Teljesen új elképzelés Minimum környezet – „sallangok” nélkül, viszont kompromisszumokkal Kifejezetten bizonyos szerepkörök ellátására Nem külön verzió, hanem egy { telepítési opció } Minden telepítő média tartalmazza Stabil működés Csak a legszükségesebb szerepkörök és képességek Példa: kevesebb rendszerszolgáltatás (40 / 75)
Minimalizált szoftveres környezet Nem alkalmazásplatform (főleg nem kliens) Viszont: szervizcsomagok, javítások, felügyeleti kliensek és segédprogramok Kevesebb üzemeltetési feladat „El van a sarokban, { nem kér enni }” Kisebb támadási felület > biztonságosabb működés A Windows 2000 Server-hez képest kb. 60% kevesebb javítás (WS03 esetén kb. 40%-kal)
Standard, Enterprise és DataCenter változat x86 / x64 az összes WS08 változat esetén Lényegesen kisebb erőforrás igény CPU: legalább 1 GHz az ajánlott RAM: a telepítés miatt 512 MB HDD: 1,5 GB (8 GB az ajánlott, hosszú távra) Telepítés Frissítés korábbi verziókról > nem lehetséges Frissítés egy teljes WS08 változatról vagy változatra > nem lehetséges Egyetlen frissítési útvonal lesz: { Server Core R2 }
GUI (majdnem teljesen) Kivétel: CMD.exe, Notepad.exe, Regedit.exe, MSInfo32.exe, Taskmgr.exe, MSIExec.exe, MSDT.exe Explorer shell.NET Framework MMC konzolok Control Panel - kivétel: intl.cpl és timedate.cpl IE, OE, Media Player, Themes, Windows Mail, Paint, Search, GUI Help, stb.
Szerepkörök ADDS, AD LDS DHCP, DNS szerver File Services Streaming Media Services Print Services Web Server (IIS) Hyper-V KépességekBitLocker Failover Clustering Multipath I/O Removable Storage SNMP Services SUA WS Backup WINSQoS
Initial Configuration Tasks, Server Manager, Servemanagercmd.exe nincs OCList.exe Szerepkörök és képességek állapotának megtekintése OCSetup.exe Telepítés / eltávolítás (csomagnevekkel) Pgkmgr.exe Telepítési összetevők finomhangolása (pl. IIS7)
A kernel ugyanaz mint a teljes WS08-nál Ha egy bináris fájl megtalálható a Server Core változatnál, az is ugyanaz Ha egy konfigurációs beállítás alkalmazható mindkettőnél akkor sincs különbség a megvalósításban pl. egy szolgáltatás startja, vagy egy tűzfal szabály Speciális Server Core rendszerszolgáltatás nincs
Minimális in-box eszközmeghajtó Storage, hálózati kártya, standard VGA, nyomtató driver viszont egy sincs! A Plug and Play alrendszer viszont igen Eszközmeghajtó telepítése: pnputil.exe Aláírás szükséges? > Group Policy Alkalmazás kompatibilitás vizsgálat és tesztelés ajánlott UAC nincs
Az alapértelmezett felhasználói felület: a parancssor Viszont használhatjuk a Feladatkezelőt pl. a be- és kilépésre, illetve a cmd.exe indítására is. Példa a konfigurálásra A háttérszín változtatáshoz: HKEY_CURRENT_USER\Control Panel\Colors Value: Background Default Data Value: (RGB value)
{ A Server Core élmény }
Cmd.exe (parancssori eszközök) SCRegedit.wsf (SC Registry Editor) AU kliens engedélyezése Remote Desktop engedélyezése DNS SRV rekord súlyozás és prioritás beállítás IPSec Monitor engedélyezése + egyebek is, nézzük meg a Notepad-del Csak a Server Core-on elérhető
Remote Desktop A régi és az új RD klienseket eltérő módon lehet engedélyezni > SCRegedit.wsf TS: Server Core CMD.exe > TS RemoteApp MMC konzolok Teljes mellszélességgel (pl. RSAT) Ha nincs tartományban > tűzfal konfigurálás Group Policy Teljes mértékben alkalmas kliensnek Akár WMI filterekkel elválasztva is kezelhetjük
Windows Remote Management (WinRM) Teljeskörű távoli felügyelet – parancssorból Biztonságos, tűzfalbarát (pl. Kerberos és https) A kliens (WinRS) a Vistában gyárilag benne van WinRM 1.1 telepíthető XP / WS03-re winrm quickconfig – a listener létrehozása PowerShell és a WMI szkriptek A Powershell nem telepíthető lokálisan De WMI-n keresztül használható távolból Standard WMI szkriptek viszont működnek
Branch Office
A RODC egy új tartományvezérlő típus Úgyanúgy tartalmazza a címtár egy példányát mint a többi DC (a fiók jelszavakat persze nem) Csak éppen ez a példány írásvédett Sem a kliensek, sem az alkalmazások nem írhatnak (közvetlenül) a RODC címtárpéldányába Az írás kéréseket a legközelebbi írható DC kezeli le Olvasni viszont gond nélkül lehet
Kifejezetten telephelyeken Ahol a WAN kapcsolat miatt lassú a DC elérés Ahol a WAN kapcsolat hiányában is kell DC Ahol ugyanezek miatt GC-re is szükség van Ahol a kiszolgálón szükség van helyi Admin fiókra, de nincs szükség (sőt!) a címtár jogosultságokra Ahol nincs kvalifikált szakember Ahol nem garantálható a fizikai biztonság Ahol akár egy külső cégnek is be kell lépni az egyetlen kiszolgálón (ami persze DC is egyben)
Az erdő és a tartomány működési szintje: Windows Server 2003 vagy magasabb adprep /rodcprep a Schema master DC-n A DNS partíciók replikálásához szükséges Legalább egy írható WS08 DC-nek lennie kell az adott tartományban Ez lesz a RODC replikációs partnere A Server Core is lehet RODC, sőt…
Password Replication Policy Az alapértelmezettől eltérően adott csoportoknak vagy fiókoknak lekerülhet a jelszava a RODC-re Ezzel a belépés megoldható lesz a WAN kapcsolat hiányában is Nem a RODC-n állítjuk be, hanem egy központi WS08 DC-n „Allowed” és „Denied” RODC Password Replication Group A stratégia eldöntése szép feladat
Helyi Admin fiók a RODC-n Bármely tartományi fiók vagy csoport delegálható helyi Adminként Ergo nem kell a Domain Admins csoporttagság Mindent megtehet ami egy helyi admin általában De a címtárhoz egyáltalán nem fér hozzá Hatókör: csak az adott RODC! „Unidirectional” v. one-way replikáció A replikáció egyirányú, azaz csak „lefelé” Ez a tulajdonság a SYSVOL replikációra is igaz (akkor is, ha DFS-R a típus)
Filtered Attribute Set Nem muszáj minden objektum minden attribútumát replikálni a RODC-re Dinamikusan állíthatjuk be (a sémában) a tiltott attribútumokat Csak WS08 erdő működési szinten!
Read-Only DNS A DNS kiszolgáló telepíthető és használható a RODC-n De a közvetlen dinamikus frissítés tiltott A RODC alapesetben csak a ForestDNSZones és DomainDNSZones rekordjait replikálja Azonban, a RODC képes továbbítani a DNS írási kéréseket Így egy írható DNS-en keresztül visszareplikálódik a megfelelő DNS partícióba a rekord tartalma
{ RODC delegált telepítés } Előzetes lépések – központ: - Komplett, írható WS08 DC felállítása - Működési szint „belövése”, séma frissítés a RODC miatt - RODC admin fiók létrehozása - { Esetleg az IFM média elkészítése } Előzetes lépések – telephely: - Szűz WS08 telepítése, IP és DNS beállítás
{ RODC a Server Core-on } Előzetes lépések - Komplett, írható WS08 DC felállítása - Működési szint „belövése”, séma frissítés a RODC miatt - RODC admin fiók létrehozása - Server Core telepítés és aktiválás (kb. 20 perc ) - Server Core admin jelszó, gépnév, IP és DNS beállítás - RDP és tűzfal engedélyezés
{ Kezdés 13:40-kor }