Windows „Longhorn”Server kitekintés

Slides:



Advertisements
Hasonló előadás
Teljesen új elképzelés Minimum környezet – „sallangok” nélkül, viszont kompromisszumokkal Kifejezetten bizonyos szerepkörök ellátására Nem külön verzió,
Advertisements

Dolgozni már bárhonnan lehet…
Hitelesítés és tanúsítványkezelés
Készítette: Nagy Márton
Hálózati és Internet ismeretek
Hatékonyságnövelés Office System alapon az E.ON csoportnál
Module 10: Supporting Remote Users távoli felhasználó támogatása.
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
HÁLÓZATOK.
2007 ISP TANFOLYAM ÉSZAKNET, LH COM. USER AUTHENTIKÁCIÓ •MAC – IP •MAC – DHCP •MAC – IP – RADIUS •PPPoE – RADIUS.
Windows hálózati infrastruktúra kialakítása
Active Directory.
Hálózati architektúrák
- Virtualizációt az asztalra!
Jogában áll belépni?! Détári Gábor, rendszermérnök.
Köszöntő Budai Péter Programmenedzser – IT szakmai programok Microsoft Magyarország.
Távoli elérés és munkavégzés Üzemeltetői szemmel
NAP bemutatása Komponensek Felhasználási területek DEMO: DHCP kényszerítés VPN kényszerítés NAP bevezetése.
Új név, új tudás (RDS+VDI+RemoteFX)
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
Az ETR technológia DEXTER Informatikai kft..
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Áttérés Exchange 2003-ra Gazdasági előnyök Ferencz István konzulens.
Authentication & Authorization Belinszki Balázs terméktámogató mérnök Juhász Mihály alkalmazásfejlesztési tanácsadó.
Az új IP stack Terminal Services Demó Dual layer v4 – v6 közös transport.
Network Access Protection
Erős bástya – biztonsági újdonságok
9:30-9:50 Köszöntő és áttekintés 9:50-10:50 Active Directory újdonságok 10:50-10:55 Kérdések és válaszok 10:55-11:15 Kávészünet 11:15-11:45 Mi változott.
Egy ISA szerver naplója Sárosi György Terméktámogatási Tanácsadó Microsoft Magyarország.
Megoldás Felhő szolgáltatások és Windows 7.
SharePoint Adminisztráció
Exchange kiszolgálók védelme Data Protection Manager 2007-tel – 1. rész Leltár - Újdonságok az Exchange 2007 SP1-ben Exchange kiszolgálók védelme Data.
Átállás.
Platform A Vistából örökölt OS alap technológiák Windows Server Core Read-only Domain Controller Hozzáférés szabályzás, erőforrás elérés Network Access.
Mi is ez pontosan? Miért fontos nekünk? Hogyan kezdünk hozzá a használatához? 1/9 Mi is ez pontosan? 2/9 Miért fontos nekünk? 3/9 Hogyan kezdünk hozzá.
Modularizált felépítés SzervermenedzsmentBiztonságDiagnosztika FTP szerver Finom fejlesztések Közös konfiguráció.
Storage Virtualization Presentation Virtualization Server Virtualization Desktop Virtualization Application Virtualization SYSTEM CENTER.
Operációs Rendszerek WindowsXP®.
Active Directory, a Windows 2000 új címtára
Module 1: A Microsoft Windows XP Professional telepítése
Új Windows alapú intézményi szerverek (címtár és management) tervezése és kivitelezése.
TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk!
Windows Server 2008 { Terminal Services }
AD {RMS} Active Directory Rights Management Services
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
Hálózatkezelési újdonságok Windows 7 / R2
SQL 2012 TKOC Magas Rendelkezésreállás II. Király István Microsoft Certified Trainer Microsoft Certified Systems Engineer.
Miért felügyeljük az ügyfélkörnyezetet? Tervezési segédlet Ügynök nélküli felügyelet A fontos ügyfelekről Riportok, trendek és amit ezekből tanulhatunk.
RDS komplett átvilágítás VDI okosságok RemoteApp for Hyper-V.
Windows Server 2012 R2 Gál Tamás
ISA Server alapok Gál Tamás
Exchange Server 2007 Client Access Role
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
ELTE WIFI Beállítási útmutató MS Windows XP-hez
Nagy teherbírású rendszerüzemeltetés a felhőben. Miről lesz szó? Cloud áttekintő Terheléstípusok és kezelésük CDN Loadbalancing Nézzük a gyakorlatban.
{ PKI } Active Directory Certificate Services
Windows Server 2008 Távoli elérés – I.
Alapozó eszközök Eseménynapló Eseményszámba megy… Analytic and Debug Logs Custom Views / Cross-log queries Event Forwarding > Subscriptions Feladatütemező.
A tömeges telepítés csodálatos világa
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
- RDP RDS szerepkörök - VDI Word.rdp Excel.rdp Virtual Desktop.rdp RD Web Access.
Üzleti funkciók a SCOM-ban Somogyi Csaba IT üzemeltetési szakértő Microsoft Magyarország.
A teljes infrastruktúra egységesített felügyelete és védelme.
Network Access Protection
Exchange Rendszerkövetelmények Windows Server 2003 (Windows 2000 SP3) CPU 500 MHz RAM 512 MB 200 MB a rendszermeghajtón 500 MB a telepítés helyén.
Active Directory Domain Services
- S2S VPN - Server Core - DFS-R - BranchCache.
Christopher Chapman | MCT Content PM, Microsoft Learning, PDG Planning, Microsoft.
SQL Server 7 installálása. A szükséges hardver és szoftver Processzor Memória Háttértár OS Hálózat Kliensek.
Desktop virtualizáció Microsoft VDI használatával Háló Gyula.
A projekt az Európai Unió társfinanszírozásával, az Európa terv keretében valósul meg. Számítógép- hálózatok dr. Herdon Miklós dr. Kovács György Magó Zsolt.
Előadás másolata:

Windows „Longhorn”Server kitekintés Gál Tamás gtamas@tjszki.hu MCSE, MCSA, MCT, MVP

Tartalom Néhány újdonság Server Core 1x1

Néhány újdonság A teljesség igénye nélkül Server Manager DNS Active Directory IIS 7.0 Network Access Protection Terminal Services Gateway Terminal Services Remote Programs

Server Manager – egyszer, régen…

Server Manager – holnap…

Server Manager – Server Roles

Server Manager - Features

DNS Szerveroldali változások Background zone loading A zóna háttérben, részletekben történő átvitele Primary read-only zóna A Read-Only DC-k miatt Global Names zóna Statikus, globális nevek erdő színtű elérhetősége IPv6 támogatás

DNS Kliensoldali változások Link-local multicast name resolution Kiesés esetén a kliensek peer-to-peer alapon próbálkoznak a névfeloldással Kapcsolat a DC-kkel Periodikus keresés > leválás utáni visszacsatlakozás gyorsabb és biztosabb A véletlenszerű DC elérés helyett, programozható (vagy registry) a „legközelebbi” Mindkét lehetőség csak Vistával

Active Directory Read-Only DC Fiókirodák, telephelyek számára ideális Ez lehet az egyetlen DC, nem kell másik Sávszélesség takarékos A biztonságossá nem tehető helyeken érvényesül Minimális felügyelet szükséges

Active Directory Read-Only DC Csak olvasható címtár replika Jelenleg támogatott szolgáltatások ADFS, DNS, DHCP, FRS, DFSR, Group Policy, IAS/VPN, DFS, SMS Extra alkalmazások is Sőt, alkalmazás felügyelet megosztás is Nem tudnak kárt tenni az AD-ban

Active Directory Read-Only DC RODC-k alkalmazása a címtár „hálózatban”

Active Directory Read-Only DC Credential caching A RODC nem tárol jelszavakat Kivéve a gép és és a krbtgt fiókét A RODC KDC-ként is képes „látszani” a kliensei felé Viszont más krbtgt fiókot használ a TGT kérések aláírásához, mint a „nagy’” DC Ha egy user hitelesít a nagy DC-vel, a RODC (a PRP alapján) elkéri a hitelesítő adatokat Ezután a user helyben is hitelesíthet Attól függ innentől, hogy mely kbrtgt fiókkal van aláírva

Active Directory Read-Only DC Password Replication Policy A központi DC-n állítjuk Mely jelszavak replikálódjanak? Alapértelmezésben egy sem replikálódik Ha ellopják a RODC-t, ezek a jelszavak „rajta” lesznek

Active Directory Read-Only DC Eltulajdonított DC? Amit a tolvaj lát Amit az admin tesz „This domain controller is permanently offline and can no longer be demoted using Active Directory Installation Wizard.”

Active Directory Read-Only DC Replikáció Elvileg minden címtár objektum és attribútum ugyanúgy tárolódik mint eddig A változások viszont „felfelé” nem replikálódnak Azaz „unidirectional”, mivel csak az írható DC-kben változtathatunk, a replikáció egyirányú lesz Visszatértek az NT4 BDC-k? Nem, ez egy jóval rugalmasabb megoldás

Active Directory Read-Only DC - feltételek 1 darab Longhorn (FSMO) DC a tartományban W2K3 erdő funkcionalitási szint A biztonságos Kerberos delegálás miatt W2K3 tartomány funkcionalitási szint A Linked-value replikáció miatt GC nem lehet De az adott RODC site-ban a „Universal group membership caching” automatikus

Active Directory Read-Only DC Admin jogok szeparálása A probléma: (Sok)mindenhez Domain Admins tagság kell Alapjaiban tenné tönkre a RODC elvét Van megoldás: „Helyi” rendszergazda jog a DC-n! Egyúttal minden Built-in csoport is (Backup/Server Operators, stb.) AD jogosultság nélkül!

Active Directory Újraindítható AD Stop/Start, a gép újraindítása nélkül Miért? Karbantartás Előnyök: Nem kell várni az újraindításra A többi szolgáltatás működhet tovább

Active Directory Újraindítható AD Ha ebben az ún. „AD DS Stopped” állapotban van a DC: Úgy viselkedik mint egy tartományi tagkiszolgáló Van interaktív belépés másik DC segítségével Van hálózati belépés a klienseknek Ha viszont nincs másik DC akkor a helyi Administrator jelszóval kell belépni (DS Restore mód, RC) Jogosultságok cache-elése, smartcard, vagy más extra belépési forma is lehetséges

IIS7 Moduláris telepítés = kevesebb probléma Kezelés és frissítés komponensenként „Ha nem telepítjük, nem kell patch-elni” IIS 5.1 IIS 6.0 IIS7 Telepíthető komponensek 8 Kicsit több mint 8 40 Alapértelmezett HTTP komponensek Rengeteg Rengeteg, de letiltva Minimális

IIS7 Moduláris felépítés = IIS 5.0 WWW Service FTP Service Admin Tools Common Files Scripts Directory Remote Desktop ActiveX Printers Virtual Directory FrontPage 2000 Srv Ext

IIS7 Application Development Security Health and Diagnostics FTP Publishing BasicAuthModule FTPServer NetFxExtensibility HttpLoggingModule DigestAuthModule FTPManagement ISAPIModule CustomLoggingModule WindowsAuthModule ISAPIFilterModule RequestMonitorModule CertificateAuthModule Performance CGIModule HTTPTracingModule AnonymousAuthModule ServerSideIncludeModule ODBCLogging HTTPStaticCompression IPSecurityModule ASP HTTPDynamicCompression LoggingLibraries UrlAuthorizationModule ASP.NET RequestFilteringModule Management ManagementConsole Common HTTP Web Server Components ManagementScripting StaticFileModule DefaultDocumentModule DirectoryListingModule ManagementService HttpRedirect CustomErrorModule Metabase WMICompatibility Windows Process Activation Service LegacyScripts LegacySnap-in ProcessModel NetFxEnvironment ConfigurationAPI

IIS7 Kellemes, könnyen kezelhető faszerkezet *** Kategóriákba osztott komponensek

IIS7 Kezelés Naplózás, monitoring Felügyelet Delegálható a webhelyek és az alkalmazások felügyelete Windows / nem-Windows jogosultságok támogatása Naplózás, monitoring Valósidejű infók, automatikus hibafüggő, nyomkövető Felügyelet IIS Manager: helyi/távoli/internetes, tűzfalbarát Parancssori eszköz: appcmd.exe WMI provider-en keresztül is

Network Access Protection Mi is ez? Teljesen új technológia amely hasonlít a VPN karanténhoz, de annál több, mert Az összes hálózati kliensre érvényes Szerver/kliens megoldás Több hozzáférési közegből (LAN, RAS, WLAN) LH Server lesz az első NAP kiszolgáló kliensek: Vista, LH Server és Windows XP SP2!

Network Access Protection Hogyan működik? „Házirendet” készítünk, amely alapja Pl. OS frissítések, a vírus szignatúra frissítések, alkalmazások megléte/hiánya, és még egyéb ellenőrzések A NAP szerver pedig ellenőríz Megtagadja a belépést, ha a feltételek nem találkoznak az előírásokkal De hozzáférést adhat a frissítések lelőhelyéhez

Network Access Protection Hogyan működik? Policy Servers Patch, AV 3 1 2 Nem felelt meg Zárolt hálózat 4 WSUS, SMS Server stb. Microsoft Network Policy Server NAP kliens DHCP, VPN Switch/Router Megfelelt 1 A kliens hozzáférést kér a jelenlegi állapota alapján 5 Belső hálózat 2 A DHCP, VPN, switch/router továbbítja a kérést a Microsoft Network Policy kiszolgálónak (RADIUS) 3 A Network Policy Server összehasonlítja az általunk definiált házirenddel a kliens állapotát 4 Ha nem felel meg, a kliens egy zárolt VLAN-ba kerül, és csak frissítések, szignatúrák, stb. letöltéséhez a kap hozzáférést (ha kell ismételve az 1-4. lépést) Ha megfelel, teljes hozzáférést kap a belső hálózathoz 5 28

Network Access Protection Vista <> XP kliens 4/4/2017 2:24 PM Network Access Protection Vista <> XP kliens NAP működik az XPSP2-vel is, de: Nincs integrálva, külön kell telepíteni A NAP kliens MMC csak Vistán érhető el A Vista NAP kliens a Windows Defenderrel „megtámogatható” (Security Center) A Vistában több és komolyabb hitelesítési opció van a NAP kliens részére Auth IP for IPSec, Single Sign-On for 802.1x., stb. © 2003-2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Terminal Services Gateway Mi is ez? Egy új TS szerver típus RDP over HTTPS más néven: Terminal Server „VPN”  A távoli ügyfél és a Terminal Server között proxyként működik Tűzfalra, NAT szerverre telepítjük De lehet ugyanaz a szerver mint a TS PKI és az NPS szerver feltétel

Terminal Services Gateway Hogyan működik? External Firewall DMZ Firewall Internet LAN Strips off HTTP RDP illesztés a TSG-hez RDP over HTTPS Terminal Servers HTTPS (443) RDP (3389) RDP kliens (privát v. publikus helyekről) TS Gateway (LH Server) AD ports AD

Terminal Services Gateway Hogyan működik? Extra házirendek Connection Authorization Policies Kapcsolódás a belső hálózathoz (csoport), domain tagság alapján, gépfiók csoporttagság alapján Resource Authorization Policies Az elérhető belső erőforrások Mindkettőt (CAP, RAP) a TSG szerveren rakjuk össze Single-Sign-On Pre-RDP6 kliensek blokkolása

TS Remote Programs Mi is ez? Terminálkliensek alkalmazás "ellátása" 1. Alkalmazás publikálás a szerveren 2. Parancsikonok „kiszórása” a TS kiszolgálón futó programokhoz A felhasználó számára teljesen helyi alkalmazásnak tűnik Több ilyen TS alkalmazás a kliensen? az RDP kapcsolat megosztása ezek között

TS Remote Programs Alkalmazások terítése Legalább négy módszer: Az általunk készített és (pl. SMS-sel szétszórt) .rdp állományra duplán kattintva Az általunk készített és (pl. SMS-sel, vagy Csoportházirenddel szétszórt) .msi csomag ikonjára kattintva Az adott fájl nevére kattintva (ha hozzárendeltük a megfelelő távoli programot) A TS Web Access segítségével az adott weboldalon a hivatkozásra kattintva!

Alkalmazások publikálása TS Remote Programs Alkalmazások publikálása TS RP Web Access

Tartalom Néhány újdonság Server Core 1x1

Server Core 1x1 Miért kell nekünk? Önálló, „igazi” Longhorn Server, nem játék Minden „nagy” verzió mellett ott lesz x86 és x64 Nagyságrenddel… Biztonságosabb, gyorsabb, de behatároltabb is Kb. 60%-al kevesebb patch A DVD indítása után döntünk a „nagy” LH vagy a Server Core között

Server Core 1x1 Így indul…

Server Core 1x1 Tervezéshez Erőforrásigény? CPU, 128 MB RAM, Kb. 2 GB HDD Kb. 40 alap szerviz (a többi letiltva) Kb. 25 processz Upgrade vs. clean install Upgrade nincs A Server Core sem frissíthető a „nagy” szerverre A Longhorn Servert sem lehet Server Core-ra Telepítés = kb. 15 perc

Server Core 1x1 Mi van benne? Mi nincs? Nincs GUI, shell, Windows\Internet Explorer, MMC, IIS, TS, IAS, Sharepoint, Media Kivétel: 2 Control Panel elem Security Options képenyő Task Manager, jelszóváltoztatás, stb. Notepad 

Server Core 1x1 Mi van benne? Mi nincs? A „kommersz” alkalmazások nem futnak De a kiszolgáló programok nagy része igen Szerver szerepek: DHCP, File, DNS, WINS Szerepkörök: Failover Clustering, NLB, Subsystem for UNIX-based applications, Backup, Removable Storage Management, Bitlocker, SNMP Active Directory Önmagában is, FSMO is Teljes funkcionalitás

Server Core 1x1 AD telepítés

Server Core 1x1 A Security Options képernyő

Server Core 1x1 Üzemeltetés Helyi parancssor! Több esetben unattend módban RPC + DCOM a távoli MMC-hez Tartományon belülről és kívülről is WMI RDP (alapból letiltva) Task Scheduler Event Logging / Event Forwarding

Server Core 1x1 Üzemeltetés Windows Remote Management (WinRM) WS-Management – biztonságos, tűzfalbarát, távoli elérés parancssorból WinRM.exe konfig a szerveroldalon GPO-val vagy unattend módon is lehet telepíteni Windows Remote Shell (WinRS) Csak a WinRM konfig után Windows Vista vagy LH Server Csak paranccsori eszközök / szkriptek

Server Core 1x1 Üzemeltetés Nem mindent lehet parancssorból Ezért van az SCRegEdit.wsf szkript \Windows\System32 Mit tud? A pagefile beállítása (vagy nem ) Windows Update / Error Reporting engedélyezése TS Remote Admin Mode engedélyezése Régi és új klienseknek külön

Server Core 1x1 Példák a konfigurálásra, telepítésre TCP/IP Netsh interface ipv4 Show interfaces Set address name="ID" source=static address=StaticIP mask=SubnetMask gateway=DefaultGateway Add dnsserver name="ID" address=DNSIP index=1 DHCP szerver telepítés Start /w Ocsetup DHCPServerCore

Server Core 1x1 Együtt kerek Server Core + újraindítható AD Gyors, alacsony fogyasztású és igazán biztonságos Active Directory Server Core + RODC + szeparált admin jogosultság Biztonság++

Beta1 - 2005 szeptember 2006 május - Build 5384 2007 I. félév - Feature Complete 2007 II. félév - RTM 2006.09: CTP Build 5600 INF210

További információ Windows „Longhorn” Server TechNet Portál (benne az Infrastruktúra modul) http://www.microsoft.hu/technet Longhorn Server Beta 2 Home http://www.microsoft.com/windowsserver/longhorn Windows Server code name "Longhorn" fórum http://forums.microsoft.com/TechNet/default.aspx?ForumGroupID=161&SiteID=17 Longhorn Virtual Lab http://www.microsoft.com/technet/traincert/virtuallab/longhorn.mspx 51

További információ Server Core Newsgroups http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=582&SiteID=17 Server Core Blog http://blogs.technet.com/server_core A „Command-line reference A-Z” jól jöhet http://go.microsoft.com/fwlink/?LinkId=20331 52