【课件】Windows ServerServer Core.ppt

《【课件】Windows ServerServer Core.ppt》由会员分享，可在线阅读，更多相关《【课件】Windows ServerServer Core.ppt（111页珍藏版）》请在三一办公上搜索。

1、,Windows Server 2008 Server Core,http:/,概論架構部署指令技巧,涵蓋的項目,Server Core概論,Server Core 是：Windows Server 2008的一種最小安裝Included in the general purpose Windows Server 2008 SKUs支援 x86 和 x64Server Core提供最小的 OS 功能最少的介面,Server Core概論（續）,Server Core包含可扮演的角色DHCP,File,Print,AD,AD LDS,Media Services,and DNS下列選擇性的特性W

2、INS,Failover Clustering,Subsystem for UNIX-based applications,Backup,Multipath IO,Removable Storage Management,Bitlocker Drive Encryption,SNMP,Telnet Client,QoS指令介面，沒有圖形介面,Server Core桌面,Server Core,安裝最小化安裝模式命令列管理介面簡化管理減少受攻擊的可能,伺服器角色,Server CoreSecurity,TCP/IP,File Systems,RPC,plus other Core Server

3、Sub-Systems,DNS,DHCP,File,AD,GUI,CLR,IE,Media Player,Outlook Express,Server Core,資料夾內容,System32 資料夾的內容 Server Core,System32 資料夾的內容 完整安裝,Server Core架構,Server Core Server Roles,Server CoreSecurity,TCP/IP,File Systems,RPC,plus other Core Server Sub-Systems,DNS,DHCP,File,AD,ServerWith.NetFx,Shell,Tools,

4、etc.,TS,IAS,WebServer,SharePoint,Etc,Server,Server Roles,ADLDS,MediaServer,IIS 7,WVS,Print,Server Roles,Optional Features,部署Server Core,安裝時可以選擇兩種安裝模式:完整安裝Server Core 安裝Server Core 的初始設定可以透過:命令列工具使用 unattend 檔自動安裝只能使用乾淨的安裝，不能升級!,自動安裝Server Core,使用和 Windows Vista 或 Windows Server 2003 一樣的unattend 檔格式可

5、以透過選項設定修改 Server Core 的 Registry例如解析度、顏色 102476816,沒有升級安裝,只支援全新安裝無法從先前的Windows Server升級無法將 Server Core 升級成完整且圖形介面的Windows Server 2008無法將完整且圖形介面的Windows Server 2008 轉成Server Core,角色和功能安裝與管理,OCList.exe只有在 Server Core 才有的指令列出所有可以用的 Roles 和 Features 套件還可以標示出那一個套件已安裝OCSetup.exe安裝 Roles 或 Features,新增伺服器角色

6、,使用 Ocsetup 指令來安裝DHCP=DHCPServerCore DNS=DNS-Server-Core-Role File=File-Server-Core-Role File Replication service=FRS-InfrastructureDistributed File System service=DFSN-ServerDistributed File System Replication=DFSR-Infrastructure-ServerEditionNetwork File System=ServerForNFS-BaseMedia Server=MediaS

7、erverActive DirectoryDcpromo/unattend:UnattendfileDcpromo 用來安裝 Active DirectoryOcsetup 不支援 Active Directory,Server Core上的IIS 7.0,不包含:管理服務與圖形使用者介面工具ASP.NETPowerShell cmdlets可以被 IIS PowerShell cmdlets 或 managed code 遠端管理一樣可以安裝所需的模組,IIS-WebServerRole IIS-FTPPublishingService IIS-FTPServer IIS-WebServer

8、 IIS-ApplicationDevelopment IIS-CommonHttpFeatures IIS-HealthAndDiagnostics IIS-Performance IIS-Security,IIS-WebServerManagementTools IIS-IIS6ManagementCompatibility IIS-ManagementScriptingToolsWAS-WindowsActivationService WAS-ProcessModel,其他可用的功能,使用 Ocsetup 指令來安裝Failover Cluster=FailoverCluster-Cor

9、eNetwork Load Balancing=NetworkLoadBalancingHeadlessServerSubsystem for UNIX-bases applications=SUAMultipath IO=Microsoft-Windows-MultipathIORemovable Storage Management=Microsoft-Windows-RemovableStorageManagementCoreBitlocker Drive Encryption=BitLockerBackup=WindowsServerBackupSimple Network Manag

10、ement Protocol(SNMP)=SNMP-SCTelnet Client=TelnetClientWINS=WINS-SC,解除安裝角色與功能,使用 Ocsetup 加上/uninstall 參數除了 Active Directory 之外必須使用 DCPromo 來移除 ADDCPromo 會一併移除 AD 的相關檔案和程式無法遠端進行 roles 和 features 的安裝與移除,Oclist.exe,只存在於Server Core的指令列出伺服器角色和選擇性特性套件名稱列出套件是否安裝,管理Server Core,本機使用 cmd.exe遠端透過 Terminal Serve

11、r 使用 cmd.exeWinRM*WinRSWMI遠端使用以 WMI 為基礎的 PowerShell 腳本與 cmdlets使用 Task Scheduler 進行工作排程事件記錄與事件轉送支援遠端 MMC 管理(透過 RPC 與 DCOM)SNMP.vbs,.js,.wsf 等 WSH 腳本,SCRegEdit.wsf,只並不是所有的工作都可以在命令列或遠端中做Server Core 內建 SCRegEdit.wsf 腳本:啓用自動更新啓用 Terminal Server Remote Admin Mode啓用遠端 IPSec Monitor 管理設定 DNS SRV 記錄的權重和優先權可

12、以使用/cli 參數來列出常用的命令列工具與參數位於 WindowsSystem32,使用Windows Remote Shell管理,Windows Remote Management(WinRM)WS-ManagementWindows Remote Shell(WinRS)支援 Windows Vista/Windows Server 2008只能執行命令列工具或腳本不支援互動模式例如:請按任意鍵繼續,設定WinRM,使用命令列WinRM quickconfig使用 unattend 檔在 區段中加入:true 也可以使用群組原則來設定,使用WinRS,WinRS-r:命令遠端主機可以是

13、:-r:https:/-r:myserver-r:http:/127.0.0.1-r:http:/169.51.2.101:80例如winrs-r:myserver dir c:windowssystem32*.dll,WinRS範例,啓用 Terminal Services 遠端管理winrs-r:myserver cscript windowssystem32scregedit.wsf/ar 0允許舊的 TS 用戶端(Vista 之前)winrs-r:myserver cscript windowssystem32scregedit.wsf/cs 0加入網域winrs-r:myserver

14、 netdom add myserver/domain:testdomain/userd:administrator/passwordd:將網域管理員加入本機管理者群組winrs-r:myserver net localgroup administrators testdomainadministrator/add,Server Core硬體管理,Server Core 支援隨插即用硬體會在背景自動安裝驅動程式如果沒有內建驅動程式 手動拷貝驅動程式檔案到 Server Core 中pnputil-i-a driverinf列出所有已安裝的驅動程式sc query type=driver移除驅動

15、程式sc delete 服務名稱,Server Core控制台,只有部份的控制台項目可以使用變更時區control timedate.cpl變更鍵盤與語言control intl.cpl,notepad與regedit、regedit32,notepad有以下限制不支援說明只能開啓、儲存和另存拷貝、貼上、搜尋、取代、都可以正常運作regedit、regedt32 不支援說明,Demo,開啟控制台與記事本,demonstration,重新執行cmd.exe,如果不小心關閉了畫面上唯一的命令列視窗本機:按 Ctrl+Alt+Del，使用工作管理員的執行功能，重新執行 cmd.exe登出再登入Ter

16、minal Services:使用 Terminal Services MMC 遠端登出命令列遠端登出:query session/server:logoff/server:,Server Core的限制,不支援 Managed Code沒有.NET Framework沒有任何通知氣球，例如:啓用 Windows 通知密碼過期通知不支援 Runonce,Server Core上的管理工具,Server Core 不是一個應用程式平台Server Core 支援管理工具、軟體及代理程式（agent）的開發遠端管理工具不需要改變,Server Core上的管理工具,Server Core 不是一個

17、應用程式平台Server Core 支援管理工具、軟體及代理程式（agent）的開發遠端管理工具不需要改變在 Server Core上的執行管理代理程式需要變更代理程式不能有shell 或是圖形介面的相依性代理程式不能使用managed code在 Server Core測試你的代理程式SDK以經支援Server Core 中的API,Server Core上的管理工具,Server Core 不是一個應用程式平台Server Core 支援管理工具、軟體及代理程式（agent）的開發遠端管理工具不需要改變在 Server Core上的執行管理代理程式需要變更代理程式不能有shell 或是圖形

18、介面的相依性代理程式不能使用managed code在 Server Core測試你的代理程式SDK以經支援Server Core 中的API,初始設定,設定IP位址,設定IP 屬性：netsh int ip set address local static 10.10.1.3 255.255.255.0 10.10.1.1 2netsh int ip set address local source=dhcpnetsh int ip set dns local static 192.168.0.2netsh int ip set dns local source=dhcpnetsh int

19、ip add dns local 10.7.3.2 index=2設定 WINS也是如此,管理電腦,設定使用 hostname觀看電腦名使用 netdom變更電腦名：netdom renamecomputer%computername%/newname:newnamenetdom renamecomputer%computername%/newname:mypc21無法變更網域控制站的名稱,修改Registry,事實上，Regedit可以用於WinPE及Server Core或使用 reg.exe：reg/add hklmsoftwareacmemyeditor新增/刪除機碼與值:reg/ad

20、d hklmsoftwareacmemyeditor/v autosave/t REG_DWORD/d 0reg/delete hklmsoftwareacmemyeditor/f,遠端指令行,Windows Vista 及Windows Server 2008 安全的遠端 shell指令：winrswinrs-r:remotesystem 參數 指令Example:winrs-r:10.71.0.197-u:administrator-p:swordfish ipconfig在AD Forest中使用非常方便必須確定 Windows Remote Management服務啟動（輸入 winr

21、m quickconfig啟動）to start it)psexec 也很好,particularly with the-s option,Netdom基本語法,基本 NETDOM 語法是：netdom command machinename/domain:domainname/usero:acctname/passwordo:password/userd:acctname/passwordd:password other settings,加入網域,加入網域，“/reboot”是指定成功後自動重新開機：netdom join mypc/domain:/usero:localadmin/pas

22、swordo:hithere/userd:domainadmin/passwordd:H1there/reboot,DNS管理,dnscmd（本機操作，或是在任何一台有安裝Support Tools的電腦）建立區域、資源記錄，例如：dnscmd 192.168.0.2/zoneadd/primary/file bigfirm.dns 建立區域dnscmd 192.168.0.2/config/AllowUpdate 1 允許動態更新dnscmd 192.168.0.2/recordadd NS 加入一筆 NS紀錄至 區域,DC升級與降級,DCPROMO 可以使用自動回答檔dcpromo/ans

23、wer:filename 在Win 2000/2003dcpromo/unattend:filename 在Win 2008在 Windows Server 2008可以自動產生自動回答檔，只要執行DCPROMO，選擇”匯出設定”即可,DHCP設定,使用 DHCP伺服器圖形介面管理工具，遠端操作或是將一台已經設定好的DHCP伺服器設定匯出netsh dhcp server export dhcpbak.txt all然後再到 Server Core 系統上匯入netsh dhcp server import dhcpbak.txt all,網路管理,基本指令,ipconfig 內建指令getm

24、ac/s systemname/u username/p password 顯示 MAC位址，/s、/u、/p 遠端管理才需要ping ipaddress 或 hostnametracert-d ipaddress 或 hostname arp a 列出 ARP 快取,更多基本指令,nslookup 是針對DNS的測試工具，可以加上參數的多功能指令，例如：nslookup type=mx nslookup vc type=mx（指定nslookup 使用TCP）使用 nslookup all 列出所有參數,Portqry,參考 KB 832919，是一種簡易的Port Scan 工具portq

25、ry n targetsystem optionsOptions:-e n 測試埠號 n-p tcp,-p udp,-p 兩種協定都要（預設是使用tcp）-r n:m 測試從 n 到 m 埠-o a,b,c,d測試列舉的埠-i 不要反向解析IP位址,Portqry 語法範例,檢查網站伺服器portqry n 10.0.0.2 e 80-iportqry n 10.0.0.2 o 80,443 I對10.0.0.2掃瞄 TCP 埠130-139portqry n 10.0.0.2 r 130:139 i,Ping失敗，Portqry 卻可以的範例,C:ping-n 1 207.46.134.22

26、2Pinging 207.46.134.222 with 32 bytes of data:Request timed out.C:portqry-n 207.46.134.222-e 80-iQuerying target system called:207.46.134.222TCP port 80(http service):LISTENING,驗證與重設安全通道,netdom verify pcname/domain:domainname可以確認自己是否已登入netdom reset pcname/domain:domainname/server:servername,找出網域資訊,n

27、etdom query fsmo|workstation|server|dc|ou|PDC|trust範例：C:netdom query dcList of domain controllers with accounts in the domain:DC1DC2The command completed successfully.,本機與Vista的網路轉變,在圖形介面中，不再有啟用ping 的選項netsh firewall set icmpsetting 8 enable如果 Windows Vista/Windows Server 2008 運作得很慢，關閉 autotuning：ne

28、tsh interface tcp set global autotuninglevel=disabled 有些路由器需要autotuning,管理使用者與分享資源,NET指令,Microsoft原始的網路軟體全都可以在指令行執行都是以 NET開頭的指令都是內建於 OS中無法遠端執行他們已經出現很久了，依然很有用,建立使用只帳號：NET USER,NET USER 指令建立及刪除本機或網域使用者帳號重設密碼net user username password/domain/add,範例,net user newguy longpassword/domain/add（建立一個名叫newguy的使

29、用者帳號，他的密碼是longpassword）net user newguy newpasswd（重設本機使用者帳號）net user newguy newpasswd/domain（重設網域使用者帳號）,更多的NET USER參數,/active:yes|no/comment:text/homedir:path/profilepath:path/fullname:name string/workstations:machinename,machinename/scriptpath:path inside Netlogon,自動產生密碼,試試看/random，例如：net user joe/r

30、andom/domain（建立joe並且隨機產生密碼，而且將密碼顯示在螢幕上）若不想顯示出密碼，可以在指令最面加上 nulnet user joe/random/domain nul“net user”顯示本機使用者帳號，“net user/domain”顯示網域使用者帳號若是使用/delete 表示刪除帳號,使用NET管理群組,建立本機群組：net localgroup groupname/comment:text/add|/delete/domain/domain 表示建立網域區群組將使用者加入群組net localgroup groupname username/addnet local

31、group 顯示本機群組net groups 與上面語法相同，但只能在 DC操作，建立全域群組,範例,net localgroup folks/addnet localgroup folks susie/addnet localgroup folks jack/addnet localgroup folks/comment:our clubnet localgroup folks jack/delete建立一個新的管理者：net user joe joepwd/addnet localgroup administrators joe/add,使用NET建立分享資料夾,net share 顯示所

32、有分享資料夾建立分享資料夾如下：net share sharename=drive:path/remark:”remark text”/grant:username,full|change|read/grant:username,full|change|readnet share mytest=c:test/remark:Playing with NET SHARE/grant:administrator,full/grant:otherguy,change/grant 只能在伺服器上操作,更多NET的分享參數,net share sharename/deletenet share share

33、name 獲取設定及顯示誰在連線C:net share c$Share name C$Path C:Remark Default shareMaximum users No limitUsers MARKCaching Manual caching,連線磁碟機：NET USE,你可能已經知道：net use*servernamesharename（*表示指定下一個可用的磁碟機代號）你可以加入驗證資訊/u:（或/user:）net use*s1stuff/u:swordfish,更多NET USE,net use pcnameipc$/u:“”“”這是代表 null session登入net u

34、se 顯示你現在連線的網路磁碟，還有你的持續設定net use*/d/y 切斷網路磁碟,NET USE與持續連線,預設，Windows會在下一次登入時，自動重新連線網路磁碟變更此預設功能：net use/persistence:no|yes例如：net use/persistence:no 變更預設的動作你也可以加/persistence 到 NET USE指令中，以便告訴系統是否持續使用或不用,NET USE與CNAME,如果使用 DNS 名稱在 net use x:s1，必須是真實的主機名稱如果在 NET USE 中使用CNAME 會出現錯誤,NET USE/SAVECRED,如果要存取的

35、資源不是在自己的網域中，連線時要加上/user:參數如果覺得以上很煩，可以直接輸入 net use servernamesharename/savecred這樣系統會記錄所輸入的帳號及密碼觀看控制台/管理使用者，其中會顯示所記錄的的驗證資訊,簡短的NET,net start service，還有net stop service沒有重新啟動的參數：net stop xx&net start xx其中“&”可以在同一行中，接續執行指令net helpmsg number 顯示錯誤碼所對應的訊息，例如：C:net helpmsg 1220An attempt was made to establis

36、h a session to a network server,but there are already too many sessions established to that server,更多詳細的使用者操作,Windows XP 及之後的OS中有 dsadd、dsmod、dsget、dsquery、dsrm 指令這些也都內建於 Windows Server 2003 及 2008,Active Directory管理,Repadmin,這是“複寫的瑞士刀”如同他的名字一樣，其可控制AD複寫使用/?參數獲得說明，/listhelp 可列出語法，若是使用/experthelp 可以看到

37、一些文件上沒有的東西,Repadmin使用範例,一些範例：repadmin/kcc dcname 強制拓樸和複寫對象檢查repadmin/rebuildgc dcname 觸發 GC 伺服器傾印及重建他的全域目錄repadmin/bridgeheads dcname 顯示 bridgehead 伺服器repadmin/istg dcname 顯示負責跨站台拓樸的DC,更多Repadmin範例,獲取每一台DC的複寫對象：repadmin/showutdvec dcname naming-context 從dcname的角度，顯示最新的向量repadmin/showrepl dcname nami

38、ng-context/verbose 顯示複寫對象repadmin/replsummary dcname 編譯DC之間成功/失敗統計列表 repadmin/queue dcname 列出預備送往指定DC的佇列中的項目,更多Repadmin範例,repadmin/showchanges destdc GUID-of-sourceDC naming-context/verbose 列出從 sourceDC 到 DestDC尚未複寫的所有東西,強制複寫,repadmin/syncall/e/P dcname naming-context/e 跨站台/P 推出變更例如：repadmin/syncall

39、/e/P dc1 dc=acme,dc=com或是使用 repadmin/syncall/j dcname/j:只同步到相鄰的DC,名稱範例,:dc=bigfirm,dc=comConfiguration NC:cn=configuration,dc=bigfirm,dc=comSchema NC:cn=schema,cn=configuration,dc=bigfirm,dc=com未指定NC 名稱：repadmin/syncall 假定是 configuration NCdc=ForestDnsZones,DC=bigfirm,dc=com（只在Forest root domain中出現）

40、dc=DomainDnsZones,dc=bigfirm,dc=com,DCdiag與Netdiag,在Support Tools中Netdiag 是本機執行指令,DCdiag 可以遠端執行前者測試系統網路基礎架構（netdiag）及網域控制站功能（dcdiag）他們非常有用，而且事件單暨聰明的測試方法,合併使用,del dcdiag.logdel repadmin.logdel netdiag.logdcdiag/e/c/v/ferr:c:dcdiagerrs.log/f:dcdiag.lognetdiag/v/l repadmin/showrepl*/verbose/all/intersi

41、te repadmin.log,以指令方式委派權限,dsacls 是 Windows XP/2003 內建指令，可以觀看AD 權限簡單的形式：dsacls dn-of-object 顯示現在權限參數/A 是增加擁有者/稽核資訊參數/S 還原Schema預設值加上/T 可顯示其下所有的權限,以指令方式委派權限,變更委派：/G:增加權限至物件的ACL/D:增加拒絕至物件的ACL/N 覆蓋任何現有 ACL，用於/G 或/D/R 移除指定群組/使用者所有權限,以指令方式委派權限,指定群組及使用者：groupdomain、userdomain 或 domaingroup 及 domainuser權限：在

42、 Help可列出詳細權限，最常使用的是 GR(read),GE(execute),GW(write),GA(all full control),範例,dsacls ou=marketing,dc=bigfirm,dc=com顯示 Marketing OU 的權限dsacls ou=marketing,dc=bigfirm,dc=com/G:GA給予Bigfirm網域的“MPA”群組在 Marketing OU有完全控制權dsacls ou=marketing,dc=bigfirm,dc=com/S重設 Marketing OU的權限至預設值,AD委派,曾經想要列出某人在AD上的權限嗎？辦不到！

43、可以從微軟網站下載 dsrevoke.exe，觀看及移除指定的使用者，其在網域及OU的權限dsrevoke/remove domainnameusernamedsrevoke/report domainnameusernamedsrevoke/report/root:ou=marketing,dc=bigfirm,dc=com domainnameusername只能用NetBIOS名稱，無法用UPN,磁碟/檔案管理,基本語法,有許多磁碟維護及瀏覽的指令，可以在許多地方執行，例如：Dir、cd、md、rd、del、erase、move、copy、xcopy,fdisk（在Windows XP是

44、使用 diskpart），format、label、vol、rename、verify on|off,控制NTFS權限,一些可以操作NTFS的指令CACLS（內建在系統中）ICACLS:在 Windows Vista、Windows Server 2008、Windows 2003 SP2中取代CACLSXCACLS（更完的指令，內建於 Support Tools中）SUBINACL（Resource Kit 的工具，但有點問題）,尋找檔案,不需要用檔案總管的搜尋，使用 DIR/S例如搜尋整個 C:中的myfile.txt，輸入：dir c:myfile.txt/s在“c:files”目錄中搜

45、尋，輸入：dir c:filesmyfile.txt/s,系統與事件控制工具,關機、重開機與登出,shutdown-s|-r|-l-t ss-f-a-s=關機，-r=重新開機，-l=登出-t ss 指定延遲的秒數，若沒有 t參數，預設是 30 秒-f 強制關閉執行中的程式，可能會造成資料遺失-a 不顯示關機倒數訊息,你的身份,whoami 是 Support Tool 中的工具，顯示現在登入的使用者，例如：bigfirmmark.但是加上/all 參數，則會顯示 UPN、SID、所屬群組的SID及權限,管理事件記錄,Windows Vista 或之後的系統有“wevtutil”，例如：wevt

46、util qe application/c:2/f:text/rd:true（顯示在 Application log 中的最近兩個事件）/c=#想要觀看多少個事件/f=輸出格式/rd=讀去最新（“true”）或是最舊（“false”）會自動保存記錄,建立事件,Windows 之後才有的eventcreate指令eventcreate/ID eventid/L logname/SO srcname/T type/D descriptionlogname=system、application等等type=error、warning 或 informationeventcreate/ID 833/l

47、 system/t information/d Just saying hi,回應事件,當某些是發生時，我們會想看事件記錄使用內建於 Windows XP 及 2003的指令eventtriggers，可以在某件事發生時觸發執行指定的程式eventtriggers/create/eid eventidnumber/tr triggername/tk actiontotake/ru usernametoruncommand/rp passwordofthataccount在 Windows Vista/Windows Server 2008中，是 schtasks 指令，或是在事件檢視器中，點任

48、一事件，按滑鼠右鍵，選擇“附加工作至此事件.”,Eventtriggers範例,eventtriggers/create/eid 64002/tr sysalert/tk net send jack123 Somethings deleting system files!”/ru jack123/rp swordfisheventtriggers 或eventtriggers/query/v 會列出 triggerseventtriggers/delete/tid n 刪除指定的 eventtrigger,或/delete/tid*刪除全部,什麼是好的觸發事件,當遇到事件 x 發生時，可以送出

49、電子郵件嗎？答案：從 下載blat（Windows Vista 及 Windows Server 2008 則不需要blat，因為已經內建）,Blat,指令方式的 SMTP 用戶端，例如：blat-body“Event ID 763 happened!”server to f subject“Event 763 alert”u joe pw swordfish其中“blat-body”沒有打錯,更多Blat,u 及 pw 假設你的 SMTP 伺服器需要登入驗證;BLAT 支援 GSSAPI 所以可以以安全的登入 Microsoft及其他 SMTP 伺服器免費下載甚至包含原始碼可以在 Regis

50、try中預存所需的參數,SelfSSL,設定一台測試用的網站伺服器，或是一台內部用的網站伺服器，若是需要憑證，可以不需要架設憑證授權單位（CA）答案？Selfssl是一個產生並且安裝憑證的單一行指令在 IIS Resource Kit中,SelfSSL語法,selfssl/t/v:ndays/n:dnn 名稱t 安裝v 有效日數例如：selfssl/T/V:200/n:cn=建立並安裝憑證於 網站伺服器，有效日數為200天,Server Core專有的事件,注意.NET,Server Core 和 WinPE 沒有.NET Framework有些指令程式需要.NET Framework，所以他