Teljesen új elképzelés Minimum környezet – „sallangok” nélkül, viszont kompromisszumokkal Kifejezetten bizonyos szerepkörök ellátására Nem külön verzió,

Az előadások a következő témára: "Teljesen új elképzelés Minimum környezet – „sallangok” nélkül, viszont kompromisszumokkal Kifejezetten bizonyos szerepkörök ellátására Nem külön verzió,"— Előadás másolata:

1

2

3

4 Teljesen új elképzelés Minimum környezet – „sallangok” nélkül, viszont kompromisszumokkal Kifejezetten bizonyos szerepkörök ellátására Nem külön verzió, hanem egy { telepítési opció } Minden telepítő média tartalmazza Stabil működés Csak a legszükségesebb szerepkörök és képességek Példa: kevesebb rendszerszolgáltatás (40 / 75)

5 Minimalizált szoftveres környezet Nem alkalmazásplatform (főleg nem kliens) Viszont: szervizcsomagok, javítások, felügyeleti kliensek és segédprogramok Kevesebb üzemeltetési feladat „El van a sarokban, { nem kér enni }” Kisebb támadási felület > biztonságosabb működés A Windows 2000 Server-hez képest kb. 60% kevesebb javítás (WS03 esetén kb. 40%-kal)

6 Standard, Enterprise és DataCenter változat x86 / x64 az összes WS08 változat esetén Lényegesen kisebb erőforrás igény CPU: legalább 1 GHz az ajánlott RAM: a telepítés miatt 512 MB HDD: 1,5 GB (8 GB az ajánlott, hosszú távra) Telepítés Frissítés korábbi verziókról > nem lehetséges Frissítés egy teljes WS08 változatról vagy változatra > nem lehetséges Egyetlen frissítési útvonal lesz: { Server Core R2 }

7 GUI (majdnem teljesen) Kivétel: CMD.exe, Notepad.exe, Regedit.exe, MSInfo32.exe, Taskmgr.exe, MSIExec.exe, MSDT.exe Explorer shell.NET Framework MMC konzolok Control Panel - kivétel: intl.cpl és timedate.cpl IE, OE, Media Player, Themes, Windows Mail, Paint, Search, GUI Help, stb.

8 Szerepkörök ADDS, AD LDS DHCP, DNS szerver File Services Streaming Media Services Print Services Web Server (IIS) Hyper-V KépességekBitLocker Failover Clustering Multipath I/O Removable Storage SNMP Services SUA WS Backup WINSQoS

9 Initial Configuration Tasks, Server Manager, Servemanagercmd.exe nincs OCList.exe Szerepkörök és képességek állapotának megtekintése OCSetup.exe Telepítés / eltávolítás (csomagnevekkel) Pgkmgr.exe Telepítési összetevők finomhangolása (pl. IIS7)

10

11 A kernel ugyanaz mint a teljes WS08-nál Ha egy bináris fájl megtalálható a Server Core változatnál, az is ugyanaz Ha egy konfigurációs beállítás alkalmazható mindkettőnél akkor sincs különbség a megvalósításban pl. egy szolgáltatás startja, vagy egy tűzfal szabály Speciális Server Core rendszerszolgáltatás nincs

12 Minimális in-box eszközmeghajtó Storage, hálózati kártya, standard VGA, nyomtató driver viszont egy sincs! A Plug and Play alrendszer viszont igen Eszközmeghajtó telepítése: pnputil.exe Aláírás szükséges? > Group Policy Alkalmazás kompatibilitás vizsgálat és tesztelés ajánlott UAC nincs

13 Az alapértelmezett felhasználói felület: a parancssor  Viszont használhatjuk a Feladatkezelőt pl. a be- és kilépésre, illetve a cmd.exe indítására is. Példa a konfigurálásra A háttérszín változtatáshoz: HKEY_CURRENT_USER\Control Panel\Colors Value: Background Default Data Value: 29 95 122 (RGB value)

14 { A Server Core élmény }

15 Cmd.exe (parancssori eszközök) SCRegedit.wsf (SC Registry Editor) AU kliens engedélyezése Remote Desktop engedélyezése DNS SRV rekord súlyozás és prioritás beállítás IPSec Monitor engedélyezése + egyebek is, nézzük meg a Notepad-del Csak a Server Core-on elérhető

16 Remote Desktop A régi és az új RD klienseket eltérő módon lehet engedélyezni > SCRegedit.wsf TS: Server Core CMD.exe > TS RemoteApp MMC konzolok Teljes mellszélességgel (pl. RSAT) Ha nincs tartományban > tűzfal konfigurálás Group Policy Teljes mértékben alkalmas kliensnek Akár WMI filterekkel elválasztva is kezelhetjük

17 Windows Remote Management (WinRM) Teljeskörű távoli felügyelet – parancssorból Biztonságos, tűzfalbarát (pl. Kerberos és https) A kliens (WinRS) a Vistában gyárilag benne van WinRM 1.1 telepíthető XP / WS03-re winrm quickconfig – a listener létrehozása PowerShell és a WMI szkriptek A Powershell nem telepíthető lokálisan De WMI-n keresztül használható távolból Standard WMI szkriptek viszont működnek

18 Branch Office

19 A RODC egy új tartományvezérlő típus Úgyanúgy tartalmazza a címtár egy példányát mint a többi DC (a fiók jelszavakat persze nem) Csak éppen ez a példány írásvédett Sem a kliensek, sem az alkalmazások nem írhatnak (közvetlenül) a RODC címtárpéldányába Az írás kéréseket a legközelebbi írható DC kezeli le Olvasni viszont gond nélkül lehet

20 Kifejezetten telephelyeken Ahol a WAN kapcsolat miatt lassú a DC elérés Ahol a WAN kapcsolat hiányában is kell DC Ahol ugyanezek miatt GC-re is szükség van Ahol a kiszolgálón szükség van helyi Admin fiókra, de nincs szükség (sőt!) a címtár jogosultságokra Ahol nincs kvalifikált szakember Ahol nem garantálható a fizikai biztonság Ahol akár egy külső cégnek is be kell lépni az egyetlen kiszolgálón (ami persze DC is egyben)

21 Az erdő és a tartomány működési szintje: Windows Server 2003 vagy magasabb adprep /rodcprep a Schema master DC-n A DNS partíciók replikálásához szükséges Legalább egy írható WS08 DC-nek lennie kell az adott tartományban Ez lesz a RODC replikációs partnere A Server Core is lehet RODC, sőt…

22

23 Password Replication Policy Az alapértelmezettől eltérően adott csoportoknak vagy fiókoknak lekerülhet a jelszava a RODC-re Ezzel a belépés megoldható lesz a WAN kapcsolat hiányában is Nem a RODC-n állítjuk be, hanem egy központi WS08 DC-n „Allowed” és „Denied” RODC Password Replication Group A stratégia eldöntése szép feladat 

24 Helyi Admin fiók a RODC-n Bármely tartományi fiók vagy csoport delegálható helyi Adminként Ergo nem kell a Domain Admins csoporttagság Mindent megtehet ami egy helyi admin általában De a címtárhoz egyáltalán nem fér hozzá Hatókör: csak az adott RODC! „Unidirectional” v. one-way replikáció A replikáció egyirányú, azaz csak „lefelé” Ez a tulajdonság a SYSVOL replikációra is igaz (akkor is, ha DFS-R a típus)

25 Filtered Attribute Set Nem muszáj minden objektum minden attribútumát replikálni a RODC-re Dinamikusan állíthatjuk be (a sémában) a tiltott attribútumokat Csak WS08 erdő működési szinten!

26 Read-Only DNS A DNS kiszolgáló telepíthető és használható a RODC-n De a közvetlen dinamikus frissítés tiltott A RODC alapesetben csak a ForestDNSZones és DomainDNSZones rekordjait replikálja Azonban, a RODC képes továbbítani a DNS írási kéréseket Így egy írható DNS-en keresztül visszareplikálódik a megfelelő DNS partícióba a rekord tartalma

27 { RODC delegált telepítés } Előzetes lépések – központ: - Komplett, írható WS08 DC felállítása - Működési szint „belövése”, séma frissítés a RODC miatt - RODC admin fiók létrehozása - { Esetleg az IFM média elkészítése } Előzetes lépések – telephely: - Szűz WS08 telepítése, IP és DNS beállítás

28 { RODC a Server Core-on } Előzetes lépések - Komplett, írható WS08 DC felállítása - Működési szint „belövése”, séma frissítés a RODC miatt - RODC admin fiók létrehozása - Server Core telepítés és aktiválás (kb. 20 perc  ) - Server Core admin jelszó, gépnév, IP és DNS beállítás - RDP és tűzfal engedélyezés

29

30 { Kezdés 13:40-kor }