1

1 Werkgroepen en Domeinen

Een domein is een groep accounts en netwerkbronnen met een gezamenlijke directorydatabase eneen gezamenlijk beveiligingsbeleid. Tussen domeinen onderling kunnen beveiligingsrelaties be-staan. Een werkgroep is een eenvoudigere groepering die als doel heeft de gebruikers het gemak-kelijker te maken om objecten te vinden zoals printers en gedeelde mappen binnen die groep. Metuitzondering van hele kleine netwerken met slechts enkele gebruikers, worden domeinen aanbevo-len voor alle netwerken.

In een werkgroep moeten gebruikers soms verschillende wachtwoorden onthouden voor de ver-schillende netwerkbronnen (Bovendien kunnen verschillende gebruikers verschillende wachtwoor-den gebruiken voor elke bron). Het is eenvoudiger om wachtwoorden en machtigingen bij te houdenin een domein, omdat een domein een gecentraliseerde database met gebruikersaccounts, machti-gingen en andere netwerkdetails heeft. De gegevens in deze database worden automatisch gere-pliceerd tussen domeincontrollers.

1.1 Werkgroepen

Een werkgroep is een verzameling computers waarin elke computer een eigen beveiligingsbeleidvoert en accounts beheert. Om objecten zoals printers of gedeelde mappen terug te vinden binnende groep moet NetBIOS (Network Basic Input Output System) geïnstalleerd worden.

NetBIOS wordt gebruikt om:

• Computers in een netwerk een naam te geven• Connecties tussen computers te maken • Boodschappen rond te zenden

(Om bestandsuitwisseling tussen meerdere computers mogelijk te maken moet ook SMB (ServerMessage Block) op de NetBIOS laag geïmplementeerd worden).

Inleiding, hst. 1Een servergestuurd netwerk

(Windows 2008 R2)

2

1.1.1 Protocollen

Veel gebruikte protocollen zijn (waren):

< NetBIOS over NetBEUI (NetBIOS Extended User Interface). Dit snel (en klein) niet routeer-baar netwerk- en transportprotocol werkt met de MAC-adressen van netwerkkaarten. Sindsde komst van Windows XP wordt dit protocol niet meer standaard geïnstalleerd.

< NetBIOS over TCP/IP (TCPBEUI). Is een manier om computers via 32 bits IP-adressen overpoort 139 te bereiken. TCP/IP doet dat via het door de DNS omzetten van hostnamen in 32bits IP-adressen, maar met NetBIOS over TCP/IP kan je ook hosts buiten het lokale ether-netwerk aan de ethernet "broadcast lijst" toevoegen. Dit heeft als nadeel dat anderen ge-makkelijker uw netwerk kunnen binnendringen.

Immers, waar het oorspronkelijke NetBIOS protocol zich tot een LAN ( werkgroep) beperkte,is de reikwijdte van NetBIOS via TCP/IP wereldwijd. Ze wordt slechts beperkt door de instel-lingen van routers en firewalls. Het gevolg kan zijn dat de bronnen op uw harde schijf in denetwerkomgeving van een hacker/cracker ergens op het internet kunnen verschijnen. Hijhoeft slechts een reeks IP-adressen op het netwerk van een ISP te scannen om te wetenwelke computers bereikbaar zijn.

Selecteer steeds ‘Disable NetBIOS over TCP/IP’ (zie instellingen netwerkaarten 4.3)

Dit voorkomt (deels) het spelen van spelletjes via ’portables’ op USB

TCP/IPv4 versus TCP/IPv6

Op donderdag 3 februari 2011 was het zover. De Icann heeft dan de laatste vijf IPv4-blocks verdeeld over deregionale internetregistries. Dat betekent dat er nu op wereldniveau geen IPv4-blocks meer voorhanden zijn.

De vijf regionale registries, zoals RIPE NCC (Europa), verdelen de nog beschikbare adressen over internet-en hostingproviders. Feit is wel dat het einde in zicht komt. Als de registries de nog beschikbare IP-adressenover de providers hebben verdeeld, kunnen er geen nieuwe IPv4-blocks meer worden aangevraagd. RIPENCC heeft waarschijnlijk nog tot eind 2011 genoeg IPv4-adressen om aan de vraag te voldoen.

TCP/IPv6 op school?

Zolang de internetproviders niet massaal overschakelen naar IPv6 is er gevoelsmatig geen reden om over teschakelen naar IPv6. Toch moet er hierover nagedacht worden. Elke computer een eigen IP-adres geven,waardoor NAT verdwijnt lijkt aangewezen (o.a. naar verantwoordelijkheid), maar verhoogt ook de eenvoudom computers te bereiken van buiten uit.

W indows 2008 R2 en W indows 7 zijn er volledig klaar voor. Een aantal toepassingen (o.a. DirectAccess enMicrosdoft Exhange Server 2007/2010) zijn IPv6 gebaseerd (maar nog te omzeilen).W ie een web-server2008 R2 wil opzetten start ook best met IPv6.

IPv6 uitschakelen op uw lokaal netwerk gebeurt best niet via de netwerkkaart, maar wel via het register.

Meer i nfo: http://support.microsoft.com/kb/929852

Inleiding, hst. 1Een servergestuurd netwerk

(Windows 2008 R2)

3

1.2 Domeinen

Een ‘Windows’-domein bestaat steeds uit één of meerdere Domein Controllers, waarop een bestu-ringssysteem uit de Windows Server-familie wordt uitgevoerd. Een domeincontroller werkt met een‘Active Directory’. Dit is een directory-service waarbij gegevens over objecten worden opgeslagenin een netwerk. Deze gegevens worden beschikbaar gesteld aan gebruikers en netwerkbeheerders.

Op domeincontrollers worden directorygegevens opgeslagen en wordt de communicatie tussengebruikers en domeinen beheerd, inclusief aanmeldingsprocessen van gebruikers, verificatie enzoekopdrachten in de directory. Domeincontrollers verzorgen de synchronisatie van directorygege-vens via multimaster-replicatie, zodat de informatie in de loop van de tijd consistent is.

Active Directory ondersteunt multimaster-replicatie van directorygegevens tussen alle domeincon-trollers in een domein. In de Active Directory wordt het model van multi-masterreplicatie gebruikt,zodat je de directory kunt bijwerken vanaf elke domeincontroller en niet vanaf één, speciaal voor ditdoel aangewezen, primaire domeincontroller. Active Directory werkt met sites om de replicatie zoefficiënt mogelijk te houden en met de KCC (Knowledge Consistency Checker) om automatisch debeste replicatietopologie voor het netwerk te bepalen.

1.3 Windows Server 2008 R2

Na de laatste aanpassing van Windows Server 2003 (6 december 2005), de release 2, was het langwachten op de opvolger Windows Server 2008 (27 februari 2008). Deze versie werd zoals steedsmet veel ‘tamtam’ aangekondigd, maar was duidelijk nog niet volledig’. Het betekende wel de intro-ductie van een ‘core’-server, PowerShell en Hyper-V. Windows Server 2008 kwam vooral op demarkt ter ondersteuning van Vista (30 januari 2007). Het is een apart ontwikkelde serverversie dieverkrijgbaar is in een 32- en 64-bitversie.

Merkwaardig dat er op 22 oktober 2009 al een nieuwe release uitkomt, volledig gebaseerd op decore van Windows 7 en een totaal nieuw concept is t.o.v. de Windows Server 2008. Deze versie isenkel te verkrijgen in een 64-bit versie. Het is dan ook aangewezen om deze versie te gebruiken alsde clientcomputers Windows 7 zijn.

Inleiding, hst. 1Een servergestuurd netwerk

(Windows 2008 R2)

4

1.3.1 Belangrijkste vernieuwingen

< Group Policies Werden uitgebreid en aangevuld met ‘Group Policy Preferences’ (door de overname van hetbedrijf DesktopStandards)

< Hyper-V. In de versie Windows Server 2008 als ‘role’ (versie 1.0), in Windows Server 2008 R2 alsstand-alone server (versie 2.0). Belangrijke vernieuwing in versie 2.0 is de zgn. ‘Live Migrati-on’, waarbij een werkende virtuele machine verplaatst wordt naar een andere fysieke machi-ne zonder onderbreking.

< PowershellVersie 1.0 werd standaard geïntegreerd in Windows Server 2008 en sterk uitgebreid inWindows Server 2008 R2. 250 extra commandlets voor beheer werden toegevoegd.

< Windows 7 integrationDirect Access: Biedt de mogelijkheid om op een eenvoudige manier een externe verbin-

ding op te zetten met het bedrijfsnetwerk. Gebruikt in principe IPv6, maarkan voorlopig omzeild worden door Ipsec. Vervangt VPN.

Branch Cache: Een Branch Office betekent in Microsoft-taal een locatie die fysiek geschei-den is van het hoofdnetwerk. Er zijn al verscheidene technieken beschik-baar om beter met deze configuraties om te gaan, zoals een Read-OnlyDomain Controller, DNS caching-only, Universal Group Caching, enz.

Bitlocker: Bitlocker is een encryptie technologie. In eerdere versie was de functionali-teit beperkt tot interne schijven. Nu is het ook mogelijk om dit voor USB-opslag te gebruiken. Het beheren van sleutels door het OS werd wel invraag gesteld zodat het nu ook mogelijk is om sleutels extern op te slaan enbeschikbaar te stellen via een wachtwoord.

1.3.2 Verschillende versies

< Windows Server 2008 R2 Foundation Deze versie is ontwikkeld voor de kleine zakelijke markt en zeer prijsgunstig, maar gelimi-teerd tot 15 gebruikers.

< Windows Server 2008 R2 Standard / Enterprise / Datacenter

Max. Geheugen Max. aantal X64 Sockets

Standard° 32 GB 4

Enterprise 2 TB 8

Datacenter 2 TB 64

(°) De standaardversie bevat geen BranchCache Server en geen Failover Clustering

< Windows Web Server 2008 R2 < Windows HPC Server 2008 (High-Performance Computing) < Windows Server 2008 R2 for Itanium-Based Systems

Inleiding, hst. 1Een servergestuurd netwerk

(Windows 2008 R2)

5

bron:http://www.microsoft.com/windowsserver2008/en/us/editions.aspx

1.4 De functie van de server

Een Windows 2008 Server zal een bepaalde positie bekleden in een netwerk, zoals een domeincon-troller. Bij een installatie kun je kiezen tussen een Server Core installatie en een volledige installatie.Alleen als je een Server Core installatie kiest zijn de mogelijkheden om de server nadien uit te brei-den beperkt. De Server Core installatie bevat standaard geen grafische interface.

Waarom zou je Server Core gebruiken?

De Server Core is iets zuiniger op gebied van geheugen en processorgebruik, dus de systeemeisen zijnlager - je hebt nog altijd minimum 512 MB nodig -, maar 1GB daarentegen is ruim voldoende. Er zijn minderfeatures geïnstalleerd dus er zijn ook minder programma’s die te misbruiken vallen. Minder programma’s wilook zeggen minder ‘overhead’, minder onderhoud (minder patches), enz.

Ondertussen is er wel een GUI (gratis) ter beschikking: http://coreconfig.codeplex.com/

Inleiding, hst. 1Een servergestuurd netwerk

(Windows 2008 R2)

6

De Server Core installatie is beperkt tot de volgende roles:

DNS Server Print and Document Services

DHCP Server W eb Server (IIS)

Active Directory Domain Services (AD DS) Active Directory Certificate Services (AD CS)

Active Directory Lightweight Directroy Services (AD LDS) Hyper-V

File Services

1.5 Systeemvereisten

Het ligt voor de hand dat je voor de domeincontroller een degelijk toestel moet kiezen. Ee n voldoen-de zware voeding en ,liefst, een speciaal servermoederbord. Dit moet de bedrijfszekerheid van dittoestel dat dag en nacht moet werken ten goede komen.

De minimale systeemvereisten zijn:

Processor 1,4 Ghz x64 processor

Geheugen 512 MB RAM

Schijfruimte 10 GB

Iets meer realistische systeemvereisten zijn:

Processor 2 Ghz x64 dual-core processor

Geheugen 4 GB RAM

Schijfruimte 100 GB

1.5.1 Praktijkvoorbeeld

1.5.1.1 Domeincontroller: Fujitsu Primergy YX 150 S6 (°)

• Processor: Xeon UP E3110 - 3.00GHz - cache: 6MB 1333MHz• Geheugen: 8GB• Schijf: 2 HD SAS 3Gb/s 146GB 10k hot plug 2.5" (in RAID 1 geplaatst) • Dubbele voeding

Richtprijs: < 2500€

1.5.1.2 Hyper-V: Fujitsu Celsius M460 (°)

• Processor: Intel Core 2, Quad Q9450 - 2,66 Ghz• Geheugen: 8GB• Schijf: 2 x HDD SATA II - 500GB - 7.2k business-critical (in RAID 1 geplaatst)• Enkele voeding

Richtprijs: < 1500 €

Opgelet!

De map C:\Windows\WinSXS bevat systeembe-standen, updates, servicepacks, enz. Het is eensysteemmap en mag absoluut niet gewist worden.De inhoud van deze map groeit, groeit, ....

Na 7 maand werking is deze map bij mij 9GB! Opforums circuleren waarden van 60GB! Er is voor-lopig geen oplossing voor dit probleem, Microsoftvermeldt laconiek... grotere schijven gebruiken...

Inleiding, hst. 1Een servergestuurd netwerk

(Windows 2008 R2)

7

1.5.1.3 ForeFront en GhostServer: Fujitsu Esprimo P5925 (°)

• Processor: Intel Core2, Duo E7300 - 2,66 Ghz• Geheugen: 4GB• Schijf: HDD SATA II - 160GB - 7.2k (kan in RAID 1, maar is niet toegepast)• Enkele voeding

Richtprijs: < 450€

° • Deze toestellen zijn ondertussen niet meer leverbaar (aankoop juni 2009). Richtprijzen voor recenteretoestellen zijn dezelfde, alhoewel prijzen soms zeer afhankelijk zijn van de prijs voor geheugen.

• Alle computers staan continue aan

• Er moet nog overwogen worden om eventueel een UPS en airco te plaatsen

ForeFront: Firewall en Proxy-server

GhostServer: Gewone clientcomputer die tevens alle mirrors bevat om alle computers perklaslokaal te ghosten (PXE en TFTP)

Windows7Server: Primaire Domeincontroller

Internet: Virtuele computer (door de leerkrachten via extern bureaublad te bereiken omInternet aan en af te zetten

VipreServer: Anti-Virusserver. Beheert alles van malware en virussen. Op de clients (decomputers in de klassen) staat een zeer kleine service

Printerserver: Beheert alle printers in de computerklassen

DomeinReplica: Secundaire domeincontroller

Inleiding, hst. 1Een servergestuurd netwerk

(Windows 2008 R2)

8

1.5.2 RAID

Redundant Array of Independent Disks ( RAID), is de benaming voor een reeks methodes voorfysieke data-opslag op harde schijven. De gegevens worden over meerdere schijven verdeeld, opmeer dan 1 schijf opgeslagen, of beide, ten behoeve van snelheidswinst en/of beveiliging tegengegevensverlies. Voor spelletjes wordt meestal RAID-0 gebruikt door de toename van snelheid.

Servers gebruiken Raid-1 of Raid-5 voor betrouwbaarheid. Bijna alle hedendaagse computers zijnuitgerust met een RAID-controller en kunnen meerdere schijven in RAID-0 of RAID-1 plaatsen.

Deze domeincontroller bevat twee SAS-schijven (Serial Attached SCSI). Vergeetniet bij de installatie de SCSI-controller teactiveren RAID-1 te configureren.

Zonder configuratie zullen de schijvenals aparte schijven beschouwd worden ofin RAID-0 geplaatst worden!

Om dit te voorkomen wordt bij Fujitsi-serversspeciale installatiesoftware mee-geleverd (ServerView).

Is er nog budgetruimte kies voor een SAN(Storage Area Network) en plaats vierschijven in RAID-5

DE BIOS van hedendaagse computersvoorziet de mogelijkheid om gewoneSATA-schijven in RAID te plaatsen.

Dit kan zinvol zijn als extra bescherming,maar vervangt geen backup!

Gebruik je RAID vergeet niet om regel-matig de logboeken te controleren!

Inleiding, hst. 1Een servergestuurd netwerk

(Windows 2008 R2)

9

1.5.3 Netwerk

Dit is een Ethernet-netwerk, m.a.w. een busstruc-tuur. Het is niet omdat het er fysisch een beetje uit-ziet als een ster dat dit een stertopologie is !

Gebruiken we meerdere servers dan zorgen we erzeker voor dat de onderlinge verbinding gebeurt op1Gb-niveau.

De switch moet minimaal aan de volgende eisen vol-doen:

• 10/100 en 10/100/1000 autosensing capability:Hierdoor wordt de snelheid op alle switch poor-ten automatisch gedetecteerd. Dit komt de per-formantie ten goede.

• Full-duplex operation:Verdubbelt automatisch de transmissie tot 2000-Mbps voor een Gb connectie.

• IEEE 802.1p traffic prioritization:Zorgt ervoor dat tijdgevoelige geluid-en video-toepassingen een hogere prioriteit krijgen.

• Management / Unmagement:Management (waarbij je zelf de switch kunt in-stellen) is beter, maar ook veel duurder.

• Wanneer gebruik je VLAN?• Meer dan 200 nodes• Veel broadcast. Als er per lokaal een net-

werkprinter geplaatst is en er wordt veel afge-drukt.

• Bij VOIP• Eventueel om te voorkomen dat computers in

een ander lokaal bereikbaar zijn

Voor bekabeling gebruiken we UTP of FTP, CAT 5e

of CAT 6 ( FTP: Foiled Twisted Pair).

Een alternatief is glasvezelkabel. Glasvezelkabel isverkrijgbaar is verschillende lengtes, afgemonteerd,met trekabel en verstevigingsbuis

Gebruik geen RJ45 meer om

kabels af te monteren!

Kant computer:

• een speciaal stopcontact inhouder en een patchkabeltussen stopcontact en com-puter

Kant switch:

• laat alle kabels eindigen opeen patch panel en verbindtelk stopcontact met de switch

Inleiding, hst. 1Een servergestuurd netwerk

(Windows 2008 R2)