A Windows Server idei újdonságai Fülöp Miklós rendszermérnök Szalontay Zoltán vezető rendszermérnök Microsoft Magyarország
TechNet események 2005 tavaszán 2005. március 23. A Windows Server idei újdonságai 2005. április 6. Átállás a legfrissebb technológiákra: Windows Server 2003, XP, Office 2003 2005. április 20. Az SQL Server 2005 relációs motorjának újdonságai 2005. május 4. Az SQL Server 2005 üzleti intelligencia szolgáltatásai 2005. május 18. Üzemeltetői konferencia
Napirend A „jelen”: Windows Server 2003 Service Pack 1 A jövő: Windows Server 2003 R2 Active Directory Federation Services (ADFS) Microsoft Data Protection Server 2006
Mi a Windows Server 2003 SP1? A termék megjelenése óta kiadott frissítések és javítások egy csomagban Biztonság Stabilitás Kompatibilitás Új biztonsági funkciók Rendszerbiztonság Hálózati biztonság Egyéb új funkciók http://www.microsoft.com/windowsserver2003/downloads/servicepacks/sp1/
Rendszerbiztonsági újdonságok Post-Setup Security Updates A kiszolgáló védelme az operációs rendszer és a legfrissebb javítások telepítése között Figyelmeztető dialógus a Windows Update használatára és az Automatic Updates bekapcsolására Windows tűzfal bekapcsolva … ha explicit nem határoztunk másképp
Rendszerbiztonsági újdonságok Post-Setup Security Updates
Rendszerbiztonsági újdonságok Post-Setup Security Updates Megjelenik: Windows NT 4.0-ról történő frissítés során Windows Server 2003 SP1 új telepítése esetén Nem jelenik meg: Windows 2000-ről történő frissítés során Windows Server 2003 (RTM)-ről frissítés során ha a tűzfalat telepítés során válaszfájlból, scriptből vagy Group Policy-vel bekapcsoltuk
Rendszerbiztonsági újdonságok Data Execution Prevention (DEP) Hardveres és szoftveres adatvégrehajtás tiltása Data Execution Prevention (DEP) Programvégrehajtás megakadályozása eredetileg adatcélra lefoglalt memóriaterületről Hardveres 64 bites Intel, AMD processzorok 32 bites Intel (Execute Disable mód), AMD (No-Execute) processzorok PAE üzemmódban Szoftveres Bármilyen 32 bites processzoron
Rendszerbiztonsági újdonságok Data Execution Prevention (DEP) boot.ini kapcsoló: /noexecute=<érték> OptIn – szoftveres és hardveres DEP bekapcsolva; csak a külön erre felkészített alkalmazások esetén (+ operációs rendszer) OptOut – szoftveres és hardveres DEP bekapcsolva; kivételek definiálhatók AlwaysOn – szoftveres és hardveres DEP bekapcsolva; kivétel nincs AlwaysOff – szoftveres és hardveres DEP kikapcsolva
Rendszerbiztonsági újdonságok Data Execution Prevention (DEP) Konfiguráció: Control Panel / System / Advanced / (Performance) Settings / … Funkciók DEP ki/bekapcsolása Kivételek definiálása Alapértelmezés: OptOut – bekapcsolva, kivételek definiálhatók
Rendszerbiztonsági újdonságok Internet Explorer Minden Internet Explorer-újítás a Windows XP SP2-ből: Információs sáv, új dialógusok Pop-up blocker Bővítmények (ActiveX) kezelése és korlátozása Fájlletöltés (zónainformáció a mentett fájlokon) Zónaátlépés Script-korlátozások (ablakkezelés) Funkcionalitások (behaviours) tiltása További információk (XP SP2): http://www.microsoft.com/downloads/details.aspx?familyid=9300BECF-2DEE-4772-ADD9-AD0EAF89C4A7
Rendszerbiztonsági újdonságok Security Configuration Wizard Szerepkör-alapú biztonsági beállítások automatikus biztonsági konfiguráció … … a kiszolgáló által végzett feladatokhoz igazodva Előre nem telepített komponens
Rendszerbiztonsági újdonságok Security Configuration Wizard Nyitott portok listázása akkor futtassuk a Wizardot, amikor a már az összes szükséges szerveralkalmazást elindítottuk! Szerepkör kiválasztása a konfigurációs adatbázisból Szükséges rendszerszolgáltatások beállítása Szükséges portok kinyitása a tűzfalon LDAP és SMB biztonsági beállítások Auditálási szabályok beállítása A szerepkörhöz tartozó egyéb funkciók beállítása
Rendszerbiztonsági újdonságok Security Configuration Wizard A konfiguráció XML fájlba menthető Az elmentett konfiguráció érvényesíthető a varázsló segítségével parancssorból: scwcmd.exe configure /p:webserverpolicy.xml
Security Configuration Wizard demó
Hálózatbiztonsági újdonságok Windows Firewall Alapértelmezésben nincs bekapcsolva Windows Firewall / ICS szolgáltatás letiltva Kivéve a PSSU alatt Állapotérzékeny tűzfal Csak a bejövő csomagok blokkolása IPv6 integráció ICMP csomagok szűrése csomagtípus alapján Rendszerindításkor aktív zárolt üzemmód „Boot time security”: csak DHCP, DNS, DC (házirend letöltése) Minden hálózati kapcsolatra érvényes konfiguráció Vezetékes, vezeték nélküli, telefonos, VPN, ... Parancssori konfiguráció netsh bővítmények, beavatkozás nélküli telepítés
Hálózatbiztonsági újdonságok Windows Firewall Kivételek listája A nyitva tartandó bejövő portok listája A bejövő portok nyitására jogosult alkalmazások listája Automatikus portnyitás a regisztrált alkalmazások számára Kivétel létrehozható: programból, parancssorból, csoportházirend segítségével, a Windows tűzfal értesítéséből Kivétel létrehozásához rendszergazdai jogosultság szükséges Nyitott portok hatókörének korlátozása Mindenki, saját alhálózat, egyéni címek / alhálózatok Kivételek nélküli üzemmód Csoportházirenddel felügyelhető Több profil tartományi környezetben A beállított DNS suffix alapján: tartományi / tartományon kívüli
Hálózatbiztonsági újdonságok Windows Firewall – felhasználói dialógus
Hálózatbiztonsági újdonságok Windows Firewall – parancssori eszköz
Hálózatbiztonsági újdonságok Windows Firewall – csoportházirend
A Windows Firewall konfigurálása csoportházirend segítségével demó
Hálózatbiztonsági újdonságok Remote Procedure Call (RPC) korlátozások A távoli eljáráshívás (RPC) elérésének opcionális korlátozása kivéve – kompatibilitási okokból – a Named Pipe kommunikációt Group Policy-ből konfigurálható RestrictRemoteClients Anonymous RPC kapcsolatok letiltása Srv SP1-ben kikapcsolva (XP2-ben bekapcsolva) EnableAuthEpResolution Elérhető RPC kapcsolatok anonymous lekérdezésének letiltása
Hálózatbiztonsági újdonságok Remote Procedure Call (RPC) korlátozások
Hálózatbiztonsági újdonságok DCOM korlátozások A DCOM szolgáltatások távoli elérésének rendszerszintű korlátozása DCOM elérési szintek: Launch – egy DCOM szolgáltatás elindítása Activate – egy DCOM szolgáltatás inicializálása (az első hívás előtt) Access – az elindított és inicializált DCOM szolgáltatás elérése
Hálózatbiztonsági újdonságok DCOM korlátozások
Hálózatbiztonsági újdonságok DCOM korlátozások
Hálózatbiztonsági újdonságok RDP over SSL Remote Desktop Protocol titkosított SSL csatornán keresztül Használatához a kiszolgálónak saját tanúsítványra van szüksége Titkosított kétirányú kommunikáció és felhasználó-azonosítás Új RDP kliens!
Hálózatbiztonsági újdonságok RDP over SSL
Hálózatbiztonsági újdonságok RDP over SSL
Hálózatbiztonsági újdonságok RDP over SSL – hálózati kommunikáció RDP port: TCP 3389 Általános téveszmék Terminal Server Web Services Client: NEM TCP 80 TCP 3389! RDP over SSL: NEM TCP 443 TCP 3389!
Add/Remove Programs szűrése
Background Intelligent Transfer Service (BITS) 2.0 A BITS letöltési sávszélesség korlátozható Adott időszakon belül és azon kívül (kbps) BITS 2.0 Windows XP SP2 Windows Server 2003 SP1 külön is letölthető (Win2000, 2003, XP)
Napirend A „jelen”: Windows Server 2003 Service Pack 1 A jövő: Windows Server 2003 R2 Active Directory Federation Services (ADFS) Microsoft Data Protection Server 2006
Napirend A „jelen”: Windows Server 2003 Service Pack 1 A jövő: Windows Server 2003 R2 Active Directory Federation Services (ADFS) Microsoft Data Protection Server 2006
Az “R2”… … nem “fő” verzió (pl. 6.0) … nem szervizcsomag Az alap az SP1-hez képest nem változik pl.: kernel, hálózatkezelés, AD, meghajtók Nincs eszköz frissítés Meglévő komponensek nem változnak … nem szervizcsomag Az R2 új szolgáltatásokat hoz, nem meglévőket fejleszt … nem “feature pack” vagy javítás Az R2 újdonságai az operációs rendszer beépített komponensei lesznek Az R2 tartalmaz néhány korábban kiadott technológiát
Windows Server 2003 Feature Pack-ok és egyéb technológiák 2004 Automated Deployment Services* Group Policy Management Console iSCSI támogatás Windows SharePoint Services Rights Management Services AD Application Mode (AD/AM) Identity Integration* FRS Monitoring Tools Services for UNIX 3.5 File Server Migration Toolkit Server Performance Advisor Virtual Server 2005 Windows Update Services = kész * csak Enterprise és Datacenter-hez R2-ben
Akkor mi az “R2”? Az R2 a Windows Server 2003 következő verziója A Windows Server 2003 SP1-re épül Az SP1, néhány beépített szolgáltatás és új funkciók integrációja Az R2 a Windows Server első frissítési változata Értéket ad az SA/EA vevőknek a fejlesztési ciklus közepén kifejezetten fontos az időzítés A Windows Server 2003 felhasználók a verzió váltásnál megszokottnál jóval egyszerűbben integrálhatják az új szolgáltatásokat a W2K3+SP1-gyel megegyező bitek az alap funkciókban minden R2 komponens opcionálisan telepíthető W2K3+SP1-gyel azonos alkalmazás kompatibilitás, minőség, megbízhatóság, teljesítmény a W2K3 SP2 mindkettővel (W2K3+SP1 és W2K3 R2) működik majd
A Windows Server fejlesztési ciklusa kb. 4 év kb. 2 év Major Release Release Update Major Release Release Update Major Release The goals and philosophies of our Windows Server Roadmap are to deliver best of breed functionality with greater consistency and more predictability following a ‘major and update’ release cycle for our customers. Examples of major releases are Windows Server 2003 and Longhorn. Windows Server 2003 “R2” is our first “update release.” It will be followed by future update releases, such as a Longhorn “R2.” Update Releases allow Windows Server to deliver mid-cycle incremental value to customers in a manner which makes it very easy for them to consume. W2K3 W2K3 R2 LH LH R2 Blackcomb
Csomagolás és licencelés Két CD, mert egyre nem fér rá CD1 = W2K3 + SP1 „slipstream”-elt változat A CD2 tartalmazza az új R2 szolgáltatásokat Licencelés, megjelenés A W2K3 R2 megjelenése után W2K3 nem lesz kapható SA/EA ügyfelek felár nélkül frissíthetnek Nem SA ügyfeleknek új szerver licencet kell fizetniük Nem kell új CAL, a W2K3 CAL érvényes Azonos terméktámogatási ciklus (2013-ig érvényes)
Fontos R2 komponensek Fejlett fiókiroda támogatás DFS replikáció DFS Management Console Print Management Console AD Federation Services Fájlrendszer képességek Kvóta kezelés Egyszerűbb SAN kezelés NFS File Server Migration Toolkit SharePoint v2 SP2 Hardver kezelés Interix eszközök és alrendszer + Unix Identity Management Microsoft Management Console v2.1 .Net Framework v2.0 (“Whidbey”) Új „Configure Your Server roles” Active Directory Application Mode (AD/AM) Common Log File System Audit Collection Service (forwarder only)
Kiszolgálók a központi helyen? Kiszolgálók a fiókokban? Fiókiroda támogatás A legtöbb ügyfél az adatközpontokat konszolidálja A Windows Server 2003 kiválóan méretezhető Az új cél a fiók kiszolgálók konszolidációja A TCO csökkentése érdekében Kiszolgálók a központi helyen? Kiszolgálók a fiókokban? vagy + Alacsony üzemeltetési költség – Magas kommunikációs költség – Lassú és nagy késleltetésű WAN + Nagy teljesítmény, rugalmas – Magas üzemeltetési költség
Optimalizált fiók környezet Hub Fiók Fontosabb területek Központi mentés és felügyelet Hatékony publikálás és csoportmunka Magas rendelkezésre állás Fontos technológiák A DFSR hatékonyan használja a WAN-t Távoli, különbségi tömörítés és igény szerinti replikáció Távoli fiók adatok mentése helyi eszköz és rendszergazda nélkül DFSR Management Console Magas rendelkezésre állás (failover és failback) Print Management Console A jövőben gyorsítótáras lesz AD azonosítás, javítócsomag terjesztés, SharePoint, média adatfolyam
DFS replikáció A DFS replikáció a címtár integrált DFS névtérrel kiegészülve magas rendelkezésre állású, WAN-barát elosztott fájlrendszert nyújt FRS v2 Lecseréli a korábbi Fájl Replikációs Szolgáltatást Újraírták Megbízhatóbb, nagyobb a teljesítménye Új felügyeleti lehetőségek MMC konzol, konfiguráció AD-val, monitorozás WMI-vel, MOM management pack Hatékony távoli, különbségi tömörítési algoritmus Példa: egy 3.5 MB-os PPT címének változása 16 KB-os forgalmat jelent A sávszélesség korlátozható (BITS)
Print Management Console A fiók kiszolgálók nyomtatói távolról egyszerre menedzselhetők The Print Mgmt Console enables Remote management of print server Easier management of drivers To push printers to their users Scalable management of print servers An easy way to view richer status on printers
Kvóta kezelés Eszközök összessége, amelyekkel a rendszergazdák nyomon követhetik és szabályozhatják a kiszolgálókon tárolt adatok mennyiségét és típusát Fájlrendszer kvóták – a tárolt adatmennyiség monitorozása és korlátozása Együttműködik az NTFS fájlrendszerrel Sokféle értesítés, 6 lépcsős küszöb Pl. e-mail küldése, ha a felső korlát 80, 90 vagy 95%-át elértük Fájl figyelés – korlátozás fájl típus alapján A fájl figyelési szabályok fájl csoportokra vonatkoznak Kivételek is megadhatók A kvóta kezelésével azonos, fejlett értesítési rendszer Jelentések készítése Ütemezve vagy igény szerint Kötet, mappa, megosztás szintjén Jelentések helyben vagy e-mail-ben; sok formátumban Tárolási házirend sablonok Kvótákra és fájl figyelésre A sablonok alapján létrehozott kvóták követik a sablonok változásait
Kvóta kezelés Fájlrendszer együttműködés A felhasználás mértéke valós idejű információn alapul A korlátozás lehet „soft” vagy „hard” „soft”: ejnye bejnye „hard”: letiltja az I/O-t Csak NTFS kötetekkel működik File System Filter Csak kvóta konfigurációval rendelkező köteteket figyel Fürt támogatott Támogatja a speciális fájlokat tömörített, sparse, névvel rendelkező stream-ek, hard linkek, reparse point-ok Önhordozó konfiguráció a kvóta beállítások a kötettel együtt utaznak (SAN, hot-plug disk)
Hardver menedzsment A Windows Server 2003 R2 egy meghajtó segítségével képes kezelni az Intelligent Platform Management Interface-t (IPMI) Az IPMI hardver közeli eseményei az eseménynaplóban gyűlnek Leállt a ventillátor Melegszik a processzor Az alaplap érzékelői által mért értékek és tesztek olvashatók és beállíthatók egy új WMI szolgáltatóval Ezáltal az IPMI elérhető bármely WMI-t használó rendszerből (pl. szkript) Az R2 támogatja az új WS-Management protokolt Kiszolgálók távfelügyelete tűzfalon át HTTP vagy SOAP transzporton
Együttműködés UNIX-szal, migráció UNIX-ról Windows alrendszer UNIX alkalmazások számára Régen az operációs rendszerben (Win32, OS/2 és POSIX alrendszerek) Most a Services for UNIX részeként (Interix) R2-től telepíthető komponens Vegyes mód – Windows alatt futó UNIX alkalmazás Win32 dll-re hivatkozik Pl.: adatbázis kapcsolódás - Oracle OCI és ODBC néhány probléma még van (pl.: signal és fork) Unix Identity Management (NIS Server/jelszó szinkronizálás) Egy AD tartományvezérlő master NIS Server lehet (RFC 2307) Jelszó szinkronizálás Windows és UNIX gépek között A fiókok itt és ott is léteznek Új MMC bedolgozó modul NFS Server Nagymértékben megnőtt a megbízhatósága Új adminisztrációs felület 64-bites támogatás minden komponensre A UNIX alrendszer eszközei és az SDK a webről tölthetők le, nem dobozos termék
MMC 2.1 Sokkal könnyebb bedolgozó modult írni Megbízhatóbb MMC managed code framework (SDK) WinForms alapú Egy tipikus modul mérete 1800-ról 200 sorra csökkent Megbízhatóbb Heap elszigetelés Bedolgozó modul elszigetelés Továbbfejlesztett felület Akciók Új Add/Remove párbeszéd ablak Egységes megjelenés (UI útmutatók és minták) Régebbi operációs rendszerekre is meg fog jelenni
MMC 2.1 minták
Az R2 telepítésének módjai Új telepítés Frissítés Windows Server 2003-ról SP1-nek már fent kell lennie A telepítés RTM (SP1 nélkül) Automatikus telepítés (Setupmgr) Klónozásos telepítés (Sysprep) Újratelepítés R2 komponensek Beépített operációs rendszer komponensek lesznek Alapértelmezés szerint nem települnek
Windows Server Roadmap 2008+ Windows “Longhorn” SP Windows Server “Longhorn R2” 2007 Windows Server “Longhorn” 2006 Windows Server “Longhorn” Beta 2 Windows Server 2003 SP2 2005 Windows Server 2003 for 64-Bit Extended Systems Windows Server 2003 Service Pack 1 Windows Update Services Windows Server: “Longhorn” Beta 1 Windows Server 2003 “R2” 2004 Virtual Server 2005
kávé- szünet
Napirend A „jelen”: Windows Server 2003 Service Pack 1 A jövő: Windows Server 2003 R2 Active Directory Federation Services (ADFS) Microsoft Data Protection Server 2006
Összekapcsolt rendszerek Szervezet Internet Partner Web Szerviz Web szolgáltatás Web Szerviz Alkalmazást alkalmazással Web Szerviz Web Szerviz Familiar with internet Without custom software requirements Capable of understanding all types of clients and platforms Web Services allows customers to connect with their existing infrastructure, and further integrate with their partners and suppliers systems. Providing an end to end solution for building connected systems – internal, external or both. It is not bound by any platform or architecture but based on protocols and formats. It can connect with existing systems and utilizes existing infrastructure Web Szerviz Web Szerviz Gazdag együttműködés Office SharePoint Live Meeting Sokféle eszköz és alkalmazás Web böngészők
A jelenlegi megoldások Megközelítés Probléma Belső AD fiókok a külső ügyfelek számára VPN, IAS Ügyfél szoftver kell Nem skálázható AD az extraneten „Ágyúval verébre” Nincs erős hitelesítés (SSPI) Nincs delegált adminisztráció Webes SSO megoldások Drága Fölöslegesen duplikált infrastruktúra Nehézkes a fiókok kezelése Windows bizalmi kapcsolat Nyilvános hálózaton nagy a támadási felület Homogén Windows Server 2003 környezet kell hozzá Egyedi megoldások Fölöslegesen duplikált infrastruktúra és fejlesztés
Az identitás kezelési jövőkép Hozzáférés webszolgáltatásokkal Múlt Jelen Jövő Alkalmazás kupacok ID minden rendszerben Főleg belső használatra Alacsony üzleti érték Egyéni integráció Identitás integráció Belső és külső Magas költség Összekapcsolt rendszerek Identitás szövetségek Bővítésre szánták Alacsony ár/érték Identitást kezelő termékek és szolgáltatások Web szolgáltatás alapú identitás kezelő platform Web services bring true interoperability into platforms, without middleware solutions Web services promote discrete separation and reusability, as opposed to replication and redundancy Not just about machines – to extent machines are proxy for people (and apps, browsers commonly are) web services enable people-to-machine interoperability BUT, web services security is a major concern Talking Points: Web Services started as a set of basic protocols. It matured to a complete architecture. Now it is helping build application utilizing phase 1 and phase 2 work. Currently web services are maturing, and now the focus is on solutions (e.g. Supply Chain Optimization) Also we are seeing increasing demand for Web Services. According to IDC report, Both software and services marketing is growing rapidly, with supply chain and eCommerce solution being the major drivers in 2004. Both these solutions require a good identity management solution. Átmeneti időszak
Trust SSO erdőn belül és két erdő között adatum trey RD Windows NT 4.0 tartományok Windows 2000 erdők adatum.com erdő trey.com erdő adatum.com erdő trey.com erdő Windows Server 2003 erdők
Active Directory Federation Services (ADFS) WebSSO: Helyi fiókommal távoli rendszereket érhetek el Azonos élmény a Windows Integrált azonosítással Nem kell Trust kapcsolat, VPN stb. Meglévő infrastruktúrán belül Több, tűzfallal elválasztott infrastruktúra között Fogalmak Erőforrások: pl. egy azonosítást is igénylő webes alkalmazás Fiókok: akik el akarják érni az erőforrásokat Igény (claim): a nyelv, amelyet az azonosítás során a két fél használ Meglévő biztonsági rendszerekkel együttműködik A WS-* specifikáción alapul (WS-Secure, WS-Trust, WS-Federation) Többféle biztonsági tokent támogat (SAML, Kerberos, x.509 stb.) Alacsony kockázattal vezethető be Szabványon alapul Az Identity Management technológia szállítók széles köre támogatja IBM, Netegrity, Oblix, OpenNetwork, RSA és Ping Identity
Az erdőn is túl Tartományon/erdőn kívüli ügyfelek, partnerek, beszállítók, alkalmazottak is elérhetik az alkalmazásokat Identitás szövetség Extranet azonosítás, authorizáció és Single-Sign-On Növeli az IT, fejlesztő és felhasználó hatékonyságát Növeli a biztonságot és a szabályozások betartását Az első lépés a Service Oriented Architecture (SOA) irányába
WS-Federation Web Services Federation Language Az azonosítás során használt tokenek cseréjének és elfogadásának protokollja A WS-Security és WS-Trust webszolgáltatás felületekre épül Szerzők: BEA, IBM, Microsoft, RSA, VeriSign, Oblix Két definiált modell Passzív (vékony, böngésző alapú) ügyfél – HTTP/S Aktív (vastag) ügyfél – SOAP You find WS-Federation (here) on the WS* schematic Built upon WS-Security and WS-Trust, with the intention of enabling web services identity federation It’s co-written by IBM, BEA, etc. Talk about the active and passive profiles, and why an active client is better Make sure to say that active comes later Generalize to the notion that this whole thing is a precursor to general-purpose web services security (this is hard, but you gotta do it) Security Token Szolgáltatás HTTP Receiver HTTP üzenetek SOAP üzenetek SOAP Receiver
ADFS komponensek Active Directory Federation Service (FS) Azonosítja a felhasználókat Kezeli az igényekhez szükséges attribútumokat Federation Service (FS) Kiadja a biztonsági tokeneket Kezeli a szövetségi házirendet FS Proxy (FS-P) A token kérések proxy ügyfele Felhasználói felületet ad a böngésző alapú ügyfeleknek Web Server SSO ügynök Felhasználói azonosítást kér Létrehozza a felhasználó authorizációs kontextusát Authorizáció Közvetlen igényekkel (pl.: zoltansz@adatum.com partner13@trey.com) A beépített Authorization Managerrel (AzMan) Megjegyzések Az ADFS W2K és W2K3 erdőkkel is működik FS és FS-P alapértelmezés szerint egy gépen fut, de futhat külön is Az FS, FS-P és SSO ügynök komponensekhez IIS 6.0 és W2K3 R2 kell
Webes SSO az ADFS-sel Federation trust igények auditálás FS FS-P FS web böngésző SSO ügynök
demó Active Directory Federation Services a beszállító rendszerének elérése a szövetségi kapcsolat létrehozása szolgáltatás szintjének emelése csoport tagság módosítással szolgáltatás szintjének emelése az Authorization Managerrel (AzMan) demó
Napirend A „jelen”: Windows Server 2003 Service Pack 1 A jövő: Windows Server 2003 R2 Active Directory Federation Services (ADFS) Microsoft Data Protection Server 2006
Microsoft Data Protection Server 2006 Felmérések alapján az elmúlt évben a mentésekből történő visszaállítások 42%-a nem működött A felhasználók felét nem elégítik a jelenlegi mentőrendszerek szolgáltatásai DPS lemez alapú központosított mentő és visszaállító szolgáltatás önálló kiszolgáló alkalmazás (mint az SQL, XCH) Windows Server 2003-on fut Jelenleg béta; 2005 nyarán készül el
Szolgáltatások Fizikai lemezeket vagy megosztásokat összefogó erőforrás csoportok közös mentési stratégia, ütemezés Folyamatos mentés replikáció segítségével Részleges, a felhasználók által végrehajtható visszaállítás a felhasználói felülettel integrált Monitorozás Web alapú jelentések
Tárolás külső telephelyen Telepítés DPS Server: Windows Server 2003 Storage Server AD, SQL, Reporting Services Sok, olcsó lemez Virtual Disk Service (VDS) Egy SAN-hoz hasonló specifikáció Kb. 10 kiszolgáló / DPS Server Szalag alapú mentést kiegészítő megoldás Ügyfelek Active Directory Fájl kiszolgálók DPS DLT Mentés szalagra Tárolás külső telephelyen
Új kiszolgálók feltérképezése Kiszolgálók és kötetek automatikus feltérképzése: Ütemezett feladat Az AD-t kérdezi le Windows Server 2003, Windows Storage Server 2003 vagy Windows 2000 fájlkiszolgálót véd (fürtöket nem) A rendszergazdát értesíti egy új kiszolgáló esetén Ügyfelek Active Directory Levédjem az ‘Exec1”-et? Fájl kiszolgálók DPS Új gép: “Exec1”
Mentés: lemezlemezszalag Ügyfelek Active Directory Fájl kiszolgálók DPS DLT Mentés DAT-ra más eszközzel Tárolás külső telephelyen A DPS a fájl kiszolgálókra telepíti az DPS ügynök komponenst Az ügynökök minden (bájt szintű) változást naplóba mentenek A naplót a házirend függvényében a DPS Server-re replikálják A fájl kiszolgálóhoz nem nyúl A DPS az adatvédelem első szintjét jelenti
Fájl kiszolgáló mentése Napi mentések: Fájl kiszolgáló szinkronizáció Háttémásolat (shadow copy restore point) naponta A háttérmásolat szalagra menthető “Egy óránál ne veszítsünk többet” Ügyfelek Active Directory Fájl kiszolgálók DPS
Visszaállítás Ügyfelek Active Directory Fájl kiszolgálók DPS Felhasználási területek Végfelhasználók állítják vissza elvesztett adataikat (DPS ügyféllel) Teljes kiszolgáló, kötetek, megosztások visszaállítása Éles adatok fényképe (snapshot) az alkalmazás leállítása nélkül Ügyfelek Active Directory Fájl kiszolgálók DPS
DFS replikáció vagy Data Protection Server? DFS Replication in R2 DPS 2005 Cél Általános célú replikáció Adatvédelem (fájl) Terjesztés A Windows Server 2003 R2 része Kiszolgáló alkalmazás Felhasználás Publikálás, terjesztés, elosztás, adatgyűjtés Adat replikációja a központi kiszolgálóra Failover támogatás Igen Nem Több tartomány? Erdőn belül replikál Tartományon belül replikál Topológia Bármilyen Csillag Háttérmásolat integráció A beépített szolgáltatással kompatibilis A beépített szolgáltatást továbbfejleszti Támogatott hálózat típusok LAN WAN (lassú is) WAN (csak gyorsabb) Nyitott fájlok átmozgatása Bezáráskor replikálódik (megj.: PST esetén 15 perc késleltetés) Nyitott fájlokat is replikál Replikáció jellege A különbséget replikálja Az kiírt adatot replikálja, ha írási művelet volt
A DPS licencelése Ügyfél kiszolgáló modell Ügynök: a v1 csak nem fürtözött fájl kiszolgálót támogat Exchange, SQL stb. támogatás a későbbi verziókban Minden kereskedelmi csatornán elérhető lesz OEM, VL, FPP, SA Árazási modell (a tudomány mai állása szerint) 1 DPS kiszolgáló licenc minden DPS kiszolgálóra tipikusan 10 fájl kiszolgáló / DPS kiszolgáló 1 DPS ügynök licenc minden felügyelt kiszolgálóra
demó Microsoft Data Protection Server 2006 Konfiguráció Védelem Visszaállítás Felügyelet Jelentés demó
Címek, hivatkozások BITS 2.0 letöltés Windows XP SP2, Windows Server 2003 SP1 – beépítve Windows XP, Windows XP SP1 http://www.microsoft.com/downloads/details.aspx?FamilyID= b93356b1-ba43-480f-983d-eb19368f9047 Windows 2000 Professional & Server http://www.microsoft.com/downloads/details.aspx?FamilyID= 3ee866a0-3a09-4fdf-8bdb-c906850ab9f2 Windows Server 2003 http://www.microsoft.com/downloads/details.aspx?FamilyID= 3fd31f05-d091-49b3-8a80-bf9b83261372 Keresés a download.microsoft.com-on: http://www.microsoft.com/downloads/results.aspx?freetext=BITS 2.0
Címek, hivatkozások Windows Server 2003 Feature Packs http://www.microsoft.com/windowsserver2003/ downloads/featurepacks/default.mspx Identity Management http://www.microsoft.com/windowsserver2003/ technologies/idm/default.mspx Microsoft Data Protection Server 2006 http://www.microsoft.com/dataprotectionserver
Címek, hivatkozások Active Directory Federation Services tanulmány http://www.microsoft.com/business/security/access/default.mspx webcast http://msdn.microsoft.com/theshow/episode047/default.asp Authorization Manager áttekintés http://www.microsoft.com/resources/documentation/ WindowsServ/2003/standard/proddocs/ en-us/authm_RoleBasedMgmt.asp http://www.microsoft.com/seminar/shared/asp/view.asp?url=/ Seminar/en/20030801DEVT1_69/manifest.xml