0118 windows server 2008 的伺服器核心 (server core)
TRANSCRIPT
資深講師 趙驚人資深講師 趙驚人
Windows Server 2008 Server CoreWindows Server 2008 Server Core
Windows Server 2008 Server Core
• 概論
• 架構
• 部署
• 指令
• 技巧
涵蓋的項目
Server Core 概論
• Server Core 是:• Windows Server 2008 的一種最小安裝• Included in the general purpose Windows Server
2008 SKUs• 支援 x86 和 x64
• Server Core
•提供最小的 OS 功能
•最少的介面
Server Core 概論(續)
• Server Core 包含• 可扮演的角色
– DHCP, File, Print, AD, AD LDS, Media Services, and DNS
• 下列選擇性的特性– WINS, Failover Clustering, Subsystem for UNIX-
based applications, Backup, Multipath IO, Removable Storage Management, Bitlocker Drive Encryption, SNMP, Telnet Client, QoS
• 指令介面,沒有圖形介面
Server Core 桌面
Server Core
• 安裝最小化安裝模式
• 命令列管理介面
• 簡化管理
• 減少受攻擊的可能伺服器角色伺服器角色
Server CoreServer CoreSecurity, TCP/IP, File Systems, RPC,Security, TCP/IP, File Systems, RPC,plus other Core Server Sub-Systemsplus other Core Server Sub-Systems
DNSDNS DHCPDHCP FileFile ADAD
GUI, CLR, IE, GUI, CLR, IE, Media Player, Media Player,
Outlook Express, Outlook Express, ……
Server Core
資料夾內容
System32 資料夾的內容 – Server CoreSystem32 資料夾的內容 – Server Core
System32 資料夾的內容 – 完整安裝System32 資料夾的內容 – 完整安裝
Server Core 架構
Server Core Server RolesServer Core Server Roles
Server CoreServer CoreSecurity, TCP/IP, File Systems, RPC,Security, TCP/IP, File Systems, RPC,plus other Core Server Sub-Systemsplus other Core Server Sub-Systems
DNSDNS DHCPDHCP FileFileADAD
ServerServerWith .NetFx, Shell, Tools, etc.With .NetFx, Shell, Tools, etc.
TSTS IASIAS WebWebServerServer
ShareSharePointPoint Etc…Etc…
GUI, CLR, GUI, CLR, Shell, IE, Shell, IE,
Media, OE, Media, OE, Etc.Etc.
Server, Server RolesServer, Server Roles
ADADLDSLDS
MediaMediaServerServer
IIS 7IIS 7 WVSWVS PrintPrint
Server Core
Core Subsystems
Security (Logon scenarios) Networking (TCP/IP)File SystemsRPCWinlogonNecessary dependencies
Resolved category dependenciesHALKernelVGALogonetc.
HW Support componentsDiskNet cardetc.
DHCP server role
Infrastructure features
Command shellDomain joinEvent LogPerf counter infra.WS-ManagementWMI infrastructureLicensing serviceWFPHTTP supportIPSec
“Thin” Management tools (Local and remote)Configure IP addressJoin a domainCreate usersetc.
DNS server role
File server role
Domain Controller
role
WINS server roleServer Roles Optional Features
部署 Server Core
• 安裝時可以選擇兩種安裝模式 :
完整安裝
Server Core 安裝
• Server Core 的初始設定可以透過 :
命令列工具
使用 unattend 檔自動安裝
• 只能使用乾淨的安裝,不能升級 !
自動安裝 Server Core
• 使用和 使用和 Windows Vista Windows Vista 或 或 Windows Server 2003 Windows Server 2003 一樣的一樣的unattend unattend 檔格式檔格式
• 可以透過選項設定修改 可以透過選項設定修改 Server Core Server Core 的 的 RegistryRegistry例如解析度、顏色 例如解析度、顏色 ……
<settings pass="oobeSystem"><settings pass="oobeSystem"><component name="Microsoft-Windows-Shell-Setup"<component name="Microsoft-Windows-Shell-Setup"
ublicKeyToken="31bf3856ad364e35" ublicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" language="neutral" versionScope="nonSxS" processorArchitecture="x86">processorArchitecture="x86">
<Display><Display><HorizontalResolution>1024</HorizontalResolution><HorizontalResolution>1024</HorizontalResolution><VerticalResolution>768</VerticalResolution><VerticalResolution>768</VerticalResolution><ColorDepth>16</ColorDepth><ColorDepth>16</ColorDepth>
</Display></Display></component></component>
</settings></settings>
沒有升級安裝
• 只支援全新安裝只支援全新安裝• 無法從先前的無法從先前的 Windows ServerWindows Server 升級升級• 無法將 無法將 Server Core Server Core 升級成完整且圖形介面的升級成完整且圖形介面的 Windows Windows
Server 2008Server 2008• 無法將完整且圖形介面的無法將完整且圖形介面的 Windows Server 2008Windows Server 2008 轉成轉成
Server Core Server Core
角色和功能安裝與管理
• OCList.exeOCList.exe• 只有在 只有在 Server Core Server Core 才有的指令才有的指令• 列出所有可以用的 列出所有可以用的 Roles Roles 和 和 Features Features 套件套件• 還可以標示出那一個套件已安裝還可以標示出那一個套件已安裝
• OCSetup.exeOCSetup.exe• 安裝 安裝 Roles Roles 或 或 FeaturesFeatures
新增伺服器角色
• 使用 使用 Ocsetup Ocsetup 指令來安裝指令來安裝DHCP = DHCPServerCore DHCP = DHCPServerCore
DNS = DNS-Server-Core-Role DNS = DNS-Server-Core-Role
File = File-Server-Core-Role File = File-Server-Core-Role
File Replication service = FRS-InfrastructureFile Replication service = FRS-Infrastructure
Distributed File System service = DFSN-ServerDistributed File System service = DFSN-Server
Distributed File System Replication = DFSR-Infrastructure-ServerEditionDistributed File System Replication = DFSR-Infrastructure-ServerEdition
Network File System = ServerForNFS-BaseNetwork File System = ServerForNFS-Base
Media Server = MediaServerMedia Server = MediaServer
• Active DirectoryActive DirectoryDcpromo /unattend:UnattendfileDcpromo /unattend:Unattendfile
Dcpromo Dcpromo 用來安裝用來安裝 Active DirectoryActive Directory
Ocsetup Ocsetup 不支援不支援 Active DirectoryActive Directory
Server Core 上的 IIS 7.0
• 不包含不包含 ::
管理服務與圖形使用者介面工管理服務與圖形使用者介面工具具
ASP.NETASP.NET
PowerShell cmdletsPowerShell cmdlets
• 可以被 可以被 IIS PowerShell cmdlets IIS PowerShell cmdlets
或或 managed code managed code 遠端管理遠端管理• 一樣可以安裝所需的模組一樣可以安裝所需的模組
IIS-WebServerRole IIS-FTPPublishingService IIS-FTPServer IIS-WebServer IIS-ApplicationDevelopment IIS-CommonHttpFeatures IIS-HealthAndDiagnostics IIS-Performance IIS-Security
IIS-WebServerManagementTools IIS-IIS6ManagementCompatibility IIS-ManagementScriptingToolsWAS-WindowsActivationService WAS-ProcessModel
其他可用的功能
• 使用 使用 Ocsetup Ocsetup 指令來安裝指令來安裝Failover Cluster = FailoverCluster-CoreFailover Cluster = FailoverCluster-Core
Network Load Balancing = NetworkLoadBalancingHeadlessServerNetwork Load Balancing = NetworkLoadBalancingHeadlessServer
Subsystem for UNIX-bases applications = SUASubsystem for UNIX-bases applications = SUA
Multipath IO = Microsoft-Windows-MultipathIOMultipath IO = Microsoft-Windows-MultipathIO
Removable Storage Management = Microsoft-Windows-Removable Storage Management = Microsoft-Windows-
RemovableStorageManagementCoreRemovableStorageManagementCore
Bitlocker Drive Encryption = BitLockerBitlocker Drive Encryption = BitLocker
Backup = WindowsServerBackupBackup = WindowsServerBackup
Simple Network Management Protocol (SNMP) = SNMP-SCSimple Network Management Protocol (SNMP) = SNMP-SC
Telnet Client = TelnetClientTelnet Client = TelnetClient
WINS = WINS-SCWINS = WINS-SC
解除安裝角色與功能
• 使用使用 Ocsetup Ocsetup 加上加上 /uninstall /uninstall 參數參數
除了除了 Active Directory Active Directory 之外之外• 必須使用必須使用 DCPromo DCPromo 來移除 來移除 ADAD• DCPromo DCPromo 會一併移除 會一併移除 AD AD 的相關檔案和程式的相關檔案和程式
• 無法遠端進行 無法遠端進行 roles roles 和和 features features 的安裝與移除的安裝與移除
Oclist.exe
• 只存在於只存在於 Server CoreServer Core 的指令的指令
• 列出伺服器角色和選擇性特性套件名稱列出伺服器角色和選擇性特性套件名稱
• 列出套件是否安裝列出套件是否安裝
管理 Server Core
• 本機使用 本機使用 cmd.execmd.exe
• 遠端透過 遠端透過 Terminal Server Terminal Server 使用 使用 cmd.execmd.exe
• WinRM * WinRSWinRM * WinRS
• WMIWMI
遠端使用以 遠端使用以 WMI WMI 為基礎的 為基礎的 PowerShell PowerShell 腳本與 腳本與 cmdletscmdlets
• 使用 使用 Task Scheduler Task Scheduler 進行工作排程進行工作排程• 事件記錄與事件轉送事件記錄與事件轉送• 支援遠端 支援遠端 MMC MMC 管理 管理 (( 透過 透過 RPC RPC 與 與 DCOM)DCOM)
• SNMPSNMP
• .vbs, .js, .wsf ….vbs, .js, .wsf … 等 等 WSH WSH 腳本腳本
SCRegEdit.wsf
• 只並不是所有的工作都可以在命令列或遠端中做只並不是所有的工作都可以在命令列或遠端中做• Server Core Server Core 內建 內建 SCRegEdit.wsf SCRegEdit.wsf 腳本腳本 ::
啓用自動更新啓用自動更新
啓用 啓用 Terminal Server Remote Admin ModeTerminal Server Remote Admin Mode
啓用遠端啓用遠端 IPSec Monitor IPSec Monitor 管理管理
設定 設定 DNS SRV DNS SRV 記錄的權重和優先權記錄的權重和優先權• 可以使用 可以使用 /cli /cli 參數來列出常用的命令列工具與參數參數來列出常用的命令列工具與參數• 位於 位於 \Windows\System32\Windows\System32
使用 Windows Remote Shell 管理
• Windows Remote Management (WinRM) Windows Remote Management (WinRM)
WS-ManagementWS-Management
• Windows Remote Shell (WinRS)Windows Remote Shell (WinRS)
支援 支援 Windows Vista / Windows Server 2008Windows Vista / Windows Server 2008
只能執行命令列工具或腳本只能執行命令列工具或腳本
不支援互動模式不支援互動模式• 例如例如 : ": " 請按任意鍵繼續 請按任意鍵繼續 …… ""
設定 WinRM
• 使用命令列使用命令列WinRM quickconfigWinRM quickconfig
• 使用 使用 unattend unattend 檔檔在 在 <settings pass=“specialize”> <settings pass=“specialize”> 區段中加入區段中加入 ::<component <component
name=“Microsoft-Windows-Web-Services-for-Management-Core” name=“Microsoft-Windows-Web-Services-for-Management-Core” publicKeyToken=“31bf3856ad364e35” language=“neutral” publicKeyToken=“31bf3856ad364e35” language=“neutral” versionScope=“nonSxS” processorArchitecture=“x86”>versionScope=“nonSxS” processorArchitecture=“x86”>
<ConfigureWindowsRemoteManagement><ConfigureWindowsRemoteManagement>truetrue
</ConfigureWindowsRemoteManagement> </ConfigureWindowsRemoteManagement> </component></component>
• 也可以使用群組原則來設定也可以使用群組原則來設定
使用 WinRS
• WinRS -r:<WinRS -r:< 遠端主機遠端主機 > > 命令命令
遠端主機可以是遠端主機可以是 ::• -r:https://myserver.com-r:https://myserver.com• -r:myserver-r:myserver• -r:http://127.0.0.1-r:http://127.0.0.1• -r:http://169.51.2.101:80-r:http://169.51.2.101:80
例如例如• winrs -r:myserver dir c:\windows\system32\*.dllwinrs -r:myserver dir c:\windows\system32\*.dll
WinRS 範例 • 啓用 啓用 Terminal Services Terminal Services 遠端管理遠端管理
winrs -r:myserver cscript \windows\system32\scregedit.wsf /ar 0winrs -r:myserver cscript \windows\system32\scregedit.wsf /ar 0
• 允許舊的 允許舊的 TS TS 用戶端 用戶端 (Vista (Vista 之前之前 ))
winrs -r:myserver cscript \windows\system32\scregedit.wsf /cs 0winrs -r:myserver cscript \windows\system32\scregedit.wsf /cs 0
• 加入網域加入網域winrs -r:myserver netdom add myserver /domain:testdomain winrs -r:myserver netdom add myserver /domain:testdomain
/userd:administrator /passwordd:<password>/userd:administrator /passwordd:<password>
• 將網域管理員加入本機管理者群組將網域管理員加入本機管理者群組winrs -r:myserver net localgroup administrators testdomain\administrator winrs -r:myserver net localgroup administrators testdomain\administrator
/add/add
Server Core 硬體管理
• Server Core Server Core 支援隨插即用硬體支援隨插即用硬體會在背景自動安裝驅動程式會在背景自動安裝驅動程式
• 如果沒有內建驅動程式 如果沒有內建驅動程式 ……手動拷貝驅動程式檔案到 手動拷貝驅動程式檔案到 Server Core Server Core 中中pnputil -i -a driverinfpnputil -i -a driverinf
• 列出所有已安裝的驅動程式列出所有已安裝的驅動程式sc query type= driversc query type= driver
• 移除驅動程式移除驅動程式sc delete sc delete 服務名稱服務名稱
Server Core 控制台
• 只有部份的控制台項目可以使用只有部份的控制台項目可以使用
• 變更時區變更時區
control timedate.cplcontrol timedate.cpl
• 變更鍵盤與語言變更鍵盤與語言
control intl.cplcontrol intl.cpl
notepad 與 regedit 、 regedit32
• notepadnotepad
有以下限制有以下限制• 不支援說明不支援說明• 只能開啓、儲存和另存只能開啓、儲存和另存
拷貝、貼上、搜尋、取代、拷貝、貼上、搜尋、取代、… … 都可以正常運作都可以正常運作
• regeditregedit 、、 regedt32regedt32
不支援說明不支援說明
Demo
開啟控制台與記事本
demonstration
重新執行 cmd.exe
• 如果不小心關閉了畫面上唯一的命令列視窗如果不小心關閉了畫面上唯一的命令列視窗• 本機本機 ::
按 按 Ctrl+Alt+DelCtrl+Alt+Del ,使用工作管理員的執行功能,重新執行 ,使用工作管理員的執行功能,重新執行 cmd.execmd.exe
登出再登入登出再登入• Terminal Services:Terminal Services:
使用 使用 Terminal Services MMC Terminal Services MMC 遠端登出遠端登出命令列遠端登出命令列遠端登出 ::• query session /server:<servername>query session /server:<servername>• logoff <session_id> /server:<servername>logoff <session_id> /server:<servername>
Server Core 的限制
• 不支援 不支援 Managed CodeManaged Code
沒有 沒有 .NET Framework.NET Framework
• 沒有任何通知氣球,例如沒有任何通知氣球,例如 ::
啓用 啓用 Windows Windows 通知通知
密碼過期通知密碼過期通知
• 不支援 不支援 RunonceRunonce
Server Core 上的管理工具
• Server Core Server Core 不是一個應用程式平台不是一個應用程式平台
• Server Core Server Core 支援管理工具、軟體及代理程式(支援管理工具、軟體及代理程式( agentagent)的開)的開發發
遠端管理工具不需要改變遠端管理工具不需要改變
Server Core 上的管理工具
• Server Core Server Core 不是一個應用程式平台不是一個應用程式平台
• Server Core Server Core 支援管理工具、軟體及代理程式(支援管理工具、軟體及代理程式( agentagent)的開)的開發發
• 遠端管理工具不需要改變遠端管理工具不需要改變
• 在 在 Server CoreServer Core 上的執行管理代理程式需要變更上的執行管理代理程式需要變更• 代理程式不能有代理程式不能有 shell shell 或是圖形介面的相依性或是圖形介面的相依性• 代理程式不能使用代理程式不能使用 managed codemanaged code• 在 在 Server CoreServer Core 測試你的代理程式測試你的代理程式• SDKSDK 以經支援以經支援 Server Core Server Core 中的中的 APIAPI
Server Core 上的管理工具
• Server Core Server Core 不是一個應用程式平台不是一個應用程式平台
• Server Core Server Core 支援管理工具、軟體及代理程式(支援管理工具、軟體及代理程式( agentagent)的開)的開發發
• 遠端管理工具不需要改變遠端管理工具不需要改變
• 在 在 Server CoreServer Core 上的執行管理代理程式需要變更上的執行管理代理程式需要變更• 代理程式不能有代理程式不能有 shell shell 或是圖形介面的相依性或是圖形介面的相依性• 代理程式不能使用代理程式不能使用 managed codemanaged code• 在 在 Server CoreServer Core 測試你的代理程式測試你的代理程式• SDKSDK 以經支援以經支援 Server Core Server Core 中的中的 APIAPI
初始設定
設定 IP 位址
• 設定設定 IP IP 屬性:屬性:
netsh int ip set address local static 10.10.1.3 255.255.255.0 netsh int ip set address local static 10.10.1.3 255.255.255.0
10.10.1.1 210.10.1.1 2
netsh int ip set address local source=dhcpnetsh int ip set address local source=dhcp
netsh int ip set dns local static 192.168.0.2netsh int ip set dns local static 192.168.0.2
netsh int ip set dns local source=dhcpnetsh int ip set dns local source=dhcp
netsh int ip add dns local 10.7.3.2 index=2netsh int ip add dns local 10.7.3.2 index=2
• 設定 設定 WINSWINS 也是如此也是如此
管理電腦
• 設定使用 設定使用 hostnamehostname觀看電腦名觀看電腦名
• 使用 使用 netdomnetdom 變更電腦名:變更電腦名:
• netdom renamecomputer %computername% netdom renamecomputer %computername%
/newname:newname/newname:newname
• netdom renamecomputer %computername% netdom renamecomputer %computername%
/newname:mypc21/newname:mypc21
• 無法變更網域控制站的名稱無法變更網域控制站的名稱
修改 Registry
• 事實上, 事實上, RegeditRegedit 可以用於可以用於 WinPEWinPE 及及 Server CoreServer Core
• 或使用 或使用 reg.exereg.exe ::
reg /add hklm\software\acme\myeditorreg /add hklm\software\acme\myeditor
• 新增新增 // 刪除機碼與值刪除機碼與值 ::
reg /add hklm\software\acme\myeditor /v autosave /t reg /add hklm\software\acme\myeditor /v autosave /t
REG_DWORD /d 0REG_DWORD /d 0
reg /delete hklm\software\acme\myeditor /freg /delete hklm\software\acme\myeditor /f
遠端指令行
• Windows Vista Windows Vista 及及 Windows Server 2008 Windows Server 2008 安全的遠端 安全的遠端 shellshell 指指令:令: winrswinrs
• winrs -r:remotesystem winrs -r:remotesystem 參數 指令參數 指令• Example:Example:
winrs -r:10.71.0.197 -u:administrator -p:swordfish ipconfigwinrs -r:10.71.0.197 -u:administrator -p:swordfish ipconfig
• 在在 AD ForestAD Forest 中使用非常方便中使用非常方便• 必須確定 必須確定 Windows Remote ManagementWindows Remote Management 服務啟動服務啟動 (輸入 (輸入
winrm quickconfigwinrm quickconfig啟動) 啟動) to start it)to start it)
• psexec psexec 也很好也很好 , particularly with the -s option, particularly with the -s option
Netdom 基本語法
• 基本 基本 NETDOM NETDOM 語法是:語法是:netdom command machinename /domain:domainname netdom command machinename /domain:domainname
/usero:acctname /passwordo:password /userd:acctname /usero:acctname /passwordo:password /userd:acctname
/passwordd:password [other settings]/passwordd:password [other settings]
加入網域
• 加入網域,加入網域, “ “ /reboot” /reboot” 是指定成功後自動重新開機:是指定成功後自動重新開機:netdom join mypc /domain:bigfirm.com /usero:localadmin netdom join mypc /domain:bigfirm.com /usero:localadmin
/passwordo:hithere /userd:domainadmin /passwordo:hithere /userd:domainadmin
/passwordd:H1there /reboot/passwordd:H1there /reboot
DNS 管理
• dnscmd dnscmd (本機操作,或是在任何一台有安裝(本機操作,或是在任何一台有安裝 Support ToolsSupport Tools 的的電腦)電腦)
• 建立區域、資源記錄,例如:建立區域、資源記錄,例如:• dnscmd 192.168.0.2 /zoneadd bigfirm.com /primary /file dnscmd 192.168.0.2 /zoneadd bigfirm.com /primary /file
bigfirm.dns bigfirm.dns 建立區域建立區域• dnscmd 192.168.0.2 /config bigfirm.com /AllowUpdate 1 dnscmd 192.168.0.2 /config bigfirm.com /AllowUpdate 1
允許動態更新允許動態更新• dnscmd 192.168.0.2 /recordadd bigfirm.com @ NS dnscmd 192.168.0.2 /recordadd bigfirm.com @ NS
downtowndc.bigfirm.com downtowndc.bigfirm.com 加入一筆 加入一筆 NSNS紀錄至 紀錄至 bigfirm.com bigfirm.com 區區域域
DC 升級與降級
• DCPROMO DCPROMO 可以使用自動回答檔可以使用自動回答檔• dcpromo /answer:filename dcpromo /answer:filename 在在 Win 2000/2003Win 2000/2003
• dcpromo /unattend:filename dcpromo /unattend:filename 在在 Win 2008Win 2008
• 在 在 Windows Server 2008Windows Server 2008 可以自動產生自動回答檔,只要執行可以自動產生自動回答檔,只要執行DCPROMO DCPROMO ,選擇,選擇””匯出設定匯出設定””即可即可
DHCP 設定
• 使用 使用 DHCPDHCP 伺服器圖形介面管理工具,遠端操作伺服器圖形介面管理工具,遠端操作• 或是將一台已經設定好的或是將一台已經設定好的 DHCPDHCP 伺服器設定匯出伺服器設定匯出
netsh dhcp server export dhcpbak.txt allnetsh dhcp server export dhcpbak.txt all
• 然後再到 然後再到 Server Core Server Core 系統上匯入系統上匯入netsh dhcp server import dhcpbak.txt allnetsh dhcp server import dhcpbak.txt all
網路管理
基本指令
• ipconfig ipconfig 內建指令內建指令• getmac /s systemname /u username /p password getmac /s systemname /u username /p password
顯示 顯示 MACMAC 位址,位址, /s/s 、、 /u/u 、、 /p /p 遠端管理才需要遠端管理才需要• ping ipaddress ping ipaddress 或 或 hostnamehostname
• tracert [-d] ipaddress tracert [-d] ipaddress 或 或 hostname hostname
• arp –a arp –a 列出 列出 ARP ARP 快取快取
更多基本指令
• nslookup nslookup 是針對是針對 DNSDNS 的測試工具,可以加上參數的多功能指的測試工具,可以加上參數的多功能指令,例如:令,例如:
nslookup –type=mx minasi.comnslookup –type=mx minasi.com
nslookup –vc –type=mx minasi.com nslookup –vc –type=mx minasi.com (指定(指定 nslookup nslookup 使用使用TCPTCP))
使用 使用 nslookup –all nslookup –all 列出所有參數列出所有參數
Portqry
• 參考 參考 KB 832919KB 832919 ,是一種簡易的,是一種簡易的 Port Scan Port Scan 工具工具• portqry –n targetsystem [options]portqry –n targetsystem [options]
• Options:Options:
-e n -e n 測試埠號 測試埠號 nn
-p tcp, -p udp, -p -p tcp, -p udp, -p 兩種協定都要(預設是使用兩種協定都要(預設是使用 tcptcp))-r n:m -r n:m 測試從 測試從 n n 到到 m m 埠埠-o a,b,c,d…-o a,b,c,d… 測試列舉的埠測試列舉的埠-i -i 不要反向解析不要反向解析 IPIP 位址位址
Portqry 語法範例
• 檢查網站伺服器檢查網站伺服器portqry –n 10.0.0.2 –e 80 -iportqry –n 10.0.0.2 –e 80 -i
portqry –n 10.0.0.2 –o 80,443 –Iportqry –n 10.0.0.2 –o 80,443 –I
• 對對 10.0.0.210.0.0.2掃瞄 掃瞄 TCP TCP 埠埠 130-139130-139
portqry –n 10.0.0.2 –r 130:139 –iportqry –n 10.0.0.2 –r 130:139 –i
Ping 失敗, Portqry 卻可以的範例
C:\>ping -n 1 207.46.134.222C:\>ping -n 1 207.46.134.222Pinging 207.46.134.222 with 32 bytes of data:Pinging 207.46.134.222 with 32 bytes of data:Request timed out.Request timed out.C:\>portqry -n 207.46.134.222 -e 80 -iC:\>portqry -n 207.46.134.222 -e 80 -iQuerying target system called: 207.46.134.222Querying target system called: 207.46.134.222TCP port 80 (http service): LISTENINGTCP port 80 (http service): LISTENING
驗證與重設安全通道
• netdom verify pcname /domain:domainnamenetdom verify pcname /domain:domainname
可以確認自己是否已登入可以確認自己是否已登入• netdom reset pcname /domain:domainname netdom reset pcname /domain:domainname
[/server:servername][/server:servername]
找出網域資訊
• netdom query fsmo | workstation | server | dc | ou | PDC | trustnetdom query fsmo | workstation | server | dc | ou | PDC | trust
• 範例:範例:
C:\>netdom query dc
List of domain controllers with accounts
in the domain:
DC1
DC2
The command completed successfully.
本機與 Vista 的網路轉變
• 在圖形介面中,不再有啟用在圖形介面中,不再有啟用 ping ping 的選項的選項netsh firewall set icmpsetting 8 enablenetsh firewall set icmpsetting 8 enable
• 如果 如果 Windows Vista/Windows Server 2008 Windows Vista/Windows Server 2008 運作得很慢,關閉運作得很慢,關閉
autotuningautotuning ::netsh interface tcp set global autotuninglevel=disabled netsh interface tcp set global autotuninglevel=disabled
• 有些路由器需要有些路由器需要 autotuningautotuning
管理使用者與分享資源
NET 指令
• MicrosoftMicrosoft 原始的網路軟體全都可以在指令行執行原始的網路軟體全都可以在指令行執行• 都是以 都是以 NETNET 開頭的指令開頭的指令• 都是內建於 都是內建於 OSOS 中中• 無法遠端執行無法遠端執行• 他們已經出現很久了,依然很有用他們已經出現很久了,依然很有用
建立使用只帳號: NET USER
• NET USER NET USER 指令指令• 建立及刪除本機或網域使用者帳號建立及刪除本機或網域使用者帳號• 重設密碼重設密碼
net user username [password] [/domain] [/add] net user username [password] [/domain] [/add]
範例
net user newguy longpassword /domain /addnet user newguy longpassword /domain /add
(建立一個名叫(建立一個名叫 newguynewguy 的使用者帳號,他的密碼是的使用者帳號,他的密碼是longpasswordlongpassword))
net user newguy newpasswdnet user newguy newpasswd
(重設本機使用者帳號)(重設本機使用者帳號)net user newguy newpasswd /domainnet user newguy newpasswd /domain
(重設網域使用者帳號)(重設網域使用者帳號)
更多的 NET USER 參數
• /active:yes|no/active:yes|no
• /comment:"text"/comment:"text"
• /homedir:path/homedir:path
• /profilepath:path/profilepath:path
• /fullname:name string/fullname:name string
• /workstations:machinename,machinename…/workstations:machinename,machinename…
• /scriptpath:path inside Netlogon/scriptpath:path inside Netlogon
自動產生密碼
• 試試看 試試看 /random/random ,例如:,例如:
net user joe /random /domainnet user joe /random /domain
(建立(建立 joejoe 並且隨機產生密碼,而且將密碼顯示在螢幕上)並且隨機產生密碼,而且將密碼顯示在螢幕上)• 若不想顯示出密碼,可以在指令最面加上 若不想顯示出密碼,可以在指令最面加上 ">nul"">nul"
net user joe /random /domain >nulnet user joe /random /domain >nul
• ““net user” net user” 顯示本機使用者帳號,顯示本機使用者帳號,““ net user /domain” net user /domain”
顯示網域使用者帳號顯示網域使用者帳號• 若是使用 若是使用 /delete /delete 表示刪除帳號表示刪除帳號
使用 NET 管理群組
• 建立本機群組:建立本機群組:• net localgroup groupname /comment:text /add|/delete net localgroup groupname /comment:text /add|/delete
[/domain][/domain]
• /domain /domain 表示建立網域區群組表示建立網域區群組• 將使用者加入群組將使用者加入群組
net localgroup groupname username /addnet localgroup groupname username /add
• net localgroup net localgroup 顯示本機群組顯示本機群組• net groups net groups 與上面語法相同,但只能在與上面語法相同,但只能在 DCDC操作,建立全域群操作,建立全域群
組組
範例
• net localgroup folks /addnet localgroup folks /add
• net localgroup folks susie /addnet localgroup folks susie /add
• net localgroup folks jack /addnet localgroup folks jack /add
• net localgroup folks /comment:"our club"net localgroup folks /comment:"our club"
• net localgroup folks jack /deletenet localgroup folks jack /delete
• 建立一個新的管理者:建立一個新的管理者:net user joe joepwd /addnet user joe joepwd /add
net localgroup administrators joe /addnet localgroup administrators joe /add
使用 NET 建立分享資料夾
• net share net share 顯示所有分享資料夾顯示所有分享資料夾• 建立分享資料夾如下:建立分享資料夾如下:
net share sharename=drive:path [/remark:”remark text”] net share sharename=drive:path [/remark:”remark text”]
[/grant:username,full|change|read] [/grant:username,full|[/grant:username,full|change|read] [/grant:username,full|
change|read]…change|read]…
• net share mytest=c:\test /remark:"Playing with NET SHARE" net share mytest=c:\test /remark:"Playing with NET SHARE"
/grant:administrator,full /grant:otherguy,change/grant:administrator,full /grant:otherguy,change
• /grant /grant 只能在伺服器上操作只能在伺服器上操作
更多 NET 的分享參數
• net share sharename /deletenet share sharename /delete
• net share sharename net share sharename 獲取設定及顯示誰在連線獲取設定及顯示誰在連線C:\>net share c$
Share name C$
Path C:\
Remark Default share
Maximum users No limit
Users MARK
Caching Manual caching
連線磁碟機: NET USE
• 你可能已經知道:你可能已經知道:net use * \\servername\sharenamenet use * \\servername\sharename
( ( * * 表示指定下一個可用的磁碟機代號)表示指定下一個可用的磁碟機代號)• 你可以加入驗證資訊 你可以加入驗證資訊 /u: /u: (或(或 /user:/user: ))• net use * \\s1\stuff /u:[email protected] swordfishnet use * \\s1\stuff /u:[email protected] swordfish
更多 NET USE
• net use \\pcname\ipc$ /u:“” “” net use \\pcname\ipc$ /u:“” “” 這是代表 這是代表 null sessionnull session 登入登入• net use net use 顯示你現在連線的網路磁碟,還有你的持續設定顯示你現在連線的網路磁碟,還有你的持續設定• net use * /d /y net use * /d /y 切斷網路磁碟切斷網路磁碟
NET USE 與持續連線
• 預設,預設, WindowsWindows 會在下一次登入時,自動重新連線網路磁碟會在下一次登入時,自動重新連線網路磁碟• 變更此預設功能: 變更此預設功能:
net use /persistence:no|yesnet use /persistence:no|yes
• 例如: 例如: net use /persistence:no net use /persistence:no 變更預設的動作變更預設的動作• 你也可以加 你也可以加 /persistence /persistence 到 到 NET USENET USE 指令中, 以便告訴系統指令中, 以便告訴系統
是否持續使用或不用是否持續使用或不用
NET USE 與 CNAME
• 如果使用 如果使用 DNS DNS 名稱在名稱在 net use x: \\a.b.com\s1net use x: \\a.b.com\s1 , 必須是真實, 必須是真實的主機名稱的主機名稱
• 如果在 如果在 NET USE NET USE 中使用中使用 CNAME CNAME 會出現錯誤會出現錯誤
NET USE /SAVECRED
• 如果要存取的資源不是在自己的網域中,連線時要加上 如果要存取的資源不是在自己的網域中,連線時要加上 /user: /user:
參數參數• 如果覺得以上很煩,可以直接輸入 如果覺得以上很煩,可以直接輸入 net use \\servername\net use \\servername\
sharename /savecredsharename /savecred
• 這樣系統會記錄所輸入的帳號及密碼這樣系統會記錄所輸入的帳號及密碼• 觀看控制台 觀看控制台 / / 管理使用者,其中會顯示所記錄的的驗證資訊管理使用者,其中會顯示所記錄的的驗證資訊
簡短的 NET
• net start servicenet start service ,還有,還有 net stop servicenet stop service
• 沒有重新啟動的參數:沒有重新啟動的參數: net stop xx & net start xxnet stop xx & net start xx
• 其中 “其中 “ &” &” 可以在同一行中,接續執行指令可以在同一行中,接續執行指令• net helpmsg number net helpmsg number 顯示錯誤碼所對應的訊息,例如:顯示錯誤碼所對應的訊息,例如:C:\>net helpmsg 1220
An attempt was made to establish a session to a
network server, but there are already too many
sessions established to that server
更多詳細的使用者操作
• Windows XP Windows XP 及之後的及之後的 OSOS 中有 中有 dsadddsadd 、、 dsmoddsmod 、、 dsgetdsget 、、 dsquerydsquery 、、 dsrm dsrm 指令指令
• 這些也都內建於 這些也都內建於 Windows Server 2003 Windows Server 2003 及 及 20082008
Active Directory 管理
Repadmin
• 這是“複寫的瑞士刀”這是“複寫的瑞士刀”• 如同他的名字一樣,其可控制如同他的名字一樣,其可控制 ADAD複寫複寫• 使用 使用 /? /? 參數獲得說明,參數獲得說明, /listhelp /listhelp 可列出語法,若是使用可列出語法,若是使用
/experthelp /experthelp 可以看到一些文件上沒有的東西可以看到一些文件上沒有的東西
Repadmin 使用範例
• 一些範例:一些範例:repadmin /kcc dcname repadmin /kcc dcname 強制拓樸和複寫對象檢查強制拓樸和複寫對象檢查repadmin /rebuildgc dcname repadmin /rebuildgc dcname 觸發 觸發 GC GC 伺服器傾印及重建他的伺服器傾印及重建他的全域目錄全域目錄repadmin /bridgeheads dcname repadmin /bridgeheads dcname 顯示 顯示 bridgehead bridgehead 伺服器伺服器repadmin /istg dcname repadmin /istg dcname 顯示負責跨站台拓樸的顯示負責跨站台拓樸的 DCDC
更多 Repadmin 範例
• 獲取每一台獲取每一台 DCDC 的複寫對象:的複寫對象:repadmin /showutdvec dcname naming-context repadmin /showutdvec dcname naming-context 從從 dcnamedcname
的角度,顯示最新的向量的角度,顯示最新的向量repadmin /showrepl dcname naming-context /verbose repadmin /showrepl dcname naming-context /verbose 顯示顯示複寫對象複寫對象
• repadmin /replsummary dcname repadmin /replsummary dcname 編譯編譯 DCDC 之間成功之間成功 // 失敗統計失敗統計列表 列表
• repadmin /queue dcname repadmin /queue dcname 列出預備送往指定列出預備送往指定 DCDC 的佇列中的項的佇列中的項目目
更多 Repadmin 範例
• repadmin /showchanges destdc GUID-of-sourceDC naming-repadmin /showchanges destdc GUID-of-sourceDC naming-
context /verbose context /verbose 列出從 列出從 sourceDC sourceDC 到 到 DestDCDestDC尚未複寫的所尚未複寫的所有東西有東西
強制複寫
• repadmin /syncall /e [/P] dcname naming-contextrepadmin /syncall /e [/P] dcname naming-context
/e – /e – 跨站台跨站台/P – /P – 推出變更推出變更
• 例如: 例如: repadmin /syncall /e /P dc1 dc=acme,dc=comrepadmin /syncall /e /P dc1 dc=acme,dc=com
• 或是使用 或是使用 repadmin /syncall /j dcnamerepadmin /syncall /j dcname
/j: /j: 只同步到相鄰的只同步到相鄰的 DCDC
名稱範例
• bigfirm.com: dc=bigfirm,dc=combigfirm.com: dc=bigfirm,dc=com
• Configuration NC: cn=configuration,dc=bigfirm,dc=comConfiguration NC: cn=configuration,dc=bigfirm,dc=com
• Schema NC: cn=schema,cn=configuration,dc=bigfirm,dc=comSchema NC: cn=schema,cn=configuration,dc=bigfirm,dc=com
• 未指定未指定 NC NC 名稱:名稱: repadmin /syncall repadmin /syncall 假定是 假定是 configuration configuration
NCNC
• dc=ForestDnsZones,DC=bigfirm,dc=com dc=ForestDnsZones,DC=bigfirm,dc=com
(只在(只在 Forest root domainForest root domain 中出現)中出現)• dc=DomainDnsZones,dc=bigfirm,dc=comdc=DomainDnsZones,dc=bigfirm,dc=com
DCdiag 與 Netdiag
• 在在 Support ToolsSupport Tools 中中• Netdiag Netdiag 是本機執行指令是本機執行指令 , DCdiag , DCdiag 可以遠端執行可以遠端執行• 前者測試系統網路基礎架構(前者測試系統網路基礎架構( netdiagnetdiag)及網域控制站功能)及網域控制站功能
(( dcdiagdcdiag))• 他們非常有用,而且事件單暨聰明的測試方法他們非常有用,而且事件單暨聰明的測試方法
合併使用
• del dcdiag.logdel dcdiag.log
• del repadmin.logdel repadmin.log
• del netdiag.logdel netdiag.log
• dcdiag /e /c /v /ferr:c:\dcdiagerrs.log /f:dcdiag.logdcdiag /e /c /v /ferr:c:\dcdiagerrs.log /f:dcdiag.log
• netdiag /v /l netdiag /v /l
• repadmin /showrepl * /verbose /all /intersite > repadmin.logrepadmin /showrepl * /verbose /all /intersite > repadmin.log
以指令方式委派權限
• dsacls dsacls 是 是 Windows XP/2003 Windows XP/2003 內建指令,可以觀看內建指令,可以觀看 AD AD 權限權限• 簡單的形式: 簡單的形式: dsacls dn-of-object dsacls dn-of-object 顯示現在權限顯示現在權限• 參數 參數 /A /A 是增加擁有者是增加擁有者 // 稽核資訊稽核資訊• 參數參數 /S /S 還原還原 SchemaSchema預設值預設值• 加上 加上 /T /T 可顯示其下所有的權限可顯示其下所有的權限
以指令方式委派權限
• 變更委派:變更委派:/G <group/user>:<permissions> /G <group/user>:<permissions> 增加權限至物件的增加權限至物件的 ACLACL
/D <group/user>:<permissions> /D <group/user>:<permissions> 增加拒絕至物件的增加拒絕至物件的 ACLACL
/N /N 覆蓋任何現有 覆蓋任何現有 ACL ACL ,用於 ,用於 /G /G 或或 /D /D
/R <group/user> /R <group/user> 移除指定群組移除指定群組 // 使用者所有權限使用者所有權限
以指令方式委派權限
• 指定群組及使用者:指定群組及使用者: group@domaingroup@domain 、、 user@domain user@domain 或 或 domain\group domain\group 及 及 domain\userdomain\user
• 權限: 在 權限: 在 HelpHelp 可列出詳細權限,最常使用的是 可列出詳細權限,最常使用的是 GR (read), GR (read),
GE (execute), GW (write), GA GE (execute), GW (write), GA
(all – full control)(all – full control)
範例
• dsacls ou=marketing,dc=bigfirm,dc=comdsacls ou=marketing,dc=bigfirm,dc=com
顯示 顯示 Marketing OU Marketing OU 的權限的權限• dsacls ou=marketing,dc=bigfirm,dc=com /G dsacls ou=marketing,dc=bigfirm,dc=com /G
[email protected]:[email protected]:GA
給予給予 BigfirmBigfirm 網域的 “網域的 “ MPA” MPA” 群組在群組在 Marketing OUMarketing OU 有完全有完全控制權控制權
• dsacls ou=marketing,dc=bigfirm,dc=com /Sdsacls ou=marketing,dc=bigfirm,dc=com /S
重設 重設 Marketing OUMarketing OU 的權限至預設值的權限至預設值
AD 委派
• 曾經想要列出某人在曾經想要列出某人在 ADAD 上的權限嗎?辦不到!上的權限嗎?辦不到!• 可以從微軟網站下載 可以從微軟網站下載 dsrevoke.exedsrevoke.exe ,觀看及移除指定的使用者,,觀看及移除指定的使用者,其在網域及其在網域及 OUOU 的權限的權限
• dsrevoke /remove domainname\usernamedsrevoke /remove domainname\username
• dsrevoke /report domainname\usernamedsrevoke /report domainname\username
• dsrevoke /report /root:ou=marketing,dc=bigfirm,dc=com dsrevoke /report /root:ou=marketing,dc=bigfirm,dc=com
domainname\usernamedomainname\username
• 只能用只能用 NetBIOSNetBIOS 名稱,無法用名稱,無法用 UPNUPN
磁碟 / 檔案管理
基本語法
• 有許多磁碟維護及瀏覽的指令,可以在許多地方執行,有許多磁碟維護及瀏覽的指令,可以在許多地方執行, 例如:例如:• DirDir 、、 cdcd 、、 mdmd 、、 rdrd 、、 deldel 、、 eraseerase 、、 movemove 、、 copycopy 、、 xcopy, xcopy,
fdisk fdisk (在(在 Windows XPWindows XP 是使用 是使用 diskpart diskpart ), ), formatformat 、、 labellabel 、、volvol 、、 renamerename 、、 verify [on|off]verify [on|off]
控制 NTFS 權限
• 一些可以操作一些可以操作 NTFSNTFS 的指令的指令CACLS CACLS (內建在系統中)(內建在系統中)ICACLS: ICACLS: 在 在 Windows VistaWindows Vista 、、 Windows Server Windows Server
20082008 、、 Windows 2003 SP2Windows 2003 SP2 中取代中取代 CACLSCACLS
XCACLS XCACLS (更完的指令,內建於 (更完的指令,內建於 Support ToolsSupport Tools 中)中)SUBINACL SUBINACL ( ( Resource Kit Resource Kit 的工具,但有點問題)的工具,但有點問題)
尋找檔案
• 不需要用檔案總管的搜尋,使用不需要用檔案總管的搜尋,使用 DIR /SDIR /S
• 例如搜尋整個 例如搜尋整個 C: C: 中的中的 myfile.txtmyfile.txt ,輸入:,輸入:dir c:\myfile.txt /sdir c:\myfile.txt /s
• 在 在 ““ c:\files” c:\files”
目錄中搜尋,輸入:目錄中搜尋,輸入:• dir c:\files\myfile.txt /sdir c:\files\myfile.txt /s
系統與事件控制工具
關機、重開機與登出
• shutdown [-s|-r|-l] [-t ss] [-f] [-a]shutdown [-s|-r|-l] [-t ss] [-f] [-a]
• -s=-s= 關機,關機, -r=-r= 重新開機,重新開機, -l=-l= 登出登出• -t ss -t ss 指定延遲的秒數,若沒有指定延遲的秒數,若沒有 – – tt 參數,預設是參數,預設是 30 30 秒秒• -f -f 強制關閉執行中的程式,可能會造成資料遺失強制關閉執行中的程式,可能會造成資料遺失• -a -a 不顯示關機倒數訊息不顯示關機倒數訊息
你的身份
• whoami whoami 是 是 Support Tool Support Tool 中的工具,顯示現在登入的使用者,中的工具,顯示現在登入的使用者,例如:例如: "bigfirm\mark.""bigfirm\mark."
• 但是加上 但是加上 /all /all 參數,則會顯示參數,則會顯示 UPNUPN 、、 SIDSID 、所屬群組的、所屬群組的 SIDSID
及權限及權限
管理事件記錄
• Windows Vista Windows Vista 或之後的系統有 “或之後的系統有 “ wevtutil”wevtutil” ,例如:,例如:• wevtutil qe application /c:2 /f:text /rd:truewevtutil qe application /c:2 /f:text /rd:true
(顯示在 (顯示在 Application logApplication log 中的最近兩個事件)中的最近兩個事件)• /c = # /c = # 想要觀看多少個事件想要觀看多少個事件• /f = /f = 輸出格式輸出格式• /rd = /rd = 讀去最新 (讀去最新 (““ true”true” )) 或是最舊(或是最舊(““ false”false” ))• 會自動保存記錄會自動保存記錄
建立事件
• Windows Windows 之後才有的之後才有的 eventcreateeventcreate 指令指令• eventcreate /ID eventid /L logname /SO srcname /T type /D eventcreate /ID eventid /L logname /SO srcname /T type /D
descriptiondescription
• logname=systemlogname=system 、、 application…application… 等等等等• type=errortype=error 、、 warning warning 或或 informationinformation
• eventcreate /ID 833 /l system /t information /d "Just saying hi"eventcreate /ID 833 /l system /t information /d "Just saying hi"
回應事件
• 當某些是發生時,我們會想看事件記錄當某些是發生時,我們會想看事件記錄• 使用內建於 使用內建於 Windows XP Windows XP 及 及 20032003 的指令的指令 eventtriggerseventtriggers ,可以,可以
在某件事發生時觸發執行指定的程式在某件事發生時觸發執行指定的程式• eventtriggers /create /eid eventidnumber /tr triggername /tk eventtriggers /create /eid eventidnumber /tr triggername /tk
actiontotake /ru usernametoruncommand /rp actiontotake /ru usernametoruncommand /rp
passwordofthataccountpasswordofthataccount
• 在 在 Windows Vista/Windows Server 2008Windows Vista/Windows Server 2008 中, 是 中, 是 schtasks schtasks 指指令,或是在事件檢視器中,點任一事件,按滑鼠右鍵,選擇令,或是在事件檢視器中,點任一事件,按滑鼠右鍵,選擇
““附加工作至此事件附加工作至此事件 ...”...”
Eventtriggers 範例
• eventtriggers /create /eid 64002 /tr sysalert /tk "net send eventtriggers /create /eid 64002 /tr sysalert /tk "net send
jack123 Something’s deleting system files!” /ru jack123 /rp jack123 Something’s deleting system files!” /ru jack123 /rp
swordfishswordfish
• eventtriggers eventtriggers 或或 eventtriggers /query /v eventtriggers /query /v 會列出 會列出 triggerstriggers
• eventtriggers /delete /tid n eventtriggers /delete /tid n 刪除指定的 刪除指定的 eventtrigger, eventtrigger, 或 或 … …
/delete /tid * /delete /tid * 刪除全部刪除全部
什麼是好的觸發事件
• 當遇到事件 當遇到事件 x x 發生時,可以送出電子郵件嗎?發生時,可以送出電子郵件嗎?• 答案:從 答案:從 www.blat.comwww.blat.com 下載下載 blatblat
(( Windows Vista Windows Vista 及 及 Windows Server 2008 Windows Server 2008 則不需要則不需要 blatblat ,,因為已經內建)因為已經內建)
Blat
• 指令方式的 指令方式的 SMTP SMTP 用戶端,例如:用戶端,例如:blat - -body “Event ID 763 happened!” –server
mail.bigfirm.com –to [email protected] –f [email protected]
–subject “Event 763 alert” –u joe –pw swordfish
• 其中“其中“ blat - -body” blat - -body” 沒有打錯沒有打錯
更多 Blat
• ––u u 及及 – – pw pw 假設你的假設你的 SMTP SMTP 伺服器需要登入驗證伺服器需要登入驗證 ; BLAT ; BLAT 支支援 援 GSSAPI GSSAPI 所以可以以安全的登入 所以可以以安全的登入 MicrosoftMicrosoft 及其他及其他 SMTP SMTP
伺服器伺服器• 免費下載免費下載• 甚至包含原始碼甚至包含原始碼• 可以在 可以在 RegistryRegistry 中預存所需的參數中預存所需的參數
SelfSSL
• 設定一台測試用的網站伺服器,或是一台內部用的網站伺服器,設定一台測試用的網站伺服器,或是一台內部用的網站伺服器,若是需要憑證,可以不需要架設憑證授權單位(若是需要憑證,可以不需要架設憑證授權單位( CACA))
• 答案?答案? SelfsslSelfssl 是一個產生並且安裝憑證的單一行指令是一個產生並且安裝憑證的單一行指令• 在 在 IIS Resource KitIIS Resource Kit 中中
SelfSSL 語法
• selfssl /t /v:ndays /n:dnselfssl /t /v:ndays /n:dn
• n n 名稱名稱• t t 安裝安裝• v v 有效日數有效日數• 例如:例如:
selfssl /T /V:200 /n:cn=web2.minasi.comselfssl /T /V:200 /n:cn=web2.minasi.com
• 建立並安裝憑證於建立並安裝憑證於 web2.minasi.com web2.minasi.com 網站伺服器,有效日數為網站伺服器,有效日數為200200天天
Server Core 專有的事件
注意 .NET
• Server Core Server Core 和 和 WinPE WinPE 沒有 沒有 .NET Framework.NET Framework
• 有些指令程式需要有些指令程式需要 .NET Framework.NET Framework ,所以他們無法在這些系,所以他們無法在這些系統上執行統上執行
啟用遠端桌面
• 找到 找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Terminal ServerControl\Terminal Server
變更 變更 fDenyTSConnectionsfDenyTSConnections 成 成 00
• 重開機:重開機:shutdown -r -t 0shutdown -r -t 0
• 開啟防火牆:開啟防火牆:netsh firewall set portopening tcp 3389 netsh firewall set portopening tcp 3389
"Remote Desktop""Remote Desktop"
Server Core 與遠端 MMC
• 指令行不是唯一控制 指令行不是唯一控制 Server CoreServer Core 的方法的方法• 也可以使用 也可以使用 MMCs MMCs 及遠端控制指令及遠端控制指令 SCSC
• Server Core Server Core 需要用到 需要用到 file and printer sharingfile and printer sharing 埠,可以使用群埠,可以使用群組原則開啟組原則開啟
• 使用前,先用 使用前,先用 NET USE NET USE 連到對方的連到對方的 C$ C$ ,並先做驗證,以便,並先做驗證,以便後續後續 SCSC 可以操作可以操作
載入驅動程式
• Server Core Server Core 可以靜悄悄的安裝新裝置可以靜悄悄的安裝新裝置• 可以透過群組原則接受簽章過的驅動程式可以透過群組原則接受簽章過的驅動程式• 你可以使用你可以使用 pnputilpnputil推出新的 推出新的 Server Server
Core Core 驅動程式 :驅動程式 :• pnputil -a c:\newdrivers\scan.infpnputil -a c:\newdrivers\scan.inf
• 加入驅動程式套件至 加入驅動程式套件至 Windows Vista Windows Vista 之後的系統的之後的系統的 "driver "driver
store"store"
載入驅動程式
• pnputil -e pnputil -e 列出所有已安裝驅動程式的套件名稱列出所有已安裝驅動程式的套件名稱• pnputil -i package.inf pnputil -i package.inf 安裝指定的驅動程式套件安裝指定的驅動程式套件• pnputil -d c:\newdrivers\scan.inf pnputil -d c:\newdrivers\scan.inf 移除已安裝驅動程式的套件移除已安裝驅動程式的套件• driverquery driverquery 列出所有以安裝的驅動程式列出所有以安裝的驅動程式
結論
• Windows PowerShellWindows PowerShell
100% 100% 物件化的命令列平台物件化的命令列平台比 比 WSH WSH 更容易使用,更方便撰寫腳本更容易使用,更方便撰寫腳本未來所有 未來所有 GUI GUI 管理介面的底層平台管理介面的底層平台
• Server CoreServer Core
最精簡的 最精簡的 Windows Server 2008 Windows Server 2008 安裝安裝沒有 沒有 GUI GUI 介面介面提高安全性提高安全性減少系統資源使用減少系統資源使用
結論
• Windows PowerShellWindows PowerShell
100% 100% 物件化的命令列平台物件化的命令列平台比 比 WSH WSH 更容易使用,更方便撰寫腳本更容易使用,更方便撰寫腳本未來所有 未來所有 GUI GUI 管理介面的底層平台管理介面的底層平台
• Server CoreServer Core
最精簡的 最精簡的 Windows Server 2008 Windows Server 2008 安裝安裝沒有 沒有 GUI GUI 介面介面提高安全性提高安全性減少系統資源使用減少系統資源使用
在何處取得 TechNet 相關資訊?• 訂閱 TechNet 資訊技術人快訊
http://www.microsoft.com/taiwan/technet/flash/• 訂閱 TechNet Plus
http://www.microsoft.com/taiwan/technet/• 參加 TechNet 的活動
http://www.microsoft.com/taiwan/technet/• 下載 TechNet 研討會簡報與錄影檔
http://www.microsoft.com/taiwan/technet/webcast/
