1 / 52

Windows „Longhorn”Server kitekintés

Windows „Longhorn”Server kitekintés. Gál Tamás gtamas@tjszki.hu MCSE, MCSA, MCT, MVP. Tartalom. Néhány újdonság Server Core 1x1. Néhány újdonság A teljesség igénye nélkül. Server Manager DNS Active Directory IIS 7.0 Network Access Protection Terminal Services Gateway

onawa
Télécharger la présentation

Windows „Longhorn”Server kitekintés

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Windows „Longhorn”Server kitekintés Gál Tamás gtamas@tjszki.hu MCSE, MCSA, MCT, MVP

  2. Tartalom • Néhány újdonság • Server Core 1x1

  3. Néhány újdonságA teljesség igénye nélkül • Server Manager • DNS • Active Directory • IIS 7.0 • Network Access Protection • Terminal Services Gateway • Terminal Services Remote Programs

  4. Server Manager – egyszer, régen…

  5. Server Manager – holnap…

  6. Server Manager – Server Roles

  7. Server Manager - Features

  8. DNSSzerveroldali változások • Background zone loading • A zóna háttérben, részletekben történő átvitele • Primary read-only zóna • A Read-Only DC-k miatt • Global Names zóna • Statikus, globális nevek erdő színtű elérhetősége • IPv6 támogatás

  9. DNSKliensoldali változások • Link-local multicast name resolution • Kiesés esetén a kliensek peer-to-peer alapon próbálkoznak a névfeloldással • Kapcsolat a DC-kkel • Periodikus keresés > leválás utáni visszacsatlakozás gyorsabb és biztosabb • A véletlenszerű DC elérés helyett, programozható (vagy registry) a „legközelebbi” • Mindkét lehetőség csak Vistával

  10. Active DirectoryRead-Only DC • Fiókirodák, telephelyek számára ideális • Ez lehet az egyetlen DC, nem kell másik • Sávszélesség takarékos • A biztonságossá nem tehető helyeken érvényesül • Minimális felügyeletszükséges

  11. Active DirectoryRead-Only DC • Csak olvasható címtár replika • Jelenleg támogatott szolgáltatások • ADFS,DNS, DHCP, FRS, DFSR, Group Policy, IAS/VPN, DFS, SMS • Extra alkalmazások is • Sőt, alkalmazás felügyelet megosztás is • Nem tudnak kárt tenni az AD-ban

  12. Active DirectoryRead-Only DC • RODC-k alkalmazása a címtár „hálózatban”

  13. Active DirectoryRead-Only DC • Credential caching • A RODC nem tárol jelszavakat • Kivéve a gép és és a krbtgt fiókét • A RODC KDC-ként is képes „látszani” a kliensei felé • Viszont más krbtgt fiókot használ a TGT kérések aláírásához, mint a „nagy’” DC • Ha egy user hitelesít a nagy DC-vel, a RODC (a PRP alapján) elkéri a hitelesítő adatokat • Ezután a user helyben is hitelesíthet • Attól függ innentől, hogy mely kbrtgt fiókkal van aláírva

  14. Active DirectoryRead-Only DC • Password Replication Policy • A központi DC-n állítjuk • Mely jelszavak replikálódjanak? • Alapértelmezésben egy sem replikálódik • Ha ellopják a RODC-t, ezek a jelszavak „rajta” lesznek

  15. Active DirectoryRead-Only DC Amit a tolvaj lát Amit az admin tesz • Eltulajdonított DC? „This domain controller is permanently offline and can no longer be demoted using Active Directory Installation Wizard.”

  16. Active DirectoryRead-Only DC • Replikáció • Elvileg minden címtár objektum és attribútum ugyanúgy tárolódik mint eddig • A változások viszont „felfelé” nem replikálódnak • Azaz „unidirectional”, mivel csak az írható DC-kben változtathatunk, a replikáció egyirányú lesz • Visszatértek az NT4 BDC-k? • Nem, ez egy jóval rugalmasabb megoldás

  17. Active DirectoryRead-Only DC - feltételek • 1 darab Longhorn (FSMO) DC a tartományban • W2K3 erdő funkcionalitási szint • A biztonságos Kerberos delegálás miatt • W2K3 tartomány funkcionalitási szint • A Linked-value replikáció miatt • GC nem lehet • De az adott RODC site-ban a „Universal group membership caching” automatikus

  18. Active DirectoryRead-Only DC Admin jogok szeparálása • A probléma: • (Sok)mindenhez Domain Admins tagság kell • Alapjaiban tenné tönkre a RODC elvét • Van megoldás: • „Helyi” rendszergazda jog a DC-n! • Egyúttal minden Built-in csoport is (Backup/Server Operators, stb.) • AD jogosultság nélkül!

  19. Active DirectoryÚjraindítható AD • Stop/Start, a gép újraindítása nélkül • Miért? • Karbantartás • Előnyök: • Nem kell várni az újraindításra • A többi szolgáltatás működhet tovább

  20. Active DirectoryÚjraindítható AD • Ha ebben az ún. „AD DS Stopped” állapotban van a DC: • Úgy viselkedik mint egy tartományi tagkiszolgáló • Van interaktív belépés másik DC segítségével • Van hálózati belépés a klienseknek • Ha viszont nincs másik DC • akkor a helyi Administrator jelszóval kell belépni (DS Restore mód, RC) • Jogosultságok cache-elése, smartcard,vagy más extra belépési forma is lehetséges

  21. IIS7 • Moduláris telepítés = kevesebb probléma • Kezelés és frissítés komponensenként • „Ha nem telepítjük, nem kell patch-elni”

  22. IIS7 Moduláris felépítés = IIS 5.0 WWW Service FTP Service Admin Tools Common Files Scripts Directory Remote Desktop ActiveX Printers Virtual Directory FrontPage 2000 Srv Ext

  23. IIS7 ApplicationDevelopment FTP Publishing Security Health and Diagnostics FTPServer BasicAuthModule NetFxExtensibility HttpLoggingModule FTPManagement DigestAuthModule ISAPIModule CustomLoggingModule WindowsAuthModule ISAPIFilterModule RequestMonitorModule CertificateAuthModule Performance CGIModule HTTPTracingModule AnonymousAuthModule ServerSideIncludeModule HTTPStaticCompression ODBCLogging IPSecurityModule ASP HTTPDynamicCompression LoggingLibraries UrlAuthorizationModule ASP.NET RequestFilteringModule Management ManagementConsole Common HTTP Web Server Components ManagementScripting DirectoryListingModule StaticFileModule DefaultDocumentModule ManagementService HttpRedirect CustomErrorModule Metabase WMICompatibility LegacyScripts Windows Process Activation Service LegacySnap-in ConfigurationAPI ProcessModel NetFxEnvironment

  24. IIS7 • Kellemes, könnyen kezelhető faszerkezet • *** • Kategóriákba osztott komponensek

  25. IIS7 • Kezelés • Delegálható a webhelyek és az alkalmazások felügyelete • Windows / nem-Windows jogosultságok támogatása • Naplózás, monitoring • Valósidejű infók, automatikus hibafüggő, nyomkövető • Felügyelet • IIS Manager: helyi/távoli/internetes, tűzfalbarát • Parancssori eszköz: appcmd.exe • WMI provider-en keresztül is

  26. Network Access ProtectionMi is ez? • Teljesen új technológia amely hasonlít a VPN karanténhoz, de annál több, mert • Az összes hálózati kliensre érvényes • Szerver/kliens megoldás • Több hozzáférési közegből (LAN, RAS, WLAN) • LH Server lesz az első NAP kiszolgáló • kliensek: Vista, LH Server és Windows XP SP2!

  27. Network Access ProtectionHogyan működik? • „Házirendet” készítünk, amely alapja • Pl. OS frissítések, a vírus szignatúra frissítések, alkalmazások megléte/hiánya, és még egyéb ellenőrzések • A NAP szerver pedig ellenőríz • Megtagadja a belépést, ha a feltételek nem találkoznak az előírásokkal • De hozzáférést adhat a frissítések lelőhelyéhez

  28. WSUS, SMS Server stb. Zárolt hálózat Belső hálózat A DHCP, VPN,switch/router továbbítja a kérést a Microsoft Network Policy kiszolgálónak (RADIUS) 2 A Network Policy Server összehasonlítja az általunk definiált házirenddel a kliens állapotát 3 Ha nem felel meg, a kliens egy zárolt VLAN-ba kerül, és csak frissítések, szignatúrák, stb. letöltéséhez a kap hozzáférést (ha kell ismételve az 1-4. lépést) 4 5 Ha megfelel, teljes hozzáférést kap a belső hálózathoz Network Access ProtectionHogyan működik? Policy Servers Patch, AV 3 1 2 Nem felelt meg 4 Microsoft Network Policy Server NAP kliens Megfelelt DHCP, VPNSwitch/Router 1 A kliens hozzáférést kéra jelenlegi állapota alapján 5

  29. Network Access ProtectionVista <> XP kliens NAP működik az XPSP2-vel is, de: • Nincs integrálva, külön kell telepíteni • A NAP kliens MMC csak Vistán érhető el • A Vista NAP kliens a Windows Defenderrel „megtámogatható” (Security Center) • A Vistábantöbb és komolyabb hitelesítési opció van a NAP kliens részére • Auth IP for IPSec, Single Sign-On for 802.1x., stb.

  30. Terminal Services GatewayMi is ez? • Egy új TS szerver típus • RDP over HTTPS • más néven: Terminal Server „VPN”  • A távoli ügyfél és a Terminal Server között proxyként működik • Tűzfalra, NAT szerverre telepítjük • De lehet ugyanaz a szerver mint a TS • PKI és az NPS szerver feltétel

  31. Terminal Services GatewayHogyan működik? DMZ Firewall External Firewall Internet LAN Strips off HTTP RDP illesztés a TSG-hez RDP over HTTPS Terminal Servers RDP (3389) HTTPS (443) RDP kliens (privát v. publikus helyekről) TS Gateway (LH Server) AD ports AD

  32. Terminal Services GatewayHogyan működik? • Extra házirendek • Connection Authorization Policies • Kapcsolódás a belső hálózathoz (csoport), domain tagság alapján, gépfiók csoporttagság alapján • Resource Authorization Policies • Az elérhető belső erőforrások • Mindkettőt (CAP, RAP) a TSG szerveren rakjuk össze • Single-Sign-On • Pre-RDP6 kliensek blokkolása

  33. TS Remote ProgramsMi is ez? • Terminálkliensek alkalmazás "ellátása" • 1. Alkalmazás publikálás a szerveren • 2. Parancsikonok „kiszórása” a TS kiszolgálón futó programokhoz • A felhasználó számára teljesen helyi alkalmazásnak tűnik • Több ilyen TS alkalmazás a kliensen? • az RDP kapcsolat megosztása ezek között

  34. TS Remote ProgramsAlkalmazások terítése Legalább négy módszer: • Az általunk készített és (pl. SMS-sel szétszórt) .rdp állományra duplán kattintva • Az általunk készített és (pl. SMS-sel, vagy Csoportházirenddel szétszórt) .msi csomag ikonjára kattintva • Az adott fájl nevére kattintva (ha hozzárendeltük a megfelelő távoli programot) • A TS Web Access segítségével az adott weboldalon a hivatkozásra kattintva!

  35. TS Remote Programs Alkalmazások publikálása TS RP Web Access

  36. Tartalom • Néhány újdonság • Server Core 1x1

  37. Server Core 1x1Miért kell nekünk? • Önálló, „igazi” Longhorn Server, nem játék • Minden „nagy” verzió mellett ott lesz • x86 és x64 • Nagyságrenddel… • Biztonságosabb, gyorsabb, de behatároltabb is • Kb. 60%-al kevesebb patch • A DVD indítása után döntünk a „nagy” LH vagy a Server Core között

  38. Server Core 1x1 Így indul…

  39. Server Core 1x1Tervezéshez • Erőforrásigény? • CPU,128 MB RAM, Kb. 2 GB HDD • Kb. 40 alap szerviz (a többi letiltva) • Kb. 25 processz • Upgrade vs. clean install • Upgrade nincs • A Server Core sem frissíthető a „nagy” szerverre • A Longhorn Servert sem lehet Server Core-ra • Telepítés = kb. 15 perc

  40. Server Core 1x1Mi van benne? Mi nincs? • Nincs GUI, shell, Windows\Internet Explorer, MMC, IIS, TS, IAS, Sharepoint, Media • Kivétel: • 2 Control Panel elem • Security Options képenyő • Task Manager, jelszóváltoztatás, stb. • Notepad 

  41. Server Core 1x1Mi van benne? Mi nincs? • A „kommersz” alkalmazások nem futnak • De a kiszolgáló programok nagy része igen • Szerver szerepek: DHCP, File, DNS, WINS • Szerepkörök: Failover Clustering, NLB, Subsystem for UNIX-based applications, Backup, Removable Storage Management, Bitlocker, SNMP • Active Directory • Önmagában is, FSMO is • Teljes funkcionalitás

  42. Server Core 1x1 AD telepítés

  43. Server Core 1x1 A Security Options képernyő

  44. Server Core 1x1Üzemeltetés • Helyi parancssor! • Több esetben unattend módban • RPC + DCOM a távoli MMC-hez • Tartományon belülről és kívülről is • WMI • RDP (alapból letiltva) • Task Scheduler • Event Logging / Event Forwarding

  45. Server Core 1x1Üzemeltetés • Windows Remote Management (WinRM) • WS-Management – biztonságos, tűzfalbarát, távoli elérés parancssorból • WinRM.exe konfig a szerveroldalon • GPO-val vagy unattend módon is lehet telepíteni • Windows Remote Shell (WinRS) • Csak a WinRM konfig után • Windows Vista vagy LH Server • Csak paranccsori eszközök / szkriptek

  46. Server Core 1x1Üzemeltetés • Nem mindent lehet parancssorból • Ezért van az SCRegEdit.wsf szkript • \Windows\System32 • Mit tud? • A pagefile beállítása (vagy nem ) • Windows Update / Error Reporting engedélyezése • TS Remote Admin Mode engedélyezése • Régi és új klienseknek külön

  47. Server Core 1x1Példák a konfigurálásra, telepítésre • TCP/IP • Netsh interface ipv4 Show interfaces • Set address name="ID" source=static address=StaticIP mask=SubnetMask gateway=DefaultGateway • Add dnsserver name="ID" address=DNSIP index=1 • DHCP szerver telepítés • Start /w Ocsetup DHCPServerCore

  48. Server Core 1x1Együtt kerek • Server Core + újraindítható AD • Gyors, alacsony fogyasztású és igazán biztonságos Active Directory • Server Core + RODC + szeparált admin jogosultság • Biztonság++

  49. 2007 I. félév - Feature Complete Beta1 - 2005 szeptember 2006 május - Build 5384 2007 II. félév - RTM 2006.09: CTPBuild 5600

More Related