Just do I(nformation)T(echnology) : Windows Server 2008

Terminal Services Gateway beveiligen met ISA Server 2006

mpriem — Sat, 09 May 2009 11:13:30 GMT

Met ISA Server 2006 kan je een Terminal Services Gateway voorzien van extra beveiliging door deze te publishen via een Web Listener. Daar TSG gewoon gebruik maakt van RPC over HTTPs zoals Exchange met Outlook Anywhere dat ook doet, gaat het publishen hiervan net zo gemakkelijk.

Om te beginnen moeten we SSL certificaten hebben voor zowel de ISA server als de TSGateway. Aangezien de ISA Server draait op Windows Server 2003 hebben we nog niet de mogelijkheid om vanuit de Certificates Snap-in een Certificate Signing Request (CSR) te maken. Veelal moet er een offline request gemaakt worden, omdat dat bijvoorbeeld naar een Public Certificate Authority zoals Verisign gestuurd moet worden. Op Windows Server 2003 hebben we beperkte mogelijkheden. Zo kunnen we een request maken via IIS, maar een webserver installeren voor een CSR is een beetje overdone. Ook kunnen we gebruik maken van een Microsoft CA via de certificate Server Website, maar ook die is niet altijd voor handen. De laatste mogelijkheid is om een certificaat aan te vragen op een Windows 2008 machine met de mogelijkheid de private key te exporteren en dan vervolgens het complete keypair te exporteren en importeren. Dat is echter minder secure, want als het systeem gecompromitteerd wordt, kan het complete keypair gestolen worden, in plaats van alleen de public key.
Dan blijft er dus eigenlijk alleen CertReq.exe over, wat onderdeel is van de Administration Toolkit http://www.microsoft.com/downloads/details.aspx?familyid=86b71a4f-4122-44af-be79-3f101e533d95&displaylang=en

Hiervoor moet een INF bestand aangemaakt worden volgens de syntax op http://technet.microsoft.com/en-us/library/cc736326.aspx

Nu lijkt dit heel moeilijk, maar als je het even goed doorleest valt het allemaal wel mee. Mijn INF bestand ziet er als volgt uit:

[NewRequest]
Subject = "CN=rdp.home.com"
PrivateKeyArchive = FALSE
KeySpec = 1
KeyLength = 1024
Exportable = FALSE
UserProtected = FALSE
MachineKeySet = TRUE
Silent = TRUE
ProviderName = "Microsoft Enhanced Cryptographic Provider v1.0"
ProviderType = 1
UseExistingKeySet = FALSE
RequestType = PKCS10
KeyUsage = 0x30
EncipherOnly = TRUE
[RequestAttributes]
CertificateTemplate = "WebServer"

Nu sign ik mijn eigen certificaten, maar Internet CAs hebben vaak bepaalde eisen over de opmaak van het CSR (voornamelijk rondom het Subject en usage attributen). Op de internetsites van deze bedrijven is vaak meer informatie te vinden. Zorg dus dat je aan deze voorwaarden voldoet.

Na het aanmaken van de INF, kan ik een CSR creëren met het volgende commando:"

Certreq.exe –new <padnaarinf.inf> <padnaarcsr.req>8

Met het CSR kan je vervolgens het certificaat aanvragen. Wanneer je het certificaat terugkrijgt van de CA (mocht je een Windows 2008 CA hebben zoals ik, kan je via de Certificate Authority MMC snapin het request honoreren, en het certificaat opslaan), dien je het als keypair op te slaan door het volgende commando te draaien:

Certreq.exe –accept <padnaarcertificaat.cer>8

De keypair wordt nu opgeslagen in de Computer > Personal certificate store. Vergeet dit laatste commando niet, want je kunt prima het certificaat opslaan via andere wegen, maar dan wordt het niet gekoppeld aan de private key die gebruikt is bij het vervaardigen van het request. Je hebt dan geen keypair en kan het certificaat dus niet gebruiken voor SSL/TLS doeleinden. Nutteloos dus.

Het tweede CSR is een stuk simpeler. Daar Terminal Services Gateway een Windows Server 2008 service is, kunnen we heel simpel een Custom Request maken vanuit de Certificates MMC snapin.

In het request, kies je voor het Web Server template. Behoudt de default settings, welke automatisch de common name als Subject neemt. Dit is voldoende voor ons scenario, tenzij je dit interne certificaat ook door een publieke CA wilt laten aanmaken, waardoor je weer met bepaalde eisen te maken kan hebben. Voor een interne CA –bijvoorbeeld de Windows 2008 CA – is dit meestal voldoende. Genereer het certificaat bij de CA (voor Windows 2008 CA via de Certificate Authority MMC Snapin > New Request) en importeer het certificaat in de Computer > Personal certificate store.

Na het installeren van de certificaten gaan we een Web Listener aanmaken. Dit doe je vanuit de Network Objects in de ISA Console.

Kies voor New Web Listener.
Geef een naam voor de Web Listener.
Kies er vervolgens voor Secure verbindingen te gebruiken
Geef de netwerken op waar de Listener, moet 'Listenen' J. Ik heb een 3-leg configuratie dus ik kies voor het External Network.
Kies vervolgens het certificaat dat we zojuist hebben aangemaakt.
Authentication moet op basic HTTP staan, met als directory Active Directory of LDAP. Voor meer informative over LDAP authenticatie, zie http://www.isaserver.org/tutorials/LDAP-Pre-authentication-ISA-2006-Firewalls-Part1.html
SSO kan niet met HTTP basic, dus selecteer Next en Finish om af te sluiten.

Vervolgens moet er een Publishing Rule aangemaakt worden. Dit gaat als volgt:

Vanuit de ISA Console ga je naar Firewall Policy > New > Exchange Web Client Access Publishing Rule.
Kies vervolgens voor Exchange 2007, Outlook Anywhere (RPC/HTTPs) en deselecteer Publish additional folders…
Kies voor Publish a single Web site or Load balancer.
Kies voor een SSL connectie richting de backend.
Geef de interne FQDN van de Terminal Services Gateway en de machinenaam of ip adres op:
Kies vervolgens voor This domain name only (type below:) en geef de externe FQDN op die we bij de certificaat aanvraag hebben opgegeven (de CN in het subject, in mijn voorbeeld rdp.home.com).
Selecteer de Web Listener die we zojuist hebben aangemaakt.
Kies voor No Delegation, but client may authenticate directly.
Selecteer een user set en maak de installatie af.

Verder kan het zijn dat het CA certificaat in de Trusted Certificate Root Authorities store van het Computer Account opgeslagen moet worden. Dit moet gebeuren op de server machines, maar ook op de client machines. Ik gebruik een interne CA, dus ik heb het op alle non-domainjoined machines en mijn client machines handmatig moeten toevoegen. Het certificaat is te vinden in de Computer > Personal store van de CA (veelal bevat deze er minimaal twee, dus controleer goed dat je het CA certificaat te pakken hebt, en niet het computer certificaat of enig ander certificaat)

Als Laatste vraag je de properties op van de Rule, en selecteer je Test Rule (vanaf ISA 2006 Service Pack 1). Dit controleert de configuratie. Als er iets mis is met certificaten, zal je dat nu zien.

Nu alles geconfigeerd is, is het tijd om het te testen met een terminal services client. In de advanced properties van de client, geef je de externe FQDN op van de ISA server:

Op de terminal services gateway geef je in je Connection Policy op, welke users connectie kunnen maken met de Gateway. In de Resource Policy geef je de users op die verbinding mogen maken met de resources, en je geeft de machines op die als resource mogen dienen. Als je nu een verbinding maakt, krijg je eerst een prompt voor Connectie, en vervolgens voor de resource. Ik vind het persoonlijk fijn om slechts een enkel account rechten te geven voor de connectie; deze verder geen rechten te geven op enig andere resource, en via AD Auditing te tracken; En vervolgens een ander account te gebruiken voor de connectie naar de resource.

Mocht je tegen problemen aanlopen, check dan de Terminal Services Gateway logs op de TS gateway en de ISA Logs. Verder is er nog enige informatie te vinden op: http://technet.microsoft.com/en-us/library/cc731353.aspx

Office Server 2007 en Windows Server 2008 Advanced Firewall

mpriem — Fri, 12 Dec 2008 21:06:27 GMT

Ook voor Office Server 2007 heb ik maar even een lijstje met porten opgesteld om dit in samenwerking met Windows Server 2008 advance firewall te gebruiken.

Direct Hosted SMB	445 TCP/UDP
Office Web Services	56737, 56738 (SSL) TCP
RPC endpoint mapper	135 TCP
Dynamic Ports SSO	Standaard = 49152 - 65535 TCP/UDP
Non-default Web Sites	Alle sites die niet op 443 en 80 draaien hebben een firewall rule nodig.

MOSS heeft SMB nodig om de index te propageren naar de Query servers, search query results op te halen van de Query servers, en om de crawl data te versturen naar de Index Server. Verder gebruikt Sharepoint Web Services voor administratie van de farm services en dergelijke. Ook gebruikt MOSS, wanneer SSO geconfigureerd is gebruik de SSO service een dynamische port, geregisteerd bij de RPC endpoint mapper.
Tenslotte dien je voor elke website die niet op standaard HTTP porten draait een gaatje te prikken.

Gebruik de MMC snapin of console om de rules aan te maken, waarbij het aanbevolen is gebruik te maken van de meer geadvanceerde features van de advanced firewall. Je kan namelijk filteren op RPC en RPC-EPMAP porten, en deze zelfs koppelen aan programma's of windows Services. Voor de SSO rules zou ik dus een rule aanmaken waarbij alleen de RPC service en de RPC-EPMAP port zijn toegestaan, en een rule waarbij alleen de Microsoft Single Sign-on service gekoppeld wordt aan een bij de endpoint mapper geregistreerde port.
Daarnaast kan je voor het System process (waar http.sys leeft) een rule maken die de toegang tot de non-default web applicaties en tot de Office Web Services toestaat.
Tenslotte is er al een standaard rule voor SMB, genaamd "File and Printer sharing (SMB-In)", welke geactiveerd dient te worden.

De volgende voorbeeld commando's (wederom voor het domain profiel, zonder profile=domain gelden de rules voor elk firewall profiel) kunnen gebruikt worden via admin console:

netsh advfirewall firewall add rule name="SSO Service dynamic RPC" service=entsso action=allow protocol=TCP dir=in localport=rpc profile=domain8

netsh advfirewall firewall add rule name="RPC endpoint mapper" service=rpcss action=allow protocol=TCP dir=in localport=rpc-epmap profile=domain8

netsh advfirewall firewall add rule name="Sharepoint intranet portal" program=System action=allow protocol=TCP dir=in localport=81 profile=domain8

netsh advfirewall firewall add rule name="Sharepoint web services" program=System action=allow protocol=TCP dir=in localport=56737,56738 profile=domain8

netsh advfirewall firewall set rule name="File and Printer sharing (SMB-In)" new enable=yes profile=domain8

Meer over NetSh advfirewall: http://support.microsoft.com/kb/947709

Meer informatie over MOSS hardening: http://technet.microsoft.com/en-us/library/cc262849.aspx

Microsoft Office Sharepoint Server 2007 op Windows Server 2008

mpriem — Fri, 12 Dec 2008 14:22:00 GMT

De installatie van MOSS op Windows Server 2008 is uiteraard net even anders dan op Windows Server 2003. Hierbij een korte procedure:

MOSS installeert alleen op Server 2008 als SP1 in het installatie medium geslipstreamd is. Slipstream dus eerst SP1 (aanbevolen is de laatste updates meteen mee te nemen).
http://blogs.technet.com/mpriem/archive/2008/12/11/sharepoint-2007-slipstream.aspx
Installeer vervolgens de .NET 3.0 feature en de Web Server role met IIS6 metabase compatibility en .NET ondersteuning door ze te selecteren uit server manager of het volgende commando uit een admin console te draaien:

ServerManagerCmd.exe –install Web-Server Web-Metabase Net-Framework8
Ik zou aanraden .NET framework 3.5 SP1 ook meteen mee te nemen.
http://www.microsoft.com/downloads/details.aspx?familyid=ab99342f-5d1a-413d-8319-81da479ab0d7
Start vervolgens de installatie van MOSS zoals je gewend bent.

Technet: http://technet.microsoft.com/en-us/library/cc263408.aspx

Suc6!

Forefront Threat Management Gateway BETA

mpriem — Wed, 10 Dec 2008 23:25:00 GMT

Zoals voor velen al bekend houdt de merknaam ISA Server op te bestaan. Deze veelzijdige security oplossing gaat verder onder de naam Forefront Threat Management Gateway (TMG), waarvan reeds een publieke beta beschikbaar is op http://www.microsoft.com/forefront/stirling/en/us/default.aspx .

TMG is onderdeel van de suite onder de codenaam 'Stirling', waar onder andere ook een centrale management console onderdeel van is. Met deze console kunnen alle producten onder de Forefront merknaam beheerd worden.

Deze post gaat over de installatie van TMG. TMG heeft alles wat ISA Server 2006 heeft, maar installeert daarentegen WEL op Server 2008 en op 64 bits versies. Sterker nog, de uiteindelijke versie draait alleen op 64 bits versies van 2003 en 2008.

Installatie van TMG is zeer eenvoudig en vereist eigenlijk geen configuratie vooraf, behalve vaste IP addressen voor de NICs die gebruikt gaan worden en de volgende systeemeisen:

1GB RAM
150MB disk ruimte
1 NIC voor elk netwerk dat verbonden wordt met TMG.
64 bits architectuur

De installatie zal verder alle prerequisites installeren. In dit geval zijn dat:

Routing en Remote Access Services voor de NAT, remote access en routing diensten.
Internet Information Services voor de reports.
SQL Express voor de opslag van de configuratie en logs.

Na de ISO gebrand en geladen te hebben start de installatie met de volgende stappen:

Welcome Screen à Next
EULA à Next
Customer Information , je naam en bedrijf à Next
Component Selection à Next
Internal Network, waarbij je de iprange van het interne netwerk moet opegeven. à Next

Op dit moment waarschuwt de installatie dat het services gaat herstarten als IIS, Routing en Remote Access en SNMP service. Echter op een kale server zijn deze nog niet aanwezig J
Wanneer je de waarschuwing hebt geaccepteerd, kan er gekozen worden de installatie te starten.

Setup installeert de software en alle benodigde extra componenten. Schijnbaar installeert het enkele fixes, want ik moest tijdens de installatie de server rebooten door een hotfix installatie. Aangezien ik geen internetverbinding had, kan het dus niet anders dat TMG dat heeft gedaan.
Ik moest de setup dus opnieuw starten en alle stappen nogmaals doorlopen. Erg slordig vind ik.

Na de installatie start de Getting Started Wizard waarmee de initiele configuratie gestart kan worden.

De Configure Network Settings sectie stelt je in staat te kiezen uit een aantal netwerk typologieën zoals deze ook aanwezig zijn in ISA Server 2006.

De Configure System Settings stelt je in staat de domain/workgroup en hostname voor je server te configureren. Deze beta is echter alleen geschikt voor Domain installaties zoals de helpfile mij verteld. Ik heb echter een workgroup installatie gedaan en deze werkte wel voor de basis firewall.

De Define Deployment Options is tenslotte bedoelt om MS Update, Customer Experience Reporting en Telemetric Services te configureren. Deze laatste stuurt informatie over malware dat geblockeerd wordt naar Microsoft om verbeteringen in het product aan te brengen. Ik stel dus voor dit in te stellenJ

Na de wizard doorlopen te hebben kan je aan de slag met TMG, en zal je zien dat het eigenlijk nog ISA 2006 is, met wat extra managebility features.

Ik zou zeggen, aan de slag!

Subject Alternative Names met Microsoft Certificate Authority

mpriem — Wed, 10 Dec 2008 22:35:57 GMT

De Certificate Authority rol in Server 2008 (ook in 2003) geeft standaard geen certificaten uit met subject alternative names (SAN), welke vaak nodig zijn in de nieuwere producten van Microsoft zoals Exchange 2007, System Centre Configuration Manager 2007 en Office Communications Server 2007.

Hier is een oplossing voor. Om SAN te enablen in Server 2008 gebruik je de volgende commando's:

certutil –setreg policy\SubjectAltName enabled8
certutil –setreg policy\SubjectAltName2 enabled8
net stop certsvc8
net start certsvc8

In Server 2003 is het:

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME28
net stop certsvc8
net start certsvc8

Hierna zal je zien dat de SANs aanwezig zijn op je certificaten.

Logparser en Windows 2008 eventlogs

mpriem — Wed, 17 Sep 2008 22:06:00 GMT

Logparser is een geweldige tool om van allerlei soorten logs te parsen. Een van de meestgebruikte logs die ik vaak parse met logparser zijn de eventlogs. In Windows Server 2008 zijn er echter wat extra type logs bijgekomen en logparser is nog niet herschreven om hier mee om te gaan. Logparser zoek namelijk in de query string naar keywords als Application of System, maar kan met logs als "Internet Explorer" of "Kernel-Power" uit de Applications and Services sectie van de eventviewer nog niet omgaan.

Nu is er uiteraard een workarround...

Je kan namelijk het pad naar de fysieke bestanden opgeven en deze als file parsen. Dit gaat als volgt:

logparser.exe -i:EVT "Select Count(*) from c:\windows\system32\winevt\logs\Microsoft-Windows-Kernel-Power%4Thermal-Operational.evtx

Nu is er echter een probleem met 64 bits versies van de OSen... Deze gebruikt namelijk een 'File System Redirector for WOW64' feature die bepaalde filesystem en registry calls afvangt en redirect naar andere folders op het filesysteem. Dit zit logparser in de weg, waardoor deze het pad nooit kan vinden. Hier is echter een oplossing voor. Daar moet je het volgende voor gebruiken:

logparser.exe -i:EVT "Select Count(*) from c:\windows\sysnative\winevt\logs\Microsoft-Windows-Kernel-Power%4Thermal-Operational.evtx

Meer over SysNative: http://msdn.microsoft.com/en-us/library/aa384187(VS.85).aspx

Enjoy!!!!

Waar is runas in Server 2008 ???!?

mpriem — Wed, 17 Sep 2008 17:53:00 GMT

Het zal je waarschijnlijk al zijn opgevallen dat de optie om een programma op te starten als een andere gebruiker is verdwenen uit de Shell van Windows Server 2008 en Windows Vista...

Nu kunnen we dat gelukkig weer terugkrijgen door een tooltje van Sysinternals, genaamd ShellRunAs

UnRar het, en draai het volgende commando: shellrunas /reg

Voila...

Sysprep & Imaging Windows Server 2008

mpriem — Tue, 16 Sep 2008 17:52:00 GMT

Deployment van Windows Server 2008 zal in de toekomst meer en meer gebruik gaan maken van imaging. Dit zie je terug komen in de strategie van de deployment software die momenteel op de markt verschijnt. WIM (Windows Image) is het toverwoord. Dit artikel zal laten zien hoe je een Windows Server 2008 installatie imaged en configureert, gebruik makend van Sysprep, WinPE 2.0 en Windows Automated installation kit.

De stappen die je moet uitvoeren zijn de volgende:

Installeer Windows 2008 Server met additionele software.
(optioneel) configureer unattend.xml
Sysprep je systeem.
Boot WinPE met ImageX tools
Maak een WIM van je Systeem.

STAP 2:
Een unattend.xml bestand stelt je in staat de configuratie van een systeemimage te voltooien na de eerste boot. Hiervoor kan je Windows System Image Manager gebruiken. Het probleem is dat je echter eerst een WIM image moet hebben (staat er 1 op de Windows server 20078 DVD) om een XML bestand te kunnen configureren. Daarnaast zijn de opties vreselijk uitgebreid en schiet het zijn doel in veel gevallen voorbij. Ik verwijs daarom naar een artikel dat een voorbeeld geeft, mocht je het toch willen.
STAP 3:

Dit artikel gaat je niet vertellen hoe je een Windows Server 2008 systeem installeert, dus ga ik ervan uit dat je dat al gedaan hebt. De volgende stap is om Sysprep te draaien om je systeem te sealen voor deployment.

Sysprep zit vanaf nu standaard in het OS. In Windows Server 2008 (en Windows Vista) vind je het onder:

c:\Windows\System32\Sysprep\sysprep.exe

Wanneer je deze nu start krijg je de opties om je image in "Audit mode" of "Windows Welcome mode (out-of-box Experience)" wilt brengen. De "Audit mode" stelt je in staat je Windows image te customizen met eigen software en scripts en zorgt ervoor dat je niet het standaard Welcome screen krijgt als je image opgestart is. Hier worden andere secties uit de unattend.xml/sysprep.xml gebruikt dan bij de andere mode. Na het booten van het image zullen stappen uit AuditSystem en AuditUser uitgevoerd worden.

"Enter System Out-of-Box Experience (OOBE)" is de standard mode waarmee je je image sealed. De gebruikelijke secties uit de unattend.xml worden uitgevoerd.

"Generalize" verwijdert alle systeemspecifieke informatie uit het OS (bijvoorbeeld de SID), en vormt een algemeen image.

Naast de 'System Cleanup Action' kan je met de 'Shutdown Options' wat je systeem doet nadat je Sysprep gedraait hebt. Kies voor de 'System Out-of-Box Experience (OOBE)', en 'Generalize' en laat het systeem afsluiten. Je systeem is nu klaar om een Image van te trekken.

Als je er voor kiest om een unattend.txt te configureren zou ik de commandline variant gebruiken:

sysprep.exe /oobe /generalize /shutdown /unattend:

STAP4:

Om het image te maken heb je tools nodig. We gaan een WinPE bootimage maken met de ImageX tools om vervolgens vanaf te booten en het WIM image van het systeem te trekken. Download en installeer daarom de Windows Automated installation kit op je admin pc. Uit je program list kan je een command shell openen waar de meest gebruikte tools al in je PATH staan. Draai vervolgens het volgende commando: Copype.cmd x86 C:\WindowsPe

Dit commando kopieert de x86 sources van WinPE naar een door jou te kiezen directory, in dit geval C:\WindowsPe. Je kan dit ook voor x64 doen... Het laat zich raden wat het commando dan moet zijn :) .

Kopieer vervolgens ImageX naar een subfolder van de iso directory die aangemaakt is in C:\WindowsPe.

[viewcode] src=http://www.spurius.nl/scriptfiles/Imagex.txt showsyntax=no [/viewcode]

Ook dien je een win image configuration bestand aan te maken. Dit bestand wordt voornamelijk gebruikt om bestanden en directories te excluden bij de creatie van een image. Een voorbeeld bestand is het volgende:

[viewcode] src=http://www.spurius.nl/scriptfiles/wimscript.ini.txt link=yes showsyntax=no scroll=yes scrollheight=200px[/viewcode]

Kopieer dit wimimage.ini bestand naar dezelfde directory waar ImageX staat.

STAP5:

Open nu de command shell via de cmd-link vanuit de " Windows AIK tools" program group.
In de shell draai je het volgende commando om een bootable ISO image te maken:
oscdimg.exe -n -bc:\WindowsPE\etfsboot.com c:\WindowsPE\ISO c:\WindowsPE\bootcd.iso

Brand het iso image nu naar cd of mount het via remote media boards. Boot het systeem en dump een image naar een netwerkshare. Doordat veelgebruikte NIC drivers gewoon in de HAL van WinPE zitten, zal de netwerkverbinding (hopelijk) gewoon gestart zijn. Als je geen DHCP hebt draaien kan je met NETSH ip addressen toewijzen en daarna met NET USE een netwerk share aanmaken:

Statisch IP:
Netsh interface ipv4 add address address=x.x.x.x/x gateway=x.x.x.x
DNS Server:
Netsh interface ipv4 add dnsserver x.x.x.
Share:
Net Use Z: \\\ /user:

Nu de share gemaakt is, maak je een WIM image: Imagex /capture /compress max C: Z:\Cdrive.Wim “Spurius Cdrive Image” .

Nu heb je een image die klaar is om gebruikt te worden door bijv Windows Deployment Services.

Ik zal in een later artikel ingaan op WDS voor 2008...

Suc6 met testen :)

Quickguide voor inrichting Server Core als DC, DNS, DHCP en Hyper-V

mpriem — Tue, 16 Sep 2008 17:51:00 GMT

Dit mag met recht een quick-guide genoemd worden..

Hier vind je de commando's om snel een server in te richten als DC, DNS, DHCP en Hyper-V systeem.

LET OP... Als je Domain Services installeert op de doos, wordt het lastig de server remote te beheren vanaf een standalone client. Je zult dus een client moeten joinen aan het domain. Je kan ook een kale vista of 2008 virtual machine bouwen in Virtual PC en deze joinen. Tenslotte kan je er altijd nog voor kiezen om AD niet op de parent partition te draaien maar als Guest binnen Hyper-V.

Ook moet je voor DHCP een tweede NIC hebben, dit in verband met Hyper-V, welke de NIC configuratie dusdanig wijzigt dat DHCP een interface welke door Hyper-V is extend niet meer kan gebruiken.

Netwerk Settings:

Statisch IP
Netsh interface ipv4 add address address=x.x.x.x/x gateway=x.x.x.x
DNS Server
Netsh interface ipv4 add dnsserver x.x.x.x

OS activatie:

Installeren productkey
cscript.exe slmgr.vbs -ipk ABCDE-FGHIJ-KLMNO-PQRST-UVWXY
Activatie
cscript.exe slmgr.vbs -ato

Configureer updates... Of niet

Gebruik Autoupdate (volautomatisch, 3:00 AM)
cscript %systemroot%\system32\scregedit.wsf /AU 4
Gebruik update script (handmatig)

Remote Management:

Installeer remote management tools op een vista doos (x64 zijn ook beschikbaar)
Download de update, installeer deze en activeer vervolgens de "Remote Server Administration Tools" feature binnen program and features in het control panel
Installeer Hyper-V Manager MMC voor Vista (x86 - X64)
Configureer firewall voor remote management
Netsh advfirewall firewall set rule group="Remote Administration" new enable=yes

Installatie rollen:

Installatie Domain Services + DNS:
dcpromo /unattend /InstallDns:yes /dnsOnNetwork:yes /replicaOrNewDomain:domain /newDomain:forest /newDomainDnsName:<domain> /DomainNetbiosName:<domain> /safeModeAdminPassword:<password> /forestLevel:<2|3> /domainLevel:<2|3> /rebootOnCompletion:yes
Installatie DCHP
start /w ocsetup DHCPServerCore
sc config dhcpserver start= auto
Installatie Hyper-V
bcdedit /set hypervisorlaunchtype auto
start /w ocsetup Microsoft-Hyper-V

Nu is het systeem klaar voor gebruik en kan je hem managen door de remote tools op je Vista SP1 doos of VM te gebruiken. Het mag zich raden dat er nog wel wat naconfiguratie nodig is, zoals DHCP scopes en DNS forwarders en dergelijke. Vergeet ook geen account aan te maken voor dynamische registratie van dns records (2000 artikel, maar geldt nog steeds).

... Enjoy ... :)

Opmerkingen:

Bij dcpromo zijn de waardes voor domain & forestlevel parameters: 2 = 2003 native, 3= 2008
start /w zorgt ervoor dat de cursor niet meteen terugkeert, maar dat er gewacht wordt tot het process ook daadwerkelijk klaar is. Anders wordt de installatie in een achtergrondprocess geplaatst.
Vergeet bij het configureren van DHCP de spatie tussen start= en auto niet!
Voor Hyper-V zorgt het bcdedit commando dat je slechts 1 keer hoeft te booten ipv 2 keer door een switch in boot.ini te zetten.

Windows Update in Server Core

mpriem — Tue, 09 Sep 2008 17:48:00 GMT

Als je met server core aan de gang bent gegaan, zal je vast en zeker te maken hebben gehad met de vraag:

"Hoe hou ik mijn server core installatie up to date??"

Nou ik ook, en het heeft me aardig bezig gehouden...

Nu heb ik thuis niet de beschikking over een fancy SMS of SCCM infrastructuur en ook geen WSUS server. Windows Update of manual updaten zijn dus mijn enige opties. Nu ben ik als IT-er vaak liever lui dan moe en moet alles zoveel mogelijk automatisch, maar Windows Update automatisch laten downloaden en installeren hoort daar niet bij. Mijn Server Core draait naast common infra als ADDS, DNS, TS en DHCP ook Hyper-V, waardoor ik niet wil dat dit systeem zomaar ineens gaat rebooten.

Dit levert een probleem op met Windows Update dacht ik een tijdje. Je kan namelijk Windows Update alleen uitschakelen of inschakelen in volledige automatische modus.

cscript %systemroot%\system32\scregedit.wsf /AU 1 / cscript %systemroot%\system32\scregedit.wsf /AU 4

BALEN!!!

Maar.... Ergens diep verstopt op het grote boze internet vond ik een script welke de Windows Update Agent API benadert en via commandline je de mogelijkheid geeft de beschikbare updates te downloaden en te installeren :). Dit werkt ook als je je systeem via GPO in een WSUS infra hebt gehangen.

Download het van deze post...Of haal het orgineel hier... Veel plezier!!

Windows Server 2008 - Server Core

mpriem — Tue, 11 Dec 2007 18:29:00 GMT

Met de release van Windows Server 2008 in het vooruitzicht, wordt het tijd wat meer te weten te komen over dit nieuwe OS. 1 van de belangrijkste wijzigingen in het OS is de mogelijkheid een minimale versie te installeren. En met minimaal, bedoel ik ook echt minimaal. Nagenoeg alles wat eruit gehaald kon worden is eruit gehaald. Zo heb je geen MMC, geen .NET framework, geen explorer met fancy GUI en de enige bureau accessoire is notepad, welke initieel ook niet beschikbaar was, maar onder druk van de betatesters is toegevoegd.
Na installatie van de Server core is het de bedoeling dat er een rol of 'feature' geinstalleerd wordt. Dit artikel zal de installatie van een Server Core Domain Controller behandelen.

Server Core ondersteunt de installatie van de volgende rollen:

DHCP
File Server
DNS
Active Directory

Naast deze rollen kunnen de volgende 'features' geinstalleerd worden.

Microsoft Failover Cluster
Network Load Balancing
Subsystem for UNIX-based applications
Backup
Multipath IO
Removable Storage Management
Bitlocker Drive Encryption
Simple Network Management Protocol (SNMP)
WINS

Installatie van deze extra rollen en features kunnen worden uitgevoerd door gebruik te maken van OCSETUP, een van de commandline utilities die gebruikt dienen te worden om de server te configureren. Dit geldt voor alle rollen en features, behalve voor de Domain Controller rol. Deze dient, als vanouds, geinstalleerd te worden door DCPROMO in unattend mode te draaien. Voordat ik dat behandel zal ik eerst ingaan op de installatie van Server Core zelf.

Voor de installatie maak ik gebruik van Release Candidate 1 van Windows Server 2o08 in Virtual PC 2007. Deze is te downloaden via MSDN. Onderstaand "stripverhaal" toont de installatie.

De installatie is nu voltooit. Nu rest de configuratie en de installatie van de DC rol.

Om de server core te configureren heeft Microsoft een verzameling tools meegelevert, welke niet allemaal even charmant zijn en zeker ook niet erg consistent in syntax. Zo dien je bijvoorbeeld Remote Desktop en Automatic Updates te configureren via een vbscript. Ik persoonlijk vind dat een beetje goedkoop. Het had best een gewone binary kunnen zijn. Ook het feit dat de ene tool de parameters scheidt met een slash en de andere met een minteken, vind ik typerend voor een systeem wat afgeraffelt is en niet iets wat in een nieuw OS zou moeten zitten. Maar goed, we moeten het er nu mee doen.
Het kost te veel tijd om op elke setting in te gaan, maar de volgende settings zorgen voor een redelijk bruikbaar systeem. We beginnen met de configuratie van het netwerk. Hiervoor gebruiken we NETSH. Het instellen van een ip address, default gateway en dns server voor een interface met naam 2 gaat als volgt:

netsh interface ipv4 add address name=2 address=192.168.1.100/24 gateway=192.168.1.1 netsh interface ipv4 add dnsserver name=2 address=80.80.80.2

Vervang dus de name door de interface naam, bijv: "Local Area Connection". De rest spreekt voor zich :)

De computernaam is te wijzigen met netdom renamecomputer %computername% /newName:DC1

Nu de netwerkinstellingen goed staan is het tijd services als Remote Shell en Remote Desktop te activeren. Ook het OS moet nog geactiveerd worden. Windows Remote Shell activeer je door WinRM QuickConfig. Hierna is de server op afstand te beheren door WinRS -r:. Remote Desktop en Automatic Updates zijn te configureren met het script SCregEdit.wsf. Gebruik het met de /? optie om alle mogelijkheden te zien. Voor het activeren van Remote Desktop gebruik je cscript %systemroot%\System32\SCregEdit.wsf /AR 0 en voor Updates gebruik je cscript %systemroot%\System32\SCregEdit.wsf /AU 4.

Last, but not least, moet het product nog geactiveerd worden. Dit doe je door slmgr.vbs uit te voeren. Het weergeven van de huidige licentiestatus is cscript slmgr.vbs -dli. Het activeren gaat met cscript slmgr.vbs -ato

Nu kan het zijn dat de build die je gebruikt vereist dat je een Key Management Services (KMS) Server beschikbaar hebt om je OS te activeren. Je kan dan proberen dit te omzeilen door de preinstalled key te vervangen met je eigen key, waarna je opnieuw probeert te activeren. Het wijzigen van de key gaat als volgt:

cscript.exe slmgr.vbs -ipk ABCDE-FGHIJ-KLMNO-PQRST-UVWXY

Nu de server de benodigde basisinstellingen heeft, kan de DC rol erop gezet worden. In Windows Server 2008 is er nu onderscheid tussen schrijfbare en read-only domain controllers. Beide typen kunnen geinstalleerd worden op een Server Core installatie. Zoals eerder gemeld, moet Windows Server 2008 net als voorheen gepromoveert worden tot Domain Controller door gebruik te maken van DCpromo in unattended mode te draaien. Dit kan via commandlineparameters of via een text file. De unattend text file heeft een bepaalde syntax zoals HIER en HIER staat uitgelegd.

Om ADS te installeren inclusief DNS voor een nieuw Forest in Windows 2008 operational level, kan je volstaan met het volgende commando:

dcpromo /unattend /InstallDns:yes /dnsOnNetwork:yes /replicaOrNewDomain:domain /newDomain:forest /newDomainDnsName:test.local /DomainNetbiosName:TEST /safeModeAdminPassword:FH#3573.cK /forestLevel:3 /domainLevel:3 /rebootOnCompletion:yes

Na afloop heb je een functionele Server Core writable Domain Controller...

Enjoy :)