?
377
Windows Server 2019 dla profesjonalistów
378
11
Kontenery
i Nano Server
Wiele nowych technologii zawartych w systemie Windows Server 2019 zaprojektowano tak,
aby odzwierciedlały możliwości przetwarzania w chmurze. Pozwalają one na definiowanie
chmur prywatnych i umożliwiają wykorzystywanie w ramach własnej infrastruktury fizycz-
nej takich samych rozwiązań jak te, które są oferowane przez dostawców chmur publicznych.
Nowości w kilku ostatnich wersjach systemu operacyjnego Windows Server dotyczyły rów-
nież wirtualizacji. Kontenery aplikacji to rozwiązanie, które łączy przetwarzanie w chmurze
z wirtualizacją. Sprawi ono, że wdrażanie systemów będzie lepsze, bezpieczniejsze i bardziej
wydajne. Kontenery są stosunkowo nowym pomysłem w świecie firmy Microsoft, więc admini-
stratorzy IT nie są nimi jeszcze zbytnio podekscytowani, ale wkrótce się to zmieni. Jest to
rozwiązanie, które od jakiegoś czasu usprawnia obliczenia wykonywane w systemie Linux.
Dzięki najnowszemu systemowi operacyjnemu Windows Server ta technologia zostanie
udostępniona większej liczbie użytkowników.
Twórcy aplikacji będą bardzo zainteresowani kontenerami dostarczanymi przez system Win-
dows Server 2019. Prawdę mówiąc, najprawdopodobniej rozumieją oni koncepcję kontenerów
znacznie lepiej niż tradycyjny administrator serwera. Chociaż z założenia w tej książce nie
analizujemy zagadnień programistycznych ani nie zajmujemy się systemem Linux, omówimy
kontenery, ponieważ korzyść z ich użycia mogą odnieść nie tylko programiści, ale też my, ope-
ratorzy systemowi. Powinniśmy więc umieć definiować i uruchamiać kontenery, abyśmy mogli
zapewnić infrastrukturę, która będzie wymagana przez naszych projektantów.
Co to są kontenery aplikacji?
Co oznacza sformułowanie „kontener aplikacji”? W dzisiejszych czasach potrafimy sprawnie
przechowywać serwery za pomocą technologii wirtualizacji. Mając sprzęt fizyczny, przekształ-
camy go w serwer wirtualizacji Hyper-V, a następnie uruchamiamy w nim wiele maszyn wirtu-
alnych. Jest on dla nich czymś w rodzaju kontenera. W zasadzie oszukujemy te maszyny, aby
wciąż „wierzyły”, że są niezależnymi jednostkami. Są one zupełnie nieświadome tego, że współ-
dzielą zasoby i sprzęt z innymi maszynami wirtualnymi działającymi na tym samym serwerze.
W czasie dzielenia się zasobami sprzętowymi możemy zapewnić wysoki poziom izolacji między
maszynami wirtualnymi, aby mieć pewność, że nie pojawią się żadne problemy z uprawnie-
niami ani dostępem do nich — szczególnie w przypadku, gdy korzystamy z chmury publicznej,
ponieważ oznaczałoby to katastrofę.
Również kontenery aplikacji to wirtualizacja, ale na innym poziomie. Podczas gdy maszyny
wirtualne są związane z wirtualizacją sprzętu, kontenery przypominają raczej wirtualizację
systemu operacyjnego. Zamiast tworzyć oddzielne maszyny wirtualne do obsługi naszych
aplikacji, możemy zdefiniować kontenery, które są znacznie mniejsze. Następnie uruchamiamy
w nich aplikacje, którym „wydaje się”, że działają w przeznaczonej im instancji systemu
operacyjnego.
Uważam, że kontenery zastąpią wiele maszyn wirtualnych, jednakże stanie się to tylko wtedy,
gdy administratorzy zainteresują się tą technologią i sami ją przetestują. Przeanalizujmy
więc kilka szczególnych korzyści, jakie można osiągnąć dzięki użyciu kontenerów.
Współdzielenie zasobów
Kontenery aplikacji, podobnie jak maszyny wirtualne, współdzielą fizyczne zasoby sprzętu.
Dzięki temu na tym samym serwerze (fizycznym lub wirtualnym) możemy uruchamiać wiele
kontenerów.
380
Rozdział 11. • Kontenery i Nano Server
Jednak w tym przypadku kontenery nie mają przewagi nad maszynami wirtualnymi, ponieważ
po prostu również współużytkują sprzęt. Korzyścią z wykorzystywania kontenerów zamiast
oddzielnych maszyn wirtualnych jest to, że te kontenery mogą używać tego samego, standardo-
wego systemu operacyjnego. Są one tworzone przy użyciu tej samej podstawowej konfiguracji,
co sprawia, że ich wdrażanie jest niezwykle szybkie, ale też oznacza, że współdzielą te same
zasoby jądra. Każda instancja systemu operacyjnego ma własny zestaw procesów użytkownika.
Czasami trudno jest uruchomić wiele aplikacji na jednym serwerze, ponieważ mają one dostęp
do tego samego zestawu procesów i mogą przez to negatywnie na nie wpływać. Innymi słowy,
jest to powód, dla którego w dzisiejszych czasach mamy tendencję do uruchamiania tak wielu
serwerów, utrzymując każdą z aplikacji na oddzielnej maszynie, aby nie mogły one na siebie
oddziaływać. Czasami aplikacje po prostu nie mogą się znajdować na tym samym serwerze.
Jądro w systemie Windows Server 2019 zostało ulepszone i dzięki temu może obsługiwać
wiele kopii procesów działających w trybie użytkownika. Oznacza to, że nie tylko możesz trady-
cyjnie uruchamiać instancje tej samej aplikacji na wielu różnych serwerach, ale również istnieje
możliwość uruchamiania wielu różnych programów na tej samej maszynie, nawet jeśli zazwyczaj
nie najlepiej ze sobą współpracują.
Izolowanie
Jedną z wielkich zalet kontenerów aplikacji jest to, że projektanci mogą tworzyć swoje apli-
kacje w kontenerach działających na ich własnych stacjach roboczych! Komputer służący do
przechowywania kontenerów może być serwerem z systemem Windows Server lub stacją
roboczą z Windows 10. Po umieszczeniu aplikacji w odizolowanym kontenerze projektanci
będą pewni, że zawiera ona wszystkie składniki i zależności, których potrzebuje do popraw-
nego funkcjonowania, a także nie wymaga dodatkowych zasobów ze znajdującego się pod
spodem systemu operacyjnego. Oznacza to, że projektant może stworzyć aplikację, upewnić
się, że działa w lokalnym środowisku, a następnie łatwo przenieść kontener aplikacji na wła-
ściwy serwer, gdzie zostanie włączony i będzie gotowy do zastosowań produkcyjnych. Taka
maszyna produkcyjna może być nawet zasobem udostępnianym w chmurze, ale dla aplikacji
nie ma to żadnego znaczenia. Odizolowanie kontenera od systemu operacyjnego pozwala na
zdefiniowanie standardu tworzenia aplikacji, dzięki czemu staje się ona przenośna i mobil-
na. Oszczędza także czas projektanta i zmniejsza złożoność jego pracy, ponieważ w trakcie
procesu projektowania nie musi on już uwzględniać różnic w podstawowych systemach ope-
racyjnych.
Innym aspektem izolowania jest poziom bezpieczeństwa. Podobna sytuacja występuje w przy-
padku, gdy na tym samym serwerze działa wiele maszyn wirtualnych, szczególnie w środowisku
chmurowym. Chciałbyś, aby były one od siebie bezpiecznie odizolowane, co w rzeczywistości
oznacza, że nie powinny absolutnie nie wiedzieć o istnieniu obok nich innych maszyn. Wyma-
gasz także odizolowania maszyn wirtualnych od systemu operacyjnego hosta, ponieważ na pewno
nie chciałbyś, aby dostawca usług publicznych w chmurze przeglądał ich zawartość. W przy-
padku kontenerów aplikacji sytuacja jest taka sama.
381
Windows Server 2019 dla profesjonalistów
Wiesz już, że kontenery współdzielą zasoby i są uruchamiane z tego samego obrazu podstawo-
wego, zachowując jednocześnie swoje procesy odseparowane od podstawowego systemu opera-
cyjnego, który dzięki temu nie może negatywnie wpływać na aplikację. I odwrotnie, aplikacja
nie zakłóca działania systemu operacyjnego hosta. W jaki jednak sposób jest przeprowadzane
izolowanie składników sieciowych? Kontenery aplikacji wykorzystują technologię wirtualnego
przełącznika Hyper-V, aby elementy sieci działały poprawnie. Gdy faktycznie zaczniesz używać
kontenerów, wkrótce zauważysz, że do każdego kontenera jest przypisany unikatowy adres IP
w celu zachowania określonego poziomu odizolowania.
Skalowalność
Odizolowanie kontenera w połączeniu z uruchamianiem go z tego samego obrazu podstawo-
wego pozwala uzyskać bardzo atrakcyjne możliwości skalowania i rozbudowy. Pomyśl o zarzą-
dzanej przez Ciebie aplikacji internetowej, której wykorzystanie może się zmieniać z dnia na
dzień. Zapewnienie wystarczających zasobów, aby mogła działać podczas okresów wyższego
obciążenia, oznacza w przypadku tradycyjnego rozwiązania przepłacanie za zasoby obliczeniowe
w czasie, gdy nie jest intensywnie używana. Technologie chmurowe zapewniają w przypadku
nowoczesnych rodzajów aplikacji dynamiczne skalowanie, ale często zwiększają lub zmniejszają
zasoby dla całych maszyn wirtualnych. Istnieją trzy typowe problemy związane z dynamicz-
nym skalowaniem tego typu aplikacji. Pierwszy to czas potrzebny na utworzenie dodatkowych
maszyn wirtualnych. Nawet jeśli proces ten zostanie zautomatyzowany, aplikacja może przez
pewien czas działać wolniej, zanim pojawią się dodatkowe zasoby. Naszym drugim wyzwaniem
są problemy, z którymi musi walczyć projektant, aby stworzyć aplikację działającą bez
względu na niespójności występujące między różnymi docelowymi komputerami. Trzecia sprawa
to koszty. Nie chodzi tylko o sam sprzęt, ponieważ nowo uruchamiane maszyny wirtualne
będą zużywać cały zestaw zasobów jądra, ale także o pieniądze. Uruchamianie lub wyłączanie
maszyn wirtualnych w środowisku chmury może szybko stać się kosztowne. Te przeszkody
nie istnieją, gdy jako metody wdrażania aplikacji używasz kontenerów.
Ponieważ kontenery aplikacji używają tego samego jądra i tego samego obrazu podstawowego,
ich czas uruchamiania jest niezwykle krótki. Nowe kontenery można bardzo szybko wyłączać lub
włączać (nawet po kilka naraz) bez konieczności oczekiwania na uruchomienie procesów
w trybie rozruchu i jądra. Ponadto, ponieważ udostępniliśmy projektantom izolowaną strukturę
kontenerów, w której można stworzyć aplikację, wiemy, że będzie mogła ona działać z powodze-
niem wszędzie tam, gdzie umieścimy jeden z tych kontenerów. Nie musisz się już martwić,
czy nowa maszyna wirtualna, która będzie dostępna w sieci, zostanie stworzona zgodnie ze
standardami, kontenery bowiem są dla określonej aplikacji zawsze takie same i zawierają wszyst-
kie niezbędne zależności, których ona potrzebuje.
382
Rozdział 11. • Kontenery i Nano Server
Następnie mamy warstwę dostosowania. W tym miejscu znajdują się technologie, które osta-
tecznie będą używane przez Twoją aplikację. Na przykład nasze kontenery mogą zawierać
usługę IIS do zarządzania stroną internetową, program PowerShell, a nawet bibliotekę .NET.
Wszystkie te narzędzia znajdują się w tej warstwie.
Na samej górze kontenera znajduje się warstwa aplikacyjna. Jest nią oczywiście określona aplika-
cja, którą planujesz umieścić w tym kontenerze i do której użytkownicy powinni mieć dostęp.
Chociaż Server Core to system operacyjny, który jest idealny do tworzenia niewielkich i wydaj-
nych serwerów, wciąż jest zbyt rozbudowany w porównaniu z wersją Nano Server, która jest
tak odmienna i niewiarygodnie mała, że faktycznie nie można jej z niczym porównać. Prawdo-
podobnie pamiętasz naszą instalację systemu Server Core, który wymagał dysku twardego
o wielkości co najmniej 6 GB. Chociaż ta wartość jest i tak znacznie mniejsza od wielkości dysku
używanego przez Windows Server Desktop Experience, oto informacja, która powinna wywrzeć
na Tobie duże wrażenie: obraz podstawowy systemu Nano Server może zajmować mniej niż
500 MB!
To faktycznie niewiele. Ponadto oczekuje się, że aktualizacje systemu Nano Server będą nieliczne
i rzadko stosowane. Oznacza to, że w kontenerach aplikacji nie będziesz musiał przejmować
się comiesięcznymi poprawkami i aktualizacjami. Ponieważ kontenery zawierają wszystko, czego
potrzebują, aby uruchomić zawarte w nich aplikacje, ogólnie przyjmuje się, że w sytuacji, w któ-
rej trzeba będzie coś zaktualizować, po prostu stworzy się nowy obraz kontenera, a nie będzie się
instalować poprawek w istniejącym. Jeśli Nano Server otrzyma aktualizację, po prostu utwórz
383
Windows Server 2019 dla profesjonalistów
nowy kontener, zainstaluj w nim i przetestuj aplikację, a następnie ją udostępnij. Czy chciałbyś
wprowadzić jakieś zmiany w samej aplikacji? Zamiast zastanawiać się, jak zaktualizować istniejący
obraz kontenera, szybko i łatwo stwórz nowy, przetestuj go poza środowiskiem produkcyjnym,
a gdy będzie gotowy, po prostu zacznij go włączać do produkcji, wygaszając jednocześnie
starą wersję.
Nano Server jest obecnie podstawowym systemem operacyjnym dla kontenerów. To coś nowego,
ponieważ w czasie, gdy pojawił się Server 2016, funkcjonalność Nano była znacznie większa. Je-
śli używasz wersji Nano Server w celach innych niż obsługa kontenerów, musisz rozpocząć przy-
gotowania do przeniesienia systemów na bardziej tradycyjne serwery, takie jak Server Core.
Być może zastanawiasz się: „Dlaczego ktokolwiek miałby używać systemu Server Core do
przechowywania obrazu kontenera, jeśli mamy Nano Server?”. Chodzi o zgodność aplikacji.
Nano Server jest niewiarygodnie mały i dlatego brakuje mu dużo kodu, który istnieje w wersji
Server Core. Gdy zaczynasz rozważać wykorzystanie kontenerów do przechowywania swoich
aplikacji, należy zawsze próbować użyć prostszej wersji Nano Server. Jednakże często Twoje
aplikacje po prostu nie będą mogły działać na tej platformie, więc w takich przypadkach powi-
nieneś wybierać Server Core jako podstawowy system operacyjny.
384
Rozdział 11. • Kontenery i Nano Server
Kontenery Hyper-V
Jeśli chciałbyś zwiększyć poziom odizolowania i bezpieczeństwa, powinieneś wykorzystać
kontenery Hyper-V. Przypominają one raczej zoptymalizowaną wersję maszyny wirtualnej.
W takim rozwiązaniu zasoby jądra nadal są współdzielone przez kontenery, więc są one znacz-
nie bardziej wydajne niż standardowe maszyny wirtualne. Każdy kontener Hyper-V otrzymuje
jednak własną powłokę Windows, w której może działać. Oznacza to, że poziom odizolowania
kontenerów Hyper-V od siebie jest podobny jak w przypadku maszyn wirtualnych. Mimo to
nadal możesz sprawnie uruchamiać nowe kontenery, ponieważ odpowiednia infrastruktura
wciąż jest dostępna. Kontenery Hyper-V będą bardziej przydatne w infrastrukturach z wieloma
dzierżawcami, w których chcesz się upewnić, że nie dojdzie do wycieku danych między konte-
nerem a hostem lub między dwoma różnymi kontenerami, które mogą być własnością różnych
podmiotów. Wcześniej napisałem, że system operacyjny hosta może zobaczyć procesy uru-
chomione w kontenerze Windows Server, jednakże taka sytuacja jest niemożliwa w przypadku
kontenerów Hyper-V. System operacyjny serwera zarządzającego w ogóle nie wie o usługach
uruchomionych w kontenerach Hyper-V i nie jest w stanie z nich skorzystać. Te procesy są teraz
po prostu niewidoczne.
Dostępność kontenerów Hyper-V oznacza, że nawet jeśli masz aplikację, która musi być
izolowana na wysokim poziomie, nie musisz już poświęcać jej pełnej maszyny wirtualnej Hyper-V.
Obecnie możesz uruchomić kontener Hyper-V, umieścić w nim aplikację i cieszyć się pełnym
odizolowaniem, jednocześnie nadal współdzieląc zasoby i zapewniając jej lepszą, bardziej skalo-
walną obsługę.
Docker i Kubernetes
Docker to projekt o otwartym oprogramowaniu, a tak naprawdę zestaw narzędzi, który pier-
wotnie został stworzony, aby umożliwić uruchamianie kontenerów w systemach operacyjnych
Linux. Chwileczkę, o co chodzi? Słowa Linux i otwarte oprogramowanie znów pojawiają się
w książce o systemie firmy Microsoft! Do czego zmierza ten świat? No cóż, kontenery szybko
zdobywają uznanie — i bardzo dobrze. W systemie Server 2016 firma Microsoft zaczęła się
interesować kontenerami. Pojawiły się odpowiednie polecenia cmdlet środowiska PowerShell,
które można wykorzystać do uruchamiania ich i zarządzania nimi. Jednak ze względu na tempo
rozwoju platformy Docker firma Microsoft oczekuje obecnie, że każda osoba, która będzie
chciała uruchomić kontenery na swoich komputerach z systemem Windows, zrobi to właśnie
385
Windows Server 2019 dla profesjonalistów
za pośrednictwem zestawu narzędzi Docker. Jeśli chcesz w swoim środowisku używać kontene-
rów lub choćby je testować, musisz najpierw wdrożyć rozwiązanie Docker for Windows.
Projektanci mogą używać systemu Docker do tworzenia na lokalnej stacji roboczej środowiska,
które będzie odzwierciedlać środowisko serwera. Pozwala to umieścić aplikacje w kontenerach
i zapewnić, że będą one działać po przeniesieniu ich na serwer. Docker to platforma udostęp-
niająca projektantom możliwości pakowania, wysyłania i uruchamiania kontenerów. Po zakoń-
czeniu projektowania pakiet z kontenerem można przekazać administratorowi systemu, który
go rozpakuje, uruchomi kontener zawierający aplikację i odpowiednio go wdroży. Projektant
nie zna infrastruktury hosta kontenerów ani go ona nie interesuje, a z drugiej strony admini-
strator nie zna procesu projektowania i się nim nie zajmuje, podobnie jak kompatybilnością
aplikacji z jego serwerami.
Kontenery Linux
Możliwości systemu Windows Server 2019 pozwalające na współpracę z różnymi rodzajami
kontenerów znacząco się zmieniły w porównaniu z poprzednimi wydaniami. We wcześniejszej
wersji Windows Server 2016 host kontenerów mógł uruchamiać tylko kontenery oparte na sys-
temie Windows, ponieważ współdzielą one jądro systemu operacyjnego serwera, tak więc nie
było możliwości używania kontenerów Linux.
Czasy się zmieniają, więc obecnie w systemie Server 2019 mamy kilka nowych funkcji pozwala-
jących na obsługę kontenerów Linux. Chociaż te funkcje wciąż są dopracowywane, istnieją
już pewne opcje, zwane Moby VM i LCOW, które umożliwiają uruchamianie kontenerów Linux
na hoście kontenerów Windows Server, w tym równolegle z innymi kontenerami Windows!
Wszystkie te rozwiązania są wciąż nowe i rozwijają się, zatem więcej szczegółów zostanie
podanych w przyszłości. Jeśli jesteś zainteresowany uruchamianiem kontenerów Linux, odwiedź
następujący adres, aby się dowiedzieć, jak wygląda obecna sytuacja: https://docs.microsoft.
com/en-us/virtualization/windowscontainers/deploy-containers/linux-containers.
Docker Hub
Pracując z kontenerami, tworzysz ich obrazy, które można wykorzystać w dowolnej instancji
serwera z tym samym systemem operacyjnym hosta — to najbardziej skrócona informacja
o tym, w jaki sposób można ich używać. Gdy uruchamiasz kolejną instancję kontenera, po pro-
stu wykonujesz nową kopię tego samego obrazu, który zawiera wszystkie niezbędne elementy.
Tego rodzaju znormalizowana metodyka prowadzi do stworzenia współdzielonego zbioru ob-
razów czy też repozytorium, z którego mogą korzystać także inne osoby. W końcu Docker jest
386
Rozdział 11. • Kontenery i Nano Server
projektem o otwartym oprogramowaniu. Czy więc istnieje taki zasób, który można odwiedzić,
aby pobrać pliki obrazów kontenerów do przetestowania, a nawet przesłać do niego utworzone
przez siebie obrazy i udostępnić je całemu światu? Oczywiście, że tak! Nazywa się on Docker
Hub i jest dostępny pod adresem https://hub.docker.com/.
Odwiedź tę stronę i załóż na niej konto, a natychmiast uzyskasz dostęp do tysięcy obrazów
kontenerów, które zostały utworzone i przesłane przez użytkowników. Dzięki nim można szybko
uruchomić laboratorium z kontenerami. Wiele z tych obrazów można nawet wykorzystać
w systemach produkcyjnych, uruchamiając aplikacje, które zostały w nich umieszczone. Możesz
też użyć strony Docker Hub do przesyłania i przechowywania własnych obrazów kontenerów:
W istocie powinieneś już teraz założyć konto na stronie Docker Hub, ponieważ jeśli chcesz
aktywnie uczestniczyć w czytaniu dalszej części rozdziału i przetestować wdrażanie kontenera
przy użyciu platformy Docker, musisz się zalogować.
387
Windows Server 2019 dla profesjonalistów
W tym miejscu przychodzi z pomocą Docker Trusted Registry. Jest to repozytorium obrazów
kontenerów, podobne do strony Docker Hub, ale różne o tyle, że można go używać w lokalnej
sieci za własnymi zaporami sieciowymi i systemami bezpieczeństwa. Dzięki temu uzyskujesz
system, który nie udostępnia poufnych informacji reszcie świata.
Kubernetes
Chociaż Docker jest naszym głównym interfejsem służącym do tworzenia kontenerów i zarzą-
dzania nimi, ponieważ umożliwia budowanie platform, na których możemy w nowy i ekscytu-
jący sposób wdrażać aplikacje, prawdziwa magia pojawia się dopiero po zakończeniu konfigu-
racji kontenera. Rzućmy okiem w przyszłość i załóżmy, że masz już aplikację zawartą
w kontenerze. Ten kontener może zostać uruchomiony w środowisku serwera zarządzającego
lub nawet bardzo łatwo przerzucony do chmury Azure. Co prawda zapewnia to łatwą współ-
pracę z infrastrukturą potrzebną do płynnego skalowania tej aplikacji, ale jest jeden element,
którego tu brakuje — mam na myśli orkiestrację.
Firma Microsoft zauważyła tę popularność i podjęła kroki w celu zapewnienia pełnej obsługi
Kubernetes w systemie Windows Server 2019.
Jak wspomniałem, narzędzia takie, jak kontenery, Docker i Kubernetes, są częścią filozofii chmury.
Większość firm zacznie wdrażać kontenery przy użyciu własnych serwerów i infrastruktury.
388
Rozdział 11. • Kontenery i Nano Server
Jest to jednak technologia, której można już użyć w chmurze. Ponieważ same kontenery są
bardzo ujednolicone i mobilne, co ułatwia ich rozbudowę i przenoszenie, można je łatwo
umieszczać w środowisku chmurowym.
Używanie kontenerów
Aby wdrożyć technologię kontenerów w Twoim środowisku, należy skonfigurować wiele
elementów, jednak w rzeczywistości nie jest to zbyt trudne. Poniżej przedstawimy proces prze-
kształcania systemu Windows Server 2019 w supermaszynę z działającymi kontenerami.
Jeśli ponadto zamierzasz uruchomić kontenery Hyper-V, musisz się upewnić, że na serwerze
zarządzającym zostaną zainstalowane podstawowe komponenty środowiska Hyper-V. Aby to zro-
bić, na tym samym serwerze zainstaluj rolę Hyper-V i towarzyszące jej narzędzia do zarządzania.
W tym momencie możesz się zacząć zastanawiać: „Jeśli mój serwer zarządzający musi mieć
zainstalowaną rolę Hyper-V, czy to nie oznacza, że musi to być serwer fizyczny? Przecież nie
można zainstalować roli Hyper-V na maszynie wirtualnej”. Nieprawda. System Windows Server
2019 obsługuje tak zwaną wirtualizację zagnieżdżoną, która została dodana na potrzeby konte-
nerów. To, że trzeba użyć fizycznego sprzętu, staje się obecnie czynnikiem ograniczającym działy
IT, ponieważ prawie wszystko jest obsługiwane przez maszyny wirtualne. Sensowne jest więc,
389
Windows Server 2019 dla profesjonalistów
aby firmy, które chcą wdrożyć kontenery, mogły używać serwerów zarządzających w postaci
maszyn wirtualnych zawierających wiele obrazów kontenerów. Z tego względu konieczne
było zaimplementowanie zagnieżdżonej wirtualizacji. Jeśli korzystasz z fizycznego serwera
Windows Server 2019 będącego hiperwizorem, w którym została zainstalowana maszyna
wirtualna, również z tym samym systemem, przekonasz się, że bezpośrednio na niej możesz
pomyślnie zainstalować rolę Hyper-V. Przecież wspominałem, że maszyny wirtualne są obecnie
na tyle popularne, by mogły być używane do uruchamiania innych maszyn wirtualnych!
W tym momencie niezbędne będzie zalogowanie się do usługi Docker Hub. Jeśli chcesz przete-
stować kontenery na własnej stacji roboczej i musisz zainstalować aplikację Docker Desktop
for Windows w swoim systemie Windows 10, najprościej będzie odwiedzić witrynę Docker
Hub, zalogować się w niej, a następnie wyszukać oprogramowanie klienckie Docker. Oto adres
prowadzący do tego programu (jest to narzędzie, którego należy użyć w systemie Windows
10): https://hub.docker.com/editions/community/docker-ce-desktop-windows.
Ponieważ jednak jestem zalogowany w systemie Windows Server 2019, mam uprawnienia licen-
cyjne pozwalające na użycie także wersji Docker Enterprise, którą można pobrać bez konieczno-
ści odwiedzania strony Docker Hub. Jeśli uruchomię program PowerShell z uprawnieniami
administracyjnymi, a następnie wykonam następujące dwa polecenia, mój serwer pobierze
aplikację Docker Enterprise i zainstaluje ją:
Install-Module -Name DockerMsftProvider -Repository PSGallery -Force
Install-Package -Name docker -ProviderName DockerMsftProvider -Force -
RequiredVersion 18.03
390
Rozdział 11. • Kontenery i Nano Server
Po zakończeniu instalacji pakietu, aplikacja Docker będzie dostępna na serwerze jako usługa.
Należy ją uruchomić za pomocą następującego polecenia:
Start-Service docker
Oto kilka przykładowych poleceń docker pull prezentujących sposób pobierania obrazów kon-
tenerów ze strony Docker Hub, a także MCR:
docker pull Microsoft\nanoserver
docker pull Microsoft\windowsservercore
docker image pull mcr.microsoft.com/windows/servercore:1809
docker image pull mcr.microsoft.com/windows/nanoserver:1809
391
Windows Server 2019 dla profesjonalistów
Użycie opcji -it w powyższym poleceniu umożliwia utworzenie powłoki, dzięki której możemy
zarządzać kontenerami, co jest przydatne podczas ich budowania i testowania. Ogólnie
rzecz biorąc, ta opcja nie byłaby niezbędna podczas uruchamiania kontenerów przeznaczo-
nych do produkcji, które zawierają aplikacje w pełni przetestowane i gotowe do działania.
Opcja --rm zapewnia porządkowanie — po zakończeniu pracy kontener i jego system plików
zostaną automatycznie usunięte.
Polecenie docker ps -a
Z polecenia docker ps skorzystasz, gdy będziesz chciał wyświetlić listę kontenerów, które są uru-
chomione w Twoim systemie.
Oczywiście, na razie nie mamy żadnych obrazów, ponieważ jeszcze ich nie pobraliśmy. Zdo-
bądźmy więc kilka obrazów, abyśmy mogli je przetestować. Zespół projektantów środowiska
.NET stworzył przykładowy plik obrazu kontenera. Ten obraz prezentuje uruchamianie
aplikacji .NET w kontenerze Nano Server. Moglibyśmy od niego zacząć i dzięki niemu spraw-
dzić, czy możemy pomyślnie uruchomić kontenery na naszym nowym serwerze. Po pierwsze,
392
Rozdział 11. • Kontenery i Nano Server
powinniśmy użyć polecenia docker search, aby wyświetlić listę obrazów kontenerów, które znaj-
dują się w repozytorium Microsoft Docker Hub. Gdy już znajdziemy obraz, który nas inte-
resuje, użyjemy polecenia docker pull, aby pobrać go na nasz serwer:
docker search microsoft
docker image pull microsoft/nanoserver
Uruchamianie kontenera
Już za chwilę uruchomimy kontener na naszym serwerze! Gdy zainstalowaliśmy usługę,
wdrożyliśmy środowisko Docker i zaimportowaliśmy jego moduł do programu PowerShell, a na-
stępnie pobraliśmy podstawowy obraz kontenera, możemy w końcu wydać polecenie urucho-
mienia kontenera z tego obrazu. Wystartujmy więc wcześniej pobrany kontener .NET:
docker run microsoft/dotnet-samples:dotnetapp-nanoserver-1809
393
Windows Server 2019 dla profesjonalistów
Kontener uruchamia się i wykonuje dołączony kod, który wyświetla zabawną grafikę na ekranie:
Uruchomienie tego kontenera potwierdza, że znajdują się w nim wszystkie składniki niezbędne
do wykonania aplikacji .NET. Jest on oparty na serwerze Nano Server, co oznacza, że zajmuje
niewiarygodnie mało miejsca. Na podstawie poprzednio wykonanego polecenia docker images
mogę stwierdzić, że obraz ma wielkość jedynie 417 MB! Co za oszczędność zasobów w porów-
naniu z uruchomieniem aplikacji na tradycyjnym serwerze WWW zawierającym usługę IIS!
Podstawowa dokumentacja firmy Microsoft dotycząca kontenerów znajduje się pod adresem
https://docs.microsoft.com/pl-pl/virtualization/windowscontainers/. Narzędzia używane do zarzą-
dzania kontenerami wciąż się zmieniają; pojawiają się także nowe wersje środowisk Docker
i Kubernetes. Koniecznie odwiedź witrynę Microsoft Docs, aby zapoznać się z najnowszymi
wzorcami postępowania i obsługiwaną ścieżką instalacji pozwalającą na przygotowanie serwera
kontenerów.
394
Rozdział 11. • Kontenery i Nano Server
Podsumowanie
Kontenery zrewolucjonizują sposób, w jaki tworzymy nowoczesne aplikacje i nimi zarzą-
dzamy. Dzięki konteneryzacji systemów będziemy mogli uruchamiać o wiele więcej aplikacji na
jednym serwerze fizycznym, ponieważ mogą one być całkowicie odizolowane od siebie. Do-
datkowo użycie kontenerów pozwala na tworzenie aplikacji w sposób bardziej bezproblemowy.
Autorzy aplikacji mogą je tworzyć w kontenerach działających na ich własnych laptopach, a po
zakończeniu procesu po prostu przekazywać wynik zespołowi zarządzającemu infrastrukturą,
który umieści obraz kontenera na serwerze produkcyjnym. Taki serwer może się znajdować
w sieci lokalnej, a nawet w chmurze. Narzędzia do orkiestracji, takie jak Kubernetes, można
następnie wykorzystać w celu skalowania aplikacji, a także zwiększania lub zmniejszania ilości
zasobów i liczby koniecznych kontenerów w zależności od obciążenia lub innych czynników. Po-
ziom użyteczności kontenerów w świecie rzeczywistym został znacznie zwiększony dzięki śro-
dowisku Docker. Jego twórcy wyraźnie przodują w tym obszarze rynku, dlatego firma Microsoft
zdecydowała się dołączyć projekt o otwartym oprogramowaniu opracowany na potrzeby systemu
Linux (czyli środowisko Docker) bezpośrednio do systemu Windows Server 2019. Możemy
obecnie używać zarówno silnika środowiska Docker do uruchamiania kontenerów na serwerach
Windows, jak i jego klienckiego zestawu narzędzi do zarządzania nimi i modyfikowania ich z po-
ziomu systemu Windows w taki sam sposób, w jaki mogliśmy do tej pory obsługiwać kontenery
w świecie Linuksa.
Kontenery Linux i Windows Server mają wiele wspólnego ze sobą i działają w zasadzie w ten
sam sposób. Sprytny pomysł firmy Microsoft polegający na zaprojektowaniu dodatkowego typu
kontenerów (kontenery Hyper-V) zapewnia znaczące wsparcie dla obszaru bezpieczeństwa
związanego z ogólną koncepcją kontenerów. Obecnie wszyscy intensywnie korzystają z maszyn
wirtualnych; Nie sądzę, by ktokolwiek mógł się z tym nie zgodzić. Zakładając, że w przyszłości
kontenery będą łatwe do wdrażania i zarządzania, przewiduję, iż w nadchodzących latach
kontenery Hyper-V zastąpią wiele istniejących maszyn wirtualnych Hyper-V. Pozwoli to zaosz-
czędzić czas, pieniądze i miejsce na serwerze.
Jeśli już wspomniałem o wirtualizacji Hyper-V, należałoby również stwierdzić, że stała się ona
integralną częścią wielu obecnych sieci korporacyjnych. W następnym i zarazem ostatnim
rozdziale dowiesz się więcej o tej niesamowitej technologii wirtualizacji.
Pytania
1. Kontener Windows Server może zostać uruchomiony w jednym z dwóch
rodzajów podstawowego systemu operacyjnego. Jakie są ich nazwy?
2. Jaki rodzaj kontenera zapewnia jeszcze większy poziom izolacji od kontenera
Windows Server?
3. W systemie Windows Server 2016 na tej samej platformie hosta można uruchomić
zarówno kontenery z systemem Windows, jak i Linux — prawda czy fałsz?
395
Windows Server 2019 dla profesjonalistów
396
12
Wirtualizacja centrum
danych za pomocą
hiperwizora Hyper-V
Zawsze lubiłem wieś. Wolny czas zwykle wypełniają mi jazdy po bezdrożach, dłubanie przy
samochodach i polowanie. Podróż do miast, a zwłaszcza ostatni wyjazd do Hongkongu, zawsze
wiąże się z szokiem kulturowym. Wszystkie te drapacze chmur i wysokie budynki mieszkalne
służą jednak ważnemu celowi i są związane z moją metaforą: jeśli nie ma wystarczającej ilości
miejsca, by się rozbudowywać, należy piąć się w górę. Pionowy rozwój dużych miast jest po-
dobny do tego, co w ciągu ostatniej dekady mogliśmy zauważyć w naszych centrach danych.
Miasta potrzebują coraz więcej miejsca dla mieszkańców i firm, a my musimy przechowywać
coraz więcej serwerów. Zamiast realizować ekspansję poziomą z ogromnymi serwerowniami wy-
pełnionymi szafami i sprzętami, wzorujemy się na metodzie budowania wieżowca i wszystko
wirtualizujemy. Instalujemy znacznie mniej serwerów, za to czynimy je niesamowicie wydajny-
mi. Na tego typu superkomputerach możemy uruchomić dziesiątki, jeśli nie setki, serwerów
wirtualnych. W środowisku opartym na produktach firmy Microsoft stosuje się technologię zapew-
niającą istnienie warstwy hiperwizora oraz możliwość uruchamiania maszyn wirtualnych (VM).
Jest nią rola Hyper-V, dostępna w systemie Windows Server. To jedna z najważniejszych ról
z punktu widzenia administratora serwera, ponieważ jeśli Twoja organizacja nie korzysta jesz-
cze z wirtualizacji, na pewno wkrótce zacznie. Wirtualizacja jest pieśnią przyszłości. Poniżej
omówimy niektóre zagadnienia, które pozwolą zapoznać się z możliwościami wirtualizacji za-
pewnianymi przez firmę Microsoft w systemie Windows Server 2019:
Projektowanie i wdrażanie serwera Hyper-V.
Korzystanie z wirtualnych przełączników.
Implementacja serwera wirtualnego.
Zarządzanie serwerem wirtualnym.
Windows Server 2019 dla profesjonalistów
Nie wygląda to ciekawie. Taki problem może mieć dwie przyczyny: procesor w moim kom-
puterze naprawdę nie obsługuje wirtualizacji albo po prostu mam wyłączone pewne usta-
wienia BIOS związane z wirtualizacją. Istnieją trzy warunki, które należy spełnić, aby się
upewnić, że serwer jest gotowy do uruchomienia roli Hyper-V. Po pierwsze, musisz używać
procesora opartego na architekturze x64. Jest to dość oczywiste, ponieważ system Windows
Server 2019 i tak jest dostępny tylko w wersji 64-bitowej. Jeśli nie masz procesora x64, nie
będziesz w stanie zainstalować systemu operacyjnego. Po drugie, procesory muszą być zdolne do
wirtualizacji wspomaganej sprzętowo. Zazwyczaj taka funkcjonalność nosi nazwę Intel
Virtualization Technology (Intel VT) lub AMD Virtualization (AMD-V). Wreszcie musisz
mieć dostępne i włączone zabezpieczenie Data Execution Prevention (DEP). Jeśli sprawdziłeś
sprzęt i wydaje się, że może obsługiwać wirtualizację, ale nadal nie możesz jej uruchomić,
398
Rozdział 12. • Wirtualizacja centrum danych za pomocą hiperwizora Hyper-V
prawdopodobnie w ustawieniach BIOS jest wyłączona opcja DEP. Wejdź więc do systemu
BIOS i włącz funkcję DEP, a także inne opcje, których nazwy mogą wskazywać, że dotyczą
uruchamiania maszyn wirtualnych.
Gdy stwierdzisz, że procesor potrafi obsłużyć maszyny wirtualne, możesz przekształcić sprzęt
o dowolnej wielkości w hiperwizora przez zainstalowanie na nim roli Hyper-V. Nie powinieneś
się zastanawiać nad minimalnymi wymaganiami systemowymi, ponieważ i tak chciałbyś, aby
Twój serwer Hyper-V był jak najbardziej wydajny. Im więcej rdzeni procesora, pamięci RAM
i miejsca na dysku twardym, tym więcej maszyn wirtualnych będzie można uruchomić. Nawet
najsłabsze serwery Hyper-V, jakie spotykałem w środowiskach produkcyjnych, używały podwój-
nych procesorów Xeon, 96 GB pamięci RAM i wielu terabajtów przestrzeni dyskowej. Taka
ilość pamięci RAM może się wydawać nadmiarową wartością dla jednego systemu, ale jeśli
pojedynczy serwer przeciętnie wykorzystuje 8 GB (co i tak jest dość niską wartością), a chciałbyś
uruchomić 12 serwerów wirtualnych, przekroczyłeś już możliwości maszyny Hyper-V wyposa-
żonej w zaledwie 96 GB. Liczba 8 pomnożona przez 12 daje w wyniku 96, a przecież nie pozo-
stawiłeś żadnego miejsca dla systemu operacyjnego hosta! Jaki jest morał? Użyj zaawanso-
wanego serwera albo zapomnij o wirtualizacji!
399
Windows Server 2019 dla profesjonalistów
Podczas pracy z kreatorem instalacji roli w pewnym momencie pojawi się ekran Create Virtual
Switches (Tworzenie przełączników wirtualnych). W dalszej części tego rozdziału omówimy
nieco więcej zagadnień związanych z siecią w Hyper-V, ale ważne jest, abyś już teraz mógł
określić, które z fizycznych kart sieciowych Twojego serwera będą powiązane z hiperwizorem
Hyper-V i dostępne dla maszyn wirtualnych. Dobrym pomysłem jest, aby serwer Hyper-V
miał wiele kart sieciowych. Na pewno będziesz chciał mieć jedną kartę sieciową specjalnie
przeznaczoną dla samego hosta, dlatego na tym ekranie nie powinieneś jej wybrać. Zarezerwuj
ją, aby umożliwić wykonywanie połączeń przez hiperwizora. Oprócz niej będziesz potrzebować
co najmniej jednej karty sieciowej, która może łączyć maszyny wirtualne z siecią korpora-
cyjną. Wybierzesz właśnie ją, co widać na poniższym zrzucie ekranu. Jeśli na serwerze będziesz
zarządzać wieloma maszynami wirtualnymi, które będą musiały korzystać z różnych sieci fizycz-
nych, być może trzeba będzie na nim zainstalować wiele kart sieciowych:
Po zdefiniowaniu kart sieciowych musimy zdecydować, czy serwer Hyper-V będzie w stanie
obsłużyć migrację na żywo maszyn wirtualnych. To możliwość przeniesienia maszyny wirtualnej
z jednego hosta Hyper-V na inny bez przerywania działania uruchomionych na niej usług.
Jak widać na poniższym zrzucie ekranu, istnieje kilka różnych sposobów skonfigurowania
serwera w celu przygotowania go do obsługi migracji na żywo. Zwróć uwagę na informację
podaną w dolnej części okna, która ostrzega, abyś nie włączał migracji, jeśli planujesz uczynić ten
serwer Hyper-V częścią klastra. W środowiskach klastrowych ustawienia migracji są obsługiwane
na innej warstwie (zobacz rysunek na następnej stronie).
400
Rozdział 12. • Wirtualizacja centrum danych za pomocą hiperwizora Hyper-V
Zauważysz, że istnieją dwa kluczowe elementy związane z maszyną wirtualną: plik wirtualnego
dysku twardego (VHD lub VHDX) oraz folder zawierający jej pliki konfiguracyjne.
Pamiętaj, że używana przez Ciebie wersja systemu Windows Server 2019 określa, ile ma-
szyn wirtualnych będzie można uruchomić na danym hoście. System Server 2019 Standard
pozwala na uruchomienie dwóch maszyn wirtualnych, natomiast edycja Datacenter
umożliwia uruchomienie tylu maszyn, ile może obsłużyć serwer.
401
Windows Server 2019 dla profesjonalistów
Obecnie konsola nie wyświetla zbyt wielu informacji, ponieważ nie mamy jeszcze urucho-
mionych żadnych maszyn wirtualnych. Po prawej stronie okna możesz zauważyć odnośnik
Virtual Switch Manager… (Menedżer przełącznika wirtualnego…). Kliknij go, aby przejść do
ustawień wirtualnych przełączników i sieci (zobacz drugi rysunek na następnej stronie).
Po lewej stronie okna widnieje lista Virtual Switches (Przełączniki wirtualne). W przypadku
mojego serwera na liście mamy tylko jeden przełącznik, nazwany tak jak fizyczna karta sieciowa,
z którą jest połączony. Jest to przełącznik wirtualny, który powstał w trakcie procesu instalacji
roli, gdy wybraliśmy kartę sieciową wykorzystywaną przez hipewizora Hyper-V. Jeśli podczas
instalacji roli wybierzesz wiele kart sieciowych, dostępnych będzie odpowiednio więcej prze-
łączników wirtualnych, z których każdy zostanie połączony z jedną fizyczną kartą sieciową.
402
Rozdział 12. • Wirtualizacja centrum danych za pomocą hiperwizora Hyper-V
Każda tworzona maszyna wirtualna będzie używała jednej lub więcej wirtualnych kart siecio-
wych. Wkrótce dowiesz się, że istnieje możliwość wyboru przełącznika, do którego można
taką kartę podłączyć. Jeśli masz do dyspozycji pięć różnych sieci fizycznych, z którymi mogą
się łączyć Twoje maszyny wirtualne, na serwerze Hyper-V możesz użyć pięciu fizycznych
kart sieciowych. Podłączasz każdą z nich do innej sieci, a następnie w konsoli otrzymujesz
pięć przełączników wirtualnych, z którymi łączysz swoje maszyny wirtualne.
Jak widać na powyższym zrzucie ekranu, istnieje przycisk o nazwie Create Virtual Switch
(Utwórz przełącznik wirtualny), którego przeznaczenie jest oczywiste. Za jego pomocą two-
rzymy trzy rodzaje przełączników. Poświęćmy chwilę na omówienie różnic między nimi.
403
Windows Server 2019 dla profesjonalistów
404
Rozdział 12. • Wirtualizacja centrum danych za pomocą hiperwizora Hyper-V
405
Windows Server 2019 dla profesjonalistów
W oknie Virtual Switch Manager (Menedżer przełącznika wirtualnego) wybieram rodzaj prze-
łącznika wirtualnego, który chcę utworzyć, w tym przypadku Private (Prywatny), a następnie
klikam przycisk Create Virtual Switch (Utwórz przełącznik wirtualny). Następnie podaję nazwę
nowo tworzonego przełącznika, i od razu mogę podłączyć do niego maszyny wirtualne. Na
poniższym zrzucie ekranu widzimy, że utworzyłem dwa prywatne przełączniki wirtualne:
jeden do podłączenia wewnętrznych kart sieciowych maszyn wirtualnych mojego laboratorium
testowego i drugi, który będzie działał jako jego sieć DMZ:
406
Rozdział 12. • Wirtualizacja centrum danych za pomocą hiperwizora Hyper-V
opcje w trakcie instalowania roli, więc maszyna wirtualna zostałaby umieszczona w katalogu
C:\ProgramData, co nie jest dla mnie zbyt szczęśliwym rozwiązaniem. Zaznaczyłem więc
opcję wyboru, a następnie określiłem lokalizację, w której chciałbym przechowywać swoją
maszynę wirtualną. Na podstawie zrzutu ekranu możemy stwierdzić, że do przechowywania
maszyn wirtualnych używam osobnego dysku, co ogólnie jest dobrą praktyką. Jeszcze lepszym
rozwiązaniem w przypadku bardziej rozległego środowiska byłoby wykorzystanie bezpiecznej
lokalizacji, takiej jak infrastruktura Storage Spaces Direct, do której dostęp odbywałby
się przez sieć:
407
Windows Server 2019 dla profesjonalistów
Teraz określ, ile pamięci chcesz przypisać do maszyny wirtualnej. Pamiętaj, że jest to ustawienie,
które możesz zmienić w przyszłości, dzięki czemu nie musisz się nim zbytnio przejmować.
Ilość pamięci RAM przeznaczonej dla maszyny wirtualnej będzie zależeć od ilości pamięci
RAM dostępnej w systemie hosta Hyper-V oraz od ilości pamięci wymaganej do uruchomienia
ról i usług, które planujesz zainstalować na tej maszynie. W polu Startup memory (Pamięć
początkowa) możesz podać dowolną wartość. Na przykład gdybym chciał zarezerwować
około 2 GB RAM, mógłbym wpisać przybliżoną wartość 2000 MB. Zauważyłem jednak, że
większość osób nadal używa dokładnej wartości podanej w megabajtach, ponieważ zawsze
tak robiono w przypadku sprzętu fizycznego. Zamiast więc zaokrąglać wartość do 2000, zamie-
rzam przydzielić swojej maszynie 2 GB lub 2048 MB pamięci RAM.
Pozostawienie niezaznaczonego pola Use Dynamic Memory for this virtual machine (Użyj
pamięci dynamicznej dla tej maszyny wirtualnej) oznacza, że hiperwizor Hyper-V przeznaczy
2048 MB swojej fizycznie dostępnej pamięci RAM dla tej określonej maszyny wirtualnej.
Niezależnie od tego, czy maszyna wirtualna będzie w danym momencie używać 2048 MB
czy tylko 256 MB, pełne 2 GB zostaną dla niej przeznaczone i będą nieużywane przez inne
składniki serwera Hyper-V. Jeśli jednak zaznaczysz to pole, maszyna wirtualna będzie zabierać
hostowi Hyper-V tylko tyle pamięci, ile faktycznie zużyje. Jeśli wybierzesz wartość 2048 MB,
ale maszyna wirtualna w czasie bezczynności będzie zużywać tylko 256 MB, wówczas zabierze
hostowi Hyper-V tylko 256 MB pamięci RAM (zobacz pierwszy rysunek na następnej stronie).
408
Rozdział 12. • Wirtualizacja centrum danych za pomocą hiperwizora Hyper-V
Należy również określić kilka szczegółów związanych z dyskiem twardym nowo tworzonej
maszyny wirtualnej. Najczęściej będziesz używać pierwszej opcji, dzięki której maszyna
otrzyma zupełnie nowy dysk twardy. Masz również możliwość użycia wcześniej utworzonego
dysku wirtualnego, jeśli uruchamiasz system z istniejącego pliku, lub dołączenia dysku
w późniejszym czasie, jeśli nie jesteś jeszcze przygotowany do podjęcia tej decyzji. Pozwólmy,
aby kreator wygenerował nowy wirtualny dysk twardy o domyślnym rozmiarze 127 GB. W polu
Size (Rozmiar) mógłbym podać dowolną wartość, jednak ważne jest, aby pamiętać, że utwo-
rzony dysk nie zajmie od razu obszaru o podanym rozmiarze. Rozmiar dysku będzie tak duży,
jak dużo miejsca maszyna faktycznie zużyje, więc na początku pozostanie wykorzystana tyl-
ko część z podanej wartości. Wspominam o tym, aby zaznaczyć, że liczba, której tu użyjesz,
powinna być większa niż planowany maksymalny rozmiar tworzonego dysku. Pamiętaj, aby
odpowiednio zadbać o właściwe rozmiary dysków, dzięki czemu będzie przestrzeń do rozbudowy
maszyny o nowe aplikacje (zobacz pierwszy rysunek na następnej stronie).
Ostatni ekran kreatora pozwala ustawić parametry systemu operacyjnego, z którym będzie
działać nasza maszyna wirtualna. Inaczej mówiąc, określimy, skąd ten system operacyjny zostanie
zainstalowany. Zamierzam pozostawić opcję domyślną, aby zainstalować system operacyjny
później, dzięki czemu będziemy mogli zobaczyć, co się stanie, gdy na ekranie nie zmienisz
żadnych ustawień (zobacz drugi rysunek na następnej stronie).
409
Windows Server 2019 dla profesjonalistów
410
Rozdział 12. • Wirtualizacja centrum danych za pomocą hiperwizora Hyper-V
Czego mógłbyś się spodziewać w oknie konsoli po uruchomieniu naszej nowej maszyny wir-
tualnej? Oczywiście komunikatu o błędzie uruchamiania:
Na poniższym zrzucie ekranu można zauważyć, że maszyna wirtualna ma napęd DVD, którym
zarządza kontroler IDE 1. Jeśli klikniesz opcję DVD Drive (Napęd DVD), będziesz mógł z ła-
twością wskazać, by do tego napędu podłączono plik ISO. Na dysk twardy serwera Hyper-V
skopiuj więc plik ISO instalatora systemu operacyjnego, który chcesz uruchomić.
Wszystkie swoje pliki ISO umieszczam zazwyczaj w osobnym folderze o nazwie ISO, znajdują-
cym się obok katalogu z maszynami wirtualnymi. Następnie z użyciem przycisku Browse…
(Przeglądaj…) wybieram z tego folderu odpowiedni plik ISO. Podłączanie pliku ISO do maszyny
wirtualnej działa tak samo, jakbyś podłączał prawdziwą płytę instalacyjną DVD do fizycznego
serwera:
411
Windows Server 2019 dla profesjonalistów
412
Rozdział 12. • Wirtualizacja centrum danych za pomocą hiperwizora Hyper-V
413
Windows Server 2019 dla profesjonalistów
Niektóre z nich są oczywiste, innymi zaś warto się bliżej zainteresować. Użyliśmy już opcji
Connect… (Połącz…) w celu połączenia się z konsolą naszej maszyny wirtualnej. Druga
opcja, Settings… (Ustawienia…), pozwala zmienić wiele parametrów maszyny. Omówimy ją
dokładniej w następnym punkcie. Jednym z najczęstszych powodów, dla których otwieram
414
Rozdział 12. • Wirtualizacja centrum danych za pomocą hiperwizora Hyper-V
to menu prawym przyciskiem myszy, są funkcje zasilania maszyn wirtualnych. Istnieją dwie
opcje zasilania: Turn Off… (Wyłącz…) i Shut Down… (Zamknij…). Pierwsza z nich działa jak
naciśnięcie wyłącznika na serwerze, czyli natychmiast odcina zasilanie, co jest niezbyt przyjemne
dla systemu Windows. Inaczej działa druga funkcja, która inicjuje poprawne zamknięcie
systemu — przynajmniej wówczas, gdy na maszynach wirtualnych używasz systemów operacyj-
nych firmy Microsoft. Zamykanie serwera to faktycznie nic wielkiego, ale prawdziwa potęga
tej operacji polega na tym, że możesz jednocześnie zamknąć wiele maszyn wirtualnych. Na
przykład, jeśli uruchomiłem kilkanaście różnych maszyn wirtualnych we wszystkich laborato-
riach testowych, a następnie zauważyłem, że zajmują one zbyt wiele zasobów i powodują
problemy na serwerze Hyper-V, mogę je wszystkie zaznaczyć, kliknąć prawym przyciskiem
myszy, a następnie jednorazowo kliknąć opcję Shut Down…, co natychmiast uruchomi pro-
ces zamykania wszystkich wybranych maszyn wirtualnych. Po zamknięciu lub wyłączeniu
maszyny wirtualnej pojawi się opcja Start (Uruchom). Również w tym przypadku możesz
wybrać wiele serwerów i uruchomić je wszystkie naraz.
Opcja Settings
Szczegółowa modyfikacja ustawień maszyny wirtualnej jest możliwa po kliknięciu jej nazwy
prawym przyciskiem myszy, a następnie wybraniu opcji Settings… (Ustawienia…). W oknie
ustawień możesz zmienić dowolny parametr sprzętowy maszyny wirtualnej, co jest najczęstszym
powodem do jego otwarcia. Natychmiast po tym, jak pojawi się okno ustawień, możesz wybrać
opcję Add Hardware (Dodaj sprzęt), aby dodać sprzęt do maszyny wirtualnej. W tym miejscu
będziesz mógł dodać do swojego serwera wirtualnego więcej kontrolerów dysków twardych
lub kart sieciowych (zobacz pierwszy rysunek na następnej stronie).
Nie jestem pewien, czy widać to dokładnie na powyższym zrzucie ekranu, ale przycisk Add
(Dodaj) jest obecnie nieaktywny. To ważne spostrzeżenie. Wiele zmian można wprowadzać
w locie, gdy maszyna wirtualna jest uruchomiona. Niektórych funkcji nie można jednak wyko-
nać, dopóki maszyna nie zostanie wyłączona. Dodanie sprzętu jest jedną z nich. Jeśli do maszyny
wirtualnej chcesz dodać nowy dysk twardy lub nową kartę sieciową, musisz ją najpierw
zamknąć.
Następnie mamy opcję Memory (Pamięć). Jej obsługa wydaje się dość prosta, nieprawdaż?
Wystarczy wprowadzić ilość pamięci RAM, którą ma wykorzystywać maszyna wirtualna. Chciał-
bym tu podkreślić znaczną poprawę funkcjonalności tej opcji. Począwszy od wersji Windows
Server 2016 możesz dostosować ilość pamięci RAM w trakcie działania maszyny wirtualnej!
W poprzednich wersjach środowiska Hyper-V, by to zrobić, trzeba było zamknąć maszyny
wirtualne. W tej chwili mój serwer WEB3 działa i obsługuje użytkowników, a jednak mogę
wybrać tę opcję i dowolnie zwiększyć ilość pamięci przeznaczoną dla serwera.
Powiedzmy, że wcześniej przydzielona wartość, 2 GB, nie wystarcza już do obsługi aplikacji,
dlatego chciałbym ją zwiększyć do 4 GB. Pozostawiam serwer działający, otwieram ustawie-
nia Menedżera funkcji Hyper-V dla maszyny wirtualnej i w polu RAM wprowadzam wartość
4096 MB (zobacz drugi rysunek na następnej stronie).
415
Windows Server 2019 dla profesjonalistów
Ilość przydzielonej pamięci RAM natychmiast się zmienia. Jeśli teraz wyświetlę właściwości
systemu dla serwera WEB3, zauważę, że parametry systemu operacyjnego zostały zaktualizo-
wane, tak że teraz odzwierciedlają zainstalowaną ilość pamięci, czyli 4 GB:
416
Rozdział 12. • Wirtualizacja centrum danych za pomocą hiperwizora Hyper-V
Inne przydatne opcje to Processor (Procesor) i Network Adapter (Karta sieciowa). Możesz
określić liczbę procesorów wirtualnych przypisanych do maszyny wirtualnej oraz wagi wydajno-
ści związane z tymi procesorami. Na ekranie dotyczącym karty sieciowej możesz zmienić
wirtualny przełącznik, do którego są podłączone wirtualne karty sieciowe. Często używam tej
sekcji podczas przenoszenia serwerów pomiędzy różnymi lokalizacjami.
Opcja Checkpoints
Ostatnia opcja menu ustawień, którą chciałbym omówić, nazywa się Checkpoints (Punkty
kontrolne). Była ona wcześniej zwana migawkami (ang. snapshots), co moim zdaniem dla więk-
szości z nas ma większy sens. Punkty kontrolne to opcja, którą można uruchomić z Menedże-
ra funkcji Hyper-V przez kliknięcie prawym przyciskiem myszy jednej lub więcej maszyn wirtu-
alnych. Jej działanie polega na utworzeniu dla maszyny wirtualnej migawki z danego
momentu. Można też potraktować punkty kontrolne jako coś, co pozwala na uzyskanie
punktów przywracania dla serwerów. Jeśli przykładowo utworzysz punkt kontrolny we wtorek,
a w środę ktoś dokona na serwerze zmiany konfiguracji, co spowoduje powstanie problemu,
możesz przywrócić stan maszyny z tego wcześniej wykonanego punktu kontrolnego.
417
Windows Server 2019 dla profesjonalistów
418
Rozdział 12. • Wirtualizacja centrum danych za pomocą hiperwizora Hyper-V
Zostanie raczej utworzony plik kopii zapasowej, którego można później użyć, aby przywrócić
system operacyjny do stanu z tego momentu. Innymi słowy, produkcyjny punkt kontrolny
przywraca do wcześniejszego stanu sam system Windows, ale nie są w nim uwzględniane
żadne aplikacje i dane, które wciąż się zmieniają na serwerze.
Takich ograniczeń jest pozbawiona druga opcja, o nazwie Standard checkpoints (Standardowe
punkty kontrolne). Polega ona na uproszczonym przechwyceniu maszyny wirtualnej, podobnie
jak w przypadku, gdy kliknie się prawym przyciskiem myszy plik dysku twardego VHDX
i wybierze opcję kopiowania, a następnie wklei ten plik w innym miejscu. Przywracanie
standardowego punktu kontrolnego może być procesem trudniejszym, ponieważ jeśli był on
tworzony, gdy aplikacja na serwerze była w trakcie wykonywania ważnej funkcji, wówczas
przywrócenie spowodowałoby, że funkcja musiałaby kontynuować swoje działanie, co w przy-
padku zapisu do bazy danych mogłoby spowodować problemy.
Gdy już podejmiesz decyzję, jaki rodzaj punktu kontrolnego należy zastosować, jego wywołanie
jest bardzo proste. Po powrocie do głównego ekranu Menedżera funkcji Hyper-V wystarczy
kliknąć maszynę wirtualną prawym przyciskiem myszy, a następnie z menu kontekstowego
wybrać opcję Checkpoint (Punkt kontrolny). Po wykonaniu tej czynności zobaczysz, że w środ-
kowym panelu Menedżera funkcji Hyper-V, w sekcji Checkpoints (Punkty kontrolne), której
być może nawet wcześniej nie zauważyłeś, pojawią się nowe informacje.
W tym miejscu zostanie wyświetlony nowy punkt kontrolny, który właśnie utworzyliśmy. Czeka on
na przywrócenie, jeśli zajdzie taka potrzeba. Kliknięcie tego punktu kontrolnego prawym przyci-
skiem myszy, a następnie wybranie opcji Apply… (Zastosuj…) zainicjuje proces przywracania:
419
Windows Server 2019 dla profesjonalistów
Gdy Twoje serwery Windows są maszynami wirtualnymi, znacznie częściej wchodzisz z nimi
w interakcje w taki sam sposób jak w przypadku tradycyjnych serwerów fizycznych. Co
prawda w tym rozdziale uzyskiwałem na początku dostęp do swojego serwera WEB3 za pośred-
nictwem konsoli Hyper-V, ale obecnie, gdy zainstalowałem już na nim system Windows Server
2019 i włączyłem funkcję RDP, nie ma powodu, dla którego nie mógłbym po prostu uruchomić
programu MSTSC i z własnego pulpitu zalogować się na maszynie w standardowy sposób:
To samo dotyczy programu PowerShell lub innego tradycyjnego sposobu uzyskiwania zdalnego
dostępu do usług na dowolnym serwerze. Ponieważ maszyna wirtualna jest podłączona do
sieci i ma zainstalowany system operacyjny serwera, mogę użyć programu PowerShell do zarzą-
dzania nią również z innego serwera lub komputera stacjonarnego. Po skonfigurowaniu sprzętu
i zainstalowaniu systemu operacyjnego na maszynie wirtualnej rzadko się zdarza, że trzeba
użyć konsoli Hyper-V do jej obsługi. Głównym powodem uruchamiania Menedżera funkcji
Hyper-V w celu uzyskania dostępu do maszyny wirtualnej są zmiany na poziomie jej sprzętu,
takie jak dodanie dysku twardego, dostosowanie ilości pamięci RAM lub podłączenie karty
sieciowej do innego przełącznika.
420
Rozdział 12. • Wirtualizacja centrum danych za pomocą hiperwizora Hyper-V
Chroniona maszyna wirtualna jest zasadniczo maszyną wirtualną, która jest zaszyfrowana.
Mówiąc dokładniej, sam plik dysku twardego (VHDX) jest szyfrowany przy użyciu funkcji
BitLocker. Brzmi to prosto, ale istnieją pewne ścisłe wymagania. Aby szyfrowanie funkcją
BitLocker działało poprawnie, do maszyny wirtualnej jest wstrzykiwany wirtualny układ TPM
(ang. Trusted Platform Module). Moduły TPM można coraz częściej spotkać na poziomie
sprzętowym, ale w rzeczywistości są one nadal dla większości administratorów tajemniczą,
czarną skrzynką. Chronione maszyny wirtualne można również tak skonfigurować, aby działały
tylko na uprawnionych i zabezpieczonych serwerach hosta, co jest niesamowitą zaletą dla osób
dbających o bezpieczeństwo. Taką możliwość zapewnia zastosowanie kilku różnych opcji
zaświadczeń, które wkrótce omówimy.
421
Windows Server 2019 dla profesjonalistów
Na razie brzmi całkiem nieźle, zgadza się? Jako najemca z pewnością nie chciałbyś, aby Twój
dostawca chmury miał dostęp do zawartości zarządzanych przez niego maszyn wirtualnych. Nie
podobałoby Ci się też, gdyby inni dzierżawcy, których maszyny wirtualne działałyby na tym
samym serwerze w chmurze, mogli mieć jakikolwiek dostęp do Twoich serwerów. Ta sama
zasada obowiązuje w przypadku chmur prywatnych. Jeśli zarządzasz chmurą prywatną i zezwa-
lasz różnym firmom lub oddziałom na uruchamianie maszyn wirtualnych w tej samej infra-
strukturze, chciałbyś się upewnić, że są one odizolowane od siebie, a także od samego hosta.
A teraz dla zabawy zmienię się w złoczyńcę. Jestem nieuczciwym pracownikiem w firmie
będącej dostawcą usług chmurowych i postanawiam wyrządzić szkody, zanim się z niej zwolnię.
Najłatwiej byłoby oczywiście całkowicie usunąć serwer WEB3, ponieważ mam dostęp do
konsoli administracyjnej. Jednak prawdopodobnie zostałoby to od razu zauważone, a firma
dzierżawiąca po prostu uruchomiłaby nowy serwer WWW lub przywróciła go z kopii zapasowej.
Zamiast więc usuwać maszynę, zamierzam ją pozostawić działającą, ale zmienię zawartość
samej witryny. Niech klienci tej firmy będą mieli okazję do plotek!
Aby zmienić witrynę firmy dzierżawiącej serwer WEB3, nie potrzebuję żadnych uprawnień
do samej maszyny wirtualnej, ponieważ mam już bezpośredni dostęp do pliku wirtualnego
dysku twardego. Powinienem się tylko podłączyć do tego pliku VHD, zmodyfikować witrynę
i przez to sprawić, by wyświetlała dowolne informacje.
Najpierw loguję się na serwerze Hyper-V (pamiętaj, że to moja własność, ponieważ jestem
dostawcą usług i zarządzam wirtualizacją), a następnie znajduję lokalizację pliku VHD, którego
używa maszyna WEB3. Wszystko to dzieje się w infrastrukturze technicznej, więc nie potrze-
buję żadnych danych uwierzytelniających najemcy. Co więcej, żadne moje działanie nie jest
rejestrowane, więc najemca nie będzie w żaden sposób wiedział, że coś robię z jego maszyną.
Po prostu klikam prawym przyciskiem myszy odnaleziony dysk VHD i wybieram opcję Mount
(Zamontuj):
Gdy już dysk VHD został podłączony bezpośrednio do systemu operacyjnego serwera hosta,
mogę go przeglądać w taki sposób, jakby był on jednym z moich własnych dysków. Prze-
chodzę do folderu wwwroot zawierającego pliki witryny, a następnie zmieniam domyślną
stronę, aby wyświetlała wybraną przeze mnie treść:
422
Rozdział 12. • Wirtualizacja centrum danych za pomocą hiperwizora Hyper-V
A później, dla zabawy, kopiuję cały plik VHD na urządzenie USB, aby móc zabrać go ze sobą
i jeszcze bardziej popsuć.
423
Windows Server 2019 dla profesjonalistów
Czy chciałbyś teraz umieszczać swoje maszyny wirtualne w chmurze? Ten przykład pokazuje,
dlaczego tak wiele firm boi się wykonać ten pierwszy krok w kierunku usługi chmurowej —
poziom bezpieczeństwa takiego środowiska jest nieokreślony. Na szczęście firma Microsoft
stara się wyeliminować tę lukę w zabezpieczeniach dzięki nowej technologii zwanej chroniony-
mi maszynami wirtualnymi.
Czy ten wysoki poziom ochrony może przeszkadzać podczas poprawnego rozwiązywania
problemów związanych z daną maszyną wirtualną? Co powinieneś zrobić w przypadku, gdybyś
musiał użyć konsoli Hyper-V, aby się dowiedzieć, dlaczego maszyna wirtualna nie chce się uru-
chomić lub ma jakąś inną awarię? Tak, to ważne zagadnienie, które należy wziąć pod uwagę.
Chronione maszyny wirtualne mają znacznie zwiększony poziom bezpieczeństwa — do tego
stopnia, że w rzeczywistości traci się możliwość rozwiązywania problemów, które ich doty-
czą. Jak to często bywa w świecie IT, wymieniamy użyteczność na bezpieczeństwo.
424
Rozdział 12. • Wirtualizacja centrum danych za pomocą hiperwizora Hyper-V
Hosty zabezpieczone
Aby zarządzać chronionymi maszynami wirtualnymi, będziesz musiał wdrożyć jeden lub
więcej hostów zabezpieczonych (ang. guarded hosts). Można powiedzieć, że są to serwery
Hyper-V na sterydach. Będą zarządzać maszynami wirtualnymi, jak każdy inny serwer Hyper-V,
ale zostaną specjalnie przygotowane i skonfigurowane do obsługi zaszyfrowanych dysków
należących do chronionych maszyn wirtualnych oraz informowania o swoim stanie w ramach
ogólnej strategii bezpieczeństwa.
Hosty zabezpieczone muszą używać systemu Datacenter Server 2016 lub Datacenter Server
2019. Ogólnie rzecz biorąc, powinny się uruchamiać przy użyciu interfejsu UEFI i zawierać
układ TPM 2.0 (nie jest on co prawda wymagany, ale z pewnością zalecany).
Hosty zabezpieczone zastępują tradycyjne serwery Hyper-V. Ich zadaniem jest przechowywanie
maszyn wirtualnych i zarządzanie nimi.
Usługa HGS ma zasadnicze znaczenie dla działania chronionej infrastruktury. Jeśli ulegnie
ona awarii, żadna z chronionych maszyn wirtualnych nie będzie mogła się uruchomić!
Wymagania dotyczące usługi HGS różnią się w zależności od trybu poświadczenia, z które-
go będą korzystać hosty zabezpieczone. O tych trybach dowiesz się w następnej części tego
rozdziału. Usługa HGS musi zostać uruchomiona w systemie Server 2016 lub Server 2019,
a oprócz tego zalecane jest używanie serwerów fizycznych działających w klastrze o trzech
węzłach.
Chciałbym również zwrócić uwagę na funkcję związaną z usługą HGS, która pojawiła się w sys-
temie Windows Server 2019 — mam na myśli pamięć podręczną HGS. Ograniczeniem
chronionych maszyn wirtualnych we wcześniejszym systemie Server 2016 było to, że z usługą
HGS trzeba było się kontaktować za każdym razem, gdy host zabezpieczony chciał uruchomić
jedną z nich. Może to stać się problematyczne, jeśli usługa HGS będzie niedostępna z jakiegoś
tymczasowego powodu. Nowością w wersji Server 2019 jest pamięć podręczna HGS
425
Windows Server 2019 dla profesjonalistów
przechowująca klucze maszyn wirtualnych. Dzięki temu host zabezpieczony może od razu
uruchamiać maszyny wirtualne na podstawie ich kluczy zawartych w pamięci podręcznej,
zamiast łączyć się za każdym razem z usługą HGS. Może to być pomocne, jeśli usługa HGS
jest wyłączona (chociaż stan, w którym usługa HGS nie działa, prawdopodobnie oznacza, że
masz duże problemy). Użycie pamięci podręcznej HGS ma większy sens w przypadku zdalnych
oddziałów, w których host zabezpieczony ma niewydajne połączenie sieciowe z usługą HGS.
Poświadczenia hosta
Poświadczenie hostów zabezpieczonych jest kluczem do wdrożenia chronionych maszyn
wirtualnych. Jest to podstawowe wymaganie bezpieczeństwa w przypadku, jeśli chciałbyś
wdrożyć takie rozwiązanie we własnym środowisku. Zdolność hostów do potwierdzania
swojego stanu i tożsamości zapewnia Ci spokojną pracę, ponieważ wiesz, że nie zostały one
zmodyfikowane bez Twojej wiedzy. Chroni Cię również przed skopiowaniem przez złośliwego
pracownika wszystkich plików dysków twardych należących do maszyn wirtualnych, które
to pliki mógłby następnie zabrać do domu i uruchomić. Chronione maszyny wirtualne będą
działać wyłącznie na hostach zabezpieczonych i nigdzie indziej.
Istnieją dwa różne tryby, które może wykorzystywać host zabezpieczony w celu przekazania
poświadczenia z usługi HGS. Prawdę mówiąc, są trzy tryby, ale jeden z nich jest już przestarzały.
Poświęć chwilę na dokładniejsze zapoznanie się z nimi.
426
Rozdział 12. • Wirtualizacja centrum danych za pomocą hiperwizora Hyper-V
mić chronioną maszynę wirtualną, za pomocą usługi HGS postarają się uzyskać poświadczenie,
które zostanie zatwierdzone lub odrzucone na podstawie pary kluczy.
Jest to z pewnością szybszy i łatwiejszy sposób, aby chronione maszyny wirtualne stały się
rzeczywistością w Twojej sieci, jednak to rozwiązanie nie jest tak bezpieczne jak poświadczenia
zaufane TPM.
427
Windows Server 2019 dla profesjonalistów
W rzeczywistości tak było, dopóki nie pojawił się system Windows Server 2016. Jest obec-
nie dostępny nowy typ systemu plików o nazwie Resilient File System (ReFS). Nawet jeśli
od dawna pracujesz w dziale IT, być może nigdy o nim nie słyszałeś, ponieważ do tej pory
nie jest zbyt często wykorzystywany. Stosuje się go głównie w serwerach używających infra-
struktury Storage Spaces Direct (S2D). Jeśli więc jest to najnowszy i najlepszy system plików
firmy Microsoft, dlaczego nie jest domyślną opcją w nowych systemach? Przede wszystkim
dlatego, że nie można go używać w dyskach rozruchowych. To natychmiast eliminuje moż-
liwość wdrożenia systemu ReFS na całym dysku w przypadku systemów z jednym dyskiem
twardym. Oznacza to, że ReFS dotyczy woluminów dodatkowych, w tym takich, które są
przeznaczone do przechowywania dużych ilości danych.
428
Rozdział 12. • Wirtualizacja centrum danych za pomocą hiperwizora Hyper-V
Deduplikacja danych
Deduplikacja danych to po prostu zdolność systemu komputerowego do wykrywania wielu
takich samych sekwencji danych na dysku, a następnie ich usuwania. Gdyby w systemie
było sześć dokładnych kopii tego samego pliku, deduplikacja mogłaby usunąć pięć z nich,
zachowując tylko jedną wersję i udostępniając ją we wszystkich sześciu lokalizacjach. Taka
funkcjonalność pozwala na znaczną oszczędność miejsca na dysku. Nie jest to jednak nowy
pomysł, ponieważ został już zaimplementowany w wersji Server 2012.
Windows Server 2019 jest pierwszą platformą, w której przypadku można włączyć deduplikację
danych na woluminie sformatowanym w systemie ReFS.
Ponieważ system ReFS w porównaniu z NTFS ma pewne zalety związane z odpornością na awa-
rie i wydajnością, dlatego najlepiej byłoby, gdyby pliki VHDX były przechowywane na wo-
luminie ReFS.
Windows Server 2019 to pierwsza platforma, która pozwala Ci mieć ciastko, a zarazem je zjeść.
Obecnie możemy utworzyć wolumin ReFS do przechowywania dysków twardych maszyn
wirtualnych, a także włączyć na nim deduplikację danych.
429
Windows Server 2019 dla profesjonalistów
Największym problemem jest to, że użycie systemu Windows Server 2019 Standard Edition
jako serwera Hyper-V spowoduje, że będziesz w stanie uruchomić dwie maszyny wirtualne.
Tylko dwie i nic więcej! Jasne jest, że wersja systemu Standard Edition nie została zapro-
jektowana, by być serwerem Hyper-V.
Pozostaje więc wersja Windows Server 2019 Datacenter Edition. Na szczęście pozwala ona
na uruchamianie nieograniczonej liczby maszyn wirtualnych! To dobra wiadomość! Z wyjątkiem
jednego drobiazgu — Datacenter Edition może kosztować nawet kilkadziesiąt tysięcy złotych.
Jest to bardzo ograniczający czynnik przy wdrażaniu serwerów Hyper-V.
Cała ta dyskusja na temat licencjonowania i tego, jak drogie i skomplikowane może ono być,
prowadzi do jednego wniosku: Hyper-V Server 2019. Moment, przecież o tym cały czas piszemy
w tym rozdziale! Czy nie jest to tylko Windows Server 2019 z zainstalowaną rolą Hyper-V?
Nie, wcale nie.
Hyper-V Server 2019 jest samodzielną wersją systemu operacyjnego. Ma własnego instalatora
i zupełnie inny interfejs użytkownika niż tradycyjny serwer. Zainstalowanie na urządzeniu
systemu Hyper-V Server 2019 spowoduje, że serwer będzie mógł obsługiwać nieograniczoną
liczbę maszyn wirtualnych Hyper-V, jednakże nie będzie miał żadnej innej funkcjonalności.
Nie będzie go można używać jako serwera ogólnego przeznaczenia do zarządzania innymi rolami
lub usługami. System Hyper-V Server nie ma także graficznego interfejsu użytkownika.
Środowisko Hyper-V Server 2019 ma jedną ogromną zaletę: jest ZA DARMO. Oczywiście,
nadal jesteś odpowiedzialny za licencjonowanie samych maszyn wirtualnych, ale posiadasz
darmowy system operacyjny hosta, który może obsługiwać ich nieograniczoną liczbę. Jest to coś,
co mój portfel na pewno polubi.
Program instalacyjny środowiska Hyper-V Server 2019 nagrałem na płycie DVD (na szczęście
jest niewielki i zmieścił się bez problemu!), a następnie uruchomiłem na swoim sprzęcie.
Instalacja samego systemu operacyjnego przebiegła zupełnie typowo: wszystkie ekrany instalacji
i opcje były takie same, jak gdybym instalował pełną wersję systemu Windows Server 2019.
Gdy instalator zakończył pracę i uruchomiłem system operacyjny Hyper-V Server 2019,
wszystko jednak wyglądało zupełnie inaczej (zobacz rysunek na następnej stronie).
Jest dostępny jedynie wiersz poleceń, w którym automatycznie uruchomiono narzędzie konfigu-
racyjne o nazwie SConfig. Przy użyciu klawiatury mogę zmienić nazwę serwera, dołączyć go
do domeny i skonfigurować ustawienia sieciowe. Po zakończeniu korzystania z tego interfejsu
w celu ustawienia podstawowych parametrów i uzyskania połączenia z siecią nie musisz ponow-
nie uzyskiwać dostępu do konsoli tego serwera, chyba że trzeba byłoby coś zmienić w samej
konfiguracji. Zamiast tego na innym serwerze lub komputerze klienckim podłączonym do sieci
wystarczy użyć Menedżera funkcji Hyper-V lub programu PowerShell, aby zacząć zdalnie
zarządzać maszynami wirtualnymi uruchomionymi na tym urządzeniu.
430
Rozdział 12. • Wirtualizacja centrum danych za pomocą hiperwizora Hyper-V
Do obsługi środowiska Hyper-V Server i administrowania nim służy zdalna konsola Menedżera
funkcji Hyper-V. Jest to rozwiązanie podobne do tego, które stosuje się w przypadku zdalnego
zarządzania wersjami Server Core lub Nano Server przy użyciu konsoli lub programu
PowerShell.
431
Windows Server 2019 dla profesjonalistów
Podsumowanie
Co prawda nie dysponuję oficjalnymi statystykami, ale zaryzykuję i stwierdzę, że obecnie
działa już więcej serwerów wirtualnych niż fizycznych. Dzięki temu nasz świat się kręci. Wciąż
trwa bitwa o miano najlepszej platformy wirtualizacji. Zazwyczaj chodzi o wybór pomiędzy
rozwiązaniami Hyper-V i VMware. Nie można jednak zignorować tego, że wirtualizacja jest
przyszłością środowisk IT. Firma Microsoft poświęca wiele czasu i zasobów, aby rozwiązanie
Hyper-V zawsze wyprzedzało konkurencję, i z każdym nowym wydaniem wprowadza do
niego coraz więcej funkcji, dzięki czemu Twoja zwirtualizowana infrastruktura działa bez pro-
blemu przez cały czas. Czy potencjał wirtualizacji w chmurze jest większy niż na lokalnym
serwerze Hyper-V? Myślę, że tak, ponieważ infrastruktura istniejąca u dostawcy usług w chmu-
rze zyskuje coraz więcej możliwości w porównaniu z tym, co pojedyncza firma może zapew-
nić we własnym centrum danych. Czy to oznacza, że możesz całkowicie zapomnieć o Hyper-V
i po prostu skorzystać z serwerów udostępnianych w chmurze? Może kiedyś tak będzie, ale
większość firm nie jest jeszcze gotowa na tak dużą zmianę. Zapotrzebowanie na lokalne serwery
i usługi wciąż jest ogromne, a niektóre branże po prostu nigdy nie pozwolą, aby ich dane i apli-
kacje były zarządzane przez obce firmy. Poznanie możliwości środowiska Hyper-V i umiejęt-
ność stworzenia tej infrastruktury od podstaw daje Ci znaczną przewagę podczas szukania
pracy w organizacji zorientowanej na produkty firmy Microsoft.
I to już koniec naszej historii dotyczącej nowego systemu Windows Server 2019. Wiele
omawianych tematów może być powodem do napisania oddzielnych książek. Mam nadzieję,
że zaprezentowane tu zagadnienia zachęcą Cię do głębszego zapoznania się z technologiami,
które będziesz chciał wykorzystać. Środowiska firmy Microsoft królują w większości centrów
danych na całym świecie. Nowe i zaktualizowane funkcje dostępne w systemie Windows
Server 2019 zapewnią, że trend ten się utrzyma.
432
Rozdział 12. • Wirtualizacja centrum danych za pomocą hiperwizora Hyper-V
Pytania
1. Jakie są trzy typy wirtualnych przełączników w środowisku Hyper-V?
2. Jaka generacja maszyny wirtualnej pozwala na jej uruchomienie przy użyciu
systemu UEFI?
3. W środowisku Hyper-V systemu Windows Server 2019 musisz zamknąć maszynę
wirtualną, aby zmienić przydzieloną jej ilość pamięci RAM — prawda czy fałsz?
4. Jedynym sposobem interakcji z maszyną wirtualną jest konsola Hyper-V —
prawda czy fałsz?
5. Jak nazywa się technologia Hyper-V umożliwiająca wykonywanie migawkowych
obrazów maszyn wirtualnych, które można później przywrócić?
6. Jak nazywa się rola, która obsługuje uwierzytelnianie serwerów hosta Hyper-V
podczas uruchamiania chronionych maszyn wirtualnych?
7. Która metoda poświadczeń jest najbardziej wszechstronna w przypadku chronionych
maszyn wirtualnych: poświadczenie klucza hosta, poświadczenie zaufane TPM
czy poświadczenie zaufane administratora?
433
Windows Server 2019 dla profesjonalistów
434
Odpowiedzi na pytania
436
Odpowiedzi na pytania
437
Windows Server 2019 dla profesjonalistów
6. Pamięć USB.
7. Fałsz, w technologii S2D możesz używać dowolnego rodzaju dysków twardych.
438