Drift

Driften av servere og nettverk kan være svært forskjellig avhengig av hva slags nettverk og organisasjon serveren brukes i. I et lite nettverk er det kanskje bare én person til å drifte alt som har med IT å gjøre. I større nettverk kan driftsoppgavene være fordelt på flere personer.

Remote Desktop

Remote Desktop er kanskje det viktigste verktøyet for å administrere en Windows-server. Med dette verktøyet kan vi få opp skjermbildet fra serveren i et vindu på en klient. I dette vinduet kan vi gjøre de samme oppgavene som om vi satt fysisk ved serveren. Med Remote Desktop kan vi altså sitte på kontoret og administrere serveren selv om den står på et annet rom.

Vi satte opp Remote Desktop da vi installerte serveren, så dette skulle være i orden.

Kontrollere / endre innstillinger

Hvis vi vil kontrollere eller endre innstillingene, kan vi gå inn slik:

1. Gå til Control panel → System and Security → System.
2. Velg Remote Settings og velg allow remote access. Nå kan vi koble oss opp fra klienten.
3. Start Tilkobling til Eksternt Skrivebord eller Remote Desktop Connection.
4. Skriv inn servernavn og brukernavn.
5. Før vi prøver å koble oss til, kan vi trykke på Alternativer og se igjennom valgene vi får fram. De fleste valgene fungerer med standardverdier, men det kan f.eks. være aktuelt å endre størrelsen på vinduet vårt under Skjerm. Trykk eventuelt på Save for å ta vare på de endringene du gjør.
6. Når vi kobler til, vil vi få advarsel om problemer ved sertifikat. I vårt testnett kan vi gå videre uten å bry oss om dette.

Remote Desktop Services

Remote Desktop Services er en rolle som kan installeres for å gi vanlige brukere Remote Desktop-tilgang. Hvis vi som administrator ønsker å kunne fjernadministrere serveren, trenger vi ikke installere denne rollen. Det er nok å tillate Remote Desktop.

Samtidig pålogging

Når vi kun bruker den administrative fjerntilgangen, er det en begrensning på maks. to samtidige pålogginger.

Det er også en begrensning på at samme bruker kun kan være logget på én gang. Dette kan vi endre slik:

1. Lag en ny Group Policy på mittdomene.no.
2. Gå til Computer → Administrative templates → Windows Components → Remote Desktop Services → Remote Desktop Session Host → Connections.
3. Endre Restrict Remote Desktop Services users to a single Remote Desktop Services session til Disabled.

Remote Desktop gjennom ruter

Hvis vi ønsker å kjøre Remote Desktop fra en maskin som er utenfor vårt eget nett, f.eks. hjemmefra, vil nettverkstrafikken som regel være sperret i en ruter eller brannmur. Hvis man ønsker å kjøre Remote Desktop utenfra, må man derfor ha en metode for å få tilgang til serveren.

1. Det er mulig å åpne opp i ruteren/brannmuren slik at remote-trafikk til serveren slipper igjennom. Vi kan åpne opp for at kun trafikk som er av typen Remote Desktop (TCP port 3389) som skal til serveren vår, slipper igjennom.
2. VPN-server. Ofte vil man ha tilgang til en VPN-server i ett nettverk. Dette kan enten være en egen boks eller en funksjon som er integrert i ruteren. Man kan også sette opp en VPN-server på en Windows-server ved hjelp av rollen Network Policy and Access Service.
3. NAT-nettverk. Har man et nettverk med NAT, som vi har i vårt testnett, vil ikke adressen til serveren være synlig utenfor nettverket vårt. Vi kan da bruke en Port Forwarding-funksjon i ruteren som vil sende trafikken videre til serveren. For å koble oss opp til serveren utenfra må vi derfor kjøre Remote Desktop mot IP-adressen til ruteren.

Remote Server Administration Tools (RSAT)

Remote Server Administration Tools (RSAT) gir oss en annen mulighet til å fjernadministrere serveren. Det anbefales å bruke en klient av samme generasjon som serveren eller en nyere. For Server 2016 er dette Windows 10.

Installering av Remote Server Administration Tools

Programpakken for klienten installeres slik:

1. Søk på RSAT Windows på nettet. Pass på at du finner en versjon som passer til den Windows-versjonen du har på klienten.
2. Bruk av RSAT forutsetter at klienten er meldt inn i domene.
3. Installasjonen kan ta litt tid, men når den er ferdig, kan du starte Server Manager på klienten.
4. Nå kan vi velge Add other servers to manage.
5. Trykk på Find Now for å liste opp alle maskiner i mittdomene.
6. Velg Server1.
7. Gå nå til All Servers, høyreklikk på Server1 og velg Manage As.
8. Nå kan vi skrive inn administrator@mittdomene.no slik at vi får rettigheter til å administrere serveren.
9. Nå kan vi høyreklikke og velge det administrasjonsverktøyet vi ønsker, f.eks. DHCP.

Event Viewer

Vi kan starte Event Viewer fra Tools-menyen i Server Manager eller ved å trykke på Windows → event.

Med Event Viewer kan vi se på forskjellige loggfiler på serveren. Vi finner tre viktige loggfiler under Windows Logs, nemlig Application, Security og System. Ellers er loggene som ligger under Customs Views for hver rolle, viktige.

Meldingene som kommer i loggene, er delt i tre: Informasjon, Advarsel (Warning) og Feil (Error). Av og til kan vi få feil og advarsler som vi kan ignorere f.eks. i funksjoner som vi ikke benytter.

Det kommer så mange meldinger i Event Viewer at det kan være vanskelig å hente ut den informasjonen vi ønsker. Feil og Advarsler kommer heldigvis ikke så ofte, så disse er det enklere å følge med på. Hvis vi derimot ønsker å hente informasjon fra informasjonsmeldingene, kan det være tyngre. Vi kan lage Custom Views som kan filtrere ut bestemte typer av informasjon som kan hjelpe oss.

Filtrere ut informasjon

Hvis vi f.eks. ønsker å se hvem som logger inn på serveren, kan vi gjøre følgende:

1. Gå til Security-loggen.
2. Finn et eksempel som har Task Category Kerboros Service.
3. Noter ned Source, Event Id og Task Category.
4. Høyreklikk på Security og velg Create Custom Filter.
5. Fyll nå inn Source, Event Id og Task Category for å sette opp et filter.
6. Nå kan vi gå til Custom Views og velge filteret vårt.

Selv om vi bruker filteret ovenfor, vil vi fortsatt få litt ekstra informasjon i loggen. Dette er fordi også maskinene i domenet logger inn med jevne mellomrom. Les også om Auditing under sikkerhet.

Performance Monitor

Performance er et verktøy vi kan bruke til å overvåke ytelsen på en datamaskin med. Vi kan plukke ut noen ressurser som vi ønsker å følge med på, og få presentert disse ved hjelp av grafer. Det er også mulig å samle de dataene vi ønsker i en fil, slik at vi kan analysere dem senere. I tillegg kan vi sette opp alarmer som sier ifra når en variabel oppnår en bestemt verdi, for eksempel når minneforbruket overstiger 80 % av det totale minnet. Performance gir deg anledning til å se på flere maskiner samtidig.

I daglig drift er nok Task Manager bedre for å få et overblikk over ytelsen på serveren. Hvis vi ønsker å gå grundigere til verks eller samle ytelsesdata over en viss tid, kan Performance Monitor brukes.

Vi kan velge forskjellige counters (tellere) som vi vil følge med. Det er flere hundre forskjellige tellere å velge i, så det kan være vanskelig å vite hvilke vi skal bruke. Ofte er det mest aktuelt hvis man skal feilsøke og man har mistanke om en funksjon som bør overvåkes.

Hvis man vil se på noen eksempler, kan man prøve Memory: Pages/sec, Physical Disk: Avg. Disc Queue eller Processor: % Processor time. Disse gir en grov indikasjon på belastning av minne, disk og prosessor.

Eksempel på bruk av Performance Monitor

1. Gå til Diagnostics → Performance → Monitoring Tools.
2. Trykk på det grønne plusstegnet og legg til de tre tellerne.

Device Manager

Device Manager kan ikke startes fra Server Manager, men startes fra Windows- menyen, kontrollpanelet eller Computer Manager.

Device Manager gir oss en oversikt over enheter og utstyr som er koblet til serveren. Hvis det er enheter som ikke fungerer eller mangler driver, er det lett å se det her. Det er spesielt ved nyinstallasjon eller oppgradering av utstyr i serveren at vi har nytte av Device Manager.

Task Scheduler

Task Scheduler gjør det mulig å sette opp oppgaver som skal gjentas regelmessig. Dette kan være små rutiner som starter et program eller et skript, eller som bare sender en mail. Det ligger en rekke oppgaver inne som standard som Windows bruker til interne oppgaver.

Bruke Task Scheduler

Vi kan nå lage en egen oppgave for automatisk å starte Chrome:

1. Start Task Scheduler for å se oversikt over oppgaver.
2. Marker Task Scheduler Library og velg Create Basic Task.
3. Skriv inn navn på oppgaven og når den skal utføres (daily).
4. Juster så starttidspunkt til et par minutter fram i tid.
5. Velg Start a program og skriv inn chrome.
6. Hvis vi ønsker, kan vi senere gå på egenskaper på oppgaven (dobbeltklikk) og endre egenskaper. Vi kan f.eks. velge triggers → edit og sette at oppgaven skal gjentas hvert 5. minutt.

Det mest aktuelle å bruke Task Scheduler til er å starte et skript eller program. Vi kan f.eks prøve å lage et enkelt skript som lager en kopi av alle websidene på serveren

Starte skript med Task Scheduler:

1. Bruk Notepad til å lage filen kopi-www.cmd med følgende innhold:
rem Skript for sikkerhetskopiere webserver
xcopy c:\inetpub c:\kopi\ /e /y
2. Lagre skriptet i katalogen c:\skript.
3. Lag nå en ny task som utfører et program, og velg skriptet for programmet som skal startes.

Windows Firewall

Brannmur eller firewall gir oss en sikkerhet mot angrep og virus som prøver å få urettmessig tilgang til serveren. Selv om vi har en ekstern brannmur/ruter, bør vi bruke den innebygde i Windows i tillegg. Dette gir en ekstra trygghet, og den er den eneste sikkerheten vi har mot eventuelle angrep som kommer fra vårt eget nett. Det kan f.eks. være en bruker i nettverket vår som har fått virus.

Som vi så i avsnittet om Remote Server Administration Tools, kan vi åpne opp for trafikk til bestemte tjenester eller program ved å lage unntak i brannmuren.

I noen tilfeller kan det være aktuelt å åpne opp bestemte TCP-porter:

Åpne porter i brannmuren

1. Start Windows Firewall with Advanced Security.
2. Gå til Inbound Rules for å se hva som allerede er åpnet.
3. Ved å scrolle litt til høyre kan vi se hvilke lokale portnummer som er åpne.
4. Velg New Rule og deretter Port.
5. Skriv så inn portnummeret ved Specific Local ports. Som oftest er det porter av typen TCP som er aktuelle.
6. Velg allow the Connection.
7. Kryss av for alle aktuelle områder Domain, Private eller Public.
8. Gi regelen et navn.

Services

Under Services kan vi få en oversikt hvilke tjenester som er startet opp. En service en programvare som kjører hele tiden, i motsetning til f.eks. en applikasjon som avsluttes hvis vi logger ut.

I noen tilfeller kan det være aktuelt å starte, stoppe eller restarte en service, men vanligvis gjøres dette fra konsollet som administrerer tjenesten, f.eks. DHCP-server.

I sjeldne tilfeller kan det være aktuelt å endre startup-type. Hvis vi ikke ønsker at en tjeneste skal starte automatisk når serveren starter, kan vi sette en tjeneste til Manuell eller Disabled.

Tid

Det er viktig å ha en klokke som går nøyaktig på serveren. Vi bør ha nøyaktige tider i loggene, og dessuten stilles klokka på alle klientene som er medlem av domenet, fra serveren vår. Vi kan stille nøyaktig tid ved hjelp av en NTP- server (Network Time Protocol) på Internett. En NTP-server har en svært nøyaktig klokke ved hjelp av et atomur eller en GPS-mottaker.

I motsetning til en Windows-klient blir ikke en Windows-server som er domenekontroller, automatisk stilt fra en Internett-klokke. Dette må settes opp manuelt. I vårt eksempel skal vi bruke en norsk NTP-server. Standard NTP- server på en Windows-klient er time.windows.com.

Stille inn tid på serveren

I motsetning til en vanlig Windows-klient hvor vi kan skrive inn adressen til en NTP-server direkte der vi stiller klokka (Internet Time), må vi bruke noen kommandoer på serveren:

1. Still gjerne klokka noen minutter feil, så er det lettere å få bekreftet at klokka stilles etterpå.
2. Skriv inn følgende kommandoer:
• w32tm /config /manualpeerlist:ntp.uio.no /syncfromflags:manual /update
• net stop w32time
• net start w32time
3. Klikk på klokka for å følge med på sekundviseren

UPS

Hvis vi ønsker å ha ekstra sikkerhet mot strømbrudd og forstyrrelser fra strømnettet, kan vi koble en UPS (Uninterruptible Power Supply) til serveren. Dette er en ekstern strømforsyning med reservebatteri som gjør at serveren kan gå en stund selv om strømmen går. En UPS kan også gi beskjed til serveren om at den skal avslutte Windows (Shutdown) når batteriet begynner å bli tomt. Windows Server har ingen innebygd programvare for å kommunisere med en UPS, så hvis man skal kjøpe en slik, må man sørge for å få med programvare som er kompatibel med Windows Server.

Utregning for UPS

Vi kan regne ut den tiden batteriet vil holde, ut fra hvor stor belastning vi har koblet til UPS-en, og hvor stor kapasitet batteriet har. Nyere UPS-er har gjerne et display som kan vise belastning og anslått levetid for batterier.

Effekten på UPS er ofte oppgitt i voltampere (VA). Hvis effekten på utstyret er oppgitt i watt-timer (Wh), kan vi regne ut antall voltampere ved å dele antall watt med 0,7 (VA = W/0,7). Hvis effekten er oppgitt i ampere (A), regner vi ut antall watt slik: W = V * A, hvor V = 230 volt.

Den oppgitte effekten på en PC er den maksimale effekten. Det virkelige effektforbruket kan ligge godt under den påstemplede verdien.

Sikkerhetskopiering

Rutiner for å ta skikkelig sikkerhetskopi (backup) er noe av det viktigste en systemadministrator setter opp. Det er ikke moro å forklare tretti medarbeidere at alt arbeidet de har gjort det siste året, er forsvunnet. I mange tilfeller fører manglende sikkerhetskopiering til at bedrifter går konkurs eller lider betydelige tap.

Vi har flere typer backup-enheter. Disse kan være disk, tape (magnetbånd) eller optisk (DVD/Blueray), Tapestasjoner er fortsatt vanlig fordi teknologien er forholdsvis rimelig og har god kapasitet. En fordel med tape er også muligheten for å arkivere taper på et annet fysisk sted eller i et brannskap. Tapestasjoner av typen LTO kan ha kapasitet opp mot 6 TB. Har man behov for større kapasitet, kan man få taperoboter som skifter tape automatisk.

Bruk av backup til disk har blitt vanligere i det siste, men en kombinasjon av disk og tape er kanskje den beste løsningen. Vi kan da ha den nyeste backupen på disk slik at det er enkelt og raskt å hente noe tilbake. Eldre backup kan vi arkivere på tape.

Rutiner

Hvis enheten kan lagre en kopi av hele serveren på én tape, kan du ta kopi av alt hver dag. Ellers er det vanlig å ta kopi av alt én dag i uken og tilleggskopier (Incremental Backup) de andre ukedagene. Da får vi kopier av alt som er lagret på serveren, én dag i uken, og alle endringer som gjøres etter det, blir kopiert de andre dagene.

Det er vanlig å legge uketapen i en bankboks eller på et annet sikkert sted med jevne mellomrom. Om uhellet skulle være ute og serveren blir stjålet eller lokalene blir utsatt for brann, har vi alltid en fullstendig kopi av nyere dato tilgjengelig.

Vi har alltid minst én tape plassert utenfor bedriftens lokaler. Vær oppmerksom på sikkerhetsrisikoen ved backuptaper. Dataene på en backuptape blir normalt ikke kryptert, så enhver som får tak i tapen, vil også ha tilgang til bedriftens data. Lag gode rutiner og lås inn tapene internt!

Windows Server Backup

Det programmet for sikkerhetskopiering som følger med Windows Server, heter Windows Server Backup. Det fungerer fint til å kopiere og legge tilbake data for enkelte servere, men kan bli litt for tynt for et stort nettverk. Derfor velger mange å kjøpe egne kopieringsprogrammer.

Sette opp backupjobb

1. Før vi kan bruke backup, må vi legge til denne funksjonen ved hjelp av Add roles and features fra Server Manager. Windows Server Backup er en Feature, så vi må hoppe over Server Roles.
2. Start Windows Server Backup fra Tools i Server Manager.
3. Velg Backup Schedule.
4. Vi kan velge en full backup eller velge ut deler manuelt ved å velge Custom → Add Items.
5. Velger vi Custom, kan vi krysse av for de disker og foldere vi ønsker å sikkerhetskopiere.
6. System State inneholder viktig systeminformasjon som Registry og Active Directory (der alle brukernavn og passord ligger).
7. Bare Metal Recovery tar backup av det som er nødvendig for å gjenopprette maskinen på en blank maskin (System State) og disk(ene) som inneholder operativsystemet.
8. Deretter kan vi velge når og hvor ofte backupen skal gjentas.
9. Så må vi velge hvor backupen skal lagres. Hvis vi har en ledig disk, enten intern eller ekstern, kan vi velge denne som dedikert backupdisk. Denne disken vil da bli formatert og kan ikke brukes til noe annet enn backup. Vi kan også velge å lagre backup på et ordinært volum eller et nettverkshare på en annen maskin i nettverket. Windows Server Backup kan ikke bruke tapestasjoner.

Recover

Hvis serveren vår fungerer og vi bare ønsker å hente fram noen filer fra backup, kan vi gjøre følgende:

1. Start Windows Server Backup og velg Recover.
2. Velg hvor backupen ligger lagret, hva du ønsker å hente tilbake, og hvilken backup den skal hentes fra.
3. Vi kan plukke ut enkeltfiler og kataloger eller velge et helt volum.
4. Hvis vi ønsker å legge tilbake Active directory fra backup, må vi først starte serveren i Directory Services Restore Mode. Dette kan være noe komplisert.

Hvis serveren vår har kræsjet helt slik at den ikke vil starte opp, må vi bruke Bare Metal Recovery fra backup:

1. Sørg for at mediet som inneholder backupen, er koblet til maskinen.
2. Start opp serveren fra installasjons-DVD-en eller minnepinne.
3. Velg språk.
4. Når du kommer til Install Now-vinduet, velger du Repair Your Computer.
5. Velg deretter Restore System Using A System Image You Created Earlier.
6. Systemet vil nå lete etter backupfilene, og vi kan deretter velge ut hva vil legge tilbake.
7. Hvis backupen ligger på et share på en annen maskin, velg Select a system image og deretter Advanced.

Task Manager

Task Manager gir oss en grei oversikt over hva som foregår på maskinen, og hvor stor belastningen er. Vi starter Task Manager ved å høyreklikke på klokka og velger Start Task Manager. Vi kan også bruke snarveien Ctrl+Shift+Esc eller Alt+Ctrl+Del. For å kunne se det vi trenger, må vi velge More Details.

Apps

Her ser vi oversikt over applikasjoner som f.eks. Internet Explorer eller Word. Vi ser ikke servertjenester eller systemprogramvare her. I enkelte tilfeller kan det være aktuelt å tvinge et program til å stoppe ved å høyreklikke og velge End Task.

Background Processes

Background Processes gir oss en oversikt over hva som kjører på maskinen. Hvis vi vil ha en mer detaljert visning av prosessene, kan vi velge tab-en Details. Det kan være nyttig å se hvilke prosesser som bruker mye memory eller CPU. Vi kan trykke på CPU eller memory for å sortere på disse kolonnene. Hvis vi ser et navn på en prosesser som ikke er selvforklarende, kan vi høyreklikke på det og velge Search Online.

System Idle Prosess belaster ikke CPU-en. Den bare viser ledig CPU-kraft.

Hvis vi høyreklikker på en prosess, kan vi bl.a. velge prioritet og affinity. Affinity betyr at vi kan velge at en prosess kun skal kjøre på én eller noen CPU-er hvis vi har flere prosessorer i maskinen eller én prosessor med flere kjerner.

Services

Her kan vi se hvilke services som kjører. Dette er samme informasjon som vi kan se i Services-konsollet. En nyttig funksjon kan være å høyreklikke på en service og velge Go to Process. Dette er en rask metode for å finne hvilken prosess som hører til en service.

Performance

Her kan vi få en oversikt over belastningen til serveren.

CPU

CPU Usage viser nåværende CPU-belastning totalt for alle prosessorer.

Memory

Her kan vi se på bruken av minnet (RAM). Den største grafen viser hvor mye av det totale minnet som er i bruk.

• Available: Dette er minne som er ledig til bruk for nye programmer som startes. Available memory inkluderer Cached, så størrelsen på denne blir fysisk minne minus In use.
• Cached: Her ligger det data som nylig er blitt brukt. Windows lar data bli liggende i Cache en stund selv om de ikke brukes lenger. På denne måten går det raskere å få tak i dem hvis de trengs senere, fordi det er mye raskere å lese data fra RAM enn fra disk.
• Committed: viser hvor mye minne Windows har "lovt bort" (committed) til applikasjoner og services. Denne kan være noe større enn det minnet som faktisk er i bruk. Den siste verdien er summen (18,3 GB) av fysisk minne og Pagefile.

Paged pool

Paged og NonPaged pool viser oss hvor mye kjernen i Windows bruker av minnet, enten fysisk (Nonpaged) eller virtuelt (Paged). Dette er informasjon som ikke er så viktig i daglig drift.

Pagefile

Pagefile eller virtuelt minne er en metode for å gjøre mer minne tilgjengelig for maskinen. Når minnet (RAM) begynner å bli fullt, lagrer Windows deler av minne som ikke brukes aktivt på disk, slik at det frigjøres minne til andre program. Hvis maskinen må bruke Pagefile ofte, vil vi merke at maskinen vil gå tregere.

Normalt styrer Windows størrelsen på Pagefile selv. I utgangspunktet vil den være like stor som fysisk minne på maskinen- (Vi kan se pagefile.sys på C:\ hvis vi endrer Hide Protected Operating System files under Folder Options i Windows Explorer.)

Hvis vi ønsker, kan vi endre størrelsen på Pagefile her: Controlpanel → System and Security → System → Advanced System Settings → Advanced → Performance Settings → Advanced → Virtual Memory

Ethernet

Ved å velge Ethernet kan vi få en grafisk framstilling av nettverkstrafikken det siste minuttet.

Disk

Windows 2012 har i motsetning til Windows 8 ikke noe valg for å se på trafikken på diskene. Grunnen til dette er at trafikkovervåkning av disker kan stjele en del kapasitet fra serveren. Hvis vi ønsker å se på belastningen av disker, kan vi heller gå til Resource Monitor.

Hvis vi allikevel vil se på disker på samme måte som Windows 8, kan vi gjøre følgende:

1. Åpne et kommandovindu som adminiatrator.
2. Skriv kommandoen diskperf –Y.
3. Lukk Task Manager og start denne på nytt.
4. Nå skal vi kunne velge Disk.
5. For å skru av diskovervåking igjen kan vi bruke kommandoen diskperf –N.

Resource Monitor

Ved å gå inn på Resource Monitor kan vi få en mer detaljert oversikt over ressursbruk, bl.a ved å kunne velge ut enkeltprosesser.

Sikkerhet

Når man setter opp en server, er det alltid viktig å ha datasikkerhet i bakhodet.

Beskyttelse mot uautorisert tilgang

Det kan ligge mange motiver bak forsøk på å få uautorisert tilgang til data. Det kan være hackere utenfra som gjør det for å imponere kameratene sine, eller det kan være din argeste konkurrent som er ute etter fortrolig informasjon. At bedriftens tillitsmann er meget interessert i å se de nye lønnsplanene eller hvilke planer ledelsen har lagt for nedskjæringer, er også en trussel vi må være oppmerksomme på. Undersøkelser viser at størsteparten av forsøkene på å få uautorisert tilgang til data kommer fra egne ansatte eller fra tidligere ansatte. Det er derfor viktig at systemet for intern beskyttelse er vel så bra som beskyttelsen mot angrep fra eksterne kilder.

Fysisk sikring

Serveren bør stå i et avlåst rom hvor færrest mulig har adgang. Har bedriften midler til det, bør det installeres adgangskontroll ved inngangen til serverrommet.

Mange bedrifter har allerede alarm- og vaktordninger som gjør uautorisert tilgang til bygget vanskelig. Det bør også mindre bedrifter vurdere å anskaffe seg. Det hjelper ikke med verdens beste brannvegg (sikkerhetstiltak vis-à-vis Internett) hvis det går an å knuse en rute, ta serveren under armen og gå uten at noen merker det. Selv om server- og nettverksoperativsystemet er beskyttet av passord, vil man med fysisk tilgang til selve serveren ha gode muligheter til å finne de dataene man er ute etter.

Husk også at enhver som har tilgang til en av maskinene i lokalnettet, i teorien kan komme inn på serveren og hente ut de dataene vedkommende trenger. Det er derfor viktig at kontorer låses etter arbeidstid, slik at adgangen til maskinene gjøres vanskeligere.

Sikring av serveren mot interne angrep

Windows Server har en rekke hjelpemidler mot uautorisert tilgang til data. I kapitlet om brukeradministrasjon så vi på hvordan vi kan tildele passord og gi rettigheter til grupper og enkeltbrukere. Det er et viktig verktøy for å hindre at feil personer får tilgang til feil data, men verktøyene er kun til hjelp hvis systemadministratoren er seg sitt ansvar bevisst. Hvis en bruker ønsker å være medlem i en gruppe og administratoren inkluderer vedkommende i gruppen fordi ”det sikkert er OK siden hun spør”, er vi like langt.

Det er viktig at en bedrift eller skole har klare retningslinjer for hvem som skal ha tilgang til de ulike områdene og ressursene på nettverket. Administratorstillingen er i så måte en nøkkelstilling i og med at den gir ubegrenset tilgang til data. Det er vanlig at systempersonell med slik tilgang skriver under på en taushetserklæring og blir nøye vurdert før de settes i en slik posisjon.

Overvåkning

I Windows Server finnes det en del verktøy for å finne og avsløre forsøk på uautorisert adgang til serveren (auditing).

Disse verktøyene kan blant annet hjelpe oss med å finne ut:

• når noen prøver å logge seg på flere ulike konti på serveren (hackere?)
• når en tjeneste (service) ikke starter eller på andre måter oppfører seg mistenkelig
• om brukere prøver å utføre systemkommandoer de ikke har tillatelse til
• om systemet brukes på et tidspunkt det ikke skulle være mulig
• hvilke kommandoer en bruker med administratorrettigheter har benyttet seg av

Fordelen med å logge alt er selvsagt at du får bedre oversikt over hva som har skjedd på serveren. Ulempen er at loggfiler tar plass, og at det kan bli uoversiktlig.

Det finnes en rekke tilleggsprodukter til Windows Server som hjelper oss med å gå igjennom loggfilene for å finne angrep og sikkerhetsbrudd. Du bør vurdere å anskaffe et slikt produkt hvis nettverket har mange brukere og er koblet til Internett via en fastlinje.

Starte overvåkning (Auditing)

1. Gå til Group Policy Management.
2. Finn fram til policyen Default Domain Controller Policy og editer denne.
3. Gå til Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Audit Policy.
4. Velg så de tingene du ønsker å overvåke.

Sikkerhet mot angrep fra Internett

Normalt vil et nettverk som er tilknyttet Internett med fast linje, alltid ha en brannvegg tilgjengelig. En brannvegg sørger for at kun godkjent trafikk slipper inn til lokalnettverket vårt. Ofte bruker vi uoffisielle IP-adresser på innsiden (lokalnettverket) og en offisiell adresse som eneste kontaktpunkt med Internett.

I en normal brannveggkonfigurasjon har vi én forbindelse til Internett og én til lokalnettet. I tillegg har vi en forbindelse til webservere og andre servere som må være tilgjengelige fra Internett. Disse er plassert i den såkalte DMZ-forbindelsen. Her kan vi bruke brannveggen til å si at webserveren vår kun skal godta trafikk på port 80 (http), slik at den blir atskillig vanskeligere å trenge inn i. Vi får også tilgang til å legge ut websider fra lokalnettet vårt.

Antivirus

Vi bør ha oppdatert antivirusprogramvare i nettverket vårt. Denne programvaren må ha en funksjon for regelmessig oppdatering. I motsetning til Windows 10 er det ingen innebygd antivirus funksjon i Windows Server. Det finnes riktignok uoffisielle oppskrifter på hvordan man installerer gratis antivirus fra Microsoft, men hvis man ønsker den offisielle løsningen, kan man kjøpe Microsoft System Center. Man får da en omfattende administrasjonspakke som har mange funksjoner utover antivirus.

Hvis vi kjøper en antivirusprogramvare beregnet for nettverk, får vi også mulighet for å sette opp rapportering slik at vi kan følge med på alle klienter. Vi får da beskjed om maskiner som er smittet, og om klientene er oppdatert med nyeste versjon av antivirusprogramvaren.

Driftssikkerhet

Et overordnet mål er at servere aldri skal være nede (utilgjengelige for brukerne). Dette er et ambisiøst mål, som det bare er mulig å nå i helt spesielle og kostbare installasjoner. Men ved hjelp av en del enkle tiltak kan du oppnå bra stabilitet i enkle nettverk.

Vi skiller mellom planlagte og uforutsette avbrudd i servertilgjengeligheten. Skal du oppgradere eller oppdatere serveren, er du i mange tilfeller tvunget til å starte maskinen på nytt. Det bør du gjøre på et tidspunkt der færrest mulig brukere blir berørt. Husk alltid å informere brukerne om driftsstoppen. Det lønner seg ofte å beregne god tid til slike oppgraderinger, i tilfelle noe skulle gå feil og serveren ikke vil starte igjen. Bruk gjerne en ferie- eller fridag, slik at du har god tid om det skulle oppstå problemer og du for eksempel må legge tilbake data fra en sikkerhetskopi.

Stabil maskinvare

For at en server skal være driftssikker, er det viktig at maskinvaren den kjører på, er av god kvalitet. Det lønner seg sjelden å spare på dette området; du bør benytte anerkjent og utprøvd maskinvare. Det er også viktig at eventuelt ekstrautstyr, som disker, minne og båndstasjoner, er av god kvalitet og blir forskriftsmessig installert.

Flere PC-fabrikanter, for eksempel Hewlett Packard (HP), Dell og IBM, har egne modeller som er laget for å være servermaskiner. De er spesielt tilpasset de kravene som må settes til en server. De kan for eksempel ha god plass for utvidelse med ekstra disker, utvidelseskort og minne. De har dessuten ekstra god kjøling og strømforsyning.

Her har du noen tips når det gjelder maskinvare:

• Vær forsiktig med å utvide med for mye ekstrautstyr. Jo mer utstyr du har, jo flere potensielle feilkilder følger med. Hvis du for eksempel skal utvide minnet, kan det være en fordel heller å bytte ut én minnemodul med en større istedenfor å bygge ut med mange minnemoduler. Det samme gjelder for harddisker, med mindre du har koblet diskene i et RAID.
• Bruk minnemoduler som er tilpasset den maskinen du bruker. Du må ikke nødvendigvis bruke dyrt originalminne – tredjepartstilpasset minne kan også være bra. Unngå det rimeligste minnet fra en ukjent produsent i servere, selv om dette tilsynelatende fungerer.
• Plasser serveren et sted hvor den kan stå i ro, og hvor det ikke er noen fare for at noen kan røre strømledningene til maskinen.

Sjekkliste sikkerhet

• Sørg for at det alltid er backup tilgjengelig. Sjekk at backupkopiene virkelig fungerer.
• Sørg for gode rutiner slik at administratorer og brukere er bevisst hvordan de behandler data.
• Bruk sikre passord og sørg for at de må endres av og til.
• Sørg for å ha god oversikt over hvem som har tilgang til forskjellige fildelinger. Lag en tabell og skriv opp hvis det er mange fildelinger. Bruk sikkerhetsgrupper for tilgangskontroll.
• Sørg for at servere og klienter blir sikkerhetsoppdatert (Windows Update) regelmessig.
• Bruk antivirusprogramvare både på server og klienter og sørg for at den oppdateres.
• Bruk brannmur (firewall), helst både på server, klienter og internettilkobling. Steng alt i brannmuren som utgangspunkt og åpne bare opp for de tjenester som brukes.
• Bruk stabil hardware på servere.
• Bruk alltid disker i RAID-oppsett på server (speiling eller RAID 5) slik at serveren ikke stopper opp bare fordi en disk ryker.
• Vær OBS på bærbare enheter (minnepinner, bærbare PC-er, smarttelefoner o.l.). Hvis f.eks. en bruker mister en minnepinne med viktige dokumenter og ikke har backup av disse, kan dette være et stort problem.