雖然Windows Server 8 Beta在以Windows Server 2012為正式名稱,但鑑於Beta版包含MSDN官方下載點以及Technet的相關文件都還是使用Windows Server "8 Beta",故仍以"8"作為版號,以求本文與參考資料間的轉換閱讀上能夠較為順暢。
先提供Windows Server 8 系統需求:
•處理器:1.4 GHz的64位處理器以上*
•記憶體:512 MB RAM以上*
•可用硬碟空間:32 GB以上*
•DVD-ROM光碟機
•Super VGA(800×600)或更高解析度的顯示器
•鍵盤
•Microsoft Mouse或其他相容的指位設備
*註:32 GB是考慮能夠安裝成功的最小值。因為超過16 GB的RAM的電考將需要更多的分頁空間,提供休眠功能等等。
*註:實際需求會根據系統配置和您選擇安裝的應用程式和功能而不同
。處理器的性能是依賴於不僅是處理器的頻率,還有核心數目和處理器快取記憶體的大小。如果你是通過網路來安裝,可能需要額外的可用硬盤空間。
相對於Windows 8 Consumer Preview x86-64 (64-bit)的系統需求
•中央處理器:1GHz的64位處理器以上
•記憶體:2GB
•硬碟:20GB
看來要安裝Windows Server 8 Beta的門檻,比桌面版的Windows 8 Consumer Preview x86-64還要低,大概是因為有無GUI版的Server Core的關係吧,了解之後就知道如何設定虛擬機器的資源了。
─────────────────────────────────────
本文總共測試了安裝成功了兩種情境:
情境1. Host OS: windows xp professional 32bit
•虛擬機器軟體: Oracle VM VirtualBox
•Guest OS: Windows Server 8 Beta Server Core
•核心數配置: 2個
•記憶體配置: 512MB
•硬碟配置: 25GB
情境2. Host OS: windows 7 ultimate 64bit
•虛擬機器軟體: Oracle VM VirtualBox
•Guest OS: Windows Server 8 Beta
•核心數配置: 1個
•記憶體配置: 8GB
•硬碟配置: 25GB
─────────────────────────────────────
這邊要說明一下,Windows Server 8 只是64位元的作業系統,所以如果安裝在32bit的客體作業系統之下時,必須把進BIOS把vt-x/amd-v打開,這在情境一的情況發生過,而情境2我也有打開vt-x/amd-v,不過安裝的VirtualBox都是32位元的。
─────────────────────────────────────
▲ 由MSDN下載中心裡下載了英文版的windows server 8 beta版iso與多語套件iso。
▲ 使用virtual pc 2007卻無法進行安裝,可能是版本太舊的關係,有空再切到windows server 2008R2上使用Hyper-V安裝看看。
▲ 為了急著體驗windows server 8,所以試了一下VirtualBox,在XP與win7下都是可以完成安裝的,在VM的虛擬光碟機中掛載剛剛抓下來的iso擋。
▲ VirtualBox設定了8GB的實體記憶體,讀取哪一個版本的iso都在下面看得很清楚。
▲ 先來看必較簡單的Server core安裝,原來在windows server 2008R2(甚至於更早)就有server core這種無圖形化使用者介面的版本,有圖有真相。
▲ 另外,我依照官方說明的512MB來設定記憶體用量,安裝了Server Core的版本,大概20幾分鐘把windows server 8 server core安裝完畢,
▲ 整個主機再登入完畢之後,只有一個命令列視窗與Power Shell可以使用,有一種回到DOS時代的感覺,連如何關機一時間都迷惘了,DOS是直接關機,但Windows不能這樣吧!!!
實際在VM開關前後HOST OS的記憶體變化量來看,大概使用600MB的實體記憶體。
▲ 安裝過程很簡單,抓了許多圖,就先行略過。
▲ 在HOST OS中看到的資源使用狀態。
▲ 安裝完畢的桌面,整體介面走風與即將出爐微軟軟體有著類似的風格
▲ 選擇taskbar右下角要顯是哪一個小圖示,功能跟windows 7大同小異。
▲ 支援Ribbon介面。
─────────────────────────────────────
雖然基於類似的核心,相對於桌面版本強調使用者體驗以及操作方式,Server版的軟體重視的卻是資訊安全、高可用度,整個更新的重點很大部分
著重於Hyper-V、Active Directory與系統安全。如:CS(Certificate Services)、
DS(Domain Services)、RMS(Rights Management Services),還有Failover
Clustering、File Server Resource Manager、Kerberos Authentication、
TLS/SSL、Managed Service Accounts、Security Auditing等等。
─────────────────────────────────────
為了貼切這次徵文的主題─「雲端 X 行動 X 資安」,所以找出兩個主題來介紹。
「雲端」參考了這邊來源文章 What's new in Hyper-V
▲ 在Server Manager中,由Add Roles and Features Wizard選擇伺服器角色為Hyper-V。
■ Windows Server "8"的Hyper-V新功能摘要如下:
Client Hyper-V:用戶端Hyper-V支援桌面版本的視窗作業系統。其實這一項實際上是Windows 8 Consumer Preview的功能,如果這次體驗能夠在Windows 8 Consumer Preview上安裝Client Hyper-V然後再安裝Windows Server 8 beta,應該就是一個最完美的Preview了。在用戶端與主機端的Hyper-V虛擬機管理工具可以共用,例如VMM的P2V工具或Sysinternals DisktoVHD。Hyper-V virtual switch extensions 與使用於管理虛擬機器的Windows PowerShell scripts ,可以先行於Client Hyper-V 上測試,然後穩定後再轉移到Windows Server “8” Beta的Hyper-V上。
Disk2vhd v1.63:http://technet.microsoft.com/sysinternals/ee656415
Dynamic Memory:這個技術可以在同一台實體機器上,運行更多的虛擬機器。
不管是實體或者虛擬機器,由於作業系統啟動時所需要的記憶量較多,Dynamic Memory的原理就是可以設定給虛擬機器比開機時需要的更少記憶體,不需要去單純為了重開機時,而配置給虛擬機器所需要的足量記憶體。
Hyper-V module for Windows PowerShell:新的Hyper-V module for Windows PowerShell 包含超過16個管理Hyper-V、虛擬機器與虛擬硬碟的cmdlet,非常之方便。
Hyper-V Replica:為了企業服務不中斷以及災難復原的需求,新版的Hyper-V提供了新的抄寫功能,能夠在不同的儲存設備之間,進行虛擬機器的抄寫。
Live Migration:提供在非叢集作業環境中,使用live migration功能。並支援同時進行超過一個以上的live migration。
Resource metering:提供工具以追蹤與蒐集虛擬機器占用實體CPU、記憶體、存儲設備、網路設備的使用量。
Simplified authorization:在本機安全群組中增加Hyper-V Administrators群組,這樣就不用把Hyper-V的使用者加入本機管理員群組(Administrators)中了,增加系統使用安全性。
SR-IOV:支援虛擬機器直接使用實體網路界面卡,而不必透過虛擬網路界卡界面。以獲得single-root I/O virtualization (SR-IOV)的效能優點,將網路吞吐量最大化,並減低網路延遲與CPU的負荷。
Storage migration:當虛擬機器能在運行時,提供將一個虛擬硬碟由一顆實體硬碟機轉移到另一顆實體硬碟機的能力。
Storage on SMB2 file shares:在沒有存儲區域網絡(SAN)的情況之下,支援虛擬機器上使用共享儲存空間。
Virtual Fibre Channel:如同提供虛擬網路界卡界面一樣,為客體作業系統提供虛擬HBA卡界面,以支援連結到Fiber Channel 儲存設備。
Virtual NUMA:新一代之操作系統和高性能需求的應用程式,如SQL Server,當其於執行緒排程與配置記憶體時,考慮到NUMA與辨識電腦的NUMA拓撲,可以提高系統性能。虛擬NUMA使得Hyper-V為客體作業系統和NUMA感知的應用程式運行在Hyper-V虛擬機時,能夠支援NUMA性能優化的特性。
另外對於虛擬交換器、虛擬機器快照、虛擬硬碟格式、虛擬機器的匯入等等原有的功能,都做了改版與升級。
─────────────────────────────────────
■「資安」方面參考了這邊來源文章What's new in Smart Cards,介紹了智慧卡的新特性:
雖然Windows Server “8” Beta在正式版中即將正名為Windows Server 2012,
但一如Windows XP對應Windows 2000 Server,
由測試版或者稱預覽版的版號來看,就可以了解到Windows Server “8” Beta
與Windows 8 Consumer Preview在許多使用者體驗與功能上是對應的。
特別是在於像這種智慧卡的功能。
智慧卡與其關聯的PINs(personal identification numbers)應用有逐漸被重視
的趨勢,雙因素認證(two-factor authentication)更加的流行、可靠與高經濟效益。
而何謂雙因素認證,帳號是辨識身分的作用,雙因素指的是除了系統以明碼或
單向加密存放的密碼之外,另外提供一個安全的驗證載具。兩道關卡都要通過才可以
存取這個帳號。常見載具的有晶片卡、USB Token等實體載具。
智慧卡亦可取代權限管理方面,特別在三個情境特別有用,加強管理員帳號的安全性
以及強化遠端存取的安全性、還有特定應用軟體的安全性控管,例如利用自然人憑證
登入網路報稅軟體。
■ 新版(Windows Server “8” Beta 與Windows 8 Consumer Preview)的智慧卡功能:
虛擬智慧卡
虛擬智慧卡模擬了傳統虛擬智慧卡的功能,最大好處來自方便性與經濟效益,取代傳統的實體卡片與讀卡機。
▲ Windows Server 8建立虛擬智慧卡的指令tpmvscmgr.exe。
更多有關於虛擬智慧卡的介紹:Understanding and Evaluating Virtual Smart Cards
修正智慧卡服務的啟動與停止機制
智慧卡讀卡機的偵測邏輯被加入新版的作業系統中,讓智慧卡服務(scardsvr)僅於適當時機啟動,也就是插入智慧卡讀卡機時才啟動,移除時隨即停止。或者是系統啟動時,如果之前智慧卡讀卡機曾經插入過主機上,系統啟動時亦自動開啟,不過若偵測不到讀卡機,會於相關API被呼叫後的一分鐘停止服務。
智慧卡對於應用程式開發的支援性
新版的作業系統支援大量的新桌面應用程式,開發者應用了智慧卡強化了應用程式安全性的同時,必須注意以下幾點限制:
•對於Metro-style 的應用程式,智慧卡只被侷限於SSL用戶端的認證。
•運行在AppContainer的應用程式必須於manifest中指定有SharedUserCertificates Capabilities,否則不能只用智慧卡來認證、登入或者加密。
或許者聽起來對於沒有相關開發經驗的人很難理解, manifest就把他想成是一個
XML檔案,裡面的標籤如下
Manifest說明了應用程式的安裝方式,Capabilities這個元素告知作業系統
這支應用程式能夠做甚麼,如果開發者希望應用程式能夠讀取憑證或者金鑰,
則必須指定名為sharedUserCertificates的Capability。
─────────────────────────────────────
最後就是介紹如何關機,若只安裝核心版本,就只有一個命令列介面出現,找不到關機的按鈕,試著下指令(shutdown -s)關機。
▲ 下指令(shutdown -s)關機。
▲ 關機中。
─────────────────────────────────────
限於篇幅限制,有些有實用的lab也就無法一一分享了,茲提供連結供大家參考:
Test Lab Guide: Deploying an AD CS Two Tier PKI Hierarchy
─────────────────────────────────────
▲ 由MSDN下載中心裡下載了英文版的windows server 8 beta版iso與多語套件iso。
▲ 使用virtual pc 2007卻無法進行安裝,可能是版本太舊的關係,有空再切到windows server 2008R2上使用Hyper-V安裝看看。
▲ 為了急著體驗windows server 8,所以試了一下VirtualBox,在XP與win7下都是可以完成安裝的,在VM的虛擬光碟機中掛載剛剛抓下來的iso擋。
▲ VirtualBox設定了8GB的實體記憶體,讀取哪一個版本的iso都在下面看得很清楚。
▲ 先來看必較簡單的Server core安裝,原來在windows server 2008R2(甚至於更早)就有server core這種無圖形化使用者介面的版本,有圖有真相。
▲ 另外,我依照官方說明的512MB來設定記憶體用量,安裝了Server Core的版本,大概20幾分鐘把windows server 8 server core安裝完畢,
▲ 整個主機再登入完畢之後,只有一個命令列視窗與Power Shell可以使用,有一種回到DOS時代的感覺,連如何關機一時間都迷惘了,DOS是直接關機,但Windows不能這樣吧!!!
實際在VM開關前後HOST OS的記憶體變化量來看,大概使用600MB的實體記憶體。
▲ 安裝過程很簡單,抓了許多圖,就先行略過。
▲ 在HOST OS中看到的資源使用狀態。
▲ 安裝完畢的桌面,整體介面走風與即將出爐微軟軟體有著類似的風格
▲ 選擇taskbar右下角要顯是哪一個小圖示,功能跟windows 7大同小異。
▲ 支援Ribbon介面。
─────────────────────────────────────
雖然基於類似的核心,相對於桌面版本強調使用者體驗以及操作方式,Server版的軟體重視的卻是資訊安全、高可用度,整個更新的重點很大部分
著重於Hyper-V、Active Directory與系統安全。如:CS(Certificate Services)、
DS(Domain Services)、RMS(Rights Management Services),還有Failover
Clustering、File Server Resource Manager、Kerberos Authentication、
TLS/SSL、Managed Service Accounts、Security Auditing等等。
─────────────────────────────────────
為了貼切這次徵文的主題─「雲端 X 行動 X 資安」,所以找出兩個主題來介紹。
「雲端」參考了這邊來源文章 What's new in Hyper-V
▲ 在Server Manager中,由Add Roles and Features Wizard選擇伺服器角色為Hyper-V。
■ Windows Server "8"的Hyper-V新功能摘要如下:
Client Hyper-V:用戶端Hyper-V支援桌面版本的視窗作業系統。其實這一項實際上是Windows 8 Consumer Preview的功能,如果這次體驗能夠在Windows 8 Consumer Preview上安裝Client Hyper-V然後再安裝Windows Server 8 beta,應該就是一個最完美的Preview了。在用戶端與主機端的Hyper-V虛擬機管理工具可以共用,例如VMM的P2V工具或Sysinternals DisktoVHD。Hyper-V virtual switch extensions 與使用於管理虛擬機器的Windows PowerShell scripts ,可以先行於Client Hyper-V 上測試,然後穩定後再轉移到Windows Server “8” Beta的Hyper-V上。
Disk2vhd v1.63:http://technet.microsoft.com/sysinternals/ee656415
Dynamic Memory:這個技術可以在同一台實體機器上,運行更多的虛擬機器。
不管是實體或者虛擬機器,由於作業系統啟動時所需要的記憶量較多,Dynamic Memory的原理就是可以設定給虛擬機器比開機時需要的更少記憶體,不需要去單純為了重開機時,而配置給虛擬機器所需要的足量記憶體。
Hyper-V module for Windows PowerShell:新的Hyper-V module for Windows PowerShell 包含超過16個管理Hyper-V、虛擬機器與虛擬硬碟的cmdlet,非常之方便。
Hyper-V Replica:為了企業服務不中斷以及災難復原的需求,新版的Hyper-V提供了新的抄寫功能,能夠在不同的儲存設備之間,進行虛擬機器的抄寫。
Live Migration:提供在非叢集作業環境中,使用live migration功能。並支援同時進行超過一個以上的live migration。
Resource metering:提供工具以追蹤與蒐集虛擬機器占用實體CPU、記憶體、存儲設備、網路設備的使用量。
Simplified authorization:在本機安全群組中增加Hyper-V Administrators群組,這樣就不用把Hyper-V的使用者加入本機管理員群組(Administrators)中了,增加系統使用安全性。
SR-IOV:支援虛擬機器直接使用實體網路界面卡,而不必透過虛擬網路界卡界面。以獲得single-root I/O virtualization (SR-IOV)的效能優點,將網路吞吐量最大化,並減低網路延遲與CPU的負荷。
Storage migration:當虛擬機器能在運行時,提供將一個虛擬硬碟由一顆實體硬碟機轉移到另一顆實體硬碟機的能力。
Storage on SMB2 file shares:在沒有存儲區域網絡(SAN)的情況之下,支援虛擬機器上使用共享儲存空間。
Virtual Fibre Channel:如同提供虛擬網路界卡界面一樣,為客體作業系統提供虛擬HBA卡界面,以支援連結到Fiber Channel 儲存設備。
Virtual NUMA:新一代之操作系統和高性能需求的應用程式,如SQL Server,當其於執行緒排程與配置記憶體時,考慮到NUMA與辨識電腦的NUMA拓撲,可以提高系統性能。虛擬NUMA使得Hyper-V為客體作業系統和NUMA感知的應用程式運行在Hyper-V虛擬機時,能夠支援NUMA性能優化的特性。
另外對於虛擬交換器、虛擬機器快照、虛擬硬碟格式、虛擬機器的匯入等等原有的功能,都做了改版與升級。
─────────────────────────────────────
■「資安」方面參考了這邊來源文章What's new in Smart Cards,介紹了智慧卡的新特性:
雖然Windows Server “8” Beta在正式版中即將正名為Windows Server 2012,
但一如Windows XP對應Windows 2000 Server,
由測試版或者稱預覽版的版號來看,就可以了解到Windows Server “8” Beta
與Windows 8 Consumer Preview在許多使用者體驗與功能上是對應的。
特別是在於像這種智慧卡的功能。
智慧卡與其關聯的PINs(personal identification numbers)應用有逐漸被重視
的趨勢,雙因素認證(two-factor authentication)更加的流行、可靠與高經濟效益。
而何謂雙因素認證,帳號是辨識身分的作用,雙因素指的是除了系統以明碼或
單向加密存放的密碼之外,另外提供一個安全的驗證載具。兩道關卡都要通過才可以
存取這個帳號。常見載具的有晶片卡、USB Token等實體載具。
智慧卡亦可取代權限管理方面,特別在三個情境特別有用,加強管理員帳號的安全性
以及強化遠端存取的安全性、還有特定應用軟體的安全性控管,例如利用自然人憑證
登入網路報稅軟體。
■ 新版(Windows Server “8” Beta 與Windows 8 Consumer Preview)的智慧卡功能:
虛擬智慧卡
虛擬智慧卡模擬了傳統虛擬智慧卡的功能,最大好處來自方便性與經濟效益,取代傳統的實體卡片與讀卡機。
▲ Windows Server 8建立虛擬智慧卡的指令tpmvscmgr.exe。
更多有關於虛擬智慧卡的介紹:Understanding and Evaluating Virtual Smart Cards
修正智慧卡服務的啟動與停止機制
智慧卡讀卡機的偵測邏輯被加入新版的作業系統中,讓智慧卡服務(scardsvr)僅於適當時機啟動,也就是插入智慧卡讀卡機時才啟動,移除時隨即停止。或者是系統啟動時,如果之前智慧卡讀卡機曾經插入過主機上,系統啟動時亦自動開啟,不過若偵測不到讀卡機,會於相關API被呼叫後的一分鐘停止服務。
智慧卡對於應用程式開發的支援性
新版的作業系統支援大量的新桌面應用程式,開發者應用了智慧卡強化了應用程式安全性的同時,必須注意以下幾點限制:
•對於Metro-style 的應用程式,智慧卡只被侷限於SSL用戶端的認證。
•運行在AppContainer的應用程式必須於manifest中指定有SharedUserCertificates Capabilities,否則不能只用智慧卡來認證、登入或者加密。
或許者聽起來對於沒有相關開發經驗的人很難理解, manifest就把他想成是一個
XML檔案,裡面的標籤如下
<Capabilities>
<Capability Name="internetClient" />
<Capability Name="privateNetworkClientServer" />
<Capability Name="sharedUserCertificates" />
</Capabilities>
Manifest說明了應用程式的安裝方式,Capabilities這個元素告知作業系統
這支應用程式能夠做甚麼,如果開發者希望應用程式能夠讀取憑證或者金鑰,
則必須指定名為sharedUserCertificates的Capability。
─────────────────────────────────────
最後就是介紹如何關機,若只安裝核心版本,就只有一個命令列介面出現,找不到關機的按鈕,試著下指令(shutdown -s)關機。
▲ 下指令(shutdown -s)關機。
▲ 關機中。
─────────────────────────────────────
限於篇幅限制,有些有實用的lab也就無法一一分享了,茲提供連結供大家參考:
Test Lab Guide: Deploying an AD CS Two Tier PKI Hierarchy
