Activating Windows Core Server 2008

Для активации Windows Core Server 2008 надо ввести в командной строке

slmgr /ato

Настройка центров сертификации root ca на Windows Server 2003. Part 2

Всем привет. Итак, я продолжаю описывать настройку корневого центра сертификации.У Вас есть установленный корневой центр сертификации, как описано в предыдущей статье.

Проверка Сертификата Root CA

В командной строке вводим:

certutil –ca.cert corporateRootCA.cer

В ответ получаем хеш. Чтобы проверить сертификат в читабельном виде, вводим

certutil.exe corporateRootCA.cer

Здесь надо проверить, что срок жизни сертификата 10 лет (у Вас будет свое содержимое):

Signature Algorithm:Algorithm ObjectId: 1.2.840.113549.1.1.5  sha1RSAIssuer:  CN=CorporateRootCANotBefore: 6/5/2002 7:47 PMNotAfter: 6/5/2012 7:54 PMSubject:  CN=CorporateRootCA

Проверка конфигурационной информации CorporateRootCA
В командной строке вводим:

certutil –cainfo

И проверяем тип СА. Результат должен быть схожим с выводом:

CA type: 3 -- Stand-alone Root CAENUM_STANDALONE_ROOTCA -- 3

Проверяем пути

certutil –getreg

ConfigurationDirectory   REG_SZ =  \\concorp-ca-00\CertConfigDBDirectory              REG_SZ =  C:\WINDOWS\system32\CertLogDBLogDirectory           REG_SZ =  C:\WINDOWS\system32\CertLogDBSystemDirectory        REG_SZ =  C:\WINDOWS\system32\CertLogDBTempDirectory          REG_SZ =  C:\WINDOWS\system32\CertLog

Так, с проверкой закончили, теперь можно приступить к настройке.

Настройка Offline Root CA


Так как данный компьютер не входит в домен и не может автоматически публиковать CRL листы, то для него надо прописать прописать ключ в реестре:

certutil.exe –setreg ca\DSConfigDN CN=Configuration,DC=concorp,DC=contoso,DC=com

где DC=concorp,DC=contoso,DC=com имя вашего корневого домена леса AD. В моем случае это было DC=HornsAndHooves,DC=com. Эти настройки необходимы для CRLs и CA сертификатов (AIA), которые опубликованы в Active Directory.

Настройка точек распространения для CRL и AIA

certutil -getreg ca\CRLPublicationURLs

CRLPublicationURLs REG_MULTI_SZ =    0: 65:C:\WINDOWS\system32\CertSrv\CertEnroll\%3%8%9.crl    CSURL_SERVERPUBLISH -- 1    CSURL_SERVERPUBLISHDELTA -- 40 (64)     1: 79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10    CSURL_SERVERPUBLISH -- 1    CSURL_ADDTOCERTCDP -- 2    CSURL_ADDTOFRESHESTCRL -- 4    CSURL_ADDTOCRLCDP -- 8    CSURL_SERVERPUBLISHDELTA -- 40 (64)     2: 6:http://%1/CertEnroll/%3%8%9.crl    CSURL_ADDTOCERTCDP -- 2    CSURL_ADDTOFRESHESTCRL -- 4     3: 0:file://\\%1\CertEnroll\%3%8%9.crl

Теперь нам необходимо сконфигурировать правильные пути размещения CRL и AIA. Итак,
1. Нажимаем Start, All Programs, Administrative Tools, и выбираем Certification Authority.
2. Выбираем наш центр сертификации, кликаем по нему правой мышью, и выбираем Properties.

3. Заходим на вкладку Extensions.

Настройка точек распространения для CRL

Для начала, необходимо удалить все точки распространения CRL , кроме локальной.

1. На вкладке Extensions в Select extension выбираем CRL Distribution Point (CDP).

2. В Specify location from which users can obtain a certificate revocation list (CRL) выбираем LDAP, и кликаем по Remove.
3. Удаляем все, кроме локальной CRL.

Так, поудаляли все ненужное, теперь пришла пора создать новые точки распространения. Заполняем все, согласно таблице ниже, единственное что, в протоколе HTTP заменяем на имя своего внешнего домена. Также желательно www заменять на crl, чтобы не делать алиас www на контроллере домена. Итак, таблица:
List of CRL Distribution Points for CorporateRootCA

Access protocol	CRL distribution point
[local]	C:\WINDOWS\system32\CertSrv\CertEnroll\%3%8%9.crl
HTTP	http://www.contoso.com/pki/%3%8%9.crl
LDAP	Ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10

Путь [local] должен указывать текущий каталог Windows

Чтобы добавить точки распространения, необходимо нажать кнопку Add, и скопировать пути из таблицы.
После того, как пути введены, надо расставить птички из таблицы ниже:

Table 15 CRL Distribution Point Properties

CRL distribution point property	File	HTTP	LDAP
Publish CRLs to this location check box	Select	N/A	Clear
Include in all CRLs check box	N/A	N/A	Select
Include in CRLs check box	N/A	Clear	Select
Include in the CDP extension of issued certificates check box	N/A	Select	Select
Publish delta CRLs to this location check box	Clear	N/A	Clear

Настройка точек распространения для AIA
1. Заходим туда, куда и в предыдущем пункте, только выбираем Authority Information Access (AIA).
2. В Specify locations from which users can obtain the certificate for this CA выбрать LDAP и нажать кнопку Remove.
3. Удалить все, кроме локального пути.
4. Далее, создаем новые пути, согласно таблице, но заменяя на свои реальные имена.

List of AIA CRL Distribution Points for Contoso

Access protocol	AIA Distribution Point
[local]	D:\WINDOWS\system32\CertSrv\CertEnroll\%1_%3%4.crt
HTTP	http://www.contoso.com/pki/%1_%3%4.crt
LDAP	ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11

5. Далее, ставим птички в созданных точках распространения, согласно таблице:

AIA Properties

AIA property	FILE	HTTP	LDAP
Include in the AIA extension of issued certificates check box	N/A	Select	Select
Include in the online certificate status protocol (OCSP) extension check box	N/A	Clear	Clear

Проверка правильности настройки CorporateRootCA CRL и AIA
Поскольку конфигурация точек распространения CRL и AIA очень важна, проверьте свою конфигурацию, сделав одно из следующих действий:

If your CA is running	Do this
A member of the Windows 2000 Server family	At a command prompt, type the following commands, pressing ENTER after each line: certutil –getreg policy\RevocationCRLURL certutil –getreg policy\LDAPRevocationCRLURL certutil –getreg policy\FileRevocationCRLURL
A member of the Windows 2003 Server family	At a command prompt, type the following command, and press ENTER: certutil –getreg ca\CRLPublicationURLs

Далее сверяем вывод с тем, что мы ввели в предыдущем разделе.

Если все правильно, то продолжаем:

If your CA is running	Do this
A member of the Windows 2000 Server family	At a command prompt, type the following commands, pressing ENTER after each line: certutil –getreg policy\IssuerCertURL certutil –getreg policy\LDAPIssuerCertURL certutil –getreg policy\FileIssuerCertURL
A member of the Windows 2003 Server family	At a command prompt, type the following commands, pressing ENTER after each line: certutil –getreg ca\CACertPublicationURLs

Проверяем, что вывод схож с тем, как на примере:

CACertPublicationURLs REG_MULTI_SZ =    0: 1:D:\WINDOWS\system32\CertSrv\CertEnroll\%1_%3%4.crt    CSURL_SERVERPUBLISH -- 1    1: 2:ldap:///CN=%7,CN=AIA,CN=Public KeyServices,CN=Services,%6%11    CSURL_ADDTOCERTCDP -- 2    2: 2:http://www.contoso.com/pki/%1_%3%4.crt    CSURL_ADDTOCERTCDP -- 2

Настройка интервала рубликации CRL
После настройки точки распространения CRL, мы должны сконфигурировать интервал публикации CRL. Чтобы это сделать, надо:
1. Нажать Start, Programs, Administrative Tools, и выбрать Certification Authority.
2. В дереве консоли слева, делаем правый клик по Revoked Certificates, и выбираем Properties.
3. В секции CRL publication interval, необходимо интервал, и выбрать единицу измерения времени. В моем случае это 6 месяцев.
4. Проверить, что напротив пункта Publish Delta CRLs не стоит птичка.

Переиздание CorporateRootCA CRL
В консоли Certification Authority делаем правый клик по Revoked Certificates и в меню All Tasks нажимаем Publish. В открывшемся окне выбираем New CRL. Новый CRL опубликован.
Также можно опубликовать CRL с командной строки, надо ввести

certutil -CRL

Вот

Установка Radius на Windows Server 2003

Всем привет. Итак, мы двигаемся к тому, чтобы всю инфраструктуру безопасно опубликовать в Инете. Для этого, из соображений безопасности, нам необходима система аутентификации, которая не будет напрямую связана с AD. Для этого нам подойдет Radius. Чтобы попусту не тратить и без того ценные ресурсы физического сервера, делаем простую виртуалочку с 512 метрами памяти, туда ставим 2003 Винду, сразу на нее одеваем 2й сервис пак, после чего ставим средства интеграции Hyper-V.
После того как средства интеграции проставлены, вводим машину в домен и приступаем у к установке Radius. Для этого заходим в Control Panel, там заходим в Add\Remove Programs, потом во вкладку Add\Remove Windows Components.
В окне Windows Components Wizard выбираем Networking Service и жмем Details.
В диалоговом окне Network Services выбираем Internet Authentication Services и жмем OK. Далее Next и Finish.
Далее нам необходимо зарегистрировать наш сервер. Для этого в командной строке надо ввести:

netsh ras add registeredserver

Далее неплохо бы настроить правильно логирование. Для этого создаем папку в удобном для Вас месте, например, D:\Radius_Logs.
Заходим в Control Panel, Administrative Tools, Internet Authentication Service.
Там в левой секции находим Remote Access Logging , и в правой секции выбираем Local File. На вкладке Settings проставляем все птички, а на вкладке Log File нажимаем кнопку Browse... и выбираем нашу папку D:\Radius_Logs.

Так, сервер установлен. Всю дальнейшую настройку будем делать потом.

Настройка второго Domain Controller на Windows Core Server 2008 R2

Всем большой привет. Во-первых, хочу всех поздравить с наступившими Новогодними и Рождественскими праздниками. Пускай всегда успех и удача будет с Вами.
Хочу сейчас описать настройку второго контроллера домена на Windows Core Server 2008 R2. Почему я выбрал именно Core? Из-за того, что наша тестовая инфраструктура развернута на Hyper-V, то есть для экономии и без того ценных ресурсов. Тем более, что для реплики контроллера домена много ресурсов и не надо...
Итак. Для начала у нас должна быть уже развернута инфраструктура Active Directory, т.е. должен быть первый Контроллер Домена. Далее, при его установке, желательно, сохранить в файл сведения для установки домена в режиме unattend. Просто этот файл нам понадобится на Core Server. Для того, чтобы мне поднять реплику домена, мне пришлось на тестовой машине делать dcpromo и выгружать данные в файл...
Давайте назовем наш домен, к примеру, HornsAndHooves.com. Именование компьютеров будет ks-* для серверов, и k-* для клиентов. Наш первый домен контроллер называется ks-dc1, второй будет ks-dc2 соответственно.
Итак, приступим.  Для начала надо поставить систему. Для этого вполне подойдет Windows Core Server 2008 R2 Standard Edition. Итак, поставили. Далее в командной строке пишем

sconfig

В открывшемся меню настроиваем Имя компа (меню 2), принадлежность к домену (1), далее настраиваем Remote Management (4), обязательно необходимо включить удаленный рабочий стол (7), установить правильную дату и время (9), ну и, конечно-же, настроить статический сетевой адрес (8).

Теперь необходимо создать текстовый файл примерно следующего содержания:

; DCPROMO unattend file (automatically generated by dcpromo)
; Usage:
;   dcpromo.exe /unattend:C:\ks-dc2.txt
;
; You may need to fill in password fields prior to using the unattend file.
; If you leave the values for "Password" and/or "DNSDelegationPassword"
; as "*", then you will be asked for credentials at runtime.
;
[DCInstall]
; Replica DC promotion
ReplicaOrNewDomain=Replica
ReplicaDomainDNSName=HornsAndHooves.com
SiteName=Default-First-Site-Name
InstallDNS=Yes
ConfirmGc=Yes
CreateDNSDelegation=No
UserDomain=HornsAndHooves.com
UserName=hahs\administrator
Password=*
DatabasePath="C:\hahs\NTDS"
LogPath="C:\hahs\NTDS_Logs"
SYSVOLPath="C:\hahs\SYSVOL"
; Set SafeModeAdminPassword to the correct value prior to using the unattend file
SafeModeAdminPassword=password
; Run-time flags (optional)
; CriticalReplicationOnly=Yes
; RebootOnCompletion=Yes

Назовем этот файл ks-dc2.txt и положим его на диск c: будущей реплики контроллера домена.
Что обозначают эти команды можно почитать тут
После того, как файл лежит на серваке, то можно дать следующую команду:

dcpromo.exe /unattend:C:\ks-dc2.txt

Система попросит ввести пароль администратора домена. После того, как все будет установлено, сервер перезагрузиться сам. После перезагрузки сервер будет работать как второй контроллер домена с Global Catalog и DNS сервером.