《【课件】Windows Server 2008 Server Core.ppt》由会员分享,可在线阅读,更多相关《【课件】Windows Server 2008 Server Core.ppt(111页珍藏版)》请在三一文库上搜索。
1、,Windows Server 2008 Server Core,http:/ 架構 部署 指令 技巧,涵蓋的項目,Server Core概論,Server Core 是: Windows Server 2008的一種最小安裝 Included in the general purpose Windows Server 2008 SKUs 支援 x86 和 x64 Server Core 提供最小的 OS 功能 最少的介面,Server Core概論(續),Server Core包含 可扮演的角色 DHCP, File, Print, AD, AD LDS, Media Services, a
2、nd DNS 下列選擇性的特性 WINS, Failover Clustering, Subsystem for UNIX-based applications, Backup, Multipath IO, Removable Storage Management, Bitlocker Drive Encryption, SNMP, Telnet Client, QoS 指令介面,沒有圖形介面,Server Core桌面,Server Core,安裝最小化安裝模式 命令列管理介面 簡化管理 減少受攻擊的可能,伺服器角色,Server Core Security, TCP/IP, File Sy
3、stems, RPC, plus other Core Server Sub-Systems,DNS,DHCP,File,AD,GUI, CLR, IE, Media Player, Outlook Express, ,Server Core,資料夾內容,System32 資料夾的內容 Server Core,System32 資料夾的內容 完整安裝,Server Core架構,Server Core Server Roles,Server Core Security, TCP/IP, File Systems, RPC, plus other Core Server Sub-Systems,
4、DNS,DHCP,File,AD,Server With .NetFx, Shell, Tools, etc.,TS,IAS,Web Server,Share Point,Etc,Server, Server Roles,AD LDS,Media Server,IIS 7,WVS,Print,Server Roles,Optional Features,部署Server Core,安裝時可以選擇兩種安裝模式: 完整安裝 Server Core 安裝 Server Core 的初始設定可以透過: 命令列工具 使用 unattend 檔自動安裝 只能使用乾淨的安裝,不能升級 !,自動安裝Serve
5、r Core,使用和 Windows Vista 或 Windows Server 2003 一樣的unattend 檔格式 可以透過選項設定修改 Server Core 的 Registry 例如解析度、顏色 1024 768 16 ,沒有升級安裝,只支援全新安裝 無法從先前的Windows Server升級 無法將 Server Core 升級成完整且圖形介面的Windows Server 2008 無法將完整且圖形介面的Windows Server 2008 轉成Server Core,角色和功能安裝與管理,OCList.exe 只有在 Server Core 才有的指令 列出所有可以用
6、的 Roles 和 Features 套件 還可以標示出那一個套件已安裝 OCSetup.exe 安裝 Roles 或 Features,新增伺服器角色,使用 Ocsetup 指令來安裝 DHCP = DHCPServerCore DNS = DNS-Server-Core-Role File = File-Server-Core-Role File Replication service = FRS-Infrastructure Distributed File System service = DFSN-Server Distributed File System Replication
7、= DFSR-Infrastructure-ServerEdition Network File System = ServerForNFS-Base Media Server = MediaServer Active Directory Dcpromo /unattend:Unattendfile Dcpromo 用來安裝 Active Directory Ocsetup 不支援 Active Directory,Server Core上的IIS 7.0,不包含: 管理服務與圖形使用者介面工具 ASP.NET PowerShell cmdlets 可以被 IIS PowerShell cmd
8、lets 或 managed code 遠端管理 一樣可以安裝所需的模組,IIS-WebServerRole IIS-FTPPublishingService IIS-FTPServer IIS-WebServer IIS-ApplicationDevelopment IIS-CommonHttpFeatures IIS-HealthAndDiagnostics IIS-Performance IIS-Security,IIS-WebServerManagementTools IIS-IIS6ManagementCompatibility IIS-ManagementScriptingTool
9、s WAS-WindowsActivationService WAS-ProcessModel,其他可用的功能,使用 Ocsetup 指令來安裝 Failover Cluster = FailoverCluster-Core Network Load Balancing = NetworkLoadBalancingHeadlessServer Subsystem for UNIX-bases applications = SUA Multipath IO = Microsoft-Windows-MultipathIO Removable Storage Management = Microso
10、ft-Windows-RemovableStorageManagementCore Bitlocker Drive Encryption = BitLocker Backup = WindowsServerBackup Simple Network Management Protocol (SNMP) = SNMP-SC Telnet Client = TelnetClient WINS = WINS-SC,解除安裝角色與功能,使用 Ocsetup 加上 /uninstall 參數 除了 Active Directory 之外 必須使用 DCPromo 來移除 AD DCPromo 會一併移除
11、 AD 的相關檔案和程式 無法遠端進行 roles 和 features 的安裝與移除,Oclist.exe,只存在於Server Core的指令 列出伺服器角色和選擇性特性套件名稱 列出套件是否安裝,管理Server Core,本機使用 cmd.exe 遠端透過 Terminal Server 使用 cmd.exe WinRM * WinRS WMI 遠端使用以 WMI 為基礎的 PowerShell 腳本與 cmdlets 使用 Task Scheduler 進行工作排程 事件記錄與事件轉送 支援遠端 MMC 管理 (透過 RPC 與 DCOM) SNMP .vbs, .js, .wsf
12、等 WSH 腳本,SCRegEdit.wsf,只並不是所有的工作都可以在命令列或遠端中做 Server Core 內建 SCRegEdit.wsf 腳本: 啓用自動更新 啓用 Terminal Server Remote Admin Mode 啓用遠端 IPSec Monitor 管理 設定 DNS SRV 記錄的權重和優先權 可以使用 /cli 參數來列出常用的命令列工具與參數 位於 WindowsSystem32,使用Windows Remote Shell管理,Windows Remote Management (WinRM) WS-Management Windows Remote S
13、hell (WinRS) 支援 Windows Vista / Windows Server 2008 只能執行命令列工具或腳本 不支援互動模式 例如: “請按任意鍵繼續 “,設定WinRM,使用命令列 WinRM quickconfig 使用 unattend 檔 在 區段中加入: true 也可以使用群組原則來設定,使用WinRS,WinRS -r: 命令 遠端主機可以是: -r:https:/ -r:myserver -r:http:/127.0.0.1 -r:http:/169.51.2.101:80 例如 winrs -r:myserver dir c:windowssystem32
14、*.dll,WinRS範例,啓用 Terminal Services 遠端管理 winrs -r:myserver cscript windowssystem32scregedit.wsf /ar 0 允許舊的 TS 用戶端 (Vista 之前) winrs -r:myserver cscript windowssystem32scregedit.wsf /cs 0 加入網域 winrs -r:myserver netdom add myserver /domain:testdomain /userd:administrator /passwordd: 將網域管理員加入本機管理者群組 winr
15、s -r:myserver net localgroup administrators testdomainadministrator /add,Server Core硬體管理,Server Core 支援隨插即用硬體 會在背景自動安裝驅動程式 如果沒有內建驅動程式 手動拷貝驅動程式檔案到 Server Core 中 pnputil -i -a driverinf 列出所有已安裝的驅動程式 sc query type= driver 移除驅動程式 sc delete 服務名稱,Server Core控制台,只有部份的控制台項目可以使用 變更時區 control timedate.cpl 變更鍵
16、盤與語言 control intl.cpl,notepad與regedit、regedit32,notepad 有以下限制 不支援說明 只能開啓、儲存和另存 拷貝、貼上、搜尋、取代、 都可以正常運作 regedit、regedt32 不支援說明,Demo,開啟控制台與記事本,demonstration,重新執行cmd.exe,如果不小心關閉了畫面上唯一的命令列視窗 本機: 按 Ctrl+Alt+Del,使用工作管理員的執行功能,重新執行 cmd.exe 登出再登入 Terminal Services: 使用 Terminal Services MMC 遠端登出 命令列遠端登出: query s
17、ession /server: logoff /server:,Server Core的限制,不支援 Managed Code 沒有 .NET Framework 沒有任何通知氣球,例如: 啓用 Windows 通知 密碼過期通知 不支援 Runonce,Server Core上的管理工具,Server Core 不是一個應用程式平台 Server Core 支援管理工具、軟體及代理程式(agent)的開發 遠端管理工具不需要改變,Server Core上的管理工具,Server Core 不是一個應用程式平台 Server Core 支援管理工具、軟體及代理程式(agent)的開發 遠端管理
18、工具不需要改變 在 Server Core上的執行管理代理程式需要變更 代理程式不能有shell 或是圖形介面的相依性 代理程式不能使用managed code 在 Server Core測試你的代理程式 SDK以經支援Server Core 中的API,Server Core上的管理工具,Server Core 不是一個應用程式平台 Server Core 支援管理工具、軟體及代理程式(agent)的開發 遠端管理工具不需要改變 在 Server Core上的執行管理代理程式需要變更 代理程式不能有shell 或是圖形介面的相依性 代理程式不能使用managed code 在 Server
19、Core測試你的代理程式 SDK以經支援Server Core 中的API,初始設定,設定IP位址,設定IP 屬性: netsh int ip set address local static 10.10.1.3 255.255.255.0 10.10.1.1 2 netsh int ip set address local source=dhcp netsh int ip set dns local static 192.168.0.2 netsh int ip set dns local source=dhcp netsh int ip add dns local 10.7.3.2 ind
20、ex=2 設定 WINS也是如此,管理電腦,設定使用 hostname觀看電腦名 使用 netdom變更電腦名: netdom renamecomputer %computername% /newname:newname netdom renamecomputer %computername% /newname:mypc21 無法變更網域控制站的名稱,修改Registry,事實上, Regedit可以用於WinPE及Server Core 或使用 reg.exe: reg /add hklmsoftwareacmemyeditor 新增/刪除機碼與值: reg /add hklmsoftwar
21、eacmemyeditor /v autosave /t REG_DWORD /d 0 reg /delete hklmsoftwareacmemyeditor /f,遠端指令行,Windows Vista 及Windows Server 2008 安全的遠端 shell指令: winrs winrs -r:remotesystem 參數 指令 Example: winrs -r:10.71.0.197 -u:administrator -p:swordfish ipconfig 在AD Forest中使用非常方便 必須確定 Windows Remote Management服務啟動 (輸入
22、winrm quickconfig啟動) to start it) psexec 也很好, particularly with the -s option,Netdom基本語法,基本 NETDOM 語法是: netdom command machinename /domain:domainname /usero:acctname /passwordo:password /userd:acctname /passwordd:password other settings,加入網域,加入網域, “/reboot” 是指定成功後自動重新開機: netdom join mypc /domain: /u
23、sero:localadmin /passwordo:hithere /userd:domainadmin /passwordd:H1there /reboot,DNS管理,dnscmd (本機操作,或是在任何一台有安裝Support Tools的電腦) 建立區域、資源記錄,例如: dnscmd 192.168.0.2 /zoneadd /primary /file bigfirm.dns 建立區域 dnscmd 192.168.0.2 /config /AllowUpdate 1 允許動態更新 dnscmd 192.168.0.2 /recordadd NS 加入一筆 NS紀錄至
24、區域,DC升級與降級,DCPROMO 可以使用自動回答檔 dcpromo /answer:filename 在Win 2000/2003 dcpromo /unattend:filename 在Win 2008 在 Windows Server 2008可以自動產生自動回答檔,只要執行DCPROMO ,選擇”匯出設定”即可,DHCP設定,使用 DHCP伺服器圖形介面管理工具,遠端操作 或是將一台已經設定好的DHCP伺服器設定匯出 netsh dhcp server export dhcpbak.txt all 然後再到 Server Core 系統上匯入 netsh dhcp server i
25、mport dhcpbak.txt all,網路管理,基本指令,ipconfig 內建指令 getmac /s systemname /u username /p password 顯示 MAC位址,/s、/u、/p 遠端管理才需要 ping ipaddress 或 hostname tracert -d ipaddress 或 hostname arp a 列出 ARP 快取,更多基本指令,nslookup 是針對DNS的測試工具,可以加上參數的多功能指令,例如: nslookup type=mx nslookup vc type=mx (指定nslookup 使用TCP) 使用 nsl
26、ookup all 列出所有參數,Portqry,參考 KB 832919,是一種簡易的Port Scan 工具 portqry n targetsystem options Options: -e n 測試埠號 n -p tcp, -p udp, -p 兩種協定都要(預設是使用tcp) -r n:m 測試從 n 到 m 埠 -o a,b,c,d測試列舉的埠 -i 不要反向解析IP位址,Portqry 語法範例,檢查網站伺服器 portqry n 10.0.0.2 e 80 -i portqry n 10.0.0.2 o 80,443 I 對10.0.0.2掃瞄 TCP 埠130-139 po
27、rtqry n 10.0.0.2 r 130:139 i,Ping失敗,Portqry 卻可以的範例,C:ping -n 1 207.46.134.222 Pinging 207.46.134.222 with 32 bytes of data: Request timed out. C:portqry -n 207.46.134.222 -e 80 -i Querying target system called: 207.46.134.222 TCP port 80 (http service): LISTENING,驗證與重設安全通道,netdom verify pcname /doma
28、in:domainname 可以確認自己是否已登入 netdom reset pcname /domain:domainname /server:servername,找出網域資訊,netdom query fsmo | workstation | server | dc | ou | PDC | trust 範例: C:netdom query dc List of domain controllers with accounts in the domain: DC1 DC2 The command completed successfully.,本機與Vista的網路轉變,在圖形介面中,不
29、再有啟用ping 的選項 netsh firewall set icmpsetting 8 enable 如果 Windows Vista/Windows Server 2008 運作得很慢,關閉 autotuning: netsh interface tcp set global autotuninglevel=disabled 有些路由器需要autotuning,管理使用者與分享資源,NET指令,Microsoft原始的網路軟體全都可以在指令行執行 都是以 NET開頭的指令 都是內建於 OS中 無法遠端執行 他們已經出現很久了,依然很有用,建立使用只帳號:NET USER,NET USER
30、 指令 建立及刪除本機或網域使用者帳號 重設密碼 net user username password /domain /add,範例,net user newguy longpassword /domain /add (建立一個名叫newguy的使用者帳號,他的密碼是longpassword) net user newguy newpasswd (重設本機使用者帳號) net user newguy newpasswd /domain (重設網域使用者帳號),更多的NET USER參數,/active:yes|no /comment:“text“ /homedir:path /profile
31、path:path /fullname:name string /workstations:machinename,machinename /scriptpath:path inside Netlogon,自動產生密碼,試試看 /random,例如: net user joe /random /domain (建立joe並且隨機產生密碼,而且將密碼顯示在螢幕上) 若不想顯示出密碼,可以在指令最面加上 “nul“ net user joe /random /domain nul “net user” 顯示本機使用者帳號,“net user /domain” 顯示網域使用者帳號 若是使用 /del
32、ete 表示刪除帳號,使用NET管理群組,建立本機群組: net localgroup groupname /comment:text /add|/delete /domain /domain 表示建立網域區群組 將使用者加入群組 net localgroup groupname username /add net localgroup 顯示本機群組 net groups 與上面語法相同,但只能在 DC操作,建立全域群組,範例,net localgroup folks /add net localgroup folks susie /add net localgroup folks jack
33、/add net localgroup folks /comment:“our club“ net localgroup folks jack /delete 建立一個新的管理者: net user joe joepwd /add net localgroup administrators joe /add,使用NET建立分享資料夾,net share 顯示所有分享資料夾 建立分享資料夾如下: net share sharename=drive:path /remark:”remark text” /grant:username,full|change|read /grant:username
34、,full|change|read net share mytest=c:test /remark:“Playing with NET SHARE“ /grant:administrator,full /grant:otherguy,change /grant 只能在伺服器上操作,更多NET的分享參數,net share sharename /delete net share sharename 獲取設定及顯示誰在連線 C:net share c$ Share name C$ Path C: Remark Default share Maximum users No limit Users M
35、ARK Caching Manual caching,連線磁碟機:NET USE,你可能已經知道: net use * servernamesharename ( * 表示指定下一個可用的磁碟機代號) 你可以加入驗證資訊 /u: (或 /user:) net use * s1stuff /u: swordfish,更多NET USE,net use pcnameipc$ /u:“” “” 這是代表 null session登入 net use 顯示你現在連線的網路磁碟,還有你的持續設定 net use * /d /y 切斷網路磁碟,NET USE與持續連線,預設,Windows會在下一次登入時
36、,自動重新連線網路磁碟 變更此預設功能: net use /persistence:no|yes 例如: net use /persistence:no 變更預設的動作 你也可以加 /persistence 到 NET USE指令中, 以便告訴系統是否持續使用或不用,NET USE與CNAME,如果使用 DNS 名稱在 net use x: s1, 必須是真實的主機名稱 如果在 NET USE 中使用CNAME 會出現錯誤,NET USE /SAVECRED,如果要存取的資源不是在自己的網域中,連線時要加上 /user: 參數 如果覺得以上很煩,可以直接輸入 net use servernam
37、esharename /savecred 這樣系統會記錄所輸入的帳號及密碼 觀看控制台 / 管理使用者,其中會顯示所記錄的的驗證資訊,簡短的NET,net start service,還有net stop service 沒有重新啟動的參數:net stop xx & net start xx 其中 “&” 可以在同一行中,接續執行指令 net helpmsg number 顯示錯誤碼所對應的訊息,例如: C:net helpmsg 1220 An attempt was made to establish a session to a network server, but there ar
38、e already too many sessions established to that server,更多詳細的使用者操作,Windows XP 及之後的OS中有 dsadd、dsmod、dsget、dsquery、dsrm 指令 這些也都內建於 Windows Server 2003 及 2008,Active Directory管理,Repadmin,這是“複寫的瑞士刀” 如同他的名字一樣,其可控制AD複寫 使用 /? 參數獲得說明, /listhelp 可列出語法,若是使用 /experthelp 可以看到一些文件上沒有的東西,Repadmin使用範例,一些範例: repadmi
39、n /kcc dcname 強制拓樸和複寫對象檢查 repadmin /rebuildgc dcname 觸發 GC 伺服器傾印及重建他的全域目錄 repadmin /bridgeheads dcname 顯示 bridgehead 伺服器 repadmin /istg dcname 顯示負責跨站台拓樸的DC,更多Repadmin範例,獲取每一台DC的複寫對象: repadmin /showutdvec dcname naming-context 從dcname的角度,顯示最新的向量 repadmin /showrepl dcname naming-context /verbose 顯示複寫對
40、象 repadmin /replsummary dcname 編譯DC之間成功/失敗統計列表 repadmin /queue dcname 列出預備送往指定DC的佇列中的項目,更多Repadmin範例,repadmin /showchanges destdc GUID-of-sourceDC naming-context /verbose 列出從 sourceDC 到 DestDC尚未複寫的所有東西,強制複寫,repadmin /syncall /e /P dcname naming-context /e 跨站台 /P 推出變更 例如: repadmin /syncall /e /P dc1
41、dc=acme,dc=com 或是使用 repadmin /syncall /j dcname /j: 只同步到相鄰的DC,名稱範例,: dc=bigfirm,dc=com Configuration NC: cn=configuration,dc=bigfirm,dc=com Schema NC: cn=schema,cn=configuration,dc=bigfirm,dc=com 未指定NC 名稱: repadmin /syncall 假定是 configuration NC dc=ForestDnsZones,DC=bigfirm,dc=com (只在Forest root doma
42、in中出現) dc=DomainDnsZones,dc=bigfirm,dc=com,DCdiag與Netdiag,在Support Tools中 Netdiag 是本機執行指令, DCdiag 可以遠端執行 前者測試系統網路基礎架構(netdiag)及網域控制站功能(dcdiag) 他們非常有用,而且事件單暨聰明的測試方法,合併使用,del dcdiag.log del repadmin.log del netdiag.log dcdiag /e /c /v /ferr:c:dcdiagerrs.log /f:dcdiag.log netdiag /v /l repadmin /showre
43、pl * /verbose /all /intersite repadmin.log,以指令方式委派權限,dsacls 是 Windows XP/2003 內建指令,可以觀看AD 權限 簡單的形式: dsacls dn-of-object 顯示現在權限 參數 /A 是增加擁有者/稽核資訊 參數/S 還原Schema預設值 加上 /T 可顯示其下所有的權限,以指令方式委派權限,變更委派: /G : 增加權限至物件的ACL /D : 增加拒絕至物件的ACL /N 覆蓋任何現有 ACL ,用於 /G 或 /D /R 移除指定群組/使用者所有權限,以指令方式委派權限,指定群組及使用者: groupdo
44、main、userdomain 或 domaingroup 及 domainuser 權限: 在 Help可列出詳細權限,最常使用的是 GR (read), GE (execute), GW (write), GA (all full control),範例,dsacls ou=marketing,dc=bigfirm,dc=com 顯示 Marketing OU 的權限 dsacls ou=marketing,dc=bigfirm,dc=com /G :GA 給予Bigfirm網域的 “MPA” 群組在 Marketing OU有完全控制權 dsacls ou=marketing,dc=bi
45、gfirm,dc=com /S 重設 Marketing OU的權限至預設值,AD委派,曾經想要列出某人在AD上的權限嗎?辦不到! 可以從微軟網站下載 dsrevoke.exe,觀看及移除指定的使用者,其在網域及OU的權限 dsrevoke /remove domainnameusername dsrevoke /report domainnameusername dsrevoke /report /root:ou=marketing,dc=bigfirm,dc=com domainnameusername 只能用NetBIOS名稱,無法用UPN,磁碟/檔案管理,基本語法,有許多磁碟維護及瀏覽
46、的指令,可以在許多地方執行, 例如: Dir、cd、md、rd、del、erase、move、copy、xcopy, fdisk (在Windows XP是使用 diskpart ), format、label、vol、rename、verify on|off,控制NTFS權限,一些可以操作NTFS的指令 CACLS (內建在系統中) ICACLS: 在 Windows Vista、Windows Server 2008、Windows 2003 SP2中取代CACLS XCACLS (更完的指令,內建於 Support Tools中) SUBINACL ( Resource Kit 的工具,
47、但有點問題),尋找檔案,不需要用檔案總管的搜尋,使用 DIR /S 例如搜尋整個 C: 中的myfile.txt,輸入: dir c:myfile.txt /s 在 “c:files” 目錄中搜尋,輸入: dir c:filesmyfile.txt /s,系統與事件控制工具,關機、重開機與登出,shutdown -s|-r|-l -t ss -f -a -s=關機, -r=重新開機, -l=登出 -t ss 指定延遲的秒數,若沒有 t參數,預設是 30 秒 -f 強制關閉執行中的程式,可能會造成資料遺失 -a 不顯示關機倒數訊息,你的身份,whoami 是 Support Tool 中的工具,
48、顯示現在登入的使用者,例如: “bigfirmmark.“ 但是加上 /all 參數,則會顯示 UPN、 SID、所屬群組的SID及權限,管理事件記錄,Windows Vista 或之後的系統有 “wevtutil”,例如: wevtutil qe application /c:2 /f:text /rd:true (顯示在 Application log 中的最近兩個事件) /c = # 想要觀看多少個事件 /f = 輸出格式 /rd = 讀去最新 (“true”) 或是最舊(“false”) 會自動保存記錄,建立事件,Windows 之後才有的eventcreate指令 eventcreate /ID eventid /L logname /SO srcname /T type /D description logname=system、application等等 type=error、warning 或 information eventcreate /ID 833 /l system /t informati