A Windows Server idei újdonságai

Az előadások a következő témára: "A Windows Server idei újdonságai"— Előadás másolata:

1 A Windows Server idei újdonságai
Fülöp Miklós rendszermérnök Szalontay Zoltán vezető rendszermérnök Microsoft Magyarország

2 TechNet események 2005 tavaszán
2005. március 23. A Windows Server idei újdonságai 2005. április 6. Átállás a legfrissebb technológiákra: Windows Server 2003, XP, Office 2003 2005. április 20. Az SQL Server 2005 relációs motorjának újdonságai 2005. május 4. Az SQL Server 2005 üzleti intelligencia szolgáltatásai 2005. május 18. Üzemeltetői konferencia

3 Napirend A „jelen”: Windows Server 2003 Service Pack 1 A jövő:
Windows Server 2003 R2 Active Directory Federation Services (ADFS) Microsoft Data Protection Server 2006

4 Mi a Windows Server 2003 SP1? A termék megjelenése óta kiadott frissítések és javítások egy csomagban Biztonság Stabilitás Kompatibilitás Új biztonsági funkciók Rendszerbiztonság Hálózati biztonság Egyéb új funkciók

5 Rendszerbiztonsági újdonságok Post-Setup Security Updates
A kiszolgáló védelme az operációs rendszer és a legfrissebb javítások telepítése között Figyelmeztető dialógus a Windows Update használatára és az Automatic Updates bekapcsolására Windows tűzfal bekapcsolva … ha explicit nem határoztunk másképp

6 Rendszerbiztonsági újdonságok Post-Setup Security Updates

7 Rendszerbiztonsági újdonságok Post-Setup Security Updates
Megjelenik: Windows NT 4.0-ról történő frissítés során Windows Server 2003 SP1 új telepítése esetén Nem jelenik meg: Windows 2000-ről történő frissítés során Windows Server 2003 (RTM)-ről frissítés során ha a tűzfalat telepítés során válaszfájlból, scriptből vagy Group Policy-vel bekapcsoltuk

8 Rendszerbiztonsági újdonságok Data Execution Prevention (DEP)
Hardveres és szoftveres adatvégrehajtás tiltása Data Execution Prevention (DEP) Programvégrehajtás megakadályozása eredetileg adatcélra lefoglalt memóriaterületről Hardveres 64 bites Intel, AMD processzorok 32 bites Intel (Execute Disable mód), AMD (No-Execute) processzorok PAE üzemmódban Szoftveres Bármilyen 32 bites processzoron

9 Rendszerbiztonsági újdonságok Data Execution Prevention (DEP)
boot.ini kapcsoló: /noexecute=<érték> OptIn – szoftveres és hardveres DEP bekapcsolva; csak a külön erre felkészített alkalmazások esetén (+ operációs rendszer) OptOut – szoftveres és hardveres DEP bekapcsolva; kivételek definiálhatók AlwaysOn – szoftveres és hardveres DEP bekapcsolva; kivétel nincs AlwaysOff – szoftveres és hardveres DEP kikapcsolva

10 Rendszerbiztonsági újdonságok Data Execution Prevention (DEP)
Konfiguráció: Control Panel / System / Advanced / (Performance) Settings / … Funkciók DEP ki/bekapcsolása Kivételek definiálása Alapértelmezés: OptOut – bekapcsolva, kivételek definiálhatók

11 Rendszerbiztonsági újdonságok Internet Explorer
Minden Internet Explorer-újítás a Windows XP SP2-ből: Információs sáv, új dialógusok Pop-up blocker Bővítmények (ActiveX) kezelése és korlátozása Fájlletöltés (zónainformáció a mentett fájlokon) Zónaátlépés Script-korlátozások (ablakkezelés) Funkcionalitások (behaviours) tiltása További információk (XP SP2):

12 Rendszerbiztonsági újdonságok Security Configuration Wizard
Szerepkör-alapú biztonsági beállítások automatikus biztonsági konfiguráció … … a kiszolgáló által végzett feladatokhoz igazodva Előre nem telepített komponens

13 Rendszerbiztonsági újdonságok Security Configuration Wizard
Nyitott portok listázása akkor futtassuk a Wizardot, amikor a már az összes szükséges szerveralkalmazást elindítottuk! Szerepkör kiválasztása a konfigurációs adatbázisból Szükséges rendszerszolgáltatások beállítása Szükséges portok kinyitása a tűzfalon LDAP és SMB biztonsági beállítások Auditálási szabályok beállítása A szerepkörhöz tartozó egyéb funkciók beállítása

14 Rendszerbiztonsági újdonságok Security Configuration Wizard
A konfiguráció XML fájlba menthető Az elmentett konfiguráció érvényesíthető a varázsló segítségével parancssorból: scwcmd.exe configure /p:webserverpolicy.xml

15 Security Configuration Wizard
demó

16 Hálózatbiztonsági újdonságok Windows Firewall
Alapértelmezésben nincs bekapcsolva Windows Firewall / ICS szolgáltatás letiltva Kivéve a PSSU alatt Állapotérzékeny tűzfal Csak a bejövő csomagok blokkolása IPv6 integráció ICMP csomagok szűrése csomagtípus alapján Rendszerindításkor aktív zárolt üzemmód „Boot time security”: csak DHCP, DNS, DC (házirend letöltése) Minden hálózati kapcsolatra érvényes konfiguráció Vezetékes, vezeték nélküli, telefonos, VPN, ... Parancssori konfiguráció netsh bővítmények, beavatkozás nélküli telepítés

17 Hálózatbiztonsági újdonságok Windows Firewall
Kivételek listája A nyitva tartandó bejövő portok listája A bejövő portok nyitására jogosult alkalmazások listája Automatikus portnyitás a regisztrált alkalmazások számára Kivétel létrehozható: programból, parancssorból, csoportházirend segítségével, a Windows tűzfal értesítéséből Kivétel létrehozásához rendszergazdai jogosultság szükséges Nyitott portok hatókörének korlátozása Mindenki, saját alhálózat, egyéni címek / alhálózatok Kivételek nélküli üzemmód Csoportházirenddel felügyelhető Több profil tartományi környezetben A beállított DNS suffix alapján: tartományi / tartományon kívüli

18 Hálózatbiztonsági újdonságok Windows Firewall – felhasználói dialógus

19 Hálózatbiztonsági újdonságok Windows Firewall – parancssori eszköz

20 Hálózatbiztonsági újdonságok Windows Firewall – csoportházirend

21 A Windows Firewall konfigurálása csoportházirend segítségével
demó

22 Hálózatbiztonsági újdonságok Remote Procedure Call (RPC) korlátozások
A távoli eljáráshívás (RPC) elérésének opcionális korlátozása kivéve – kompatibilitási okokból – a Named Pipe kommunikációt Group Policy-ből konfigurálható RestrictRemoteClients Anonymous RPC kapcsolatok letiltása Srv SP1-ben kikapcsolva (XP2-ben bekapcsolva) EnableAuthEpResolution Elérhető RPC kapcsolatok anonymous lekérdezésének letiltása

23 Hálózatbiztonsági újdonságok Remote Procedure Call (RPC) korlátozások

24 Hálózatbiztonsági újdonságok DCOM korlátozások
A DCOM szolgáltatások távoli elérésének rendszerszintű korlátozása DCOM elérési szintek: Launch – egy DCOM szolgáltatás elindítása Activate – egy DCOM szolgáltatás inicializálása (az első hívás előtt) Access – az elindított és inicializált DCOM szolgáltatás elérése

25 Hálózatbiztonsági újdonságok DCOM korlátozások

26 Hálózatbiztonsági újdonságok DCOM korlátozások

27 Hálózatbiztonsági újdonságok RDP over SSL
Remote Desktop Protocol titkosított SSL csatornán keresztül Használatához a kiszolgálónak saját tanúsítványra van szüksége Titkosított kétirányú kommunikáció és felhasználó-azonosítás Új RDP kliens!

28 Hálózatbiztonsági újdonságok RDP over SSL

29 Hálózatbiztonsági újdonságok RDP over SSL

30 Hálózatbiztonsági újdonságok RDP over SSL – hálózati kommunikáció
RDP port: TCP 3389 Általános téveszmék Terminal Server Web Services Client: NEM TCP 80  TCP 3389! RDP over SSL: NEM TCP 443  TCP 3389!

31 Add/Remove Programs szűrése

32 Background Intelligent Transfer Service (BITS) 2.0
A BITS letöltési sávszélesség korlátozható Adott időszakon belül és azon kívül (kbps) BITS 2.0 Windows XP SP2 Windows Server 2003 SP1 külön is letölthető (Win2000, 2003, XP)

33 Napirend A „jelen”: Windows Server 2003 Service Pack 1 A jövő:
Windows Server 2003 R2 Active Directory Federation Services (ADFS) Microsoft Data Protection Server 2006

34 Napirend A „jelen”: Windows Server 2003 Service Pack 1 A jövő:
Windows Server 2003 R2 Active Directory Federation Services (ADFS) Microsoft Data Protection Server 2006

35 Az “R2”… … nem “fő” verzió (pl. 6.0) … nem szervizcsomag
Az alap az SP1-hez képest nem változik pl.: kernel, hálózatkezelés, AD, meghajtók Nincs eszköz frissítés Meglévő komponensek nem változnak … nem szervizcsomag Az R2 új szolgáltatásokat hoz, nem meglévőket fejleszt … nem “feature pack” vagy javítás Az R2 újdonságai az operációs rendszer beépített komponensei lesznek Az R2 tartalmaz néhány korábban kiadott technológiát

36 Windows Server 2003 Feature Pack-ok és egyéb technológiák
2004  Automated Deployment Services* Group Policy Management Console iSCSI támogatás Windows SharePoint Services Rights Management Services AD Application Mode (AD/AM) Identity Integration* FRS Monitoring Tools  Services for UNIX 3.5 File Server Migration Toolkit Server Performance Advisor Virtual Server 2005 Windows Update Services  = kész * csak Enterprise és Datacenter-hez R2-ben

37 Akkor mi az “R2”? Az R2 a Windows Server 2003 következő verziója
A Windows Server 2003 SP1-re épül Az SP1, néhány beépített szolgáltatás és új funkciók integrációja Az R2 a Windows Server első frissítési változata Értéket ad az SA/EA vevőknek a fejlesztési ciklus közepén kifejezetten fontos az időzítés A Windows Server 2003 felhasználók a verzió váltásnál megszokottnál jóval egyszerűbben integrálhatják az új szolgáltatásokat a W2K3+SP1-gyel megegyező bitek az alap funkciókban minden R2 komponens opcionálisan telepíthető W2K3+SP1-gyel azonos alkalmazás kompatibilitás, minőség, megbízhatóság, teljesítmény a W2K3 SP2 mindkettővel (W2K3+SP1 és W2K3 R2) működik majd

38 A Windows Server fejlesztési ciklusa
kb. 4 év kb. 2 év Major Release Release Update Major Release Release Update Major Release The goals and philosophies of our Windows Server Roadmap are to deliver best of breed functionality with greater consistency and more predictability following a ‘major and update’ release cycle for our customers. Examples of major releases are Windows Server 2003 and Longhorn. Windows Server 2003 “R2” is our first “update release.” It will be followed by future update releases, such as a Longhorn “R2.” Update Releases allow Windows Server to deliver mid-cycle incremental value to customers in a manner which makes it very easy for them to consume. W2K3 W2K3 R2 LH LH R2 Blackcomb

39 Csomagolás és licencelés
Két CD, mert egyre nem fér rá CD1 = W2K3 + SP1 „slipstream”-elt változat A CD2 tartalmazza az új R2 szolgáltatásokat Licencelés, megjelenés A W2K3 R2 megjelenése után W2K3 nem lesz kapható SA/EA ügyfelek felár nélkül frissíthetnek Nem SA ügyfeleknek új szerver licencet kell fizetniük Nem kell új CAL, a W2K3 CAL érvényes Azonos terméktámogatási ciklus (2013-ig érvényes)

40 Fontos R2 komponensek Fejlett fiókiroda támogatás DFS replikáció
DFS Management Console Print Management Console AD Federation Services Fájlrendszer képességek Kvóta kezelés Egyszerűbb SAN kezelés NFS File Server Migration Toolkit SharePoint v2 SP2 Hardver kezelés Interix eszközök és alrendszer + Unix Identity Management Microsoft Management Console v2.1 .Net Framework v2.0 (“Whidbey”) Új „Configure Your Server roles” Active Directory Application Mode (AD/AM) Common Log File System Audit Collection Service (forwarder only)

41 Kiszolgálók a központi helyen? Kiszolgálók a fiókokban?
Fiókiroda támogatás A legtöbb ügyfél az adatközpontokat konszolidálja A Windows Server 2003 kiválóan méretezhető Az új cél a fiók kiszolgálók konszolidációja A TCO csökkentése érdekében Kiszolgálók a központi helyen? Kiszolgálók a fiókokban? vagy + Alacsony üzemeltetési költség – Magas kommunikációs költség – Lassú és nagy késleltetésű WAN + Nagy teljesítmény, rugalmas – Magas üzemeltetési költség

42 Optimalizált fiók környezet
Hub Fiók Fontosabb területek Központi mentés és felügyelet Hatékony publikálás és csoportmunka Magas rendelkezésre állás Fontos technológiák A DFSR hatékonyan használja a WAN-t Távoli, különbségi tömörítés és igény szerinti replikáció Távoli fiók adatok mentése helyi eszköz és rendszergazda nélkül DFSR Management Console Magas rendelkezésre állás (failover és failback) Print Management Console A jövőben gyorsítótáras lesz AD azonosítás, javítócsomag terjesztés, SharePoint, média adatfolyam

43 DFS replikáció A DFS replikáció a címtár integrált DFS névtérrel kiegészülve magas rendelkezésre állású, WAN-barát elosztott fájlrendszert nyújt FRS v2 Lecseréli a korábbi Fájl Replikációs Szolgáltatást Újraírták Megbízhatóbb, nagyobb a teljesítménye Új felügyeleti lehetőségek MMC konzol, konfiguráció AD-val, monitorozás WMI-vel, MOM management pack Hatékony távoli, különbségi tömörítési algoritmus Példa: egy 3.5 MB-os PPT címének változása 16 KB-os forgalmat jelent A sávszélesség korlátozható (BITS)

44 Print Management Console
A fiók kiszolgálók nyomtatói távolról egyszerre menedzselhetők The Print Mgmt Console enables Remote management of print server Easier management of drivers To push printers to their users Scalable management of print servers An easy way to view richer status on printers

45 Kvóta kezelés Eszközök összessége, amelyekkel a rendszergazdák nyomon követhetik és szabályozhatják a kiszolgálókon tárolt adatok mennyiségét és típusát Fájlrendszer kvóták – a tárolt adatmennyiség monitorozása és korlátozása Együttműködik az NTFS fájlrendszerrel Sokféle értesítés, 6 lépcsős küszöb Pl. küldése, ha a felső korlát 80, 90 vagy 95%-át elértük Fájl figyelés – korlátozás fájl típus alapján A fájl figyelési szabályok fájl csoportokra vonatkoznak Kivételek is megadhatók A kvóta kezelésével azonos, fejlett értesítési rendszer Jelentések készítése Ütemezve vagy igény szerint Kötet, mappa, megosztás szintjén Jelentések helyben vagy -ben; sok formátumban Tárolási házirend sablonok Kvótákra és fájl figyelésre A sablonok alapján létrehozott kvóták követik a sablonok változásait

46 Kvóta kezelés Fájlrendszer együttműködés
A felhasználás mértéke valós idejű információn alapul A korlátozás lehet „soft” vagy „hard” „soft”: ejnye bejnye „hard”: letiltja az I/O-t Csak NTFS kötetekkel működik File System Filter Csak kvóta konfigurációval rendelkező köteteket figyel Fürt támogatott Támogatja a speciális fájlokat tömörített, sparse, névvel rendelkező stream-ek, hard linkek, reparse point-ok Önhordozó konfiguráció a kvóta beállítások a kötettel együtt utaznak (SAN, hot-plug disk)

47 Hardver menedzsment A Windows Server 2003 R2 egy meghajtó segítségével képes kezelni az Intelligent Platform Management Interface-t (IPMI) Az IPMI hardver közeli eseményei az eseménynaplóban gyűlnek Leállt a ventillátor Melegszik a processzor Az alaplap érzékelői által mért értékek és tesztek olvashatók és beállíthatók egy új WMI szolgáltatóval Ezáltal az IPMI elérhető bármely WMI-t használó rendszerből (pl. szkript) Az R2 támogatja az új WS-Management protokolt Kiszolgálók távfelügyelete tűzfalon át HTTP vagy SOAP transzporton

48 Együttműködés UNIX-szal, migráció UNIX-ról
Windows alrendszer UNIX alkalmazások számára Régen az operációs rendszerben (Win32, OS/2 és POSIX alrendszerek) Most a Services for UNIX részeként (Interix) R2-től telepíthető komponens Vegyes mód – Windows alatt futó UNIX alkalmazás Win32 dll-re hivatkozik Pl.: adatbázis kapcsolódás - Oracle OCI és ODBC néhány probléma még van (pl.: signal és fork) Unix Identity Management (NIS Server/jelszó szinkronizálás) Egy AD tartományvezérlő master NIS Server lehet (RFC 2307) Jelszó szinkronizálás Windows és UNIX gépek között A fiókok itt és ott is léteznek Új MMC bedolgozó modul NFS Server Nagymértékben megnőtt a megbízhatósága Új adminisztrációs felület 64-bites támogatás minden komponensre A UNIX alrendszer eszközei és az SDK a webről tölthetők le, nem dobozos termék

49 MMC 2.1 Sokkal könnyebb bedolgozó modult írni Megbízhatóbb
MMC managed code framework (SDK) WinForms alapú Egy tipikus modul mérete 1800-ról 200 sorra csökkent Megbízhatóbb Heap elszigetelés Bedolgozó modul elszigetelés Továbbfejlesztett felület Akciók Új Add/Remove párbeszéd ablak Egységes megjelenés (UI útmutatók és minták) Régebbi operációs rendszerekre is meg fog jelenni

50 MMC 2.1 minták

51 Az R2 telepítésének módjai
Új telepítés Frissítés Windows Server 2003-ról SP1-nek már fent kell lennie A telepítés RTM (SP1 nélkül) Automatikus telepítés (Setupmgr) Klónozásos telepítés (Sysprep) Újratelepítés R2 komponensek Beépített operációs rendszer komponensek lesznek Alapértelmezés szerint nem települnek

52 Windows Server Roadmap
2008+ Windows “Longhorn” SP Windows Server “Longhorn R2” 2007 Windows Server “Longhorn” 2006 Windows Server “Longhorn” Beta 2 Windows Server 2003 SP2 2005 Windows Server 2003 for 64-Bit Extended Systems Windows Server 2003 Service Pack 1 Windows Update Services Windows Server: “Longhorn” Beta 1 Windows Server 2003 “R2” 2004 Virtual Server 2005

53 kávé- szünet

54 Napirend A „jelen”: Windows Server 2003 Service Pack 1 A jövő:
Windows Server 2003 R2 Active Directory Federation Services (ADFS) Microsoft Data Protection Server 2006

55 Összekapcsolt rendszerek
Szervezet Internet Partner Web Szerviz Web szolgáltatás Web Szerviz Alkalmazást alkalmazással Web Szerviz Web Szerviz Familiar with internet Without custom software requirements Capable of understanding all types of clients and platforms Web Services allows customers to connect with their existing infrastructure, and further integrate with their partners and suppliers systems. Providing an end to end solution for building connected systems – internal, external or both. It is not bound by any platform or architecture but based on protocols and formats. It can connect with existing systems and utilizes existing infrastructure Web Szerviz Web Szerviz Gazdag együttműködés Office SharePoint Live Meeting Sokféle eszköz és alkalmazás Web böngészők

56 A jelenlegi megoldások
Megközelítés Probléma Belső AD fiókok a külső ügyfelek számára VPN, IAS Ügyfél szoftver kell Nem skálázható AD az extraneten „Ágyúval verébre” Nincs erős hitelesítés (SSPI) Nincs delegált adminisztráció Webes SSO megoldások Drága Fölöslegesen duplikált infrastruktúra Nehézkes a fiókok kezelése Windows bizalmi kapcsolat Nyilvános hálózaton nagy a támadási felület Homogén Windows Server 2003 környezet kell hozzá Egyedi megoldások Fölöslegesen duplikált infrastruktúra és fejlesztés

57 Az identitás kezelési jövőkép Hozzáférés webszolgáltatásokkal
Múlt Jelen Jövő Alkalmazás kupacok ID minden rendszerben Főleg belső használatra Alacsony üzleti érték Egyéni integráció Identitás integráció Belső és külső Magas költség Összekapcsolt rendszerek Identitás szövetségek Bővítésre szánták Alacsony ár/érték Identitást kezelő termékek és szolgáltatások Web szolgáltatás alapú identitás kezelő platform Web services bring true interoperability into platforms, without middleware solutions Web services promote discrete separation and reusability, as opposed to replication and redundancy Not just about machines – to extent machines are proxy for people (and apps, browsers commonly are) web services enable people-to-machine interoperability BUT, web services security is a major concern Talking Points: Web Services started as a set of basic protocols. It matured to a complete architecture. Now it is helping build application utilizing phase 1 and phase 2 work. Currently web services are maturing, and now the focus is on solutions (e.g. Supply Chain Optimization) Also we are seeing increasing demand for Web Services. According to IDC report, Both software and services marketing is growing rapidly, with supply chain and eCommerce solution being the major drivers in Both these solutions require a good identity management solution. Átmeneti időszak

58 Trust SSO erdőn belül és két erdő között
adatum trey RD Windows NT 4.0 tartományok Windows 2000 erdők adatum.com erdő trey.com erdő adatum.com erdő trey.com erdő Windows Server 2003 erdők

59 Active Directory Federation Services (ADFS)
WebSSO: Helyi fiókommal távoli rendszereket érhetek el Azonos élmény a Windows Integrált azonosítással Nem kell Trust kapcsolat, VPN stb. Meglévő infrastruktúrán belül Több, tűzfallal elválasztott infrastruktúra között Fogalmak Erőforrások: pl. egy azonosítást is igénylő webes alkalmazás Fiókok: akik el akarják érni az erőforrásokat Igény (claim): a nyelv, amelyet az azonosítás során a két fél használ Meglévő biztonsági rendszerekkel együttműködik A WS-* specifikáción alapul (WS-Secure, WS-Trust, WS-Federation) Többféle biztonsági tokent támogat (SAML, Kerberos, x.509 stb.) Alacsony kockázattal vezethető be Szabványon alapul Az Identity Management technológia szállítók széles köre támogatja IBM, Netegrity, Oblix, OpenNetwork, RSA és Ping Identity

60 Az erdőn is túl Tartományon/erdőn kívüli ügyfelek, partnerek, beszállítók, alkalmazottak is elérhetik az alkalmazásokat Identitás szövetség Extranet azonosítás, authorizáció és Single-Sign-On Növeli az IT, fejlesztő és felhasználó hatékonyságát Növeli a biztonságot és a szabályozások betartását Az első lépés a Service Oriented Architecture (SOA) irányába

61 WS-Federation Web Services Federation Language
Az azonosítás során használt tokenek cseréjének és elfogadásának protokollja A WS-Security és WS-Trust webszolgáltatás felületekre épül Szerzők: BEA, IBM, Microsoft, RSA, VeriSign, Oblix Két definiált modell Passzív (vékony, böngésző alapú) ügyfél – HTTP/S Aktív (vastag) ügyfél – SOAP You find WS-Federation (here) on the WS* schematic Built upon WS-Security and WS-Trust, with the intention of enabling web services identity federation It’s co-written by IBM, BEA, etc. Talk about the active and passive profiles, and why an active client is better Make sure to say that active comes later Generalize to the notion that this whole thing is a precursor to general-purpose web services security (this is hard, but you gotta do it) Security Token Szolgáltatás HTTP Receiver HTTP üzenetek SOAP üzenetek SOAP Receiver

62 ADFS komponensek Active Directory Federation Service (FS)
Azonosítja a felhasználókat Kezeli az igényekhez szükséges attribútumokat Federation Service (FS) Kiadja a biztonsági tokeneket Kezeli a szövetségi házirendet FS Proxy (FS-P) A token kérések proxy ügyfele Felhasználói felületet ad a böngésző alapú ügyfeleknek Web Server SSO ügynök Felhasználói azonosítást kér Létrehozza a felhasználó authorizációs kontextusát Authorizáció Közvetlen igényekkel (pl.:  A beépített Authorization Managerrel (AzMan) Megjegyzések Az ADFS W2K és W2K3 erdőkkel is működik FS és FS-P alapértelmezés szerint egy gépen fut, de futhat külön is Az FS, FS-P és SSO ügynök komponensekhez IIS 6.0 és W2K3 R2 kell

63 Webes SSO az ADFS-sel Federation trust igények auditálás FS FS-P FS
web böngésző SSO ügynök

64 demó Active Directory Federation Services
a beszállító rendszerének elérése a szövetségi kapcsolat létrehozása szolgáltatás szintjének emelése csoport tagság módosítással szolgáltatás szintjének emelése az Authorization Managerrel (AzMan) demó

65 Napirend A „jelen”: Windows Server 2003 Service Pack 1 A jövő:
Windows Server 2003 R2 Active Directory Federation Services (ADFS) Microsoft Data Protection Server 2006

66 Microsoft Data Protection Server 2006
Felmérések alapján az elmúlt évben a mentésekből történő visszaállítások 42%-a nem működött A felhasználók felét nem elégítik a jelenlegi mentőrendszerek szolgáltatásai DPS lemez alapú központosított mentő és visszaállító szolgáltatás önálló kiszolgáló alkalmazás (mint az SQL, XCH) Windows Server 2003-on fut Jelenleg béta; 2005 nyarán készül el

67 Szolgáltatások Fizikai lemezeket vagy megosztásokat összefogó erőforrás csoportok közös mentési stratégia, ütemezés Folyamatos mentés replikáció segítségével Részleges, a felhasználók által végrehajtható visszaállítás a felhasználói felülettel integrált Monitorozás Web alapú jelentések

68 Tárolás külső telephelyen
Telepítés DPS Server: Windows Server 2003 Storage Server AD, SQL, Reporting Services Sok, olcsó lemez Virtual Disk Service (VDS) Egy SAN-hoz hasonló specifikáció Kb. 10 kiszolgáló / DPS Server Szalag alapú mentést kiegészítő megoldás Ügyfelek Active Directory Fájl kiszolgálók DPS DLT Mentés szalagra Tárolás külső telephelyen

69 Új kiszolgálók feltérképezése
Kiszolgálók és kötetek automatikus feltérképzése: Ütemezett feladat Az AD-t kérdezi le Windows Server 2003, Windows Storage Server 2003 vagy Windows 2000 fájlkiszolgálót véd (fürtöket nem) A rendszergazdát értesíti egy új kiszolgáló esetén Ügyfelek Active Directory Levédjem az ‘Exec1”-et? Fájl kiszolgálók DPS Új gép: “Exec1”

70 Mentés: lemezlemezszalag
Ügyfelek Active Directory Fájl kiszolgálók DPS DLT Mentés DAT-ra más eszközzel Tárolás külső telephelyen A DPS a fájl kiszolgálókra telepíti az DPS ügynök komponenst Az ügynökök minden (bájt szintű) változást naplóba mentenek A naplót a házirend függvényében a DPS Server-re replikálják A fájl kiszolgálóhoz nem nyúl A DPS az adatvédelem első szintjét jelenti

71 Fájl kiszolgáló mentése
Napi mentések: Fájl kiszolgáló szinkronizáció Háttémásolat (shadow copy restore point) naponta A háttérmásolat szalagra menthető “Egy óránál ne veszítsünk többet” Ügyfelek Active Directory Fájl kiszolgálók DPS

72 Visszaállítás Ügyfelek Active Directory Fájl kiszolgálók DPS
Felhasználási területek Végfelhasználók állítják vissza elvesztett adataikat (DPS ügyféllel) Teljes kiszolgáló, kötetek, megosztások visszaállítása Éles adatok fényképe (snapshot) az alkalmazás leállítása nélkül Ügyfelek Active Directory Fájl kiszolgálók DPS

73 DFS replikáció vagy Data Protection Server?
DFS Replication in R2 DPS 2005 Cél Általános célú replikáció Adatvédelem (fájl) Terjesztés A Windows Server 2003 R2 része Kiszolgáló alkalmazás Felhasználás Publikálás, terjesztés, elosztás, adatgyűjtés Adat replikációja a központi kiszolgálóra Failover támogatás Igen Nem Több tartomány? Erdőn belül replikál Tartományon belül replikál Topológia Bármilyen Csillag Háttérmásolat integráció A beépített szolgáltatással kompatibilis A beépített szolgáltatást továbbfejleszti Támogatott hálózat típusok LAN WAN (lassú is) WAN (csak gyorsabb) Nyitott fájlok átmozgatása Bezáráskor replikálódik (megj.: PST esetén 15 perc késleltetés) Nyitott fájlokat is replikál Replikáció jellege A különbséget replikálja Az kiírt adatot replikálja, ha írási művelet volt

74 A DPS licencelése Ügyfél kiszolgáló modell
Ügynök: a v1 csak nem fürtözött fájl kiszolgálót támogat Exchange, SQL stb. támogatás a későbbi verziókban Minden kereskedelmi csatornán elérhető lesz OEM, VL, FPP, SA Árazási modell (a tudomány mai állása szerint) 1 DPS kiszolgáló licenc minden DPS kiszolgálóra tipikusan 10 fájl kiszolgáló / DPS kiszolgáló 1 DPS ügynök licenc minden felügyelt kiszolgálóra

75 demó Microsoft Data Protection Server 2006 Konfiguráció Védelem
Visszaállítás Felügyelet Jelentés demó

76

77 Címek, hivatkozások BITS 2.0 letöltés
Windows XP SP2, Windows Server 2003 SP1 – beépítve Windows XP, Windows XP SP1 b93356b1-ba43-480f-983d-eb19368f9047 Windows 2000 Professional & Server 3ee866a0-3a09-4fdf-8bdb-c906850ab9f2 Windows Server 2003 3fd31f05-d091-49b3-8a80-bf9b Keresés a download.microsoft.com-on: 2.0

78 Címek, hivatkozások Windows Server 2003 Feature Packs
downloads/featurepacks/default.mspx Identity Management technologies/idm/default.mspx Microsoft Data Protection Server 2006

79 Címek, hivatkozások Active Directory Federation Services
tanulmány webcast Authorization Manager áttekintés WindowsServ/2003/standard/proddocs/ en-us/authm_RoleBasedMgmt.asp Seminar/en/ DEVT1_69/manifest.xml