Windows „Longhorn”Server kitekintés Gál Tamás gtamas@tjszki.hu MCSE, MCSA, MCT, MVP
Tartalom Néhány újdonság Server Core 1x1
Néhány újdonság A teljesség igénye nélkül Server Manager DNS Active Directory IIS 7.0 Network Access Protection Terminal Services Gateway Terminal Services Remote Programs
Server Manager – egyszer, régen…
Server Manager – holnap…
Server Manager – Server Roles
Server Manager - Features
DNS Szerveroldali változások Background zone loading A zóna háttérben, részletekben történő átvitele Primary read-only zóna A Read-Only DC-k miatt Global Names zóna Statikus, globális nevek erdő színtű elérhetősége IPv6 támogatás
DNS Kliensoldali változások Link-local multicast name resolution Kiesés esetén a kliensek peer-to-peer alapon próbálkoznak a névfeloldással Kapcsolat a DC-kkel Periodikus keresés > leválás utáni visszacsatlakozás gyorsabb és biztosabb A véletlenszerű DC elérés helyett, programozható (vagy registry) a „legközelebbi” Mindkét lehetőség csak Vistával
Active Directory Read-Only DC Fiókirodák, telephelyek számára ideális Ez lehet az egyetlen DC, nem kell másik Sávszélesség takarékos A biztonságossá nem tehető helyeken érvényesül Minimális felügyelet szükséges
Active Directory Read-Only DC Csak olvasható címtár replika Jelenleg támogatott szolgáltatások ADFS, DNS, DHCP, FRS, DFSR, Group Policy, IAS/VPN, DFS, SMS Extra alkalmazások is Sőt, alkalmazás felügyelet megosztás is Nem tudnak kárt tenni az AD-ban
Active Directory Read-Only DC RODC-k alkalmazása a címtár „hálózatban”
Active Directory Read-Only DC Credential caching A RODC nem tárol jelszavakat Kivéve a gép és és a krbtgt fiókét A RODC KDC-ként is képes „látszani” a kliensei felé Viszont más krbtgt fiókot használ a TGT kérések aláírásához, mint a „nagy’” DC Ha egy user hitelesít a nagy DC-vel, a RODC (a PRP alapján) elkéri a hitelesítő adatokat Ezután a user helyben is hitelesíthet Attól függ innentől, hogy mely kbrtgt fiókkal van aláírva
Active Directory Read-Only DC Password Replication Policy A központi DC-n állítjuk Mely jelszavak replikálódjanak? Alapértelmezésben egy sem replikálódik Ha ellopják a RODC-t, ezek a jelszavak „rajta” lesznek
Active Directory Read-Only DC Eltulajdonított DC? Amit a tolvaj lát Amit az admin tesz „This domain controller is permanently offline and can no longer be demoted using Active Directory Installation Wizard.”
Active Directory Read-Only DC Replikáció Elvileg minden címtár objektum és attribútum ugyanúgy tárolódik mint eddig A változások viszont „felfelé” nem replikálódnak Azaz „unidirectional”, mivel csak az írható DC-kben változtathatunk, a replikáció egyirányú lesz Visszatértek az NT4 BDC-k? Nem, ez egy jóval rugalmasabb megoldás
Active Directory Read-Only DC - feltételek 1 darab Longhorn (FSMO) DC a tartományban W2K3 erdő funkcionalitási szint A biztonságos Kerberos delegálás miatt W2K3 tartomány funkcionalitási szint A Linked-value replikáció miatt GC nem lehet De az adott RODC site-ban a „Universal group membership caching” automatikus
Active Directory Read-Only DC Admin jogok szeparálása A probléma: (Sok)mindenhez Domain Admins tagság kell Alapjaiban tenné tönkre a RODC elvét Van megoldás: „Helyi” rendszergazda jog a DC-n! Egyúttal minden Built-in csoport is (Backup/Server Operators, stb.) AD jogosultság nélkül!
Active Directory Újraindítható AD Stop/Start, a gép újraindítása nélkül Miért? Karbantartás Előnyök: Nem kell várni az újraindításra A többi szolgáltatás működhet tovább
Active Directory Újraindítható AD Ha ebben az ún. „AD DS Stopped” állapotban van a DC: Úgy viselkedik mint egy tartományi tagkiszolgáló Van interaktív belépés másik DC segítségével Van hálózati belépés a klienseknek Ha viszont nincs másik DC akkor a helyi Administrator jelszóval kell belépni (DS Restore mód, RC) Jogosultságok cache-elése, smartcard, vagy más extra belépési forma is lehetséges
IIS7 Moduláris telepítés = kevesebb probléma Kezelés és frissítés komponensenként „Ha nem telepítjük, nem kell patch-elni” IIS 5.1 IIS 6.0 IIS7 Telepíthető komponensek 8 Kicsit több mint 8 40 Alapértelmezett HTTP komponensek Rengeteg Rengeteg, de letiltva Minimális
IIS7 Moduláris felépítés = IIS 5.0 WWW Service FTP Service Admin Tools Common Files Scripts Directory Remote Desktop ActiveX Printers Virtual Directory FrontPage 2000 Srv Ext
IIS7 Application Development Security Health and Diagnostics FTP Publishing BasicAuthModule FTPServer NetFxExtensibility HttpLoggingModule DigestAuthModule FTPManagement ISAPIModule CustomLoggingModule WindowsAuthModule ISAPIFilterModule RequestMonitorModule CertificateAuthModule Performance CGIModule HTTPTracingModule AnonymousAuthModule ServerSideIncludeModule ODBCLogging HTTPStaticCompression IPSecurityModule ASP HTTPDynamicCompression LoggingLibraries UrlAuthorizationModule ASP.NET RequestFilteringModule Management ManagementConsole Common HTTP Web Server Components ManagementScripting StaticFileModule DefaultDocumentModule DirectoryListingModule ManagementService HttpRedirect CustomErrorModule Metabase WMICompatibility Windows Process Activation Service LegacyScripts LegacySnap-in ProcessModel NetFxEnvironment ConfigurationAPI
IIS7 Kellemes, könnyen kezelhető faszerkezet *** Kategóriákba osztott komponensek
IIS7 Kezelés Naplózás, monitoring Felügyelet Delegálható a webhelyek és az alkalmazások felügyelete Windows / nem-Windows jogosultságok támogatása Naplózás, monitoring Valósidejű infók, automatikus hibafüggő, nyomkövető Felügyelet IIS Manager: helyi/távoli/internetes, tűzfalbarát Parancssori eszköz: appcmd.exe WMI provider-en keresztül is
Network Access Protection Mi is ez? Teljesen új technológia amely hasonlít a VPN karanténhoz, de annál több, mert Az összes hálózati kliensre érvényes Szerver/kliens megoldás Több hozzáférési közegből (LAN, RAS, WLAN) LH Server lesz az első NAP kiszolgáló kliensek: Vista, LH Server és Windows XP SP2!
Network Access Protection Hogyan működik? „Házirendet” készítünk, amely alapja Pl. OS frissítések, a vírus szignatúra frissítések, alkalmazások megléte/hiánya, és még egyéb ellenőrzések A NAP szerver pedig ellenőríz Megtagadja a belépést, ha a feltételek nem találkoznak az előírásokkal De hozzáférést adhat a frissítések lelőhelyéhez
Network Access Protection Hogyan működik? Policy Servers Patch, AV 3 1 2 Nem felelt meg Zárolt hálózat 4 WSUS, SMS Server stb. Microsoft Network Policy Server NAP kliens DHCP, VPN Switch/Router Megfelelt 1 A kliens hozzáférést kér a jelenlegi állapota alapján 5 Belső hálózat 2 A DHCP, VPN, switch/router továbbítja a kérést a Microsoft Network Policy kiszolgálónak (RADIUS) 3 A Network Policy Server összehasonlítja az általunk definiált házirenddel a kliens állapotát 4 Ha nem felel meg, a kliens egy zárolt VLAN-ba kerül, és csak frissítések, szignatúrák, stb. letöltéséhez a kap hozzáférést (ha kell ismételve az 1-4. lépést) Ha megfelel, teljes hozzáférést kap a belső hálózathoz 5 28
Network Access Protection Vista <> XP kliens 4/4/2017 2:24 PM Network Access Protection Vista <> XP kliens NAP működik az XPSP2-vel is, de: Nincs integrálva, külön kell telepíteni A NAP kliens MMC csak Vistán érhető el A Vista NAP kliens a Windows Defenderrel „megtámogatható” (Security Center) A Vistában több és komolyabb hitelesítési opció van a NAP kliens részére Auth IP for IPSec, Single Sign-On for 802.1x., stb. © 2003-2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Terminal Services Gateway Mi is ez? Egy új TS szerver típus RDP over HTTPS más néven: Terminal Server „VPN” A távoli ügyfél és a Terminal Server között proxyként működik Tűzfalra, NAT szerverre telepítjük De lehet ugyanaz a szerver mint a TS PKI és az NPS szerver feltétel
Terminal Services Gateway Hogyan működik? External Firewall DMZ Firewall Internet LAN Strips off HTTP RDP illesztés a TSG-hez RDP over HTTPS Terminal Servers HTTPS (443) RDP (3389) RDP kliens (privát v. publikus helyekről) TS Gateway (LH Server) AD ports AD
Terminal Services Gateway Hogyan működik? Extra házirendek Connection Authorization Policies Kapcsolódás a belső hálózathoz (csoport), domain tagság alapján, gépfiók csoporttagság alapján Resource Authorization Policies Az elérhető belső erőforrások Mindkettőt (CAP, RAP) a TSG szerveren rakjuk össze Single-Sign-On Pre-RDP6 kliensek blokkolása
TS Remote Programs Mi is ez? Terminálkliensek alkalmazás "ellátása" 1. Alkalmazás publikálás a szerveren 2. Parancsikonok „kiszórása” a TS kiszolgálón futó programokhoz A felhasználó számára teljesen helyi alkalmazásnak tűnik Több ilyen TS alkalmazás a kliensen? az RDP kapcsolat megosztása ezek között
TS Remote Programs Alkalmazások terítése Legalább négy módszer: Az általunk készített és (pl. SMS-sel szétszórt) .rdp állományra duplán kattintva Az általunk készített és (pl. SMS-sel, vagy Csoportházirenddel szétszórt) .msi csomag ikonjára kattintva Az adott fájl nevére kattintva (ha hozzárendeltük a megfelelő távoli programot) A TS Web Access segítségével az adott weboldalon a hivatkozásra kattintva!
Alkalmazások publikálása TS Remote Programs Alkalmazások publikálása TS RP Web Access
Tartalom Néhány újdonság Server Core 1x1
Server Core 1x1 Miért kell nekünk? Önálló, „igazi” Longhorn Server, nem játék Minden „nagy” verzió mellett ott lesz x86 és x64 Nagyságrenddel… Biztonságosabb, gyorsabb, de behatároltabb is Kb. 60%-al kevesebb patch A DVD indítása után döntünk a „nagy” LH vagy a Server Core között
Server Core 1x1 Így indul…
Server Core 1x1 Tervezéshez Erőforrásigény? CPU, 128 MB RAM, Kb. 2 GB HDD Kb. 40 alap szerviz (a többi letiltva) Kb. 25 processz Upgrade vs. clean install Upgrade nincs A Server Core sem frissíthető a „nagy” szerverre A Longhorn Servert sem lehet Server Core-ra Telepítés = kb. 15 perc
Server Core 1x1 Mi van benne? Mi nincs? Nincs GUI, shell, Windows\Internet Explorer, MMC, IIS, TS, IAS, Sharepoint, Media Kivétel: 2 Control Panel elem Security Options képenyő Task Manager, jelszóváltoztatás, stb. Notepad
Server Core 1x1 Mi van benne? Mi nincs? A „kommersz” alkalmazások nem futnak De a kiszolgáló programok nagy része igen Szerver szerepek: DHCP, File, DNS, WINS Szerepkörök: Failover Clustering, NLB, Subsystem for UNIX-based applications, Backup, Removable Storage Management, Bitlocker, SNMP Active Directory Önmagában is, FSMO is Teljes funkcionalitás
Server Core 1x1 AD telepítés
Server Core 1x1 A Security Options képernyő
Server Core 1x1 Üzemeltetés Helyi parancssor! Több esetben unattend módban RPC + DCOM a távoli MMC-hez Tartományon belülről és kívülről is WMI RDP (alapból letiltva) Task Scheduler Event Logging / Event Forwarding
Server Core 1x1 Üzemeltetés Windows Remote Management (WinRM) WS-Management – biztonságos, tűzfalbarát, távoli elérés parancssorból WinRM.exe konfig a szerveroldalon GPO-val vagy unattend módon is lehet telepíteni Windows Remote Shell (WinRS) Csak a WinRM konfig után Windows Vista vagy LH Server Csak paranccsori eszközök / szkriptek
Server Core 1x1 Üzemeltetés Nem mindent lehet parancssorból Ezért van az SCRegEdit.wsf szkript \Windows\System32 Mit tud? A pagefile beállítása (vagy nem ) Windows Update / Error Reporting engedélyezése TS Remote Admin Mode engedélyezése Régi és új klienseknek külön
Server Core 1x1 Példák a konfigurálásra, telepítésre TCP/IP Netsh interface ipv4 Show interfaces Set address name="ID" source=static address=StaticIP mask=SubnetMask gateway=DefaultGateway Add dnsserver name="ID" address=DNSIP index=1 DHCP szerver telepítés Start /w Ocsetup DHCPServerCore
Server Core 1x1 Együtt kerek Server Core + újraindítható AD Gyors, alacsony fogyasztású és igazán biztonságos Active Directory Server Core + RODC + szeparált admin jogosultság Biztonság++
Beta1 - 2005 szeptember 2006 május - Build 5384 2007 I. félév - Feature Complete 2007 II. félév - RTM 2006.09: CTP Build 5600 INF210
További információ Windows „Longhorn” Server TechNet Portál (benne az Infrastruktúra modul) http://www.microsoft.hu/technet Longhorn Server Beta 2 Home http://www.microsoft.com/windowsserver/longhorn Windows Server code name "Longhorn" fórum http://forums.microsoft.com/TechNet/default.aspx?ForumGroupID=161&SiteID=17 Longhorn Virtual Lab http://www.microsoft.com/technet/traincert/virtuallab/longhorn.mspx 51
További információ Server Core Newsgroups http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=582&SiteID=17 Server Core Blog http://blogs.technet.com/server_core A „Command-line reference A-Z” jól jöhet http://go.microsoft.com/fwlink/?LinkId=20331 52