Windows „Longhorn”Server kitekintés

Az előadások a következő témára: "Windows „Longhorn”Server kitekintés"— Előadás másolata:

1 Windows „Longhorn”Server kitekintés
Gál Tamás MCSE, MCSA, MCT, MVP

2 Tartalom Néhány újdonság Server Core 1x1

3 Néhány újdonság A teljesség igénye nélkül
Server Manager DNS Active Directory IIS 7.0 Network Access Protection Terminal Services Gateway Terminal Services Remote Programs

4 Server Manager – egyszer, régen…

5 Server Manager – holnap…

6 Server Manager – Server Roles

7 Server Manager - Features

8 DNS Szerveroldali változások
Background zone loading A zóna háttérben, részletekben történő átvitele Primary read-only zóna A Read-Only DC-k miatt Global Names zóna Statikus, globális nevek erdő színtű elérhetősége IPv6 támogatás

9 DNS Kliensoldali változások
Link-local multicast name resolution Kiesés esetén a kliensek peer-to-peer alapon próbálkoznak a névfeloldással Kapcsolat a DC-kkel Periodikus keresés > leválás utáni visszacsatlakozás gyorsabb és biztosabb A véletlenszerű DC elérés helyett, programozható (vagy registry) a „legközelebbi” Mindkét lehetőség csak Vistával

10 Active Directory Read-Only DC
Fiókirodák, telephelyek számára ideális Ez lehet az egyetlen DC, nem kell másik Sávszélesség takarékos A biztonságossá nem tehető helyeken érvényesül Minimális felügyelet szükséges

11 Active Directory Read-Only DC
Csak olvasható címtár replika Jelenleg támogatott szolgáltatások ADFS, DNS, DHCP, FRS, DFSR, Group Policy, IAS/VPN, DFS, SMS Extra alkalmazások is Sőt, alkalmazás felügyelet megosztás is Nem tudnak kárt tenni az AD-ban

12 Active Directory Read-Only DC
RODC-k alkalmazása a címtár „hálózatban”

13 Active Directory Read-Only DC
Credential caching A RODC nem tárol jelszavakat Kivéve a gép és és a krbtgt fiókét A RODC KDC-ként is képes „látszani” a kliensei felé Viszont más krbtgt fiókot használ a TGT kérések aláírásához, mint a „nagy’” DC Ha egy user hitelesít a nagy DC-vel, a RODC (a PRP alapján) elkéri a hitelesítő adatokat Ezután a user helyben is hitelesíthet Attól függ innentől, hogy mely kbrtgt fiókkal van aláírva

14 Active Directory Read-Only DC
Password Replication Policy A központi DC-n állítjuk Mely jelszavak replikálódjanak? Alapértelmezésben egy sem replikálódik Ha ellopják a RODC-t, ezek a jelszavak „rajta” lesznek

15 Active Directory Read-Only DC
Eltulajdonított DC? Amit a tolvaj lát Amit az admin tesz „This domain controller is permanently offline and can no longer be demoted using Active Directory Installation Wizard.”

16 Active Directory Read-Only DC
Replikáció Elvileg minden címtár objektum és attribútum ugyanúgy tárolódik mint eddig A változások viszont „felfelé” nem replikálódnak Azaz „unidirectional”, mivel csak az írható DC-kben változtathatunk, a replikáció egyirányú lesz Visszatértek az NT4 BDC-k? Nem, ez egy jóval rugalmasabb megoldás

17 Active Directory Read-Only DC - feltételek
1 darab Longhorn (FSMO) DC a tartományban W2K3 erdő funkcionalitási szint A biztonságos Kerberos delegálás miatt W2K3 tartomány funkcionalitási szint A Linked-value replikáció miatt GC nem lehet De az adott RODC site-ban a „Universal group membership caching” automatikus

18 Active Directory Read-Only DC
Admin jogok szeparálása A probléma: (Sok)mindenhez Domain Admins tagság kell Alapjaiban tenné tönkre a RODC elvét Van megoldás: „Helyi” rendszergazda jog a DC-n! Egyúttal minden Built-in csoport is (Backup/Server Operators, stb.) AD jogosultság nélkül!

19 Active Directory Újraindítható AD
Stop/Start, a gép újraindítása nélkül Miért? Karbantartás Előnyök: Nem kell várni az újraindításra A többi szolgáltatás működhet tovább

20 Active Directory Újraindítható AD
Ha ebben az ún. „AD DS Stopped” állapotban van a DC: Úgy viselkedik mint egy tartományi tagkiszolgáló Van interaktív belépés másik DC segítségével Van hálózati belépés a klienseknek Ha viszont nincs másik DC akkor a helyi Administrator jelszóval kell belépni (DS Restore mód, RC) Jogosultságok cache-elése, smartcard, vagy más extra belépési forma is lehetséges

21 IIS7 Moduláris telepítés = kevesebb probléma
Kezelés és frissítés komponensenként „Ha nem telepítjük, nem kell patch-elni” IIS 5.1 IIS 6.0 IIS7 Telepíthető komponensek 8 Kicsit több mint 8 40 Alapértelmezett HTTP komponensek Rengeteg Rengeteg, de letiltva Minimális

22 IIS7 Moduláris felépítés = IIS 5.0 WWW Service FTP Service Admin Tools
Common Files Scripts Directory Remote Desktop ActiveX Printers Virtual Directory FrontPage 2000 Srv Ext

23 IIS7 Application Development Security Health and Diagnostics
FTP Publishing BasicAuthModule FTPServer NetFxExtensibility HttpLoggingModule DigestAuthModule FTPManagement ISAPIModule CustomLoggingModule WindowsAuthModule ISAPIFilterModule RequestMonitorModule CertificateAuthModule Performance CGIModule HTTPTracingModule AnonymousAuthModule ServerSideIncludeModule ODBCLogging HTTPStaticCompression IPSecurityModule ASP HTTPDynamicCompression LoggingLibraries UrlAuthorizationModule ASP.NET RequestFilteringModule Management ManagementConsole Common HTTP Web Server Components ManagementScripting StaticFileModule DefaultDocumentModule DirectoryListingModule ManagementService HttpRedirect CustomErrorModule Metabase WMICompatibility Windows Process Activation Service LegacyScripts LegacySnap-in ProcessModel NetFxEnvironment ConfigurationAPI

24 IIS7 Kellemes, könnyen kezelhető faszerkezet ***
Kategóriákba osztott komponensek

25 IIS7 Kezelés Naplózás, monitoring Felügyelet
Delegálható a webhelyek és az alkalmazások felügyelete Windows / nem-Windows jogosultságok támogatása Naplózás, monitoring Valósidejű infók, automatikus hibafüggő, nyomkövető Felügyelet IIS Manager: helyi/távoli/internetes, tűzfalbarát Parancssori eszköz: appcmd.exe WMI provider-en keresztül is

26 Network Access Protection Mi is ez?
Teljesen új technológia amely hasonlít a VPN karanténhoz, de annál több, mert Az összes hálózati kliensre érvényes Szerver/kliens megoldás Több hozzáférési közegből (LAN, RAS, WLAN) LH Server lesz az első NAP kiszolgáló kliensek: Vista, LH Server és Windows XP SP2!

27 Network Access Protection Hogyan működik?
„Házirendet” készítünk, amely alapja Pl. OS frissítések, a vírus szignatúra frissítések, alkalmazások megléte/hiánya, és még egyéb ellenőrzések A NAP szerver pedig ellenőríz Megtagadja a belépést, ha a feltételek nem találkoznak az előírásokkal De hozzáférést adhat a frissítések lelőhelyéhez

28 Network Access Protection Hogyan működik?
Policy Servers Patch, AV 3 1 2 Nem felelt meg Zárolt hálózat 4 WSUS, SMS Server stb. Microsoft Network Policy Server NAP kliens DHCP, VPN Switch/Router Megfelelt 1 A kliens hozzáférést kér a jelenlegi állapota alapján 5 Belső hálózat 2 A DHCP, VPN, switch/router továbbítja a kérést a Microsoft Network Policy kiszolgálónak (RADIUS) 3 A Network Policy Server összehasonlítja az általunk definiált házirenddel a kliens állapotát 4 Ha nem felel meg, a kliens egy zárolt VLAN-ba kerül, és csak frissítések, szignatúrák, stb. letöltéséhez a kap hozzáférést (ha kell ismételve az 1-4. lépést) Ha megfelel, teljes hozzáférést kap a belső hálózathoz 5 28

29 Network Access Protection Vista <> XP kliens
4/4/2017 2:24 PM Network Access Protection Vista <> XP kliens NAP működik az XPSP2-vel is, de: Nincs integrálva, külön kell telepíteni A NAP kliens MMC csak Vistán érhető el A Vista NAP kliens a Windows Defenderrel „megtámogatható” (Security Center) A Vistában több és komolyabb hitelesítési opció van a NAP kliens részére Auth IP for IPSec, Single Sign-On for 802.1x., stb. © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

30 Terminal Services Gateway Mi is ez?
Egy új TS szerver típus RDP over HTTPS más néven: Terminal Server „VPN”  A távoli ügyfél és a Terminal Server között proxyként működik Tűzfalra, NAT szerverre telepítjük De lehet ugyanaz a szerver mint a TS PKI és az NPS szerver feltétel

31 Terminal Services Gateway Hogyan működik?
External Firewall DMZ Firewall Internet LAN Strips off HTTP RDP illesztés a TSG-hez RDP over HTTPS Terminal Servers HTTPS (443) RDP (3389) RDP kliens (privát v. publikus helyekről) TS Gateway (LH Server) AD ports AD

32 Terminal Services Gateway Hogyan működik?
Extra házirendek Connection Authorization Policies Kapcsolódás a belső hálózathoz (csoport), domain tagság alapján, gépfiók csoporttagság alapján Resource Authorization Policies Az elérhető belső erőforrások Mindkettőt (CAP, RAP) a TSG szerveren rakjuk össze Single-Sign-On Pre-RDP6 kliensek blokkolása

33 TS Remote Programs Mi is ez?
Terminálkliensek alkalmazás "ellátása" 1. Alkalmazás publikálás a szerveren 2. Parancsikonok „kiszórása” a TS kiszolgálón futó programokhoz A felhasználó számára teljesen helyi alkalmazásnak tűnik Több ilyen TS alkalmazás a kliensen? az RDP kapcsolat megosztása ezek között

34 TS Remote Programs Alkalmazások terítése
Legalább négy módszer: Az általunk készített és (pl. SMS-sel szétszórt) .rdp állományra duplán kattintva Az általunk készített és (pl. SMS-sel, vagy Csoportházirenddel szétszórt) .msi csomag ikonjára kattintva Az adott fájl nevére kattintva (ha hozzárendeltük a megfelelő távoli programot) A TS Web Access segítségével az adott weboldalon a hivatkozásra kattintva!

35 Alkalmazások publikálása
TS Remote Programs Alkalmazások publikálása TS RP Web Access

36 Tartalom Néhány újdonság Server Core 1x1

37 Server Core 1x1 Miért kell nekünk?
Önálló, „igazi” Longhorn Server, nem játék Minden „nagy” verzió mellett ott lesz x86 és x64 Nagyságrenddel… Biztonságosabb, gyorsabb, de behatároltabb is Kb. 60%-al kevesebb patch A DVD indítása után döntünk a „nagy” LH vagy a Server Core között

38 Server Core 1x1 Így indul…

39 Server Core 1x1 Tervezéshez
Erőforrásigény? CPU, 128 MB RAM, Kb. 2 GB HDD Kb. 40 alap szerviz (a többi letiltva) Kb. 25 processz Upgrade vs. clean install Upgrade nincs A Server Core sem frissíthető a „nagy” szerverre A Longhorn Servert sem lehet Server Core-ra Telepítés = kb. 15 perc

40 Server Core 1x1 Mi van benne? Mi nincs?
Nincs GUI, shell, Windows\Internet Explorer, MMC, IIS, TS, IAS, Sharepoint, Media Kivétel: 2 Control Panel elem Security Options képenyő Task Manager, jelszóváltoztatás, stb. Notepad 

41 Server Core 1x1 Mi van benne? Mi nincs?
A „kommersz” alkalmazások nem futnak De a kiszolgáló programok nagy része igen Szerver szerepek: DHCP, File, DNS, WINS Szerepkörök: Failover Clustering, NLB, Subsystem for UNIX-based applications, Backup, Removable Storage Management, Bitlocker, SNMP Active Directory Önmagában is, FSMO is Teljes funkcionalitás

42 Server Core 1x1 AD telepítés

43 Server Core 1x1 A Security Options képernyő

44 Server Core 1x1 Üzemeltetés
Helyi parancssor! Több esetben unattend módban RPC + DCOM a távoli MMC-hez Tartományon belülről és kívülről is WMI RDP (alapból letiltva) Task Scheduler Event Logging / Event Forwarding

45 Server Core 1x1 Üzemeltetés
Windows Remote Management (WinRM) WS-Management – biztonságos, tűzfalbarát, távoli elérés parancssorból WinRM.exe konfig a szerveroldalon GPO-val vagy unattend módon is lehet telepíteni Windows Remote Shell (WinRS) Csak a WinRM konfig után Windows Vista vagy LH Server Csak paranccsori eszközök / szkriptek

46 Server Core 1x1 Üzemeltetés
Nem mindent lehet parancssorból Ezért van az SCRegEdit.wsf szkript \Windows\System32 Mit tud? A pagefile beállítása (vagy nem ) Windows Update / Error Reporting engedélyezése TS Remote Admin Mode engedélyezése Régi és új klienseknek külön

47 Server Core 1x1 Példák a konfigurálásra, telepítésre
TCP/IP Netsh interface ipv4 Show interfaces Set address name="ID" source=static address=StaticIP mask=SubnetMask gateway=DefaultGateway Add dnsserver name="ID" address=DNSIP index=1 DHCP szerver telepítés Start /w Ocsetup DHCPServerCore

48 Server Core 1x1 Együtt kerek
Server Core + újraindítható AD Gyors, alacsony fogyasztású és igazán biztonságos Active Directory Server Core + RODC + szeparált admin jogosultság Biztonság++

49 Beta1 - 2005 szeptember 2006 május - Build 5384 2007 I. félév -
Feature Complete 2007 II. félév - RTM : CTP Build 5600 INF210

50

51 További információ Windows „Longhorn” Server
TechNet Portál (benne az Infrastruktúra modul) Longhorn Server Beta 2 Home Windows Server code name "Longhorn" fórum Longhorn Virtual Lab 51

52 További információ Server Core
Newsgroups Server Core Blog A „Command-line reference A-Z” jól jöhet 52