Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Gál Tamás MCSE, MCSA, MCT, MVP Windows „Longhorn”Server kitekintés.

Hasonló előadás


Az előadások a következő témára: "Gál Tamás MCSE, MCSA, MCT, MVP Windows „Longhorn”Server kitekintés."— Előadás másolata:

1 Gál Tamás MCSE, MCSA, MCT, MVP Windows „Longhorn”Server kitekintés

2 Tartalom  Néhány újdonság  Server Core 1x1

3 Néhány újdonság A teljesség igénye nélkül  Server Manager  DNS  Active Directory  IIS 7.0  Network Access Protection  Terminal Services Gateway  Terminal Services Remote Programs

4 Server Manager – egyszer, régen…

5 Server Manager – holnap…

6 Server Manager – Server Roles

7 Server Manager - Features

8 DNS Szerveroldali változások  Background zone loading  A zóna háttérben, részletekben történő átvitele  Primary read-only zóna  A Read-Only DC-k miatt  Global Names zóna  Statikus, globális nevek erdő színtű elérhetősége  IPv6 támogatás

9 DNS Kliensoldali változások  Link-local multicast name resolution  Kiesés esetén a kliensek peer-to-peer alapon próbálkoznak a névfeloldással  Kapcsolat a DC-kkel  Periodikus keresés > leválás utáni visszacsatlakozás gyorsabb és biztosabb  A véletlenszerű DC elérés helyett, programozható (vagy registry) a „legközelebbi”  Mindkét lehetőség csak Vistával

10 Active Directory Read-Only DC  Fiókirodák, telephelyek számára ideális  Ez lehet az egyetlen DC, nem kell másik  Sávszélesség takarékos  A biztonságossá nem tehető helyeken érvényesül  Minimális felügyelet szükséges

11 Active Directory Read-Only DC  Csak olvasható címtár replika  Jelenleg támogatott szolgáltatások  ADFS, DNS, DHCP, FRS, DFSR, Group Policy, IAS/VPN, DFS, SMS  Extra alkalmazások is  Sőt, alkalmazás felügyelet megosztás is  Nem tudnak kárt tenni az AD-ban

12  RODC-k alkalmazása a címtár „hálózatban” Active Directory Read-Only DC

13  Credential caching  A RODC nem tárol jelszavakat  Kivéve a gép és és a krbtgt fiókét  A RODC KDC-ként is képes „látszani” a kliensei felé  Viszont más krbtgt fiókot használ a TGT kérések aláírásához, mint a „nagy’” DC  Ha egy user hitelesít a nagy DC-vel, a RODC (a PRP alapján) elkéri a hitelesítő adatokat  Ezután a user helyben is hitelesíthet  Attól függ innentől, hogy mely kbrtgt fiókkal van aláírva Active Directory Read-Only DC

14  Password Replication Policy  A központi DC-n állítjuk  Mely jelszavak replikálódjanak?  Alapértelmezésben egy sem replikálódik  Ha ellopják a RODC-t, ezek a jelszavak „rajta” lesznek Active Directory Read-Only DC

15  Eltulajdonított DC? Amit az admin tesz Amit a tolvaj lát „This domain controller is permanently offline and can no longer be demoted using Active Directory Installation Wizard.” Active Directory Read-Only DC

16  Replikáció  Elvileg minden címtár objektum és attribútum ugyanúgy tárolódik mint eddig  A változások viszont „felfelé” nem replikálódnak  Azaz „unidirectional”, mivel csak az írható DC-kben változtathatunk, a replikáció egyirányú lesz  Visszatértek az NT4 BDC-k?  Nem, ez egy jóval rugalmasabb megoldás Active Directory Read-Only DC

17  1 darab Longhorn (FSMO) DC a tartományban  W2K3 erdő funkcionalitási szint  A biztonságos Kerberos delegálás miatt  W2K3 tartomány funkcionalitási szint  A Linked-value replikáció miatt  GC nem lehet  De az adott RODC site-ban a „Universal group membership caching” automatikus Active Directory Read-Only DC - feltételek

18 Admin jogok szeparálása  A probléma:  (Sok)mindenhez Domain Admins tagság kell  Alapjaiban tenné tönkre a RODC elvét  Van megoldás:  „Helyi” rendszergazda jog a DC-n!  Egyúttal minden Built-in csoport is (Backup/Server Operators, stb.)  AD jogosultság nélkül! Active Directory Read-Only DC

19  Stop/Start, a gép újraindítása nélkül  Miért?  Karbantartás  Előnyök:  Nem kell várni az újraindításra  A többi szolgáltatás működhet tovább Active Directory Újraindítható AD

20  Ha ebben az ún. „AD DS Stopped” állapotban van a DC:  Úgy viselkedik mint egy tartományi tagkiszolgáló  Van interaktív belépés másik DC segítségével  Van hálózati belépés a klienseknek  Ha viszont nincs másik DC  akkor a helyi Administrator jelszóval kell belépni (DS Restore mód, RC)  Jogosultságok cache-elése, smartcard, vagy más extra belépési forma is lehetséges Active Directory Újraindítható AD

21  Moduláris telepítés = kevesebb probléma  Kezelés és frissítés komponensenként  „Ha nem telepítjük, nem kell patch-elni” IIS 5.1 IIS 6.0 IIS7 Telepíthető komponensek 8 Kicsit több mint 8 40 Alapértelmezett HTTP komponensek Rengeteg Rengeteg, de letiltva Minimális IIS7

22 Printers Virtual Directory FrontPage 2000 Srv Ext Scripts Directory Remote Desktop ActiveX Common Files Moduláris felépítés = IIS 5.0 IIS7 Admin ToolsFTP ServiceWWW Service

23 Common HTTP Web Server Components DirectoryListingModule CustomErrorModule StaticFileModuleDefaultDocumentModule HttpRedirect Security BasicAuthModule DigestAuthModule WindowsAuthModule CertificateAuthModule AnonymousAuthModule IPSecurityModule UrlAuthorizationModule RequestFilteringModule Health and Diagnostics HttpLoggingModule CustomLoggingModule RequestMonitorModule HTTPTracingModule ODBCLogging LoggingLibraries Application Development ISAPIModule ISAPIFilterModule CGIModule ServerSideIncludeModule NetFxExtensibility ASP ASP.NET Performance HTTPStaticCompression HTTPDynamicCompression Management ManagementConsole ManagementService ManagementScripting Metabase WMICompatibility LegacyScripts LegacySnap-in FTP Publishing FTPServer FTPManagement Windows Process Activation Service ConfigurationAPI ProcessModelNetFxEnvironment IIS7

24 Kellemes, könnyen kezelhető faszerkezet *** Kategóriákba osztott komponensek IIS7

25  Kezelés  Delegálható a webhelyek és az alkalmazások felügyelete  Windows / nem-Windows jogosultságok támogatása  Naplózás, monitoring  Valósidejű infók, automatikus hibafüggő, nyomkövető  Felügyelet  IIS Manager: helyi/távoli/internetes, tűzfalbarát  Parancssori eszköz: appcmd.exe  WMI provider-en keresztül is IIS7

26  Teljesen új technológia amely hasonlít a VPN karanténhoz, de annál több, mert  Az összes hálózati kliensre érvényes  Szerver/kliens megoldás  Több hozzáférési közegből (LAN, RAS, WLAN)  LH Server lesz az első NAP kiszolgáló  kliensek: Vista, LH Server és Windows XP SP2! Network Access Protection Mi is ez?

27  „Házirendet” készítünk, amely alapja  Pl. OS frissítések, a vírus szignatúra frissítések, alkalmazások megléte/hiánya, és még egyéb ellenőrzések  A NAP szerver pedig ellenőríz  Megtagadja a belépést, ha a feltételek nem találkoznak az előírásokkal  De hozzáférést adhat a frissítések lelőhelyéhez Network Access Protection Hogyan működik?

28 Nem felelt meg 1 Zárolt hálózat A kliens hozzáférést kér a jelenlegi állapota alapján 1 4 Ha nem felel meg, a kliens egy zárolt VLAN-ba kerül, és csak frissítések, szignatúrák, stb. letöltéséhez a kap hozzáférést (ha kell ismételve az 1-4. lépést) 2 A DHCP, VPN, switch/router továbbítja a kérést a Microsoft Network Policy kiszolgálónak (RADIUS) Microsoft Network Policy Server 3 Policy Servers Patch, AV Megfelelt DHCP, VPN Switch/Router 3 A Network Policy Server összehasonlítja az általunk definiált házirenddel a kliens állapotát 2 NAP kliens WSUS, SMS Server stb. Belső hálózat 5 4 Ha megfelel, teljes hozzáférést kap a belső hálózathoz 5 Network Access Protection Hogyan működik?

29 NAP működik az XPSP2-vel is, de:  Nincs integrálva, külön kell telepíteni  A NAP kliens MMC csak Vistán érhető el  A Vista NAP kliens a Windows Defenderrel „megtámogatható” (Security Center)  A Vistában több és komolyabb hitelesítési opció van a NAP kliens részére  Auth IP for IPSec, Single Sign-On for 802.1x., stb. Network Access Protection Vista <> XP kliens

30  Egy új TS szerver típus  RDP over HTTPS  más néven: Terminal Server „VPN”  más néven: Terminal Server „VPN”  A távoli ügyfél és a Terminal Server között proxyként működik  Tűzfalra, NAT szerverre telepítjük  De lehet ugyanaz a szerver mint a TS  PKI és az NPS szerver feltétel Terminal Services Gateway Mi is ez?

31 HTTPS (443) RDP (3389) InternetLAN TS Gateway (LH Server) Terminal Servers RDP kliens (privát v. publikus helyekről) External Firewall RDP over HTTPS Strips off HTTP RDP illesztés a TSG-hez DMZ Firewall AD ports AD Terminal Services Gateway Hogyan működik?

32  Extra házirendek  Connection Authorization Policies  Kapcsolódás a belső hálózathoz (csoport), domain tagság alapján, gépfiók csoporttagság alapján  Resource Authorization Policies  Az elérhető belső erőforrások  Mindkettőt (CAP, RAP) a TSG szerveren rakjuk össze  Single-Sign-On  Pre-RDP6 kliensek blokkolása Terminal Services Gateway Hogyan működik?

33  Terminálkliensek alkalmazás "ellátása"  1. Alkalmazás publikálás a szerveren  2. Parancsikonok „kiszórása” a TS kiszolgálón futó programokhoz  A felhasználó számára teljesen helyi alkalmazásnak tűnik  Több ilyen TS alkalmazás a kliensen?  az RDP kapcsolat megosztása ezek között TS Remote Programs Mi is ez?

34 Legalább négy módszer:  Az általunk készített és (pl. SMS-sel szétszórt).rdp állományra duplán kattintva  Az általunk készített és (pl. SMS-sel, vagy Csoportházirenddel szétszórt).msi csomag ikonjára kattintva  Az adott fájl nevére kattintva (ha hozzárendeltük a megfelelő távoli programot)  A TS Web Access segítségével az adott weboldalon a hivatkozásra kattintva! TS Remote Programs Alkalmazások terítése

35 TS Remote Programs Alkalmazások publikálása TS RP Web Access

36 Tartalom  Néhány újdonság  Server Core 1x1

37  Önálló, „igazi” Longhorn Server, nem játék  Minden „nagy” verzió mellett ott lesz  x86 és x64  Nagyságrenddel…  Biztonságosabb, gyorsabb, de behatároltabb is  Kb. 60%-al kevesebb patch  A DVD indítása után döntünk a „nagy” LH vagy a Server Core között Server Core 1x1 Miért kell nekünk?

38 Server Core 1x1 Így indul…

39  Erőforrásigény?  CPU, 128 MB RAM, Kb. 2 GB HDD  Kb. 40 alap szerviz (a többi letiltva)  Kb. 25 processz  Upgrade vs. clean install  Upgrade nincs  A Server Core sem frissíthető a „nagy” szerverre  A Longhorn Servert sem lehet Server Core-ra  Telepítés = kb. 15 perc Server Core 1x1 Tervezéshez

40  Nincs GUI, shell, Windows\Internet Explorer, MMC, IIS, TS, IAS, Sharepoint, Media  Kivétel:  2 Control Panel elem  Security Options képenyő  Task Manager, jelszóváltoztatás, stb.  Notepad  Notepad Server Core 1x1 Mi van benne? Mi nincs?

41  A „kommersz” alkalmazások nem futnak  De a kiszolgáló programok nagy része igen  Szerver szerepek: DHCP, File, DNS, WINS  Szerepkörök: Failover Clustering, NLB, Subsystem for UNIX-based applications, Backup, Removable Storage Management, Bitlocker, SNMP  Active Directory  Önmagában is, FSMO is  Teljes funkcionalitás Server Core 1x1 Mi van benne? Mi nincs?

42 Server Core 1x1 AD telepítés

43 Server Core 1x1 A Security Options képernyő

44  Helyi parancssor!  Több esetben unattend módban  RPC + DCOM a távoli MMC-hez  Tartományon belülről és kívülről is  WMI  RDP (alapból letiltva)  Task Scheduler  Event Logging / Event Forwarding Server Core 1x1 Üzemeltetés

45  Windows Remote Management (WinRM)  WS-Management – biztonságos, tűzfalbarát, távoli elérés parancssorból  WinRM.exe konfig a szerveroldalon  GPO-val vagy unattend módon is lehet telepíteni  Windows Remote Shell (WinRS)  Csak a WinRM konfig után  Windows Vista vagy LH Server  Csak paranccsori eszközök / szkriptek Server Core 1x1 Üzemeltetés

46  Nem mindent lehet parancssorból  Ezért van az SCRegEdit.wsf szkript  \Windows\System32  Mit tud?  A pagefile beállítása (vagy nem )  Windows Update / Error Reporting engedélyezése  TS Remote Admin Mode engedélyezése  Régi és új klienseknek külön Server Core 1x1 Üzemeltetés

47 Server Core 1x1 Példák a konfigurálásra, telepítésre   TCP/IP   Netsh interface ipv4 Show interfaces   Set address name="ID" source=static address=StaticIP mask=SubnetMask gateway=DefaultGateway   Add dnsserver name="ID" address=DNSIP index=1   DHCP szerver telepítés  Start /w Ocsetup DHCPServerCore

48  Server Core + újraindítható AD  Gyors, alacsony fogyasztású és igazán biztonságos Active Directory  Server Core + RODC + szeparált admin jogosultság  Biztonság++ Server Core 1x1 Együtt kerek

49 2006 május - Build 5384 Beta szeptember 2007 I. félév - Feature Complete 2007 II. félév - RTM : CTP Build 5600

50

51 További információ Windows „Longhorn” Server   TechNet Portál (benne az Infrastruktúra modul)     Longhorn Server Beta 2 Home     Windows Server code name "Longhorn" fórum   upID=161&SiteID=17   Longhorn Virtual Lab   n.mspx

52 További információ Server Core   Newsgroups   spx?ForumID=582&SiteID=17   Server Core Blog     A „Command-line reference A-Z” jól jöhet  


Letölteni ppt "Gál Tamás MCSE, MCSA, MCT, MVP Windows „Longhorn”Server kitekintés."

Hasonló előadás


Google Hirdetések