Longhorn server CORE od A do Z

Wokna bez oken :) i tak by se dal z humorem popsat Longhorn server CORE určený pro infrastrukturní úlohy.
Ve svém nedávném přehledovém článku o příští generaci Windows Serveru jsem slíbildalší články na zmíněné témata, dnešní blog se týká módu serveru Longhorn s označením Core se zaměřením na praktické informace o instalaci, konfiguraci a správu.

Co je server core
Server Core je zvláštní mód instalace serveru Longhorn, přičemž se instaluje jen jakési jádro operačního systému, zahrnující nezbytně nutné soubory. Po instalaci běží oproti klasické instalaci výrazně méně procesů a služeb a instalace zabírá na disku jen okolo 1 GB místa. V průběhu instalace vybrané role serveru, dochází ke kopírování potřebných souborů a ke konfiguraci dané role. Tento server podporuje jen velice omezeně grafické uživatelské prostředí a je tedy třeba počítat i s jistými omezeními.

Pozor na upgrade
Instalace serveru core se dá provést pouze čistou novou instalací, upgrade není podporován. Stejně ani upgrade serveru core na „plnohodnotný“ server Longhorn není podporován.

Uživatelské prostředí
Prostředí pro správu serveru po přihlášení je příkazová řádka. Grafické rozhraní je dostupné jen pro nastavení, která lze velice špatně provést touto cestou. Jde o dialogy z ovládacího panelu pro regionální nastavení a nastavení času/datumu, grafická podoba zůstala i správci procesů (task manager). Nehledejte zde ale explorer či webový prohlížeč.
Nicméně, po úvodní konfiguraci serveru, lze server spravovat obdobně jako ostatní Windows servery ve vašem prostředí. Možnosti administrace jsou zmíněny dále v tomto článku.

Možné role serveru Core
Server Core je určen především pro běh infrastrukturních služeb, čemuž odpovídají i poměrně menší nároky na výkon hardware který vyžaduje. Role, které může vykonávat jsou:

  • Dynamic Host Configuration Protocol (DHCP) server
  • Domain Name System (DNS) server
  • File server 
  • Domain controller
  • AD LDS (Lightweight Active Directory Services) –nástupce ADAM
  • Media Services
  • Print server
  • Windows Virtualization

nainstalovat se dají i tyto doplňkové komponenty (Features):

  • Failover Clustering
  • Network Load Balancing
  • Subsystem for UNIX-based applications
  • Windows Backup
  • Multipath IO
  • Removable Storage Management
  • BitLocker Drive Encryption
  • Simple Network Management Protocol (SNMP) 

Co od serveru Core nečekejte
Zmíněné role serveru určují i použití pro infrastrukturní použití. Tento server nelze použít coby aplikační server, chybí podpora pro .NET, IIS a aplikace či služby s grafickým rozhraním. Na těchto stránkách MSDN  jsou informace o podpoře aplikací a vývoji pro tuto edici serveru https://msdn2.microsoft.com/en-us/library/ms723891.aspx.

Proč by jste měli nad serverem Core přemýšlet?
Obecně se dá říci, že výhody jsou zachování možnosti administrace prostředky které používáte a také:

  • menší nároky na administraci: vzhledem k faktu, že jsou instalovány jen komponenty pro danou roli serveru, počet aktualizací by měl být výrazně nižší. Což se pozitivně projeví i dobou odstávky serveru.
  • zmenšený prostor pro útok: méně instalovaných komponent, méně běžících služeb znamenají i menší pole pro možnost útoků na server.
  • vhodná platforma pro virtualizaci: menší nároky na výkon serveru ponechávají více výkonu virtualizovaným serverům.
  • menší nároky na hardware serveru.

Instalace a konfigurace
Pro instalaci této edice serveru stačí zvolit tuto možnost v samotném začátku instalace. Pro konfiguraci a instalaci rolí a dalších komponent, máte dvě možnosti.

Instalace s použitím unattended.xml
S pomocí odpovědního XML souboru vytvořeného pomocí Windows system image manageru (součást Windows AIK) lze zautomatizovat instalaci i konfiguraci. Instalace tak může prakticky být otázkou několika málo minut. Navíc umožňuje specifikovat i některá problémovější nastavení, např. rozlišení zobrazení. Instalaci s použitím odpovědního souboru spustíte takto: setup /unattend:Path\unattend.xml. Na tomto odkazu najdete převzatý ukázkový XML soubor, více o využití hledejte v dokumentaci k nástojům Windows AIK, či v adresáři \Docs na instalačním mediu.

Manuální konfigurace serveru po instalaci
Pokud nebudete instalovat server s využitím odpovědního souboru, po instalaci je třeba server nakonfigurovat. Pro zaryté milovníky příkazové řádky, nezbývá než doplnit, že tento postup lze použít i v klasické verzi serveru Longhorn :)
Konfigurace používá známé nástroje a skládá se z těchto kroků (ne všechny jsou nutné):

  • nastavení hesla uživatele administrator (net user administrator *)
  • nastavení statické IP adresy. Standardně je nastavena konfigurace pomocí DHCP. Pro změnu využijte příkaz netsh:
    • pro seznam síťových připojení: Netsh interface ipv4 show interfaces
    • všimněte si údaje IDx, který zadáte v tomto příkazu konfigurujícím IP adresu: netsh interface ipv4 set address name="IDx" source=static address=StaticIP mask=SubnetMask gateway=DefaultGateway
    • Pro změnu zpět k DHCP: netsh interface ipv4 set address name="ID" source=dhcp
  • přidání DNS serveru do konfigurace síťové karty: netsh interface ipv4 add dnsserver name="IDx" address=DNSIP index=1
  • připojení do domény: netdom join ComputerName /domain:DomainName /user:UserName /password:*
  • přidání administrátorů do lokální skupiny: Net localgroup administrators /add DomainName\UserName
  • pro přejmenování serveru po připojení do domény: netdom rename
  • aktivace serveru: Slmgr.vbs -ato
  • konfigurace windows firewallu: pomocí příkazu netsh, příklad pro povolení příchozího terminal services spojení: Netsh advfirewall firewall add rule name=povolitTERMINAL protocol=TCP dir=in localport=3389 action=allow
  • instalace Active directory: tato role serveru se jako jediná neinstaluje pomocí příkazu ocsetup, ale pomocí dcpromo. Buď s použitím odpovědního souboru, či specifikováním parametrů, jako v tomto příkladě:

dcpromo

Ne všechna nastavení ale lze provést pomocí příkazovou řádku, či vzdáleně pomocí konzole. Instalace proto obsahuje konfigurační skript pro tyto nastavení:

  • odkládací soubor (Pagefile)
  • povolení Windows Updates
  • povolení error reporting
  • zapnutí Terminal Server Remote Admin Mode
  • připojení na vzdálenou správu pomocí Terminal Services pro starší verze klienta

Skript scregedit.wsf a použití: Cscript scregedit.wsf /?

Pro příklad, zapnutí Terminal Services pro vzdálenou správu:
Cscript C:\Windows\System32\ Scregedit.wsf /ar 0

Nezapomeňte, že je zároveň třeba vytvořit pravidlo ve Windows Firewall, příklad je uveden výše v textu.

Instalace požadovaných rolí serveru
Seznam možných rolí a doplňkových komponent, lze získat příkazem oclist:
 oclist

Instalaci požadované role poté pomocí příkazu ocsetup, například „start /w ocsetup WindowsServerBackup“.

Co další software, například antivir?
Právě jsem si položil docela logickou otázku :), pro další postup se budu držet příkladu s antivir programem. V serveru core nechybí podpora pro Windows installer, což je i preferovaný způsob instalace, instalaci msi balíčků je třeba ale provádět v tichém módu s přepínačem /qb, tedy s omezeným grafickým rozhraním. V tomto prostředí taktéž nelze provozovat služby, které vyžadují konfiguraci v grafickém prostředí. V praxi máme ověřenu správnou funkčnost antiviru eTrust.

Možnosti administrace
Zcela nové uživateleské prostředí, staré dobré možnosti pro správu. A těch je celá řada, zde jsou ve stručnosti některé:

  • lokálně či vzdáleně spuštěné nástroje v příkazové řádce (kompletní seznam (https://technet2.microsoft.com/windowsserver/en/library/552ed70a-208d-48c4-8da8-2e27b530eac71033.mspx?mfr=true)
  • vzdálený příkazový řádek pomocí:
    • terminálové připojení: příkazová řádka přes terminal services
    • Windows Remote Shell (winrs.exe). o Windows Remote Management více v tomto článku
  • pomocí mmc konzolí, které používáte: například Správa počítače
  • zásady skupinových politik
  • WMI či vbs skripty
  • MOM či SMS agenti
  • měla by fungovat i většina nástrojů pro správu, pokud používají pro komunikaci RPC a nevyžadují konfiguraci agenta v grafickém prostředí

Závěr
V této edici nechybí ani podpora pro certifikáty a čipové karty, obsah disku lze navíc šifrovat pomocí technologie Bitlocker. Nabízí se tedy například použití pro pobočkové servery s rolí doménového řadiče, ale možných použití je přirozeně celá řada. Do uvolnění finální verze příští generace Windows serveru ještě zbývá několik měsíců a předpokládám, že v době uvedení na trh budou dostupné i informace o podporovaném software v tomto prostředí a další upřesněné informace. Do této doby lze testovat vámi zamýšlené použití.

hezký den
Roman Černovský