Обновлено 14.05.2019
Добрый день! Уважаемые читатели и гости популярного IT блога Pyatilistnik.org. В прошлый раз мы с вами разобрали работу дедупликации в Windows Server 2019. Сегодняшний пост будет отголоском далекого 2010 года, который подарил нам Windows Server 2008 R2. Недавно ко мне поступила заявка в ManageEngine ServiceDesk, в которой необходимо было для одной виртуальной машины Vmware ESXI увеличить объем оперативной памяти с 32 ГБ до 64 ГБ. Это плевое задание, и я думал, что потрачу на него пару минут, но оказалось, что на уровне настроек виртуальной машины я это сделал, а вот операционная система его не увидела, так как это было ограничение ее редакции. Сегодня я вам покажу, как обновить редакцию Windows Server 2008 r2 Standard до Enterprise.
Ограничения Windows Server 2008 R2
Во времена уже Windows Server 2019, я уже совсем забыл, что ранее до Windows Server 2012 R2, редакции имели какие-то физические ограничения на работу с оборудованием, а не просто лицензирование функций или количества виртуальных машин. Вот вам сравнительная таблица в которой указаны все ограничения, которые накладываются на определенную редакцию Windows Server 2008 R2. Как видно версия Standard имеет ограничение на объем поддерживаемой оперативной памяти в 32 ГБ, а вот Enterprise уже имеет до 2 ТБ.
Чтобы решить нашу задачу и заставить виртуальную машину увидеть 64 ГБ памяти, нам необходимо провести Обновление Windows Server 2008 R2 Standard до Enterprise. Хорошо, что разработчики подумали, о такой возможности, без переустановки операционной системы и сервисов.
Хочу отметить, что есть некоторые ограничения и нюансы, которые не позволят вам провести обновление Windows Server 2008 R2 Standard до Enterprise.
- Во первых вы не сможете таким образов обновить редакцию на сервере, который несет на себе роль контроллера домена, это такая защита от дурака. При таком раскладе, вам с начало нужно передать роли FSMO на данном сервере, если они есть, затем понизить контроллер домена до обычного сервера, при условии, что у вас в сети еще есть сервера с ролью AD DS.Затем произвести процедуру обновления Windows Server 2008 R2 Standard до Enterprise, и далее установить заново роль Active Directory Domain Services. В противном случае вы получите ошибку:
Error: 50. Setting an Edition is not supported with online images
- Вторая ошибка, это «Указанный ключ продукта недопустим для целевой версии. Повторите эту команду еще раз с ключом продукта, специфичным для целевой версии. (Error 1605. The specified product key is not valid for the target edition. Run this command again with a product key specific to the target edition)». Тут вам явно говорят, что у вас явно не валидный ключ, причины простые у вас редакция Volume, требующая GVLK ключа, а вы ему подсовываете MAC ключ. Читайте подробнее про типы ключей по ссылке слева. В обход проблемы можно использовать временный ключ:
489J6-VHDMP-X63PK-3K798-CPX3Y
Данный ключ позволит обновить редакцию, но затем попросит активацию системы.
- Если вы в момент повышения редакции используете KMS ключ, то вам нужно будет чистить старые хвосты KMS записи, как при ошибке активации Windows 0x800700B и 0x87E10BC6. Единственное перед удаление ключей продукта нужно будет выполнить очистку KMS записи через вот такую конструкцию (slmgr.vbs -ckms).
Так же нужно учитывать, что после повышения редакции вы не можете понизить ее, даунгрейда нет
Методы обновления редакции Windows Server 2008 R2
Существует два метода, позволяющие вам провести переход от версии Standard к Enterprise:
- Использование утилиты командной строки DISM, онлайн или оффлайн
- Использование дистрибутива Windows Server 2008 R2 и мастера обновления системы
Оба метода позволяют вам обновлять так Windows Server 2008 R2 в графическом режиме, так и в Core версии.
Учтите, что версию Core нельзя обновить до графической версии
Напоминаю возможные пути обновления редакций:
- С Windows Server 2008 R2 Standard до Windows Server 2008 R2 Enterprise или Windows Server 2008 R2 Datacenter
- С Windows Server 2008 R2 Standard Server Core до Windows Server 2008 R2 Enterprise Server Core или Windows Server 2008 R2 Datacenter Server Core
- С Windows Server 2008 R2 Foundation до Windows Server 2008 R2 Standard
Учитывайте это при своей стратегии перехода от редакции к редакции.
Обновление редакции через утилиту DISM
Чем хорош данный метод, так это тем, что все необходимые файлы он скачает из интернета и вам потребуется всего одна перезагрузка. Что делаем, первым делом нам нужно идентифицировать вашу текущую редакцию Windows, для этого вы можете открыть окно свойств системы, через оснастку control /name Microsoft.System или сочетания клавиш WIN+Pause Break.
Но можно и самой утилитой DISM, если речь идет про Server Core версию. Для этого откройте командную строку или запустите оболочку PowerShell, после чего введите:
DISM /online /Get-CurrentEdition
Видно, что текущий выпуск ServerStandard.
Теперь давайте мы удостоверимся, до каких выпусков мы можем обновиться, для этого введите:
DISM /online /Get-TargetEditions
Видно, что я могу провести обновление до двух выпусков, это
- Конечный выпуск : ServerDataCenter
- Конечный выпуск : ServerEnterprise
Я буду обновляться до ServerEnterprise, выше я приводил временный ключ или GVLK ключ, они потребуются для команды:
DISM /online /Set-Edition:ServerEnterprise /ProductKey: 489J6-VHDMP-X63PK-3K798-CPX3Y (ваш ключ приобретенный Вами для соответствующей редакции Windows 2008 R2).
KMS — Windows Server 2008 R2 Enterprise — 489J6-VHDMP-X63PK-3K798-CPX3Y
KMS — Windows Server 2008 R2 Datacenter — 74YFP-3QFB3-KQT8W-PMXWJ-7M648
Соглашаемся с с выполнением обновления выпуска и пишем «Y», учтите, что нужен будет доступ к интернету и потребуется потом перезагрузка
Проверяем после перезагрузки редакцию системы.
Обновление редакции через диск с дистрибутивом
Данный метод хорош тем, что не требует интернет соединения, подойдет для автономных сетей, но за то более длительный и требует иметь скачанный Windows Server 2008 R2. Выясняем, как я показывал выше текущий выпуск и до каких редакций вы можете обновиться. Далее монтируете ваш дистрибутив с нужным выпуском. Запускаем setup.exe и новую установку, пропускаем поиск обновлений Windows.
Принимаем лицензию и до ходим до момента выбора типа установки, выбираем верхний пункт «Обновление».
Начнется проверка совместимости.
Если в отчете нет критических ошибок, то нажимаем далее.
Начнется процесс распаковки и установки файлов обновления, после двух перезагрузок вы получите результат. В среднем такое обновление занимает минут 15-20.
Надеюсь данная, небольшая инструкция оказалась для вас полезной. С вами был Иван Семин, автор и создатель IT блога Pyatilistnik.org.
Прочитано:
2 707
Случалось ли Вам такое наблюдать, что до Вас в организации куда вы пришли работать большинство серверных операционных систем имеют в своем случае редакцию Standard – я говорю про систему Windows Server 2008 R2, но вот эта редакция Вас не устраивает в ней в отличии от Enterprise не достает такой важной роли как роли создания Кластера систем, еще память — раньше 32Gb считалось достаточно, но со временем запросы выросли и добавление больше не приводит к положительному результату. Сейчас я это дело поправлю, рассмотрев как же все-таки произвести обновление Windows Server 2008 R2 с редакции Standard до редакции Enterprise.
Чтобы текущая заметка у Вас удалась, Вам потребуется лицензионный ключ применительно к редакции Windows Server 2008 R2 Enterprise, а хотя он вообще-то даже не понадобится, справимся и без него.
Текущая система:
C:UsersAdministrator>systeminfo | findstr "OS Name"
Host Name: SRV-DC
OS Name: Microsoft Windows Server 2008 R2 Standard
OS Version: 6.1.7600 N/A Build 7600
OS Manufacturer: Microsoft Corporation
OS Configuration: Standalone Server
OS Build Type: Multiprocessor Free
BIOS Version: innotek GmbH VirtualBox, 12/1/2006
Connection Name: Local Area Connection
Открываем консоль командной строки с правами Администратора и уточняем консольными командами текущую версию оси:
C:UsersAdministrator>dism /online /get-currentedition
Deployment Image Servicing and Management tool
Version: 6.1.7600.16385
Image Version: 6.1.7600.16385
Current edition is:
Current Edition : ServerStandard
The operation completed successfully.
Получаем отчет о доступных версия для обновления:
C:UsersAdministrator>dism /online /get-targeteditions
Deployment Image Servicing and Management tool
Version: 6.1.7600.16385
Image Version: 6.1.7600.16385
Editions that can be upgraded to: (Редакции доступные после обновления)
- Target Edition : ServerDataCenter
- Target Edition : ServerEnterprise
The operation completed successfully.
Из вывода видно, что текущую систему при наличии лицензионного ключа можно произвести обновление до нужной редакции, в моем случае меня интересует редакция Enterprise уровня:
ключ ниже: 489J6-VHDMP-X63PK-3K798-CPX3Y → Это дефолтный KMS ключ от Microsoft
На заметку:
Существую две разновидности ключей от Microsoft: это MAK ключ — по сути это точно такой же ключ который Вы получаете покупая/видя на задней части системного блока компьютера, ноутбука посредством которого можно выполнить активацию приобретенной операционной системы, но с одним лишь отличием что один MAK ключ может позволять активировать несколько компьютеров в локальной или глобальной сети. Себе, другу, подруге.
И также есть KMS ключ — данный ключ позволяет в локальной сети предприятия развернуть свое персональный сервер активации, имея такой ключ и сервис развернутый на его основе можно не заботиться о ручном способе активирования новых систем, системы сами найдут его и активируются.
Произвожу активацию посредством KMS ключа от Microsoft текущей системы до редакции Enterprise:
C:UsersAdministrator>dism /online /set-edition:ServerEnterprise /ProductKey:48
9J6-VHDMP-X63PK-3K798-CPX3Y
Deployment Image Servicing and Management tool
Version: 6.1.7600.16385
Image Version: 6.1.7600.16385
Starting to update components…
Starting to install product key…
Finished installing product key.
Removing package Microsoft-Windows-ServerStandardEdition~31bf3856ad364e35~amd64~
~6.1.7600.16385
[==========================100.0%==========================]
Finished updating components.
Starting to apply edition-specific settings…
Finished applying edition-specific settings.
The operation completed successfully.
Restart Windows to complete this operation.
Do you want to restart the computer now (Y/N)? Y
После подтверждения, система сразу же перезагрузится и начнется обновление системы до редакции Enterprise, скорость в которую все это произойдет зависит от Вашего канала с интернетом, после того как процедура обновления завершится, на экране будет также красоваться надпись с просьбой ввести сочетания клавиш на разблокировку компьютера: Ctrl + Alt + Del, авторизовавшись, в моем случаем:
Login: Administrator
Password: 712mbddr@
А после вызвав консоль командной строки с целью убедиться какая редакция сейчас установлена на сервере:
C:UsersAdministrator>dism /online /get-currentedition
Deployment Image Servicing and Management tool
Version: 6.1.7600.16385
Image Version: 6.1.7600.16385
Current edition is:
Current Edition : ServerEnterprise
The operation completed successfully.
Видим, что текущая редакция системы Enteprise что собственно мне и требовалось. Изменилось еще то, что ранее существовавшая редакция Standard уже прослужившая мне очень долго исчерпала лимит тестового использования по заметке которую я ранее уже публиковал, а теперь имея редакцию Enterprise я могу еще раз использовать систему в течении этих дополнительных 240 дней — Отлично что сказать. А ключ лицензионный ключ я пока поберегу до лучших времен или до очередной проверки либо как некоторая безопасноть от других системных администраторов у меня в отделе, которые могут посредством стронних средств извлечь из системы лицензионный ключ и допустим продать его кому-либо или использовать в своих личных целях дома, а потом сиди гадай почему твоя система вдруг ни с того ни с сего заблокировалась. Но это уже тема отдельной заметки, а пока собственно все, с уважением автор блога — ekzorchik.
- Remove From My Forums
-
Question
Answers
-
Hi,
The command should be Dism /online /Set-Edition:ServerEnterprise /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
The cause was you typed an incorrect key. Please contact your local Microsoft Customer Service to check the key. You must use a Windows Server 2008 R2 Enterprise 64bit key.
The following key is a KMS client key for Windows Server 2008 R2 Enterprise 64bit. I have tested it on my Windows Server 2008 R2 Standard 64bit and it could be used to upgrade to Windows Server 2008 R2 Standard 64bit successfully. You can have a try.
489J6-VHDMP-X63PK-3K798-CPX3Y
If it works, it is certain that you used a wrong key.
Tim Quan — MSFT
-
Marked as answer by
Thursday, February 11, 2010 1:36 AM
-
Marked as answer by
В процессе эксплуатации Windows Server 2008 R2 системный администратор может столкнутся с ограничениями установленной редакции ОС, которые не позволяют воспользоваться тем или иным функционалом сервера, например в редакции 2008 R2 Standard нельзя использовать более 32 Гб оперативной памяти, или развертывать решения Failover Cluster, RRAS, RDS и т.д. В предыдущих версиях Windows Server в такой ситуации приходилось полностью переустанавливать систему на «старшую» редакцию ОС. В Windows Server 2008 R2 из этой ситуации есть выход, т.к. в ней существует возможность обновиться до старшей версии ОС (например, с редакции Standard до Enterprise) без переустановки сервера.
Обновление выполняется при помощи утилиты DISM, и может быть выполнено как в автономном (офлайн) режиме, так и прямо в процессе работы сервера (онлайн режим). Обновление не требует переустановки системы, и текущие настройки сервера (роли, компоненты и другие приложения) сохраняются. Обновление возможно, как в режиме Server Core, так и в Full GUI версии Windows 2008 R2, однако следует понимать, что переход от версии Server Core к полной установке 2008 R2 невозможен (в Windows Server 2012 возможно переключатся между Full и Core режимами). Возможно обновление с младшей редакции Windows Server 2008 R2 до старшей версии, обратная процедура понижения редакции (даунгрейд) невозможна.
Доступные варианты обновления редакции Windows Server 2008 R2:
- Windows Server 2008 R2 Standard —> Windows Server 2008 R2 Enterprise —> Windows Server 2008 R2 Datacenter
- Windows Server 2008 R2 Standard Server Core —> Windows Server 2008 R2 Enterprise Server Core —> Windows Server 2008 R2 Datacenter Server Core
- Windows Server 2008 R2 Foundation —> Windows Server 2008 R2 Standard
Итак, утилита DISM.exe уже входит в комплект поставки Windows Server 2008 R2 и дополнительно устанавливать ничего не нужно.
Чтобы узнать текущую версию Windows Server 2008 R2, в командной строке выполните команду:
DISM /online /Get-CurrentEdition
Если команда вернет ServerStandard, это означает что текущая редакция установленной ОС — Windows Server 2008 R2 Standard.
Получим список редакций, до которых нам можно проапгрейдится:
DISM /online /Get-TargetEditions
В данном случае возможно обновление до версий:
- Windows Server 2008 R2 Datacenter (ServerDataCenter)
- Windows Server 2008 R2 Enterprise (ServerEnterprise)
Чтобы выполнить обновление до Windows 2008 R2 Enterprise выполните команду:
DISM /online /Set-Edition:ServerEnterprise /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
Где XXXXX-XXXXX-XXXXX-XXXXX-XXXXX – приобретенный Вами ключ продукта для соответствующей редакции Windows 2008 R2.
В том случае, если для активации планируется использовать сервер KMS, воспользуйтесь KMS ключом для Windows Server 2008 R2 Enterprise (так называемый GVLK ключ).
| Windows Server 2008 R2 Enterprise | 489J6-VHDMP-X63PK-3K798-CPX3Y |
| Windows Server 2008 R2 Datacenter | 74YFP-3QFB3-KQT8W-PMXWJ-7M648 |
KMS ключ поможет также в том случае, если с помощью Вашего MAK / retail ключа от соответствующей версии Windows Server обновиться не получается. Не забудьте после обновления изменить KMS ключ на ваш с помощью команды:
slmgr /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
В том случае если сервер, который планируется обновить, является контроллером домена Active Directory, необходимо перед обновлением версии ОС выполнить с помощью команды DCPROMO понижение роли сервера до рядового сервера домена, и лишь затем выполнить апгрейд версии ОС. После этого сервер нужно перезагрузить и опять поднять на нем контроллер домена.
В процессе обновления версий могут появиться такие ошибки:
- Setting an Edition is not supported with online images – скорее всего на сервере развернута роль контроллера домена Active Directory (роль AD DS). Как мы уже говорили выше – необходимо понизить роль сервера для рядового сервера домена.
- The specified product key is not valid for the target edition. Run this command again with a product key specific to the target edition – по какой-то причине ОС не принимает указанный ключ, если вы уверены, что ключ валидный и соответствует редакции Windows Server, до которой проводится обновление, проведите обновление с KMS ключом (список ключей выше)
Last updated 7th July 2022
Objective
When you install a Windows Server operating system, the product key – also known as a KMS (Key Management Service) key – may not be installed correctly. In such cases, the operating system has been installed with a 120-day trial key. Once this time period elapses, the operating system can no longer be used.
This guide will show you how to change the product key for your Windows Server environment.
Requirements
- A dedicated server with Windows installed in your OVHcloud account
- A Windows SPLA licence in your OVHcloud account
- Administrative access to your server via remote desktop connection
Instructions
Uninstall the default product key
When your operating system is in trial mode, a default product key is installed. To modify it, open the Run dialogue box (Windows key + R):
In this box, enter the following command:
cscript.exe c:windowssystem32slmgr.vbs -upk
Install the new product key
You can now install the new product key. To do so, go back to the Run box, and enter the following command:
cscript.exe c:windowssystem32slmgr.vbs -ipk PRODUCT KEY
Below is a list of the product keys available for each operating system:
| Operating system | Product key |
|---|---|
| Windows Server 2008 Standard | TM24T-X9RMF-VWXK6-X8JC9-BFGM2 |
| Windows Server 2008 Enterprise | YQGMW-MPWTJ-34KDK-48M3W-X4Q6V |
| Windows Server 2008 Datacenter | 7M67G-PC374-GR742-YH8V4-TCBY3 |
| Windows Server 2008 R2 Standard | YC6KT-GKW9T-YTKYR-T4X34-R7VHC |
| Windows Server 2008 R2 Enterprise | 489J6-VHDMP-X63PK-3K798-CPX3Y |
| Windows Server 2008 R2 Datacenter | 74YFP-3QFB3-KQT8W-PMXWJ-7M648 |
| Windows Server 2012 Standard | XC9B7-NBPP2-83J2H-RHMBY-92BT4 |
| Windows Server 2012 Datacenter | 48HP8-DN98B-MYWDG-T2DCC-8W83P |
| Windows Server 2012 R2 Standard | D2N9P-3P6X9-2R39C-7RTCD-MDVJX |
| Windows Server 2012 R2 Datacenter | W3GGN-FT8W3-Y4M27-J84CP-Q3VJ9 |
| Windows 8.1 Professional | GCRJD-8NW9H-F2CDX-CCM8D-9D6T9 |
| Windows Server 2016 Datacenter | CB7KF-BWN84-R7R2Y-793K2-8XDDG |
| Windows Server 2016 Standard | WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY |
| Windows Server 2016 Essentials | JCKRF-N37P4-C2D82-9YXRT-4M63B |
| Windows Server 2019 Standard | N69G4-B89J2-4G8F4-WWYCC-J464C |
| Windows Server 2019 Datacenter | WMDGN-G9PQG-XVVXX-R3X43-63DFG |
| Windows Server 2022 Standard | VDYBN-27WPP-V4HQT-9VMD4-VMK7H |
| Windows Server 2022 Datacenter | WX4NM-KYWYW-QJJR4-XV3QB-6VM33 |
Source: Microsoft
Core versions use the same product keys as non-core versions.
Go to kms.ovh.net
To associate your key with our automated activation system, enter the command below in the Run dialogue box:
cscript.exe c:windowssystem32slmgr.vbs -skms kms.ovh.net
If you are using a VPS or Public Cloud instance, you will need to use kms.cloud.ovh.net.
Activate the system
Lastly, to activate your Windows operating system, simply enter the command below:
cscript.exe c:windowssystem32slmgr.vbs -ato
Go further
Join our community of users on https://community.ovh.com/en/.
Did you find this guide useful?
Please feel free to give any suggestions in order to improve this documentation.
Whether your feedback is about images, content, or structure, please share it, so that we can improve it together.
Your support requests will not be processed via this form. To do this, please use the
«Create a ticket»
form.
Thank you. Your feedback has been received.
These guides might also interest you…
Кто-то из вас наверняка слышал про инцидент , который был обнародован совсем недавно. Американский производитель полупроводников Allegro MicroSystem LLC подал в суд на своего бывшего IT-специалиста за саботаж. Нимеш Пател, проработавший в компании 14 лет, уничтожил важные финансовые данные в первую неделю нового фискального года.
Как это произошло?
Через две недели после своего увольнения Пател зашел на территорию штаб-квартиры компании в Вустере (штат Массачусетс, США) с целью поймать корпоративную сеть Wi-Fi. Используя учетные данные бывшего коллеги и рабочий ноутбук, Пател авторизовался в корпоративной сети. Затем он внедрил в модуль Oracle код и запрограммировал его выполнение на 1 апреля 2016 года — первую неделю нового финансового года. Код предназначался для копирования определенных заголовков или указателей в отдельную таблицу базы данных и следующего удаления их из модуля. Ровно 1 апреля данные были удалены из системы. И поскольку злоумышленник авторизовался в сети Allegro легально, его действия были замечены не сразу.
Подробности широкая общественность не знает, но скорее всего инцидент стал возможен во многом благодаря тому, что в компании для доступа в сеть использовалась парольная аутентификация. Наверняка там были и другие проблемы с безопасностью, но именно пароль можно похитить незаметно для пользователя и факт кражи пароля не будет обнаружен, в лучшем случае вплоть до момента использования похищенных учетных данных.
Применение строгой двухфакторной аутентификации и запрет на использование паролей в сочетании с грамотной политикой безопасности могли бы помочь, если не избежать описанного развития событий, то сильно затруднить реализацию такого плана.
Мы расскажем о том, как можно значительно повысить уровень безопасности вашей компании и защитить себя от подобных инцидентов. Вы узнаете, как настроить аутентификацию и подпись важных данных, используя токены и криптографию (как иностранную, так и отечественную).
В первой статье мы объясним как настроить строгую двухфакторную аутентификацию с использованием PKI при входе в доменную учетную запись в Windows.
В следующих статьях мы расскажем вам, как настроить Bitlocker, защитить электронную почту и простейший документооборот. Также мы вместе с вами настроим безопасный доступ к корпоративным ресурсам и безопасный удаленный доступ по VPN.
Двухфакторная аутентификация
Опытным системным администраторам и службам безопасности хорошо известно, что пользователи крайне не сознательны в вопросе соблюдения политик безопасности, они могут записать свои учетные данные на стикере и приклеить его рядом с компьютером, передать пароли своим коллегам и тому подобное. Особенно часто это происходит, когда пароль сложный (содержащий более 6 знаков и состоящий из букв разного регистра, цифр и специальных символов) и его трудно запомнить. А ведь такие политики администраторами задаются не просто так. Это необходимо для защиты учетной записи пользователя от простого перебора паролей по словарю. Также администраторы рекомендуют менять пароли хотя бы раз в 6 месяцев, просто из того соображения, что за это время теоретически можно отбрутфорсить даже сложный пароль.
Давайте вспомним, что такое аутентификация. В нашем случае это процесс подтверждения подлинности субъекта или объекта. Аутентификация пользователя — это процесс подтверждения подлинности пользователя.
А двухфакторная аутентификация — это такая аутентификация, в которой необходимо использовать не менее двух различных способов для подтверждения своей личности.
Простейшим примером двухфакторной аутентификации в реальной жизни является сейф с замком и кодовой комбинацией. Чтобы открыть такой сейф необходимо знать код и владеть ключом.
Токен и смарт-карта
Наверно, самым надежным и простым в реализации способом двухфакторной аутентификации является использование криптографического токена или смарт-карты. Токен — это USB-устройство, которое является и считывателем, и смарт-картой одновременно. Первым фактором в таком случае является факт владения устройством, а вторым — знание его PIN-кода.
Использовать токен или смарт-карту, тут кому, что удобнее. Но исторически так сложилось, что в России больше привыкли использовать токены, так как они не требуют использования встроенных или внешних считывателей смарт-карт. У токенов есть и свои минусы. Например, на нем не напечатаешь фотографию.
На фотографии изображена типичная смарт-карта и считыватель.
Однако вернемся к корпоративной безопасности.
А начнем мы с домена Windows, ведь в большинстве компаний в России корпоративная сеть построена именно вокруг него.
Как известно, политики Windows-домена, настройки пользователей, настройки групп в Active Directory предоставляют и разграничивают доступ к огромному количеству приложений и сетевых сервисов.
Защитив учетную запись в домене, мы можем защитить большинство, а в некоторых случаях и вообще все внутренние информационные ресурсы.
Почему двухфакторная аутентификация в домене по токену с PIN-кодом безопаснее обычной парольной схемы?
PIN-код привязан к определенному устройству, в нашем случае к токену. Знание PIN-кода само по себе ничего не дает.
Например, PIN-код от токена можно диктовать по телефону другим лицам и это ничего не даст злоумышленнику, если вы достаточно бережно относитесь к токену и не оставляете его без присмотра.
С паролем же ситуация совершенно иная, если злоумышленник подобрал, угадал, подсмотрел или еще каким-то образом завладел паролем от учетной записи в домене, то он сможет беспрепятственно зайти, как в сам домен, так и в другие сервисы компании, в которых используется эта же учетная запись.
Токен является уникальным некопируемым физическим объектом. Им обладает легитимный пользователь. Двухфакторную аутентификацию по токену можно обойти только тогда, когда администратор намеренно или по недосмотру оставил для этого «лазейки» в системе.
Преимущества входа в домен по токену
PIN-код от токена проще запомнить, так как он может быть намного проще пароля. Каждый наверняка хоть раз в жизни видел, как «опытный» пользователь мучительно не может с нескольких попыток аутентифицироваться в системе, вспоминая и вводя свой «безопасный» пароль.
PIN-код не обязательно постоянно менять, так как токены более устойчивы к перебору PIN-кодов. После некоторого числа неудачных попыток ввода, токен блокируется.
При использовании токена для пользователя вход в систему выглядит следующим образом: после загрузки компьютера, он просто подключает токен к USB-порту компьютера, вводит 4-6 цифр и нажимает кнопку Enter. Скорость ввода цифр у обычных людей выше, чем скорость ввода букв. Поэтому PIN-код вводится быстрее.
Токены позволяют решить проблему «брошенного рабочего места» — когда пользователь уходит со своего рабочего места и забывает выйти из своей учетной записи.
Политика домена может быть настроена таким образом, чтобы компьютер автоматически блокировался при извлечении токена. Также токен может быть оснащен RFID-меткой для прохода между помещениями компании, поэтому не забрав токен со своего рабочего места, сотрудник просто не сможет перемещаться по территории.
Недостатки, куда же без них
Токены или смарт-карты не бесплатные (решается бюджетом).
Их нужно учитывать, администрировать и обслуживать (решается системами управления токенами и смарт-картами).
Некоторые информационные системы могут «из коробки» не поддерживать аутентификацию по токенам (решается системами типа Single Sign-On — предназначенными для организации возможности использования единой учетной записи для доступа к любым ресурсам области).
Настройка двухфакторной аутентификации в домене Windows
Теоретическая часть:
Служба каталога Active Directory поддерживает возможность аутентификации с помощью смарт-карты и токена, начиная с Windows 2000. Она заложена в расширении PKINIT (public key initialization — инициализация открытого ключа) для протокола Kerberos RFC 4556 .
Протокол Kerberos был специально разработан для того, чтобы обеспечить надежную аутентификацию пользователей. Он может использовать централизованное хранение аутентификационных данных и является основой для построения механизмов Single Sing-On. Протокол основан на ключевой сущности Ticket (билет).
Ticket (билет) является зашифрованным пакетом данных, который выдается доверенным центром аутентификации, в терминах протокола Kerberos — Key Distribution Center (KDC, центр распределения ключей).
Когда пользователь выполняет первичную аутентификацию после успешного подтверждения его подлинности, KDC выдает первичное удостоверение пользователя для доступа к сетевым ресурсам — Ticket Granting Ticket (TGT).
В дальнейшем при обращении к отдельным ресурсам сети, пользователь, предъявляет TGT, получает от KDC удостоверение для доступа к конкретному сетевому ресурсу — Ticket Granting Service (TGS).
Одним из преимуществ протокола Kerberos, обеспечивающим высокий уровень безопасности, является то, что при любых взаимодействиях не передаются ни пароли, ни значения хеша паролей в открытом виде.
Расширение PKINIT позволяет использовать двухфакторную аутентификацию по токенам или смарт-картам на этапе предаутентификации Kerberos.
Вход в систему может быть обеспечен, как при использовании службы каталога домена, так и локальной службы каталога. TGT создается на основе электронной подписи, которая вычисляется на смарт-карте или токене.
Все контроллеры доменов должны иметь установленный сертификат Domain Controller Authentication, или Kerberos Authentication, т. к. реализуется процесс взаимной аутентификации клиента и сервера.
Практика:
Приступим к настройке.
Сделаем так, чтобы в домен под вашей учетной записью можно было зайти только по предъявлению токена и зная PIN-код.
Для демонстрации мы будем использовать Рутокен ЭЦП PKI производства компании «Актив».
1 Этап — Настройка домена Первым делом установим службы сертификации.
Дисклеймер.
Эта статья не является туториалом по внедрению корпоративного PKI. Вопросы проектирования, разворачивания и грамотного применения PKI тут не рассматриваются ввиду необъятности этой темы.
Все контроллеры доменов и все клиентские компьютеры в рамках леса, где осуществляется внедрение такого решения, обязательно должны доверять корневому Удостоверяющему Центру (Центру Сертификации).
Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.
Технически центр сертификации реализован как компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.
Удостоверяющий центр, выдающий сертификаты для использования смарт-карт или токенов, должен быть помещен в хранилище NT Authority.
Зайдите в Диспетчер сервера и выберите «Добавить роли и компоненты».
При добавлении ролей сервера выберите «Службы сертификации Active Directory» (Microsoft категорически рекомендует не делать это на контроллере домена, дабы не огрести проблем с производительностью). В открывшемся окне выберите «Добавить компоненты» и выберите пункт «Центр сертификации».
На странице для подтверждения установки компонентов нажмите «Установить».
2 Этап — Настройка входа в домен с помощью токена
Для входа в систему нам понадобится сертификат, который содержит идентификаторы Smart Card Logon и Client Authentication.
Сертификат для смарт-карт или токенов также должен содержать UPN пользователя (суффикс имени участника-пользователя). По умолчанию суффиксом имени участника-пользователя для учетной записи является DNS-имя домена, которое содержит учетную запись пользователя.
Сертификат и закрытый ключ должны быть помещены в соответствующие разделы смарт-карты или токена, при этом закрытый ключ должен находиться в защищенной области памяти устройства.
В сертификате должен быть указан путь к точке распространения списка отзыва сертификатов (CRL distribution point). Такой файл содержит список сертификатов с указанием серийного номера сертификата, даты отзыва и причины отзыва. Он используется для передачи сведений об отозванных сертификатах пользователям, компьютерам и приложениям, пытающимся проверить подлинность сертификата.
Настроим установленные службы сертификации. В правом верхнем углу нажмите на желтый треугольник с восклицательным знаком и щелкните «Настроить службы сертификации…».
В окне «Учетные данные» выберите необходимые учетные данные пользователя для настройки роли. Выберите «Центр сертификации».
Выберите «ЦС предприятия».
ЦС предприятия интегрированы с AD. Они публикуют сертификаты и списки отзыва сертификатов в AD.
Укажите тип «Корневой ЦС».
На следующем этапе выберите «Создать новый закрытый ключ».
Выберите период действия сертификата.
3 этап — Добавление шаблонов сертификатов
Для добавления шаблонов сертификатов откройте Панель управления, выберите пункт «Администрирование» и откройте Центр сертификации.
Щелкните по названию папки «Шаблоны сертификатов», выберите пункт «Управление».
Щелкните по названию шаблона «Пользователь со смарт-картой» и выберите пункт «Скопировать шаблон». На следующих скриншотах показано, какие параметры в окне «Свойства нового шаблона» необходимо изменить.
Если в списке поставщиков нет «Aktiv ruToken CSP v1.0», то необходимо установить комплект «Драйверы Рутокен для Windows».
Начиная с Windows Server 2008 R2 вместо специального провайдера от производителя можно использовать «Microsoft Base Smart Card Crypto Provider».
Для устройств Рутокен библиотека «минидрайвера», поддерживающая «Microsoft Base Smart Card Crypto Provider», распространяется через Windows Update.
Проверить установился ли «минидрайвер» на вашем сервере можно подключив Рутокен к нему и посмотрев в диспетчер устройств.
Если «минидрайвера» по каким-то причинам нет, его можно установить принудительно, инсталлировав комплект «Драйверы Рутокен для Windows», а после этого воспользоваться «Microsoft Base Smart Card Crypto Provider».
Комплект «Драйверы Рутокен для Windows» распространяется бесплатно с сайта Рутокен .
Добавьте два новых шаблона «Агент сертификации» и «Пользователь с Рутокен».
Для этого выйдите из окна «Управления шаблонами». Нажмите правой кнопкой мыши на «Шаблоны сертификатов» и выберите пункт меню «Создать» и подпункт «Выдаваемый шаблон сертификата».
Далее выберите «Агент регистрации» и «Пользователь с Rutoken» и нажмите «ОК».
В результате названия этих шаблонов отобразятся в центре сертификации.
Далее нам необходимо выписать сертификат администратору домена. Откройте службу «Выполнить» и укажите команду mmc. Добавьте оснастку «Сертификаты».
В окне «Оснастки диспетчера сертификатов» выберите «моей учетной записи пользователя». В окне «Добавление и удаление оснастки» подтвердите добавление сертификатов.
Выберите папку «Сертификаты».
Запросите новый сертификат. Откроется страница для регистрации сертификата. На этапе запроса сертификата выберите политику регистрации «Администратор» и нажмите «Заявка».
Таким же образом запросите сертификат для Агента регистрации.
Чтобы запросить сертификат для определенного пользователя щелкните «Сертификаты», выберите пункт «Зарегистрироваться от имени…».
В окне для запроса сертификата установите флажок «Пользователь с Рутокен».
Теперь необходимо выбрать пользователя.
В поле «Введите имена выбранных объектов» укажите имя пользователя в домене и нажмите «Проверить имя».
В окне для выбора пользователя нажмите «Заявка».
В раскрывающемся списке выберите имя токена и укажите PIN-код.
Таким же образом выберите сертификаты для других пользователей в домене.
4 этап — Настройка учетных записей пользователей
Для настройки учетных записей откройте список пользователей и компьютеров AD.
Выберите папку Users и пункт «Свойства».
Перейдите на вкладку «Учетные записи», установите флажок «Для интерактивного входа в сеть нужна смарт-карта».
Настройте политики безопасности. Для этого откройте Панель управления и выберите пункт «Администрирование». Откройте меню для управления групповой политикой.
В левой части окна «Управление групповой политикой» щелкните «Default Domain Policy» и выберите пункт «Изменить».
В левой части окна «Редактор управления групповыми политиками» выберите пункт «Параметры безопасности».
Откройте политику «Интерактивный вход в систему: требовать смарт-карту».
На вкладке «Параметры политики безопасности» установите флажки «Определить следующий параметр политики» и «Включен».
Откройте политику «Интерактивный вход в систему: поведение при извлечении смарт-карты».
На вкладке «Параметры политики безопасности» установите флажок «Определить следующий параметр политики», из раскрывающегося списка выберите «Блокировка рабочей станции».
Перезагрузите компьютер. И при следующей попытке аутентификации в домене уже можно будет использовать токен и его PIN-код.
BINGO!
Двухфакторная аутентификация для входа в домен настроена, а значит существенно повышен уровень безопасность для входа в Windows домен без траты безумной суммы на дополнительные средства защиты. Теперь без токена вход в систему невозможен, а пользователи могут вздохнуть спокойно и не мучиться со сложными паролями.
Следующий шаг — безопасная почта, об этом и о настройке безопасной аутентификации в других системах читайте в наших следующих статьях.
If you need to upgrade a server running Windows Server Standard to either the Enterprise, or Datacenter editions, it’s possible to do so online, without re-installing Windows.
Open an elevated command prompt and type DISM /Online /Get-CurrentEdition. This will return the current Windows version.
Type DISM /Online /Get-TargetEditions to list the Windows editions to which this server can be upgraded.
If you type DISM /Online /Set-Edition:ServerDataCenter you’ll get the message in the screenshot below. This is because even if you’re using a KMS server for internal activation, you have to provide a product key. Fortunately, Microsoft have a page that lists the KMS client setup keys http://technet.microsoft.com/en-us/library/ff793421.aspx. On this page you can find keys for multiple Windows Server versions.
Typing DISM /Online /Set-Edition:ServerDataCenter /ProductKey:xxxxxx will upgrade the operating system. All that’s required to complete the upgrade is a reboot.
Относительно недавно один из наших серверов стал требовать значительно больше оперативной памяти. Так как на сервере была установлена операционная система Windows Server Standart 2008 R2, которая имеет ограничение 32Гб на оперативную память, помимо добавления оперативки пришлось купить и обновить версию операционки. Мануальчик по апдейту ниже.
Вариант первый. Онлайн-обновление.
Если сервер подключен к интернету проще всего обновиться консольной утилитой DISM.
Команды:
DISM /online /Get-CurrentEdition
— просмотреть текущую версию ОС.
DISM /online /Get-TargetEditions
— просмотреть версии на которые можно обновиться.
DISM /online /Set-Edition:<edition ID> /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
— команда для обновления, <edition ID> — версия ОС на которую обновляемся, XXXXX-XXXXX-XXXXX-XXXXX-XXXXX — лицензионный ключ версии на которую обновляемся.
Возможные проблемы:
1. DISM не принимает лицензионный ключ, пишет:
Error: 1605
The specified product key is not valid for the target edition.
Run this command again with a product key specific to the target edition.
The DISM log file can be found at C:WindowsLogsDISMdism.log
Я так понимаю, dism не нравятся MAK-ключи. Вводим для обновления KMS-ключ. Взять можно отсюда. На всякий случай зеркало:
KMS-ключи Windows Vista/7/Server2008/Server2008R2
|
Platform |
Operating system edition |
Product key |
|
Windows 7 and Windows Server 2008 R2 |
||
|
Client |
Windows 7 Professional |
FJ82H-XT6CR-J8D7P-XQJJ2-GPDD4 |
|
Client |
Windows 7 Professional N |
MRPKT-YTG23-K7D7T-X2JMM-QY7MG |
|
Client |
Windows 7 Professional E |
W82YF-2Q76Y-63HXB-FGJG9-GF7QX |
|
Client |
Windows 7 Enterprise |
33PXH-7Y6KF-2VJC9-XBBR8-HVTHH |
|
Client |
Windows 7 Enterprise N |
YDRBP-3D83W-TY26F-D46B2-XCKRJ |
|
Client |
Windows 7 Enterprise E |
C29WB-22CC8-VJ326-GHFJW-H9DH4 |
|
Server |
Windows Server 2008 R2 Web |
6TPJF-RBVHG-WBW2R-86QPH-6RTM4 |
|
Server |
Windows Server 2008 R2 HPC edition |
TT8MH-CG224-D3D7Q-498W2-9QCTX |
|
Server |
Windows Server 2008 R2 Standard |
YC6KT-GKW9T-YTKYR-T4X34-R7VHC |
|
Server |
Windows Server 2008 R2 Enterprise |
489J6-VHDMP-X63PK-3K798-CPX3Y |
|
Server |
Windows Server 2008 R2 Datacenter |
74YFP-3QFB3-KQT8W-PMXWJ-7M648 |
|
Server |
Windows Server 2008 R2 for Itanium-based Systems |
GT63C-RJFQ3-4GMB6-BRFB9-CB83V |
|
Windows Vista and Windows Server 2008 |
||
|
Client |
Windows Vista Business |
YFKBB-PQJJV-G996G-VWGXY-2V3X8 |
|
Client |
Windows Vista Business N |
HMBQG-8H2RH-C77VX-27R82-VMQBT |
|
Client |
Windows Vista Enterprise |
VKK3X-68KWM-X2YGT-QR4M6-4BWMV |
|
Client |
Windows Vista Enterprise N |
VTC42-BM838-43QHV-84HX6-XJXKV |
|
Server |
Windows Web Server 2008 |
WYR28-R7TFJ-3X2YQ-YCY4H-M249D |
|
Server |
Windows Server 2008 Standard |
TM24T-X9RMF-VWXK6-X8JC9-BFGM2 |
|
Server |
Windows Server 2008 Standard without Hyper-V |
W7VD6-7JFBR-RX26B-YKQ3Y-6FFFJ |
|
Server |
Windows Server 2008 Enterprise |
YQGMW-MPWTJ-34KDK-48M3W-X4Q6V |
|
Server |
Windows Server 2008 Enterprise without Hyper-V |
39BXF-X8Q23-P2WWT-38T2F-G3FPG |
|
Server |
Windows Server 2008 HPC |
RCTX3-KWVHP-BR6TB-RB6DM-6X7HP |
|
Server |
Windows Server 2008 Datacenter |
7M67G-PC374-GR742-YH8V4-TCBY3 |
|
Server |
Windows Server 2008 Datacenter without Hyper-V |
22XQ2-VRXRG-P8D42-K34TD-G3QQC |
|
Server |
Windows Server 2008 for Itanium-Based Systems |
4DWFP-JF3DJ-B7DTH-78FJB-PDRHK |
После обновления заходим в свойства системы, внизу нажимаем ввести ключ продукта и вводим свой ключ. Также сменить ключ можно командой:
slmgr /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
2. Если на сервере включена роль сервера терминалов, слетает активация сервера лицензирования удаленных рабочих столов. У меня спокойно заново активировался по тем же данным. Также слетают лицензии стороннего ПО, которые привязаны к версии операционной системы, что логично. Тут уже всё зависит от софта.
Вариант второй. Оффлайн-обновление.
На сайте мелкомягких пишут, что достаточно вставить диск с дистрибутивом ОС на которую обновляемся, запустить setup.exe и выбрать вариант «Обновление». После чего программа установки попросит ввести ключ и обновит ОС.
Сам данный способ не пробовал, так что не знаю какие проблемы могут возникнуть.