Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

A „nagy” verziók között újra egy R2 Jóval több mint a WS03 R2, inkább W7 Server Rettentő mennyiségű újdonság Csak 64 bit Fő pillérek: web, felügyelet,

Hasonló előadás


Az előadások a következő témára: "A „nagy” verziók között újra egy R2 Jóval több mint a WS03 R2, inkább W7 Server Rettentő mennyiségű újdonság Csak 64 bit Fő pillérek: web, felügyelet,"— Előadás másolata:

1

2

3 A „nagy” verziók között újra egy R2 Jóval több mint a WS03 R2, inkább W7 Server Rettentő mennyiségű újdonság Csak 64 bit Fő pillérek: web, felügyelet, virtualizáció és az együttműködés

4

5 BITS Aszinkron, szkriptelhető Hálózati forgalom optimalizálás BPA ISE konzol ISE konzol Server Manager Server Manager Egyéb, külső BITS szerviz WSMan protokoll WSMan protokoll WMI protokoll WMI protokoll PowerShell Engine WSMan és WMI Jól bevált (a WS03 R2 óta) Távoli is, OS / hardver is PowerShell V2 Univerzalitás, automatizmus Már távolból is Felügyelt komponensek (OS, alkalmazások, eszközök) UI eszközök Feladatorientált, testre- szabható, kiterjeszthető

6 WS08 problémák Csak lokális ½ megoldás: RSAT R2 Server Manager Remoting > RSAT Windows 7-ről Több szervert is, és persze Server Core-t is Nem teljeskörű

7 Server Manager PowerShell cmdlet-ek Get-WindowsFeatureAdd-WindowsFeatureRemove-WindowsFeature Gyors, egyszerű, frappáns Sok parancssori lehetőség (automata kiegészítés, wildcard-ok, csövezés) Remoting és Server Core-on is

8

9 WS08 Könnyű hibás szkripteket gyártani Primitív felülelet, Notepad + konzol Nincs debugger Nincs nyelvi támogatás (ez úgy 60%-ot érintettség) WS08 R2 PowerShell alap Komfortos súgó, színek, nyelvi támogatás „Egyablakos” lehetőség a szerkesztésre, nyomkövetésre, futtatásra

10 Integrált környezet FülekFülek SzínezésSzínezés

11 Egyről - soknak Parancsok, szkriptek küldése egy gépről többnek Egyidejű kapcsolatok limitálása lehetséges Mehet a háttérben is Sokról – egynek „Hosting” modell > egy szerver > több üzemeltető Eltérő jogosultsági kontextusban is

12

13 BPA = először SPS, majd XCHG Hagyományosan jól használható eszköz Az R2-ben áttörés történik ADCS, ADDS, DNS, RDS, IIS Helyben és távolból, UI és parancssor egyaránt Beépítve a Server Manager-be, RSAT-ba PowerShell cmdlet-eken keresztül is működik Az új és a frissített BPA-k > Windows Update > ciklikusan

14

15 Új megoldásokra van / lesz szükség In-place frissítés nem lesz egyszerűbb Legyen a forrás / cél „ugyanaz”! A Server Migration hatóköre AD, DNS, DHCP, File, Print, BranchCache TCP/IP, Local Users/Groups, megosztások, stb. Forrás szerverek: WS03, WS08, WS08 R2 x86 / x64, Full / Server Core, fizikai / virtuális

16

17 Nos…, nagyon kellett már Nos…, nagyon kellett már Kategóriánként WLAN: kapcsolódás lehetősége megjelenik A RAS / VPN: részletes állapotjelzés

18 Internet Alkalmazás szerverek Cégeshálózat IKEv2 kompatibilis VPN kiszolgáló W7 kliens (mobil user) A mobil user a WLAN-on keresztül éri el a céges hálózatot - a VPN Reconnect-tel A mobil user elhagyja a WLAN hálót és átkerül egy ADSL linkre A mobil user elhagyja a WLAN hálót és átkerül egy ADSL linkre A céges hálózat Internet kapcsolata Új internet kapcsolat VPN Reconnect Tunnel Kapcsolódás a netre A VPN Reconnect (IKEv2 VPN) miatt a VPN kapcsolat újra felépül - immár az új közegen keresztül

19 Kliens / szerver egyaránt tartalmazza Együttműködik a 3 rd party VPN kliensekkel és szerverekkel Integrált „Mobility Manager” Detektálja az IP változásokat, elindítja az újracsatlakozási folyamatot NAP kompatibilis, IPv4 / IPv6 is, a hitelesítéssel sincs gond SSTP fall-back!

20 DNS diagnosztika >>> DNSSEC Biztonságos, aláírt DNS forgalom Tanúsítvány alapú, IPSec RFC 4033/34/35 > kompatibilis Name Resolution Policy Table A DirectAccess ill. DNSSEC miatt Internet / Intranet forgalom szeparálása Sorrend változás: lokális cache > hosts fájl > NRPT > DNS srv Csoportházirendből (is) konfigurálható

21 Rezerváció - pofonegyszerűen MAC szűrés Allow list, Deny list Dynamic Host Configuration Identifier Vegyes hálózat > „Name squatting” Bejegyzés védelem - DNS erőforrásrekordokkal DHCP Server Events MMC Naplózás, nyomonkövetés Kapcsolódás több szerverhez

22

23 A világunk változik „A hálózatom nem ott van, ahol az épületünk, hanem ahol a felhasználók és az eszközök.” Office Home, roaming OfficeHome, roaming

24 Mindig rendelkezésre álló, teljesértékű kétirányú kapcsolat Előnyök Üzemeltői oldal: biztonságos, rugalmas, (akár) teljes hozzáférés - bárhonnan Felhasználói oldal: biztonságos, „megszokott” hozzáférés – bárhonnan VPN infrastuktúra nélkül Kliensoldal: zéró teendő / szerveroldal: számos

25 DirectAccess szerver W7 kliens (távoli user) W7 kliens (távoli user) IPsec/IPv6 Alkalmazás kiszolgálók Internet Lokális user Céges hálózat Lokális user IPsec/IPv6 Nem probléma, ha a hordozó hálózat nem biztonságos NAP / NPS szerverek A kliens útja: 1. Kint vagy bent vagyunk? 2. Ha kint: Teredo vagy IP-HTTPS 3. Kölcsönös hitelesítés, majd NAP 4. Örülünk A kliens útja: 1. Kint vagy bent vagyunk? 2. Ha kint: Teredo vagy IP-HTTPS 3. Kölcsönös hitelesítés, majd NAP 4. Örülünk Nem hálózat, hanem felhasználó alapú az elérés

26 VPNDirectAccess Felügyelet! Biztosan biztonságos Egyszerű használat Elterjedt Egyszerű telepíteni

27 Szükséges követelmények IPv6 infrastuktúra (lásd később) Vistától kezdve alapértelmezett Csak Windows 7 kliensek (Ultimate / Enterprise) Csak tartományi fiókkal rendelkező gépek WS08 R2 EE - DirectAccess szerver képesség + AD, DNS, IIS, PKI, alkalmazásszerverek, … Két db publikus, fix IPv4 cím (NIC1) + 1 fix privát belső (NIC2)

28 Kivitelezés IPv6 kompatibilitás megteremtése Teredo, 6to4, ISATAP vagy… NAT-PT eszköz …vagy IP-HTTPS DirectAccess Configuration Wizard DirectAccess szerver beállítása, step-by-step Csoportházirend a klienseknek, alkalmazásszervereknek, a DC/DNS szervereknek Teljes elérés vagy csak korlátozott elérés? Split tunneling: engedjük, vagy nem?

29 IPv6 eszközök IPv4 eszközök DirectAccess Server Windows 7 kliens Natív IPv6 + IPSec IPv6 / IPv4 átalakítás DA: transzparens, biztonságos kapcsolat VPN nélkül IPSec titkosítás és hitelesítés Közvetlen kapcsolat a belső IPv6 erőforrásokkal IPv4 támogatás (pl. 6to4, NAT-PT) IT desktop felügyelet Group Policy, NAP, WSUS Internet Lehetővé teszi a DirectAccess kliensek felügyeletét

30 Megbízható, egészséges gép Windows 7 kliens NAP Forefront Client Security Windows Firewall BitLocker + TPM IAG SP2 ForefrontUAG Céges hálózat Alkalmazások és adatok DA Server (WS08 R2) ForefrontTMG

31

32 Add-ADComputerServiceAccountAdd-ADDomainControllerPasswordReplicationPolicyAdd-ADFineGrainedPasswordPolicySubjectAdd-ADGroupMemberAdd-ADPrincipalGroupMembershipClear-ADAccountExpirationDisable-ADAccountDisable-ADOptionalFeatureEnable-ADAccountEnable-ADOptionalFeatureGet-ADAccountAuthorizationGroupGet-ADAccountResultantPasswordReplicationPolicyGet-ADComputerGet-ADComputerServiceAccountGet-ADDefaultDomainPasswordPolicyGet-ADDomainGet-ADDomainControllerGet-ADDomainControllerPasswordReplicationPolicyGet-ADDomainControllerPasswordReplicationPolicyUsageGet-ADFineGrainedPasswordPolicyGet-ADFineGrainedPasswordPolicySubjectGet-ADForestGet-ADGroupGet-ADGroupMember Get-ADObjectGet-ADOptionalFeatureGet-ADOrganizationalUnitGet-ADPrincipalGroupMembershipGet-ADRootDSE Get-ADServiceAccount Get-ADUser Get-ADUserResultantPasswordPolicy Install-ADServiceAccount Move-ADDirectoryServer Move-ADDirectoryServerOperationMasterRole Move-ADObject New-ADComputer New-ADFineGrainedPasswordPolicy New-ADGroup New-ADObject New-ADOrganizationalUnit New-ADServiceAccount New-ADUser Remove-ADObject Remove-ADComputer Remove-ADGroup Remove-ADUser Rename-ADObject Remove-ADComputerServiceAccount Remove-ADDomainControllerPasswordReplicationPolicy Remove-ADFineGrainedPasswordPolicy Remove-ADFineGrainedPasswordPolicySubject Remove-ADGroupMember Remove-ADOrganizationalUnit Remove-ADPrincipalGroupMembership Remove-ADServiceAccount Reset-ADServiceAccountPassword Restore-ADObject Search-ADAccount

33 AD problémák vs. emberi tényező AD problémák vs. emberi tényező AD RB: törölt fiókok visszállítása Klasszikus AD Restore nélkül, online WS08 R2 erdő működési szint (!) Engedélyezni kell (irreverzibilis lépés) Van vizsgálat és külön visszaállítás Minden attribútumot érint 180 napos limit (Deleted Object Lifetime) De lehetséges a végleges törlés is

34 Eddig: csak akkor léptethető be egy gép, ha látja a tartományt R2: lehetőség a gépfiók preparálására A DC (címtár) és a kliens állapotának változása - egyidejű szinkronizálás nélkül is W7 + min. 1 db WS08 R2 kiszolgáló szükséges A rendszerindításkor már tartományi tag Hálózati kapcsolat nélkül is Tömeges telepítéshez jól fog jönni

35

36 A probléma: lassú WAN Megoldás: hacsak lehetséges, legyen helyben az adat Biztonságos, sávszélesség takarékos, transzparens, UX növelő HTTP/S, SMB, BITS (SSL / IPSec) Telepíthető képesség ill. GP szabályozás Csak R2 illetve csak Windows 7

37 Kérem! ID Kérem! Data Kérem! ID Data

38 Kérem! ID Adom! Data Kérem! Data ID Keresés Kérem! Keresés Kérés Kell? ID Data ID Data

39


Letölteni ppt "A „nagy” verziók között újra egy R2 Jóval több mint a WS03 R2, inkább W7 Server Rettentő mennyiségű újdonság Csak 64 bit Fő pillérek: web, felügyelet,"

Hasonló előadás


Google Hirdetések