Windows 10 asennuksen vastaustiedostot sekä catalog tiedosto

Assasment and Deployment Kit (ADK) ohjelmiston mukana ei enää tule automatisoidussa asennuksessa käytettäviä vastaustiedostomalleja. Tämän takia automatisoidussa asennuksessa käytettäviin vastaustiedostoihin tutustuminen voi olla hankalaa. On paljon helpompaa luoda omassa ympäristössä käytettävä vastaustiedosto vastaustiedostomallin pohjalta kuin lähteä liikkeelle tyhjästä vastaustiedostosta. Monet asennusjärjestelmät kuten System Center Configuration Manager, Microsoft Deployment Toolkit “ piilottavat” vastaustiedostot syvälle järjestelmään, eikä ylläpitäjän tarvitse niihin välttämättä kajota. Vastaustiedostot ovat kuitenkin edelleen osa Windows asennusta ja ylläpitäjän on hyvä tuntea ainakin perusteet niiden käytöstä.

Olen käyttänyt alla näkyviä vastaustiedostoja tutustuttaessani opiskelijoita vakioidun Windows asentamisen perusteisiin. Vastaustiedostojen lisäksi ladattavissa on ns. katalogi (catalog) jota käytetään yhdessä Windows System Image Managerin kanssa vastaustiedostoja muokattaessa.

Vastaustiedostoja voi muokata tarpeen mukaan Windows System Image Manager ohjelman avulla omaan ympäristöön sopiviksi.

Kaikki vastaustiedostot soveltuvat Windows 10 1809 käyttöjärjestelmän asentamiseen. Vastaustiedoissa on näyttökieleksi asetettu englanti.

Audit tilaan asentava vastaustiedosto

Audit tilan vastaustiedostoa käytetään ns. mallityöasesemaa / referenssityöasemaa asennettaessa. Vastaustiedosto asentaa työaseman ns. Audit tilaan jossa sille voidaan tehdä tarvittavat määritykset. Työasema voidaan tallentaa Audit tilasta näköistiedostoksi valmistelevien toimenpiteiden jälkeen (esim sovellusohjelmien asentaminen, halutut mukautukset käyttöjärjestelmään jo lopulta “syspreppaus”) .

Vastaustiedosto on ladattavissa erikseen sekä BIOS työasemille että UEFI/EFI työasemille. Vastaustiedostot poikkeavat toisistaan ainoastaan kiintolevyn osioinnin osalta.

Vastaustiedostot eivät luo työasemaan paikallisia käyttäjiä (audit tila ei tätä vaadi).

LATAA VASTAUSTIEDOSTO TÄSTÄ (BIOS)

LATAA  VASTAUSTIEDOSTO TÄSTÄ ((UEFI/EFI)

Järjestelmän valmistelu työkalun eli Sysprep.exe ohjelman kanssa käytettävä vastaustiedosto

Vastaustiedosto on tarkoitettu “upotettavaksi” näköistiedostoon. Vastaustiedosto tallennetaan Windows\System32\Sysprep kansioon ja määritetään käytettäväksi sysprep.exe ohjelman /unattend parametrin avulla.Dism.exe mahdollistaa vastaustiedoston upottamisen myös ns. offline näköistiedostoon. Samaa vastaustiedostoa voidaan käyttää sekä BIOS että UEFI/EFI työasemissa sillä vastaustiedosto ei ota kantaa kiintolevyn osiontiin.

Vastaustiedosto aktivoi paikallisen järjestelmänvalvojan ja asettaa salasanaksi P@ssw0rd Lisäksi vastaustiedosto luo uuden user nimisen paikallisen käyttäjän ja asettaa käyttäjän salasanaksi P@ssw0rd 

Vastaustiedosto pyrkii liittämään työaseman yritysoy.test nimiseen toimialueeseen toimialueelle olevaa liitos_tunnus nimistä käyttäjätunnusta käyttäen. Työlasema liitetään toimialueella olevaan Työasemat nimiseen organisaatioyksikköön. Em. liitos_tunnus käyttäjän salasanaksi on asetettu P@ssw0rd

LATAA VASTAUSTIEDOSTO TÄSTÄ (BIOS ja UEFI/EFI)

Oobe tilaan asentavat vastaustiedostot

Vastaustiedostoa käytetään Windowsin asentamiseen siirrettävältä medialta, esim. usb-muistitikulta tai DVD-levyltä. Vastaustiedosto sijoitetaan autounattend.xml nimisenä jonkin siirrettävän muistivälineen juurikansioon. Vastaustiedoston liittää työaseman Workgroup nimiseen työryhmään.

Vastaustiedosto aktivoi paikallisen järjestelmänvalvojan ja asettaa ko. käyttäjän  salasanaksi P@ssw0rd Lisäksi vastaustiedosto luo uuden user nimisen paikallisen käyttäjän ja asettaa käyttäjän salasanaksi P@ssw0rd 

Vastaustiedosto on ladattavissa erikseen sekä BIOS pohjaisille työasemille että UEFI/EFI työasemille. Vastaustiedostot poikkeavat toisistaan kiintolevyn osioinnin osalta.

LATAA VASTAUSTIEDOSTO TÄSTÄ (BIOS)

LATAA  VASTAUSTIEDOSTO TÄSTÄ ((UEFI/EFI)

Katalog tiedostot

Katalogi tiedosto on Windows System Image Manager ohjelman käyttämä tiedosto joka sisältää tiedon kaikista Windowsin asentamiseen käytettävistä asetuksista ja paketeista. Katalogi tiedoston oli aiemmin asennusmedialta mutta nykyisin tiedoston joutuu luomaan käsin Windows System Image Manager ohjelman avulla. Alla näkyvän linkistä voit ladata .zip tiedoston  joka sisältää katalogitiedostot Windows 10, 8.1 sekä 7 käyttöjärjestelmiin. Samaa katalogi tiedostoa voidaan käyttää sekä BIOS- että UEFI/EFI työasemien asentamiseen käytettävien vastaustiedostojen tuottamiseen.

LATAA KATALOGI TIEDOSTO TÄSTÄ

Vastaustiedostojen käyttämisestä lisää tarinaa tässä aiemmin kirjoittamassani blogikirjoituksessa

http://asennus-lepo.blogspot.com/2015/09/windows-tyoaseman-asennuksen.html

Office 2016 365 Proplus ohjelmiston automatisoitu jakelu työasemiin

Office 365 ProPlus ohjelmisto voidaan asentaa työasemiin keskitetysti ja/tai niin että loppukäyttäjät asentavat ohjelmiston itsenäisesti. Keskitetty asennus voidaan suorittaa esim. System Center Configuration Manager ohjelmiston avulla täysin automatisoidusti. Vaihtoehtoisesti asennusdata voidaan ladata jaettuun verkkokansioon josta se sitten asennetaan työasemiin esim. ryhmäkäytäntöön määritetyn PowerShell -skriptin avulla. On huomioitava että Windows 7 vanhemmat käyttöjärjestelmät eivät suoraan tue PowerShell tyyppisiä Startup/Login –skriptejä.

Vaihtoehtoja tulee punnita asennuksen aiheuttaman työmäärän sekä ylläpidollisen hallintakuorman suhteen. Se että käyttäjät asentavat ohjelmiston itsenäisesti, vähentää tukihenkilöstölle asennuksen aiheuttamaa työkuormaa, mutta saattaa vastaavasti lisätä ohjelmiston ylläpidollista työkuormaa. Keskitetyn asennuksen ollessa varsin yksinkertainen toteutettava, kannattanee Office asentaa suurimpaan osaan työasemista keskitetysti. Itsenäisen asennuksen vaihtoehto voidaan jättää asennus vaihtoehdoksi jos käyttäjälisenssiin kuuluu mahdollisuus asentaa Office useampaan kuin yhteen päätelaitteeseen (esim. kotona olevaan tietokoneeseen. 

Office 2016 Proplus ohjelmiston lataamisen estäminen loppukäyttäjältä

Tarvittaessa Office 2016 365 Proplus ohjelmiston itsenäinen asentaminen voidaan tarvittaessa poistaa käytöstä 365 hallintakonsolin kohdasta Office-ohjelmisto - Ohjelmiston latausasetukset - Ota käyttäjän ohjelmisto käyttöön manuaalisesti ja asettamalla Ohjelmiston latausasetuksissa valinta haluttujen ohjelmistojen kohdalla asentoon Ei käytössä. Muutoksen jälkeen loppukäyttäjät eivät voi asentaa Office pakettia itsenäisesti.

Asennuspisteen luominen

Office voidaan siis asentaa työasemiin palvelimella olevasta keskitetystä asennuspisteestä. Asentaminen suoritetaan ja sitä hallitaan ryhmäkäytäntöön liitettävällä PowerShell –skriptillä.

Tässä esimerkissä paikalliselle palvelimelle luodaan  jaettu kansio johon Microsoft Office 365 2016  Proplus asennukseen vaadittavat tiedostot ladataan Office 2016 Deployment Tool ohjelman avulla. Varsinainen asennus työasemiin suoritetaan tästä kansiosta ns. hiljaisena asennuksena ryhmäkäytännön ja asennusskriptin avulla. Office asennuksesta jätetään pois Publisher, Access ja OneNote. Officen näyttökieleksi asetetaan suomi. Officen päivitykset tulevat ns. Monthly Channel menetelmällä jolloin Office ohjelmisto päivittyy automaattiesti kuukausittain.

Keskitetyn asennuspisteen luominen ja määrittäminen

Luodaan tiedostopalvelimelle jaettu kansio ja jaetaan se esim. nimellä  \\DC01-LOCAL\O365 esimerkiksi File and Storage Services ohjelman avulla ja varmistetaan että kansioon on käyttäjillä ja toimialueen tietokoneilla luku ja suoritusoikeudet.

Ladataan ja puretaan Office 2016 Deployment Tool ohjelma Microsoft Download Centeristä edellä luotuun \\DC01-LOCAL\O365 kansioon. Kansiota purkautuu kolme tiedostoa joista Setup.exe on Office ohjelmiston lataus- ja asennusohjelma. Tiedostot Configuration-Office365-x86.xml ja configuration-Office365-64.xml ovat Officen latauksen ja asennuksen määritystiedostoja.

Seuraavaksi ladataan Officen asennukseen tarvittavat tiedostot Office 2016 Deployment Tool ohjelmiston avulla.. Ennen lataamista on kuitenkin muokattava haluttua määritystiedostoa lataukseen ja asennukseen käytettävien määritysten osalta. Tässä esimerkissä halutaan ladata Officen 32 bittinen versio joten käytettävä määritystiedosto on Configuration-Office365-x86.xml.

Avataan em. tiedosto ja muokataan sen sisältöä seuraavasti. Tallennetaan muutokset lopuksi.

---

<!-- Office 365 client configuration file sample. To be used for Office 365 ProPlus apps,
      Office 365 Business apps, Project Pro for Office 365 and Visio Pro for Office 365.

     For detailed information regarding configuration options visit: http://aka.ms/ODT.
      To use the configuration file be sure to remove the comments

     The following sample allows you to download and install the 32 bit version of the Office 365 ProPlus apps
      and Visio Pro for Office 365 directly from the Office CDN using the Monthly Channel
      settings  -->

<Configuration>

  <Add OfficeClientEdition="32" Channel="Monthly">
     <Product ID="O365ProPlusRetail">
     <Language ID="fi-fi" />
     <ExcludeApp ID="Publisher" />
     <ExcludeApp ID="Access" />
     <ExcludeApp ID="OneNote" />
     </Product>
     </Add>

<Updates Enabled="TRUE" Channel="Monthly" />

<Display Level="None" AcceptEULA="TRUE" />

<Property Name="AUTOACTIVATE" Value="1" />

</Configuration>

---

HUOM: Mikäli kohteena olevissa työasemissa on jo asennettuna jokin aiempi Office versio, voidaan sen poistaminen pakottaa automatisoidusti lisäämällä em. määritystiedoston loppuun asetus <RemoveMSI All=”True” />

<Configuration>
   <Add OfficeClientEdition="32" Channel="Monthly">
      <Product ID="O365ProPlusRetail">
      <Language ID="fi-fi" />
      <ExcludeApp ID="Publisher" />
      <ExcludeApp ID="Access" />
      <ExcludeApp ID="OneNote" />
      </Product>
      </Add>
      <RemoveMSI All="True" />

<Updates Enabled="TRUE" Channel="Monthly" />

<Display Level="None" AcceptEULA="TRUE" />

<Property Name="AUTOACTIVATE" Value="1" />

  </Configuration>

HUOM: Määritystiedoston voi luoda myös Office 365 ProPlus web sivuston avulla

Ohjelmiston lataaminen aloitetaan komentokehotteesta komennolla: setup /download Configuration-Office365-x86.xml

Setup.exe ohjelma lataa asennustiedostot Office\Data nimiseen kansioon.

Officen automatisoitu asentaminen ryhmäkäytännön avulla

Tässä esimerkissä Office 365 Proplus asennetaan edellä luodusta jaetusta kansiosta PowerShell –skriptin avulla. Asentaminen voidaan suorittaa käsin tai jonkin muun järjestelmän kuten System Center Configuration Manager ohjelman, yms. avulla. On myös mahdollista sisällyttää asennus suoraan työaseman asennuslevykuvaan. Tässä esimerkissä asennus suoritetaan ryhmäkäytännön avulla.

Luodaan PowerShell ISE ohjelman avulla avulla uusi PowerShell –skripti ja asetetaan siihen alla näkyvä sisältö.

Skripti tarkastaa Office kansion olemassa olon Programfiles (x86) kansiosta, ja mikäli kansiota ei ole aloittaa Microsoft Office 2016 365 asennuksen.

HUOM: Komento kirjoitetaan yhdelle riville.

---

if (!(Test-Path -Path "$Env:ProgramFiles (x86)\Microsoft Office" )) {Write-Host "Office ei vielä ole asennettu, Asennetaan Office 365 ProPlus..." -ForegroundColor Green; \\Dc01-local\o365\setup.exe /configure \\Dc01-local\o365\configuration-Office365-x86.xml}

---

Skripti tallennetaan esim. nimellä AsennaO365l.ps1

Seuraavaksi luodaan palvelimelta käsin Group Policy Management ohjelmiston avulla uusi ryhmäkäytäntö esim. nimellä Asenna O365.

Avataan ryhmäkäytäntö muokkaustilaan ja siirrytään kohtaan Computer Configuration - Policies - Windows Settings - Scripts (Startup/Shutdown. Lisätään edellä luotu AsennaO365l.ps1 skripti Startup Properties ikkunan PowerShell Scripts välilehden kautta järjestelmän käynnistysskriptiksi.

HUOM: AsennaO365l.ps1 tiedosto tulee kopioida oikeaan kansioon jotta skripti luetaan käynnistyksen aikana. Kopiointi on helpointa tehdä Startup Properties ikkunan Show Files painikkeen kautta.

HUOM: Lähtökohtaisesti PowerShell skriptejä ei voida suorittaa Windows 10 työasemissa. Rajoitus ei kuitenkaan koske Startup skriptejä sille ne suoritetaan käyttäen System tunnusta.jota em. rajoite ei koske. Käyttäjäpuolelle asetettavat Login -skriptit ovat kuitenkin em. rajoitteen alaisia.

Lopuksi ryhmäkäytäntö Asenna O365 kytketään haluttuun organisaatioyksikköön ja testaan skriptin toimivuus.

Koska Configuration-Office365-x86.xml määritystiedostoon on asetettu <Display Level="None" AcceptEULA="TRUE" /> määritykset, tapahtuu asennus taustalla automatisoidusti ja piilotettuna. Koska asennus tapahtuu Startup –skriptiä käyttäen, tapahtuu asennus SYSTEM tunnusta käyttäen.

Kuinka määrittää Office 365 ryhmän luomiseen tarvittavat oikeudet rajatulle käyttäjäryhmälle

Office 365 ryhmät liittyvät olennaisena osana ryhmätyöskentelyyn tarkoitettujen Office 365 sovellusten toimintaan. Esimerkiksi Microsoft Teams ja Planner ohjelmistojen käyttö perustuu Office 365 ryhmiin. Oletusarvoisesti kuka tahansa Office 365 käyttäjä voi luoda Office 365 tyyppisen ryhmän. Koska Office 365 ryhmälle luodaan aina mm. esim. oma Exchange Online kalenteri, sähköpostilaatikko ja Sharepoint Online sivusto, aiheuttavat käyttäjien kokeilunhalusta luomat ryhmät ylläpitäjille ylimääräistä työkuormaa. Edellä mainitusta syystä Office 365 ryhmien luomista halutaan usein rajoitetaan niin että vain tietyt käyttäjät voivat luoda em. ryhmiä.

HUOM: Rajoittaminen on mahdollista ainoastaan jos käytössä AzureAD Premium tilaus. Kokeilu jaksolla olevan Microsoft Office 365 taustalla toimivan Azure ADn ilmaisversion voi kuitenkin päivittää kokeilujaksolle (Trial). Edellä mainittu tapa mahdollistaa kieltotoimenpiteen (ja monen muun asetukset) testaamisen jos varsinaista testaamista varten olevaa Azure tilausta/ympäristöä ei ole olemassa.

On myös huomattava että koska Microsoft Teams käyttää taustalla Office 365 ryhmiä, on myös Microsoft Teams tiimien luominen kielletty muilta paitsi erikseen sallitun ryhmän jäseniltä. Poikkeuksena tiimit jotka perustetaan jo olemassa olevalle Office 365 ryhmän “päälle”.

Kuinka Office365 tyyppisen ryhmän luominen kielletään muilta paitsi ennalta määritellyiltä henkilöiltä?

Office 365 ryhmien luominen Outookista käsin voidaan kieltää Exchange Online PowerShell konsolista käsin komennolla:

Get-OwaMailboxPolicy | Set-OwaMailboxPolixy -GroupCreationEnabled $false

Edellä mainittu komento rajoittaa kuitenkin 365 ryhmien luomista ainoastaan Outlook ohjelmasta käsin. Office 365 tyyppinen ryhmä voi kuitenkin syntyä kuitenkin myös esim. Sharepoint saitin, Microsoft Planner suunnitelman tai Microsoft Teams tiimin luomisen yhteydessä.

Office 365 ryhmän luontioikeus voidaan kuitenkin rajata myös koko ympäristöä koskevaksi.

Toimenpiteen vaiheet ovat pääpiirteissään seuraavat:

1. Luodaan Office 365 ympäristöön suojaus/security tyyppinen käyttäjäryhmä ja lisätään siihen köyttäjät joille Office 365 tyyppisten ryhmien luomisoikeus halutaan antaa.
2. Asennetaan (tarvittaessa) PowerShell ympäristöön AzureADPreview moduli joka mahdollistaa tarvittavien PowerShell komentojen määrittämisen
3. Lisätään kieltämistä varten tarvittavat määritykset (EnableGroupCreation ja GroupCreationAllowedGroupId) AzureAD:n toimintaa ohjaavaan mallipohjaan/template ja asetetaan määrityksille tarvittava arvot.
4. Otetaan muutokset käyttöön.
5. Tarvittavan suojausryhmän luominen

Luodaan aluksi suojaus (security) tyyppinen käyttäjäryhmä johon lisätään ne henkilöt jotka saavat jatkossakin luoda Office 365 ryhmiä. Ryhmän voi luoda esim. Office 365 hallintakonsolista tai AzureAD:n kautta.

Lisätään ryhmään ne käyttäjät joilla jatkossakin oikeudet luoda Office 365 ryhmiä.

HUOM: Yleinen järjestelmänvalvoja (Global Admin) tyyppisiä käyttäjiä ei tarvitse lisätä ryhmään koska heillä muutenkin on aina Office 365 ryhmien luomiseen tarvittavat oikeudet.

Käyttöoikeuksien muutos tehdään PowerShellistä käsin. Muutos edellyttää että ympäristöön josta komennot suoritetaan on asennettu AzureADPreview PowerShell moduli.

1. Käyttäjät ryhmän luominen.

O365 ympäristöön luodaan Office 365 ryhmien luojat niminen suojaus / security tyyppinen käyttäjäryhmä Office 365 hallintakonsolin kautta. Tässä esimerkissä ryhmään on lisätty vara admin niminen käyttäjä. Käyttäjällä ei kuitenkaan tarvitse olla minkäänlaisia ylläpitäjän oikeuksia vaikka tässä esimerkissä käyttäjällä niitä onkin.

2. AzureADPreview modulin tarkastaminen ja asentaminen tarvittaessa

Jotta O365 järjestelmän taustalla olevaa AzureAD:a voidaan tässä yhteydessä käsitellä tulee AzureADPreview PowerShell modulin olla asennettuna. Käytössä olevan AzureAD PowerShell modulin version voi tarkastaa komennolla. Jos AzureADPreview moduli on asennettuna (näkyy listauksessa), on asia ko. modulin osalta kunnossa.

Käytössä olevan AzureAD PowerShell modulin version voi tarkastaa komennolla Get-InstalledModule -Name "AzureAD*". Jos AzureADPreview moduli on jo asennettuna (näkyy listauksessa), on asia tältä osin kunnossa.

Jos moduli ei ole asennettuna (ei näy listauksessa), se täytyy asentaa käyttöön komennolla:

Install-Module AzureADPreview -Scope CurrentUser -Force –AllowClobber

3. Kieltävien määritysten asettaminen

AzureAD:n tulee seuraavaksi kirjautua komennolla käyttäen O365 yleinen järjestelmän valvoja/Global admin tunnusta.

Connect-AzureAD

Haetaan leikepöydälle sen suojaus (security) tyyppisen käyttäjäryhmän ObjectId jonka jäsenille Office 365 ryhmien luomiseen tarvittavat oikeudet annetaan.

Annetaan komento: Get-AzureADGroup -SearchString “Ryhmän nimi”

Kopioidaan ryhmän ObjectId leikepöydälle

Seuraavaksi haetaan $Template muuttujaan se käytäntöobjektimalli (template) jonka kautta uusi kieltävä asetus tehdään.

Haluttaessa mallin tiedot voidaan näkyville hakea komennolla

Get-AzureADDirectorySettingTemplate | Where-Object {$_.displayname -eq "Group.Unified"}

Malli haetaan $Template muuttujaan komennolla

$template= (Get-AzureADDirectorySettingTemplate | Where-Object {$_.displayname -eq "Group.Unified"}).CreateDirectorySetting()

Kielletään Office 365 ryhmien yleinen luominen lisäämällä $template muuttujassa olevaan asetuspohjaan asetus EnableGroupCreation ja asettamalla se arvoon $false.

Asetus lisätään komennolla:$template["EnableGroupCreation"]=$false

Sallitaan kuitenkin ryhmän luominen ennalta määritellylle suojausryhmälle lisäämällä asetus GroupCreationAllowedGroupId ja antamalla sille arvoksi halutun suojausryhmän id tunnus

$template[“GroupCreationAllowedGroupId”] = “84aac8f4-e4a7-4190-8532-d0fe5c9fd2b2”

HUOM: halutun ryhmän id tunnuksen on oltava lainausmerkkien sisällä

4. Muutosten käyttöön ottaminen

Lopuksi muutokset otetaan käyttöön komennolla

New-AzureADDirectorySetting -DirectorySetting $template

Asetusten voimaan astuminen voidaan tarkistaa komennolla:

Get-AzureADDirectorySetting | foreach Values

HUOM: Jos komento ei tulosta näytölle mitään, eivät asetukset ole asettuneet voimaan.

Muutoksen jälkeen, ryhmään kuulumattomilla henkilöiltä poistetaan O365 ryhmien luomiseen tarvittavat valinnat niistä Office 365 sovelluksista joista ko. ryhmä voidaan luoda (esim. Outlook ja Planner)

Edellä määritetyt asetukset voidaan poistaa komennoilla:

$SettingId = Get-AzureADDirectorySetting -All $True | where-object {$_.DisplayName -eq "Group.Unified"}

Remove-AzureADDirectorySetting –Id $SettingId.Id

Office 365 ryhmien luominen Azure Portal sivustolla

Tavalliset käyttäjät voivat luoda uusia O365 ryhmiä myös portal.azure.com portaali sivuston kautta. Ylläpitäjän työkalut kyseisen portaalin kautta luotavien ryhmien hallintaan sijaitsevat ylläpitäjän AzureAD portaalissa kohdassa Azure Active Directory - Groups - General - Office 365 Groups. Asetuksen Users can create Office 365 Groups in Azure portals avulla ryhmien luominen voidaan sallia tai estää. Oletusarvoisesti ryhmien luominen sallitaan.

Ilmaisia Microsoft Azure materiaaleja

Microsoft Azure on asia josta jokaisen ylläpitäjän kannattaa tietää ainakin perusteet. Aiheesta on vähintäänkin riittävä määrä ilmaista materiaalia tarjolla. Listaan alla muutaman käyttökelpoisen linkin joiden avulla aiheeseen tutustuminen pääsee mukavasti käyntiin.

Microsoft Azure videokurssit Pluralsight sivustolla (vaatii ilmaisen tunnuksen tekemisen Pluralsight sivustolle)

https://azure.microsoft.com/en-us/training/free-online-courses/

Azureen liittyvät VirtualLabs tehtävät (vaatii Microsoft tunnuksen)

https://azure.microsoft.com/en-us/training/hands-on-labs/

Microsoft Azure ohjesivusto

https://docs.microsoft.com/en-us/azure/

Azure Microsoft Virtual Academyssä

https://mva.microsoft.com/search/SearchResults.aspx#!q=azure&lang=1033

Muut Microsoft Azure resurssit

https://azure.microsoft.com/en-us/resources/

Ryhmäkäytäntöasetus ei asetu voimaan...miksi?

Ongelmat ryhmäkäytäntöasetusten voimaan asettumisessa ovat yleisin ryhmäkäytäntöjen yhteydessä esiintyvä ongelma. Alla on esitetty muutama asia jotka kannattaa tässä tilanteessa tarkastaa.

Käytän tässä kirjoituksessa seuraavia lyhenteitä:

OU = organisaatioyksikkö (Organizational Unit)

GPO = ryhmäkäytäntöasetus (Group Policy Object)

GPMC = ryhmäkäytäntöobjektien hallintakonsoli (Group Policy Management Console)

Onko ryhmäkäytäntöobjekti (GPO) käytössä? GPO otetaan käyttöön luomalla GPO linkki kohteena olevaan organisaatioyksikköön (OU). On kuitenkin mahdollista luoda GPO ilman aktiivista linkkiä. Usein käykin niin että GPO unohdetaan linkittää kohde OU:n. Jos linkkiä ei ole alun perinkään luotu, ei GPO ole käytössä. Linkki voidaan myös kytkeä pois “päältä”. Jos linkki ei ole päällä, ei myöskään GPO:n ole käytössä.

 

Onko GPO kohdistettu oikein? Onko GPO linkitetty siihen OU:n joka sisältää GPO asetuksen avulla määritettävän käyttäjän tai tietokoneen?

Jos GPO asetus on asetettu ns. tietokone puolella (Computer side setting) tulee GPO:n kohdistua linkin avulla siihen OU:n joka sisältää kohteena olevan tietokonetilin. Jos ryhmäkäytäntö asetus kohdistuu käyttäjään, tulee GPO:n kohdistua siihen OU:n joka sisältää kohtena olevan käyttäjätilin. Tietokonetiliin kohdistettu asetus on voimassa kaikilla kyseiseen tietokoneeseen kirjautuvilla käyttäjillä. Käyttäjään kohdistuva asetus on käytössä kaikissa tietokoneissa joihin käyttäjä kirjautuu (pois lukien ne tietokoneet joihin kohdistetaan loopback prosessointi)

 

GPO:a ei voida myöskään kohdistaa OU:n joka sisältää pelkästään käyttöoikeusryhmiä. Lisäksi GPO:a ei voida kohdistaa Active Directory toimialueen oletus säilöihin (Container) esim. Computers säilöön. Säilöt luodaan Active Directory toimialueen luomisen yhteydessä.

Onko GPO:n käyttöoikeudet määritetty oikein? Jotta GPO asetus asettuu voimaan, täytyy kohteena olevalla tilillä (käyttäjä tai tietokone) olla vähintään Read ja Apply Group Policy oikeudet kyseiseen GPO:n.

Oletusarvoisesti GPO:e määritetään automaattisesti oikeudet Authenticated User ryhmälle. Käyttöoikeudet voidaan tarkastaa GPMC kautta GPO:n Scope välilehdeltä. Authenticated Users ryhmä sisältää oletusarvoisesti toimialueen kaikki käyttäjä- ja tietokonetilit. Domain Users ryhmä sisältää toimialueen kaikki käyttäjätilit ja vastaavasti Domain Computers ryhmä sisältää kaikki toimialueen tietokonetilit.

Onko Apply Group Policy asetus asetettu tilaan Deny? Edellissä kohdassa kerrottiin, että ryhmäkäytännön voimaan astuminen edellyttää että kohteena olevalla tilillä on Read ja Apply Group Policy oikeudet ko. GPO:n On varsin yleistä että käyttöoikeusryhmä rajataan GPO asetuksen ulkopuolelle, asettamalla GPO asetuksista Delegation välilehden kautta (Advanced nappi) Apply Group Policy oikeus tilaan Deny. Joskus voi käydä että kohteena oleva tili (käyttäjä tai tietokone) sisältyy käyttöoikeus ryhmään joka on ns. Deny tilassa. GPO:a oleva asetus ei näin ollen asetu voimaan.

Onko GPO blokattu ? Oletusarvoisesti GPO:a olevat asetukset kohdistuvat siihen OU:n johon GPO linkki on muodostettu. Lisäksi GPO:a olevat asetukset asettuvat voimaan kaikkiin em. OU:n sisällä oleviin ali-OU:n. GPO:a olevat asetukset siis “valuvat alaspäin” OU rakenteessa (vrt. ntfs-käyttöoikeudet). Edellä mainittu tilanne saadaan kuitenkin estettyä asettamalla GPMC konsolissa OU tilaan Block Inheritance. Jos OU on tilassa Block Inheritance, eivät GPO:a olevat asetukset siis astu voimaan kyseisessä OU:a. Block Inheritance voidaan kuitenkin kumota asettamalla GPO:n asetuksista se tilaan Enforced. Enforced tilassa olevan GPO:n sisältämät asetukset asettuvat voimaan OU:a vaikka OU:n asetuksissa se olisi asetettu Block Inheritance tilaan. Enforced siis kumoaa Block Inheritance tilan.

Kumoaako GPO:a oleva asetus toisessa GPO:a olevan asetuksen? Yhteen OU:n voi kohdistua useampi kuin yksi GPO. Näissä GPO:a voi olla asetettuna sama asetus ristiriitaisella tavalla. Yksi GPO voi sallia toiminnon, kun taas toisessa GPO:a sama toiminto kielletään. Koska GPO:a olevat asetukset periytyvät OU rakenteessa alaspäin, voi kuhunkin OU:n siis kohdistua useampikin GPO. OU:n kohdistuvat eri OU tasoilla olevat GPO:t voi nähdä ko. OU:n ominaisuuksista Group Policy Inheritance välilehdeltä. Listassa ylimpänä (pienin Precedence arvo) olevan GPO:n asetus jää voimaan, mikäli asetettu sama asetus ristiriitaisella tavalla jossain listassa alempana olevassa GPO:a..

Eri tasoilla olevien GPO:n asetukset luetaan järjestyksessä paikallinen (Local), saitti (Site), toimialue (Domain), organisaatioyksikkö (OU). Näistä listan (L-S-D-OU) viimeisenä olevan (OU) GPO:n asetukset jäävät voimaan tilanteessa jossa sama asetus on asetettu eri tavoin ketjun edellisissä GPO:a. Tilanne näkyy em. Group Policy Inheritance välilehdellä.

Kuhunkin OU:n suoraan linkitetyt GPO:t voi nähdä OU:n asetuksista Linked Group Policy Object välilehdeltä. Mikäli suoraan linkitettyihin GPO:n on asetettu sama asetus eri tavoin, jää sen GPO:n asetus voimaan jonka Link Order arvo on pienempi (listalla ylempänä).

Vaikuttaako WMI-suodatin GPO asetuksen asettumiseen? GPO:n voimaan asettumista voidaan mukauttaa liittämällä niihin ns. WMI-suodattimia (WMI-filters). WMI eli Windows Management Instrumentation on järjestelmä jonka avulla laitteesta, käyttäjästä tai käyttöjärjestelmästä voidaan kerätä tietoa. Kerätyn tiedon perusteella GPO:n voimaan asettumista voidaan säädellä. Mahdolliset GPO:n toimintaan vaikuttavat WMI-filtterit näkyvät GPO:n ominaisuuksista Scope välilehdeltä kohdassa WMI-filtering.

Onko Loopback prosessointi (Loopback processing) käytössä? Ilman loopback prosessointia GPO asetukset luetaan siten että käyttäjään kohdistuvat GPO asetukset luetaan käyttäjätiliin kohdistuvan GPO:n käyttäjäasetuksista (User side setting). Kun Loopback prosessointi asetetaan käyttöön, käyttäjätiliin kohdistuvat asetukset luetaankin tietokonetiliin kohdistuvan GPO:n käyttäjäasetuksista. Loopback prosessoinin ansiosta saadaan aikaiseksi tilanne jossa käyttäjään kohdistuva (ja käyttäjäkohtainen) asetus on käytössä jokaisella kyseiseen työasemaan kirjautuvalla käyttäjällä. Loopback prosessoinnin avulla voidaan siis määrittää asetus käyttöön jokaiselle kyseiseen työasemaan kirjautuvalle käyttäjälle riippumatta siitä miten kyseinen asetus toimii muissa tietokoneissa joille ko. käyttäjä kirjautuu.

Loopback prosessointi ei käytössä

Loopback prosessointi käytössä

Oletko poistanut ominaisuuden asettamalla sen päälle? Lue huolellisesti ryhmäkäytäntö asetuksiin liittyvät ohjeet. Esimerkiksi jos järjestelmän äänet halutaan poistaa käytöstä asetuksen Disable audio avulla tulee se asettaa Enabled tilaan. Sama kääntäen, eli jos asetus Enable disk quotas otetaan pois käytöstä, asetetaan se Disabled tilaan.

Onko ryhmäkäytäntöasetus asettunut vielä voimaan? Normaalisti ryhmäkäytännöissä olevia asetuksia kysellään palvelimilta n. 90 min välein. Kyselyn yhteydessä  otetaan käyttöön ainoastaan muuttuneet GPO asetukset. Tarvittaessa voidaan asetusten käyttöönottoa nopeuttaa komentokehotteesta komennolla gpupdate. Komento gpupdate /force ottaa käyttöön kaikki GPO asetukset riippumatta siitä onko niissä tapahtunut muutoksia vai ei. Lisäksi jotkut asetukset (varsinkin tietokoneasetukset) vaativat tietokoneen uudelleenkäynnistyksen tullakseen voimaan.

Onko GPO poistettu käytöstä kokonaan tai osittain? GPO:a voidaan poistaa käytöstä kokonaan muutoinkin kuin GPO linkkiä käsittelemällä. Vaihtoehtoisesti GPO:a voidaan poistaa käytöstä kokonaisuudessaan joko käyttäjä- tai tietokone puolen asetukset. Näin GPO käsittelyä voidaan nopeuttaa työaseman päässä. Asetukset ovat muokattavissa GPO:n ominaisuuksissa Details välilehdellä.

Onko SYSTEM käyttäjällä luku oikeutta rekisteriin HKLM\Software\Policies ? Kuten edellä on sanottu, eivät GPO:a olevat asetukset asetu voimaan mikäli GPO asetuksiin ei ole tarvittavia oikeuksia. Asetukset asettuvat tietokoneen rekisteriin. Mikäli rekisteriin ei ole tarvittavaa luku oikeutta, ei GPO:a määritetyt asetukset myöskään tule käyttöön. Tietokoneessa järjestelmänvalvojan oikeudet omaava käyttäjä voi kiertää GPO asetusten kautta tulevia käyttörajoituksia asettamalla System tunnuksen käyttöoikeudet tilaan Deny rekisteriavaimesta HKLM\Software\Policies.

Hyper-V ja VirtualBox käyttö rinnakkain

Joskus tulee eteen tilanne jossa olisi tarvetta käyttää kahta virtualisointijärjestelmää rinnakkain. Jokin aika sitten luokassa oleva Hyper-V ympäristö alkoi hidastua niin merkittävällä tavalla että päätimme siirtyä VirtualBox ympäristöön. Pikaisella silmäyksellä hidastuminen liittyi Defenderiin joka kuormitti kiintolevyjä todella ankarasti. Koska emme halunneet lähteä selvittämään kuormituksen syyte sen kummemmin, päätimme kokeilla virtuaalikoneiden suorituskykyä VirtualBox ympäristössä. Ihme ja kumma…VirtualBoxin puolella ongelmaa ei esiintynyt.

Hyper-V ja sen hypervisor…ongelma ja ratkaisu

Lähtökohtaisesti Hyper-V ja VirtualBox ympäristön yhtäaikainen käyttö ei ole mahdollista koska Hyper-V hypervisor varaa järjestelmän täysin omaan käyttöönsä. Vaihtoehtoina ovat A) koko Hyper-V ominaisuuden poistaminen Windowsista tai B) Hyper-V:n hypervisorin sammuttaminen.

Kyseisiä ohjelmia ei siis voida käyttää yhtä aikaa, vaan vähintään on varmistettava että Hyper-V:n hypervisor ei ole käynnissä kun VirtualBox ohjelmaa käytetään. VirtualBox virtuaalkoneen käynnistäminen aiheuttaa BSOD virheen mikäli Hyper-V:n hypervisor on tällöin käynnissä.

Tilan voi tarkastaa esim. Järjestelmätiedot (msinfo32.exe) ohjelman avulla. Kyseinen ohjelma  ilmoittaa Hyper-V ominaisuuden tilasta hieman hämäävästi.

Alla näkyvässä kuvassa Hyper-V ominaisuutta ole asennettu tai ainakaan Hyper-V:n hypervisor ei ole käytössä.

Tämän kuvan mukaisessa tilanteessa Hyper-V on käytössä.

Hyper-V:n pois asentaminen tietysti ratkaisee ongelman. Jos molempia virtualisointijärjestelmiä halutaan käyttää kuitenkin yhtä aikaa, on tämä liian työläs järjestely. Onneksi Hyper-V:n hypervisorin voi sammuttaa ilman ko. ominaisuuden täydellistä poistamista.

Järjestelmänvalvojan komentokehotteessa annettu komento:bcdedit /set hypervisorlaunchtype off   sammuttaa hypervisorin (uudelleen käynnistyksen jälkeen).

Komento bcdedit /set hypervisorlaunchtype auto käynnistää sen uudelleen (uudelleen käynnistyksen jälkeen).

Edellä mainituista komennoista voidaan esim. tehdä työpöydälle pikakuvakkeet jotka viittaavat PowerShell skriptiin tai komentojonoon jossa em. komennot ovat kirjattuna. Kyseiseen skriptiin tai komentojonoon lisättävä komento C:\windows\system32\shutdown -r -t 2 käynnistää työaseman automaattisesti uudelleen. On huomattava että pikakuvakkeen ominaisuuksista voidaan asettaa päälle sen suorittaminen järjestelmän valvojan oikeuksin.

Hyper-V:n poistaminen ei onnistu ?

Jos Hyper-V:ä halutaan luopua kokonaan, voidaan se asentaa samoin tein pois. Esimerkiksi PowerShell komento Disable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-All poistaa Hyper-V ominaisuuden käytöstä.

Vaan entäpä jos poistaminen ei onnistukaan? On kuitenkin olemassa tilanne jossa ominaisuuden pois asentaminen ei onnistu. Nimittäin jos Device Guard ominaisuus on käytössä, ei Hyper-V:n suostu poistumaan järjestelmästä. Device Guard nimittäin käyttää toiminnassaan Hyper-V:n virtualisointi ominaisuuksia. Device Guard ominaisuus sisältyy ainoastaan Windows 10 Enterprise ja Education versioihin.

Device Guard ominaisuuden tilan voi tarkistaa esim. Järjestelmätiedot (msinfo32.exe) ohjelman System Summary kohdasta.

Mikäli Device Guard on päällä, täytyy tietysti TARKKAAN selvittää voiko/kannattaako/saako sitä kytkeä pois päältä. Jos ko. ominaisuus kuitenkin halutaan kytkeä pois päältä, voidaan se tehdä esim. paikallista ryhmäkäytäntöeditoria käyttäen (gpedit.msc), asettamalla asetus Turn on Virtualization Based Security tilaan Disabled.

Kyseisen ominaisuuden käytöstä poistamisen jälkeen myös Hyper-V:n pois asentaminen onnistuu.

PS: Alkuperäinen ongelma Defenderin kuormittamasta kiintolevystä jäi hieman vaivaamaan…varsinkin kun kyseistä ongelmaa ei esiinny VirtualBox työasemissa. Pitänee palata vielä tutkimaan asiaa.

VyOS virtuaalireititin

Yleistä

Asennusympäristöjen testaamiseen tarkoitetut ja yleensä virtuaaliseen ympäristöön asennetut palvelimet ja työasemat halutaan mitä todennäköisimmin pitää erillään tuotantoympäristöstä. Asennuspalvelin ympäristöissä käytetään tyypillisesti DHCP, PXE, WDS, SCCM, yms. järjestelmiä joiden aikaansaama verkkoliikenne ja palvelut sotkevat tuotantoverkkoa tehokkaalla tavalla. Testaamisen kannalta olisi kuitenkin hyödyllistä mikäli asennuspalvelimet olisi tarvittaessa helppo yhdistää internetiin. VirtualBox ympäristössä voidaan käyttää NAT tyyppistä verkkoliitäntää joka erottaa testiympäristön tuotantoympäristöstä. Hyper-V ympäristössä tämän tyyppistä ratkaisua ei kuitenkaan ole.

HUOM: VirtualBox ohjelmassa on käytettävissä myös NatNetwork tyyppinen verkkoratkaisu jolla VirtualBox ohjelmisto voidaan korvata. VirtualBox:n NatNetwork toteutuksessa on käytettävissä myös sisäänrakennettu DHCP palvelin. Kyseisessä verkossa .1 osoitteeseen päättyvää ip-osoitetta voidaan käyttää reitittimenä (192.168.1.1) , .2 päättyvää osoitetta DNS-palvelimena (esim. 192.168.1.2) ja .3 päättyvää osoitetta DHCP palvelimen osoitteena (esim. 192.168.1.3).

Tässä esimerkissä käytetään kuitenkin VirtualBox ympäristöä jossa sisäverkkoon liitetty verkkosovitin (eth0) on kytketty VirtualBoxissa internal verkkoon ja ulkoverkkoon liitetty sovitin (eth1) on liitetty bridged verkkoon.

Virtuaaliympäristön yhdistämiseen voidaan kuitenkin käyttää esim. VyOS Virtual Router tuotetta joka on ohjelmistopohjainen (Debian Linux) reititin. Virtuaalikoneissa voidaan siis käyttää sisäiseen virtuaalikytkimeen liitettyä verkkokorttia josta ulospäin lähtevän liikenteen VyOS tarvittaessa reitittää ulkoverkkoon. Virtuaalikoneen verkkoasetukset määritetään siten että reitittimen ip viittaa VyOS reitittimen sisäverkkoon liitettyyn ip-osoitteeseen.

Virtuaalikone VyOS:a varten

VyOS reitittimellä ei ole suuria vaatimuksia virtuaalikoneelle. Työmuistin suositeltu minimimäärä on 512 Mt. Kiintolevyn suositeltu koko on 2 Gt. Virtuaalikone kannattaa luoda ensimmäisen sukupolven tyyppiseksi. VyOS virtuaalikoneeseen lisätään tarvittava määrä virtuaalisia verkkokortteja. Esimerkkiympäristössä on käytössä 2 verkkokorttia joista ensimmäinen (eth0) on yhteydessä ulkoverkkoon  ja toinen (eth1) sisäverkkoon (testausympäristö). Jos verkkoja on enemmän, luodaan jokaista verkkoa varten oma verkkokorttinsa. VyOs ympäristön virtuaalisia verkkokortteja on siis yksi per jokainen sisäverkko sekä lisäksi ulkoverkkoa (internet) varten omansa. Esimerkissä sisäverkkoja on 1 kpl joten verkkokortteja tarvitaan 2 kpl.

VyOS reitittimen asentaminen ja suomalaisen näppäimistön määrittäminen käyttöön

1. VyOS virtuaalikoneen käynnistyttyä, järjestelmään voidaan kirjauta tunnuksella vyos ja salasanalla vyos
   
   
2. Seuraavaksi aloitetaan järjestelmän määrittäminen käyttöön. Anna komento install system.
   
   Käyttöön määrittäminen voidaan itse asiassa aloittaa joko install image tai install system komennoilla. Install system komento jäljittelee perinteistä fyysiselle työasemalle asennettua Linux palvelinta kun taas install image komento asentaa VyOS:n virtuaalikiintolevyllä olevaan hakemistoon. Myöhemmin samalle massamuistilaitteelle voidaan asentaa uusia VyOS versiota. Install image komento mahdollistaa VyOS palauttamisen aiempaan versioon.
   
   
3. Vastaa kysymykseen Would you like to continue [Yes]: Enter
   
   
4. Vastaa kysymykseen Partition (Auto/Parted/Skip): Enter
   
   
5. Install the image on? [sda] : Enter
   
   
6. Continue (Yes/No): Yes
   
   
7. How big of a root partition should i create? (1000MB – 3221MB) [3221] MB: Enter
   
   
8. What would you like to name this image? [1.1.5]: Enter
   
   
9. Which one should i copy to sda? [/config/config.boot]: Enter
   
   
10. Enter password for user `vyos´: määritä haluamasi salasana
    
    
11. Retype password for user ‘vyos’: anna salasana uudelleen
    
    
12. Which drive should GRUB modify the boot partition on? [sda]: Enter
    
    
13. Sammuta VyOs komennolla poweroff ja ota asennusmedia pois käytöstä

VyOS reittimen määrittäminen ja NAT:n asettaminen käyttöön

VyOS ympäristö määritetään seuraavaksi reitittämään testiympäristössä olevat palvelimet internetiin. VyOs määritetään lisäksi käyttämään NAT VLAN 10 tyyppisesti.

1. Käynnistä VyOS uudestaan ja anna komento configure siirtyäksesi määritys tilaan
   
   
2. Tarkasta käyttöönotetut verkkokortit komennolla: show interfaces ethernet

1. Määritä ulkoiseen verkkoon kytketty verkkokortti (eth0) käyttämään joko dhcp tai ulkoisen verkon kiinteää ip:ä.

   DHCP asetetaan käyttöön komennolla: set interfaces ethernet eth0 address dhcp

   Kiinteä ip-osoite asetetaan käyttöön komennolla: set interfaces ethernet eth0 address ‘ip-osoite’/maski
   
   Jos kiinteä ip-asetus otetaan käyttöön, voidaan ulkoverkon reittimen ip-osoite asettaa käyttöön komennolla: set system gateway-address ulkoisen reittimen ip

2. Jos määrittelit edellisessä kohdassa käyttöön kiinteän ulkoverkon ip-osoitteen, suoritetaan seuraavaksi ulkoverkon reitittimen ip-osoitteen määritys. set system gateway-address *ulkoverkossa toimiva reititin* (joka voi siis olla esim DSL purkki).
   
   
3. Lisäksi voidaan asettaa käyttöön DNS forwarding (ei välttämätöntä):

• set service dns forwarding cache-size 0
• set service dns forwarding listen-on eth1
• set service dns forwarding name-server 8.8.8.8
• set service dns forwarding name-server 8.8.4.4

Määrityksen jälkeen VyOS reitittimen sisäverkkoon kytketyn verkkosovittimen ip-osoite (tässä tapauksessa 192.168.1.1) voidaan määrittää virtuaalikoneissa DNS palvelimeksi.

Jos em. asetusta ei määritetä, voidaan virtuaalikoneissa tietysti käyttää myös esim. Googlen DNS palvelimia (8.8.8.8 ja 8.8.4.4).

6. Anna ulkoverkkoon kytketylle verkkokortille (eth0) kuvaus komennolla set interfaces ethernet eth0 description OUTSIDE
   
   
7. Määritä sisäiseen testiverkkoon kytketty verkkokortti (eth1) käyttämään sisäisen verkon ip-numeroa ja aliverkonpeitettä (tässä esimerkissä 192.168.1.1/24): set interfaces ethernet eth1 address 192.168.1.1/24
   
   
8. Anna sisäverkkoon kytketylle verkkokortille (eth1) kuvaus komennolla set interfaces ethernet eth1 description INSIDE
   
   
9. Tarkasta verkkokorttien tilanne komennolla: show interfaces ethernet
   
   
10. Otetaan käyttöön NAT:
    • set nat source rule 10 outbound-interface eth0
    • set nat source rule 10 source address 192.168.1.0/24
    • set nat source rule 10 translation address masquerade
      
      
11. Aseta VyOS hostname komennolla: set system host-name *haluttu nimi tähän* esim VyOS-Router
    
    
12. Aseta aikavyöhyke komennolla: set system time-zone Europe/Helsinki
    
    
13. Aseta muutokset käyttöön komennolla: commit
    
    
14. Tallenna muutokset komennolla: save ja poistu muokkaustilasta komennolla: exit
    
    
15. Voit tarkastaa määritykset komennolla: show configuration

Sisäverkon laitteet voidaan nyt määrittää käyttämään VyOS reititintä asettamalla reitittimen ip-osoitteeksi VyOS:n sisäverkkoon kytketyn verkkokortin (eth1) osoite 192.168.1.1
Jos määriteltiin käyttöön myös DNS-forwarding, voidaan VyOS reitittimen sisäverkkoon kytketyn verkkokortin ip-osoite (eth1) määrittää DNS palvelimen osoitteeksi.

Asetusten asettaminen skriptillä / leikepöydän avulla

Jos VyOS virtuaalikonetta joutuu asentamaan (esim. koulussa) useampaan työasemaan, on ei asetuksia kannata määrittää käsin (työlästä). Tässä tilanteessa voi asetukset joko A) asettaa esim. sh skriptin avulla jonka voi siirtää VyOS ympäristöön PuTTY ohjelmalla tai B) tai käyttää ns. clonehelper skriptiä. Skripti määrittää kloonattujen virtuaalikoneiden verkkokorttien MAC-osoitteet kloonattuun VyOS koneeseen. Valitettavasti B) vaihtoehto ei ainakaan tällä hetkellä ole käytettävissä koska nettisivu clonehelper skriptiin on poissa käytöstä.

Asetukset voi kuitenkin helposti asettaa PuTTY ohjelmalla SSH yhteyden yli…varsinkin jos asetuksen on jo valmiiksi kirjattu ylös. SSH palvelimen saa VyOS:a käyttöön antamalla määritystilassa (configure) komennon set service ssh. Tämän jälkeen voidaan muodostaa yhteys VyOS:n ja leikepöydän avulla liittää määritykset suoraan config/config.boot tiedostoon.

On myös mahdollista määrittää VyOS, skriptissä olevien komentojen avulla.

1. luodaan esim. asetukset.sh niminen tiedosto ja avataan ko. tiedosto nano asetukset.sh

2. liitetään komennot PuTTY ohjelman avulla komennot em. tiedostoon.

3. tallennetaan tiedosto ja suljetaan Nano

4. annetaan asetukset.sh tiedostolle suoritusoikeudet sudo chmod u+x

5. suoritetaan tiedosto sudo ./asetukset.sh

Valmiin skriptin voi ladat TÄÄLTÄ

Ohjeet ja latauslinkit

VyOS reitittimen voit ladata TÄÄLTÄ

Lisätietoa ja oppaan löydät TÄÄLTÄ

HUOM

Tarvittaessa (esim. jos halutaan vaihtaa dhcp:ä kiinteään ip-osoite määrityksen) ip-osoitteet voidaan määrittää suoraan esim. nano ohjelmalla  /config/config.boot. määritystiedostoon. Asetuksia voidaan muuttaa esim. nano ohjelmalla. Komento sudo nano config/config.boot avaa tiedoston nano ohjelmaan.
Jos asetukset määritetään config.boot tiedostoon, tulevat asetukset voimaan vasta VyOS:n uudelleen käynnistyksen jälkeen. On siis tärkeää että VyOs käynnistetään uudelleen config.boot tiedoston määrittämisen jälkeen.

HUOM

Jos asetukset määritetään suoraan config.boot tiedostoon tulee huomata että commit ja save komentoja ei tarvita vaan asetukset tulevat käyttöön seuraavassa bootissa. Itseasiassa save komento jopa pilaa config.boot tiedoston muokkauksen koska se kirjoittaa muistissa olevat asetukset takaisin config.boot tiedostoon nollaten näin tehdyt muokkaukset.

Tarvittaessa VyOS ympäristössä voidaan ottaa käyttöön suomalainen näppäimistö asettelu.

1. Otetaan ensin käyttöön suomalainen näppäimistö komennolla set console keymap
   
   
2. Please select the model of the keyboard of this machine: Enter
   
   
3. Please select the layout matching the keyboard for this machine: Other –> Finland
   
   
4. Configure keyboard-configuration: Finland
   
   
5. Configuring keybaord-configuration: The default for the keyboard layout
   
   
6. Configuring keybaoard-configuration: No compose key
   
   
7. Käynnistetään VyOS uudelleen: reboot