WS08 R2 üzemeltetői szemmel

Slides:



Advertisements
Hasonló előadás
Teljesen új elképzelés Minimum környezet – „sallangok” nélkül, viszont kompromisszumokkal Kifejezetten bizonyos szerepkörök ellátására Nem külön verzió,
Advertisements

A virtuális munka-környezet
Dolgozni már bárhonnan lehet…
Virtualizált Biztonságos BOINC Németh Dénes Deák Szabolcs Szeberényi Imre.
Adatbázis gyakorlat 1. Szerző: Varga Zsuzsanna ELTE-IK (2004) Budapest
Hitelesítés és tanúsítványkezelés
Készítette: Nagy Márton
GPRS/EDGE General Packet Radio Service/ Enhanced Data rate for GSM Evolution.
Hálózati és Internet ismeretek
Tempus S_JEP Számítógép hálózatok Összefoglalás Összefoglalás Összeállította: Broczkó Péter (BMF)
Module 10: Supporting Remote Users távoli felhasználó támogatása.
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
Microsoft Forefront biztonsági megoldások
- Virtualizációt az asztalra!
A mobil munka- környezet Réczi Gábor MCSA, MVP, oktató NetAcademia Szentgyörgyi Tibor MCT, oktató Számalk Zrt.
Teljes funkcionalitású Web kliens Kétféle felület Premium (IE6+) Light (Firefox, Safari, Opera, Netscape, IE7, IE6, IE5.5, IE5.01 és IE5.2 Mac) Eltérések.
W7 / WS08 R2 – Csoportházirend félóra
NAP bemutatása Komponensek Felhasználási területek DEMO: DHCP kényszerítés VPN kényszerítés NAP bevezetése.
Új név, új tudás (RDS+VDI+RemoteFX)
A felügyelet kihívásai A Windows Intune WIKlasszikus Központi frissítés kezelés Malware védelem Hardver, szoftver és licensz leltár Remote Assistance.
Service Pack 1 ^ ^ Hagyományos rendszerek Privát felhőPublikus felhő.
Windows Server Hyper-V R2 SP1 újdongságok
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Áttérés Exchange 2003-ra Gazdasági előnyök Ferencz István konzulens.
Network Access Protection
Erős bástya – biztonsági újdonságok
Megoldás Felhő szolgáltatások és Windows 7.
Átállás.
Platform A Vistából örökölt OS alap technológiák Windows Server Core Read-only Domain Controller Hozzáférés szabályzás, erőforrás elérés Network Access.
Storage Virtualization Presentation Virtualization Server Virtualization Desktop Virtualization Application Virtualization SYSTEM CENTER.
Remote Desktop Services Van új a nap alatt?
Új Windows alapú intézményi szerverek (címtár és management) tervezése és kivitelezése.
Biztonság és távelérés
TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk!
Windows Server 2008 { Terminal Services }
AD {RMS} Active Directory Rights Management Services
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
Hálózatkezelési újdonságok Windows 7 / R2
Windows Server 2012 Kiadások, licencelés, lehetőségek
RDS komplett átvilágítás VDI okosságok RemoteApp for Hyper-V.
Windows Server 2012 R2 Gál Tamás
ISA Server alapok Gál Tamás
Exchange Server 2007 Client Access Role
Ők kerestek meg minket Tentálen – Könyvelő iroda, 15 felhasználó SBS 2003, Outlook levelezés Nincs saját fix ip cím, exchange POP3-al töltötte le a leveleket,
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
{ PKI } Active Directory Certificate Services
Windows Server 2008 Távoli elérés – I.
Alapozó eszközök Eseménynapló Eseményszámba megy… Analytic and Debug Logs Custom Views / Cross-log queries Event Forwarding > Subscriptions Feladatütemező.
Magas rendelkezésre állású Hyper-V rendszer építése
Supervizor By Potter’s team SWENG 1Szarka Gábor & Tóth Gergely Béla.
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
Út a felhőbe - Azure IaaS Windows Server 2012 R2 konferencia
- RDP RDS szerepkörök - VDI Word.rdp Excel.rdp Virtual Desktop.rdp RD Web Access.
Óravázlat Készítette: Toldi Miklós
A teljes infrastruktúra egységesített felügyelete és védelme.
Network Access Protection
- S2S VPN - Server Core - DFS-R - BranchCache.
Kommunikáció a hálózaton Kommunikáció a hálózaton.
Amit már ismer(het)ünk GPMC v2 újdonságok Group Policy Preferences.
Üzleti felhőszolgáltatások ÜZLETI ALKALMAZÁSOK ALKALMAZÁSOKCSOPORTMUNKAADATTÁROLÁSPLATFORMFELÜGYELETHATÉKONYSÁG KOMMUNIKÁCIÓ.
Live Communication Server Integrált kommunikációs infrastruktúra Mobil támogatás Munkaterület Instant üzenetküldés VOIP Alkalmazások, munkafolyamatok.
SQL Server 7 installálása. A szükséges hardver és szoftver Processzor Memória Háttértár OS Hálózat Kliensek.
Desktop virtualizáció Microsoft VDI használatával Háló Gyula.
Tűzfal (firewall).
Ingyenes, online technikai kurzusok Microsoft Virtual Academy.
Ingyenes, online technikai kurzusok Microsoft Virtual Academy.
Alapszolgáltatások A fájlszerver – milyen tárolókon?
Windows 10 áttekintés és bevezetés Windows 10 áttekintés rendszergazdáknak Mi változott a Windows 7 óta?
AZURE RÉGIÓK Szoftver szolgáltatás SaaS Platform szolgáltatás PaaS Infrastruktúra szolgáltatás IaaS.
Előadás másolata:

WS08 R2 üzemeltetői szemmel Király István MCT,MCP, MCTS,MCITP:SA Informatikai Igazgató Solar Capital Markets Zrt. kiralyi@solarcapital.hu

Tartalom

Bemelegítés – WS08 R2 A „nagy” verziók között újra egy R2 Csak 64 bit Jóval több mint a WS03 R2, inkább W7 Server Rettentő mennyiségű újdonság Csak 64 bit Fő pillérek: web, felügyelet, virtualizáció és az együttműködés

Felügyelet A keretrendszer BPA ISE konzol Server Manager Egyéb, külső UI eszközök Feladatorientált, testre-szabható, kiterjeszthető PowerShell Engine PowerShell V2 Univerzalitás, automatizmus Már távolból is WSMan protokoll WMI protokoll BITS szerviz BITS Aszinkron, szkriptelhető Hálózati forgalom optimalizálás Felügyelt komponensek (OS, alkalmazások, eszközök) WSMan és WMI Jól bevált (a WS03 R2 óta) Távoli is, OS / hardver is

Felügyelet Server Manager WS08 problémák Csak lokális ½ megoldás: RSAT R2 Server Manager Remoting > RSAT Windows 7-ről Több szervert is, és persze Server Core-t is Nem teljeskörű

Felügyelet PowerShell vs. Server Manager Server Manager PowerShell cmdlet-ek Get-WindowsFeature Add-WindowsFeature Remove-WindowsFeature Gyors, egyszerű, frappáns Sok parancssori lehetőség (automata kiegészítés, wildcard-ok, csövezés) Remoting és Server Core-on is

- Server Manager Remoting - Server Manager + PowerShell

Felügyelet Integrated Scripting Environment WS08 Könnyű hibás szkripteket gyártani Primitív felülelet, Notepad + konzol Nincs debugger Nincs nyelvi támogatás (ez úgy 60%-ot érintettség) WS08 R2 PowerShell alap Komfortos súgó, színek , nyelvi támogatás „Egyablakos” lehetőség a szerkesztésre, nyomkövetésre, futtatásra

Felügyelet Integrated Scripting Environment Fülek Integrált környezet Színezés

Felügyelet PowerShell Remoting Egyről - soknak Parancsok, szkriptek küldése egy gépről többnek Egyidejű kapcsolatok limitálása lehetséges Mehet a háttérben is Sokról – egynek „Hosting” modell > egy szerver > több üzemeltető Eltérő jogosultsági kontextusban is

PowerShell ISE + Remoting

Felügyelet Best Practice Analyser - hegyekben BPA = először SPS, majd XCHG Hagyományosan jól használható eszköz Az R2-ben áttörés történik ADCS, ADDS, DNS, RDS, IIS Helyben és távolból, UI és parancssor egyaránt Beépítve a Server Manager-be, RSAT-ba PowerShell cmdlet-eken keresztül is működik Az új és a frissített BPA-k > Windows Update > ciklikusan

- BPA

Felügyelet Server Migration Új megoldásokra van / lesz szükség In-place frissítés nem lesz egyszerűbb Legyen a forrás / cél „ugyanaz”! A Server Migration hatóköre AD, DNS, DHCP, File, Print, BranchCache TCP/IP, Local Users/Groups, megosztások, stb. Forrás szerverek: WS03, WS08, WS08 R2 x86 / x64, Full / Server Core, fizikai / virtuális

Hálózat View Available Network UI Nos…, nagyon kellett már  Kategóriánként WLAN: kapcsolódás lehetősége megjelenik A RAS / VPN: részletes állapotjelzés

a WLAN hálót és átkerül egy A céges hálózat Internet kapcsolata Hálózat VPN Reconnect A mobil user a WLAN-on keresztül éri el a céges hálózatot - a VPN Reconnect-tel A VPN Reconnect (IKEv2 VPN) miatt a VPN kapcsolat újra felépül - immár az új közegen keresztül A mobil user elhagyja a WLAN hálót és átkerül egy ADSL linkre ADSL W7 kliens (mobil user) Új internet kapcsolat IKEv2 kompatibilis VPN kiszolgáló VPN Reconnect Tunnel Internet WLAN Hotspot Alkalmazás szerverek Céges hálózat Kapcsolódás a netre A céges hálózat Internet kapcsolata

Hálózat VPN Reconnect Kliens / szerver egyaránt tartalmazza 4/6/2017 4:16 AM Hálózat VPN Reconnect Kliens / szerver egyaránt tartalmazza Együttműködik a 3rd party VPN kliensekkel és szerverekkel Integrált „Mobility Manager” Detektálja az IP változásokat, elindítja az újracsatlakozási folyamatot NAP kompatibilis, IPv4 / IPv6 is, a hitelesítéssel sincs gond SSTP fall-back! © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Hálózat DNS DNS diagnosztika >>> DNSSEC Biztonságos, aláírt DNS forgalom Tanúsítvány alapú, IPSec RFC 4033/34/35 > kompatibilis Name Resolution Policy Table A DirectAccess ill. DNSSEC miatt Internet / Intranet forgalom szeparálása Sorrend változás: lokális cache > hosts fájl > NRPT > DNS srv Csoportházirendből (is) konfigurálható

Hálózat DHCP Rezerváció - pofonegyszerűen MAC szűrés Allow list, Deny list Dynamic Host Configuration Identifier Vegyes hálózat > „Name squatting” Bejegyzés védelem - DNS erőforrásrekordokkal DHCP Server Events MMC Naplózás, nyomonkövetés Kapcsolódás több szerverhez

DHCP szerver

Hálózat DirectAccess - bevezetés A világunk változik „A hálózatom nem ott van, ahol az épületünk, hanem ahol a felhasználók és az eszközök.” vs. Office Home, roaming Office Home, roaming

Hálózat DirectAccess - bevezetés Mindig rendelkezésre álló, teljesértékű kétirányú kapcsolat Előnyök Üzemeltői oldal: biztonságos, rugalmas, (akár) teljes hozzáférés - bárhonnan Felhasználói oldal: biztonságos, „megszokott” hozzáférés – bárhonnan VPN infrastuktúra nélkül Kliensoldal: zéró teendő / szerveroldal: számos

Hálózat DirectAccess - leegyszerűsítve IPsec/IPv6 W7 kliens (távoli user) W7 kliens (távoli user) NAP / NPS szerverek IPsec/IPv6 Internet IPsec/IPv6 A kliens útja: 1. Kint vagy bent vagyunk? 2. Ha kint: Teredo vagy IP-HTTPS 3. Kölcsönös hitelesítés, majd NAP 4. Örülünk DirectAccess szerver Lokális user Alkalmazás kiszolgálók Lokális user Céges hálózat Nem probléma, ha a hordozó hálózat nem biztonságos Nem hálózat, hanem felhasználó alapú az elérés

Hálózat DirectAccess - bevezetés VPN Elterjedt Egyszerű telepíteni DirectAccess Felügyelet! Biztosan biztonságos Egyszerű használat

Hálózat DirectAccess tervezés Szükséges követelmények IPv6 infrastuktúra (lásd később) Vistától kezdve alapértelmezett Csak Windows 7 kliensek (Ultimate / Enterprise) Csak tartományi fiókkal rendelkező gépek WS08 R2 EE - DirectAccess szerver képesség + AD, DNS, IIS, PKI, alkalmazásszerverek, … Két db publikus, fix IPv4 cím (NIC1) + 1 fix privát belső (NIC2)

Hálózat DirectAccess tervezés Kivitelezés IPv6 kompatibilitás megteremtése Teredo, 6to4, ISATAP vagy… NAT-PT eszköz …vagy IP-HTTPS DirectAccess Configuration Wizard DirectAccess szerver beállítása, step-by-step Csoportházirend a klienseknek, alkalmazásszervereknek, a DC/DNS szervereknek Teljes elérés vagy csak korlátozott elérés? Split tunneling: engedjük, vagy nem?

Hálózat DirectAccess - egy teljes rendszer IPv6 eszközök IPv4 eszközök IPv4 támogatás (pl. 6to4, NAT-PT) IT desktop felügyelet Lehetővé teszi a DirectAccess kliensek felügyeletét Natív IPv6 + IPSec DA: transzparens, biztonságos kapcsolat VPN nélkül Group Policy, NAP, WSUS IPv6 / IPv4 átalakítás Közvetlen kapcsolat a belső IPv6 erőforrásokkal Internet DirectAccess Server IPSec titkosítás és hitelesítés Windows 7 kliens

Hálózat DirectAccess tervezés Céges hálózat DA Server (WS08 R2) Megbízható, egészséges gép Alkalmazások és adatok Windows 7 kliens NAP Forefront Client Security Windows Firewall BitLocker + TPM IAG SP2 Forefront UAG Forefront TMG

Címtár PowerShell támogatás Get-ADObject Get-ADOptionalFeature Get-ADOrganizationalUnit Get-ADPrincipalGroupMembership Get-ADRootDSE Get-ADServiceAccount Get-ADUser Get-ADUserResultantPasswordPolicy Install-ADServiceAccount Move-ADDirectoryServer Move-ADDirectoryServerOperationMasterRole Move-ADObject New-ADComputer New-ADFineGrainedPasswordPolicy New-ADGroup New-ADObject New-ADOrganizationalUnit New-ADServiceAccount New-ADUser Remove-ADObject Remove-ADComputer Remove-ADGroup Remove-ADUser Rename-ADObject Remove-ADComputerServiceAccount Remove-ADDomainControllerPasswordReplicationPolicy Remove-ADFineGrainedPasswordPolicy Remove-ADFineGrainedPasswordPolicySubject Remove-ADGroupMember Remove-ADOrganizationalUnit Remove-ADPrincipalGroupMembership Remove-ADServiceAccount Reset-ADServiceAccountPassword Restore-ADObject Search-ADAccount Add-ADComputerServiceAccount Add-ADDomainControllerPasswordReplicationPolicy Add-ADFineGrainedPasswordPolicySubject Add-ADGroupMember Add-ADPrincipalGroupMembership Clear-ADAccountExpiration Disable-ADAccount Disable-ADOptionalFeature Enable-ADAccount Enable-ADOptionalFeature Get-ADAccountAuthorizationGroup Get-ADAccountResultantPasswordReplicationPolicy Get-ADComputer Get-ADComputerServiceAccount Get-ADDefaultDomainPasswordPolicy Get-ADDomain Get-ADDomainController Get-ADDomainControllerPasswordReplicationPolicy Get-ADDomainControllerPasswordReplicationPolicyUsage Get-ADFineGrainedPasswordPolicy Get-ADFineGrainedPasswordPolicySubject Get-ADForest Get-ADGroup Get-ADGroupMember

Címtár Lomtár (Recycle Bin) AD problémák vs. emberi tényező  AD RB: törölt fiókok visszállítása Klasszikus AD Restore nélkül, online WS08 R2 erdő működési szint (!) Engedélyezni kell (irreverzibilis lépés) Van vizsgálat és külön visszaállítás Minden attribútumot érint 180 napos limit (Deleted Object Lifetime) De lehetséges a végleges törlés is

Címtár Offline Domain Join Eddig: csak akkor léptethető be egy gép, ha látja a tartományt R2: lehetőség a gépfiók preparálására A DC (címtár) és a kliens állapotának változása - egyidejű szinkronizálás nélkül is W7 + min. 1 db WS08 R2 kiszolgáló szükséges A rendszerindításkor már tartományi tag Hálózati kapcsolat nélkül is Tömeges telepítéshez jól fog jönni

Telephely BranchCache A probléma: lassú WAN Megoldás: hacsak lehetséges, legyen helyben az adat Biztonságos, sávszélesség takarékos, transzparens, UX növelő HTTP/S, SMB, BITS (SSL / IPSec) Telepíthető képesség ill. GP szabályozás Csak R2 illetve csak Windows 7

Telephely BranchCache – elosztott Központ Data Data ID ID Kérem! Kérem! Kérem! Kérem! Telephely Data

Telephely BranchCache – centralizált Központ Kérem! Data Data ID ID Kérem! Kérem! ID Kérem! Keresés Keresés ID Data Kell? ID Kérés ID Data Adom! Telephely