Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

IT Infrastruktúra tervezés – II. Logikai elemek Lepenye Tamás Rendszermérnök Microsoft Magyarország.

Hasonló előadás


Az előadások a következő témára: "IT Infrastruktúra tervezés – II. Logikai elemek Lepenye Tamás Rendszermérnök Microsoft Magyarország."— Előadás másolata:

1 IT Infrastruktúra tervezés – II. Logikai elemek Lepenye Tamás Rendszermérnök Microsoft Magyarország

2 Napirend AAAA WSSRA szerint: HHHHálózati szolgáltatások TTTTávoli hozzáférés NNNNyiltkulcsos infrastruktúra SSSSzoftverdisztribúció TTTTűzfalak CCCCímtárszolgáltatás FFFFájl- és nyomtatószolgáltatás AAAAdatkezelési szolgáltatás KKKKöztesszoftverek ÜÜÜÜzenetkezelés és együttműködés WWWWebszolgáltatás MMMMenedzsment szolgáltatás

3 Hálózati szolgáltatások

4  Dynamic Host Configuration Protocol - DHCP  Domain Name System - DNS  Windows Internet Naming Service - WINS

5 Címallokáció Lehetőségeink:  Kézi címkezelés  BOOTP  DHCP ManuálisBOOTPDHCP Egyszerű X Fix és megjósolható X Jelentős adminisztráció X Címveszteség X Mobil eszközök támogatása X Központi szolgáltatás XX Minden platform ismeri XXX Címmegújítás újrainduláskor XX Címmegújítás automatikusan X Automatikus címújrafelhasználás X Opciók átadása X Multicast támogatás X Biztonsági problémák XXX Egypontos hibalehetőség XX

6 Címallokáció  A szolgáltatás létrehozásának kérdései  Elvárások a rendelkezésre állásra  A kezelt IP címek száma  Milyen az IT rendszermenedzsment?  Javasolt megoldás (Best practice):  Statikus IP címek a DHCP kiszolgálók és az útválasztók interfészein  Statikus IP címek a dinamikus címallokációt nem támogató eszközökön  Statikus IP címek, ha a szolgáltatás ezt megköveteli (Pl.: WINS, DNS)  Lefoglalt címek a szervereknél, nyomtatóknál, hálózati eszközöknél  Minden egyéb esetben DHCP

7 DHCP - tervezési kérdések  DHCP scope-ok  DHCP rendelkezésre állás és hibatűrés  DHCP útvonalválasztók esetén  DHCP biztonság

8 DHCP Scope-ok  Egy DHCP kiszolgáló több DHCP scope-ot is futtathat!  A legtöbb DHCP paramétert Scope opcióként kell megadni  Egyedi opciót akkor definiáljunk, ha ezt egy szoftver vagy alkalmazás valóban igényli  Osztály-opciókat akkor használjunk, ha a kliensek jól definiáltan eltérő igényeik vannak azonos alhálózatban  Egyedi opciókat egy-egy klienshez „reservation options” segítségével rendelhetünk

9 DHCP – rendelkezésre állás és hibatűrés  Split Scope  DHCP Cluster  Standby Server

10 DHCP – útvonalválasztók esetén Több subnet DHCP szolgáltatással való ellátása:  Több DHCP szerverrel  DHCP-Relay Agent az útválasztókban  DHCP-Relay Agent egy ügyfélben  Többlábú DHCP- szerver

11 DHCP - Biztonság  Nem authentikált protokoll!  Biztonsági konfigurációs lehetőségek (Windows Server 2003)  Kiszolgáló-felhatalmazás (DHCP Server Authorization)  Kósza DHCP-kiszolgáló felderítése  DNSUpdateProxy csoport  DHCP-Class opciók használata  Csak lefoglalt IP-címek használata  A kiszolgáló biztonságának fokozása (security hardening)

12 Kérdés A WINS betűszóban mi az „I” feloldása? InternalIntegrated InternetInformation

13 WINS – Windows Internet Name Resolution  NetBIOS névfeloldás, NetBIOS korlátokkal  Lapos névtér  15+1 karakteres nevek  A 80-as évekből származó szabvány  WINS szerverek – WINS kliensek  12 szerver konfigurálható, de csak 2 névregisztrációra  A WINS szervereket DHCP opciókkal meg lehet hírdetni

14 WINS  Miért jó?  Broadcast forgalom csökkentése  Automatikus regisztráció és megújítás  Központi névfeloldás  Kiterjesztett NetBIOS-név támogatás  Miért kell?  Windows 2000 előtti Microsoft kliensek  NetBIOS névfeloldás szükséges többszegmensű IP-hálózatban  Kliens vagy szerver-alkalmazás igényli a NetBIOS komunikációt  5fb fb fb  File- vagy nyomtatószolgáltatás üzemel MS Windows 2000 előtti operációs rendszeren

15 WINS – Topogia és replikáció  WINS szerverek topológiája  Központi WINS  Full mesh  Gyűrű  Hub and spoke topology  A replikáció típusai  Push – azonnali, de nem szabályozható a forgalom  Pull – szabályozható forgalom, de lassú konvergencia  Push/pull WINS RequestSize in Bytes Name Registration110 Name Registration Response104 Name Release110 Name Release Response104 Name Refresh Request110 Name Refresh Response104 Name Query92 Name Query Response104

16 WINS – legjobb gyakorlat  „Az egyszerű nagyszerű” 1 WINS / kliens!!  Redundáns WINS = 2 WINS szerver push/pull replikáció  A WINS Cluster nem két WINS szerver, hanem 1 logikai  Hub-and-spoke architektúra replikáció esetén  Push/pull replikáció beállítása ajánlott  Adatbázis karbantartás (JET adatbázis)  Scavenging – automatikus  Compacting Database (online és offline)  Consistecy check – alapértelmezés szerint kikapcsolt, érdemes bekapcsolni  Backup útvonal beállítása  A névkonvencióból törölni kell a „_” karaktert  A Windows Server 2003 előtti DNS szerverek „-” karakterré konvertálják  A WINS szerverek mutassanak önmagukra

17 DNS – Domain Name System  A de-facto névfeloldási rendszer  Interneten  Intraneten  A névfeloldás mellett szolgáltatások is meghirdet  Speciális rekordokkal (pl: MX)  SRV rekorddal  DNS együttműködés  DHCP – kliensek számára dinamikus névregisztráció  WINS – tartalék névfeloldási rendszer  AD – Biztonságos névfrissítés, replikáció

18 DNS - szolgáltatástervezés  Tervezési feladatok  Névtér tervezés  DNS kiszolgálók elhelyezése a hálózatban  Névtér-tervezési lehetőségek  Egyetlen névtér  A belső névtér a külső tartomány altartománya  Független belső és külső névtér  Azonos belső és külső névtér  Javasolt megoldások:  A „belső névtér a külső altartománya” megoldást a legkönnyebb bevezetni és adminisztrálni  Ha a fenti nem kivitelezhető, akkor a független belső és külső névtér a javasolt  Kerülendő, hogy a belső és külső névtér azonos legyen

19 Split DNS  Ha egy kiszolgálónak eltérő a „belső” és „külső” neve...

20 DNS – Technológiai megközelítés  Javasolt a Windows Server 2003, mert...  AD-Integrált DNS zónákat hozhatunk létre  Biztonságos (ACL-el védett) rekordok  Biztonságos frissítés  AD-biztosította replikációs topológia, sebesség és biztonság  A multimaster topológia miatt nincs egyetlen primary zóna,így egypontos meghibásodás sincs!  Integrálható a szolgáltatás más infrastruktúra- szolgáltatásokkal  DHCP, WINS  Önmagában is erőteljes DNS implementáció  „Cache corruption” védelem

21 Címtárszolgáltatás

22 Címtárszolgáltatás  Címtár típusok:  Speciális felhasználású címtárak (pl.: DNS)  Egyedi alkalmazás-címtárak (Exchange 5.5)  Hálózat-fókuszú címtárak (Active Directory, Novell eDirectory stb.)  Általános címtárak (LDAP, ADAM, Sun ONE)  Metacímtárak

23 Címtárszolgáltatás  Active Directory tervezési feladatok  Logikai felépítés tervezése  Telephely-rendszer tervezése  Logikai felépítés:  Erdő kialakítás  Tartomány-tervezés  AD névtér tervezés  Az AD-t támogató DNS-rendszer tervezése  OU tervezés

24 Címtártervezés  Erdő létrehozása:  Az erdő az adminisztrációs egység (nem a tartomány)!  Sémaeltérés  Szolgáltatás-izoláció (pl.: gyártósor)  Adat-izoláció (pl.: Kutatás-fejlesztés)  Tartomány létrehozása:  „Egyetlen tartomány” modell, ha csak lehet  Forest Root tartomány – ma már ritka  Regionális tartományok – ha a méret és adminisztrációs modell megköveteli  AD névtér tervezése:  Kövesd a DNS névtér tervezést!  A NetBIOS és DNS Domain név eltérhet egymástól, de...

25 Címtártervezés  Organizational Unit-ok tervezése  A név fordítása hibás!  Nem az üzleti szervezet leképezésére való!  Az Active Directory ADMINISZTRÁCIÓT könnyíti  Adminisztrativ jogok delegálása – technologies/directory/activedirectory/actdid1.mspx technologies/directory/activedirectory/actdid1.mspx technologies/directory/activedirectory/actdid1.mspx  Csoportházirendek alkalmazása

26 Tűzfal szolgáltatások

27  Támadás és védekezés  Tűzfal funkciók  Tűzfal kategóriák  Tűzfal architektúrák

28 Támadás és védekezés  Külső támadások  Belső támadások  Fenyegetések, veszélyek és védekezés FenyegetésekVédekezés Packet Sniffers Hitelesítés; Switchek; Anti Sniffers; Titkosítás (IPSec) IP Spoofing Access Control Denial-of-Service Attacks Anti-Spoof, Anti-DoS; Traffice-rate limit Application Layer Attacks Hotfix; Szigorított biztonsági szabályok Network Reconnaissance IPSec Virus and Trojan Horses Anti-Virus, Hotfixes

29 Tűzfal funkciók  Network adapter input filters  A hálózati kártya driver a bejövő forgalmat ellenőrzi TCP vagy UDP Port alapján. Szabványos IP forgalmat feltételez  Static packet filters  TCP és UPD forgalom ellenőrzése mindkét irányban. Szabványos IP forgalmat feltételez

30 Tűzfal funkciók 2  Network address translation (NAT)  Címfordítás. Elvileg nem tűzfal funkció  Stateful inspection (Dynamic Packet Filter)  A bejövő forgalom csak akkor engedélyezett, ha az állapottáblában megfelelő kimenő kapcsolat szerepel  Circuit-level inspection  A bejövő forgalom esetén nem csak kimenő kapcsolatra, hanem azon belül megfelelő munkamenetre is szükség van

31 Tűzfal funkciók 3  Proxy  A kliens és a szerver közötti minden forgalmat felbontja egy kliens-proxy proxy-szerver forgalomra  Nincs közvetlen kapcsolat a kliens és a szerver között, de ha mégis lenne (SSL) akkor is legalább protokoll fejléc ellenőrzés történik  A szerver tárolhatja a gyakran kért oldalakat (gyártótól függő)  A protokoll teljes egészében ellenőrizhető  Felhasználó szintű szabályok állíthatók be (hitelesítés)

32 Tűzfal funkciók 4  Application layer filtering  Egy adott alkalmazás alkalmazás-specifikus adatáramlását képes figyelni, blokkolni, áirányítani, módosítani stb.  Tartalomszűrés  Vírusellenőrzés  SSL terminálás Az alkalmazás szinten szűrő tűzfal vagy beépítve ismeri az adott alkalmazást vagy beépülő modul segítségével képes felügyelni annak forgalmát

33 Tűzfal kategóriák  Helyi tűzfalak  Útválasztókba épített tűzfalak  Low-end hardver tűzfalak  High-end hardver tűzfalak  Szerver tűzfalak

34 Helyi tűzfalak  Operációs rendszerbe beépített tűzfal, amely ad-hoc módon néhány node-os hálózat védelmét is elláthatja TulajdonságÉrték Támogatott alapfunkciókstatic packet filters, NAT, and stateful inspection, ritkábban circuit-level inspection és/vagy application layer filtering. KonfigurációAutomatikus (kézi módosítási lehetőséggel) IP címek engedélyezése/tiltásaIgen Protokoll számok engedélyezése/tiltása Igen ICMP üzenetek engedélyezése/tiltása Igen Kimenő forgalom engedélyezéseIgen AlkalmazásvédelemEsetleg RiasztásEsetleg Támadások naplózásaEsetleg Valós idejű riasztásEsetleg VPN támogatásÁltalában nem Távoli menedzsmentÁltalában nem Gyártói támogatásErősen változó Magas rendelkezésre állásNem Egyidejű munkamenetek1-től 10-ig Moduláris frissítésNem ÁrsávAlacsony (gyakran ingyenes)

35 Útválasztókba épített tűzfalak  Két típus:  Internet hozzáférés  LAN/WAN szegmentálás TulajdonságÉrték Támogatott alapfunkciókstatic packet filters. Lower-end útválasztók támogatják a NAT- ot. Higher-end útválasztók támogatják a stateful inspection-t és/vagy az alkalmazás szintű szűrést KonfigurációTipikusan automatikus a low-end és kézi a high-end routerek esetén IP címek engedélyezése/tiltásaIgen Protokoll számok engedélyezése/tiltásaIgen ICMP üzenetek engedélyezése/tiltásaIgen Kimenő forgalom engedélyezéseIgen AlkalmazásvédelemLehetséges RiasztásTipikus Támadások naplózásaA legtöbb esetben Valós idejű riasztásA legtöbb esetben VPN támogatásGyakori a lower-end útválasztókban, nem gyakori a high-end útválaztókban. Általában külön dedikált eszköz vagy szerver áll rendelkezésre Távoli menedzsmentIgen Gyártói támogatásÁltalában korlátozott a lower-end eszközökben és nagyon jó a higher-end útválasztóknál Magas rendelkezésre állásLow End: Nem - High End: Igen Egyidejű munkamenetek10 – 1,000 Moduláris frissítésLow End: Nem – High End: Korlátozott ÁrsávVáltozó

36 Low-End hardver tűzfalak  Kisvállalatok, vagy nagyobb vállalatok belső hálózatában működnek TulajdonságValue Támogatott alapfunkciókstatic packet filters és NAT. Esetleg stateful inspection és vagy application layer filtering. KonfigurációAutomatikus (kézi módosítási lehetőséggel IP címek engedélyezése/tiltásaIgen Protokoll számok engedélyezése/tiltásaIgen ICMP üzenetek engedélyezése/tiltásaIgen Kimenő forgalom engedélyezéseIgen AlkalmazásvédelemTipikusan nem RiasztásTipikusan nem Támadások naplózásaTipikusan nem Valós idejű riasztásTipikusan nem VPN támogatásNéha Távoli menedzsmentIgen Gyártói támogatásKorlátozott Magas rendelkezésre állásTipikusan nem Egyidejű munkamenetek> 10 – 7500 Moduláris frissítésKorlátozott ÁrsávAlacsony

37 High-End hardver tűzfal  Nagyvállalatok vagy szolgáltatók számára készített céleszköz TulajdonságÉrték Támogatott alapfunkciókStatic packet filters és NAT. Esetleg stateful inspection és/vagy application layer filtering. KonfigurációTipikusan kézi IP címek engedélyezése/tiltásaIgen Protokoll számok engedélyezése/tiltásaIgen ICMP üzenetek engedélyezése/tiltásaIgen Kimenő forgalom engedélyezéseIgen AlkalmazásvédelemPotenciálisan RiasztásIgen Támadások naplózásaIgen Valós idejű riasztásIgen VPN támogatásPotenciálisan Távoli menedzsmentIgen Gyártói támogatásNagyon jó Magas rendelkezésre állásIgen Egyidejű munkamenetek> 7500 – 500,000 Moduláris frissítésIgen ÁrsávMagas

38 Szerver tűzfalak  Előnyök:  Nagy teljesítmény  Szolgáltatás- integráció  Rendelkezésre állás és méretezhetőség  Hátrányok:  High-End Hardver  Sérülékenység TulajdonságÉrték Támogatott alapfunkciókMinden funkció KonfigurációTipikusan kézi IP címek engedélyezése/tiltásaIgen Protokoll számok engedélyezése/tiltása Igen ICMP üzenetek engedélyezése/tiltásaIgen Kimenő forgalom engedélyezéseIgen AlkalmazásvédelemPotenciálisan RiasztásIgen Támadások naplózásaIgen Valós idejű riasztásIgen VPN támogatásPotenciálisan Távoli menedzsmentIgen Gyártói támogatásJó Magas rendelkezésre állásIgen Egyidejű munkamenetek>50,000 Moduláris frissítésIgen EgyébÁltalánosan használt operációs rendszer ÁrsávMagas

39 Tűzfal architektúrák  Single-Tier Egress and Ingress  Előnyök  Alacsony beruházási költség  Alacsony fenntartási költségek  Hátrányok  Egypontos biztonság  Sávszélesség problémák

40 Tűzfal architektúrák  Kétrétegű tűzfalrendszer  Előnyök  Robosztusabb védelem  A többféle tűzfalfunkció szétválik  Hátrányok  Kevésbé rugalmas architektúra  Nagy hálózatoknál méretezési problémák léphetnek fel

41 Tűzfal architektúrák  Többrétegű tűzfalrendszer  Előnyök  A nyilvános forgalom leválasztása  Teljesítmény, rendelkezésre állás  Kimenő és bejövő forgalom elválasztása  Hátrányok  Komplex és drága menedzsment  Költséges megvalósítás

42 Szoftverterítés

43 Szoftvertelepítés  Szerver operációs rendszerek terítése  Kliens operációs rendszerek terítése  Alkalmazások, üzleti szoftverek terítése  Javítócsomagok, hotfixek, driverek terítése

44 Kérdés Az alábbi rövidítések közül hánynak ismeri a feloldását? WIM, WAIK, USMT, ACT, WDS, BDDT, ZTI, LTI 1.Egyiknek sem

45 OS terítés, ahogy eddig volt  Remote Installation Services (RIS)  W2K, WinXP kliensek, W2K, W2003 szerverek telepítése  CD-Based, Sysprep Image (3rd Party kiegészítéssel)  Automated Deployment Services  Kiszolgálók telepítésére (kliensekkel működik, de nem támogatott)  SMS OS Deployment Feature Pack (SMS OSD)

46 Eszközök  DHCP  Setup Manager  Sysprep  Többféle telepítést vezérlő állomány  Unattended.txt, cmdlines.txt stb.  3rd Party Image technológiák

47 Problémák  Nem egységes formátum  16-bites függőség  Eltérő használat  Ügyfél  Kiszolgáló  Bonyolult  Kiegészítést igényel  Sok Image keletkezik  Az Image utólag nem szerkeszthető

48 OS terítés, ahogy lesz  Windows Deployment Services (WDS)  A RIS utódja  Server és kliens telepítés (Vista is!)  Light Touch Installation (LTI)  Automated Server Deployment (ADS)  Egyelőre önállóan, később beépül a WDS-be  System Management Server 2003 R2 Feature Pack Update  Kliens telepítés  Zero Touch Installation (ZTI)

49 ADS 1.0 9/03 SMS /03 SP1 ADS 1.1 SMS 2003 SP2 OSD FP Microsoft Virtual Server 2005 Migration Toolkit VSMT SCCM 2007 (SMS v4) Jelenlegi termékek EgységesítettNagyvállalati OS terítés WDS for Windows Server 2003 SMS v4 OS Deployment builds on WDS & other LH technology Transfertechnology 2007 RIS in Windows Server 2003 Frissítések = OS Deployment termék termék Format: ADS Format: WIM 0.9 Format: ADS Format: WIM 1.0 WDS in Windows Server “Longhorn” Format: WIM 1.0 OSD FP LH update Format: WIM 1.0 OS Deployment Roadmap

50 OS deployment eszközök  Windows Automated Installation Toolkit (WAIK)  Application Compatibility Toolkit (ACT)  User State Migration Toolkit (USMT)  ImageX  Windows System Image Manager (WSIM) A Setup Manager helyett  Business Desktop Deployment Toolkit  Vista és Office telepítésének teljeskörű támogatása  Projekt-támogatás teljes dokumentációval  Technológiák  Windows Imaging Format (WIM)  Fájl alapú, Szerkeszthető Image formátum  3rd Party kiegészítőkre nincs szükség  Egyetlen XML vezérlőállomány  Windows Preinstallation Evironment (WinPE)  16-bit függés megszüntetése

51 Köszönjük a figyelmet!

52 További források  Windows Server System Refrence Architecture   Automated Deployment Services   Windows Vista Deployment Enhancements   Business Desktop Deployment   Webnapló   Microsoft Technet portál 

53 A következő előadás Feladatok automatizálása 1. – az első lépések és AD scripting November 9. 15:30 d=463b21f5-26fd-4ec5-ac64-01beebfe1831

54


Letölteni ppt "IT Infrastruktúra tervezés – II. Logikai elemek Lepenye Tamás Rendszermérnök Microsoft Magyarország."

Hasonló előadás


Google Hirdetések