Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

WS08 R2 üzemeltetői szemmel

Hasonló előadás


Az előadások a következő témára: "WS08 R2 üzemeltetői szemmel"— Előadás másolata:

1 WS08 R2 üzemeltetői szemmel
Király István MCT,MCP, MCTS,MCITP:SA Informatikai Igazgató Solar Capital Markets Zrt.

2 Tartalom

3 Bemelegítés – WS08 R2 A „nagy” verziók között újra egy R2 Csak 64 bit
Jóval több mint a WS03 R2, inkább W7 Server Rettentő mennyiségű újdonság Csak 64 bit Fő pillérek: web, felügyelet, virtualizáció és az együttműködés

4

5 Felügyelet A keretrendszer
BPA ISE konzol Server Manager Egyéb, külső UI eszközök Feladatorientált, testre-szabható, kiterjeszthető PowerShell Engine PowerShell V2 Univerzalitás, automatizmus Már távolból is WSMan protokoll WMI protokoll BITS szerviz BITS Aszinkron, szkriptelhető Hálózati forgalom optimalizálás Felügyelt komponensek (OS, alkalmazások, eszközök) WSMan és WMI Jól bevált (a WS03 R2 óta) Távoli is, OS / hardver is

6 Felügyelet Server Manager
WS08 problémák Csak lokális ½ megoldás: RSAT R2 Server Manager Remoting > RSAT Windows 7-ről Több szervert is, és persze Server Core-t is Nem teljeskörű

7 Felügyelet PowerShell vs. Server Manager
Server Manager PowerShell cmdlet-ek Get-WindowsFeature Add-WindowsFeature Remove-WindowsFeature Gyors, egyszerű, frappáns Sok parancssori lehetőség (automata kiegészítés, wildcard-ok, csövezés) Remoting és Server Core-on is

8 - Server Manager Remoting - Server Manager + PowerShell

9 Felügyelet Integrated Scripting Environment
WS08 Könnyű hibás szkripteket gyártani Primitív felülelet, Notepad + konzol Nincs debugger Nincs nyelvi támogatás (ez úgy 60%-ot érintettség) WS08 R2 PowerShell alap Komfortos súgó, színek , nyelvi támogatás „Egyablakos” lehetőség a szerkesztésre, nyomkövetésre, futtatásra

10 Felügyelet Integrated Scripting Environment
Fülek Integrált környezet Színezés

11 Felügyelet PowerShell Remoting
Egyről - soknak Parancsok, szkriptek küldése egy gépről többnek Egyidejű kapcsolatok limitálása lehetséges Mehet a háttérben is Sokról – egynek „Hosting” modell > egy szerver > több üzemeltető Eltérő jogosultsági kontextusban is

12 PowerShell ISE + Remoting

13 Felügyelet Best Practice Analyser - hegyekben
BPA = először SPS, majd XCHG Hagyományosan jól használható eszköz Az R2-ben áttörés történik ADCS, ADDS, DNS, RDS, IIS Helyben és távolból, UI és parancssor egyaránt Beépítve a Server Manager-be, RSAT-ba PowerShell cmdlet-eken keresztül is működik Az új és a frissített BPA-k > Windows Update > ciklikusan

14 - BPA

15 Felügyelet Server Migration
Új megoldásokra van / lesz szükség In-place frissítés nem lesz egyszerűbb Legyen a forrás / cél „ugyanaz”! A Server Migration hatóköre AD, DNS, DHCP, File, Print, BranchCache TCP/IP, Local Users/Groups, megosztások, stb. Forrás szerverek: WS03, WS08, WS08 R2 x86 / x64, Full / Server Core, fizikai / virtuális

16

17 Hálózat View Available Network UI
Nos…, nagyon kellett már  Kategóriánként WLAN: kapcsolódás lehetősége megjelenik A RAS / VPN: részletes állapotjelzés

18 a WLAN hálót és átkerül egy A céges hálózat Internet kapcsolata
Hálózat VPN Reconnect A mobil user a WLAN-on keresztül éri el a céges hálózatot - a VPN Reconnect-tel A VPN Reconnect (IKEv2 VPN) miatt a VPN kapcsolat újra felépül - immár az új közegen keresztül A mobil user elhagyja a WLAN hálót és átkerül egy ADSL linkre ADSL W7 kliens (mobil user) Új internet kapcsolat IKEv2 kompatibilis VPN kiszolgáló VPN Reconnect Tunnel Internet WLAN Hotspot Alkalmazás szerverek Céges hálózat Kapcsolódás a netre A céges hálózat Internet kapcsolata

19 Hálózat VPN Reconnect Kliens / szerver egyaránt tartalmazza
4/6/2017 4:16 AM Hálózat VPN Reconnect Kliens / szerver egyaránt tartalmazza Együttműködik a 3rd party VPN kliensekkel és szerverekkel Integrált „Mobility Manager” Detektálja az IP változásokat, elindítja az újracsatlakozási folyamatot NAP kompatibilis, IPv4 / IPv6 is, a hitelesítéssel sincs gond SSTP fall-back! © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

20 Hálózat DNS DNS diagnosztika >>> DNSSEC
Biztonságos, aláírt DNS forgalom Tanúsítvány alapú, IPSec RFC 4033/34/35 > kompatibilis Name Resolution Policy Table A DirectAccess ill. DNSSEC miatt Internet / Intranet forgalom szeparálása Sorrend változás: lokális cache > hosts fájl > NRPT > DNS srv Csoportházirendből (is) konfigurálható

21 Hálózat DHCP Rezerváció - pofonegyszerűen MAC szűrés
Allow list, Deny list Dynamic Host Configuration Identifier Vegyes hálózat > „Name squatting” Bejegyzés védelem - DNS erőforrásrekordokkal DHCP Server Events MMC Naplózás, nyomonkövetés Kapcsolódás több szerverhez

22 DHCP szerver

23 Hálózat DirectAccess - bevezetés
A világunk változik „A hálózatom nem ott van, ahol az épületünk, hanem ahol a felhasználók és az eszközök.” vs. Office Home, roaming Office Home, roaming

24 Hálózat DirectAccess - bevezetés
Mindig rendelkezésre álló, teljesértékű kétirányú kapcsolat Előnyök Üzemeltői oldal: biztonságos, rugalmas, (akár) teljes hozzáférés - bárhonnan Felhasználói oldal: biztonságos, „megszokott” hozzáférés – bárhonnan VPN infrastuktúra nélkül Kliensoldal: zéró teendő / szerveroldal: számos

25 Hálózat DirectAccess - leegyszerűsítve
IPsec/IPv6 W7 kliens (távoli user) W7 kliens (távoli user) NAP / NPS szerverek IPsec/IPv6 Internet IPsec/IPv6 A kliens útja: 1. Kint vagy bent vagyunk? 2. Ha kint: Teredo vagy IP-HTTPS 3. Kölcsönös hitelesítés, majd NAP 4. Örülünk DirectAccess szerver Lokális user Alkalmazás kiszolgálók Lokális user Céges hálózat Nem probléma, ha a hordozó hálózat nem biztonságos Nem hálózat, hanem felhasználó alapú az elérés

26 Hálózat DirectAccess - bevezetés
VPN Elterjedt Egyszerű telepíteni DirectAccess Felügyelet! Biztosan biztonságos Egyszerű használat

27 Hálózat DirectAccess tervezés
Szükséges követelmények IPv6 infrastuktúra (lásd később) Vistától kezdve alapértelmezett Csak Windows 7 kliensek (Ultimate / Enterprise) Csak tartományi fiókkal rendelkező gépek WS08 R2 EE - DirectAccess szerver képesség + AD, DNS, IIS, PKI, alkalmazásszerverek, … Két db publikus, fix IPv4 cím (NIC1) + 1 fix privát belső (NIC2)

28 Hálózat DirectAccess tervezés
Kivitelezés IPv6 kompatibilitás megteremtése Teredo, 6to4, ISATAP vagy… NAT-PT eszköz …vagy IP-HTTPS DirectAccess Configuration Wizard DirectAccess szerver beállítása, step-by-step Csoportházirend a klienseknek, alkalmazásszervereknek, a DC/DNS szervereknek Teljes elérés vagy csak korlátozott elérés? Split tunneling: engedjük, vagy nem?

29 Hálózat DirectAccess - egy teljes rendszer
IPv6 eszközök IPv4 eszközök IPv4 támogatás (pl. 6to4, NAT-PT) IT desktop felügyelet Lehetővé teszi a DirectAccess kliensek felügyeletét Natív IPv6 + IPSec DA: transzparens, biztonságos kapcsolat VPN nélkül Group Policy, NAP, WSUS IPv6 / IPv4 átalakítás Közvetlen kapcsolat a belső IPv6 erőforrásokkal Internet DirectAccess Server IPSec titkosítás és hitelesítés Windows 7 kliens

30 Hálózat DirectAccess tervezés
Céges hálózat DA Server (WS08 R2) Megbízható, egészséges gép Alkalmazások és adatok Windows 7 kliens NAP Forefront Client Security Windows Firewall BitLocker + TPM IAG SP2 Forefront UAG Forefront TMG

31

32 Címtár PowerShell támogatás
Get-ADObject Get-ADOptionalFeature Get-ADOrganizationalUnit Get-ADPrincipalGroupMembership Get-ADRootDSE Get-ADServiceAccount Get-ADUser Get-ADUserResultantPasswordPolicy Install-ADServiceAccount Move-ADDirectoryServer Move-ADDirectoryServerOperationMasterRole Move-ADObject New-ADComputer New-ADFineGrainedPasswordPolicy New-ADGroup New-ADObject New-ADOrganizationalUnit New-ADServiceAccount New-ADUser Remove-ADObject Remove-ADComputer Remove-ADGroup Remove-ADUser Rename-ADObject Remove-ADComputerServiceAccount Remove-ADDomainControllerPasswordReplicationPolicy Remove-ADFineGrainedPasswordPolicy Remove-ADFineGrainedPasswordPolicySubject Remove-ADGroupMember Remove-ADOrganizationalUnit Remove-ADPrincipalGroupMembership Remove-ADServiceAccount Reset-ADServiceAccountPassword Restore-ADObject Search-ADAccount Add-ADComputerServiceAccount Add-ADDomainControllerPasswordReplicationPolicy Add-ADFineGrainedPasswordPolicySubject Add-ADGroupMember Add-ADPrincipalGroupMembership Clear-ADAccountExpiration Disable-ADAccount Disable-ADOptionalFeature Enable-ADAccount Enable-ADOptionalFeature Get-ADAccountAuthorizationGroup Get-ADAccountResultantPasswordReplicationPolicy Get-ADComputer Get-ADComputerServiceAccount Get-ADDefaultDomainPasswordPolicy Get-ADDomain Get-ADDomainController Get-ADDomainControllerPasswordReplicationPolicy Get-ADDomainControllerPasswordReplicationPolicyUsage Get-ADFineGrainedPasswordPolicy Get-ADFineGrainedPasswordPolicySubject Get-ADForest Get-ADGroup Get-ADGroupMember

33 Címtár Lomtár (Recycle Bin)
AD problémák vs. emberi tényező  AD RB: törölt fiókok visszállítása Klasszikus AD Restore nélkül, online WS08 R2 erdő működési szint (!) Engedélyezni kell (irreverzibilis lépés) Van vizsgálat és külön visszaállítás Minden attribútumot érint 180 napos limit (Deleted Object Lifetime) De lehetséges a végleges törlés is

34 Címtár Offline Domain Join
Eddig: csak akkor léptethető be egy gép, ha látja a tartományt R2: lehetőség a gépfiók preparálására A DC (címtár) és a kliens állapotának változása - egyidejű szinkronizálás nélkül is W7 + min. 1 db WS08 R2 kiszolgáló szükséges A rendszerindításkor már tartományi tag Hálózati kapcsolat nélkül is Tömeges telepítéshez jól fog jönni

35

36 Telephely BranchCache
A probléma: lassú WAN Megoldás: hacsak lehetséges, legyen helyben az adat Biztonságos, sávszélesség takarékos, transzparens, UX növelő HTTP/S, SMB, BITS (SSL / IPSec) Telepíthető képesség ill. GP szabályozás Csak R2 illetve csak Windows 7

37 Telephely BranchCache – elosztott
Központ Data Data ID ID Kérem! Kérem! Kérem! Kérem! Telephely Data

38 Telephely BranchCache – centralizált
Központ Kérem! Data Data ID ID Kérem! Kérem! ID Kérem! Keresés Keresés ID Data Kell? ID Kérés ID Data Adom! Telephely

39


Letölteni ppt "WS08 R2 üzemeltetői szemmel"

Hasonló előadás


Google Hirdetések