Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

IT Infrastruktúra tervezés – II. Logikai elemek

Hasonló előadás


Az előadások a következő témára: "IT Infrastruktúra tervezés – II. Logikai elemek"— Előadás másolata:

1 IT Infrastruktúra tervezés – II. Logikai elemek
Lepenye Tamás Rendszermérnök Microsoft Magyarország

2 Napirend A WSSRA szerint: Hálózati szolgáltatások Távoli hozzáférés
Nyiltkulcsos infrastruktúra Szoftverdisztribúció Tűzfalak Címtárszolgáltatás Fájl- és nyomtatószolgáltatás Adatkezelési szolgáltatás Köztesszoftverek Üzenetkezelés és együttműködés Webszolgáltatás Menedzsment szolgáltatás

3 Hálózati szolgáltatások

4 Hálózati szolgáltatások
Dynamic Host Configuration Protocol - DHCP Domain Name System - DNS Windows Internet Naming Service - WINS

5 Címallokáció Lehetőségeink: Kézi címkezelés BOOTP DHCP Manuális BOOTP
Manuális BOOTP DHCP Egyszerű X Fix és megjósolható Jelentős adminisztráció Címveszteség Mobil eszközök támogatása Központi szolgáltatás Minden platform ismeri Címmegújítás újrainduláskor Címmegújítás automatikusan Automatikus címújrafelhasználás Opciók átadása Multicast támogatás Biztonsági problémák Egypontos hibalehetőség Lehetőségeink: Kézi címkezelés BOOTP DHCP

6 Címallokáció A szolgáltatás létrehozásának kérdései
Elvárások a rendelkezésre állásra A kezelt IP címek száma Milyen az IT rendszermenedzsment? Javasolt megoldás (Best practice): Statikus IP címek a DHCP kiszolgálók és az útválasztók interfészein Statikus IP címek a dinamikus címallokációt nem támogató eszközökön Statikus IP címek, ha a szolgáltatás ezt megköveteli (Pl.: WINS, DNS) Lefoglalt címek a szervereknél, nyomtatóknál, hálózati eszközöknél Minden egyéb esetben DHCP

7 DHCP - tervezési kérdések
DHCP scope-ok DHCP rendelkezésre állás és hibatűrés DHCP útvonalválasztók esetén DHCP biztonság

8 DHCP Scope-ok Egy DHCP kiszolgáló több DHCP scope-ot is futtathat!
A legtöbb DHCP paramétert Scope opcióként kell megadni Egyedi opciót akkor definiáljunk, ha ezt egy szoftver vagy alkalmazás valóban igényli Osztály-opciókat akkor használjunk, ha a kliensek jól definiáltan eltérő igényeik vannak azonos alhálózatban Egyedi opciókat egy-egy klienshez „reservation options” segítségével rendelhetünk

9 DHCP – rendelkezésre állás és hibatűrés
Split Scope DHCP Cluster Standby Server

10 DHCP – útvonalválasztók esetén
Több subnet DHCP szolgáltatással való ellátása: Több DHCP szerverrel DHCP-Relay Agent az útválasztókban DHCP-Relay Agent egy ügyfélben Többlábú DHCP-szerver

11 DHCP - Biztonság Nem authentikált protokoll!
Biztonsági konfigurációs lehetőségek (Windows Server 2003) Kiszolgáló-felhatalmazás (DHCP Server Authorization) Kósza DHCP-kiszolgáló felderítése DNSUpdateProxy csoport DHCP-Class opciók használata Csak lefoglalt IP-címek használata A kiszolgáló biztonságának fokozása (security hardening)

12 A WINS betűszóban mi az „I” feloldása?
Internal Integrated Internet Information Kérdés

13 WINS – Windows Internet Name Resolution
NetBIOS névfeloldás, NetBIOS korlátokkal Lapos névtér 15+1 karakteres nevek A 80-as évekből származó szabvány WINS szerverek – WINS kliensek 12 szerver konfigurálható, de csak 2 névregisztrációra A WINS szervereket DHCP opciókkal meg lehet hírdetni

14 WINS Miért jó? Miért kell? Broadcast forgalom csökkentése
Automatikus regisztráció és megújítás Központi névfeloldás Kiterjesztett NetBIOS-név támogatás Miért kell? Windows 2000 előtti Microsoft kliensek NetBIOS névfeloldás szükséges többszegmensű IP-hálózatban Kliens vagy szerver-alkalmazás igényli a NetBIOS komunikációt File- vagy nyomtatószolgáltatás üzemel MS Windows 2000 előtti operációs rendszeren

15 WINS – Topogia és replikáció
WINS szerverek topológiája Központi WINS Full mesh Gyűrű Hub and spoke topology A replikáció típusai Push – azonnali, de nem szabályozható a forgalom Pull – szabályozható forgalom, de lassú konvergencia Push/pull WINS Request Size in Bytes Name Registration 110 Name Registration Response 104 Name Release Name Release Response Name Refresh Request Name Refresh Response Name Query 92 Name Query Response

16 WINS – legjobb gyakorlat
„Az egyszerű nagyszerű” 1 WINS / kliens!! Redundáns WINS = 2 WINS szerver push/pull replikáció A WINS Cluster nem két WINS szerver, hanem 1 logikai Hub-and-spoke architektúra replikáció esetén Push/pull replikáció beállítása ajánlott Adatbázis karbantartás (JET adatbázis) Scavenging – automatikus Compacting Database (online és offline) Consistecy check – alapértelmezés szerint kikapcsolt, érdemes bekapcsolni Backup útvonal beállítása A névkonvencióból törölni kell a „_” karaktert A Windows Server 2003 előtti DNS szerverek „-” karakterré konvertálják A WINS szerverek mutassanak önmagukra

17 DNS – Domain Name System
A de-facto névfeloldási rendszer Interneten Intraneten A névfeloldás mellett szolgáltatások is meghirdet Speciális rekordokkal (pl: MX) SRV rekorddal DNS együttműködés DHCP – kliensek számára dinamikus névregisztráció WINS – tartalék névfeloldási rendszer AD – Biztonságos névfrissítés, replikáció

18 DNS - szolgáltatástervezés
Tervezési feladatok Névtér tervezés DNS kiszolgálók elhelyezése a hálózatban Névtér-tervezési lehetőségek Egyetlen névtér A belső névtér a külső tartomány altartománya Független belső és külső névtér Azonos belső és külső névtér Javasolt megoldások: A „belső névtér a külső altartománya” megoldást a legkönnyebb bevezetni és adminisztrálni Ha a fenti nem kivitelezhető, akkor a független belső és külső névtér a javasolt Kerülendő, hogy a belső és külső névtér azonos legyen

19 Split DNS Ha egy kiszolgálónak eltérő a „belső” és „külső” neve...

20 DNS – Technológiai megközelítés
Javasolt a Windows Server 2003, mert... AD-Integrált DNS zónákat hozhatunk létre Biztonságos (ACL-el védett) rekordok Biztonságos frissítés AD-biztosította replikációs topológia, sebesség és biztonság A multimaster topológia miatt nincs egyetlen primary zóna,így egypontos meghibásodás sincs! Integrálható a szolgáltatás más infrastruktúra-szolgáltatásokkal DHCP, WINS Önmagában is erőteljes DNS implementáció „Cache corruption” védelem

21 Címtárszolgáltatás

22 Címtárszolgáltatás Címtár típusok:
Speciális felhasználású címtárak (pl.: DNS) Egyedi alkalmazás-címtárak (Exchange 5.5) Hálózat-fókuszú címtárak (Active Directory, Novell eDirectory stb.) Általános címtárak (LDAP, ADAM, Sun ONE) Metacímtárak

23 Címtárszolgáltatás Active Directory tervezési feladatok
Logikai felépítés tervezése Telephely-rendszer tervezése Logikai felépítés: Erdő kialakítás Tartomány-tervezés AD névtér tervezés Az AD-t támogató DNS-rendszer tervezése OU tervezés

24 Címtártervezés Erdő létrehozása: Tartomány létrehozása:
Az erdő az adminisztrációs egység (nem a tartomány)! Sémaeltérés Szolgáltatás-izoláció (pl.: gyártósor) Adat-izoláció (pl.: Kutatás-fejlesztés) Tartomány létrehozása: „Egyetlen tartomány” modell, ha csak lehet Forest Root tartomány – ma már ritka Regionális tartományok – ha a méret és adminisztrációs modell megköveteli AD névtér tervezése: Kövesd a DNS névtér tervezést! A NetBIOS és DNS Domain név eltérhet egymástól, de...

25 Címtártervezés Organizational Unit-ok tervezése A név fordítása hibás!
Nem az üzleti szervezet leképezésére való! Az Active Directory ADMINISZTRÁCIÓT könnyíti Adminisztrativ jogok delegálása Csoportházirendek alkalmazása

26 Tűzfal szolgáltatások

27 Tűzfal szolgáltatások
Támadás és védekezés Tűzfal funkciók Tűzfal kategóriák Tűzfal architektúrák

28 Támadás és védekezés Külső támadások Belső támadások
Fenyegetések, veszélyek és védekezés Fenyegetések Védekezés Packet Sniffers Hitelesítés; Switchek; Anti Sniffers; Titkosítás (IPSec) IP Spoofing Access Control Denial-of-Service Attacks Anti-Spoof, Anti-DoS; Traffice-rate limit Application Layer Attacks Hotfix; Szigorított biztonsági szabályok Network Reconnaissance IPSec Virus and Trojan Horses Anti-Virus, Hotfixes

29 Tűzfal funkciók Network adapter input filters Static packet filters
A hálózati kártya driver a bejövő forgalmat ellenőrzi TCP vagy UDP Port alapján. Szabványos IP forgalmat feltételez Static packet filters TCP és UPD forgalom ellenőrzése mindkét irányban. Szabványos IP forgalmat feltételez

30 Tűzfal funkciók 2 Network address translation (NAT)
Címfordítás. Elvileg nem tűzfal funkció Stateful inspection (Dynamic Packet Filter) A bejövő forgalom csak akkor engedélyezett, ha az állapottáblában megfelelő kimenő kapcsolat szerepel Circuit-level inspection A bejövő forgalom esetén nem csak kimenő kapcsolatra, hanem azon belül megfelelő munkamenetre is szükség van

31 Tűzfal funkciók 3 Proxy A kliens és a szerver közötti minden forgalmat felbontja egy kliens-proxy proxy-szerver forgalomra Nincs közvetlen kapcsolat a kliens és a szerver között, de ha mégis lenne (SSL) akkor is legalább protokoll fejléc ellenőrzés történik A szerver tárolhatja a gyakran kért oldalakat (gyártótól függő) A protokoll teljes egészében ellenőrizhető Felhasználó szintű szabályok állíthatók be (hitelesítés)

32 Tűzfal funkciók 4 Application layer filtering
Egy adott alkalmazás alkalmazás-specifikus adatáramlását képes figyelni, blokkolni, áirányítani, módosítani stb. Tartalomszűrés Vírusellenőrzés SSL terminálás Az alkalmazás szinten szűrő tűzfal vagy beépítve ismeri az adott alkalmazást vagy beépülő modul segítségével képes felügyelni annak forgalmát

33 Tűzfal kategóriák Helyi tűzfalak Útválasztókba épített tűzfalak
Low-end hardver tűzfalak High-end hardver tűzfalak Szerver tűzfalak

34 Helyi tűzfalak Operációs rendszerbe beépített tűzfal, amely ad-hoc módon néhány node-os hálózat védelmét is elláthatja Tulajdonság Érték Támogatott alapfunkciók static packet filters, NAT, and stateful inspection, ritkábban circuit-level inspection és/vagy application layer filtering. Konfiguráció Automatikus (kézi módosítási lehetőséggel) IP címek engedélyezése/tiltása Igen Protokoll számok engedélyezése/tiltása ICMP üzenetek engedélyezése/tiltása Kimenő forgalom engedélyezése Alkalmazásvédelem Esetleg Riasztás Támadások naplózása Valós idejű riasztás VPN támogatás Általában nem Távoli menedzsment Gyártói támogatás Erősen változó Magas rendelkezésre állás Nem Egyidejű munkamenetek 1-től 10-ig Moduláris frissítés Ársáv Alacsony (gyakran ingyenes)

35 Útválasztókba épített tűzfalak
Két típus: Internet hozzáférés LAN/WAN szegmentálás Tulajdonság Érték Támogatott alapfunkciók static packet filters. Lower-end útválasztók támogatják a NAT-ot. Higher-end útválasztók támogatják a stateful inspection-t és/vagy az alkalmazás szintű szűrést Konfiguráció Tipikusan automatikus a low-end és kézi a high-end routerek esetén IP címek engedélyezése/tiltása Igen Protokoll számok engedélyezése/tiltása ICMP üzenetek engedélyezése/tiltása Kimenő forgalom engedélyezése Alkalmazásvédelem Lehetséges Riasztás Tipikus Támadások naplózása A legtöbb esetben Valós idejű riasztás VPN támogatás Gyakori a lower-end útválasztókban, nem gyakori a high-end útválaztókban. Általában külön dedikált eszköz vagy szerver áll rendelkezésre Távoli menedzsment Gyártói támogatás Általában korlátozott a lower-end eszközökben és nagyon jó a higher-end útválasztóknál Magas rendelkezésre állás Low End: Nem - High End: Igen Egyidejű munkamenetek 10 – 1,000 Moduláris frissítés Low End: Nem – High End: Korlátozott Ársáv Változó

36 Low-End hardver tűzfalak
Tulajdonság Value Támogatott alapfunkciók static packet filters és NAT. Esetleg stateful inspection és vagy application layer filtering. Konfiguráció Automatikus (kézi módosítási lehetőséggel IP címek engedélyezése/tiltása Igen Protokoll számok engedélyezése/tiltása ICMP üzenetek engedélyezése/tiltása Kimenő forgalom engedélyezése Alkalmazásvédelem Tipikusan nem Riasztás Támadások naplózása Valós idejű riasztás VPN támogatás Néha Távoli menedzsment Gyártói támogatás Korlátozott Magas rendelkezésre állás Egyidejű munkamenetek > 10 – 7500 Moduláris frissítés Ársáv Alacsony Kisvállalatok, vagy nagyobb vállalatok belső hálózatában működnek

37 High-End hardver tűzfal
Nagyvállalatok vagy szolgáltatók számára készített céleszköz Tulajdonság Érték Támogatott alapfunkciók Static packet filters és NAT. Esetleg stateful inspection és/vagy application layer filtering. Konfiguráció Tipikusan kézi IP címek engedélyezése/tiltása Igen Protokoll számok engedélyezése/tiltása ICMP üzenetek engedélyezése/tiltása Kimenő forgalom engedélyezése Alkalmazásvédelem Potenciálisan Riasztás Támadások naplózása Valós idejű riasztás VPN támogatás Távoli menedzsment Gyártói támogatás Nagyon jó Magas rendelkezésre állás Egyidejű munkamenetek > 7500 – 500,000 Moduláris frissítés Ársáv Magas

38 Szerver tűzfalak Előnyök: Hátrányok: Nagy teljesítmény
Tulajdonság Érték Támogatott alapfunkciók Minden funkció Konfiguráció Tipikusan kézi IP címek engedélyezése/tiltása Igen Protokoll számok engedélyezése/tiltása ICMP üzenetek engedélyezése/tiltása Kimenő forgalom engedélyezése Alkalmazásvédelem Potenciálisan Riasztás Támadások naplózása Valós idejű riasztás VPN támogatás Távoli menedzsment Gyártói támogatás Magas rendelkezésre állás Egyidejű munkamenetek >50,000 Moduláris frissítés Egyéb Általánosan használt operációs rendszer Ársáv Magas Előnyök: Nagy teljesítmény Szolgáltatás-integráció Rendelkezésre állás és méretezhetőség Hátrányok: High-End Hardver Sérülékenység

39 Tűzfal architektúrák Single-Tier Egress and Ingress Előnyök Hátrányok
Alacsony beruházási költség Alacsony fenntartási költségek Hátrányok Egypontos biztonság Sávszélesség problémák

40 Tűzfal architektúrák Kétrétegű tűzfalrendszer Előnyök Hátrányok
Robosztusabb védelem A többféle tűzfalfunkció szétválik Hátrányok Kevésbé rugalmas architektúra Nagy hálózatoknál méretezési problémák léphetnek fel

41 Tűzfal architektúrák Többrétegű tűzfalrendszer Előnyök Hátrányok
A nyilvános forgalom leválasztása Teljesítmény, rendelkezésre állás Kimenő és bejövő forgalom elválasztása Hátrányok Komplex és drága menedzsment Költséges megvalósítás

42 Szoftverterítés

43 Szoftvertelepítés Szerver operációs rendszerek terítése
Kliens operációs rendszerek terítése Alkalmazások, üzleti szoftverek terítése Javítócsomagok, hotfixek, driverek terítése

44 Az alábbi rövidítések közül hánynak ismeri a feloldását?
WIM, WAIK, USMT, ACT, WDS, BDDT, ZTI, LTI Egyiknek sem 1-3 4-6 7-8 Kérdés

45 OS terítés, ahogy eddig volt
Remote Installation Services (RIS) W2K, WinXP kliensek, W2K, W2003 szerverek telepítése CD-Based, Sysprep Image (3rd Party kiegészítéssel) Automated Deployment Services Kiszolgálók telepítésére (kliensekkel működik, de nem támogatott) SMS OS Deployment Feature Pack (SMS OSD)

46 Eszközök DHCP Setup Manager Sysprep
Többféle telepítést vezérlő állomány Unattended.txt, cmdlines.txt stb. 3rd Party Image technológiák

47 Problémák Nem egységes formátum 16-bites függőség Eltérő használat
Ügyfél Kiszolgáló Bonyolult Kiegészítést igényel Sok Image keletkezik Az Image utólag nem szerkeszthető

48 OS terítés, ahogy lesz Windows Deployment Services (WDS)
A RIS utódja Server és kliens telepítés (Vista is!) Light Touch Installation (LTI) Automated Server Deployment (ADS) Egyelőre önállóan, később beépül a WDS-be System Management Server 2003 R2 Feature Pack Update Kliens telepítés Zero Touch Installation (ZTI)

49 OS Deployment Roadmap Egységesített Nagyvállalati Jelenlegi termékek
二○一七年四月四日 OS Deployment Roadmap Egységesített Nagyvállalati OS terítés Jelenlegi termékek Frissítések SMS 2003 10/03 SMS 2003 SP1 SMS 2003 SP2 SCCM 2007 (SMS v4) Format: WIM 1.0 OSD FP OSD FP LH update = OS Deployment termék Format: WIM 0.9 Format: WIM 1.0 Microsoft Virtual Server Migration Toolkit VSMT SMS v4 OS Deployment builds on WDS & other LH technology ADS 1.0 9/03 ADS 1.1 Format: ADS Format: ADS Transfer technology RIS in Windows Server 2003 WDS for Windows Server 2003 WDS in Windows Server “Longhorn” Format: WIM 1.0 Format: WIM 1.0 2003 2004 2005 2006 2007 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

50 OS deployment eszközök
Windows Automated Installation Toolkit (WAIK) Application Compatibility Toolkit (ACT) User State Migration Toolkit (USMT) ImageX Windows System Image Manager (WSIM) A Setup Manager helyett Business Desktop Deployment Toolkit Vista és Office telepítésének teljeskörű támogatása Projekt-támogatás teljes dokumentációval Technológiák Windows Imaging Format (WIM) Fájl alapú, Szerkeszthető Image formátum 3rd Party kiegészítőkre nincs szükség Egyetlen XML vezérlőállomány Windows Preinstallation Evironment (WinPE) 16-bit függés megszüntetése

51 Köszönjük a figyelmet!

52 További források Windows Server System Refrence Architecture
Automated Deployment Services Windows Vista Deployment Enhancements Business Desktop Deployment Webnapló Microsoft Technet portál

53 Feladatok automatizálása 1. – az első lépések és AD scripting
A következő előadás Feladatok automatizálása 1. – az első lépések és AD scripting 2006. November 9. 15:30

54


Letölteni ppt "IT Infrastruktúra tervezés – II. Logikai elemek"

Hasonló előadás


Google Hirdetések