windows server 2008 na srpskom
DESCRIPTION
Short introduction on Windows Server 2008 in Serbian lenguageTRANSCRIPT
-
Saa Prudkov
predstavljamo vam
WINDOWSSERVER2008
-
Top 10 razloga da preete na njega
Prolo je mnogo vremena od kada smo videli novu verziju Windows Server-a. Teko je poverovati da je prolo pet godina od kada je izaao Windows Server 2003. E pa ove godine moemo da prestanemo da ekamo. Windows Server 2008 je zvanino izaao ovog meseca i sada imamo pristup svim njegovim elementima. Prolo je mnogo vremena i Microsoft je uloio jako mnogo truda i rada u Windows Server 2008 kako bi bio najbolji do sada.
Napravljeno je hiljade izmena u Windows Server-u 2008 u poreenju sa Windows Server-om 2003. Neke su veoma male, ali neke su veoma velike i znaajne. Ali pitanje koje svi postavljaju je ta to Windows Server 2008 nudi da vredi nadgraditi na njega? Odgovor na ovo pitanje e biti glavna tema ove serije kratkih lanaka.
Postoji suvie mnogo izmena i poboljanja u Windows Server-u 2008 da bi mogla sva da se pokriju u jednom lanku, zato emo izlaganje podeliti na nekoliko kraih lanaka. U ovim lancima fokusiraemo se samo na funkcije i mogunosti za koje mi mislimo da su one zbog kojih vredi nadgraditi na Windows Server 2008.
Mnogi e pomisliti da sam izostavio neke vane stvari u ovom opisu mogunosti Windows Server-a 2008 i bie u pravu, jer nisu svima bitne iste stvari. Zato u ja ovde govoriti samo o velikim izmenama za koje se ja nadam da e usreiti veinu korisnika.
Sledi lista novosti i pobljanja kojima emo se baviti u ovim lancima o Windows Server-u 2008 jer mislimo da e one biti najzaslunije za prelazak korisnika sa Windows Server-a 2003 na Windows Server 2008.
Server Manager i Advanced Event Viewer Server Core Terminal Services Gateway Terminal Services RemoteApps Izvorna podrka za IPv6 Read Only kontroleri domena Hyper-V
-
Network Access Protection (NAP) Secure Sockets Tunneling Protocol (SSTP) Windows Advanced Firewall QoS zasnovan na polisama
-
Server Manager i napredni Event Viewer
Windows Server 2008 poseduje potpuno novi interfejs za upravljanje poznat pod imenom Server Manager. Server Manager je jedino mesto koje e vam trebati za konfigurisanje, upravljanje i praenje servera. On nije kao menaderi servera koje ste koristili u prolosti; ovaj stvarno radi i njega ete definitivno koristiti svaki dan za upravljanje Windows Server 2008 raunarima.
U Server Manager, vi moete da instalirate Server Roles-ove (kao to je DNS, DHCP, Active Directory) i Role servise (kao to je Terminal Services Gateway i RRAS). Kada instalirate Server Roles-ove (serverske uloge) i Role Services-e (servise uloga), MMC konzole za ove servise se instaliraju u Server Manager-u. Vie ne treba da kreirate sopstvene MMC-ove!
Server Manager takoe moe da se pohvali sa novim Event Viewer-om. Ovo nije Event Viewer vaeg oca koji poseduje samo System, Security i Application nodove. Windows Server 2008 Event Viewer vam obezbeuje logove dogaaja koje moete da koristite. Tu su standardni Windows Event Log-ovi: Application, Security i System. Ali sada imate mogunost da vidite dogaaje za sve aplikacije i servise instalirane na raunaru. Pored toga, vi moete da kreirate Custom View-ove Event Log-ova, tako da moete da kreirate sopstvene kontejnere za dogaaje na osnovu filtera koje izaberete.
Jedna od novih Event Log funkcija koja mi se svia je mogunost da se prijavite za dogaaje na drugim mainama u mrei. To vam omoguuje da skupljate Event Log podatke sa drugih maina, na osnovu filtera koje ste obezbedili. Na taj nain, vi moete da konfiguriete filtere za kritine dogaaje na najvanijim serverima u vaoj mrei. Iako mu nedostaje prefinjenost kompletnog reenja za nadgledanje kao to je System Center Operations Manager, ovo je veoma dobro reenje za nadgledanje za one kompanije koje ne ele da plate za mogunosti koje nudi SCOM.
-
Server Core
Windows Server 2008 moe da se instalira na dva naina: kompletna instalacija full ili samo jezgro servera. Server Core instalacija instalira podset binarnih fajlova koji su neophodni da bi jezgro operativnog sistema radilo. Nikakvi opcioni servisi se ne instaliraju niti se aktiviraju. Nema korisnikog interfejsa osim komandne linije. Nema koljke Windows Explorer-a i celokupna konfiguracija mora da se uradi lokalno u komandnoj liniji, ili udaljeno pomou MMC konzole ili nove Windows Remote Shell (WinRS) aplikacije za udaljeno upravljanje (slino SSH-u).
Cilj jezgra servera nije da bude tei za upravljanje (mada upravljanje jeste tee u odreenom stepenu jer se mnogi zadaci moraju obavljati iz komandne linije i ne mogu da se urade udaljeno preko MMC konzole). Pravi cilj Server Core-e je da se redukuje povrina za napad i da se smanji broj auriranja servera. Poto veina bezbednosnih auriranja Windows-a obino ukljuuje servise i aplikacije koje ni ne koristite (kao to je Windows Media Player ili Internet Explorer) na serveru, vi onda ni ne morate da aurirate ove komponente. A zahvaljujui znatno smanjenom broju servisa i aplikacija koji rade na jezgru servera, povrina koja moe da se napadne je znaajno smanjena.
Jezgro servera pokree ogranieni broj uloga servera (Server Roles), to znai da morate da se postarate da je uloga servera koja vas interesuje podrana od strane instalacije jezgra servera. Takoe, neke od uloga servera nisu u celosti podrane, kao to je Web Server uloga. Server Core ne podrava .NET upravljani kod, i zbog toga neete moi da koristite IIS konzolu kao udaljeni MMC. Ovo izaziva ozbiljne upravljake glavobolje zato to IIS konfiguracija na maini jezgra servera mora da se uradi u komandnoj liniji pomou appcmd.exe-e. Ako ste administrator Apache-a, biete jako sretni. Ako ste povremeni administrator IIS-a, verovatno ete eleti da priekate na unapreenja u radu sa jezgrom servera.
Server Core je definitivno korak u dobrom smeru. Meutim, u ovom trenutku treba ga posmatrati kao 1.0 izdanje. Sigurni smo da je cilj Server Core-a da se smanji povrina za napade i smanji potreba za auriranjem, a ne da se njime teko upravlja. Oekujemo da e sledea auriranja Windows Server-a 2008 omoguiti lake auriranje i tako ispuniti svaija oekivanja.
-
Terminal Services Gateway
Jedna od prepreka za potpuno anagaovanje Terminal Services za udaljeni pristup korisnika je bila injenica da veliki broj administratora nije imao poverenja u sekvencu autentifikacije i nivo ifrovanja RDP tunela. Drugi problem na koji su naili je injenica da veliki broj firewall-ova na udaljenim lokacijama nisu dozvoljavali izlazni TCP 3389. Microsoft je reio ovaj problem tako to je predstavio Terminal Services Gateway u Windows Server-u 2008.
Terminal Services Gateway je tip SSL VPN-a, na isti nain na koji je RPC/HTTP za Outlook-ov pristup ka Exchange Server-u SSL VPN. SSL VPN tip je onaj od proksija protokola aplikacije. Terminal Services Gateway radi sa RDP 6.0+ klijentom kako bi omoguio inkapsulirane RDP konekcije ka TS Gateway raunarima.
RDP klijent u stvari inkapsulira RDP protokol u dva druga protokola. Prvo, RDP protokol se inkapsulira u RPC zaglavlje, a onda se inkapsulira drugi put pomou ifrovanog HTTP zaglavlja (SSL). Protokol koji se koristi za konektovanje sa TS Gateway-om je u stvari RDP/RPC/HTTP. Microsoft je najverovatnije ovo uradio kako bi mogao da koristi postojei RPC/HTTP kod koji su ve imali za svoj RPC/HTTP proksi. Kada konekcija stigne do TS Gateway maine, TS Gateway uklanja RPC i HTTP zaglavlja i prosleuje RDP konekcije ka odgovarajuem Terminal Server ili Remote Desktop raunaru.
Connection Authorization Policy ili CAP-ovi se koriste da se odredi koji korisnici mogu da pristupe resursima kroz ovaj TS Gateway raunar. Windows Server 2008 poseduje konfiguracioni interfejs za povezivanje sertifikata sa TS Gateway sajtom kako bi bile omoguene bezbedne SSL konekcije.
Terminal Services Gateway takoe podrava Smart Card autentifikaciju a vi takoe imate opciju da uvedete NAP klijentsku kontrolu pristupa. Terminal Services Gateway je definitivno jedan od glavnih razloga da nadgradite na Windows Server 2008.
-
Terminal Services RemoteApps
Cilj svakog administratora zaduenog za bezbednost je da svaki korisnik ima to je mogue manje privilegija. To posebno vai za ostvarivanje konekcija na daljinu. Administratori zadueni za bezbednost ne mogu nou da spavaju razmiljajui o obezbeivanju potpune udaljene desktop konekcije korisnicima koji nisu administratori. Sve to je potrebno da bi neki haker stekao potpunu kontrolu nad desktop okruenjem i kompromitovao vau mreu je otkrivanje korisnikog imena i lozinke jednog korisnika. To je zastraujua pomisao.
Ali zar korisnicima stvarno treba potpuni pristup desktopu? Ili im treba samo pristup aplikacijama na desktopu? Najverovatnije im treba samo pristup aplikacijama i podacima. U tom sluaju, Windows Server 2008 vam obezbeuje reenje koje se zove Terminal Services RemoteApp. Terminal Services RemoteApp vam omoguava da obezbedite korisnicima pristup samo ka specifinim aplikacijama preko RDP kanala. Na taj nain, korisnici ne mogu da izazovu probleme na itavom desktopu, a ako neki haker otkrije podatke datog korisnika, sve to e moi da kontrolie je aplikacija, koja ima mnogo manju povrinu koja se moe napasti nego celokupan desktop.
TS RemoteApps je veoma fleksibilan. Vi moete da kontroliete kojim aplikacijama korisnik moe da pristupi i kako e im pristupati preko svojih sopstvenih raunara. TS Remote Apps zajedno sa TS Gateway-om ine Windows Server 2008 Terminal Server veoma privlanim za kompanije koje su zainteresovane za bezbedno RDP zasnovano reenje za udaljeni pristup.
Pored toga, aktiviranje i podeavanje TS RemoteApps-a je veoma lako i trebae vam samo nekoliko minuta.
Pa ta biste jo mogli da poelite pored ovoga?!
-
Izvorna podrka za IPv6
Windows Server 2008 je prva verzija Windows Server-a koja ima izvornu podrku za IPv6 kao deo IP steka. U prethodnim verzijama Windows-a pre Viste, IPv6 podrka je bila raena paralelno sa IPv4, i nije postojala integrisana podrka za IPv6 koja bi bila ukljuena u mreu infrastukture servisa kao to je DNS i DHCP. To vie nije sluaj i sada je IPv6 utkan u mreni stek Windows Server-a 2008 i servise infrastrukture.
Poto Windows Server 2008 DNS sada podrava IPv6, vi moete da kreirate Quad A (AAAA) izvetaje a moete da kreirate i IPv6 reverse lookup zone.
DHCP servis je takoe auriran tako da podrava IPv6. Vi moete da konfiguriete mrene interfejse da koriste statine IPv6 adrese, ili mogu da koriste DHCP kako bi pribavile informacije o IP adresama.
Windows Server 2008 RRAS serveri koji se ponaaju kao ruteri mogu da se konfiguriu kao IPv6 ruteri i obezbeuju informacije u porukama rutiranja u zavisnosti od toga kojeg su prefiksa informacije koje koristi klijent, i da li treba ili ne treba da koriste informacije adresiranja od DHCP servera.
Windows Server 2008 takoe podrava IPv6 tranzicione tehnologije, kao to su ISATAP, 6to4 i Teredo. Bilo koji Windows Server 2008 raunar moe da se konfigurie kao ISATAP ruter pomou Netsh interfejsa komandne linije.
-
Read Only Domain Controller
Sa razvojem kancelarijskih ogranaka u mnogim organizacijama, mnogi su shvatili da postoji problem vezan za autentifikaciju. Ogranci firmi obino dobijaju kontroler domena preko kojeg se korisnici mogu autentifikovati u lokalnom DC-u umesto da moraju da idu na spori, ili ak srueni, WAN link, koji moe da dovede do greaka ili blokiranja autentifikacije i nemogunosti da pristupite ak i lokalnim resursima.
Reenje je bilo da se postave kontroleri domena u kancelarijskim ograncima. Iako je ovo reilo inicijalni problem autentifikacije, javili su se bezbednsoni problemi. Poto veina ogranaka kancelarija nema isti nivo IT strunosti kao glavna kancelarija, a svakako nemaju isti nivo fizike bezbednosti, kontroleri domena ogranaka kancelarija postaju veoma slabe take u itavoj Active Directory infrastrukturi. Promene koje napravi nestruan korisnik u ogranku kancelarija moe da ima efekte na itavu organizaciju i ako neko ukrade DC u ogranku kancelarije, to potencijalno moe da kompromituje sve naloge u organizaciji.
Reenje Windows Server-a 2008 je Read Only Domain Controller (RODC). RODC sadri read only kopiju Active Directory baze podataka i jedine informacije o nalozima koje se skladite u RODC-u su za naloge u ogranku kancelarije. Poto se nikakve izmene u Active Directory-ju ne mogu napraviti u RODC-u, ne postoji bojazan da e nestruni korisnik napraviti nepopravljivu tetu u Active Directory-u. I poto obino nema administrativnih korisnika u ograncima kancelarija, postoji relativno mali rizik da e RODC u ograncima kancelarija posedovati naloge administratora koji se mogu kompromitovati u sluaju krae RODC-a.
RODC-ovi se takoe mogu konfigurisati da keiraju samo odreene naloge. I u sluaju da se RODC ukrade, lista keiranih korisnikih naloga na RODC-u je dostupna kroz administraciju Active Directory-ja u glavnoj kancelariji. To omoguuje administratoru Active Directory-ja da iskljui ili resetuje prava pristupa ovih naloga iz glavne kancelarije.
-
Hyper-V
Hyper-V je hipervizor Windows Server-a 2008 koji vam omoguuje da pokreete virtualne maine na Windows Server 2008 raunarima. Hyper-V zamenjuje Virtual Server 2005 i sada je integralni deo operativnog sistema, koji dobijate kao deo paketa.
Krajnji delovi Hyper-V-a nisu jo dostupni, zato emo se u ovom trenutku uzdrati od konanih zakljuaka vezanih za Hyper-V. Ali, sudei po onome to smo do sada videli, mi smo veoma impresionirani onim to su uradili sa virtualizacijom Windows Server-a 2008.
Ako traite reenje za virtualizaciju koje vas nee kotati ni dinara, onda treba samo da nadgradite raunar na Windows Server 2008 i neete pogreiti.
-
Network Access Protection (NAP)
Network Access Protection vam omoguuje da kontroliete pristup sa svih raunara koji su konektovani u vau mreu. Prema Microsoft-u, Network Access Protection (NAP) nije toliko bezbednosna metodologija koliko je mehanizam namenjen ouvanju zdravlja klijenta. NAP vam omoguuje da kreirate polise koje odreuju minimalni nivo zdravlja koji klijent mora da ima pre nego to mu se dozvoli da se konektuje na drugi naraunar u mrei.
NAP zavisi od infrastrukture Windows Server-a 2008. Trebae vam Windows Server 2008 Network Policy Server za skladitenje vaih polisa zdravlja. Postoji nekoliko naina na koje moete da kontroliete pristup u mrei: IPsec restrikcije, DHCP restrikcije, 801.x restrikcije i VPN restrikcije. Hostovima koji ne ispunjavaju zahteve za bezbednom konfiguracijom se zabranjuje pristup u mree koje koriste bilo koji od ovih metoda.
Meutim, NAP vam dozvoljava da kreirate mree u karantinu na koje klijenti koji ne ispunjavaju bezbednosne zahteve mogu da se konektuju kako bi se "izleili". im softver NAP klijenta detektuje da raunar ispunjava bezbednosne zahteve, on e poslati informaciju komponenti NAP servera koja e informisati NAP klijenta da sada moe da se konektuje na mreu.
NAP je izuzetno moan metod za kontrolu pristupa u vaoj mrei, i on je ono to smo ekali od kada je najavljen daleke 2003. godine, i poetkom 2004. Iako ekanje od pet godina da se NAP pojavi izgleda dugo, mogu slobodno da kaem da se isplatilo. Administratori velikog broja mrea smatraju da je NAP glavni razlog za nadgranju na Windows Server 2008.
Teko da postoje ikakvi argumenti pomou kojih bi mogao da opovrgnem miljenje ovih administratora.
Secure Socket Tunneling Protocol (SSTP) je pravi SSL VPN. Pod terminom pravi SSL VPN mislim na to da SSTP obezbeuje potpuni mreni VPN pristup ka korporativnim mreama, na isti nain na koji to obezbeuju PPTP i L2TP/IPSec protokoli. Meutim, prednost SSTP-a je to to za razliku od PPTP i L2TP/IPSec protokola, vi ne morate da brinete o firewall-ovima koji blokiraju spoljanji pristup ka SSTP konekcijama.
SSTP je u sutini PPP/SSL. Poto su PPP konekcije ubaene u bezbedno HTTP zaglavlje (SSL), SSTP moe da proe kroz bilo koji firewall ili Web proksi ureaj koji dozvoljava SSL ka spolja.
Vie neete morati da reavate probleme korisnika u hotelima i konferencijskim salama koji se ale na to da im firewall-ovi na njihovim lokacijama ne dozvoljavaju da VPN-uju u mreu.
Jo jedna lepa stvar u vezi SSTP-a je to to ne morate da dozvolite pristup ka napolje SSTP konekcijama samo zato to ste dozvolili spoljanje SSL-ove. Postoji vrednost u
-
CONNECT zaglavlju koje moete da konfiguriete na vaem ISA Firewall-u koje vam omoguava da blokirate SSTP konekcije i dozvolite ostale SSL konekcije.
SSTP e vam znatno olakati udaljeni pristup ka VPN konekcijama.
Samo ovaj SSTP pristup je dovoljan razlog da nadgradite na Windows Server 2008.
-
Windows Advanced Firewall
Windows Vista korisnici e u ovom naslovu prepoznati Windows Advanced Firewall. Sada u Windows Server-u 2008 dobijate istu onu funkciju koja ve postoji u Visti. Ono to je jo bolje je da vi sada moete da koristite grupne polise (Group Policy) u Windows Server 2008 centralizovanom upravljanju sa Windows Advanced Firewall-om. Ako jo niste koristili Vistin firewall, biete prijatno iznenaeni ovom novom funkcijom Windows Servera 2008.
Windows Advanced Firewall koji dolazi sa Vistom i Windows Server-om 2008 vam omoguuje da fino podesite kontrole spoljanjeg i unutranjeg pristupa. Kontrole spoljanjeg pristupa su bile nedostajui deli u Windows XP firewall-u. Sada vi imate kontrolu nad spoljanjim konekcijama, tako da ako detektujete u vaem firewall-u da su hostovi inficirani virusima ili crvima koji napadaju odreene portove ili kolekcije portova, vi moete iz centra da blokirate svakog hosta zahvaljujui grupnim polisama.
Da bi vam rad sa novom funkcijom bio jo laki, Windows Server 2008 dolazi sa novim Inbound Rule Wizard-om. Ovaj arobnjak, kojeg moete da koristite preko Group Policy Management konzole, vam omoguuje da veoma lako konfiguriete unutranja pravila. Postoji i Outbound Rule Wizard koji vam omoguuje da blokirate spoljanje konekcije. Vi moete da kontroliete UDP ili TCP portove, kao i ICMP tipove poruka, ili moete da blokirate aplikaciju po aplikaciju.
Jedna od najimpresivnijih karakteristika Windows Firewall-a je to koliko su pojednostavljene IPsec polise. U prolosti, podeavanje IPsec polisa se svodilo na pokuaje i pogreke. Vi ste prolazili kroz opcije arobnjaka i mogli ste samo da se nadate da ste sve dobro podesili.
To vie nije sluaj sa Windows Advanced Firewall-om, jer sada imate na raspolaganju New Connection Security Rule Wizard-a, koji omoguava lako kreiranje IPsec polisa za izolovanje domena, polise za izuzetke od autentifikacije, kao i IPsec konekcije i IPsec tunele od servera do servera.
Tako je Windows Advanced Firewall promenio nain definisanja IPsec polisa iz posla koji vas uasava u neto to ete voleti da radite.
Isprobajte ovu novu funkciju, siguran sam da e vam se svideti.
-
Secure Socket Tunneling Protocol (SSTP)
Jo jedno veliko unapreenje u Windows Server-u 2008 je centralizovano upravljanje QoS polisama kroz grupne polise (Group Policy). Prethodne verzije Windows-a su posedovale QoS funkciju, ali poto ona nije bila zasnovana na standardima, jako malo ljudi je uopte koristilo. Windows Server 2008 je ovo promenio tako to je uveo novu QoS funkciju koja je zasnovana na polisama, koju ete moi odmah da ponete da koristite.
Postoje dva naina na koje moete da implementirate QoS polise moete da tvrdo kodirate throughput vrednosti ili moete da iskoristite Differentiated Services Code Point (DSCP) vrednosti koje su konfigurisane na vaem mrenom ruteru. DSCP je standardni industrijski metod za implementiranje QoS-a u korporativnim mreama. Meutim, ak i ako nemate DSCP osposobljeni ruter, ili ak i ako ne koristite DSCP, vi i dalje moete da podesite polise tako da lokalni hostovi sprovode kontrolu protoka u TCP ili UDP portovima, ili u specifinim aplikacijama.
Vi moete da izaberete na koje hostove e ova polisa biti primenjena. Na primer, moda neete eleti da smanjite protok na vaem SMTP serveru, ali ete moda eleti da ograniite SMTP saobraaj hostova u vaoj mrei. Na taj nain, moete da kontroliete koliko e spemom inficiran raunar moi da poalje podataka pre nego to ustanovite da se maina eksploatie.
-
Zakljuak
Windows Sever 2008 sadri stotine novih mogunosti i funkcija, i svaka od njih moe da predstavlja vrednu nadgradnju za vau organizaciju. U ovim lancima mi smo se fokusirali samo na manji deo novih i pobojanih funkcija za koje mi mislimo da su one zbog kojih najvie vredi da nadgradite na Windows Server 2008.
Za jo vie informacija o Windows Server-u 2008 i kompletnijem listingu novih i poboljanih funkcija, idite na Windows Server 2008 Technical Library.