Přejít k obsahu webu
10.1.2019 / kaldy123

Virtual machine move na w2016 core

Poznámka: Článek má obecnější platnost: Nastavení Firewallu pro File Sharing za pomocí Group Policy.

Přesun (move) virtuální mašiny na W2016 jsme si sice popsali minule, ale když jsem to zkusil na „core“ instalaci, akosi som něpochodil. Ta hláška „credential cannot be used“ mě mátla – delegace byla nastavena – tak co ještě chce?!

Došlo mi to za chvíli: credentials byly v pořádku, ale celkem na nic, pokud na firewallu nemáte povoleny porty pro sdílení. Byl jsem na mrtvici: server v instalaci core, GUI veškeré žádné, vymyslet porty nutné pro SMB a napsat cca 5 net-shell příkazů bylo doopravdy nad mé morálně volné vlastnosti.

Vhodné řešení (pro mne) bylo nastavení group policy. Fór je v tom, že politiky si napíšu v pohodlí GUI mých W10 přes RSAT. Tu eleganci vidím v tom, že si napíši malou politiku a budu ji používat pro všechny mašiny, kde sdílení potřebuji. GPO přiřadím na úrovni domény a provedu security filtering na „security global group“. Asi takto:

  1. Vytvoření security global group:
    Práce s AD Users and Computers by neměl být problém, zrouna tak naplnění skupiny (potřebujeme tam mít cílový server – virtuálního hostitele)
  2. Vytvoříme GPO (v Group Policy Management konzole a rovnou pravým tlačítkem na doménu):

    … pokračujeme OK
  3. a vytvořenou politiku zeditujeme (klik pravým na novou politiku):

    otevře se nám editor, v levém panelu rozvineme cestu dle obrázku:
    a v pravém panelu klikem pravého tlačítka v prázdné oblasti vyvoláme dialog „New Rule“, ve kterém nastavíme:
    Odsouhlasíme 2x NEXT a 1xFinish a měli bychom obdržet:
    Editor GPO můžeme nyní zavřít – a navrátíme se ke Group Policy Managementu.
  4. Zbývá nám poslední: nastavit Security Filtering, tj. politika se provede jen pro členy vybrané global security group:
    V levém panelu vybereme právě vytvořenou politiku (EnableFWFileSharing) a v pravém panelu tlačítkem ADD vyvoláme dialog, ve kerém zadáme jméno skupiny, kterou jsme vytvořili v bodě 1 (GroupEnableFWFileSharing) a odsouhlasíme OK.
    Myší označíme identitu Authenticated Users a tlačítkem REMOVE ji odstraníme. Odsouhlasíme několik Warning hlášek a měli bychom obdržet:
  5. Servery, které přesuneme do skupiny GroupEnableFWFileSharing, musíme restartovat, aby politika zabrala a nastavil se Firewall (GpUpdate nestačí!)

Poznámka k nastavení Firewalu pro povolení File Sharing:
Nastavení je ponecháno „na hrubo“ kvůli jednoduchosti.

  •  Ti pokročilejší mohou následně vymazat všechny pravidla (Rules), které se týkají profilu Private (popřípadě Public – objeví-li se). Pracujeme v doméně (používáme Group Policy).
  • Dále: pro účely uvedené v nadpisu (přesun VM), jsou zcela nepotřebná pravidla pro „Echo Request“ a „Spooler Service“ – a lze je tedy vyhodit. Pokud ale chete širší využití politiky – ponechte je.
Reklamy

Zanechat odpověď

Vyplňte detaily níže nebo klikněte na ikonu pro přihlášení:

Logo WordPress.com

Komentujete pomocí vašeho WordPress.com účtu. Odhlásit /  Změnit )

Google+ photo

Komentujete pomocí vašeho Google+ účtu. Odhlásit /  Změnit )

Twitter picture

Komentujete pomocí vašeho Twitter účtu. Odhlásit /  Změnit )

Facebook photo

Komentujete pomocí vašeho Facebook účtu. Odhlásit /  Změnit )

Připojování k %s

%d bloggers like this: