1
1
Werkgroepen en Domeinen
Een domein is een groep accounts en netwerkbronnen met een gezamenlijke directorydatabase en een gezamenlijk beveiligingsbeleid. Tussen domeinen onderling kunnen beveiligingsrelaties bestaan. Een werkgroep is een eenvoudigere groepering die als doel heeft de gebruikers het gemakkelijker te maken om objecten te vinden zoals printers en gedeelde mappen binnen die groep. Met uitzondering van hele kleine netwerken met slechts enkele gebruikers, worden domeinen aanbevolen voor alle netwerken. In een werkgroep moeten gebruikers soms verschillende wachtwoorden onthouden voor de verschillende netwerkbronnen (Bovendien kunnen verschillende gebruikers verschillende wachtwoorden gebruiken voor elke bron). Het is eenvoudiger om wachtwoorden en machtigingen bij te houden in een domein, omdat een domein een gecentraliseerde database met gebruikersaccounts, machtigingen en andere netwerkdetails heeft. De gegevens in deze database worden automatisch gerepliceerd tussen domeincontrollers.
1.1
Werkgroepen
Een werkgroep is een verzameling computers waarin elke computer een eigen beveiligingsbeleid voert en accounts beheert. Om objecten zoals printers of gedeelde mappen terug te vinden binnen de groep moet NetBIOS (Network Basic Input Output System) geïnstalleerd worden. NetBIOS wordt gebruikt om: • • •
Computers in een netwerk een naam te geven Connecties tussen computers te maken Boodschappen rond te zenden (Om bestandsuitwisseling tussen m eerdere com puters m ogelijk te m aken m oet ook SMB (Server Message Block) op de NetBIOS laag geïm plem enteerd worden).
Een servergestuurd netwerk (Windows 2008 R2)
Inleiding, hst. 1
2
1.1.1
Protocollen
Veel gebruikte protocollen zijn (waren): <
NetBIOS over NetBEUI (NetBIOS Extended User Interface). Dit snel (en klein) niet routeerbaar netwerk- en transportprotocol werkt met de MAC-adressen van netwerkkaarten. Sinds de komst van Windows XP wordt dit protocol niet meer standaard geïnstalleerd.
<
NetBIOS over TCP/IP (TCPBEUI). Is een manier om computers via 32 bits IP-adressen over poort 139 te bereiken. TCP/IP doet dat via het door de DNS omzetten van hostnamen in 32 bits IP-adressen, maar met NetBIOS over TCP/IP kan je ook hosts buiten het lokale ethernetwerk aan de ethernet "broadcast lijst" toevoegen. Dit heeft als nadeel dat anderen gemakkelijker uw netwerk kunnen binnendringen. Immers, waar het oorspronkelijke NetBIOS protocol zich tot een LAN ( werkgroep) beperkte, is de reikwijdte van NetBIOS via TCP/IP wereldwijd. Ze wordt slechts beperkt door de instellingen van routers en firewalls. Het gevolg kan zijn dat de bronnen op uw harde schijf in de netwerkomgeving van een hacker/cracker ergens op het internet kunnen verschijnen. Hij hoeft slechts een reeks IP-adressen op het netwerk van een ISP te scannen om te weten welke computers bereikbaar zijn.
Selecteer steeds ‘Disable NetBIOS over TCP/IP’ (zie instellingen netwerkaarten 4.3) Dit voorkom t (deels) het spelen van spelletjes via ’portables’ op USB
TCP/IPv4 versus TCP/IPv6
Op donderdag 3 februari 2011 was het zover. De Icann heeft dan de laatste vijf IPv4-blocks verdeeld over de regionale internetregistries. Dat betekent dat er nu op wereldniveau geen IPv4-blocks m eer voorhanden zijn. De vijf regionale registries, zoals RIPE NCC (Europa), verdelen de nog beschikbare adressen over interneten hostingproviders. Feit is wel dat het einde in zicht kom t. Als de registries de nog beschikbare IP-adressen over de providers hebben verdeeld, kunnen er geen nieuwe IPv4-blocks m eer worden aangevraagd. RIPE NCC heeft waarschijnlijk nog tot eind 2011 genoeg IPv4-adressen om aan de vraag te voldoen.
TCP/IPv6 op school? Zolang de internetproviders niet massaal overschakelen naar IPv6 is er gevoelsm atig geen reden om over te schakelen naar IPv6. Toch m oet er hierover nagedacht worden. Elke com puter een eigen IP-adres geven, waardoor NAT verdwijnt lijkt aangewezen (o.a. naar verantwoordelijkheid), m aar verhoogt ook de eenvoud om com puters te bereiken van buiten uit. W indows 2008 R2 en W indows 7 zijn er volledig klaar voor. Een aantal toepassingen (o.a. DirectAccess en Microsdoft Exhange Server 2007/2010) zijn IPv6 gebaseerd (m aar nog te om zeilen).W ie een web-server 2008 R2 wil opzetten start ook best m et IPv6. IPv6 uitschakelen op uw lokaal netwerk gebeurt best niet via de netwerkkaart, m aar wel via het register. Meer i nfo: http://support.m icrosoft.com /kb/929852
Een servergestuurd netwerk (Windows 2008 R2)
Inleiding, hst. 1
3
1.2
Domeinen
Een ‘Windows’-domein bestaat steeds uit één of meerdere Domein Controllers, waarop een besturingssysteem uit de Windows Server-familie wordt uitgevoerd. Een domeincontroller werkt met een ‘Active Directory’. Dit is een directory-service waarbij gegevens over objecten worden opgeslagen in een netwerk. Deze gegevens worden beschikbaar gesteld aan gebruikers en netwerkbeheerders. Op domeincontrollers worden directorygegevens opgeslagen en wordt de communicatie tussen gebruikers en domeinen beheerd, inclusief aanmeldingsprocessen van gebruikers, verificatie en zoekopdrachten in de directory. Domeincontrollers verzorgen de synchronisatie van directorygegevens via multimaster-replicatie, zodat de informatie in de loop van de tijd consistent is. Active Directory ondersteunt multimaster-replicatie van directorygegevens tussen alle domeincontrollers in een domein. In de Active Directory wordt het model van multi-masterreplicatie gebruikt, zodat je de directory kunt bijwerken vanaf elke domeincontroller en niet vanaf één, speciaal voor dit doel aangewezen, primaire domeincontroller. Active Directory werkt met sites om de replicatie zo efficiënt mogelijk te houden en met de KCC (Knowledge Consistency Checker) om automatisch de beste replicatietopologie voor het netwerk te bepalen.
1.3
Windows Server 2008 R2
Na de laatste aanpassing van Windows Server 2003 (6 december 2005), de release 2, was het lang wachten op de opvolger Windows Server 2008 (27 februari 2008). Deze versie werd zoals steeds met veel ‘tamtam’ aangekondigd, maar was duidelijk nog niet volledig’. Het betekende wel de introductie van een ‘core’-server, PowerShell en Hyper-V. Windows Server 2008 kwam vooral op de markt ter ondersteuning van Vista (30 januari 2007). Het is een apart ontwikkelde serverversie die verkrijgbaar is in een 32- en 64-bitversie. Merkwaardig dat er op 22 oktober 2009 al een nieuwe release uitkomt, volledig gebaseerd op de core van Windows 7 en een totaal nieuw concept is t.o.v. de Windows Server 2008. Deze versie is enkel te verkrijgen in een 64-bit versie. Het is dan ook aangewezen om deze versie te gebruiken als de clientcomputers Windows 7 zijn.
Een servergestuurd netwerk (Windows 2008 R2)
Inleiding, hst. 1
4
1.3.1
Belangrijkste vernieuwingen
<
Group Policies Werden uitgebreid en aangevuld met ‘Group Policy Preferences’ (door de overname van het bedrijf DesktopStandards)
<
Hyper-V. In de versie Windows Server 2008 als ‘role’ (versie 1.0), in Windows Server 2008 R2 als stand-alone server (versie 2.0). Belangrijke vernieuwing in versie 2.0 is de zgn. ‘Live Migration’, waarbij een werkende virtuele machine verplaatst wordt naar een andere fysieke machine zonder onderbreking.
<
Powershell Versie 1.0 werd standaard geïntegreerd in Windows Server 2008 en sterk uitgebreid in Windows Server 2008 R2. 250 extra commandlets voor beheer werden toegevoegd.
<
Windows 7 integration Direct Access: Biedt de mogelijkheid om op een eenvoudige manier een externe verbinding op te zetten met het bedrijfsnetwerk. Gebruikt in principe IPv6, maar kan voorlopig omzeild worden door Ipsec. Vervangt VPN.
1.3.2
BranchCache:
Een Branch Office betekent in Microsoft-taal een locatie die fysiek gescheiden is van het hoofdnetwerk. Er zijn al verscheidene technieken beschikbaar om beter met deze configuraties om te gaan, zoals een Read-Only Domain Controller, DNS caching-only, Universal Group Caching, enz.
Bitlocker:
Bitlocker is een encryptie technologie. In eerdere versie was de functionaliteit beperkt tot interne schijven. Nu is het ook mogelijk om dit voor USBopslag te gebruiken. Het beheren van sleutels door het OS werd wel in vraag gesteld zodat het nu ook mogelijk is om sleutels extern op te slaan en beschikbaar te stellen via een wachtwoord.
Verschillende versies
<
Windows Server 2008 R2 Foundation Deze versie is ontwikkeld voor de kleine zakelijke markt en zeer prijsgunstig, maar gelimiteerd tot 15 gebruikers.
<
Windows Server 2008 R2 Standard / Enterprise / Datacenter Max. Geheugen
Max. aantal X64 Sockets
Standard°
32 GB
4
Enterprise
2 TB
8
Datacenter
2 TB
64
(°) De standaardversie bevat geen BranchCache Server en geen Failover Clustering
<
Windows Web Server 2008 R2
<
Windows HPC Server 2008 (High-Performance Computing)
<
Windows Server 2008 R2 for Itanium-Based Systems
Een servergestuurd netwerk (Windows 2008 R2)
Inleiding, hst. 1
5
1.4
De functie van de server
Een Windows 2008 Server zal een bepaalde positie bekleden in een netwerk, zoals een domeincontroller. Bij een installatie kun je kiezen tussen een Server Core installatie en een volledige installatie. Alleen als je een Server Core installatie kiest zijn de mogelijkheden om de server nadien uit te breiden beperkt. De Server Core installatie bevat standaard geen grafische interface. Waarom zou je Server Core gebruiken? De Server Core is iets zuiniger op gebied van geheugen en processorgebruik, dus de systeem eisen zijn lager - je hebt nog altijd m inim um 512 MB nodig -, m aar 1GB daarentegen is ruim voldoende. Er zijn m inder features geïnstalleerd dus er zijn ook m inder program m a’s die te m isbruiken vallen. Minder program m a’s wil ook zeggen m inder ‘overhead’, m inder onderhoud (m inder patches), enz. Ondertussen is er wel een GUI (gratis) ter beschikking: http://coreconfig.codeplex.com /
bron:http://www.microsoft.com/windowsserver2008/en/us/editions.aspx
Een servergestuurd netwerk (Windows 2008 R2)
Inleiding, hst. 1
6 De Server Core installatie is beperkt tot de volgende roles: DNS Server
Print and Docum ent Services
DHCP Server
W eb Server (IIS)
Active Directory Dom ain Services (AD DS)
Active Directory Certificate Services (AD CS)
Active Directory Lightweight Directroy Services (AD LDS)
Hyper-V
File Services
1.5
Systeemvereisten
Het ligt voor de hand dat je voor de domeincontroller een degelijk toestel moet kiezen. Ee n voldoende zware voeding en ,liefst, een speciaal servermoederbord. Dit moet de bedrijfszekerheid van dit toestel dat dag en nacht moet werken ten goede komen. De minimale systeemvereisten zijn: Processor
1,4 Ghz x64 processor
Geheugen
512 MB RAM
Schijfruim te
10 GB
Opgelet!
Iets meer realistische systeemvereisten zijn: Processor
2 Ghz x64 dual-core processor
Geheugen
4 GB RAM
Schijfruim te
100 GB
De map C:\Windows\WinSXS bevat systeembestanden, updates, servicepacks, enz. Het is een systeemmap en mag absoluut niet gewist worden. De inhoud van deze map groeit, groeit, .... Na 7 maand werking is deze map bij mij 9GB! Op forums circuleren waarden van 60GB! Er is voorlopig geen oplossing voor dit probleem, Microsoft vermeldt laconiek... grotere schijven gebruiken...
1.5.1
Praktijkvoorbeeld
1.5.1.1
Domeincontroller: Fujitsu Primergy YX 150 S6 (°)
• • • •
Processor: Xeon UP E3110 - 3.00GHz - cache: 6MB 1333MHz Geheugen: 8GB Schijf: 2 HD SAS 3Gb/s 146GB 10k hot plug 2.5" (in RAID 1 geplaatst) Dubbele voeding
Richtprijs: < 2500€ 1.5.1.2 • • • •
Hyper-V: Fujitsu Celsius M460 (°) Processor: Intel Core 2, Quad Q9450 - 2,66 Ghz Geheugen: 8GB Schijf: 2 x HDD SATA II - 500GB - 7.2k business-critical (in RAID 1 geplaatst) Enkele voeding
Richtprijs: < 1500 € Een servergestuurd netwerk (Windows 2008 R2)
Inleiding, hst. 1
7 1.5.1.3 • • • •
ForeFront en GhostServer: Fujitsu Esprimo P5925 (°) Processor: Intel Core2, Duo E7300 - 2,66 Ghz Geheugen: 4GB Schijf: HDD SATA II - 160GB - 7.2k (kan in RAID 1, maar is niet toegepast) Enkele voeding
Richtprijs: < 450€ ° • Deze toestellen zijn ondertussen niet m eer leverbaar (aankoop juni 2009). Richtprijzen voor recentere toestellen zijn dezelfde, alhoewel prijzen som s zeer afhankelijk zijn van de prijs voor geheugen. • Alle com puters staan continue aan • Er m oet nog overwogen worden om eventueel een UPS en airco te plaatsen
ForeFront:
Firewall en Proxy-server
GhostServer:
Gewone clientcomputer die tevens alle mirrors bevat om alle computers per klaslokaal te ghosten (PXE en TFTP)
Windows7Server:
Primaire Domeincontroller
Internet:
Virtuele computer (door de leerkrachten via extern bureaublad te bereiken om Internet aan en af te zetten
VipreServer:
Anti-Virusserver. Beheert alles van malware en virussen. Op de clients (de computers in de klassen) staat een zeer kleine service
Printerserver:
Beheert alle printers in de computerklassen
DomeinReplica:
Secundaire domeincontroller Een servergestuurd netwerk (Windows 2008 R2)
Inleiding, hst. 1
8
1.5.2
RAID
Redundant Array of Independent Disks ( RAID), is de benaming voor een reeks methodes voor fysieke data-opslag op harde schijven. De gegevens worden over meerdere schijven verdeeld, op meer dan 1 schijf opgeslagen, of beide, ten behoeve van snelheidswinst en/of beveiliging tegen gegevensverlies. Voor spelletjes wordt meestal RAID-0 gebruikt door de toename van snelheid. Servers gebruiken Raid-1 of Raid-5 voor betrouwbaarheid. Bijna alle hedendaagse computers zijn uitgerust met een RAID-controller en kunnen meerdere schijven in RAID-0 of RAID-1 plaatsen. Deze dom eincontroller bevat twee SASschijven (Serial Attached SCSI). Vergeet niet bij de installatie de SCSI-controller te activeren RAID-1 te configureren. Zonder configuratie zullen de schijven als aparte schijven beschouwd worden of in RAID-0 geplaatst worden! Om dit te voorkom en wordt bij Fujitsiserversspeciale installatiesoftware m eegeleverd (ServerView). Is er nog budgetruim te kies voor een SAN (Storage Area Network) en plaats vier schijven in RAID-5
DE BIOS van hedendaagse com puters voorziet de m ogelijkheid om gewone SATA-schijven in RAID te plaatsen. Dit kan zinvol zijn als extra bescherm ing, m aar vervangt geen backup!
Gebruik je RAID vergeet niet om regelm atig de logboeken te controleren!
Een servergestuurd netwerk (Windows 2008 R2)
Inleiding, hst. 1
9
1.5.3
Netwerk Dit is een Ethernet-netwerk, m .a.w. een busstructuur. Het is niet om dat het er fysisch een beetje uitziet als een ster dat dit een stertopologie is ! Gebruiken we m eerdere servers dan zorgen we er zeker voor dat de onderlinge verbinding gebeurt op 1Gb-niveau. De switch m oet m inim aal aan de volgende eisen voldoen:
Voor bekabeling gebruiken we UTP of FTP, CAT 5 e of CAT 6 ( FTP: Foiled Twisted Pair).
•
10/100 en 10/100/1000 autosensing capability: Hierdoor wordt de snelheid op alle switch poorten autom atisch gedetecteerd. Dit kom t de perform antie ten goede.
•
Full-duplex operation: Verdubbelt autom atisch de transm issie tot 2000Mbps voor een Gb connectie.
•
IEEE 802.1p traffic prioritization: Zorgt ervoor dat tijdgevoelige geluid-en videotoepassingen een hogere prioriteit krijgen.
•
Managem ent / Unm agem ent: Managem ent (waarbij je zelf de switch kunt instellen) is beter, m aar ook veel duurder.
•
W anneer gebruik je VLAN? • Meer dan 200 nodes • Veel broadcast. Als er per lokaal een netwerkprinter geplaatst is en er wordt veel afgedrukt. • Bij VOIP • Eventueel om te voorkom en dat com puters in een ander lokaal bereikbaar zijn
Een alternatief is glasvezelkabel. Glasvezelkabel is verkrijgbaar is verschillende lengtes, afgem onteerd, m et trekabel en verstevigingsbuis
Gebruik geen RJ45 meer om kabels af te monteren! Kant com puter: •
een speciaal stopcontact in houder en een patchkabel tussen stopcontact en com puter
Kant switch: •
Een servergestuurd netwerk (Windows 2008 R2)
laat alle kabels eindigen op een patch panel en verbindt elk stopcontact m et de switch
Inleiding, hst. 1