Windows RDS Farm telepítése

Windows RDS Farm telepítése

A tesztkörnyezet installáláskor használt szerverek:

  • RD-CB01 (Connection Broker)
  • RD-LIC01 (License server)
  • RD-SH01 (Session Host server)
  • RD-WA01 (Web Access server)

Első lépésként kapcsolódjunk a Connectin Broker-hez (RD-CB01) és a Server managerben vegyük fel a többi RD-* szervert.

Amennyiben készen vagyunk a a szerverek hozzáadásával, neki is láthatunk a telepítésnek. Manage/Add Roles and Features, Remote Desktop Services Installation

Next,

A Select Deployment Type oldalon válasszuk a Standard deployment-et, Next,

Session-based desktop deployment, Next

Next,

Válasszuk ki a Connection Broker szervert,Next

Itt válasszuk ki a Web Access szervert, Next,

Session Host szerver kiválasztása, Next,

Az összegző képernyőn pipáljuk be a Restart the destination server…, Deploy

A Roleok telepítése folyamatban….

Role telepítés kész a szervereken.

Kattintsunk a Server Managerben a Remote Desktop Servicesre, majd adjuk hozzá az RD Licensing servert (amennyiben van)

A következő lépés az RD-WA01 (Web Access server) megfelelő SSL tanúsítvánnyal való ellátása:

mmc.exe indítása, Certificates modul, Computer account hozzáadása, majd a Personal ág kibontása, jobb klikk, Request New Certificate.

A Properties ablakban adjuk meg a kiállítandó cert rövid és hosszú CN nevét (rd-wa01 és rd-wa01.akarmi.local), majd a Private Key fülön a Key options-ban engedélyezzük a Make private key exportable-t. Majd Enroll.

 

A kiállított tanúsítványunkat exportáljuk ki .pfx formátumban.

Az exportálás után adjuk hozzá a kiexportált cert.et az RD Web Access-hez (Collection/Edit Deployment Properties)

Az utolsó lépéseket ismételjük meg az RD-CB01 vonatkozásában is.

Ha mindent jó csináltunk, a böngészőben nem fogunk tanúsítványhibát kapni:

Bejelentkezés után használhatjuk az RDS farmunkat, természetesen a megfelelő licence mennyiség hozzáadása után.

Windows offline patchelt ISO készítése

Az alábbiakban egy Windows 2019 server oprendszer offline ISO patchelését mutatom be.

Elsőre egy gyári install install ISO vagy DVD-ről készítvünk másolatot a saját gépünkre. Jelen példában ez az E:\SRC mappa.

SRC mappa

A sources mappában lévő install.wim-et töröljük, ezt fogjuk újra generálni.

install.wim

 

A következő lépésben a WIMWitch használatával patcheljük meg az eredeti install anyagban található install.wim-et. Erről részletesebben itt olvashatsz.

Ha kész a wim patchelése, azt be kell tenni az első lépésben felmásolt erdeti install könyvtárába (E:\SRC)

wimtosrc

PS C:\> Export-WindowsImage -SourceImagePath ‘M:\image\WIMWitch\CompletedWIMs\Windows2019STD_GUI_20200415.wim’ -SourceIndex 1 -DestinationImagePath E:\SRC\sources\install.wim -DestinationName “Windows 2019 STD GUI”

 

Ezzel készen is van az előkészített install anyagunk, amit már csak bootolható formában ISO-vá kell alakítanunk.

Indítsuk el a Deployment and Imaging Tools Environment-t

majd adjuk ki a következő parancsot:

oscdimg.exe -m -o -u2 -udfver102 -bootdata:2#p0,e,bE:\SRC\boot\etfsboot.com#pEF,e,bE:\SRC\efi\microsoft\boot\efisys.bin E:\SRC M:\Windows2019STD_GUI_20200415.iso

makeiso

 

Ha mindent jól csináltunk, az M:\ meghajtón ott lesz az offline patchelt, bootolható ISO.

Repadmin – avagy a replikáció ellenőrzése

Mi az a repadmin, mire jó?

A repadmin egy diagnosztikai segédprogram, ami Windows 2008 Server feletti verziókabn érhető el (vagy ha van RSAT installálva) és arra szolgál, hogy megvizsgáljuk az Actice Directory replikáció állapotát. Az Actice directory replikáció egy kritikus service, amely a Forest-ben a domain kontrollerek között végzi a szinkronizációt. Ha replikációs problémák lépnek fel, nem működnek majd megfelelően az authentikációs és hálózati erőforrások (share, print stb)

Összegzett replikációs státusz és áltanános állapot:

repadmin /replsummary

A /replsummary kapcsoló megmutatja az általános replikációs állapotot, valamint a sikertelen/sikeres replikációs kísérleteket, azok százalékos arányát, valamint a legnagyobb replikációs időközöket.

 

A replikációs partner és az állapot megjelenítése:

A /showrepl kapcsolóval a replikációs partner és állapot kérdezhető le. Ez segít megérteni az egyes Domain Controllerek szerepét a replikációs folyamatokban. Ezenkívül ez a kapcsoló megjeleníti az összes replikált objektum GUID-ját és annak eredményét. Ez segít meghatározni, hogy mely objektumok nem replikálódnak.

repadmin /showrepl

 

Egy adott tartományvezérlő replikációs partnerét jeleníti meg:
Ha szeretné látni egy adott tartományvezérlő replikációs állapotát, akkor használja ezt a parancsot.

repadmin /showrepl <DC neve>

 

Csak a replikációs hibák megjelenítése:
A showrepl kapcsoló sok információt ad. Ha csak a hibákat szeretnéd látni, használd ezt a parancsot. Jelen példában nincs hiba.

 

A replikációs várólista (queue) megjelenítése:
Ha nem túl nagy a domain környezet, akkor gyakran nulla lesz az érték, mivel kevés replikáció fordul elő.

Repadmin /Queue

 

Az Active Directory replikáció kikényszerítése:
Használd a következő parancsot, ha szeretnéd kikénysszeríteni a replikációt a tartományvezérlők között. Például, ha a DC03 nincs szinkronban, akkor futtasd a DC03-on.

Ez pull (húzás) replikációt fog végrehajtani, ami azt jelenti, hogy a frissítéseket a DC04-ről DC03-ra húzza le.

repadmin /syncall dc03 /AeD

Amennyiben (pull) replikációt szeretnél használni akkor add meg a /P kapcsolót.  Például, ha változtatásokat hajtasz végre a DC03-on, és a változtatáskoat replikálni szeretnéd más DC-kre, használd ezt a parancsot:

repadmin /syncall dc03 /APeD

Automatikus tanúsítvány kiállítás (GPO)

Az előző cikkben a PKI CA cert szervert telepítettük, amihez a jelen bejegyzésben aktiváljuk a GPO-t

Group Policy létrehozása az Automatikus Tanúsítvány Kiállításhoz:

Az alábbiakban megcsináljuk a GPO-t a számítógépek automatikus tanúsítvány kérelméhez és kiállításához a saját PKI szerverünket használva.

A Domain Controller-en Control Panel, Administrative Tools -> Group Policy Management-et indítsuk el:

Szerkeszthetjük a meglévő Default Domain Policy-t is, de új policy-t is létrehozhatunk meghatározott OU számára.

Nevezzük el a policy-t, majd Ok:

Jobb klikk a policy nevén, majd Edit:

Keressük meg a Public Key Policies-t. A jobb oldalon a Certificate Services Client-en jobb klikkProperties:

Engedélyezzük, Enabled majd Apply -> Ok:

Jobb klikk a  Certificate Services Client – Auto-Enrollment-en, majd Properties:

Engedélyezzük: Enabled, majd a sárgával jelölt boxokat pipáljuk be, Apply és Ok.

Jobb klinn a policy-n és Enforced az engedélyezéshez:

A szervereinken cmd és gpupdate /force után aktiválódik azonnal a policy, vagy várjuk meg míg automatikusan kikerül rájuk.

Térjünk vissza a GPO terítés/frissítés után a PKI szerverünkön a Certification Authority-be és nézzük meg a Issued Certificates-t, ahol a kért és kiállított tanúsítványainkat láthatjuk:

Windows 2016 PKI server

Windows 2016 PKI CA Cert Server

Hogyan telepítsük a Microsoft Active Directory Certificate Services-t (AD CS) Windows 2016 Serverre?

Miért is jó ez? Azért mert a saját domain környezetünkben CA-t (certification Authory, hitelesítésszolgáltató) használunk. Ezáltal a domainban használt szervereink, klienseink automatikusan (GPO) kérnek és kapnak is a saját CA-tól tanúsítványokat.

Első lépésként adjuk hozzá szerverünkhöz az AD CS szerepkört:

Nyissuk meg a Server Manager-t, majd Manage -> Add Roles and Features

Role-based or feature-based installation, Next

Válaszd ki azt a szervert amire telepíteni szeretnéd, majd Next

 

Válaszd ki az Active Directory Certificate Services-t majd Next:

A felugró ablakban jelöld be az Include management tools-t, majd Add Features:

Majd Next

Nem szükséges a következő ablakban semmit kijelölni, csak Next:

Csak Next:

Válaszd ki a szervizeket amiket telepíteni szeretnél. A Certificate Authority a minimum, majd Next:

Indítsa újra a szervert ha szükséges (nem lesz), majd Install:

Ha végzett a telepítéssel, Close:

AD CS Post-Deployment konfigurálás:

A Server Managerben az Értesítéseknél kattints a Configure the Active Directory Certificate Services on this server üzenetre:

Válasszuk ki azt a felhasználót, aminek a nevében konfiguráljuk a szerepkört, majd Next:

Válasszuk a  Certification Authority-t (mivel domaines a cert server), majd Next:

Mivel nincs más PKI szerver a hálózatban, így válasszuk a Root CA, majd Next:

Készítsünk új privát kulcsot, majd Next:

Adjuk meg a titkosítási algoritmust, majd Next:

Ne válaszd az  SHA1-et, mert  elavult, helyette válasszuk ki az SHA256-ot

 

A mezők már ki vannak töltve, de változtathatod a Common Name-t ha szeretnéd, majd Next:

Adjuk meg az érvényességi időt, majd Next:

Ezeket hagyjuk alapértelmezetten, majd Next:

Ha mindent rendben találunk az összegző oldalon, nyomjuk meg a Configure-t:

Készen is volnánk. Close:

Certificate Template készítése a Workstation és Client authentikációhoz:

Ebben a fejezetben beállítjuk a Certificate Templatet, hogy a domainben található számítógépek tudjanak kérni certet a fent beállított szerverünktől.

Nyissuk meg a Control Panel -> Administrative Tools -> Certification Authority:

Jobb klikk a Certificate Templates-en, majd Manage:

Keressük meg a Workstation Authentication-t, jobb klikk, majd Duplicate Template:

A General Tab-on adjunk a Template-nek nevet és érvényességi időt. Jelöljük be a 2 boxot (Publish… Do not…):

A Security fülön a Domain Computers-nek  Read és Autoenroll jogot kell adni:

Az Extensions fülön klikk az Application Policies majd Edit:

Klikk Add -> Server Authentication majd Ok:

A Server Authentication a listánkba kerül, klikk Ok:

A Subject Name fülön jelöljük be a ‘DNS name‘ és az ‘UPN‘-t., majd Apply és Ok:

Ezzel létre is hoztuk a saját Template-ünket. Ezt az ablakot be is zárhatjuk, készen vagyunk.

A következő bejegyzésben az imént elkészített template-el a domainben található összes (vagy amelyik OU-ra húzzuk a GPO-t) computers objektumra érvényesítjük a GPO-t, ezáltal az objektumok megkapják a cert serverünktől az érvényes,  kiállított certeket. A certek felhasználhatóak pl IIS vagy RDP használatra. Domainen belül a kliensek nem fognak cert errort dobni, mivel a cert serverünk  CA tanúsítványával lettek aláírva. A domainben található szerverek is a CA által kiállított certeket használják.

A következő cikkben pedig GPO-t hozunk létre a tanúsítványok automatikus kéréséhez és kiállításához

Hyper-V VM Sysprep

A sysprep-el tudjuk a már telepített gépünket (vm) olyan állapotba hozni, hogy azt egy másik vm alatt használni tudjuk. A sysprep eltávolítja a PC specifikus információkat a Windows telepítésből, így a telepítőt “általánosítja”, így az különböző vm-eken felhasználható.

Na de nézzük lépésenként. 

  1. Windows server install, frissítések letöltése
  2. a vhd(x) lemásolása
  3. a lemásolt vhd(x) becsatolása egy új vm-be
  4. Az új vm-en sysprep futtatása
  5. Az új vm testreszabása igényeinknek megfelelően

A sysprep futtatásához a következőket tegyük:

cmd:
cd c:\Windows\System32\Sysprep

sysprep.exe /oobe /generalize /shutdown /mode:vm

A sysprep a folyamat végén leállítja a vm-et. A vm indítása után egy feltelepített, de nem konfigurált Windows-t kapunk. Ezzel az image másolós módszerrel pillanatok alatt tudunk létrehozni a virtuális környezetünkben vm-eket, nem kell egyenként installálgatni őket. 

 

Hyper-V alatti server VM-ek licencelése (AVMA)

Windows server 2012-től fölfelé, lehetőségünk van a Hyper-V role-al rendelkező Datacenter szerverekben futó Windows server vm-ek automatikus aktiválására. Kliens oprendszerre ez a megoldás nem járható.
A Windows Standard verziónkat fel kellett upgradelni Datacenter-re, melyet a következőképpen tehetünk meg:

Admin powershell:

dism /online /Get-CurrentEdition

dism /online /Get-TargetEditions

dism /online /Set-Edition:ServerDatacenter /productkey: datacenter-kód-11111-22222 /accepteula

Legyünk türelmesek, a folyamat hosszabb ideig is eltarthat!

A folyamat végén indítsuk újra a szervert.

A telepített vm-eknél a fenti eljárás és az AVMA kulcsok verziófüggő kódjával aktiválható.
Az AVMA egy HOST-ra szól, tehát ha olyan hostra migráljuk a vm-et ami nem Datacenter, az ott futó vm-ek ismét nem lesznek aktiváltak!

AVMA kulcsok itt

Linux hálózati kártya kifagyás Hyper-V alatt

Penteszt tesztkörnyezet kialakítása közben futottam bele az alábbi problémába. Hyper-V alá felhúzott OWASP vm-ben a hálózat pár másodperc után elhalálozott, csomagok se ki, se be.
DHCP és statikus IP beállításnál is tapasztalható volt a probléma.
A syslogban ilyen bejegyzések voltak:

Jan 9 07:04:22 owaspbwa kernel: [ 2061.993866] eth0: 21140 transmit timed out, status fc6981c7, SIA fffffe00 00000068 00000070 fffffec8, resetting...

Az IRQ Balance kikapcsolásához editáljuk meg a: /etc/default/irqbalance -t:

sudo vi /etc/default/irqbalance

Majd változtassuk meg az ENABLED vértékét 0-ra:

ENABLED=0

mentsük el a filet, majd sudo reboot