Professional Documents
Culture Documents
Rendszerfelgyelet rendszergazdknak
Rendszerfelgyelet rendszergazdknak
2007
ISBN 978-963-9131-98-9
Minden jog fenntartva. Jelen knyvet, illetve annak rszeit a kiad engedlye nlkl tilos reproduklni, adatrgzt rendszerben trolni, brmilyen formban vagy eszkzzel elektronikus ton vagy ms mdon kzlni.
SZAK Kiad Kft. Az 1795-ben alaptott Magyar Knyvkiadk s Knyvterjesztk Egyeslsnek a tagja 2060 Bicske, Difa u. 3. Tel.: 36-22-350-209 Fax: 36-22-565-311 www.szak.hu e-mail: info@szak.hu Kiadvezet: Kis dm, e-mail: adam.kis@szak.hu Fszerkeszt: Kis Balzs MCSE, MCT, e-mail: balazs.kis@szak.hu
Tartalomjegyzk
Elsz
A kapcsold tananyag Ha mr tszr kiolvastuk a knyvet... Gyakorls nlkl nem megy! Ksznetnyilvnts
xi
xii xiii xiii xiv
I. rsz: Az gyfl
1. Alapismeretek
gyfloldal bevezets Mikor s mirt nincs szksg kiszolglra? A Windows Vista teleptse A Vista vltozatai Hardverigny Teleptsi mdszerek s elkszletek Fikok, fjlok s belltsok tvitele A telepts folyamata A Vista aktivlsa Komponensek hozzadsa, illetve elvtele Az alkalmazs kompatibilits eszkzei A rendszerismeret alapjai A Rendszer panel rszletei Fik specifikus mappk s megosztsok A felgyeleti konzol: az MMC-program A Computer Management konzol ttekintse A felgyeleti eszkzk (Administrative Tools) gyflgp belptetse tartomnyba Hlzat a Windows Vistban A hlzati s megosztsi kzpont A hlzati profilok A TCP/IP-protokoll j protokollok s szolgltatsok a Vistban
1
3
3 4 5 6 7 8 9 11 13 15 20 22 22 24 29 29 30 34 36 36 40 42 46
Tartalomjegyzk
2. Diagnosztika s felgyelet
ltalnos felgyeleti ttekints Performance Information and Tools Diagnosztikai segdprogramok Halad felgyeleti eszkzk Az Esemnynapl (Event Viewer) A Feladattemez A megbzhatsg s a teljestmny figyelse: Reliability and Performance Monitor Rendszerszint diagnosztikai eszkzk A tvoli asztal A tvsegtsg A Windows-tvfelgyelet (WinRM) s a tvoli hj (WinRS) A helyi hzirend Szerkezeti, mkdsbeli vltozsok Felhasznlkra s csoportokra rvnyesthet hzirendek Gyakorlati pldk
55
55 55 58 61 61 68 72 75 81 83 85 87 89 91 92
3. Az gyfelek biztonsga
Biztonsg: ltalnos bevezet Az erforrs-kezels alapjai A hitelests A jogosultsgok A fjlrendszer-jogosultsgok A hlzati megosztsok jogosultsgai A megosztott nyomtatk jogosultsgai A felhasznli engedlyek Windows XP Service Pack 2 biztonsgi vltozsok jdonsgok a Vista biztonsgi rendszerben Vdekezs a mlyben A szolgltatsok megerstse: Service hardening Vltozsok a felhasznl fikok s csoportok kezelsben A felhasznli fikok felgyelete (UAC) Mandatory Integrity Control (MIC) A biztonsgi rendszer sszetevi A Security Center Az Internet Explorer 7 biztonsgi jtsai A Windows Defender
vi
97
97 98 99 113 116 122 126 126 129 131 131 138 140 142 151 153 154 155 161
Tartalomjegyzk
A titkostott fjlrendszer: az EFS BitLocker: a lemezek titkostsa A halad tzfal s az IPSec-kapcsolatok Ments s visszallts A biztonsgi msolatok trolsa A System Restore-szolgltats A Previous Versions-szolgltats Fjlok s mappk mentse Complete PC Backup
183
185
186 188 191 191 193 199 201 201 217 226 228 228 231 233 240 242 252 257 258 259 260 261 262 263
vii
Tartalomjegyzk
5. Tartomnyi krnyezet
Mire j a cmtr? Az Active Directory-cmtrszolgltats alapjai Az Active Directory alkotelemei Cmtrpartcik Az egyedi fkiszolgl-mveletek (FSMO) A sma A globlis katalgus szerepkr A mkdsi (funkcionalitsi) szintek Fizikai trols Kezels s eszkzk A DNS-szolgltats A nvfelolds menete A DNS-gyorsttr (DNS Resolver Cache) A DNS-zna A nvkiszolglk tpusai Milyen rekordokat tartalmaz egy zna? Az SRV-rekordok formtuma A DNS-kiszolgl belltsnak lpsei Az Active Directory teleptse A telepts felttelei Mi trtnik a telepts kzben? Hibalehetsgek Tipikus cmtrobjektumok A szervezeti egysg A fikok tpusai Megosztott mappk s nyomtatk A cmtr mentse s visszalltsa A System State ments A cmtr visszalltsa A csoporthzirend A helyi hzirend s a csoporthzirend Mire hasznljuk? Hogyan mkdik a csoporthzirend? A Group Policy Management Console A replikci s a telephelyek A replikci A replikcis topolgia A telephelyek Telephelyek tervezse
viii
275
276 279 280 282 283 285 286 287 289 290 294 295 297 298 300 301 303 304 309 309 310 312 312 313 314 317 319 319 320 322 323 324 326 330 331 332 333 335 337
Tartalomjegyzk
6. Hibakeress s elhrts
Hogyan lehet szlelni a hibkat? Hibakeress s javts mlyebben A rendszerindts folyamata s az indtmen elemei Helyrelltsi konzol A kk hall Grafikus ellenrz-javt eszkzk Feladatkezel (Task Manager) Computer Management MMC Hlzati gondok megoldsa Adataink biztonsga Az NTBackup A visszallts Kls eszkzk Sysinternals segdprogramok
339
340 341 342 348 354 356 357 360 367 372 375 380 382 382
391
392 392 393 394 395 396 397
Trgymutat A szerzkrl
399 415
ix
Elsz
Rendhagy s sok szempontbl hinyptl knyvet tart a kezben az Olvas. Mr a cm is sokat elrul: ez a knyv kifejezetten rendszergazdknak kszlt, s minden tmt a rendszergazda szemvel fejtnk ki benne. Tartalmt tekintve kezd s halad rendszergazdknak is btran ajnlhat megtallhat benne a Windows-alap rendszerek ismerethez s felgyelethez elengedhetetlenl szksges alapozs, de kzben folyamatosan megragadjuk az alkalmat arra, hogy benzznk a motorhztet al. Mindebbl az is kvetkezik, hogy tlagos felhasznlkat rdekl funkcikrl gyakorlatilag nem esik sz ebben a knyvben arrl ezernyit lehet mr fellelni a knyvesboltok polcain. Mi most kifejezetten arra fkuszlunk, hogy a vilgszerte millik ltal hasznlt Windows opercis rendszerek mkdst s felptst mlysgben ismertessk, s megmutassuk, hogyan lehet segtsgkkel akr kis-, akr nagyobb vllalatnl egy informatikai rendszert megtervezni, megpteni s felgyelni. A knyv felptse kveti a vllalatok informatikai evolcijt is az els rszben kifejezetten az gyfloldallal foglalkozunk csak: megmutatjuk, hogy a kizrlag gyfl opercis rendszerekbl ll, nhny gpes hlzat mkdtetshez milyen kpessgek megismersre lesz szksgnk, hogyan lehet ezt a krnyezetet hatkonyan zemeltetni s felgyelni. Kln kiemelt figyelmet szentelnk a biztonsgnak, aminek kapcsn jelents vltozsok trtntek a Windows Vista megjelensvel. A msodik rszben egy kiszolglval bvtjk elkpzelt vllalatunk informatikai rendszert, s megnzzk, milyen elnyk jrnak ezzel mind a vllalat, mind a rendszergazda szmra s egyltaln mikor rdemes kiszolglt alkalmazni. Ha mr van kiszolglnk, a kvetkez fejldsi lehetsg a cmtr bezemelse, majd a csoporthzirend alkalmazsa ezzel is egy kln fejezetnk foglalkozik. Mindezek utn mivel elbb-utbb gyis minden elromlik s tnkremegy utols fejezetnkben rszletesen foglalkozunk a hibakeresssel s elhrtssal is.
Elsz
A kapcsold tananyag
Knyvnk mindssze egyetlen (de jelents) alkoteleme egy lnyegesen nagyobb tananyagnak, amelynek kidolgozsval az elsdleges clunk az, hogy a lehet legknnyebb tegyk minden rendszergazda szmra a szakma alapos elsajttst, s egyben rszletesen megismerhessk a legjabb eszkzket is a Windows Vistt s a Windows Server 2003 R2-t. A tananyag kr Informatika Tisztn nvvel egy eladssorozatot is szerveztnk, ennek 2007 szn lezajlott 12 eladsval kzel 5000 informatikusnak mutattuk meg a rendszerfelgyelet legfontosabb s legrdekesebb jdonsgait. Az esemnysorozat sikerre val tekintettel 2008-ban vrhat annak folytatsa is j tananyagokkal, eladsokkal, helysznekkel bvtve. A jelenleg elrhet s a jvben jelentkez tananyagok, esemnyinformcik a www.microsoft.hu/it oldalon tallhatak. Ellenttben az informatikai szakknyvek tbbsgvel, ebbl a knyvbl gyakorlatilag teljesen hinyoznak a kattintgats, mindent lpsenknt bemutat lersok, helyettk sokkal ltvnyosabb s hasznlhatbb formban, rvid videkat (mi csak screencastoknak hvjuk ket) ksztettnk el ezek mind megtallhatak knyvnk DVD-mellkletn. Ezeken a videkon keresztl rszletesen, lben mutatjuk be a rendszerek kpessgeinek gyakorlati hasznlatt. Hatalmas mennyisg anyagrl van itt sz: messze tbb kpessget mutatunk meg bennk, mint amennyit az egy napos eladsokon lehetsgnk volt. A knyv szvege s a videk egymsra plnek, s jl kiegsztik egymst. Ezzel a megoldssal a knyvben sokkal tbbet tudunk foglalkozni a rendszerek mlysgeivel, httervel, hogy tnyleg alapos tuds birtokba lehessen kerlni ltala. Ms rszrl a videk segtsgvel hihetetlenl gyorsan s knyelmesen lehet haladni a rendszer megismersben, akr a knyv hasznlata nlkl is majd a szmunkra rdekesebb funkciknak brmikor rszletesebben utnaolvashatunk. Ahhoz azonban, hogy gyakorlati tapasztalatra is szert tegynk, ez mg mindig kevs. ppen ezrt a DVD-mellkletre felkerlt a Windows Vista s a Windows Server 2003 R2 virtulis krnyezetben hasznlhat vltozata, gy brmikor lehetsg van a knyvben s a videkban tallhat kpessgek kiprblsra mghozz a virtualizcinak ksznheten mindezt a nlkl is megtehetjk, hogy emiatt egy kln szmtgpet kellene tesztclokra kineveznnk. A virtulis gpek hasznlatrl knyvnk vgn, egy kln lers formjban tallhat tovbbi informci.
xii
A tananyag kidolgozottsga rvn arra is tkletesen alkalmas, hogy az tanfolyamok, fiskolai s egyetemi kurzusok alapjt kpezze. Azon oktatsi intzmnyek s oktatk rszre, akik szeretnk ezt a tananyagot tantani, a Microsoft Magyarorszg tovbbi segtsget is tud nyjtani rdemes teht megkeresni bennnket ezzel kapcsolatban.
xiii
Elsz
Ksznetnyilvnts
Ezton szeretnk ksznetet mondani mindazoknak, akik lehetv tettk, hogy ez a knyv s a kapcsold tananyag j minsgben elkszljn, s minl tbb mindenkihez eljuthasson. Az albbi lista jl tkrzi, hogy a j munkhoz a sok idn s az alapossgon kvl hatkony csapatmunkra is szksg van. Termszetesen, mint ahogy minden szoftver garantltan hibs, ez a lista is bizonyosan hinyos. Ksznjk a segtsget: Gl Tamsnak (Microsoft, MVP) a tananyag koncepcijrt, elksztsrt, a szmtalan eladsrt, a screencastokrt, a knyv lektorlsrt s a Windows Vista fejezetek vglegestsrt. Sem a knyvben, sem a tananyagban nincs olyan pont, amin ne lenne felfedezhet a hatsod s szakmai maximalizmusod. Szab Leventnek (MVP) s Szernyi Lszlnak a knyv megrsrt s a rengeteg szakmai segtsgrt. Pazr Andrsnak (MVP) a Windows Vista screencastok elksztsben nyjtott segtsgrt. Az Informatika Tisztn esemnyek eladinak: Baki Gbornak, Farkas Blintnak (Microsoft), Fti Marcellnek (MVP), Horvth Zoltnnak, Nmeth Zsoltnak, Olh Istvnnak, Orszg Tamsnak, Rczi Gbornak (MVP), Szallabek Zoltnnak, Szentgyrgyi Tibornak, Somogyi Csabnak (Microsoft) s Sos Tibornak. A remek eladsok mellett rengeteg hasznos visszajelzst kaptunk tletek a tananyag elksztshez s tkletestshez. Az IQSOFT-John Bryce, a NetAcademia s a SZMALK hivatalos Microsoft oktatkzpontoknak, amirt rszt vettek a tananyag s a kapcsold tanfolyamok megvalstsban. A SZAK Kiadnak, azon bell is elssorban Kis dmnak, amirt ez a knyv kitn minsgben megjelenhetett, s ott lehet minden knyvesboltban. Valamint minden kzremkd kollgnak a Microsoft Magyarorszgnl, kln kiemelve: Keszei Balzsnak az Informatika Tisztn programsorozat koncepcijnak kidolgozsval s megvalstsval kapcsolatos hatalmas kzs munkrt.
xiv
Ksznetnyilvnts
Deme Csabnak, Takcs Pternek s Vityi Pternek a tmogatsrt. Schlgl Tmenak s Biber Attilnak amirt lttatok fantzit az tleteinkben, s segtettetek megvalstani ket. Szcei Olivrnek s a webes teamnek az Informatika Tisztn weboldalnak elksztsrt. Safranka Mtysnak a Windows Vistval kapcsolatos szakmai segtsgrt. Budai Pter (i-pbudai@microsoft.com) Programmenedzser IT szakmai programok Microsoft Magyarorszg Budapest, 2007. december 2.
xv
I. RSZ
Az gyfl
Knyvnk els az gyfloldallal foglalkoz rsze hrom jl elklnthet fejezetbl ll.
Alapismeretek
3. oldal
Az els fejezet az j opercis rendszer bevezetsi, teleptsi tudnivalirl, s az ltalnos rendszerttekintsrl szl. A fejezet rszeknt rszletesen beszmolunk a Windows Vista rklt illetve teljesen j hlzati kpessgeirl.
Diagnosztika s felgyelet
55. oldal
A msodik fejezet kzponti tmja a rendszergazdk egyik legfontosabb mkdsi terlete, a rendszerfelgyelet. Ennek megfelelen ebben a rszben szmos, az zemeltetshez nlklzhetetlen, integrlt felgyeleti eszkz kpessgeit ismertetjk, a fejezet zrsaknt pedig a Helyi hzirendrl nyjtunk egy alapos ttekintst.
Az gyfelek biztonsga
97. oldal
Az els rsz legvaskosabb fejezete az informatikai biztonsggal foglalkozik. Rszletesen s mlyrehatan ismertetjk a Windows gyfl opercis rendszerekben alkalmazott biztonsgi technolgikat s megoldsokat az alapoktl kezdve. Termszetesen a fejezet dnt hnyadban a Vista jelents mennyisg j biztonsgi szolgltatsairl, illetve komponenseirl lesz sz.
ELS FEJEZET
Alapismeretek
A fejezet tartalma:
gyfloldal bevezets ........................................................................................ 3 A Windows Vista teleptse .................................................................................. 5 A rendszerismeret alapjai................................................................................... 22 Hlzat a Windows Vistban ............................................................................. 36
gyfloldal bevezets
A Windows Vista a Microsoft gyfloldali opercisrendszer csaldjnak hatodik tagja. Technikailag tekinthetjk teht csak egy kvetkez rendes csaldtagnak a sorozatban. Nmi httrinformci s gyakorlati tapasztalat birtokban azonban kiderl, hogy valjban jelents a klnbsg az e sorozatba tartoz korbbi opercis rendszerek s a Vista kztt. Kztudoms pldul az a tny, hogy a Windows Vista nemcsak a legfrissebb, hanem a leghosszabb ideig fejlesztett opercis rendszer is a Microsoft jelenlegi palettjn. A Windows XP 2001. oktberi debtlsa s a Vista 2006. novemberi, (illetve 2007. janur 31., a brki ltal megvsrolhat pldnyokat tekintve) megjelense kztt tbb mint t v telt el, ami az gyfl opercis rendszereknl hagyomnyosan nagyjbl kt ciklust jelent vagy egy nagyon alaposat.
Az 1.1. brn a fels sor a klasszikus Windows-gyfelek, mg az als az NT-alapokra ptett opercis rendszerek listja. A kt sorozat 2001-ben, a Windows XP-ben egyeslt, gy a Vistban sincs mr jelen ez a fajta megklnbztets.
A msik f rv egy kiss behatroltabb, de kimagaslan fontos terletre mutat, mgpedig az informatikai biztonsg s a megbzhatsg terletre. A Microsoft ltal 2002-ban meghirdetett s az sszes azta kszlt termk tervezsnl s kivitelezsnl hasznlt Trustworthy Computing (megbzhat szmtstechnika) elv mentn rkez vltozsok a Windows XP msodik szervizcsomagjban rvnyesltek elszr, de teljes mrtk, az alapoktl kezdd s valban mlyrehat alkalmazsra a Windows Vistban kerlt sor.
Alapismeretek
E kt kiragadott rv mellett a gyakorlati hasznlat kzben tapasztalhatjuk azt is, hogy a Vista szmtalan helyen hoz jtst a korbbi verzikhoz kpest a hlzat, illetve a hardver kezelsben, a rendszer zemeltetsben, karbantartsban s felgyeletben, s sok kisebb s nagyobb, j vagy teljesen megjult eszkzzel igyekszik megknnyteni az zemeltet informatikusok munkjt is. ppen ezrt, ebben a kifejezetten rendszergazdknak sznt knyvben, az gyfloldali opercis rendszert rint fejezetekben elssorban a Windows Vista komponensein s szolgltatsain keresztl mutatjuk be az opercis rendszer s rszegysgeinek mkdst, a segtsgvel kivitelezhet mveleteket s megoldhat feladatokat. Mindezt eleinte kisebb hats forgatknyvek alapjn tesszk meg, a klaszszikus kiszolglkkal, tartomnnyal s kzponti felgyelettel felvrtezett krnyezet helyett, nll mkdst vagy kisebb hlzatos rendszert felttelezve.
Termszetesen ilyen krnyezetben is lehetsgnk van arra, hogy fjlokat vagy nyomtatkat elrhetv tegynk a tbbi gp szmra, illetve ekkor is megoldhat a munkallomsok felgyelete s a megfelel jogosultsgok kiosztsa a felhasznlk szmra s azok karbantartsa. A modern asztali Windows opercis rendszerek a biztonsg, a felgyelet s rendelkezsre lls szempontjbl felkszltek, gy az egyszerbb adminisztratv feladatokat a helyi, beptett eszkzkkel is kifogstalanul elvgezhetjk. Az albbi esetekben teht nincs szksg kiszolglra: kevs szm gppel dolgozunk; nincs hlzati kapcsolat a gpek kztt; nagyon kevs erforrs-megosztst hasznlunk (vagy egyltaln nem hasznlunk); nincs szksg a gpek s felhasznlk kzponti felgyeletre.
A kvetkez fejezetekben a Windows Vista gyfl opercis rendszer nll zemeltetst, konfigurlst s felgyelett trgyaljuk nmikpp sszehasonltva az elz vltozattal, a Windows XP-vel valamint ttekintjk azokat a beptett szolgltatsokat, melyek bizonyos esetekben lnyegben szksgtelenn tehetik a kiszolgl beszerzst. Kezdjk teht az gyfl opercis rendszer bevezetsnek s teleptsnek rszleteivel!
Alapismeretek
A Vista vltozatai
A Microsoft, annak rdekben, hogy a lehet legnagyobb felhasznli kr szmra elrhetv tegye a Vistt, sszesen hat vltozatban ksztette el az j opercis rendszert, melyek sora az alapfunkcionalits, otthoni felhasznlsra alkalmas kiadstl egszen a professzionlis, nagyvllalati krnyezetekhez megfelel rendszerekig terjed. A Windows Vista vltozatai a kvetkezkpp alakulnak: Starter Gyengbb hardverkrnyezetekhez optimalizlt, kis teljestmnyigny vltozat, a fejld (zsiai, dl-amerikai, illetve afrikai) orszgok szmra mshol nem is vsrolhat meg. Home Basic Otthoni hasznlatra, csak az alapvet szolgltatsokat tartalmazza, minimlis hlzati, illetve vllalati tmogatssal. Az j grafikus fellet szolgltatsai kzl csak az alapkpessgeket tartalmazza, ellenben egyarnt elrhet ebben a vltozatban is az Internet Explorer 7, a Windows Media Player 11, a Windows Movie Maker, s a megjult Windows Mail. Home Premium A Vista otthoni, de emelt szint krnyezetben javasolt vltozata, a teljes Aero grafikus felhasznli fellet mellett a tblaszmtgpek komponenseit, illetve tbb multimdis szolgltatst is tartalmaz, melyeknek ksznheten pldul teljes rtk hzi Media Center PC varzsolhat a szmtgpbl. Business Kis- s kzpvllalatok szmra optimalizlt kiads, kpes tartomnyi krnyezetben mkdni, felgyelhet pl. RDP-vel, tartalmazza az EFS titkostst, hasznlja az rnykmsolatok technolgit, s kpes az j, lemezkp-alap mentsre, azonban nem tallhatk meg benne pldul az extra multimdis szolgltatsok. Enterprise A nagyvllalatok sszes ignyt kielgt Enterprise csak mennyisgi licenc keretein bell hozzfrhet, a Business kiadson tl tmogatja a tbbnyelv felhasznli fellet kezelst, illetve a BitLocker technolgit, mellyel a teljes merevlemezt titkosthatjuk pldul zleti adatokat trol notebookok esetn. Ezzel a vltozattal az emltett mennyisgi licensz birtokban 4 tovbbi virtulis gpet (pl. a VPC 2007-tel) futtathatunk, szintn Windows Vistval teleptve. Ultimate Az Ultimate az sszes vltozat minden kpessgt s extrjt tartalmazza, azoknak ajnljk, akik nem kvnnak kompromisszumot ktni az egyes funkcik elrhetsgt illeten. Ezen fell e vltozat tulajdonosai folyamatosan szmthatnak (a Microsoft Update szolgltats hasznlatval) teljes rtk, j alkalmazsok s sszetevk letltsre is.
A Windows XP esetben fknt a hlzati kpessgek illetve azok hinya klnbztette meg a Home s a Professional vltozatokat. A Home nem tmogatta a Tvoli asztal (Remote Desktop) kapcsolat lehetsget, nem lehetett titkostani a fjlrendszert, nem tartalmazta az Internet Information Services (IIS) web- s ftp-kiszolglt, valamint s ez volt gyakorlatilag a legnagyobb htrnya az zemeltets szempontjbl nem lehetett tartomnyba sem lptetni. A Vista Home kiadsai az XP-hez hasonl mdon klnbznek az zleti s az Ultimate vltozatoktl, a Tablet PC, illetve Media Center vonal azonban szszeolvadt a hagyomnyos kiadsokkal, gy ezek a funkcik a Home Premium, illetve Ultimate vltozatokban az alapcsomag rszeknt megtallhatk. A fenti hat varicin kvl az Eurpai Bizottsg trsztellenes rendelkezseinek rtelmben a Microsoft kteles volt kiadni gynevezett N vltozatokat is, melyek az alapcsomagban nem tartalmazzk pl. a Windows Media Player multimdis lejtszalkalmazst. A Windows Vista teleptcsomagja a kpfjl-alap teleptnek ksznheten mindegyik vltozatot tartalmazza, a telepts sorn a megadott termkkulcs hatrozza meg, hogy melyik kiads telepl, illetve kulcs megadsa nlkl brmelyik vltozatot futtathatjuk egy 30 napos prbaidszak alatt. A Starter kivtelvel minden vltozat elrhet 32-, illetve 64-bites kiadsban is.
Tovbbi rszletes, magyar nyelv informcik az sszetevkrl s vltozatok kztti klnbsgekrl: http://www.microsoft.com/hun/windows/products/windowsvista/editions/n/choose.mspx vagy http://tinyurl.com/2gtalb.
Hardverigny
Mg a Windows XP mr egy 300 MHz-es Pentium kategrij processzorral, illetve 64-128 MB memrival is beri (a rendszer hasznlhat sebessggel trtn futtatshoz persze ennl azrt ersebb hardver szksges), a Vista mr alapesetben is tbb erforrst kvetel. A Windows Vista hardverignye: Minimum CPU RAM GPU Video RAM HDD szabad hely 15 GB 15 GB 800 MHz 512 MB SVGA Ajnlott 1 GHz 512 MB DirectX Premium Ready 1 GHz 1 GB Aero kpes 128 MB 15 GB
Alapismeretek
A Windows Vista teleptshez teht legalbb 800 MHz rajel processzorral, 512 MB memrival (ez vals korltozs, a telept lell, ha kevesebb van) s ha az j vizulis effekteket is ltni akarjuk DirectX 9-et hardveresen tmogat, Pixel Shader 2.0-kpes grafikus krtyval kell rendelkeznnk. Ezek termszetesen csak a ktelez minimlis felttelek, a rendszer hasznlhat sebessggel trtn futtatshoz, illetve a szolgltatsok maradktalan kihasznlshoz ennl ersebb hardverre van szksg. A Microsoft a szmtgpek Vista alatt nyjtott teljestmnynek knynyebb meghatrozsnak rdekben klnbz jelzsekkel ltta el a PCkonfigurcikat. Jelenleg ktfajta jells ltezik, azaz a Vista Capable, illetve a Premium Ready: A Vista Capable matricval elltott szmtgpek kpesek a rendszert alapvet funkcionalitssal futtatni, de az egyes extrk kihasznlshoz mr elfordulhat, hogy nem elegend az erforrsuk. A Premium Ready jelzs konfigurcik az sszes Vista-funkcit tmogatjk, vagyis ilyen gp vsrlsakor biztosak lehetnk benne, hogy egyetlen extrrl sem kell lemondanunk, a PC maradktalanul kpes kiszolglni a Vista ignyeit.
A specilis, elssorban vllalati krnyezetben hasznlt automatizlt, illetve tmeges teleptses mdszerekrl az albbi cmen olvashatunk tbbet: http://technet.microsoft.com/enus/desktopdeployment/default.aspx vagy http://tinyurl.com/3255p6
Ha a Windows Vistt korbbi rendszerrl frisstjk, ajnlatos ignybe venni a Windows Vista Upgrade Advisor segdprogramot, mely a hardver- s szoftverkrnyezet elemzsvel ajnlsokat ad a frissts menett s az esetlegesen szksges hardverbvtseket vagy szoftverfrisstseket illeten, valamint egy apr ismertets is helyet kapott benne a Vista klnbz vltozatainak klnbsgeirl.
A Windows Vista Upgrade Advisor a kvetkez webcmrl tlthet le: http://www.microsoft.com/hun/windows/products/windowsvista/buyorupgrade/upgradeadvisor.mspx vagy http:// tinyurl.com/yqxd4d.
A Windows Vista Upgrade Advisor Ebben a screencastban bemutatjuk a Windows Vista Upgrade Advisor mkdst s lehetsgeit. Fjlnv: I-1-1aWindows-Vista-Upgrade-Advisor.avi
A Windows Vista korbbi verzikrl trtn frisstsnek lehetsgeit az albbi tblzaton lthatjuk (az X a lehetsget jelenti). Home Basic XP Professional XP Home XP Media Center XP Tablet PC XP Professional x64 Windows 2000 Professional X X X X Home Premium Business X X Ultimate X X X X
Alapismeretek
az a Vistban alaprtelmezs szerint teleptett, azaz brki szmra elrhet Windows Easy Transfer (Windows ttelept). Tipikusan a PC s PC kztti tvitelt tmogatja, ajnlottan a munkacsoportban lv otthoni szmtgpek kztt. Tovbbi fontos jellemzje, hogy extrm esetben szimpla felhasznlknt (azaz a rendszergazda nlkl) is hasznlhat, az tvitelt a felhasznl ltal kezdemnyezve.
1.2. bra: A Windows Easy Transfer sok esetben megfelel eszkz lehet az adatok tvitelre
Elsdleges clterlete a Windows XP, azonban kpes a Windows 2000 Professional-rl is adatokat thzni, viszont ebben az esetben a klnbz program s rendszer belltsok tvitelrl le kell mondanunk. A pontos hasznlathoz fontos tudni azt is, hogy az alkalmazsok belltsa csak akkor trtnhet meg az j gpen, ha mr felteleptettk ezeket, teht az eszkz az adott komponens teleptst nem, de a belltst kpes elvgezni. A hasznlata nem tlsgosan bonyolult, ennek ellenre jl varilhat lehetsgekkel rendelkezik. A rgi gpen (pl. egy XP-n) is teleptennk kell, de ha elrik egymst hlzatban a gpek, akkor mg a Vistn a varzsl egyik lpsben magt a teleptt is bemsolhatjuk egy megosztsba, teht nem szksges a DVD a hasznlathoz (persze CD-re, pendrive-ra is kirja, ha kell). Az j gpen a varzsl utols lpsben mg egy kulcsot is kapunk, amely a jelsz feladatt tlti be. Ha a Vistn vgeztnk, akkor az XP-n elin10
dtva a teleptt, szintn vlaszthatunk, hogy az tvitel a hlzaton direktben vagy msolssal, vagy hlzat nlkl, a CD/DVD/Pendrive tribl vlasztva, vagy ppen egy specilis USB-kbellel vgezzk el a mveletet. Egy msik kifejezetten haladknak ajnlott eszkz vagy inkbb eszkzcsomag az USMT (azaz a User State Migration Tool), amely a parancssorbl mkdik, szkriptelhet, s tvolrl is elindthat, teht megfelel a nagyobb, cges krnyezet elvrsainak. Kt f, s ezeken kvl mg j pr, a belltst, finomhangolst igazn rugalmasan lehetv tev rszekre oszthat. Az USMT hasznlatnak egyik legnagyobb elnye az automatizmus, amely egyarnt szrevehet a helyi s tartomnyi fikok s profiljaik, a teljes krnyezet (belertve az alkalmazsok belltsait is) begyjtsekor, illetve a kiszrsakor is, mivel mindkt szakaszt elvgezhetjk a csoporthzirend segtsgvel egyszerre akr tetszleges szm gpen is, anlkl, hogy oda kellene fradnunk a gpekhez.
Az USMT 3.0.1-es, jelenleg aktulis vltozata errl a cmrl tlthet le: http://www.microsoft.com/downloads/details.aspx?FamilyID=799AB28C-691B-4B36-B7AD-6C604BE4C595&displaylang=en vagy http://tinyurl.com/23tuh8. Tovbbi rszletes informcit pedig ezen a cmen tallhatunk (magyarul): http://www.microsoft.com/hun/dl.aspx?id=7424c2fa-0970-45a9-9275-363269023edc vagy http://tinyurl.com/youlgt.
A telepts folyamata
A Windows Vista teljesen megjult teleptsi mechanizmussal rkezik, mely szmos elnnyel rendelkezik a korbbiakhoz kpest: Hasznlhat a dinamikus telepts, azaz pl. a DVD-rl indtott frisst telepts esetn a telept kpes az internetrl szervizcsomagokat, meghajtfrisstseket s alkalmazsfrisstseket is letlteni, gy praktikusan biztonsgosabb s stabilabb tenni az j opercis rendszer mkdst mr a telepts kzben is. A teleptcsomag teljesen nyelvfggetlen, ami azt jelenti, hogy a frisstsek s bvtmnyek teleptshez tbb nem kell, hogy egy adott nyelvi vltozattal rendelkezznk, valamint szabadon hozzadhatk, elvehetk a klnbz nyelvi csomagok (akr a telepts utn is pl. a Windows Update segtsgvel). Szmos j tmeges teleptsi eszkz (WinPe, WSIM, BDD 2007, WDS) ll rendelkezsre, melyekkel a kisebb-nagyobb hlzatokban egyarnt egyszeren s gyorsan telepthetnk az egyes kpllomnyokbl a h11
Alapismeretek
lzaton keresztl. A teleptkszlet komponensekre van bontva, gy a rendszergazdk rendkvl rszletesen szabhatjk testre a telepteni kvnt sszetevket. Az eszkzmeghajtk s a termkfrisstsek klnbz Microsoft-eszkzkkel integrlhatk a teleptkszletbe.
Ezekrl a bvtett lehetsgekrl a http://technet.microsoft.com/en-us/desktopdeployment/ default.aspx vagy http://tinyurl.com/3255p6 cmen tallunk tovbbi informcit.
1.3. bra: Ntt a telepts kzben hasznlhat a lemezeket, partcikat rint opcik szma
A Vista teleptse alapjaiban elr az XP-tl. Maga a teleptprogram egy specilis grafikus fellettel rendelkez elteleptsi krnyezetben fut, ahol a telepts lehetsge mellett szmos helyrelltsi s diagnosztikai eszkz pldul integrlt memriateszt is rendelkezsnkre ll. A teleptsi forrsok kre is ntt, mostantl akr USB-eszkzrl is telepthetjk a rendszert. A telepts elkezdshez szksges alapvet eszkzmeghajtk (pl. SATA/RAID-vezrlk) betltse is lehetsgess vlt optikai lemezrl vagy szintn ms USB-eszkzkrl (knyelmesen, a telepts egy adott pontjn a httrtrol tallzsval), azaz az F6 billenty + a ktelez floppylemez pros immr a mlt a Vista esetn.
12
A telepts minimlis emberi beavatkozst ignyel, mindssze a regionlis belltsokat, a clpartcit s a termkkulcsot kell megadnunk, a telept az els krben minden msrl gondoskodik. Az jraindts utn mg szksg lesz nmi interaktivitsra, azaz a szoksos adatok (felhasznlnv, jelsz, gp neve, idzna s pontos id) megadsra s belltsra, de gyakorlatilag ezzel minden teend vgre rtnk, egy rvid (s automatikus) teljestmnyvizsglat utn kszen is vagyunk, nincs szksg teht a hlzati belltsokra, a munkacsoport/tartomny krds eldntsre, illetve pl. az azonnali regisztrlsra s aktivlsra. A teleptkszlet szinte teljesen szmtgp tpus fggetlen (termszetesen a 32- s 64-bites platformokhoz kln telept jr), gy a klnbz hardverabsztrakcis rteggel (HAL Hardware Abstraction Layer) rendelkez konfigurcikra is telepthetnk ugyanabbl a kpfjlbl. A Windows Vista viszont mr csak a fejlett ACPI-szabvny energiagazdlkodst tmogat PC-kre telepthet.
Frissts Windows Vistra, 1-2. rsz Ezekben a screencastokban egy Windows XP > Vindows Vista frissts lpeseit kvetjk le, az XP-rl indulva, majd az jraindts utn egszen a telepts vgig. Fjlnv: I-1-1bFrissites-Windows-Vistara-I.avi; I-1-1bFrissites-Windows-Vistara-II.avi
Halad belltsok a Windows Vista tiszta teleptsekor Ebben a rvid bemutatban a telepts azon halad rszeire trnk ki, amelyek csak egy j telepts esetn rhetek el. Fjlnv: I-1-1cWindows-Vista-halado-telepites.avi
A Vista aktivlsa
Akr tiszta teleptst, akr rgebbi rendszerrl trtn frisstst vgznk, a teleptprogram bekri az adott Vista pldnyhoz tartoz product key-t (termkazonost kulcsot), telepts utn pedig aktivlnunk kell az opercis rendszert.
A korbbi verzikkal ellenttben a teleptskor nem ktelez termkkulcsot megadni (ha nem adunk meg kulcsot, akkor brmelyik Vista kiads teleptst krhetjk), az rvnyes kulcs bevitelre (s a termk aktivlsra) harminc nap haladkot kaphatunk.
Az aktivlsi folyamat sorn a termkazonost kulcs s egy kdolt szm alapjn ltrejn az gynevezett teleptsi azonost, amely egyedi mdon azonostja a szmtgpet alkot hardverelemeket. A szmtgp aktivlsakor interneten vagy telefonon meg kell adnunk a Microsoftnak a teleptsi azono-
13
Alapismeretek
stt, ahol ezt ellenrizve megerstik, hogy a telepts jogszer volt. Ha valaki az aktivls befejezse utn megprblja az opercis rendszert ugyanazzal a termkkulccsal egy msik szmtgpre telepteni, a Microsoft adatbzisban trolt azonost jelzi, hogy ez a termkazonost kulcs mr hozz van rendelve egy adott hardvercsoporthoz (szmtgphez), s az aktivls sikertelen lesz. A teleptsi azonost csak a termk aktivlsa cljbl szksges. Ha a szmtgpnek van internetkapcsolata, az aktivlst mindenkppen ennek felhasznlsval clszer elvgezni. A varzsl lehetv teszi a telefonos aktivlst is, de ebben az esetben az 50 szmjegybl ll teleptsi azonostt a telefon gombjainak segtsgvel kell megadnunk, s a vlaszul kapott 42 jegy aktivl kd begpelse is fraszt lehet. Ms a helyzet azonban, ha olyan szmtgprl van sz, amelyet a Vista elteleptett vltozatval egytt OEM (Original Equipment Manufacturer) gyrttl vsroltunk. Tovbb bonyoltja a helyzetet, hogy a legnagyobb OEM gyrtkra a tbbiektl klnbz szablyok vonatkoznak: A legnagyobb multinacionlis szmtgpgyrtkat a Microsoft felhatalmazta arra, hogy a System Locked Preinstallation- (SLP a m. gyri eltelepts) technolgia segtsgvel teleptsk, s aktivlt llapotban szlltsk az opercis rendszert. A merevlemezre elteleptett (vagy a helyrellt DVD-k segtsgvel felmsolt) Vista a BIOS-t tartalmaz memriamodulban trolt egyedi informci alapjn ellenrzi a szmtgp tpust, gy nincs szksg kln aktivlsra. Ha ilyen szmtgpet vsrolunk, a gp dobozra r van ugyan ragasztva az eredetisget igazol matrica a Vista termkkulcsval, de az opercis rendszer nem ezzel a kulccsal van teleptve s aktivlva, mivel a gyrt egyetlen kulcs segtsgvel teleptheti s aktivlhatja a gpekhez szlltott szszes Vista pldnyt. Ha a gphez tartoz helyrellt DVD segtsgvel teleptjk jra a gpet, akkor nincs szksg aktivlsra (st mg termkkulcsot sem kell megadnunk!), egszen addig, amg a gpben az eredeti alaplap (illetve BIOS) van. A kisebb szmtgpgyrtk szintn adhatnak elteleptett opercis rendszert gpeikhez, de ez egy msik OEM vltozat, gy ebben az esetben szksg van az aktivlsra. A gyrtkra vonatkoz szablyok szerint a felhasznlknak a gp els bekapcsolsakor meg kell adniuk a gpre ragasztott matricn szerepl termkkulcsot s el kell fogadniuk a licencszerzdst, majd a szoksos harminc napon bell aktivlniuk kell a Vista pldnyt. jrateleptskor termszetesen jra be kell gpelni a termkkulcsot s el kell vgezni az aktivlst is.
14
Az XP komponenseit ismerk szmra lesz j nhny meglepets, nzzk most t teht a feltelepthet / eltvolthat sszetevket. ActiveX Installer Service (ActiveX-telept szolgltats) Ezzel a komponenssel lehetsget adunk a standard felhasznlknak arra, hogy ActiveX vezrlket teleptsenek. A legtbb esetben erre a nyilvnval biztonsgi kockzat miatt nincs szksg, vllalati krnyezetben viszont elfordulhat, azonban ekkor a Csoporthzirend segtsgvel behatrolhatjuk a hozzadand ActiveX vezrlk forrst. Games (Jtkok) Kilenc klnbz jtkot tallunk ebben a kategriban, s alapesetben mindegyik teleptve van.
15
Alapismeretek
Indexing Service (Indexel szolgltats) A visszafel kompatibilits miatt van lehetsgnk a rgi fjlindexel szolgltats teleptsre is, de ennek hinyossgai miatt valban csak indokolt esetben tegyk meg.
Internet Information Services Az gyflbe ptett web- s alkalmazskiszolgl j, 7.0-s vltozatt is hasznlhatjuk. Alapesetben sem a klnbz (ugyanis a 6.0-s IIS-hez tartozak is rendelkezsre llnak) felgyeleti eszkzk, sem a web-, vagy az FTP-szerver nincs teleptve. Fontos tudni, hogy az gyflgpen fut IIS elssorban a tesztelk, programozk szmra fontos s praktikus, ms esetekben az IIS szolgltatsai clszeren a kiszolglkon hasznljuk. Ha viszont meg-
16
vizsgljuk az ebben a csoportban hozzadhat elemeket, ltni fogjuk az IIS7 egyik legfontosabb tulajdonsgt, az egszen elkpeszt szint modularitst, amely a kvetkez kpen is jl lthat. Microsoft .NET Framework 3.0 A Microsoft .NET Framework 3.0 hasznlatval fejlesztett alkalmazsok apropjn lehet szksgnk r. A Vistnak rsze a 2.0-s verzi is, amennyiben viszont ennl korbbi vltozatra van szksg, akkor ezeket kln teleptennk kell. Az egyik alkomponens egybknt mr rsze alaprtelmezs szerint is a rendszernek, ez az XPS Viewer, azaz az j, a kpernyn s a nyomtatsban is ugyanazt a klcsnt nyjt dokumentum formtum olvasprogramja. Microsoft Message Queue (MSMQ) Server [Microsoft zenetvrlista- (MSMQ-) kiszolgl] A gpnkbl MSMQ-kiszolglt faraghatunk e komponens teleptsvel, amely az alkalmazsok kztti garantlt zenetkldst valstja meg, azaz a fogad alkalmazs inaktv llapota esetn eltrolja a kldemnyt, s kzbesti annak elindulsakor. Csak specilis esetekben szksges. Print Services (Nyomtatszolgltatsok) Specilis (http-, Vax s Unix) nyomtatkhoz, nyomtatsi sorokhoz trtn csatlakozskor szksges. A hagyomnyos nyomtatkezelshez s megosztshoz nem szksges. Remote Differential Compression (Tvoli klnbzeti tmrts) Gpek kztti fjltvitelkor a svszlessg optimalizlsa s ezzel az tvitel sebessgnek nvelse miatt rdemes hasznlni ezt az j, a Windows Server 2003 R2-ben bemutatott specilis tmrtsi algoritmust. Mkdsnek lnyege az, hogy egy a tloldalon mr ltez fjl mdostsa s jbli tvitele esetn csak az adott fjlban trtnt vltozsok replikldnak, ami akr drasztikus mret tviteli sebessg nvekedssel is jrhat. Removable Storage Management (Cserlhet trol kezelse) Az eltvolthat, mentshez kapcsold cserlhet mdik (pl. szalagos egysg) s a hozzjuk tartoz katalgusok kezelje. Ha nincs ilyen eszkznk, akkor nem szksges. RIP Listener (RIP-figyel) Ez a komponens a RIPv1 (Routing Information Protocol 1) tvonalvlasztsi protokollt hasznl routerektl rkez tvonal frisstseket figyeli. Services for NFS (NFS szolgltatsok) A Network File System, azaz a UNIX/Linux opercis rendszerekben hasznlt fjlrendszer hlzati elrse, illetve a sajt megosztsaink publiklsa ezen opercis rendszert hasznl gpek fell, illetve fel.
17
Alapismeretek
Simple TCPIP services (i.e. echo, daytime etc.) (Egyszer TCP/IPszolgltatsok) A korbbi opercis rendszerekbl ismers komponens, nhny alap TCP/IP- szolgltatst (echo, daytime, quote, chargen, discard) hasznlhatunk, ha teleptjk. SNMP feature (SNMP-funkci) Teleptse utn a gpnk tartalmaz majd egy SNMP-gynkt, amely a klnbz hlzati szolgltatsok gyfele lehet, azaz lthatv vlik a hlzatfeldertsre ezt a protokollt hasznl kiszolgl szoftverek, illetve hardver eszkzk szmra. Ennek megfelelen csak indokolt esetben teleptsk. Subsystem for UNIX-based Applications (Alrendszer a UNIX-alap szolgltatsok szmra) UNIX alap alkalmazsok s szkriptek futtatshoz lehet szksges ez az sszetev. Korbban csak kln letltssel volt elrhet. Tablet PC Optional Components (Tblaszmtgp vlaszthat szszetevi) Mivel praktikus okokbl nincs kln opercis rendszer vltozat a tblaszmtgpekre (a Windows XP-nl mg volt), ezrt a kifejezetten az ilyen tpus hardveren hasznlhat funkcik e vlaszthat komponensen keresztl rhetek el. Alapesetben ezek a szolgltatsok teleptve vannak, de szksg esetn egyszeren eltvolthatak. Telnet Client (Telnetgyfl) Szintn biztonsgi okokbl az eddig integrlt, parancssori telnetgyfl immr nem rhet el az alaprtelmezett telepts rszeknt, a hasznlathoz kln krnnk kell a teleptst. Telnet Server (Telnetkiszolgl) Ha valamilyen klnleges okbl a gpnkbl telnetkiszolglt szeretnnk faragni, akkor ezt a szolgltatst szintn kln kell telepteni. A telnetkiszolgl mkdshez a telepts utn a Windows tzfalban a megfelel portot (TCP 21) ki kell nyitnunk. Ltjogosultsgt ma mr nehz elkpzelni, s ennek megfelelen nem is ajnlott ennek a szolgltatsnak a hasznlata, de ha mgis szksges, itt tudjuk engedlyezni. TFTP Client (TFTP-gyfl) A TFTP az FTP-hez hasonl protokoll, de lnyegesen egyszerbb mdon mkdik, pl. a TCP helyett a kevsb ignyes, s kevsb ellenrztt UDP protokollal. A Vista TFTP-gyfl parancssorbl hasznlhat, s ltalban a hlzati eszkzeink konfigurcijnak, illetve a firmware-eknek a mentsre hasznljuk.
18
Windows DFS Replication Service (Windows DFS-replikcis szolgltats) Olyan fjlreplikcis szolgltatsrl van sz, amely tmogatja a szmtgpek kztti gyors s praktikus fjlszinkronizcit. Tbb j, innovatv megolds mellett a korbban emltett Remote Differential Compression komponenst is tartalmazza. Windows Fax and Scan (Windows faxol s kpolvas) Egy elzetesen teleptett modemen keresztl vagy egy hlzati faxszerverhez csatlakozva engedlyezi a faxolst kzvetlenl az opercis rendszerbl. Emellett a lapolvask hasznlatt is egyszerbb teszi, azaz a teleptse utn ltrehoz egy kzponti helyet, ahol lehetv vlik a beolvasott anyagok trolsa, s rtelemszeren egyttmkdik pl. a Photo Gallery alkalmazssal is pldul a kpolvasst tekintve.
19
Alapismeretek
Windows Meeting Space (Windows Trgyal) Ha teleptjk ezt a komponenst, megbeszlsek sszehvsra s lebonyoltsra, ezen bell dokumentumok s pl. az Asztalunk megosztsra s kzs hasznlatra lesz lehetsgnk. A helyes mkdshez szksges a fjlreplikcis komponens, a People Near Me (Asztaltrsasg, huhh :D) alkalmazs, illetve a vonatkoz tzfalszablyok legyrtsa is. Windows Process Activation Service (Windows folyamataktivlsi szolgltats) Ez az elssorban a programozk szmra rdekes komponens felel azoknak a munkafolyamatoknak a teljes letciklusrt, amelyek a .NET 3.0 rszeknt elrhet WCF-et (Windows Communication Foundation) hasznl alkalmazsokat futtatnak.
Vgl, de nem utolssorban meg kell emltennk a Windows Ultimate Extras (Windows Ultimate extrk) sszetevt, amely egy teljesen j szolgltats formjban lehetv teszi (de csak kizrlag az Ultimate vltozat tulajdonosainak), hogy a Microsoft Update segtsgvel teljes rtk alkalmazsokat tltsenek le, tbbfle kategriban, a rendszerszoftverektl kezdve egszen a szrakoztat alkalmazsokig.
Komponensek ttekintse, hozzadsa, elvtele Ebben a screencastban a Visthoz adhat/elvehet komponenseket tekintjk t. Fjlnv: I-1-1dKomponensek.avi
A kompatibilitsban sokat segt a Vista fjl- s registryvirtualizcis megoldsa, amelyrl a 3. fejezetben olvashatunk tovbbi rszleteket.
20
Az egyik az n. Programkompatibilitsi segd (Program Compatibility Assistant, PCA), azaz a Vista automatikus szolgltatsa, amely akkor fut, ha egy rgebbi, kompatibilitsi problmkkal rendelkez programot szlel. Miutn viszont egy rgebbi programot mr futtatott a Vista alatt, a segdeszkz rtestst kld, ha problma merl fel, s felajnlja, hogy a program kvetkez futtatsakor kijavtja azt. Ha a kompatibilitsi problma slyos, a Programkompatibilitsi segd figyelmeztetst kldhet, vagy akr le is llthatja a programot. A Programkompatibilits segd egybknt (pl. vllalati krnyezetben) a csoporthzirend segtsgvel ki/be kapcsolhat. A msik megolds, a Programkompatibilits varzsl (Program Compatibility Wizard), amely manulisan indthat s belltsaiban mr ismers lehet a Windows XP-t hasznlok szmra, viszont nmikpp kiegszlt j opcikkal is. Ez az eszkz szintn hasznlhat az esetleges problms alkalmazsok megkeressre, majd program kompatibilitsi belltsok mdostsra.
21
Alapismeretek
A rendszerismere alapjai
A rendszergazdk s a halad ismeretekkel rendelkez felhasznlk szmra egy j opercis rendszerben sosem a klcsn az igazn a fontos, hanem sokkal inkbb a belbecs. A kulcskrdsek elssorban a kezelsre, a felgyeletre, az esetleges problmk forrsnak megtekintsre s megoldsra vonatkoznak. A Windows Vistban szmtalan szolgltats s technolgia adott az zemeltetk feladatainak knnyebb ttele, illetve praktikus kiszolglsa terletn, amelyek kzl persze nhny mr ismers lesz a Windows XP-bl. De bizton llthatjuk, hogy rengeteg j vagy teljesen jrart eszkz s szolgltats hasznlatt is el kell sajttanunk, ha a feladataink kz fog tartozni a Vista opercis rendszerrel mkd szmtgpek felgyelete. Els lpsben kezdjk a sort a tbbnyire mr ismers alapvet felgyeleti eszkzkkel s ismeretekkel, amelyeket a msodik fejezetben ki fogunk egszteni a halad megoldsokkal is.
A rendszerismeret alapjai
A korbbi Windows verzikkal ellenttben a Vista lehetsget nyjt a product key (termkkulcs) megvltoztatsra is, de ebben az esetben a mdosts utn termszetesen jra kell aktivlnunk a Vista pldnyt.
Az ablak bal oldaln nhny fontos rendszerbellts mdostsra szolgl hivatkozst is megtallhatunk. Itt rhetek el azok a belltlapok is, amelyek a Windows korbbi verziiban a Control Panel (Vezrlpult)/ System (Rendszer) ablakban jelentek meg. Device Manager (Eszkzkezel) segtsgvel mdosthatjuk a klnfle hardvereszkzk belltsait s frissthetjk a hozzjuk tartoz illesztprogramokat. (A Device Managert elrhetjk a devmgmt.msc parancs begpelsvel is.) Remote settings (Tvoli belltsok) itt mdosthatjuk a Tvoli asztal (Remote Desktop) belltsait, vagyis engedlyezhetjk, illetve tilthatjuk a terminlszolgltatsokhoz val kapcsoldst, s itt adhatjuk meg a tvoli segtsgnyjtsra vonatkoz belltsokat is.
23
Alapismeretek
System protection (Rendszervdelem) Innen rhetjk el a visszalltsi pontok (Restore points) automatikus ltrehozsra vonatkoz belltsokat (a visszalltsi pontok kezelsvel kapcsolatos tudnivalk a Ments s visszallts szakaszban rszletesen foglalkozunk). Advanced system settings (Specilis rendszerbelltsok) Itt rhetjk el a Vista rendszerteljestmnnyel kapcsolatos specilis belltsait, amelyek segtsgvel engedlyezhetjk, illetve tilthatjuk bizonyos kpi elemek s specilis effektusok (ttnsek, ttetszsg stb.) hasznlatt. Ugyanitt talljuk meg a felhasznlk profiljaival s a rendszerindtssal kapcsolatos belltsokat, s a virtulis memria belltsi lehetsgeit is.
Alap rendszerfelgyeleti eszkzk (System and Maintenance, System Properties) Ebben az eladsban a legfbb rendszertulajdonsgok rszletes ttekintse trtnik meg. Fjlnv: I-1-2aSystem.avi
A szzalkkal jellt krnyezeti vltozkat a (Sajtgp \ Tulajdonsgok \ Specilis \ Krnyezeti vltozk) panelen talljuk meg, de a set paranccsal is lekrdezhetjk az rtkeiket.
Ezen bell az egyes felhasznlk adatai a felhasznlnv alapjn elnevezett mappkban tallhatk meg (pldul C:\Users\GipszJ). A felhasznli profilon bell szmos mappt tallhatunk, amit az az 1.9. brn is lthat. Ugyanitt tallhatjuk meg az Ntuser.dat nev (rejtett) fjlt is, amely a registrynek a felhasznlra vonatkoz rszt, vagyis a CurrentUser gat trolja. A profilmappban tallhatunk mg szmos rejtett hivatkozst (pldul a NetHood, PrintHood, SendTo stb.), amelyek a rgebbi, a Windows XP-profilmappa szerkezethez ksztett alkalmazsok mkdst biztostjk. A rendszerpartcin egybknt megtallhatjuk a korbban a profilok trolsra hasznlt
24
A rendszerismeret alapjai
Documents and Settings mappt is, de j ha tudjuk, hogy ez csak egy szimbolikus hivatkozs (n. junction point, azaz az NTFS specilis megoldsa a hivatkozsra) a Users mappra, azaz tartalma nincs is.
Sokkal bartsgosabban fest a profilmappa, ha kikapcsoljuk (illetve nem kapcsoljuk be) a rejtett elemek megjelentst. Ebben az esetben a mappban tizenegy almappa jelenik meg, amelyek mindegyike a klnfle tpushoz tartoz felhasznli adatok trolsra szolgl.
25
Alapismeretek
A mappk nmelyikvel mr a Windows XP-ben is tallkozhattunk [Documents (Dokumentumok), Favorites (Kedvencek), Music (Zene), Pictures (Kpek), Videos (Videk)], csak a nevk vltozott kiss, s az elrendezsk vlt logikusabb (a kpek, zenk stb. mr nem a Documents mappn bell vannak). A tbbi mappa teljesen j, a felhasznlk ezekben trolhatjk pldul az internetrl letlttt fjljaikat, nvjegyeiket vagy keresseiket. Az ablak bal oldaln a Links (Kedvenc hivatkozsok) mappa tartalma jelenik meg, ide rdemes felvenni a gyakran hasznlt helyek hivatkozsait, gy azok mindig kznl vannak, vagyis nagyon gyorsan s knnyen elrhetk. A szoksos mappk mellett a felhasznli profil szmos rejtett elemet is tartalmaz: tallhatunk itt nhny registryfjlt az AppData mappt, s a Windows XP-vel val kompatibilits miatt tbb rejtett hivatkozst is.
Kzs profilok
A felhasznlk nll profilmappi mellett kt kzs profilt is tallhatunk a Users mappban: Public (nyilvnos) profil az itt tallhat Desktop (Asztal) s Start Menu mappk tartalma valamennyi felhasznl profiljban megjelenik, gy alakul ki az egyes felhasznlk Asztala s Start menje. A Public tbbi mappjnak [Documents (Dokumentumok), Pictures (Kpek), Music (Zene) stb.] tartalmt valamennyi felhasznl elrheti, vagyis ezek a megosztott dokumentumok s egyb fjlok trolsra hasznlhatk. Default (alaprtelmezett) profil amikor egy adott felhasznl els alkalommal jelentkezik be egy szmtgpre, ltrejn a felhasznlhoz tartoz profilmappa, amelybe a Windows tmsolja a Default profil tartalmt (ha nem hasznlunk kzpontilag trolt (roaming) profilt). A Default profil teht a felhasznli profilok sablonjul szolgl, az itt elvgzett vltoztatsok valamennyi ksbb ltrejv felhasznli profilban rvnyeslni fognak. Jl hasznlhat pldul az a mdszer, hogy egy megfelelen testreszabott felhasznli profilt egyszeren bemsolunk a Default mappba (a felhasznli profilok msolsra a rendszer tulajdonsgpaneljnek Advanced system settings (Specilis rendszerbelltsok) lapjn van lehetsg), ezutn valamennyi j profil ennek megfelelen fog elkszlni.
26
A rendszerismeret alapjai
1.11. bra: A mappk tulajdonsglapjn megnzhetjk s mdosthatjuk a felhasznli mappk valdi helyt
A szemlyes adatok kln ktetre helyezse jelentsen megknnyti s hatkonyabb teszi a klnfle disk image- (lemezkp-) alap mentsi szoftverek (pldul a Vista beptett Complete PC Backup programja,
27
Alapismeretek
lsd ksbb) hasznlatt. Ebben az esetben a rendszerrl ksztett image lnyegesen kisebb lehet, a visszallts pedig egyltaln nem rinti a felhasznlk fjljait. Jval egyszerbben elvgezhet ebben az esetben az opercis rendszer jrateleptse, j verzira trtn frisstse, vagy akr teljes cserje is (msik opercis rendszerre).
A szemlyes mappk thelyezse nagyon egyszer: az thelyezend mappa tulajdonsgpaneljnek Location (Hely) lapjn kell mdostanunk az tvonalat. A Dokumentumok mappt pldul gy helyezhetjk t, hogy a C:\Users\GipszJ\ Documents tvonalban a C helyre egyszeren berjuk a megfelel meghajt betjelt. Ezutn a Vista rkrdez az j mappa ltrehozsra, (ha mg nem ltezett), majd arra is, hogy a fjlokat is t szeretnnk-e helyezni a rgi helyrl az jra. Nehz olyasmit elkpzelni, ami a kt prhuzamos mappa indokul szolglhatna, gy termszetesen mindig helyezzk t a tartalmat is. Ha egyszerre tbb (esetleg valamennyi) adatmappt t szeretnnk helyezni, akkor clszerbb ms mdszert vlasztani. Hozzuk ltre a felhasznli mappkat trol j mappt (pldul D:\Users\GipszJ), majd jelljk ki az thelyezend mappkat s az egr jobb gombjval hzzuk (ne msoljunk, hanem inkbb mozgassunk) t ket az j helyre. A mvelet kzben a Vista mdostani fogja a megfelel hivatkozsokat is. A mappk thelyezse utn clszer mg egy mveletet elvgezni: nem rt, ha mdostjuk a Vista keresmotorjnak indexelsre vonatkoz belltsait, vagyis az j helyet is hozzadjuk az indexelend mappk listjhoz. A lista alaprtelmezs szerint tartalmazza az eredeti profilmappt, de az thelyezskor ez nem vltozik meg automatikusan. (Az indexelsre vonatkoz belltsokat tbbek kztt a Control Panel (Vezrlpult) Performance Information and Tools (Teljestmnyadatok s -eszkzk) programjnak felletrl rhetjk el.)
Kzel sem ennyire egyszer s problmamentes a teljes Users mappa msik ktetre helyezse (ebben az esetben teht mr az j profilok is itt keletkeznnek). Erre a feladatra nem kapunk beptett eszkzt, s mivel a Users mappa hivatkozsai szmtalan helyen szerepelnek a registryben, a kzi thelyezs is meglehetsen remnytelen feladatnak tnik. A hivatalos eljrs csak a telepts kzben mkdik: a felgyelet nlkli unattended telepts vlaszfjljban tetszs szerint bellthat a Users mappa helye. Sajnos azonban mg ebben az esetben is szmolhatunk nhny mellkhatssal (pldul nem minden frissts hajland teleplni ilyen rendszerre), ebben az esetben ltre kell hoznunk a rendszerkteten egy C:\Users nev szimbolikus hivatkozst (az mklink nev parancssori eszkz segtsgvel), ami a Users mappa j helyre mutat.
28
A rendszerismeret alapjai
29
Alapismeretek
System Tools (Rendszereszkzk) itt tallhatk a Feladattemez, az Event Viewer (Esemnynapl), a hlzat fel megosztott erforrsok, a Local User and Groups (Helyi felhasznlk s csoportok), a rendszerstabilitsi s teljestmnymr modul, valamint a hardverek felgyelett ellt Device Manager (Eszkzkezel). A Storage (Trols) rszben a lemezkezel bvtmny kapott helyet, melyen keresztl a rendszerhez csatlakoztatott valamennyi helyi meghajtt konfigurlhatjuk (particionls, formzs, lemezellenrzs, meghajt betjel vltoztats stb). Services and Applications (Szolgltatsok s alkalmazsok) A harmadik szekciban alapesetben (a szolgltatsok nvekedstl fggen bvlhet, tipikusan a szervereken lesz ez gy) a Windows-szolgltatsokat felgyel modul, illetve a WMI Control (Windows komponensszolgltatsok felgyelete) tallhat meg.
30
A rendszerismeret alapjai
Vegyk sorra az Administrative Tools csoportban tallhat eszkzket: Data Sources (ODBC) Ez az alkalmazs a klnbz adatbzisok kzti kapcsolatok belltst teszi lehetv. Event Viewer (Esemnynapl) Az esemnynaplban az opercis rendszer mkdsvel kapcsolatos minden esemnyt felgyelhetnk, elklntve lthatjuk az alkalmazsok s a rendszer ltal kldtt informcikat, figyelmeztetseket s hibazeneteket. A Windows Vistban az egyes rendszerkomponensek kln esemnynaplba jegyzik tevkenysgket, gy mg strukturltabb s ttekinthetbb vlik a napl. Az egyes komponensnaplk igen rszletesen beszmolnak a rendszer mkdsrl, mg a Windows teljestmnyt rossz irnyban befolysol tnyezkrl is kaphatunk jelentseket. A kvetkez fejezetben rszletesen kibontjuk az Esemnynapl jellemzit s lehetsgeit. iSCSI Initiator Ez a modul a hlzaton vagy akr az interneten keresztl elrhet tvoli szmtgpek httrtrolinak (vagy nll httrtrolk) csatlakozst s felgyelett teszi lehetv. Local Security Policy (Helyi biztonsgi hzirend) A helyi szmtgp rszletes biztonsgi belltsait tekinthetjk meg s szerkeszthetjk ezen a konzolon keresztl. A biztonsgi hzirendek segtsgvel a rendszergazda konfigurlhatja az opercis rendszer vdelmi szolgltatsait, valamint jogosultsgokat oszthat ki egyes felhasznlcsoportoknak. A msodik fejezet vgn rszletesen trgyaljuk a Helyi hzirendet.
31
Alapismeretek
Memory Diagnostics Tools (Memriadiagnosztikai eszkz) Mivel a Windows stabil mkdsnek alapfelttele, hogy a memriamodulok kifogstalanul mkdjenek, a Vistban mr beptett memriatesztel alkalmazssal ellenrizhetjk a RAM modulok mkdst. Hromfle teszt vlaszthat, az egyszer gyors vizsglattl kezdve egszen a legbonyolultabb rsi s olvassi mveleteket szimull prbig. A memriateszt elvgzshez a szmtgp jraindtsa szksges, maga a vizsglat karakteres felhasznli felleten, mg a Windows betltdse eltt lezajlik. Az ellenrzs brmikor megszakthat s a rendszer betltdik. Miutn bejelentkeztnk a Windowsba, automatikusan jelentst kapunk a legutbbi teszt eredmnyrl.
A Memory Diagnostics Tool Ebben a mini demban az j memria tesztel alkalmazs lehetsgeit mutatjuk be. Fjlnv: I-1-2eMemoriavizsgalat.avi
Print Management (Nyomtatkezels) A Print Management konzolban az sszes helyileg teleptett nyomtatt, a hozzjuk tartoz eszkzilleszt-programokat, a nyomtatportok llapott, valamint a rendelkezsre ll nyomtatsi sablonokat (pl. paprfajtk) kezelhetjk. Reliability and Performance Monitor (Megbzhatsg- s teljestmnyfigyel) A Windows XP-ben is megtallhat teljestmnydiagnosztikai alkalmazs meglehetsen kibvtett vltozatt talljuk ebben a konzolban. Szinte minden rendszerkomponens teljestmnyt klnkln figyelemmel ksrhetjk, naplzhatjuk, st akr idztett mrst is vgezhetnk. A mrs befejeztvel lehetsgnk van egy elre definilt temezett feladat elindtsra. A konzol msik feladata a rendszer stabilitsnak nyomon kvetse, melyet az eszkz egy grafikonon vizulisan is brzol. A rendszerstabilitsi napl elemzsvel a rendszergazda visszamenleg rteslhet olyan esemnyekrl, melyek egyegy alkalmazs vagy akr a teljes rendszer lellst, hibs mkdst okoztk. A napl segtsgvel nem csak a hibkat, hanem az olyan esemnyeket is figyelemmel ksrhetjk, mint az alkalmazsok, eszkzmeghajtk teleptse/trlse. A kvetkez fejezetben rszletesen sz esik majd errl a komponensrl. Services (Szolgltatsok) Szolgltatsnak nevezzk azokat a rendszerfolyamatokat, melyek a httrben futva az opercis rendszer indtstl a lelltsig olyan alapvet funkcikat ltnak el, mint pldul a hlzati, a biztonsgi, vagy a multimdis alrendszer mkdtetse. Ez a konzol a szolgltatsok felgyelett ltja el, azaz itt llthatjuk be,
32
A rendszerismeret alapjai
hogy az egyes integrlt rendszer-, illetve az utlag akr kls szoftverek ltal teleptett szimpla szolgltatsok hogyan induljanak, milyen szolgltatsfikkal mkdjenek, mi trtnjen velk, ha valamilyen hiba kvetkeztben lellnak, illetve megnzhetjk az adott szolgltats fggsgi viszonyait is. A harmadik fejezetben visszatrnk a rendszerszolgltatsokra, elssorban a biztonsgra fkuszlva. System Configuration (Rendszerkonfigurci) E rendszerbellt alkalmazs segtsgvel a Windows indulsnak krlmnyeit vltoztathatjuk meg. Hibakeress alkalmval lehetsgnk van diagnosztikai indtsi mdot vlasztani, ahol csak a Windows mkdshez legszksgesebb sszetevk tltdnek be, konfigurlhatjuk a rendszerbetlt specilis belltsait, valamint egyetlen helyrl indthatunk olyan tovbbi felgyeleti eszkzket, mint az esemnynapl, a rendszervisszallts, a feladatkezel, vagy a Belltsszerkeszt (Registry Editor). Task Scheduler (Feladattemez) A Vista feladattemezje teljesen megjult, szmtalan j felttel alapjn indthatunk automatikusan klnbz folyamatokat a rendszerben. A feladattemez megnyitsakor egy kzponti nzetben lthatjuk az utbbi 24 rban lefutott s a jelenleg is aktv feladatok sttuszt. Az egyes feladatok temezsi lehetsgei szmos j lehetsggel bvltek, valamint a vgrehajthat feladatok kz a programfuttats mell bekerlt a kpernyn megjelentend zenet, illetve e-mail kldse is. Az idztett feladatokat hlzati krnyezethez s a tpellts aktulis llapothoz is kthetjk. Az j feladattemez szorosan egyttmkdik az esemnynaplval, gy az ltalunk belltott egyes rendszeresemnyekhez szabadon trsthatunk programfuttatst, vagy zenetkldst is. A kvetkez fejezetben rszletesen sz esik majd errl a komponensrl is. Windows Firewall with Advanced Security (Fokozott biztonsg Windows tzfal) A Windows XP-bl ismers egyszer tzfalbelltsok a Vistban is elrhetk, de az j opercis rendszer az alapmveleteken kvl rendkvl rszletes belltsi lehetsgeket is knl egy kln MMC-konzolon keresztl. A Windows Firewall modul megnyitsakor rgtn lthatv vlik az j tzfal egyik legfbb jdonsga, a profilkezels. A szolgltats hlzati krnyezettl fggen hrom profilnak megfelelen tud mkdni: otthoni, cges krnyezet, illetve nyilvnos hlzat. Az egyes profilokhoz kln szablyrendszert hozhatunk ltre, valamint a Vistban mr a kimen forgalom szrst is bellthatjuk, m ez a funkci alaprtelmezsknt nincs bekapcsolva. A tzfal-konfigurcis konzolban teljesen szemlyre szabhatjuk az egyes szablyokat, szinte minden paramtert megvltoztathatunk: megad33
Alapismeretek
hatjuk, hogy a szably melyik profilban ljen, milyen programra vonatkozzon, az alkalmazs milyen protokollokon s portokon keresztl, mely IP-cmrl mely IP-cm fel kommuniklhat. Az j tzfal konzolban kapcsolatbiztonsgi szablyokat is felllthatunk kt gp hlzatban trtn sszekttetshez, melyekhez ignybe vehetjk az integrlt IPSec (hlzati forgalom titkost) szolgltatsait. A harmadik fejezet vgn rszletesen sz esik majd errl a komponensrl is.
Az Active Directory-tartomny a szmtgpeknek (s felhasznli fikoknak) a rendszergazda ltal definilt csoportja, amelynek segtsgvel lehetv vlik valamennyi hlzati s helyi erforrs kzponti felgyelete. (Az Active Directory-tartomnyok ltrehozsval s felgyeletvel az tdik fejezetben rszletesen fogunk foglalkozni.) A tartomnyok a kvetkez legfontosabb tulajdonsgokkal rendelkeznek: A tartomnyhoz tartoz szmtgpek nem egyenrangak, bizonyos szolgltatsokat csak az erre kijellt kiszolglk (a tartomnyvezrlk) lthatnak el, a tbbi szmtgp (kiszolglk s gyflgpek egyarnt) ezek szolgltatsait veszik ignybe a felhasznlk hitelestsvel, a rendszer klnfle belltsainak letltsvel s mg szmos ms feladattal kapcsolatban.
34
A rendszerismeret alapjai
A tartomnyhoz tartoz szmtgpeken (a tartomnyvezrlket kivve) van ugyan helyi felhasznli adatbzis is, de a gpekre a tartomnyban kzpontilag ltrehozott felhasznli fikok hasznlatval is be lehet jelentkezni (helyi fik nlkl), s a helyi felhasznli jogosultsgok kiosztsakor is hasznlhatk a tartomnyi csoportok s felhasznli fikok (clszeren a helyi csoportok tagjai kz val felvtellel). A tartomnyhoz tartoz szmtgpek s felhasznli fikok belltsait a rendszergazda kzpontilag szablyozhatja. A szmtgpek klnbz helyi hlzatokhoz is tartozhatnak.
Hogy a szmtgpet tartomnyba lptethessk, be kell lltanunk a TCP/IPparamtereket (klns tekintettel a DNS-kiszolglra), szksgnk van egy helyi rendszergazda fik jelszavra s a csatlakozs sorn meg kell adnunk egy olyan tartomnyi felhasznl (rendszergazda) nevt s jelszavt is, akinek az Active Directory cmtrban joga van a megfelel szmtgpfik ltrehozshoz.
35
Alapismeretek
1.14. bra: Hlzati s megosztsi kzpontban szinte mindent megtallunk, aminek kze van a hlzathoz
36
A kezdlapon rgtn lthatjuk a jelenlegi kapcsolat sematikus brzolst, leolvashatjuk a hlzaton szerepl eszkzk nevt, illetve a Windows itt grafikus formban is jelzi, ha valamelyik kapcsolatban hiba lpett fel. Az adott hlzat teljes trkpt a View Full Map (Teljes trkp) hivatkozsra kattintva tekinthetjk meg (lsd ksbb). A hlzatot jelkpez bra alatt tallhatk az aktulis hlzati kapcsolat adatai, a hlzat neve, az elrs tpusa (helyi vagy internetes kapcsolat), valamint a kapcsoldshoz hasznlt hlzati interfsz neve. Az egyes kapcsolatok esetben a jobb oldali Customize (Testreszabs) hivatkozsra kattintva szabhatjuk testre a kapcsolatok nevt, ikonjt, valamint itt rendelhetnk hozzjuk hlzati profilt is. A View status (llapot) hivatkozs alatt tallhatjuk a kapcsolat klasszikus konfigurcis lapjt s innen olvashatjuk le gpnk aktulis IP-cmt, az tjr s DNS-kiszolglk cmt. A hlzati kapcsolatok alatt egy tteles felsorols formjban lthatjuk a helyi szmtgp hlzati szolgltatsaira vonatkoz legfontosabb belltsait (Sharing and Discovery Megoszts s felderts): Network Discovery (Hlzat feldertse) Lehetv teszi, hogy a Vista automatikusan rzkelje a hlzatra kttt szmtgpek jelenltt, s az azokon megosztott erforrsokat, ezzel felgyorstva az azokhoz trtn kapcsoldst. Egyttal a mi gpnk lthatsgt is engedlyezhetjk vagy tilthatjuk itt. File sharing (Fjlmegoszts) A fjl- s nyomtatmegosztst kapcsolja be, illetve ki. A Windows Intzben csak akkor tudunk fjlokat vagy mappkat megosztani, ha ez a szolgltats engedlyezve van. A mappkat, illetve a nyomtatkat csak olyan szemlyek rhetik el a hlzatrl, akiknek ltezik rvnyes felhasznlnevk s jelszavuk a helyi gpen. Public folder sharing (A Nyilvnos mappa megosztsa) A Public (All Users) mappa megosztsa a hlzat fel, tbbfle jogosultsggal. Ebbe a mappba ltalban olyan dokumentumokat szoks elhelyezni, melyeket a szmtgp sszes felhasznlja s a hlzaton kapcsoldk szmra is elrhetv kvnunk tenni. Printer sharing (Nyomtat megosztsa) A helyi nyomtatk hlzaton keresztl trtn megosztsval a tvoli szmtgpekrl is lehetv vlik a nyomtats a sajt nyomtatnkra. A teleptett nyomtatk megosztst s a felhasznlk jogosultsgait nyomtatnknt be kell lltani, ez a kapcsol csak a nyomtatsi szolgltats globlis megosztst szablyozza.
37
Alapismeretek
Password protected sharing (Megoszts jelszavas vdelemmel) Ha jelszavas elrhetsget kvnunk biztostani a hlzat tbbi felhasznljnak, engedlyezzk ezt a lehetsget. Ha a Password protected sharing szolgltats ki van kapcsolva, a publikus mappk jelsz megadsa nlkl is elrhetk. Ez a lehetsg egy tartomnyi fikkal rendelkez gp esetn nem lthat. Media Sharing (Mdiafjlok megosztsa) A mdiatartalom megosztsa teljesen j funkci a Vistban. A rendszer kpes a Windows Media Player lejtszsi listjt a hlzat tbbi szmtgpe illetve olyan specilisan mdialejtszsra (is) alkalmas eszkzk fel, mint az Xbox 360 jtkkonzol, vagy klnbz Media Center extenderek (bvtmnyek) megosztani, gy a zenei s videfjlokat nem kell minden szmtgpen trolni. A lejtszsi lista teljes egszben, vagy rszlegesen is megoszthat. A mdiamegoszts rszletes konfigurcijt a Windows Media Player belltsai kztt tallhatjuk.
A megosztott erforrsokat s feldertsi belltsokat megjelent tblzat alatt kt tovbbi hivatkozst tallhatunk, melyek az ltalunk megosztott mappkat, illetve a szmtgpnk sszes megosztott mappjt mutatja meg. A Network and Sharing Centerben a hlzatokhoz trtn kapcsoldst s a mr meglv hlzati kapcsolatok, illetve hlzati krtyk konfigurcijt is elvgezhetjk. Ha a bal oldali kkeszld svban a Set up a connection or network (Kapcsolat vagy hlzat belltsa) parancsra kattintunk, a hlzati kapcsolds varzslban talljuk magunkat, ahol a kapcsolat tpustl fggen tbb irnyba is elindulhatunk. Ltrehozhatunk egyszer internetes kapcsolatot, melyhez hasznlhatunk telefonos, szlessv kbeles, illetve vezetk nlkli elrst is. Bellthatunk vezetk nlkli hozzfrsi pontot vagy egy tvlasztt. Kapcsoldhatunk publikus vagy vdett vezetk nlkli hlzatokhoz. Ideiglenes, gynevezett ad hoc vezetknlkli hlzatot hozhatunk ltre msik szmtgppel, telefonnal, vagy egyb pl. WiFi-kpes eszkzzel. Bellthatunk virtulis magnhlzatot (VPN), mellyel munkahelynk helyi hlzathoz csatlakozhatunk biztonsgos krlmnyek kztt az interneten keresztl.
38
Az elkszlt hlzati kapcsolatokat a Connect to a network (Csatlakozs a hlzathoz) hivatkozsra kattintva lthatjuk majd, ahonnan szintn egy apr, de hasznos jdonsg miatt csoportostva az sszes ltez kapcsolat elrhet. A kapcsolatok a Windows Vista jratervezett, informatv varzslinak ksznheten knnyen bellthatk, de ha mgis elakadunk, rgtn megoldsi javaslatokat is kapunk a rendszertl. A kapcsolds esetleges sikertelensge esetn az automatikus hlzat-diagnosztika is elrhet, mely a leggyakoribb konfigurcis hibkat nllan kpes kijavtani. A Manage network connections (Hlzati kapcsolatok kezelse), illetve Manage wireless networks (Vezetk nlkli kapcsolatok kezelse) hivatkozsok mgtt a Windows hlzati interfszeit, illetve a belltott vezetk nlkli hlzatok tulajdonsgait konfigurlhatjuk. A Diagnose and repair (Diagnosztizls s javts) paranccsal pedig a korbban emltett automata hlzati diagnosztika eszkzt indthatjuk el.
A hlzati s megosztsi kzpont (Network and Sharing Center) Ebben a screencastban a Network and Sharing Center sszes lehetsges belltst s szolgltatst megtekinthetjk. Fjlnv: I-1-3aNetwork-and-Sharing-Center.avi
39
Alapismeretek
A hlzati profilok
A Windows Vista a megnvelt biztonsg, illetve a knnyebb felgyelet rdekben gynevezett hlzati profilokat klnbztet meg, attl fggen, hogy a szmtgp milyen krnyezetben mkdik. Hrom gyrilag definilt hlzati profil ltezik: tartomnyi, privt, illetve publikus. A hlzati profilok tulajdonkppen olyan belltscsomagok, melyek tartalmazzk a kapcsolathoz hasznlt interfsz tpust, az alaprtelmezett tjr MAC-cmt, s egyb kapcsolatspecifikus adatokat, valamint tartomnyi hlzat esetn a hitelest kiszolgl adatait. A profil a hlzathoz trtn els kapcsoldskor jn ltre.
1.16. bra: Bizonyos esetekben mi magunk is vlaszthatunk vagy vltoztathatunk hlzati profilt (tartomnyi tagsg esetn nem)
Az egyes hlzattpusok jelentsei az albbiak: Domain (tartomnyi profil) Ha a szmtgp tagja egy Windows-tartomnynak, a hlzati kapcsolat profilja automatikusan domain lesz, fggetlenl attl, hogy a gp ppen csatlakoztatva van-e, vagy sem.
40
Private (Privt) A szemlyes profil olyan tipikusan otthoni munkacsoportos hlzatot jell, melyben lazbb biztonsgi szablyok rvnyesek. Public (Nyilvnos) Minden olyan hlzat, mely nem tartomnyi s nem is szemlyes. Publikus hlzati profilt clszer hasznlni a repltereken, internetkvzkban s egyb nyilvnos helyeken elrhet tbbnyire vezetk nlkli hlzatokhoz kapcsoldskor, ilyenkor ugyanis a legszigorbb biztonsgi szint lp letbe. Egy j kapcsolat is mindig ezzel a legszigorbb profillal indul el, s csak az automatikusan szlelt eltr krnyezet felismersekor mdosul.
Az aktulis profil ahogy a klnbz hlzatok kztt mozgunk termszetesen vltozhat. Ezeket a vltozsokat a Vistban a Network Location Awareness (NLA hlzati szint hitelests) szolgltats detektlja, majd ennek megfelelen gondoskodik a profilvltsrl s az j biztonsgi szablyok alkalmazsrl.
41
Alapismeretek
A hlzati profil vltsa rendkvl rvid id, elvileg mintegy 0,2 msodperc alatt vgbemegy, gy a kt profil kzt lebeg gpet r tmadsok gyakorlatilag kikszblhetk.
Amikor hlzatiprofil-vlts trtnik a Windows automatikusan alkalmaz minden olyan belltst a hlzati interfszre s a rendszer egszre (megosztsok, feldertsi belltsok, tzfalkonfigurci stb.), melyek az adott krnyezetnek megfelel helyes mkdshez szksgesek. A Network Location Awareness szolgltats publikus programozsi interfszt (API) is nyjt, gy a hlzati profilokkal a kls fejlesztk ltal rt programok is egytt tudnak mkdni. Az NLA-t tovbb vezrelhetjk a csoporthzirenden keresztl is, gy a rendszergazda definilhatja pldul a tzfal mkdst az egyes hlzati profilokban. Az albbi tblzat a Windows-tzfal, a hlzati megosztsok s a hlzatfelderts alaprtelmezett belltsait mutatja az egyes hlzati profilok esetn: Tartomny Windows tzfal Hlzatfelderts Fjl- s nyomtatmegoszts Bekapcsolva Csoporthzirend alapjn Csoporthzirend alapjn Privt Bekapcsolva Bekapcsolva Letiltva Nyilvnos Bekapcsolva Letiltva Letiltva
A TCP/IP-protokoll
A TCP/IP (Transmission Control Protocol/Internet Protocol) protokollkszletre pl szinte minden hlzattal kapcsolatos mvelet, nem csak a Windows, de egyb opercis rendszerek s hlzati eszkzk esetn is. Mivel az internet szabvnyos protokolljrl van sz, napjainkban a TCP/IP a legelterjedtebb hlzati protokoll, ennek megfelelen nem is javallott mst hasznlni, hacsak erre nincs kifejezetten szksg valamilyen specilis alkalmazs vagy szolgltats zemeltetse miatt. A TCP/IP hlzati alrendszer szerves rsze a Windows opercis rendszernek, teleptskor automatikusan felkerl s nem is tvolthat el, mindssze a mkdse tilthat le. A Windows TCP/IP-konfigurcijnak megvltoztatsakor nem kell jraindtani a rendszert, mindssze a hlzati kapcsolat szakad meg egy pillanatra, majd az sszekttets automatikusan jra ltrejn, immr az j belltsokkal.
42
Egy egyszer esetben, hardveres szempontbl gyakorlatilag elg csak kt gpet sszekapcsolnunk, s mris hlzatrl beszlhetnk, de a fizikai (vagy vezetk nlkli) sszekttetsen kvl mi szksges mg egy mkd Windows-hlzat bezemelshez? IP-cm Az IP (Internet Protocol) cm egyedi, 4 bjt hosszsg, ngyszer hrom szmjegyre tagolt azonost, mellyel minden aktv hlzati interfszt s TCP/IP-protokollt hasznl szmtgp rendelkezik. Az opercis rendszer az IP-cmek alapjn azonostja be az egyes szmtgpeket, gy a tvoli erforrsok elrse mindig IP-cm alapjn trtnik a httrben mg akkor is, ha a felsznen gpnv szerint hivatkozunk azokra. Az IP-cm privt vagy publikus tpus lehet, a kett kztti klnbsg jelents, mivel a privt IP-cmekkel belltott gpek gyakorlatilag zr lehetsggel rendelkeznek az internetre kapcsolva, mivel semmilyen tvlaszt nem engedi ki a privt IP-tartomnybl rkez hlzati csomagokat. Ez adja egyben a biztonsgossgukat is, ezrt egy akrmilyen bels hlzatban csak a privt cmtartomnyokbl vlasztunk vagy kapunk IP-cmet, s a tzfalunk s/vagy az tvlasztnk rendelkezik olyan, msodik hlzati interfsszel, amely elrheti az internetet s amelynek ennek megfelelen publikus IP-cme van, s amely egyttal az n. hlzati cmfordtst (Network Address Translation, NAT) is elvgzi majd. Az IP-cmeket a hlzatban megadhatjuk kzzel (statikus IP) vagy az erre a clra szolgl automatikus cmkiosztst (Dynamic Host Configuration Protocol, DHCP) vgz kiszolgltl kapjuk. Ha egyik lehetsggel sem lnk, a Windows automatikusan kioszt magnak egy privt IP-cmet, amely mindig a 169.254.0.1 169.254.255.254 tartomnybl rkezik. Az ilyen cmzsi mdszert APIPA-nk (Automatic Private IP Adressing) nevezzk. Alhlzati maszk Az alhlzati maszk szintn 4 bjt hosszsg s szintn ngyszer hrom szmbl ll, feladata pedig a gpre vonatkoz cmtartomny kijellse. Cmtartomnyok hasznlatra tbb alhlzati szegmens kiptsekor lehet szksg, illetve amikor a hlzatba kttt gpeket logikailag el kvnjuk szeparlni egymstl. A maszknak alhlzatonknt egysgesnek kell lennie, s a Windows az IP-cmbl automatikusan generlja szmunkra, gy ltalban nem szksges kzzel megadni, de lehetsges korriglni.
43
Alapismeretek
Gyakorlatilag e kt adat segtsgvel egyszer vagy ideiglenes krnyezetben mr mkdhet is a hlzatunk, de kicsit alaposabban (a TCP/IPv4 panelen tovbbhaladva) a kvetkez paramterek s lehetsgek belltsa is megtrtnhet. Alaprtelmezett tvlaszt Az itt megjellt IP cmmel rendelkez eszkz lesz az, amely a gpnk ms a helyi hlzattl eltr hlzatba trtn kapcsoldsban segt. Ez a ms hlzat lehet pldul az Internet (ilyenkor tipikusan a tzfalunk bels IP cme kerl ide), de lehet egy msik (akr bels) hlzat fel vezet tvlaszt cme is. DNS Az imnt emltettk, hogy a tvoli erforrsokra nv szerint is hivatkozhatunk, vagyis a szmtgp n. hostneve alapjn. Az opercis rendszer hostneve brmikor megvltoztathat, ltalban csak a knnyebb beazonosts a clja. A hostnv s az IP-cm sszeprostst a DNS, vagyis a Domain Name System szolgltats vgzi, mely egy-egy gynevezett DNS-znban gyjti a nv-cm prokat. Kiszolglt is tartalmaz krnyezetben ltalban (tartomny esetben pedig ktelezen) van helyi DNS-kiszolgl is, teht ebbe a mezbe e helyi DNS-kiszolgl(k) IP-cmei kerlnek be. Ha kiszolgl nincs, viszont van internetkapcsolat, akkor kt eset lehetsges, vagy a tzfalunk vgzi a DNS szolgltatst az internet fel, vagy a szolgltatnk DNS-kiszolglinak publikus IP-cmeit kell hasznlnunk.
44
Ez volt a TCP/IP-panel General (ltalnos) rsze. Az Advanced (Specilis) gombra kattintva elszr az alapbellts rszleteit lthatjuk jfent, azzal a klnbsggel, hogy itt a tbbszrs belltsokra (tbb IP-cm, tbb tjr) is lehetsgnk lesz. A kvetkez fl a rszletes DNS-belltsokra mutat, ahol a tovbbi DNSkiszolglk (ha esetleg kettnl tbb van), a DNS-uttagok hozzfzsnek sorrendje, illetve az elsdleges DNS-zna neve (amely a tartomnyi belptets s hasznlat sorn lehet hasznos) llthat be, valamint a szintn helyi DNSkiszolgl hasznlata esetn lnyeges automatikus DNS-regisztrci lehetsge rhet el. Az utols fl a rgi tpus nvfeloldsi mdszer belltsaira vonatkozik. A WINS (Windows Internet Name Service neve ellenre semmi kze az internethez) feladata hasonlatos a DNS-hez, s nagyjbl csak a rgebbi opercis rendszerekkel s alkalmazsokkal fenntartand kompatibilits miatt hasznljuk a mai napig. A WINS-kiszolgl a szmtgpek szintn kihalflben lv gynevezett NetBIOS (Network Basic Input/Output System) neveinek grdlkeny feloldsrt felel. Ezen a panelen a NetBIOS nvfeloldsban szintn komoly szerepet jtszhat specilis fjl, az lmhosts tartalmt importlhatjuk, illetve a NetBIOS TCP/IP feletti mkdst engedlyezhetjk. Az elsre a Vistban ritkn (tovbbi rszletek az LLMNR protokollnl ebben a fejezetben), a msodikra a helyi hlzatokon szinte mindig szksg van.
A NetBIOS nv az a gpet jell egyedi s rvid nv, amelyet pl. a teleptskor is megadunk gpnv gyannt, Fontos tudni, hogy a hostnv s a NetBIOS-nv nem ugyanaz. A hostnv, vagy msknt DNS-nv ltalban a szmtgp NetBIOS-nevbl s az elsdleges tartomnyi uttagbl ll, vagyis pldul: szamitogepem.tartomany.hu. A DNS- vagy hostnvre gyakran FQDN (Fully Qualified Domain Name) teljes domainnvknt is hivatkozunk.
A Windows TCP/IP-konfigurlst rtelemszeren elvgezhetjk a grafikus felletrl, de a paramtereket lekrdezhetjk s megvltoztathatjuk a parancssorbl is. A Windows 2000/XP/2003/Vista rendszereknl ezt az ipconfig paranccsal tehetjk. Paramterek nlkl csak az alaprtelmezett hlzati kapcsolat legfontosabb adatait lthatjuk, ha az sszes interfsz minden belltsra vagyunk kvncsiak, hasznljuk ipconfig /all formban az utastst.
A TCP/IP-rl, az IP-cmzsrl, a publikus s privt cmekrl s a cmkioszts rszleteirl tovbbi, mlyebb rszletek olvashatak a 4. fejezetben.
45
Alapismeretek A TCP/IP-belltsok Ez a screencast a TCP/IP alap s halad sznt belltsrl szl, pontrl pontra megmagyarzva a paramterek s opcik jelentst. Fjlnv: I-1-3bTCPIP.avi
sszehasonltskppen, egy 128-bites cmterlet a fldfelszn minden ngyzetmtern 655 570 793 348 866 943 898 599 (6,5 x 1023) cm ltrehozst teszi lehetv. Az IPv6 cmzsrl informcikat a kvetkez helyen tallhatunk (magyarul): http://www.microsoft.com/technet/prodtechnol/windowsserver2003/hu/library/ServerHelp/22c4b4c0-0276-4190-b5a0-b3f3d83ad048.mspx?mfr=true vagy http://tinyurl.com/34f47o.
A Windows Vistban a korbbi kt egymstl teljesen fggetlen protokollvermet (tcpip.sys s tcpip6.sys), egy gynevezett Dual IP architektra vltja, gy a rendszer az IPv4 s IPv6-os hlzatokat kln-kln, de mgis egyszerre tudja kezelni. Ennek ksznheten a Windows egy idben ktfajta IPcmmel is rendelkezhet, egy 4-es, illetve egy 6-os verzijval. A Vista Dual IP architektrja egy hlzati vermen bell kezel mindent, gy tovbbra is egy szlltsi rtegre (TCP, UDP) s egy adatkapcsolati rtegre van szksg.
46
A Vista IPv6 kezelse teljes IPSec-tmogatst is nyjt, gy az j formtum cmekkel is hasznlhatjuk a nylt szabvnyokbl ll kriptogrfiai keretrendszert. (Az IPSeckel ksbb a tzfal kapcsn bvebben is foglalkozunk.) Az IPv6 mindezeken kvl elrhet PPP (Point-to-Point Protocol) kapcsolatok esetn is (kivve PPTP VPN hasznlatakor), mely kt lloms kzti kzvetlen kapcsolatoknl fknt telefonvonalon trtn betrcszs vagy kzvetlen kbeles sszekttets esetn hasznlatos. Az IPv6 termszetesen tmogatja a korbban mr emltett automatikus cmkiosztst is, mind dediklt DHCP-kiszolglval, mind anlkl. A Vista alaprtelmezsknt mind az IPv4, mind az IPv6 protokollt telepti, valamint mindkett belltsai elrhetk a grafikus felletrl is. Ha esetleg szkriptekkel automatizlt konfigurcira van szksgnk, termszetesen a parancssoron keresztl is megvltoztathatjuk a protokollok sszes paramtert erre kivlan alkalmas a kibvtett funkcionaltssal rendelkez netsh parancs. (Az IPv6-os konfigurcis lehetsgek bvebb ismertetshez adjuk hasznljuk a netsh interface ipv6 /? parancsot.)
47
Alapismeretek
ponse zenetet kld vissza a krdez flnek, s a nv IP-cmm fordtsa vgbemegy. A NetBT azonban csak IPv4 esetn mkdik, a 6-os verzij TCP/IPprotokoll nem tmogatja a NetBIOS nevek hasznlatt, valamint e megolds komoly htrnya az is, hogy szrt (broadcast) zenetekkel mkdik, azaz rengeteg felesleges csomaggal terheli a hlzatot. Ez utbbit cskkenti az n WINS-kiszolgl, illetve kiszolglk hinyban az n. lmhosts fjl, ami a hosts fjlhoz hasonl elven mkdik, st ugyanabban a mappban is tallhat minden Windows opercis rendszer esetn. Szpen lthat teht, hogy a korrekt nvfelolds biztostsa, azaz a gpek egyms kztti alapszint elrse komoly gond lehet erre szakosodott kiszolglk nlkl, egy kicsi, vagy ideiglenesen sszelltott hlzatban. Ezt a problmakrt orvosoland megszletett a Link-Local Multicast Name Resolution protokoll, mely nllan, NetBT, s akr DNS-kiszolgl nlkl is kpes a helyi hlzat gpeinek nvfeloldsra. Az LLMNR zenetek a DNS-hez hasonl struktrt alkalmaznak, azzal a klnbsggel, hogy a nvfeloldst kr csomagok egysgesen az 5355-s UDP-portra tovbbtdnak, s a vlaszok is szintn errl a portrl indulnak. Az LLMNR nvfeloldsi gyorsttr, mely minden Vista-rendszer szmtgpen megtallhat, a DNS-gyorsttrtl elklntve kerl rgztsre, gy a klnbz hlzatok kzti vltsnl ez nem okozhat zavart, valamint az zemben lv DNS-kiszolgl esetleges kiessekor az LLMNR zkkenmentesen tveszi a DNS szerept s a szmtgpek a tovbbiakban peer-to-peer alapon prblkoznak a nvfeloldssal.
49
Alapismeretek
A PNRP-t hasznl szmtgpek kzl elszr mindig az egymshoz legkzelebb es kliensek veszik fel a kapcsolatot, majd fokozatosan kialakul egy olyan kapcsolatlnc, melyet az albbi bra is mutat. A Peer Name Resolution Protocol egyik tipikus felhasznlsi terlete a Microsoft online trgyalsokat s eladsokat lehetv tv Windows Meeting Space (Windows Trgyal) szolgltatsa. A Windows XP alapcsomagja a PNRP 1.0-s verzijt tartalmazza, de frisstsknt a 2.0 is telepthet r, gy biztosthat a kt Windows-platform zkkenmentes egyttmkdse.
A PNRP 2.0 frissts Windows XP-hez a kvetkez cmrl tlthet le: http://www.microsoft.com/downloads/details.aspx?FamilyID=55219164-ec71-4a32-a648-4ed2582ebc7cA.
50
A hlzati trkp
A Windows Vista egyik jdonsgaknt a hlzati trkp egy sematikus brn grafikusan is brzolja a szmtgp-hlzat elemeit. A trkpen lthat eszkzk ikonjra mutatva tovbbi informcik jelennek meg az adott objektumrl, rkattintva pedig azok alaprtelmezett mveleteit rhetjk el (szmtgp esetn a megosztott erforrsok tallzsa, tvlasztknl pl. a konfigurcis lap megjelentse). Mindez egy teljesen j specilis protokoll, az LLTD (Link-Layer Topology Discovery) segtsgvel teljeslhet. Az LLTD egy, az adatkapcsolati rtegen mkd hlzatfeldertsi technolgia, mely a hlzaton sztkldtt krdsekre rkezett vlaszok alapjn kpes feltrkpezni a hlzat jellegt, az arra csatlakoztatott eszkzket s szmtgpeket. Emellett a QoS (Quality-of-Service) szolgltatsban is segthet, mivel kpes kezelni a hlzati svszlessggel, illetve az gyflgpek egszsgi llapotval kapcsolatos krseket.
51
Alapismeretek
Szerencsre az LLTD-frissts (LLDT Responder) Windows XP-hez is elrhet, gy a korbbi opercis rendszert hasznl szmtgpek is ltszani fognak a trkpen (klnben csak az egyb eszkzk listban jelennnek meg, a trkp aljn egy vzszintes sorban). A Universal Plug&Play (UPnP) protokollt alkalmaz eszkzk pedig mindenfle szksges konfigurls nlkl szintn lthatak a trkpen.
Az LLTD Responder Windows XP-hez a kvetkez cmrl tlthet le: http://www.microsoft.com/ downloads/details.aspx?FamilyID=4f01a31d-ee46-481e-ba11-37f485fa34ea vagy http://tinyurl. com/26u6zr.
Az LLTD biztonsgi okokbl alaprtelmezsknt csak munkacsoportos hlzatban rhet el, tartomnyi krnyezetben nem. Ha mgis szksgnk lenne a trkpre, a csoporthzirenden keresztl engedlyezhetjk annak mkdst (Computer Configuration/Administrative Templates/Network/ Link-Layer Topology Discovery). Kt lehetsgnk is lesz, egyrszt megengedhetjk, hogy a gpek lssk a tbbi eszkzt, azaz kpesek legyenek hlzati trkpet generlni (Turn on Mapper I/O (LLTDIO) driver), msrszt azt is megengedhetjk/tilthatjuk, hogy az adott gpet lssk-e ms gpekrl, azaz szerepeljnk-e ms gpeken ksztett hlzati trkpeken (Turn on Responder (RSPNDR) driver). Radsul mindkt esetben finomthatjuk is a belltst, mivel hlzati profil alapjn is szelektlhatjuk az LLTD hatkrt.
52
53
MSODIK FEJEZET
Diagnosztika s felgyelet
A fejezet tartalma:
ltalnos felgyeleti ttekints ................................................................................ 55 Halad felgyeleti eszkzk ...................................................................................... 61 A helyi hzirend.......................................................................................................... 87
Diagnosztika s felgyelet
56
Manage startup programs (A rendszerindtskor indul programok kezelse) a hivatkozs segtsgvel a Windows Defender Software Explorer (Szoftvertallz) lapjt nyithatjuk meg, ahol ttekintst kaphatunk a rendszerben automatikusan elindul, az ppen fut s a hlzathoz csatlakoz folyamatokrl (program neve, szlltja, indts tpusa, digitlis alrs stb.). Adjust visual effects (Megjelentsi hatsok belltsa) a hivatkozs segtsgvel a rendszer teljestmnyt ersen befolysol vizulis hatsok (ttnsek, tltszsg, simts stb.) belltlapjt nyithatjuk meg. Adjust indexing options (Indexelsi belltsok mdostsa) itt llthatjuk be a Vista keres szolgltatshoz tartoz indexels klnfle paramtereit, pldul kivlaszthatjuk az indexelsbe bevont mappkat stb. Ezzel kapcsolatban meg kell emltennk, hogy a Vista keressi alrendszere teljesen talakult, azaz miutn a Windows Desktop Search egy fejlett vltozata beplt az opercis rendszerbe alapos keressi filozfiavlts trtnt: nemcsak minden fjl indexelhet s kereshet, de minden lista is, pl. Start men, az Explorer nzetek s a Vezrlpult is.
57
Diagnosztika s felgyelet
Adjust power settings (Energiaelltsi belltsok mdostsa) a szmtgp energiatakarkossgi funkciival kapcsolatos belltsokat rhetjk el a hivatkozs segtsgvel. Open Disk Cleanup (A lemezkarbantart megnyitsa) a flslegesen foglalt lemezterlet (Lomtr tartalma, ideiglenes fjlok stb.) automatikus keresst s felszabadtst elvgz varzslt indthatjuk el a hivatkozs segtsgvel. Advanced tools (Specilis eszkzk) a lap hivatkozsainak segtsgvel egy helyrl indthatunk el szmos hasznos eszkzt, amelyek tovbbi segtsget adhatnak a szmtgp teljestmnyvel kapcsolatos finomhangolshoz.
Diagnosztikai segdprogramok
A System Information eszkz (Rendszerinformci, msinfo32.exe) a szmtgp hardverkonfigurcijrl, a szmtgp egysgeirl s szoftvereirl, pldul az illesztprogramokrl jelent meg informcikat. Az eszkz a megjelentett adatokat a Windows Management Instrumentation- (WMI-) technolgia segtsgvel gyjti ssze. Az eszkz bal oldali tbljban a kategrik (s azokon bell az egyes eszkzk) felsorolsa, jobb oldali tblban pedig a kivlasztott eszkz adatainak rszletezse jelenik meg.
2.4. bra: A System Information felletn csak a konfigurcis adatok megjelentsre van lehetsg, a belltsokat itt nem mdosthatjuk
58
A System Information eszkz ltal megjelentett adathalmaz bvthet, vagyis a szmtgpre teleptett programoktl fggen az itt szereplkn kvl tovbbi kategrikat is tallhatunk a listban. Alaprtelmezs szerint a kvetkez kategrik jelennek meg: System Summary (sszefoglal a rendszerrl) ebben a szakaszban a szmtgpre s az opercis rendszerre vonatkoz ltalnos informcikat tallhatunk, pldul a szmtgp nevt s gyrtjt, a memria mennyisgt, a BIOS tpust stb. Hardware Resources (Hardvererforrsok) ebben a szakaszban a megosztott rendszererforrsokra vonatkoz adatokat tallhatunk, itt jelennek meg pldul az egyes eszkzkhz tartoz I/O-portok s megszaktsok, DMA-csatornk stb. Components (sszetevk) ebben a szakaszban a szmtgp klnfle komponenseire (pldul lemezmeghajtk, hangeszkzk, modemek stb.) vonatkoz adatok jelennek meg. Sofware Environment (Szoftverkrnyezet) ebben a szakaszban az illesztprogramokrl, hlzati kapcsolatokrl s egyb programokhoz kapcsold rszletekrl kaphatunk informcit. Applications (Alkalmazsok) opcionlisan itt jelennek meg az egyes alkalmazsokhoz tartoz tovbbi adatok, pldul az Office-programra vonatkozan igen rszletes adatokat tallhatunk ebben a szakaszban.
Amennyiben egy konkrt adatot szeretnnk megkeresni, hasznlhatjuk az ablak als rszn tallhat Find what (Keresend szveg) mezt. A System Configuration alkalmazs (Rendszerkonfigurci, msconfig.exe) olyan specilis eszkz, amely a Windows-rendszer indtst megakadlyoz problmk azonostst segti. Az eszkz segtsgvel bellthatjuk, hogy a rendszer indtsa bizonyos szolgltatsok s automatikusan indul programok nlkl trtnjen. A kvetkezkben rviden ttekintjk a System Configuration alkalmazs egyes lapjait s a lehetsges belltsokat. General (ltalnos) ezen a lapon a szmtgp indtsi mdjt (a kvetkez rendszerindtsra vonatkozan) vlaszthatjuk ki. A szoksos indts mellett lehetsg van a hibakeressi zemmdban s a rendszergazda ltal kivlasztott szolgltatsokkal s illesztprogramokkal trtn indtsra is.
59
Diagnosztika s felgyelet
2.5. bra: A System Configuration felletn a rendszer indtsnak klnfle paramtereit llthatjuk be
Boot (Rendszerindts) itt az opercis rendszer indtsra s klnfle specilis hibakeressi belltsokra vonatkoz lehetsgeket tallunk. A kivlaszthat opcik nagyjbl megegyeznek az F8 billenty lenyomsval (rendszerindts kzben) elrhet Advanced Boot Options (Specilis rendszerindtsi belltsok) men lehetsgeivel. (Az egyes menpontok hasznlatval a hatodik fejezetben rszletesen is foglakozni fogunk.) Services (Szolgltatsok) a listban a rendszerindts sorn betlttt valamennyi szolgltatst megtallhatjuk, azok jelenlegi llapotval egytt [Running (Fut) vagy Stopped (Lelltva)]. Lehetsgnk van az egyes szolgltatsok engedlyezsre, illetve tiltsra is (a kvetkez rendszerindtsra vonatkozan). Startup (Indts) a listban a rendszerindts rszeknt automatikusan elindul alkalmazsokat tallhatjuk meg. Ha egy alkalmazst a kvetkez indtskor nem szeretnnk elindtani, egyszeren trlhetjk a mellette lv jellngyzetet. Tools (Eszkzk) ttekint listt jelent meg a futtathat diagnosztikai, s egyb specilis eszkzkrl (Computer Management (Szmtgp-kezels), TaskManager (Feladatkezel), EventViewer (Esemnynapl), regedit stb.).
60
Halad felgyeleti eszkzk Felgyeleti alapeszkzk s segdprogramok Ebben a screencastban megismerkedhetnk tbbek kztt a Task Manager s a a Resource Monitor jdonsgaival, valamint ttekintjk a Performance Information and Tools programcsoport elemeit. Fjlnv: I-2-1Felugyeleti-alapeszkozok.avi
Diagnosztika s felgyelet
A naplfjlok kt f csoportban tallhatak, a szoksos Windows-naplk (Windows Logs) az Alkalmazsnapln (Application Log), a Biztonsgi napln (Security Log) s Rendszernapln (System Log) kvl kiegszltek egy teleptsi naplval, illetve a kls gpekrl rkez naplk troljval (Forwarded Events). A nagy vltozs viszont nem itt van, hanem kiss lentebb tekintve: bekerlt egy j rsz is a fa-knyvtrszerkezetbe Applications and Service Logs (Alkalmazs s szolgltatsnaplk) nven. Itt lnyegben az sszes Windows-szolgltatst s rendszersszetevt megtallhatjuk (a Microsoft mappban pl. kzel tvenet), de bvthetsge folytn akr kls alkalmazsok is bepthetik ide sajt esemnynapl-troljukat.
Esemnynapl ttekints s a naplfjlok Ez a kt mini elads segtsget nyjt az Esemnynapl teljesen j felptsnek elsajttsban. Fjlnv: I-2-2aEsemenynaplo-attekintes.avi, I-2-2bEsemenynaplo-naplofajlok.avi
A strukturlt elrendezsen kvl, tbb j elemet s szolgltatst is lthatunk ebben a faszerkezetben. Vegyk sorra ezeket!
62
Custom Views (Egyni nzet) Az j esemnynaplban lehetsgnk van sajt, testreszabott naplnzeteket ltrehozni s elmenteni, amelyek tartalma termszetesen frissl is majd automatikusan, egy-egy j bejegyzs apropjn. Ha csak egy-egy adott sorszmmal rendelkez esemnyre, vagy csak egy esemnytpusra vagyunk kvncsiak, itt egy rendkvl rszletes szrvel (amelyet egybknt mg szmos tovbbi helyen is hasznlhatunk majd) meghatrozhatjuk a vizsglt halmazt. Megadhatunk akr tbbszrs feltteleket is, valamint szintn jdonsgkppen tbbfle napltpusbl is vlogathatunk egyszerre esemnyeket (Cross-log queries). Az ltalunk lementett egyni nzetek ments utn bekerlnek ebbe a mappba, s termszetesen utlag is szerkeszthetek, msolhatak, vagy akr exportlhatak is egy msik gpre.
63
Diagnosztika s felgyelet Esemnynapl egyni nzetek Ez a screencast az esemnyek testreszabott szrst megvalst megoldsrl szl, rintve az n. Cross-Log Queries megoldst, azaz a keresztbehivatkozst a szrfeltteleknl. Fjlnv: I-2-2cCustom-Views.avi
Forwarded Events (Tovbbtott esemnyek) A Vista esemnynaplja nemcsak a helyi gprl, de a hlzat segtsgvel elrhet tovbbi szmtgpek napljbl is kpes informcikat lekrdezni. Ehhez a Subscriptions (Csatlakozs ms szmtgphez) bejegyzs alatt fel kell iratkoznunk a tvoli gp esemnynapljnak figyelsre. A clirnyos informcigyjts rdekben termszetesen itt is megadhatunk szrsi feltteleket, pldul napltpust, esemnytpust, idpontot, az esemny forrsul szolgl rendszerkomponenst, esemnyazonostt, rtkhatrokat s klnbz kulcsszavakat. A tvoli gpek naplbejegyzsei alaprtelmezsknt a Forwarded Events gyjtmappba kerlnek, gpnv szerint rendszerezve, m a clmappt a feliratkozskor szabadon megadhatjuk. A gpek kzti kommunikci folyhat standard HTTP, de akr titkostott HTTPS-protokollon is, de megadhatunk egyni TCP-portot is. A svszlessggel trtn takarkoskods rdekben lehetsgnk van optimalizlni az adattovbbtst, vagy akr prioritst is adni a kapcsolatnak.
64
Halad felgyeleti eszkzk Esemnynapl esemnyek kldse s sszegyjtse Ebben az eladsban tbb klnbz gp fogja bekldeni a Vistt futtat gyjt szmtgpre az elzetesen kivlasztott Esemnynapl rszleteket. Fjlnv: I-2-2dEvent-Forwarding.avi
Az Event Subscription technikai felttele, hogy minden naplkld gpen elrhet s bellthat legyen a WinRM-szolgltats (a WS-Management rszeknt), illetve a fogad gpen szksg lesz a WS-Eventing protokollra is. WS-management A Microsoft s szmos ms IT-nagyvllalat (pl. IBM, Sun, Intel, AMD, Dell stb.) ltal kzsen kifejlesztett, SOAPszabvnyra pl rendszerfelgyeleti technolgia, mely lehetv teszi a felgyelt eszkzk (legyenek azok szoftverek, vagy hardverek) egysges protokollon keresztl egyarnt elrhetk s kezelhetk legyenek. A Microsoft sajt rendszereiben a .Net Web Service gondoskodik a WS-Management elltsrl. WS-Eventing Szintn webszolgltats-alap protokoll, mely az esemnyek szlltsrt felel. A Windows Vista szintn alaprtelmezsknt tartalmazza, a Communication Foundation gy a Microsoft .NET-keretrendszer rszeknt azonban Windows XP-hez is elrhet.
Mivel az adatgyjts az imnt emltett webprotokollokon keresztl zajlik, az egsz mvelet teljesen tzfalbartnak nevezhet, azaz egyszer webszolgltatsknt kezelhetjk, valamint zkkenmentesen egyttmkdik a mr meglv webes szolgltatsokkal, pldul az IIS-sel. Br a WinRM nem fgg az IIStl, ha mindkt szolgltats aktv, kzs portokon (80, 443) kommuniklnak a hlzaton. A WinRM lefoglalja a /wsman URL-eltagot, gy az IIS-t zemeltet rendszergazdknak figyelnik kell r, hogy a szmtgprl publiklt egyb webes erforrsok (weblapok) ne hasznljk ezt az eltagot.
65
Diagnosztika s felgyelet A WinRM konfigurlshoz hasznljuk winrm quickconfig parancsot, amely elindtja s automatikus indtsra teszi a WinRM-szolgltatst, ltrehozza a tzfal kivtelszablyt, valamint egy listenert, amelyen figyeli a berkez krsket. A Vistn mindezt a rendszergazdai parancssorbl (jobb gomb a parancssor ikonon s Run as administrator) indthatjuk el. A WinRM-rl tovbbi rszleteket tallunk e fejezet utols eltti szakaszban.
Analytic and Debug Logs (Elemzsi s hibakeressi napl) A halad hibakeresst szolgl, rszletes nyomkvetsre hasznlhat naplk alaprtelmezsknt nem ltszanak az Esemnynaplban, azaz igny szerint neknk kell engedlyeznnk. Ezt megtehetjk a View (Nzet) men Show Analytic and Debug logs (elemzsi s hibakeressi naplk megjelentse) parancsval. Ha bekapcsoljuk ezt a nzetet, szmos j napltpus tnik fel a Microsoft fknyvtron bell, melyek pldul programfejlesztskor s Windows-szolgltatsok hibakeressnl nyjthatnak segtsget. Tudnunk kell azt is, hogy ezzel a paranccsal mg nem indul el ezen specilis naplk feltltse, ehhez egyesvel kell az eddig rejtett naplfjlokon engedlyezni a mkdsket. Lthat teht, hogy a hasznlatuk csak tbb lpcsben rhet el, s ez nem vletlen: ez a fajta intenzvebb naplzs jelents mennyisg erforrst is elvonhat a rendszer tbbi rsztl.
Az esemnynapl legnagyobb szerkezeti jtsa, hogy immr a nylt szabvnyokra tmaszkod XML-formtumra tmaszkodik a bejegyzsek megjelentsnl s exportlsnl is. A strukturlt XML-fjlok akr sajt fejleszts alkalmazsbl is lekrdezhetek, gy szorosabb egyttmkds s kompatibilits rhet el. Bizonyos esetekben szksges lehet a naplfjlok archivlsa is, erre az esemnynapl tbb lehetsget is knl. Egyrszt lehetsges a naplk automatikus mentse, gy a korbbi bejegyzsek nem rdnak fell, valamint akr exportlhatjuk is az aktulis naplt klnbz formtumokba. Az exportlt llomny minden adatot tartalmaz az esemnnyel kapcsolatban, a fbb paramtereken tl a bejegyzs szveges lersval egyetemben minden bekerl a fjlba. A naplk mentshez az az j, XML-alap .evtx formtum fjlokon kvl tovbbra is hasznlhatjuk a szveges .txt s pontosvesszvel tagolt .csv llomnyokat is. Az esemnynaplk archivlsi s mentsi belltsait az egyes naplk jobbkattintssal elrhet helyi menjben tallhatjuk. J tudni, hogy egy rgi, elz opercis rendszerekbl szrmaz, mentett esemnynapl fjlt (.evt) is megnyithatunk a Vistban, majd akr el is menthetjk, illetve konvertlhatjuk.
66
Tovbbi jdonsg, hogy ha ppen megnyitottunk egy naplt, j bejegyzs ltrejttekor a grafikus felleten, a fejlcben rtestst kapunk a lista bvlsrl. Ha ekkor frisstjk a nzetet, mris lthatv vlnak az j esemnyek. Ha pedig nem tallunk egy bejegyzst a hossz listban, a Vista esemnynaplja vgre a keresst is tmogatja, melyet a jobboldali feladatsvbl indthatunk. Az esemnynaplt nemcsak a grafikus felletrl, hanem parancssori eszkzzel is kezelhetjk. A wevtutil.exe parancs szmtalan paramterrel rendelkezik, melyekkel tbb felttel szerint krdezhetjk le az esemnynaplk bejegyzseit, akr egyszer szveges, akr XML-formtumban. A wevtutil.exe-t akr kls alkalmazsbl is meghvhatjuk, gy lehetsg addik automatizlt adatgyjtsre, vagy temezett feladatknt, felgyelet nlkl is futtathatjuk azt. A felgyelet nlkli esemnykvetshez egybknt nagy segtsget nyjt az esemnynapl s a feladattemez szoros integrcija is, melyet a kvetkez szakaszban ismertetnk.
67
Diagnosztika s felgyelet
A Feladattemez
Az esemnynaplhoz hasonlan a Felgyeleti eszkzk (Administrative Tools) kztt tallhatjuk a rendszergazdk msodik legfontosabb szerszmt, a Feladattemezt (Task Scheduler). Br mr a korbbi Windowsok is lehetv tettk idztett feladatok futtatst, a Vista feladattemezje mellett akr el is bjhatnnak, az j opercis rendszerben ugyanis egy rendkvl kifinomult eszkzt kapunk kzhez. Tbb j idztsi opci, komplex felttelrendszerek llnak rendelkezsnkre, valamint szkriptekkel teljes egszben automatizlhat a modul. A feladattemez megjelense nagyban hasonlt az esemnynaplra, jobb oldalt a feladatkategrikat lthatjuk fastruktrban melyek szintn kln-kln tartalmazzk a Windows beptett rendszerfeladatait kzpen az gynevezett Task dashboardon (Lerssv) a soron kvetkez s a legutbb lefutott folyamatok sorakoznak, mg jobbra a mr szoksos feladatsv hzdik. A bal oldali knyvtrszerkezetben az n. Task Library (Feladattemez knyvtr) ponton bell a Microsoft\Windows mappkban gyrilag elre definilt folyamatokat tallhatunk, melyek az opercis rendszer klnbz nkarbantart s automatikus diagnosztikai eszkzeit mkdtetik (pldul temezett tredezettsgmentests vagy rendszer-visszalltsi pontok ksztse). Ezek a bejegyzsek alaprtelmezsknt nem ltszanak, a View (Nzet) men Show Hidden Tasks (Rejtett feladatok megjelentse) parancsval jelenthetjk meg ket. Lehetsg szerint ne lltsuk el, vagy tiltsuk le ezeket a feladatokat, de vizsgljuk meg btran a szerkezetket, hiszen egyfajta pldatrknt is szolglhatnak.
68
A testreszabott, ltalunk ksztett idztett feladatok ltrehozsa sorn szmtalan j lehetsg s paramter ll rendelkezsnkre. A megjult varzslnak kt vltozata is van, egy egyszerbb Create Basic Task (Alapfeladat ltrehozsa) nev, mely nhny alapvet paramter megadsval felgyorstja s megknnyti az temezs elksztst, valamint az egyszeren csak Create New Task (Feladat ltrehozsa) nvre keresztelt, ahol egszen elkpeszt rszletessggel adhatunk meg minden szksges opcit, illetve felttelt. Az j feladattemezben az esemnynapl bejegyzseihez is trsthatunk gyorsan s egyszeren feladatot, amely gyakorlatilag egy Basic-tpus feladat lesz. Ha pldul rteslni szeretnnk egy bizonyos esemny bekvetkeztrl, nem szksges folyamatosan a naplkat bjnunk, egyszeren bellthatunk egy zenet-megjelentst (vagy e-mail kldst) az esemnynapl mkdshez ktve. Ezt az egyszersg jegyben akr az esemnynaplban is megtehetjk, ehhez csupn a kijellt naplbejegyzsre kell kattintanunk a jobb gombbal, majd kivlasztanunk az Attach Task To This Event (Feladat csatolsa az esemnyhez) parancsot. Ilyenkor eleve rgzl az adott esemny azonostja, kategrija s forrsa, gy aztn ms dolgunk nem is lesz a varzslban csak eldnteni, hogy valamely program indtst krjk, vagy egy zenetablak megjelentst a kpernyn, vagy a megfelel SMTP-konfigurci birtokban az emltett e-mail klds is knnyedn kivitelezhet.
69
Diagnosztika s felgyelet
2.12. bra: Egy, az Esemnynapl bejegyzsn alapul Basic Task zent neknk
Az esemnynaplbl definilt idztsek a feladattemez Event Viewer Tasks (Feladattemez knyvtr) mappjba kerlnek. Ha a szimpla nev (de mgis sokkal sszetettebb) Create New Task (Feladat ltrehozsa) varzslt indtjuk el, akkor rgtn, mr a General (ltalnos) fln szembetnhet nhny fontos jdonsg, pl. a User Account Control (Felhasznli fikok felgyelete) kikerlst ebben az esetben indokoltan lehetv tev jogosultsgi szint meghatrozs [Run with highest privileges (Futtats legmagasabb szint jogokkal)] vagy pl. az adott feladat teljes elrejtse, amelyet immr bonyolult, kzvetlen API-programozs helyett egy jellngyzettel tehetnk meg. Lthat az is, hogy az egyes feladatok, mivel Vista-specifikus tulajdonsgokat is hordozhatnak, csak sajt krnyezetben szerkeszthetk, de ha kompatibilitsi mdban troljuk le azokat, menedzselhetv vlnak Windows 2000/XP, illetve Windows Server 2003 rendszerekrl is. Az esemnyeken kvl tovbbi indtsi felttelekkel gazdagodott a feladattemez, amelyeket a Triggers (Indts) fln vehetnk hasznlatba. Ilyen jdonsg pldul a munkalloms zrolsa/feloldsa, vagy a felhasznli munkamenethez trtn csatlakozs legyen az helyi bejelentkezs vagy Tvoli asztal (Remote Desktop) hasznlatval ltrejv kapcsolat.
70
A feltteleknl (Conditions) bellthatjuk a feladatok indtsra vonatkoz a gp resjrattal kapcsolatos paramtereit. Ezen kvl a mr meglv energiagazdlkodsi szempontok kz bekerlt a hlzati konfigurci vizsglata is, gy meghatrozhatjuk, hogy egy adott feladat csak bizonyos hlzatra trtn csatlakozs esetn fusson le.
A feltteleknl (Conditions) a mr meglv energiagazdlkodsi szempontok kz bekerlt a hlzati konfigurci vizsglata is, gy meghatrozhatjuk, hogy egy adott feladat csak bizonyos hlzatra trtn csatlakozs esetn fusson le. Tovbbi vltozs, hogy az resjrati id fogalmt a Vista kicsit mskpp rtelmezi, mint a korbbi rendszerek. Mg a rgebbi Windowsokban az resjrat azt jelentette, hogy a felhasznl egy megadott ideig nem kommuniklt a rendszerrel nem hasznlta a billentyzetet, sem az egeret addig a Vistban egsz ms a helyzet. A feladattemez akkor nyilvntja resjratnak a rendszer mkdst, ha a kpernykml fut, vagy az elmlt 15 perc 80%-ban nem volt lemez-, illetve processzorhasznlat. Ezt az llapotot a Windows minden 15. percben ellenrzi, teht, ha egy 30 perces resjratot felttelez temezs 10 percnyi resjrat utn aktivldik, a feladat 5 percen bell elindul, hacsak az elmlt 25 percben nem volt aktv a rendszer.
71
Diagnosztika s felgyelet
A feladatoknak megadhatunk hatridket is, melyek utn elvlnek s gy mr nem futhatnak le, valamint klnbz ismtlsi s kivteles lelltsi lehetsg is rendelkezsnkre ll a Setting (Belltsok) fln.
A Feladattemez Ebben a screencastban megnzzk a teljesen megjult Feladattemez egyszer s sszetett idztett feladatvgrehajtsi kpessgeit, valamint teszteljk a Feladattemez s az Esemnynapl kzs lehetsgeit. Fjlnv: I-2-2eFeladatutemezo.avi
72
zolja a mlt trtnseit t klnbz sorban, a hiba vagy jelensg besorolstl fggen. A grafikon 24 rnknt frissl s egy-egy ellenrzpontnl rvid sszefoglalst olvashatunk az aznapi bejegyzsekrl. A rendszerstabilitst egy 10-es skla szerint osztlyozza a szolgltats, melynek minden napi aktulis rtke megtekinthet visszamenleg is.
Az sszetett eszkz msik modulja, a korbbl mr valsznleg ismers, de most j elemekkel s klcsnnel megjelen, a teljestmnymrst szolgl Performance Monitor (Teljestmnyfigyel). Az eszkz nyitlapjn egy ttekint brt lthatunk, a ngy legfontosabb erforrs a processzor, a merevlemez, a hlzat s a memria pillanatnyi kihasznltsgrl. Ha a rszletekre vagyunk kvncsiak, egyszeren kattintsunk a megfelel grafikonra s albb egy tblzatban lthatjuk az alkalmazsok s szolgltatsok erforrs-hasznlatt, mindezt vals idben. A Performance Monitor (Teljestmnyfigyel) akr felgyelet nlkli adatgyjtsre is alkalmazhat, ha azokat a ksbbiekben szeretnnk analizlni. A bal oldali svban elhelyezked Data Collector Sets (Adatgyjt-csoportostk) mappban nhny gyrilag belltott adatgyjt belltst tallhatunk, de akr sajt magunk is szabadon sszellthatunk egyni adatgyjtst a szmtalan processzorra, a memrira, a diszkekre vonatkoz paramter alapjn.
73
Diagnosztika s felgyelet
A Performance Monitorban ltrehozott kollektorok a feladattemez szolgltatssal egyttmkdve futnak majd s gy kollektorokhoz riasztsokat is trsthatunk, pldul, ha egy megfigyelt teljestmnyszmll egy megadott hatrrtk fl (vagy al) kerl, elre meghatrozott mveletet hajthatunk vgre. A kollektorok egymsba is gyazhatk, gy az imnt emltett mvelet akr egy msik mrs indtsa is lehet. A mrsi eredmnyeket vals idben klnbz paramterek szerint elhelyezett s elnevezett fjlba menthetjk, megadhatjuk a mintavtelezsek gyakorisgt, valamint az sszegyjttt adatok maximlis szmt is. Az elkszlt fjlokon kvl termszetesen a Performance Monitorban kzvetlenl is kvethetjk a mrsi eredmnyeket, a generlt jelentsek pedig a Reports (Jelentsek) nev mappba kerlnek.
Reliability s Performance Monitor Ez a kt screencast a Reliability s Performance Monitor ttekintsrl, valamint ennek az szszetett MMC-nek az els, teljesen j komponensrl szl. Fjlnv: I-2-2fRPM01.avi, I-2-2fRPM02.avi
74
75
Diagnosztika s felgyelet
Memria- s lemezellenrzs
A fjlrendszer ellenrzshez hasznlatos CheckDisk (chkdsk.exe) mr rgta rsze a rendszernek, a Vista ebbl a segdeszkzbl is egy j verzit kapott, mely valamelyest rszletesebb informcikkal ltja el az adminisztrtorokat. A chkdsk futtathat offline s online mdban is, mg elbbi esetben egy msik szmtgp rendszerlemezt vizsgljuk, utbbiban a rendszer sajt maga alatt prbl rendet tenni az esetlegesen megsrlt fjlrendszerben. Ha a chkdsk-t csak vizsglati mdban, paramter nlkl futtatjuk, nem szksges jraindtani a rendszert, ekkor azonban nem kpes javtsokat vgezni a lemezen. Ha a segdprogramot a /F (fix) kapcsolval indtjuk a Windows kvetkez jraindtsa kzben zajlik le a vizsglat s a feltrt hibk, (indexadatbzis- s tartalomjegyzk-srlsek) javtsa.
Rendszerindtsi hibk
Arra az esetre, ha a Windows valamilyen oknl fogva nem indulna, a telept lemez tartalmaz egy Startup Repair Tool (Indtsi javtsi eszkzk) nev bvtmnyt, mely kpes a leggyakoribb konfigurcis hibk, illetve srlt rendszerbetlt fjlok javtsra. Az eszkzt a Windows telept menjbl rhetjk el.
76
Szintn ugyanerrl a helyrl indthatjuk a Windows Memory Diagnostics Tool-t, mely az operatv tr, vagyis a memriamodulok psgt hivatott tesztelni. A korbban ismertetett memriadiagnosztika a felgyeleti eszkzkben is megtallhat, a teszt futtatshoz azonban mindenkppen jra kell indtani a szmtgpet.
Cskkentett md
A korbbi rendszerekhez hasonlan a Windows Vista is indthat gynevezett Safe Mode-ban, azaz cskkentett mdban, ahol csak a futshoz legszksgesebb rendszersszetevk s eszkzmeghajtk tltdnek be. Cskkentett mdban elvgezhetjk az esetleges hibs illesztprogramok eltvoltst, vagy a rendszer helyrelltst a System Restore alkalmazssal. Ha hlzati funkcikra is szksgnk van, rendelkezsre ll a hlzatos cskkentett md [Safe Mode with networking (Cskkentett md hlzattal)], illetve vgs esetben ha pldul a Windows Explorer srlt meg a parancssoros zemmd (Safe Mode with Command Prompt (Cskkentett md parancssorral), ekkor nem jelenik meg az ablakkezel, csupn egy parancsrtelmezt kapunk. A cskkentett md belltsait a Windows indtsa eltt kzvetlenl lettt F8 billentyvel rhetjk el a rendszerindt menbl.
77
Diagnosztika s felgyelet
A cskkentett mdrl, illetve a rendszer indtmen rszleteirl a 6. fejezetben tallhatunk tovbbi informcikat.
Hlzati diagnosztika
Az els fejezetben a Network and Sharing Center (Hlzati s megosztsi kzpont) ismertetsnl mr nhny sz erejig kitrtnk a Vista integrlt hlzati diagnosztikai eszkzre. A szolgltats a httrben fut s ha valamilyen problmt szlel a hlzati konfigurciban, vagy az adattvitelben, automatikusan megvizsglja az sszekttetst s a rendelkezsre ll lehetsgek szerint megoldsi javaslatokat ad. A hlzati diagnosztika eszkz kpes az olyan leggyakoribb konfigurcis hibkat nllan megoldani, mint pldul rossz tjr-cm megadsa, IP-cm tkzs, st akr a biztonsgi hzirend korltozsaira is felhvja figyelmnket, ha ppen az akadlyozn a hlzat mkdst.
78
Hibajelentsek
Mg Windows XP alatt, ha egy program vagy szolgltats hibba tkztt s lellt (lefagyott) akkor nem sok visszajelzst kaptunk a rendszertl, arrl pedig kifejezetten keveset, hogy mgis mi okozhatta a problmt. A Windows Vistban viszont egy tovbbfejlesztett hibajelent mechanizmus kerlt beptsre. Az j Error Reporting (Problmajelentsek) szolgltats nemcsak rszletes jelentst kld a Microsoftnak az esemnyrl, hanem a korbbinl jval intelligensebb mdon, helyben rtelmezi a hibt, majd megoldsi javaslatokat
79
Diagnosztika s felgyelet
is nyjt a rendszergazdknak, melyekkel gyorsabban akr egy kattintssal elhrthatjk a problmt. A Microsoftnl folyamatosan dolgoznak a leggyakrabban berkezett hibk kijavtsn, ezrt fontos, hogy minl tbb hibajelentst kldjnk, hiszen ez nagyban segti a programozk munkjt. Ha egy problmra id kzben sikerlt megoldst tallni, a hibajelent szolgltats ezt kzli velnk, s tbaigazt a teendkkel kapcsolatban pldul hivatkozst jelent meg a program frisstett verzijnak letltshez vagy akr egy eszkzmeghajt frisstett vltozatra is felhvhatja a figyelmet.
A hibajelent szolgltats mkdse tbbflekppen konfigurlhat. Ha egyegy programunk bizalmas informcikkal dolgozik, felvehetjk azt egy kivtellistra, gy a Windows az ezzel a programmal kapcsolatos hibkrl csak alapvet informcikat kld el a Microsofthoz, vagy termszetesen akr teljesen ki is kapcsolhat a hibajelents.
80
A tvoli asztal
Hlzatunk szmtgpeit nemcsak eljk lelve helyben, hanem tvolrl is elrhetjk akr az interneten keresztl is. A tvoli gp teljes Asztalt magunk el varzsolhatjuk, illetve az egrrel s a billentyzettel is teljeskren vezrelhetjk. Ehhez a Remote Desktop Connection (Tvoli asztal) alkalmazsra van szksg, amely gyfelt egyszeren elindthatunk s sajt gpnkn pldul a Start / Run / mstsc.exe paranccsal. A tvvezrelni kvnt gphez trtn kapcsoldshoz a tvoli gpen a Terminal Services (Terminlszolgltatsok) szolgltats elindtsa, valamint a 3389-es TCP port megnyitsa szksges, illetve engedlyezni is kell magt az RDP-t a rendszertulajdonsgok kztt (Control Panel\System and Maintenance\System\Remote settings), s megadni azokat a felhasznlkat, akik szmra engedlyezett a tvoli hasznlat. Ezutn a tvoli gp IP cmt/nevt kell megadnunk, illetve esetlegesen az egyb paramtereket belltunk a megjelentsre, a helyi erforrsok felcsatolsra (pl. hang, mappk, nyomtatk stb.), az automatikusan elindul alkalmazsokra vagy ppen a sebessg optimalizlsra vonatkozan. Ha mindent belltottunk, clszer az adott konfigurcit .rdp formtumban elmenteni, majd jhet a kapcsolds.
81
Diagnosztika s felgyelet
Licenszelsi okokbl mivel a Windows gyfl opercis rendszerek egy idben egy felhasznl interaktv bejelentkezst teszik lehetv ha egy tvoli asztal kapcsolattal rcsatlakozunk egy gyflszmtgpre, a helyileg bejelentkezett felhasznl asztala zroldik (egy szerver opercis rendszer, pl. a a Windows Server 2003 esetn viszont 2 paralell +1 konzol tpus RDP kapcsolatunk is lehet egyszerre). A Windows Vista a Remote Desktop Protocol 6.0-s verzijt tartalmazza, amelynek jdonsgai a korbbi verzikhoz kpest a kvetkezek: Network Level Authentication (NLA, a m. hlzati szint ellenrzse) mg a kapcsolat teljes felplse eltt hitelestennk kell magunkat. Ez nagyban megnveli a kapcsolat biztonsgt, mivel mr a bejelentkez kpernyig is csak az a felhasznl jut el, aki kpes lesz bejelentkezni az adott gpre. Az NLA segt tovbb a szolgltatsmegtagadsos (DoS) tmadsok kivdsben is, de alapesetben is kevesebb erforrst ignyel a kiszolgltl. A hitelestst elvgezhetjk akr SmartCarddal (intelligens krtya) is, mivel ez az eszkz is felcsatolhatv, azaz a tvoli szmtgp szmra is lthatv vlt. USB-csatlakozs, Plug&Play szabvnyt tmogat eszkzk felcsatlakoztatsa, azaz, hogy a tvoli gpen is elrhetv vljanak mindezt akr mr kapcsolat kzben is. A kiszolgln (ez ebben az esetben a tvoli gp) lehetsgnk van az RDP 6.0-nl korbbi gyfelek kizrsra. Kisebb erforrsigny az j gyfl csak a kperny aktulis vltozsait tovbbtja, gy cskkenti a szmtgp s a hlzat terhelst. A Terminal Services Gateway (vagy RDP over HTTPS) tmogatsa biztonsgos, HTTPS-kapcsolaton s tzfalakon keresztli kapcsolds lehetsge. Azaz a mi oldalunkon (ha mondjuk egy szllodban ldglnk a laptopunkkal) egszen a hlzatunk tzfalig (amelyen tipikusan fut majd a TS Gateway kiszolgl) nincs szksg az RDP-protokollra, a kapcsolat a mindenhol megengedett HTTPS-porton pl fel s bonyoldik.
82
Halad felgyeleti eszkzk Persze, azt azrt tudni kell, hogy a TS Gateway szerepkrt csak a Windows Server 2008 bevezetse utn hasznlhatjuk majd, mindenesetre a Vista RDP kliense mr most is fel van ksztve arra, hogy gyfele legyen ennek a szolgltatsnak. Az RDP 6.0 frisstsknt mr Windows XP, illetve Windows Server 2003 rendszerekre is elrhet, errl a cmrl: http://support.microsoft.com/kb/925876, vagy akr a Windows / Microsoft Update szolgltatson keresztl is.
A tvsegtsg
Ha a felhasznlknak problmjuk akad a szmtgp kezelsvel, esetleg programhibba tkznek s a rendszergazda nincs a helysznen, a tvoli segtsgnyjts remek megoldst knl. A tvsegtsg szintn az imnt trgyalt RDP-t hasznlja, a kapcsolat jellege szinte teljesen meg is egyezik, azzal a klnbsggel, hogy ekkor a tvoli gp eltt l felhasznl s a hlzatrl felcsatlakozott segtsgnyjt is ltja a kpernyn zajl esemnyeket. A segtsg a rendszergazda ltal nyjthat, de a felhasznl sajt maga is krheti, a meghvott fl viszont mindkt esetben csak akkor csatlakozhat fel a rendszerre, ha azt a helyi, a gp eltt l felhasznl jvhagyja. A meghvs tbbfle ton trtnhet, egyrszt a Windows Remote Assistance (Tvsegtsg) segdprogram ltal generlt e-mailben vagy fjlban mely a kapcsoldshoz szksges elrsi tvonalat, paramtereket tartalmazza, vagy a Windows Live Messenger azonnali zenetkld szolgltatson keresztl, illetve akr a Windows Sgjbl is. A helyi felhasznl teljes mrtkben kontrolllhatja a kapcsolatot, bellthatja, hogy a meghv mennyi ideig legyen rvnyes, az asztal kpe milyen rszletessggel kerljn tvitelre (ez kis svszlessg esetn lehet szksges), valamint brmikor megszakthatja a kapcsolatot az Esc billenty letsvel. A Windows Vista j Remote Assistance (Tvsegtsg) szolgltatsa tbb biztonsgi jdonsgot is tartalmaz:
83
Diagnosztika s felgyelet
Az NLA-hitelests alapjn bellthat, hogy csak Windows Vista vagy jabb opercis rendszerrl rkez kapcsoldst fogadhatunk el. Pause (Sznet) opci, arra az esetre, ha szemlyes adatokat kell megjelenteni a kpernyn. Ekkor a tvoli segtsgnyjt nem ltja az asztalt, de a kapcsolat l.
84
A User Account Control (felhasznli fik felgyelete) hitelestsi ablakok blokkolhatk a tvoli segtsgnyjt ell, gy azokat csak a helyi felhasznl ltja majd s tudja kezelni. A kapcsolat rszletesebb naplzsa mind a segtsgnyjt, mind az gyfl gpn, ami az utlagos nyomkvets miatt lehet fontos.
A Remote Assistance (Tvsegtsg) szolgltats belltsait a rendszertulajdonsgok (System Properties) vezrlpultelem bal oldali svjban tallhat Remote Settings (Tvoli belltsok) hivatkozsra kattintva rhetjk el.
A tvsegtsg (Remote Assistance), s a tvoli asztal (Remote Deskop) Ez a kt elads a hasonl elven mkd, de teljesen klnbz clokbl hasznlt tvfelgyeleti eszkzk belltsairl s mkdsrl szl. Fjlnv: I-2-2gRA-RD.avi
Diagnosztika s felgyelet
Ha sikeresen belltottuk a WinRM szolgltatst a tvoli gpen, akkor lehetsgnk lesz a WinRS-sel (Windows Remote Shell) kapcsoldni ehhez a gphez. gy brmilyen parancssori vagy szkriptmveletet elvgezhetnk a (figyeljk meg a kvetkez brt), mindssze annak host nevt, IP-cmt, vagy WinRM-aliast kell ismernnk. A WinRS (Windows Remote Shell) hasznlatrl bvebb informcit a parancs sgjban olvashatunk. (winrs -?)
Br a WS-Management eredetileg csak a Vista s a Windows Server 2003 R2 opercis rendszerek beptett kpessge, nemrgen elrhetv vlt egy frissts (azaz az 1.1-es verzi) Windows XP SP2-hz s az R2 bvts nlkli Windows Server 2003-hoz is (http://www.microsoft.com/downloads/details.aspx?familyid=845289ca-16cc-4c73-8934-dd46b5ed1d33&displaylang=en), mely a korbbi opercis rendszerekkel is elrhetv teszi a tvoli kezelst. Ezt a frisstst egybknt clszer a Windows Server 2003 R2-es gpekre is feltenni.
86
A helyi hzirend Tvoli parancssoros felgyelet WinRM/WinRS segtsgvel Ebben az eladsban tbb klnbz opercis rendszert felhasznlva behangoljuk a WinRM mkdst, s a WinRS segtsgvel ki is prbljuk a parancssoros tvvezrlst. Fjlnv: I-2-2hWinRM-WinRS.avi
A helyi hzirend
Windows opercis rendszerek esetn a hzirend kiemelkeden fontos technolginak szmt, az zemeltetk s a cgek/szervezetek szmra is ltfontossg az ltala nyjtott biztonsg s stabilits. A hzirend gyakorlatilag olyan szablygyjtemny, amelyet a felhasznlk s a szmtgpek belltsra, felgyeletre hasznlunk. Egy korrekt mdon felgyelt rendszerben a hzirendek hatsainak nincs prja, ugyanis akr egyetlen helyrl, a legelemibb rszleteket tekintve is befolysolhatjuk az egsz infrastruktrnk mkdst. A segtsgvel tbbek kztt kzpontilag konfigurlhatjuk a jelsz- s kizrsi hzirendet, az NTFS-mappk jogosultsgait, az audit s esemnynapl belltsokat, a logon/loggoff/startup/shutdown szkripteket, a mappa tirnytst, s pldul a kihasznlhatjuk a szoftvertelepts vagy a kzponti nyomtattelepts elnyeit s ez csak egy nagyon szk felsorols. Vllalati krnyezetben, a Windows Server 2003 + Windows XP SP2 esetn az elrhet belltsok szma kb. 1800, mg a Vista gyflgpek esetn ez az rtk 2400 krli (sszehasonltsul a Windows NT 4.0-ban mindsszesen 76 ilyen opci volt).
A statisztikk szerint a tartomnnyal rendelkez vllalati rendszerek esetn a csoporthzirend hasznlata kb. 90%-os, kis- s kzpvllalati krnyezetben pedig 60%-nl is nagyobb mrtk.
Br a hzirendeket tipikusan nagy- s kzepes vllalati krnyezetben alkalmazzuk, egszen kis szervezetek, specilis feladat szmtgpek (pl. internet kvz, kzs hasznlat oktatsi gpek stb.), vagy akr szl gpek esetn is jl hasznlhat a klnfle biztonsgi szablyok s megszortsok bevezetsre s fenntartsra (pl. az Eszkzkezel (Device Manager) vagy a Feladatkezel (Task Manager) tiltsra, vagy a letlttt futtathat llomnyok elindtsra, az Internet Explorer vagy ppen a tiltott alkalmazsok futtatsra). A hzirendekbl kt f tpust klnbztetnk meg, az egyik a csak az adott szmtgpre s az adott szmtgp felhasznlira (helyi hzirend), mg a msik egy szervezeti egysg, tartomny, telephely hatrain bell, akr az sszes gpre s felhasznlra vonatkozhat, fggetlenl attl, hogy ki lp be az adott gpen, illetve attl is, hogy a felhasznl mely gpen lp be pl. a tartomnyba.
87
Diagnosztika s felgyelet
Mi a kvetkezkben tbbnyire a helyi hzirenddel foglalkozunk, a csoporthzirendrl viszont az 5. fejezetben olvashatunk tovbbi rszleteket.
Br a Windows NT-k vilgban is volt lehetsgnk egyszer hzirendek ltrehozsra (System Policy), igazbl a Windows 2000 ta hasznlhatjuk a helyi hzirendeket a mai mdszerrel (br a Vistval szmos vltozs rkezett erre a terletre is, lsd ksbb). A helyi hzirend kezelshez az n. Group Policy Object Editort (Csoporthzirendobjektum-szerkeszt) alkalmazzuk, amelyet klnfle mdon is el tudunk indtani. Egyrszt a gpedit.msc paranccsal pl. a Start menbl, vagy egy res MMC-konzol elindtsval s a Group Policy Object Editor bvtmny kivlasztsval. Ezek mellett az Administrative Tools (Felgyeleti eszkzk) programcsoportban is tallhatunk egy idevg elemet, az n. Local Security Policyt (Helyi biztonsgi hzirend) (secpol.msc), amely egy szkebb halmaza az sszes hzirend opcinak, s amely mint ahogyan a nevbl is kiderl , elssorban a biztonsgi belltsokra koncentrl. A hzirendek mkdse a Windows regisztrcis adatbzisn alapul, az elzetes belltsaink alapjn ennek tetovlst vgzi el az adott felhasznl vagy szmtgp belpsekor az opercis rendszer. A hzirend-belltsok egyegy gynevezett csoporthzirend-objektumban (Group Policy Objects GPO) ta-
88
A helyi hzirend
llhatak, amelyek egy-egy egyedi azonostval rendelkeznek (Globally Unique Identifier GUID). Akr a helyi akr a csoporthzirendrl van sz, a korrekt mkdshez szksgesek az n. hzirend sablonok is (.adm kiterjesztssel a %windir%\inf mappban talljuk meg ezeket kivve a Vistt, lsd ksbb), amelyek alapesetben az opercis rendszer teleptsvel kerlnek fel a gpekre, de frisslhetnek is pl. egy szervizcsomag teleptsekor, vagy akr manulisan is bvthetjk a sajt sablonjainkkal a lehetsgeket. Az ltalnos bemutats utn, most rkeztnk el ahhoz a ponthoz, hogy a Windows Vista helyihzirend-megoldsval kapcsolatos vltozsokrl ejtsnk szt.
Egy msik rendszerszolgltats a Network Location Awareness (NLA) 2.0-s vltozatnak bevezetse is szmos helyen tesz j szolglatot a hzirendek feldolgozsnl. Az NLA mkdse miatt az opercis rendszer rzkenny vlt a hlzati krlmnyek vltozsaira, azaz pl. ha egy hzirend feldolgozs az adott hlzati kapcsolat bizonytalansga miatt megszakad, akkor, ha jra detektlja a kapcsolatot, a feldolgozs kpes automatikusan folytatdni, nem kell kivrni a szoksos 90 perce rvnyeslse intervallumot, vagy a manulis knyszertst (a gpupdate paranccsal). Az NLA miatt nincs szksg a korbban a kapcsolat detektlsra hasznlt ICMP-protokollra sem, amely a tzfalak alkalmazsa szemszgbl nzve is szerencss jdonsg, de az NLA rendelkezik mg olyan lehetsgekkel is, mint automatikus svszlessg de89
Diagnosztika s felgyelet
tektls, illetve (mivel nemcsak a belpsnl mkdik, hanem menet kzben is), pl. a VPN-gyfelek kapcsoldskor megkaphatjk a rjuk vonatkoz hzirendobjektumokat, amely a kvetkez forgatknyv szerint mehet vgbe: 1. 2. A VPN-gyfl csatlakozsnl a Group Policy gyfl detektlja a tartomnyvezrl elrhetsgt Ha a hzirend frissts ciklusa lejrt, vagy sikertelen volt, a GP-gyfl httrbeli frisstst kr a VPN-en keresztl [a User/Computer (Felhasznl/Szmtgp) gra egyarnt] gy nincs szksg jraindtsra vagy kijelentkezsre
3.
Ltezik egy msik, a hzirendekkel kapcsolatos terlet, amelynl mg rgebbi alapokon ll a rendszer, s ez pedig a hzirend sablonok vilga, ahol gyakorlatilag a Windows NT4 ta megllt az id, ugyanazt az .adm kiterjeszts, rugalmatlan felpts, kevsb praktikust megoldst alkalmazza az opercis rendszer. Ennek a Vistval vge, mert ugyan a feldolgozs tovbbra is a registryn keresztl zajlik, a sablonok XML-alapv lettek (.admx) s egyttal a tartalmuk a szoksos 4 alapfjl helyett, tbb mint 130 klnbz fjlban tallhatak meg. Az j formtum lehetv teszi a nyelvfggetlen mkdst is, ugyanis a semleges, neutrlis rszeket szeragaszthatjuk a nyelvspecifikus rszekkel (attl fggen, pl. hogy milyen az opercis rendszer nyelve, s milyen egyb nyelvi csomag van teleptve a gpnkn), azaz a hzirend elemek feliratainak s magyarzatainak fordtsaival.
Az sszes j sablont megtalljuk az j helyn a %windir%\PolicyDefinitions mappban, a nyelvfgg rszeket pedig ugyanit egy <orszgkd> mappban, .adml formtumban.
A szerkezeti, mkdsbeli vltozsok krben, meg kell emltennk mg azt a pozitv fejlemnyt is, hogy a hzirendek naplzsval s hibakeressvel kapcsolatos rettenetes erfesztseknek is vge szakadhat. Ez azrt lehetsges, mert a valsznleg sokak szmra ismers Userenv.log fle kvethetetlen naplzs helyett az j esemnynaplban kln naplkategriba kerlt a hzirendekkel kapcsolatos esemnyek egy rsze. Azrt csak egy rsze, mert a Rendszernaplban (System log) is megmaradnak a hzirendekkel kapcsolatos, inkbb az zemeltetkre vonatkoz esemnyek bejegyzsei, viszont a konkrt mkdssel kapcsolatos esemnyek lersa, rthet s rtelmezhet formban (felhasznlnv, GPOlista, dtum, feldolgozsi id stb. felsorolssal) az j kategriban tallhat meg.
A helyi hzirendek A Windows Vistban sokat vltozott helyi hzirend ltalnos bemutatsa. Fjlnv: I-2-3aHelyi-hazirendek.avi
90
A helyi hzirend
91
Diagnosztika s felgyelet
Gyakorlati pldk
A helyi hzirendben is sok-sok opci ll rendelkezsnkre a szmtgp s a felhasznli profilok mkdsnek testreszabshoz, persze tisztban kell lennnk azzal a tnnyel, hogy az elrhet opcik szma nagysgrenddel alacsonyabb a helyi hzirendek esetben mint a tartomnyi krnyezetben. Ennek az lltsnak viszont nmikpp ellentmond a Windows Vista, amelyben a helyi gp hatkrben alkalmazhat lehetsgek szma is drasztikusan megntt.
92
A helyi hzirend
Az albbi listban nhny tovbbi j, vagy megjult hzirend opcit emelnk ki, a teljessg ignye nlkl, elszr a hzirendbl mdosthat biztonsgi belltsokra: Windows Defender A szolgltats engedlyezse/tiltsa A szignatrk letltsnek konfigurlsa
Internet Explorer biztonsgi znk konfigurcija Windows Firewall with Advanced Security A tzfal s az IPSec kapcsolatok belltsainak teljes lefedettsge
Eszkzteleptsek ellenrzse Engedlyezs/tilts klnbz feltteleknek megfelelen Eszkz azonost alapjn (csak bizonyos tpusok hasznlhatk)
User Account Control mkdsnek belltsai Jogosultsgi szint emelsnek mdjai Secure Desktop hasznlata Fjlrendszer- s registry-virtualizci engedlyezse/tiltsa
Kvetkezzen csak a felsorols szintjn - nhny tovbbi plda az j vagy a megvltozott hzirend opcikra.
93
Diagnosztika s felgyelet
Energiaellts Az sszes ltez energiaelltsi bellts helyet kapott a Vista hzirendekben, s persze van lehetsg egyni smk ltrehozsra is. Ez nem kevs anyagi megtakartst jelenthet a cgek, szervezetek szmra. rdekessg a megoldsban, hogy a be nem lpett felhasznlk szmra is van szably.
94
A helyi hzirend
A hzirenden keresztl tilthatv vlik az USB-meghajtk, a CD-RW, DVDRW s egyb eltvolthat mdia hasznlata. rsi s olvassi hozzfrstpusok kzl vlaszthatunk s szmtgpre, illetve felhasznlra is korltozhatunk. Nyomtatkkal kapcsolatos lehetsgek Szintn teljesen j opci az adott nyomtat hzirendbl trtn automatikus teleptse, illetve eltvoltsa gpeknek, illetve felhasznlknak. Arra is van lehetsgnk, hogy a megbzhat felhasznlk szmra delegljuk a nyomtatk teleptst, illetve engedlyezznk vagy tiltsuk a megbzhat / nem megbzhat illesztprogram rendszerbe illesztst.
2.32. bra: Csoporthzirend-szerkeszt nyomtatk Gyakorlati pldk a helyi hzirendekre, eltr felhasznli hzirendek Ebben az eladsban az j hzirend opcik kzl szemezgetnk, valamint megnzzk, hogyan lehet egy munkacsoportba tartoz gpen felhasznlnknt eltr hzirendet kszteni. Fjlnv: I-2-3bHelyi-hazirend-peldak.avi
95
HARMADIK FEJEZET
Az gyfelek biztonsga
A fejezet tartalma:
Biztonsg: ltalnos bevezet ............................................................................ 97 Az erforrs-kezels alapjai ............................................................................... 98 Windows XP Service Pack 2 biztonsgi vltozsok ........................................ 129 jdonsgok a Vista biztonsgi rendszerben .................................................. 131 A biztonsgi rendszer sszetevi...................................................................... 153 Ments s visszallts ..................................................................................... 174
Az gyfelek biztonsga
illetve felgyelete. Az informatikai infrastruktra biztonsgoss ttele kt alapvet clt kell, hogy kitzzn maga el: amennyire csak lehet, cskkenteni a kls s bels incidensek szmt, valamint nvelni az esetlegesen mgis elfordul hibk szlelsi arnyt. Ha ezt a kt terletet megfelelen ellenrzsnk alatt tudjuk tartani, ltalban biztonsgos krnyezetrl beszlhetnk. Mivel a teljes infrastruktra is tbb szintbl ll, a biztonsgi megoldsok is tbb rtegre bonthatk, gy a fizikai biztonsgtl (a helyisg rzse) egszen az adatok kpernyn trtn megjelentsig szmos kaput pthetnk fel.
Szndkaink szerint ebben a fejezetben, (illetve a knyv ms pontjain is) az els hrom szinttel foglalkozunk rszletesen, azaz az adataink, az alkalmazsaink, illetve magnak az opercis rendszernek a vdelmre vonatkoz elveket s konkrt megoldsokat ismertetjk.
Az erforrs-kezels alapjai
A felhasznlk (s a szmtgpek) hozzfrst az adatokhoz s egyltaln a rendszer egszhez gynevezett hitelestsi (autentikcis) folyamatokkal biztostjuk. Akr szl gprl van sz, akr hlzatrl, minden felhasznlnak clszeren olyan egyedi azonostja van, melynek segtsgvel egyrtelmen azonosthatv is vlik. A hitelestst mely sorn megbizonyosodunk majd a bejelentkez fl identitsrl az autorizci, vagyis az engedlyek megadsa kvetheti, amely alapja egy elzetes s eltrolt engedly meghatrozsa.
98
Az erforrs-kezels alapjai
ltalnosan elmondhat, hogy a clunk mindig az elgsges, de mgis a lehet legkevesebb jogosultsg kiosztsa. Ennek az elvnek a betartsa a napi gyakorlatban kpes igazn kamatozni, hiszen, ha a felhasznlk a feladataik elvgzshez szksges sszes jogosultsggal rendelkeznek, akkor az informatikai rendszer nem gtolja, hanem elsegti a magas szint munkavgzst. Radsul ha csak a minimlisan elgsges jogosultsggal rendelkeznek, akkor zemeltetknt vagy a szervezet szempontjbl nzve kevsb kell szmolnunk a vtlen vagy szndkos biztonsgi problmkkal.
Hitelests
Engedlyezs
A hitelests
A hitelests folyamata felttelezi a hitelest jelenltt is, amely a szmtgpes krnyezettl fggen tbbfle lehet, mi most hrom alappldt emelnnk ki: 1. Hitelests helyben, azaz interaktv belpssel az adott szmtgpen. Ekkor a felhasznlnak rendelkeznie kell az adott gpen rvnyes belpsi lehetsggel, azaz, a gp sajt felhasznli adatbzisban valamilyen mdon szerepelnie kell a fikjnak. Ekkor teht az adott gp a hitelest, s csak felhasznli fikokat tud hitelesteni. 2. Hlzati hitelests. Elssorban munkacsoportos krnyezetben hasznlatos, amikor egy msik a hlzaton jelen lev szmtgpre jelentkeznk be (ezt mindig megelzi a helyi gpre trtn belps). Ennek oka lehet egy megosztott mappa, vagy egy nyomtat elrse. Sok esetben a msik gpre nem ugyanazzal a felhasznlnvvel s jelszval lpnk be, mint helyben, hiszen ilyenkor a msik gp felhasznli adatbzisa a dominns, teht eltrek lehetnek a hitelest adatok. Ekkor teht a msik gpet tekinthetjk a hitelestnek, amely szintn csak felhasznli fikokat tud hitelesteni.
99
Az gyfelek biztonsga
3. Tartomnyi hitelests. A legkomplexebb megolds, amely egyben a legtbbet is nyjtja. Mivel ltezik a tartomny, dolgozik a cmtrszolgltats, a felhasznlk fikjainak s hitelest adatainak trolsa a cmtr adatbzisban trtnik, az engedlyekkel s ms informcikkal egytt. Alapesetben akrmelyik tartomnyi tagsggal rendelkez szmtgpen bejelentkezhetnk a tartomnyba is (ez is az ajnlott, st, sok esetben a helyi belps ilyenkor nem is lehetsges, nincs is szksg r), hiszen a tartomnyvezrlket ezekrl elrjk, amelyek a rajtuk tallhat cmtr adatbzis segtsgvel, kzpontilag kpesek hitelesteni bennnket. De nemcsak az interaktv belps ltezik, tartomnyban lehetsg van a szmtgpfikok ltrehozsra s trolsra, a tartomnytag gpek rendelkeznek jelszval is, gy ezek is belpnek, azaz kpesek hitelesteni is magukat. Tartomny esetn teht a felhasznlk s a gpek esetn is a cmtrszolgltats, illetve ennek konkrt kpviselje, a tartomnyvezrl a hitelest elem. Akr egy helyi gprl, akr egy hlzatrl van sz, a hitelests folyamata sorn a felhasznl jelszavnak biztonsgos trolsa minden esetben alapveten szksges (erre ksbb mg visszatrnk). Az utbbi esetben viszont szmolnunk kell mg azzal is, hogy adott hlzati forgalomban a legtbb esetben a hitelest adatok szllts kzben vdtelenek, azaz megfelel szoftveres, vagy hardvereszkzzel msok szmra is hozzfrhetek, ezrt mindenkppen gy kell kinznik, hogy egyltaln ne jusson elbbre velk az, aki ellopja az adott forgalom rszleteit. De e felttelek teljeslse eltt mg egy fontos lpcsfok van: rendelkeznnk kell a hitelest adatokkal.
A hitelests fszerepli
A rejtlyes cm mgtt nmikpp puritn tartalom ll, azaz ebben a fejezetben a Windows Vista felhasznli fikjairl s csoportjairl lesz sz. Ha nem tartomnyrl beszlnk, hanem nll vagy munkacsoportos krnyezetrl, akkor a felhasznli fik (user account) az adott gp kizrlag csak helyben hasznlhat felhasznljt szemlyesti meg. A fik objektum trolja a felhasznl alapadatait (nevt, csoporttagsgt, ikonjt stb.), s a legfbb feladat az, hogy a rendszer erforrsaihoz hozzfrsi jogosultsgokat definiljunk szmra, illetve hogy a felhasznlk tevkenysge (pl. belps, fjlhozzfrs stb.) nevestve jelenjen meg a naplfjlokban. Emellett termszetesen az eltr munkakrnyezet, illetve az egyedi belltsok elrse is clunk lehet, a klnbz felhasznli fikok ltrehozsa apropjn.
100
Az erforrs-kezels alapjai
A helyi szmtgp viszonylatban a fikok, a jelszavaikkal, a csoportokkal s az egyb, pl. biztonsgi jellemzkkel egytt egy specilis, n. helyi biztonsgi adatbzisban troldnak (Security Account Manager) s amely gyakorlatilag a rendszerler adatbzis egyik gban tallhat meg, de ami egyttal a Windows\System32\Config\SAM fjl tartalma is.
Mg mieltt nekiesnnk a regedit.exe-nek, illetve az emltett fjlnak, tudnunk kell, hogy kicsit nehezen vizsglhatjuk meg ezeket mg teljes kr rendszergazda jogosultsggal is, hiszen a registry ezen ghoz (HKLM\SAM) csak a SYSTEM felhasznlnak van jogosultsga, akinek viszont nincs interaktv belpsi lehetsge a gpen. A SAM fjl pedig az opercis rendszer mkdse alatt szmunkra nem nyithat meg.
A felhasznli fikokat mindig felhasznlnvvel s, (nem ktelezen, de mgis ajnlottan), jelszval klnbztetjk meg egymstl, de tovbbi tulajdonsgai is lehetnek igaz egy helyi fik esetn viszonylag kevs opcival rendelkeznk ezen a terleten (lsd ugyanebben az alfejezetben, ksbb). Fontos jellemzje viszont az adott fiknak a tpusa, amelybl a Windows Vistban kt f, s egy, csak nagyon extrm esetben hasznltat ismernk: 1. Administrator (Rendszergazda) fiktpus: Az Administrators (Rendszergazdk) csoport tagjai, magas jogosultsggal hasznlhatjk a gpet. Alaprtelmezs szerint a telepts sorn megadott fik is ebbe a csoportba kerl, s csak e csoport tagjaknt hozhatunk ltre, vltoztathatunk s trlhetnk tovbbi felhasznli fikokat. A teljessg ignye nlkl, nzzk meg, hogy melyek a legfontosabb tovbbi mveletek, amelyre csak egy admin fik birtokban lesznk kpesek: brmely felhasznl jelszavnak megvltoztatsa; alkalmazsokat telepteni s eltvoltani; a hardver eszkzk eszkzmeghajtit telepteni vagy eltvoltani; mappkat megosztani; engedlyeket s jogosultsgokat belltani ms felhasznlknak (vagy nmaguknak); a ktetek sszes llomnyt elrni, ms felhasznlk fjljait is belertve; fjlok s mappk tulajdonjogt tvenni; a Program Files s a Windows mappkba rni; lementett rendszerfjlokat visszalltani;
101
Az gyfelek biztonsga
a rendszeridt s a naptrt belltani; a Windows Tzfalat konfigurlni; belltani a biztonsgi frisstseket, illetve manulisan biztonsgi frisstseket telepteni.
2. Standard (ltalnos jog) fiktpus: A Users (Felhasznlk) csoport tagjai a korbbi opercis rendszereknl csak egy alapszint jogosultsgcsokorral voltak knytelenek berni. A Windows Vista esetben jelents halads trtnt: itt mr egy standard felhasznl gyakorlatilag mindenre kpes, ami a szmtgp napi hasznlathoz szksges de ha mlyebb, a rendszer biztonsgt, mkdst alapjaiban megvltoztat mveletet szeretnnk elvgezni, akkor rendszergazda segtsgre (vagy jogosultsgra) lesz szksgnk (rszletesebben ezzel a krdskrrel a felhasznli fikok felgyelete (User Account Control, UAC) alfejezetben lesz sz). Lssunk nhny konkrt lehetsget fkpp a viszonyts kedvrt amelyekre a Vistn egy standard felhasznl kpes: sajt jelsz megvltoztatsa; a teleptett programok hasznlata; hardvereszkzk eszkzmeghajtinak teleptse, (ha kln kapunk r engedlyt); a jogosultsgok megtekintse; fjlok ltrehozsa, vltoztatsa s trlse a sajt Dokumentumok mappban, illetve a sajt, megosztott mappkban; a szemlyesen lementett fjlok visszalltsa; a rendszerid s naptr megtekintse, az idzna megvltoztatsa; az energiaelltsi opcik belltsa; belps cskkentett mdban.
3. Guest (Vendg) fiktpus: A Guests (Vendgek) csoportba tartoz fikok megszemlyesti nagyon minimlis jogosultsgokkal rendelkeznek, mlyen a standard felhasznlk jogosultsgi szintje alatt. Ideiglenes jelleggel s/vagy nagyon korltozott hozzfrs cljbl hasznljuk. J plda erre, hogy az azonos nev Guest (Vendg) fik tulajdonosa mg a sajt jelszavt sem hozhatja ltre, a Users (Felhasznlk) csoportnak sem tagja, s alapesetben ez a fik le is van tiltva.
102
Az erforrs-kezels alapjai
A felhasznli fikok kezelse tbbfle helyen is trtnhet a Vistban. Az ltalnos opcikat a Control Panel (Vezrlpult) / User Accounts (Felhasznli fikok) alatt talljuk. nll vagy munkacsoportos krnyezetben itt hozhatunk ltre j fikokat, trlhetjk, tnevezhetjk ezeket, megvltoztathatjuk a tpusukat s a jelszavakat, vagy akr megfelel jogosultsggal ms helyi felhasznlk belltsait is korriglhatjuk. Kapunk lehetsget a profilunk, a hlzati jelszavaink (lsd egy ksbbi alfejezetben) vagy a fjlok titkostshoz szksges tanstvnyok kezelsre is. Ha viszont a gpnk nem nll, hanem tagja egy tartomnynak, akkor itt jval kevesebb lehetsget tallunk a helyi felhasznli fikok kezelsre.
A halad s egyben a klasszikus belltsokat innen munkacsoportos krnyezetben nem rjk el, ellenben a megfelel MMC-konzol segtsgvel mr igen, mghozz az els fejezetben mr ismertetett Computer Management MMC rszeknt (Local Users and Groups Helyi felhasznlk s csoportok). Ezen a felleten mr tbb lehetsgnk is lesz, pldul a Users (Felhasznlk) szakaszon bell, az alaprtelmezs szerint egyformn letiltott Administrator (Rendszergazda) es Guest (Vendg) fikok mellett meg fogjuk tallni a teleptskor ltalunk ltrehozott fikunkat is. E fik tulajdonsglapja krlbell ugyangy nz ki, mint a kvetkez kpen.
103
Az gyfelek biztonsga A Vista klnbz vltozatai alig trnek el a felhasznli fikok s a csoportok kezelst illeten, klnbsg maximum az esetleges tartomnyi tagsg miatt a felsznen, azaz a grafikus felleten addhat. Mivel csak a Business, az Enterprise, illetve az Ultimate vltozatot lptethetjk be tartomnyba, ezrt a szvegben emltett klnbsg is csak ezeknl a vltozatoknl fellelhet. J tudni viszont, hogy a Vista Home Basic, illetve a Home Premium vltozata alatt a Local Users and Groups MMC konzol nem elrhet.
Itt a nv s a lers mellett a fik jelszavra vonatkoz belltsokat is lthatunk, ezek a kvetkezek: User must change password at next logon (A kvetkez bejelentkezskor meg kell vltoztatni a jelszt) A soron kvetkez (vagy akr a legels) belpskor a felhasznlnak meg kell vltoztatnia a jelszavt. Ennek rtelme akkor van, ha rendszergazdaknt nem akarunk jelszt meghatrozni a felhasznlnak, vagy akkor, ha kifejezetten knyszerteni szeretnnk arra, hogy megvltoztassa. User cannot change password (A jelszt nem lehet megvltoztatni) Ha nem akarjuk, a felhasznl nem vltoztathatja meg a sajt jelszavt. Ritkn, esetleg a kzsen hasznlt fikok esetn van rtelme ennek a belltsnak.
104
Az erforrs-kezels alapjai
Password neves expires (A jelsz sohasem jr le) A Vista alapbellts szerint 42 naponknt automatikusan kri a felhasznltl a jelsz megvltoztatst. Ha itt kikapcsoljuk, akkor menteslhetnk ettl.
A maradk kt lehetsg kzl az els a fik letiltsra (Account disabled) vonatkozik, ami gyakorlatilag teljesen felfggeszti, de nem tvoltja el a rendszerbl az adott fikot. A msodik pedig a fik (tbbnyire ideiglenes, pl. tbb helytelen jelsz megads miatt automatikus) kizrsra vagy a mr megtrtnt kizrs feloldsra vonatkozik. E panel kt tovbbi fle is fontos tulajdonsgokat hordoz: A Member Of segtsgvel llthatjuk be az adott fik csoporttagsgt (ha van hozz jogosultsgunk). A Profile fln a felhasznl komplett profiljnak lelhelye szerepel (ha eltr az alaprtelmezett, tbbnyire a \Users\felhasznl_neve mapptl), illetve a logon szkriptjnek (belpsi parancsfjl) neve, amely a felhasznl belpsekor lefut ltalban ktegelt (pl. .bat) llomny megnevezse. Home folder (Kezdmappa): a felhasznl alapknyvtrnak helye, ez ltalban a parancssori ablak (cmd.exe) kezdknyvtra is.
nll gp vagy munkacsoport esetn az utbbi opcikat (a jelszra vonatkozakat is belertve) tipikusan egyltaln nem hasznljuk, ezek elssorban tartomnyi krnyezetben alkalmazott belltsok. Igaz, ebben az esetben viszont nem a helyi gpeken, hanem kzpontostva, a cmtrban trolt felhasznli fik belltsainak szablyozzuk ezeket a lehetsgeket.
Ennek az alfejezetnek a msik f tmja a mr knyszersgbl tbbszr is emltett felhasznli csoportok. Az elz rsz alapjn mr tisztban vagyunk azzal, hogy egy helyi gp esetn milyen f tpusok llnak rendelkezsre ezekbl (Administrators, Users, Guests), illetve azt is lthattuk, hogy egy-egy felhasznl esetn hol llthatjuk a csoporttagsgot. Tekintsk t most a csoportokkal kapcsolatos tovbbi rszleteket! Az sszes opercis rendszerben gy a Windows Vistban is a csoportok ltrehozsnak clja elssorban a felhasznlk fikjainak sszegyjtse, kzs kezelse. Ha ltrehozunk egy csoportot s hozzrendelnk felhasznlkat, akkor pl. a jogosultsgokat, vagy az engedlyeket egy lpsben, minimlis energival kpesek lesznk belltani az adott felhasznli kr szmra. Ezen kvl az objektumokhoz csatolt jogosultsgi listk is kisebb mretek lesznek, teht gyorsabban dolgozza fel, rtkeli ki ezeket az opercis rendszer.
105
Az gyfelek biztonsga
A Windows opercis rendszerek tartalmaznak egy sereg beptett, a telepts utn mr elrhet csoportot, ezek fajtit a kvetkez felsorolsban mutatjuk be (a Vista-specifikus csoportokrl, illetve az elssorban biztonsgi okokbl trtnt felhasznli s csoportvltozsokrl egy ksbbi alfejezetben nyjtunk majd egy rszletes ttekintst). Administrators (Rendszergazdk): A rendszergazdk csoportja, elvileg majdnem az sszes mvelet s feladatkr birtokosa az opercis rendszerben. Backup Operators (Biztonsgimsolat-felelsk): E csoport tagjai biztonsgi mentseket s visszalltsokat vgezhetnek el, azaz ebbl a clbl a ktetetek sszes objektumhoz hozzfrnek. Guests (Vendgek): minimlis jogkrrel rendelkez, specilis csoport, egyetlen tagja alaprtelmezs szerint a mr emltett Guest fik. Network Configuration Operators (Hlzat-belltsi felelsk): A hlzati szolgltatsok kzl bizonyos egybknt rendszergazdai mveletek (TCP/IP -konfigurls, hlzati kapcsolatok engedlyezse, DNS-cache rtse, RAS-kapcsolatok legyrtsa, trlse stb.) elltsra is kpesek lesznek e csoport tagjai. Remote Desktop Users (Asztal tvoli felhasznli): Az els fejezetben emltett Remote Desktop (Tvoli asztal) szolgltats felhasznli, akik jogosultak elrni az adott gpet a Remote Desktop gyflprogrammal. Replicator (Replikl): Fjlok, mappk tartomnyon belli replikcijt teszi lehetv a csoport tagjai szmra. Users (Felhasznlk): A mr tbbszr emltett csoport tagjai az tlagos, standard tpus felhasznli fikok. Minden j fik alaprtelmezett tartzkodsi helye is ez a csoport.
Ha alaposan megvizsgljuk az opercis rendszert pldakppen az adhat jogosultsgok s engedlyek kapcsn, akkor tovbbi, sok esetben nagyon ritkn hasznlt, specilis csoportokra is rbukkanhatunk. Ezek a csoportok nem lthatak a Local Users and Groups (Helyi felhasznlk s csoportok) MMC-ben, s a tagsgi viszonyaikat sem llthatjuk be a felhasznli felletrl (az opercis rendszer vgzi ezt el helyettnk), viszont szksg esetn adhatunk ki szmukra fjlokra s mappkra jogosultsgokat, illetve kaphatnak egyb engedlyeket is. Ezeket a jogosultsg- vagy engedlyhozzrendelseket viszont ltalban nem neknk kell manulisan megtennnk, a gyri alapbelltsok tartalmazzk e csoportok hozzrendelst a szksges erforrsokhoz, objektumokhoz, illetve folyamatokhoz. Tekintsk meg e csoportok listjt is, egy-egy rvid jellemzssel ksrve a felsorolst:
106
Az erforrs-kezels alapjai
Everyone (Mindenki): Ennek a csoportnak az sszes felhasznli fik s egyb, specilis felhasznl tagja (az Anonymous Logon csoport tagjai kivtelvel). Tisztban kell lennnk azzal a tnnyel, hogy ha ennek a csoportnak adunk pl. egy mappn jogosultsgot, akkor az az sszes helyi, vagy tvoli hozzfrs esetn rvnyes lesz. pp ezrt e csoport hasznlata (mg ha igen knyelmes is), nem ajnlott. Mg akkor sem, ha a Windows XP-ben e csoport szmra ltalnosan megkapott Read (Olvass) jogosultsg a Vistban mr nem biztostott.
Authenticated Users (Hitelestett felhasznlk): az Everyone, illetve a Users csoportokhoz kpest egy zrtabb csoport, amely egyrszt az Everyone-nal szemben nem tartalmazza a Guest (Vendg) felhasznlt, az Usersszel szemben pedig csak a valban hitelestett felhasznlkat tartalmazza. Minden felhasznl tagja lehet, aki helyben jelentkezett be, a hlzatbl vagy telefonos kapcsolaton keresztl hasznlja a sz107
Az gyfelek biztonsga
mtgpet. ratlan szably, hogy manulis jogosultsgkiosztsnl, ha minden interaktv felhasznlnak akarunk jogot adni, egy erforrshoz, akkor azt mindig ezen a csoporton keresztl tesszk meg. Anonymous Logon (Nvtelen bejelentkezs): E csoport tagjai szerny lehetsgekkel vannak felvrtezve, mivel olyan felhasznlkrl van sz, akik nem azonostottk magukat nvvel s jelszval. Ilyen felhasznl viszonylag kevs van, ide tartozik pl. az n. null sessionn keresztli elrs (pl. a gpek kommunikcija esetn az IPC$ megoszts hasznlata, lsd ksbb). Helyi alkalmazsa alaprtelmezs szerint viszont tiltott. Batch (Kteg): Azon felhasznlk, akik a nlkl indthatnak el parancsfjlokat, hogy interaktvan bejelentkeznnek (pl. egy program futtatsnak idztse). Creator Owner (Ltrehoz tulajdonos), Creator Group (Ltrehoz csoport): Az erforrsok alaprtelmezett jogosultsgi listjban rendszeresen tallkozhatunk e fikkal, illetve csoporttal, amelyek az adott objektum tulajdonost jellik, azaz azt a felhasznlt, aki ltrehozta az erforrst. A Creator Group hasznlata a Windows opercis rendszerekben nem jellemz, elssorban a POSIX kompatibilits miatt szksgesek. Dialup (Telefonos): Azokat a felhasznlkat jelli meg az opercis rendszer ebbe a csoportba tartoz tagnak, akik aktulisan a telefonos hlzaton keresztl csatlakoznak a szmtgphez. Interactive (Interaktv): Azon felhasznlk a tagjai ennek a csoportnak, akik kpesek manulisan (a felhasznlnv/jelsz prossal) belpni az opercis rendszerbe, belertve a Remote Desktop (Tvoli asztal) szolgltatst hasznlkat is. Network (Hlzat): A hlzaton keresztl kapcsold felhasznlk, akik tipikusan a helyi gp egy megosztott erforrshoz kapcsoldnak.
A felhasznlk s a csoportok kezelse a parancssorbl is megoldhat. A net user s a net localgroup parancsoknak szmtalan, jl hasznlhat paramtere van.
A hitelests protokolljai
A hitelestst tbbfle protokoll segtsgvel bonyolthatjuk le, ezek klnbsge elssorban a hitelests sorn hasznlt jelszavak trolsi mdszerben, kisebb szm esetben a tovbbtsuk mdszerben jelentkezik. Az elgg elterjedt hiedelemmel ellenttben a Windows opercis rendszerek nem troljk el a jelszavakat, pontosabban nem a jelszavakat troljk el, hanem az ezekbl
108
Az erforrs-kezels alapjai
specilis trdelalgoritmusokkal kpzett kivonatokat, ms nven hash-eket. Egy ilyen kivonat mindig teljesen egyedi, gy hasznlhat a jelsz helyett, viszont magbl a kivonatbl semmilyen krlmnyek kztt nem lehetsges visszalltani az adott jelszt.
Egy adott hash birtokban egyetlen mdszernk a jelsz kitallsra a prblgats s sszehasonlts, azaz sok-sok jelsz kivonatnak elksztse, majd az ezek sszehasonltsa a feltrend jelsz kivonatval. Ezt a szaknyelvben brute force mdszernek hvjuk.
A jelszavak trolsi mdszere teht kulcsfontossg a hitelests szempontjbl. A rgebbi hitelestsi megoldsok mellzsnek oka pontosan az, ami ltalban a legfbb kritrium is ezekkel a mdszerekkel szemben: mennyi ideig kpesek ellenllni a feltrs ksrletnek. Mivel a feltrshez szksges szoftverek kdjban matematikai mveletek dominlnak, ahogy n az ezekhez szksges hardverelemek (CPU, RAM stb.) teljestmnye, gy cskkenhet a trsre fordtott id. Mikor tekinthetnk egy mdszert tnyleg biztonsgosnak? Erre kivtelesen van ltalnos rvny szably: ha a vdett adatok megszerzshez szksges id (nagysgrendekkel) tbb, mint amennyi ideig biztonsgban szeretnnk tudni az adott adatokat. A kvetkez lista elemei kzl nhny mr nincs, vagy alig van hasznlatban, de esetleg a kompatibilits miatt szksgesek lehetnek. LAN Manager (LANMAN) Elgg egyszer jelsztrolssal (LM hash) operl hitelestsi mdszer, a rgebbi Windows 3.1x/95/98/Me, illetve MS-DOS opercis rendszerekben volt hasznlatos. A jelszavak kivonatnak elksztse sorn olyan knyszer hinyossgokkal rendelkezik, amelyek miatt ma mr egyszeren s gyorsan lehetsges a megfelel teljestmny hardverrel feltrni. A plda kedvrt nzzk meg, hogyan kszl el egy LM hash: 1. A jelsz nagybetstse (teht teljesen mindegy, hogy felvltva hasznlunk-e kis- s nagybetket!) 2. A jelsz kiegsztse szkzkkel, 14 bjt hosszsgra (teht, ha egy 9-karakteres jelszavunk van, akkor gyakorlatilag egy 7 s egy 2 karakterbl ll rszt kell feltrni, mivel az utols 5 karakter tuti, hogy szkz lesz!) 3. A 14-bjtos jelszbl (14 8 = 112 = 2 56 bit) 2 db DES kulcs kszl.
109
Az gyfelek biztonsga
4. A kt 56-bites DES kulccsal titkostunk egy mindig lland (!) sztringet (KGS!@#$%). 5. Az eredmny 2 8 bjt, sszesen teht egy 16-bjtos hash. Lthat, hogy tbb furcsa anomlia is jellemz erre trolsi mdszerre, amelyek nagyban segtenek a brute force alkalmazsoknak, hogy pillanatok alatt elrjk a cljukat, ezrt aztn a LANMAN hitelests ma mr tnyleg teljesen elavultnak szmt s veszlyes a hasznlata. NTLMv1 (NT LAN Manager v1) Krds-vlasz (Challenge/Response) elven mkd autentikcis protokoll. Az NTLM hasznlatakor a hitelestst kr gyfl egy vletlenszeren generlt 8-bjtos kihvst (challenge) kap a kiszolgltl, melyet aztn a felhasznl jelszavval titkost s visszakld, nmikpp feltuprozva, sszesen 2 24 bjtban. Az NTLMv1 protokollt tipikusan a Windows NT 4 SP4 eltti rendszerekben alkalmaztk, s ma mr szintn nem nyjt elgsges vdelmet, hiszen amellett, hogy egyrszt az MD4 (Message Digest 4) algoritmust hasznlja az NT hash elksztshez (ami anno elg ers titkostsnak szmtott), az imnti ismers, az LM hash is ugyangy rsze lesz a vlasznak, s gy nem jutunk sokra vele. NTLMv2 Az els verzi kriptogrfiailag megerstett vltozata, a Windows NT 4 SP4 javtcsomag ta hasznlhatjuk, a ksbbi rendszerek termszetesen mr alaprtelmezsben tartalmazzk. Ha nem ll rendelkezsre a Kerberos protokoll (pl. webes hitelestsnl vagy tartomnyon kvl, vagy ha IP-cm alapjn kell hitelesteni), akkor tkletesen megfelelnek tekinthet, hiszen erssgt tekintve gyakorlatilag az NTLMv2 szmt az sszes mdszer kzl a legjobbnak: 128-bites kulcsteret hasznl, kln-kln kulcsokkal az zenet hitelessg s integrits biztostsra, s az MD4 helyett a HMAC-MD5 kivonatokkal operl.
Egyes hash-algoritmusok lehetv teszik, hogy paramterezzk ket, azaz a kimenetket kicsit megvltoztathatjuk, amelyet szsnak (salted) is hvnak. Ez a mdszer lehetv teszi, hogy a hash mindig egy kicsit msmilyen legyen, ezzel is neheztve az ellops lehetsgt. A korbban emltett 8-bjtos kihvs pontosan errl szl, de ez csak a kezdet. Ma az egyik legjobb sszr a HMAC algoritmus (Hash Message Authentication Code), melyet gy terveztek, hogy a meglv s bevlt algoritmusokkal vltoztats nlkl egyttmkdjn. gy jhet ltre a HMACMD5, amely nevbl kitallhat, hogy a HMAC egy komoly preparlst vgez az adatokon, s ennek az eredmnyt juttatja el az eredeti MD5 algoritmushoz.
110
Az erforrs-kezels alapjai
Mindkt NTLM-hitelestsi protokoll kzs htrnya viszont a relatve nagyobb hlzati forgalom generlsa, amely pldul a kivonatok minden egyes alkalommal trtn elkldsben nyilvnul meg, s ez egyben emiatt nagyobb sebezhetsget is jelent. Kerberos V5 A Microsoft a Kerberost (pontosabban ennek V5-s verzijt) vlasztotta a cmtrszolgltats alaprtelmezett hitelestsi protokolljv a Windows 2000 Serverben, s ez azta sem vltozott. A Kerberos fbb elnyei kz tartozik a platformfggetlensg (mivel egy RFC-ben rgztett tpus hitelestsi mdszerrel llunk szemben), a minimlis hlzati plusz forgalom, valamint a biztonsgi hzirendbl trtn konfigurlhatsg. A Kerberos V5 nlklzhetetlen szolgltatsa a kulcsszolgltat kzpont (Key Distribution Center KDC), mely Active Directory cmtrszolgltats rszeknt minden tartomnyvezrln fut. A KDC felel a jegyek kldsekor hasznlt titkostkulcsok generlsrt s folyamatos zemeltetsrt. A KDC az sszes tovbbi a tartomnyvezrlkn fut biztonsgi szolgltatssal integrlva van, illetve az AD adatbzist, (illetve a globlis kalatgust is) hasznlja sajt adatbzisaknt. A Kerberos V5 hitelestsi folyamata egyszerstve a kvetkezkppen mkdik (termszetesen az egsz hitelestsi folyamat lthatatlan a felhasznl szmra): 1. Az gyflgpen belpni szndkoz felhasznl jelsz s/vagy intelligens krtya hasznlatval hitelesti magt a szintn a tartomnyvezrlkn fut sszetev, a hitelestsszolgltat (Authentication Service AS) fel. 2. Az AS leellenrzi a felhasznlt az AD segtsgvel, majd felveszi a kapcsolatot a KDC-vel az j kulcs legyrtsa rdekben. 3. A KDC egy egyedi (session) kulcsot biztost az gyflnek. Az AS ezt egy specilis jeggyel (Ticket Granting Ticket TGT) egytt kldi el a felhasznlnak. A TGT azrt is fontos (az gyfl el is trolja), mert a tovbbi jegyeket is ezzel lehet majd krni, immr anlkl, hogy a jelszra/felhasznlnvre szksg lenne. Ez a kedvezmny persze nem tart rkk, alapbellts szerint mindsszesen csak 10 rig. 4. Az gyfl a nla lv TGT felhasznlsval jegyet kr s kap a harmadik fontos kiszolgloldali komponenstl, a Ticket Granting Service-tl (TGS).
111
Az gyfelek biztonsga
5. Vgl az gyfl ezt a jegyet mutatja be a krt hlzati szolgltatsnak (azaz az NTLM-mel ellenttben nem utazik minden alkalommal a jelsz kivonat a hlzaton!), pl. jelen esetben a tartomnyi belpst kontrolll tartomnyvezrlnek, s kap engedlyt a tartomnyi belpsre. Ha ezek utn az adott 10 rn bell valamilyen ms szolgltats esetn jra igazolnia kell magt, akkor a letrolt TGT-vel megint kr egy szolgltatsjegyet, s aztn csendben ezt bemutatja a kr fel.
A Kerberos V5-szolgltats minden tartomnyvezrln, a Kerberos-gyfl pedig minden munkallomson alaprtelmezsknt teleptve van, s aktv. Minden tartomnyvezrl kulcsszolgltatknt mkdik, az gyfelek hitelestskor DNS-lekrdezssel keresik meg a legkzelebbi tartomnyvezrlt. A bejelentkezs sorn ez a megtallt tartomnyvezrl szolgl kulcsszolgltatknt a felhasznl szmra. Ha az elsdleges kulcsszolgltat elrhetetlenn vlik, a rendszer j kulcsszolgltatt keres a hitelests vgrehajtshoz. Ha egyetlen kulcsszolgltat sem elrhet, a belps meghisul.
A felhasznlk hitelestse egy- vagy tbbfaktoros mdszerrel is trtnhet. Tbbfaktoros hitelestsnek nevezzk azt az azonostsi metdust, ahol nem csak egy nv/jelsz prossal, hanem egyb rendelkezsre ll eszkzkkel, pldul intelligens krtyval, vagy egyb hitelest hardverkulccsal (pl. SecurIDeszkzk), egyarnt azonostjuk magunkat.
112
Az erforrs-kezels alapjai
A multifaktoros hitelests lnyegesen biztonsgosabb belpst tesz lehetv, hiszen a felhasznlt nemcsak jelszava, vagy kdja azonostja mely esetleg kitallhat, vagy ms egyszer mdon megszerezhet hanem a fizikailag birtokolt eszkz is. Ilyenkor teht nemcsak tudunk valamit (a jelszt), hanem a van valamink elv is rvnyesl. Az intelligens krtya (SmartCard) hasznlata esetn a felhasznlnak a krtya PIN-kdjt kell csak ismernie, s a bejelentkezskor szksges a krtya is. A PIN-kd lehet egyszer is (pl. 4 karakter), de ez nem gond, mivel nem megy t a hlzaton, hanem a Crypto API-n egyenesen thaladva a krtyhoz tartoz Crypto Service Provider segtsgvel lejut az eszkzbe. Ez az tvonal elgg biztonsgos, gyakorlatilag lehallgathatatlannak tekinthet.
Radsul a krtyk ltalban rendelkeznek nmegsemmist szolgltatssal, vagyis X darab sikertelen bejelentkezs utn hasznlhatatlann vlnak, illetve le is jrhatnak, azaz Y idej inaktivits utn szintn nem hasznlhatak.
A Windows vilgban a kiszolgl s gyfl oldali opercis rendszerek s alkalmazsok (Active Directory cmtr, ISA Server, Vista stb.) tbbflekppen tmogatjk a multifaktoros hitelestsi tpusokat is, van, amelyiket teljesen integrltan (pl. az intelligens krtyk), s van, amelyeket csak kzvett, tovbbt kzegknt, egy-egy kls, kln telepthet alkalmazs fel (pl. RSA SecurID).
A jogosultsgok
A jogosultsgok definiljk a hozzfrs tpust egy erforrshoz, vagy mskpp fogalmazva, a sikeres hitelests utn a jogosultsgok alapjn hatrozhatjuk meg, hogy pldul a felhasznl vagy a szmtgp az adott objektumokkal milyen mveleteket vgezhet. Teht az engedlyezs (autorizci) folyamatnak az alapjt jelentik. A jogosultsgokat mindig az objektumokon rvnyestjk, melyek listjt az albbi felsorolsban foglaltuk ssze (a kvetkez alfejezetekben pedig rszletezzk is ezeket): NTFS-lemezeken trolt fjlok s mappk; mappamegosztsok a hlzat felhasznli szmra (a helyi felhasznlknak is lehetsges, csak kevs rtelme van); megosztott nyomtatk helyi s hlzati felhasznlk szmra.
113
Az gyfelek biztonsga Jogosultsgokat a lista elemein kvl bellthatunk ms rendszerobjektumok esetn is, pl. a rendszerfolyamatok (processzek), rendszerszolgltatsok (szervizek), a registrykulcsok s bejegyzsek, vagy akr tartomny esetn a cmtrszolgltats objektumain is.
Az azonosts (pl. a rendszerbe val belps) utn a felhasznl egy testre szabott n. access tokent kap, ami tartalmazza jogosultsgait, csoporttagsgt stb. A klnbz szolgltatst nyjt eszkzk ksbb ezt az access tokent ellenrzik, majd ennek tartalma alapjn dntik el, hogy a felhasznl hozzfrhet-e egy erforrshoz (megosztott fjlhoz, szmtgphez stb.), vagy sem. Az egy-egy objektumhoz rendelt hozzfrseket gynevezett hozzfrsi listkban (Access Control List ACL) rgztik. Az opercis rendszer az ACL-ek alapjn engedlyezi vagy tagadja meg a hozzfrst az objektumokhoz, az ACL-ek pedig gynevezett Security Identifierek (SID) segtsgvel azonostjk a felhasznlt vagy a szmtgpet. Az egyedi SID-eket a hitelest informcikat trol kiszolgl generlja, azaz pldul a helyi gp, vagy ppen a tartomnyvezrl. A Security Identifierek felptse a kvetkezkpp alakul: (pldul: S-1-512-7623811015-3361044348-030300820-1013, rszeit egy tblzatban foglaljuk ssze). S 1 5 12-7623811015-3361044348030300820 1013 A karakterlnc biztonsgi azonost voltt jelli Fellvizsglati szint, az rtke lland Az azonost hozzfrsi rtke A tartomnyi vagy helyi szmtgp-azonost A relatv ID (RID), minden nem beptett (teht ltrehozott) felhasznl vagy csoport RID-je 1000-nl nagyobb lesz.
Ahogyan mr emltettk, a Windowsban tbb elre definilt felhasznli-, szolgltatsfik, illetve felhasznli csoport is ltezik, ezek SID-jei minden esetben llandak, gy a gyakorlottabb rendszergazdk akr a nv lthatsga nlkl is azonosthatjk ezeket (pldul esemnynaplkban, hibakeres szoftverekben). A legfontosabb kzismert (ms nven: well-known) SID-ek a kvetkezk: S-1-5-18 S-1-5-19 S-1-5-20 LocalSystem szolgltatsfik LocalService szolgltatsfik NetworkService szolgltatsfik
114
Az erforrs-kezels alapjai
S-1-5-21<tartomny hash-e> -500 S-1-5-21<tartomny hash-e> -501 S-1-5-21<tartomny hash-e> -512 S-1-5-21<tartomny hash-e> -514
Administrator (Rendszergazda) felhasznl Guest (Vendg) felhasznl Domain Admins (Tartomnygazdk) csoport Domain Guests (Tartomnyi vendgek) csoport
A beptett (built-in) felhasznlk s csoportok SID-jnek teljes listjt a Microsoft KB243330 szm tudsbziscikke sorolja fel. (http://support.microsoft.com/kb/243330)
A SID-ek lekrdezsre hasznlhatjuk az integrlt whoami parancsot, tbbfle paramterrel is, pl. a whoami/user az aktulis felhasznl SID-jt mutatja meg. Az objektumok ACL-jeit s minden egyb jogosultsggal kapcsolatos informcijt az n. Security Descriptor trolja. Egy objektum Security Descriptorja a kvetkez elemeket foglalja magba: tulajdonos SID-je; csoport SID-je (az objektum elsdleges csoporttagsgt adja meg, a Windows ltalban nem hasznlja); hozzfrsi listk: DACL (Discretionary Access Control List): a felhasznlk s csoportok konkrt jogosultsgi szintjeit hatrozza meg, azaz, hogy ki, mit tehet meg pl. az adott fjllal. SACL (System Access Control List): a hozzfrsek naplzsi mdjt hatrozza meg, azaz, hogy kinek milyen sikeres vagy ppen sikertelen, az objektumon vgzett mvelett kell naplzni.
bejegyzsek (Access Control Entry, ACE): egy-egy konkrt jogosultsgi bejegyzs az adott hozzfrsi listban (pldul: Everyone Read).
115
Az gyfelek biztonsga
A fjlrendszer-jogosultsgok
A Windows opercis rendszerek tipikus fjlrendszere, az NTFS esetn a jogosultsgokat tbb klnbz szempont szerint csoportosthatjuk, ezek egyike a mvelet tpusa, melyekre a kvetkez pldk hozhatak fel: Engedlyezett: az adott felhasznl/gp szmra az objektumhoz az adott mvelet engedlyezett. Megtagadott: A tilts mindig magasabb rend, mint az engedlyezs, ezrt, ha mindkt opci be van jellve, a tilts rvnyesl. Nincs megadva: a jogosultsg alaprtelmezsknt nincs definilva, hatsa egyenrtk a tiltssal. rkltt: az objektum a szlobjektum (egy vagy tbb szinttel feljebb lv gyjtobjektum) jogosultsgaival rendelkezik. Az rkltt jogosultsgi belltsokat ltalban kiszrktett vagy teli jelldobozok mutatjk. Az rkldsi gat megszakthatjuk, azaz egy alsbb objektumnl egyni hozzfrst konfigurlhatunk, ekkor az alsbb objektumnl exkluzv mdon adhatunk hozz, vagy vehetnk el jogosultsgot.
A fjlrendszer-jogosultsgokat elssorban a grafikus felhasznli felletrl kezeljk amennyiben megvan a kell hozzfrsnk az objektumhoz. A vltoztatshoz egyszeren kattintsunk jobb gombbal az elemre, majd vlasszuk a Properties (Tulajdonsgok) parancsot s vltsunk a Security (Biztonsg) flre. Itt az egyes hozzrendelt felhasznlkat s azok alapvet rvnyes jo116
Az erforrs-kezels alapjai
gosultsgait tekinthetjk s vltoztathatjuk meg, de ttekinthetbb s kezelhetbb listt kapunk az sszes biztonsgi belltssal egytt, ha az Advanced (Specilis) gombra kattintunk. Nzznk egy konkrt pldt, azaz egy mappa jogosultsgi listjt
1. A TORONY\gtamas felhasznlnak teljes jogosultsga (Full control) van a mappn, s nem rklte (not inherited) hanem manulisan kapta. Ez a mappa egy tartomnyba lptetett gpen tallhat, ennek ellenre a helyi gp (TORONY) egy csoportjnak vagy felhasznljnak is adhatunk jogosultsgot 2. A testadmin felhasznl tartomnyi felhasznl, de ettl fggetlenl is kaphat jogokat a helyi gpen, de neki csak olvassi joga van, rs nincs, valamint az is lthat, hogy az jogosultsga sem rkld. 3. TORONY\Administrators csoportnak szintn teljes jogosultsga van az adott mappn. Az rdekes ebben az, hogy ebbe a csoportba beletartozik a testadmin felhasznl is, ergo az elz sor teljesen felesleges. Emellett az is ltszik, hogy ez a csoport a D: meghajt gykertl kapja rkls tjn ezt a jogosultsgot, automatikusan.
117
Az gyfelek biztonsga
4. A SYSTEM nev fik magt az opercis rendszert, pontosabban a rendszerszolgltatsokat testesti meg, ennek megfelelen minden jogosultsga megvan, ami csak ltezik (Full Control). 5. Az Authenticated Users (Hitelestett felhasznlk): Ez a csoport az adott mappn mdostsi joggal rendelkezik, teht egy fokkal magasabbal, mint a szimpla Users csoport. 6. A TORONY\Users csoport tagjainak olvassi joga van. Nem ltszik a kpen, de ebbe a csoportba beletartozik a gtamas es a gjakab nev felhasznl is. Mgis klnbzek lesznek a jogaik, mert a msodik sorban kln, engedkenyebb szablyzst kapott a gtamas, mg a gjakab nem, teht r a csoportnak adott egyszer olvassi jog vonatkozik csak. 7. A HOMENET\Guest csoport tagjainak nem rkld, viszont mindent tilt jogosultsga van. Ez akkor is gy lenne, ha egy msik sorban kapott volna brmilyen engedlyt is ez a csoport, hiszen a tilts mindent visz. Egy fontos dolgot amelyrl mr volt sz korbban immr konkrtan is megfigyelhetnk: a jogosultsgokat ltalban a csoportoknak osztjuk, jelen pldban csak a jobb magyarzhatsg kedvrt vettem fel a listba a testadmin s a gtamas felhasznlkat, egybknt alaprtelmezs szerint is csak csupa csoportot lthatnnk. Ennek az elvnek alapos oka van, ti. lnyegesen knnyebb utlag bevenni egy felhasznlt egy csoportba, mint 10, 20 stb. helyen egyesvel berakni a szksges jogosultsgi listkba.
Egy msik megfontoland, s szintn ratlan szably az, hogy az tlthatsg s az egyszerbb kezels miatt nem fjloknak, hanem a fjlokat trol mappknak osztunk engedlyeket. Az rkldst viszont a legritkbb esetben kapcsoljuk ki, inkbb tervezzk meg alaposan a hatst. Szintn csak indokolt esetben hasznlatos az explicit tilt (Deny) jogosultsg, ltalban bven elegend, ha az adott csoport/felhasznl implicit tiltst kap, azaz nem szerepel a jogosultsgi listban.
Ha viszont nem ragadunk le a Permissions (Engedlyek) els jogosultsgi ablaknl, akkor tbb rdekes s fontos lehetsgre is rbukkanhatunk ezen az ablakon bell, nzzk meg ezek rszleteit is: Permissions fl / Edit (Szerkeszts) A jogosultsgok rszletes belltsra, valamint pldul az rklds megvltoztatsra is lehetsgnk nylik. Kt opcink van itt: Include inheritable permissions from this objects parent (Szlobjektum rklhet engedlyeinek hozzvtele) A jelenlegi, rklt jogosultsgok teljesen eltvolthatak, vagy lemsolhatak s szerkeszthetek szabadon.
118
Az erforrs-kezels alapjai
Replace all existing inheritable permission on all descendants with inheritable permissions from this object (A meglv rklhet engedlyek lecserlse az ezen objektumtl rklhet engedlyekre az sszes gyerekobjektumon) azaz az adott szinten lv jogosultsgok lefel (almappkba s fjlokra) trtn erszakos kiknyszertse.
Ha errl a pontrl visszalpnk egyet, akkor elnaviglhatunk az Auditing (Naplzs) flre is, ahol az adott mappa vagy fjl hozzfrsnek naplzst llthatjuk be. Nhny tudnival ehhez a lehetsghez: Alaprtelmezsben csak a rendszergazda-csoport tagjaknt tehetjk meg az auditls belltst. A lista kialaktsa ugyangy mkdik, mint a jogosultsgoknl. Az rklds elvgsa s kiknyszertse is ugyanazt a mdszert kveti. Az eredmnyt az esemnynaplban talljuk, konkrtan a Security (Biztonsg) naplban. A fjlrendszer hozzfrseinek naplzshoz nem elg itt belltani a paramtereket, globlisan is engedlyezni kell ezt a lehetsget. Ezt a helyi vagy a csoporthzirendben tehetjk meg, a Audit Policy (Naplrend) opcik kztt az Audit object access (Objektum-hozzfrs naplzsa) belltsval.
Lpjnk tovbb, s tekintsk meg az Owner (Tulajdonos) fl tartalmt. Itt megvizsglhatjuk, illetve megfelel jogosultsggal mdosthatjuk az adott objektum tulajdonosi viszonyait, lvn minden egyes erforrsnak (a hlzati megosztsok kivtelvel) ltezik tulajdonosa is. Ha pldul a felhasznl ltrehoz egy mappt, akkor automatikusan vlik a tulajdonoss. rdekes jellemz, hogy annak ellenre, hogy a tulajdonosi viszonnyal nem felttlenl jr egytt a legmagasabb jogosultsg, (ha van egyltaln brmilyen is), viszont a jogokat gond nlkl kioszthatja msoknak.
Rendszerfelgyeleti szempontbl lnyeges dolog, hogy a tulajdonos sz nlkli jogosultsgosztogatsi lehetsgt fkezve, a rendszergazdacsoport tagjai rendelkeznek a Take Ownership (Sajt tulajdonba vtel) jogosultsggal. Ez akkor is gy van, ha a tulajdonos letilt bennnket. Ez azrt fontos, mert nha mikor mint zemeltetk nem szerepelnk a jogosultsgi listban s nem vagyunk tulajdonosok sem ezzel a joggal felvrtezve, a sajt tulajdonbavtel lesz a mentsvrunk a fjl biztonsgi belltsainak megvltoztatsra.
119
Az gyfelek biztonsga
A kvetkez fl, az Effective Permission (Hatlyos engedlyek) egy kifejezetten hasznos eszkz, amellyel egy a rendszerben lv tetszleges felhasznl vagy csoport konkrt s aktulis jogosultsgait kilistzhatjuk, az adott mappra vonatkozan. Ezzel pillanatok alatt kiderlhet, hogy az esetlegesen jl sszekuszlt csoport-, illetve egynileg kapott jogosultsgok halmaznak mi a vgeredmnye.
120
Az erforrs-kezels alapjai
Modify (Mdosts): A Write + a Read and Execute egyttese Full Control (Teljes hozzfrs): Minden ltez jogosultsg
Azt is tisztn kell ltnunk, hogy ezek gyakorlatilag jogosultsgcsoportok, amelyeknek tovbbi konkrt elemeik is vannak, azaz ennl sokkal finomabban is szablyozhatunk, ha a kvetkez kpen lthat, rszletes mappa jogosultsgokat hasznljuk. A fjlokkal kapcsolatban ugyanezeket az alapjogosultsgokat kapjuk, azonban a jogosultsguk egyszerbb, hiszen pldul egy Delete Subfolders and Files (Almappk s fjlok trlse) rszletes jogosultsgbl csak az egyik rsz lehet rvnyes esetkben.
121
Az gyfelek biztonsga
3.10. bra: A jogosultsg kioszt parancssori eszkz szintn univerzlis Jogosultsgkezels alapok Ebben a screencastban az opercis rendszer partci, fjl- s mappa szint hozzfrseinek szablyzsrl lesz sz, rszletes pldkon keresztl. Fjlnv: I-3-1aJogosultsagkezeles.avi
122
Az erforrs-kezels alapjai
nem az egyes felhasznlk vgzik (viszont csak az emelt szint jogosultsggal rendelkez felhasznlk indthatjk a megoszts folyamatt), hanem az opercis rendszer. Ez azrt fontos, mert ennek megfelelen a hlzati megoszts elrshez elg a szmtgp bekapcsolt llapota, nem szksges egy-egy felhasznl interaktv belpse. Ebbl az is kvetkezik, hogy a konfigurlt megosztsok a rendszer jraindtsa utn is megmaradnak s a kvetkez alkalommal is elrhetek lesznek.
A megosztsok belltshoz s mkdshez a File and Printer Sharing (Fjl- s nyomtatmegoszts) szolgltatsnak engedlyezve kell lennie az adott hlzati profilban. Ezt a Network and Sharing Centerben (Hlzati s megosztsi kzpont) tudjuk ellenrizni.
ltalban szksges s elvrt lps a megosztsokhoz jogosultsgokat is kiosztani. Ez esetben mindenkppen hitelestenie is kell magt az gyflgp felhasznljnak. A mappamegosztsoknl alapveten csak hrom jogosultsgi szint ltezik, amelyek az engedlyek szintje szempontjbl gyakorlatilag teljesen megegyeznek az NTFS ugyanilyen nev jogosultsgaival: Read (csak olvass), Modify (mdosts), Full Control (teljes hozzfrs).
Fontos tudni azt is, hogy a helyi fjlrendszeren (NTFS) rvnyes s a hlzati megosztsnl megadott jogosultsgok kzl prhuzamossg esetn mindig a szigorbb, (ms szval a klnbz jogosultsgok metszete), lesz az rvnyes, teht ha az egyik ponton csak olvasst, a msikon pedig rst is engedlyeznk az objektumhoz, akkor csak olvassra frhetnk majd hozz. Szemlltessk ezt egy plda segtsgvel: a gtamas felhasznl tagja a Users, illetve a HaladoUsers csoportnak is. A D:\Temp mapphoz emiatt aztn tbbfle NTFS-jogosultsga is van, illetve mivel ez egy megosztott mappa is egyben, s ms gprl is el kell rnie, megosztsi joggal is rendelkezik a csoporttagsga rvn. Felhasznl/ csoport gtamas Users HaladoUsers sszegzs NTFS jogok Full Control Modify Modify Full Control Megoszts jogok Read Read Read Read rvnyes jog
123
Az gyfelek biztonsga
A megosztsokat a grafikus felhasznli felleten kvl parancssorbl is kezelhetjk a net parancs use paramterrel trtn hasznlatval. Az aktulis hlzati megosztsok listjhoz csak egyszeren, egyb kapcsolk nlkl adjuk ki a net use utastst.
Specilis megosztsok
A Windows opercis rendszerekben hagyomnyosan s alaprtelmezs szerint lteznek specilis megosztsok is, elssorban a rendszergazdk munkjnak knnytse, illetve a szmtgpek s alkalmazsok egyszerbb kommunikcija okbl. Ezeket Default Administrative Shares-nek (alaprtelmezett felgyeleti megosztsoknak) hvjuk, s a mr tbbszr emltett Computer Management MMC-ben tekinthetjk meg ezek listjt, de a net share parancs is kpes ugyanerre.
124
Az erforrs-kezels alapjai
Ezen megosztsok kzs jellemzje, hogy a nevk a $ karakterrel kezddik, amely gyakorlatilag annyit jelent, hogy a gpnk hlzatbl trtn tallzsnl nem fognak ltszani, csak direktben, kzvetlenl a teljes megosztsi nv (\\gp\megosztas$) formjban lehet ezekre hivatkozni. Viszont mi magunk is hozhatunk ltre a $ jellel rejtett megosztsokat. Az is lthat az brbl, hogy mindegyik partci rendelkezik alaprtelmezs szerint, (anlkl, hogy megosztannk), egy-egy ilyen megosztssal. Ezen kvl a kvetkez specilis mappk rejtett megosztsok is egyben: ADMIN$: Az adott opercis rendszer rendszerknyvtra, ltalban a C:\Windows mappa. IPC$: Hlzatban, a gpek kztti kommunikcit szolgl megoszts (Inter-Process Communication). Print$: nyomtat esetn, a nyomtatmeghajt program lelhelye lesz ez a megoszts, ltalban a C:\Windows\system32\spool\drivers mappa.
Erforrs-megoszts Ebben a screencastban a Windows Vistval kivitelezhet erforrs-megosztsrl, azaz a fjl- s nyomtatkiszolglknti mkds lehetsgeit mutatjuk be. Fjlnv: I-3-1bEroforras-megosztas.avi
125
Az gyfelek biztonsga
Ha megosztunk egy nyomtatt, akkor a jogosultsgi listjba alaprtelmezs szerint bekerl az Everyone csoport, a szimpla nyomtats joggal, tovbb a jogosultsgi listban szerepel mg az Administrators csoport is, az sszes elrhet nyomtatsi jogosultsggal.
A felhasznli engedlyek
Ha szeretnnk tisztban lenni az erforrs-kezels tmakrrel, akkor vilgosan kell ltnunk, hogy a hitelestst kvet engedlyezs folyamata (autorizci) nemcsak a sokkal inkbb a szemnk eltt lv fjl-, megoszts-, vagy pl. a nyomtatsi jogosultsgokra vonatkozhat, hanem az egsz szmtgpet rint engedlyekre is. A klnbsg ppen a hatkr, azaz az engedlyek trgya k-
126
Az erforrs-kezels alapjai
ztt van, mert amg a jogosultsgok ltalban egy-egy objektumot rintenek, az engedlyek az opercis rendszer mkdsvel kapcsolatosak, radsul tbbnyire elgg komoly hatst kifejtve. Ezen engedlyek meghatrozsa, illetve vltoztatsa ltalunk is befolysolhat, mg ha ezt ltalban tnyleg csak indokolt esetben szksges elvgezni. Ahhoz, hogy megtekinthessk a gpre vonatkoz engedly listt, indtsuk el a Local Security Policy (Helyi biztonsgi hzirend) MMC-konzolt.
Ezt az MMC-t csak a Business, Enterprise, vagy az Ultimate vltozatoknl rjk el, viszont ezeknl kpesek vagyunk elindtani egyszeren is: gpeljk be Start/Run mezbe vagy a parancssorba a secpol.msc parancsot.
Ezutn navigljunk el a Security Settings\Local Policies\User Rights Assignment (Biztonsgi belltsok\Helyi hzirend\Felhasznli jogok kiosztsa) pontra, ahol az sszes opcit egy tetszets, csoportostott listban, az MMCkonzol jobboldali keretben lthatjuk.
127
Az gyfelek biztonsga
Rgtn lthat, hogy j pr opci esetn mr az alapbellts, azaz a megfelel felhasznli fikok, illetve a csoportok hozzrendelse megtrtnt, ami azrt logikus, mert pl. az Allow Log On Locally (Helyi bejelentkezs engedlyezse) engedly nlkl senki sem hasznlhatn az opercis rendszert. Ha alaposan megnzzk a lista elemeit, akkor azt is szrevehetjk, hogy nhny esetben az engedlyek eleve tilts formjban is szerepelnek, egy kzs Deny (magyarul viszont tbb, klnfle nyelvtani mdszerrel megoldott) eltaggal: Deny Access This Computer From The Network (A szmtgp hlzati elrsnek megtagadsa) Deny Allow Log On Through Terminal Services (Terminlszolgltatsok hasznlatval trtn bejelentkezs tiltsa) Deny Log On As A Batch Job (Ktegelt munka bejelentkezsnek megtagadsa) Deny Log On As A Service (Szolgltatsknti bejelentkezs megtagadsa) Deny Allow Log On Locally (Helyi bejelentkezs megtagadsa)
Ezeknek az opciknak mindig van teht engedlyez vltozata is, azaz ktfajta mdon is tudjuk finomhangolni a hozzjuk tartoz lehetsget. Alaprtelmezs szerint pl. a helyi belps engedlyezve van a helyi Guest fiknak, illetve az Administrators, Backup Operators, s Users csoportoknak. Ha valamely felhasznltl szeretnnk elvenni a helyi belps jogt annak ellenre, hogy pl. a Users csoport tagjaknt ez jr neki , akkor a tilt opci al felvehetjk, konkrtan nevestve a fikjt. Mivel az tilts ersebb lehetsg, a felhasznl nem fog tudni belpni az opercis rendszerbe. Ezen engedlyek kiosztsa teht a gyri belltson alapul, de akr mi magunk is vltoztathatunk ezen a helyzeten, illetve a rendszer nmikpp egy automatizmussal is sznesti lehetsgeket. Egy plda: ha hlzati megosztsokat engedlyezzk a Network and Sharing Centerben (Hlzati s megosztsi kzpont), s egyttal a jelszval vdett hozzfrst kikapcsoljuk (lehetleg ne tegynk ilyet, ez csak egy plda), akkor a Guest fik kikerl a korbban emltett Deny Allow Log On Locally (Helyi bejelentkezs megtagadsa) engedly opcibl. Az engedlyek listja terjedelmes (kb. 45 db), rtelmk s felhasznlsi terleteik gyakran mly ismereteket ignyelnek magrl az opercis rendszerrl. Ennek a knyvnek nem szndka az engedlyek egyenknti alapos bemutatsa, annyit viszont mindenkppen clszer megjegyezni, hogy ha brmelyik opcit megnyitjuk, akkor az Explain (Magyarzat) fln egy-egy frappns rtelmezst kaphatunk az adott engedly jelentsrl, illetve az esetleges verzi fggsgekrl is.
128
A magyarzatoknak a legtbb esetben rsze a biztonsgi felhvs is, amely szerint vatosan bnjunk a gyri belltsok konfigurlsval vagy az esetleges trlsekkel, hiszen slyos, esetleg visszallthatatlan srlseket is okozhatunk a nem tgondolt vltoztatsokkal.
129
Az gyfelek biztonsga
A felhasznli felleten nem sok minden vltozott, az egyetlen szembe tn jdonsg a Security Center (Biztonsgi kzpont) megjelense volt, mely a Windows beptett s a kls fejlesztk ltal teleptett biztonsgi szolgltatsok (tzfal, antivrus, automatikus frisstsek) llapott felgyeli.
Knyvnkben a Windows XP SP2-ben megjelent Security Center bemutatsa a Vista Security Centerrel egytt trtnik meg, a kvetkez alfejezetben.
130
Vdekezs a mlyben
Ebben a rszben a Windows Vista olyan felszn alatti, gyakran ltalunk nem is befolysolhat, bellthat komponenseinek s szolgltatsainak az ttekintst ksreljk meg, amelyek majdnem 100%-osan jdonsgnak szmtanak. gy gondoljuk, hogy fggetlenl attl, hogy a napi szint zemeltetsben nem tallkozunk konkrtan ezekkel a megoldsokkal hanem ltalban csak maximum az elnyeiket lvezzk , tjkozottnak kell lennnk a biztonsgos mkds megteremtsnek minden rszletvel. Ennek megfelelen a jelen fejezetbe a programkd, a kernel, a rendszerfjlok, s a memria vdelmvel, srthetetlensgvel s mkdsi specialitsaival kapcsolatos tudnivalkat szerkesztettk ssze.
131
Az gyfelek biztonsga A Windows Vista 64-bites tmogatsa az x64-es rendszerek esetben rtend, Itaniumra kszlt vltozatot a Microsoft nem adott ki. A 64-bites opercis rendszerekrl rszletesebb informcit a kvetkez TechNet Magazin cikkbl rhetnk el: http://download.microsoft.com/download/ a/1/a/a1ac3b96-011e-4cca-9dba-78973187567d/26-29.pdf vagy http://tinyurl.com/2q22jz
A 32-bites vilggal egyelre termszetesen fenn kell tartani a kompatibilitst, a kd integrits vdelem gy a 32- s a 64-bites platformokon nmikpp eltren mkdik. x64 Minden kernelmdban fut kdot digitlis alrssal kell elltni. Ez biztostja, hogy a fjl bizonythatan a sajt kiadjtl szrmazzon. Ha a komponens nincs alrva, a Windows megtagadja az llomny futtatst. A kls kdoknak illesztprogramok, segdalkalmazsok stb. WHQL-kompatibilitsi s minsgi, illetve Microsoft Certificate Authority tanstvnnyal kell rendelkeznik. Ez all semmilyen program nem lehet kivtel.
x86 A kompatibilits fenntartsa rdekben a 64-bites platformhoz kpest tbb kompromisszumra is knyszerlt a Microsoft. A digitlis alrst csak illesztprogramok esetn ellenrzi a rendszer, de ha a kd nem rendelkezik ilyennel, a Windows akkor is engedlyezheti a teleptst, ami hzirend, vagy belltsfgg opci is lehet, teht egy vllalati hlzatban megkvetelhetjk a csoporthzirenden keresztl a ktelez alrst. A Microsoft ltal szlltott, beptett eszkzmeghajtk termszetesen mind rendelkeznek alrssal. Az alkalmazsszinten fut programoknl nem kvetelmny sem a digitlis alrs, sem a WHQL-tanstvny, ez azonban szintn a biztonsgi hzirendbl szablyozhat, teht a rendszergazda opcionlisan engedlyezheti a vdelmet.
132
A Vista rendszervdelem
A Vista Windows Resource Protection (WRP) megoldst sokszor a korbbi Windows File Protection (WFP) megoldssal azonostjk. A WFP a Windows 2000-rel s egy hasonl megolds, a System File Protection (SFP) pedig a Windows Millennium Editionel lett bevezetve. Mindkett hasonlt a WRP-re de szignifikns eltrsek vannak a megvalstsban. A WFP csak fjlokat figyel, mg a WRP a kritikus fjlokat, mappkat s a regisztrcis adatbzis bejegyzseit is vdi. A WFP/SFP csak a vdett rendszerfjlokat rint mdostsokat figyeli. Amennyiben ezek a vltozsok nem hitelestettek, a WFP/SFP visszacserli a mdosult llomnyokat egy korbbi megbzhat mentsbl. A leggyakoribb figyelmeztets, amit a WFP korbban adott, egy felhasznli figyelmeztets, vagy egy esemnynapl-bejegyzs volt. A WRP tovbb ersti a rendszererforrsok vdelmt, kiterjesztve a vdelmet a regisztrcis adatbzisra s rendszermappkra is. A Vista esetben a Rendszergazdk (Administrators) csoport tagjai sem mdosthatjk a rendszererforrsokat. Alaprtelmezs szerint csak a Windows Trusted Installer security principal jogosult mdostsokra a Windows Module Installer szolgltatson keresztl. Ezt hasznlja a Windows Installer, a hotfix.exe, s az update.exe is. A rendszergazdknak azonban jogukban ll mdostani s tulajdonba venni a vdett rendszererforrsokat is, s teljes jogot adniuk maguknak, gy mdostani vagy trlni is rendszer szmra kritikus llomnyokat. A WFPvel ellenttben a WRP viszont nem lltja helyre automatikusan a vdett llomnyokat megbzhat mentsbl, csak jraindts sorn lltja vissza a rendszer indulshoz szksges llapotot.
133
Az gyfelek biztonsga Ahhoz, hogy a WRP visszalltsa az sszes vdett erforrst (ami hasznos lehet egy hibakeress sorn) futtassuk a kvetkez parancsot: sfc /scan now. A vdett fjlok eredeti llapotnak visszalltshoz szksges lehet a Vista teleptmdia is.
134
Az ASLR viszonylag ksn, a Beta 2-es verziban kerlt be elszr a rendszerbe, de hatkony vdelemnek bizonyult, gy vgl szerves rszv vlt a Windows memriakezelsnek. Nem lehet kikapcsolni, de engedlyezni sem kell a httrben szrevtlenl teszi a dolgt.
Az albbi bra nhny rendszerkomponens memriban trtn elhelyezkedst mutatja kt indtsi folyamat utn.
Az gyfelek biztonsga
A DEP gy vdekezik az effajta tmadsok ellen, hogy az adatszegmensek szmra fenntartott memriacmeket nem futtathat-knt jelli meg, gy ezekrl a terletekrl nem indthat kd. A DEP mkdshez vagy opercisrendszer- vagy processzorszint tmogats szksges, gy beszlhetnk hardveres, illetve szoftveres DEP-rl is. Hardveres DEP A legtbb ma kaphat processzor (az sszes 64bites CPU, valamint egyes 32-bites Intel s AMD processzorok is) mr rendelkezik ezzel a kpessggel. Az erre alkalmas processzorok a memria kezelsekor belsleg hasznlt lapoztbla-bejegyzsek utols bitjt NX (No eXecute) mutatknt rtelmezik: 0 esetn a hivatkozott terleten lehetsges, 1 rtknl tilos a kd futtatsa. (Megjegyzend, hogy az NX az eredeti AMD-s elnevezs, az Intel terminolgijban XD bitrl eXecute Disable beszlnk.) Szoftveres DEP A DEP NX vagy XD bittl fggetlen, szoftveres megvalstsa kicsit bonyolultabb, de nem lehetetlen. Az eljrs neve Safe Structured Exception Handling (SafeSEH), vagyis biztonsgos struktrj kivtelkezels mr mutatja, hogy a memriavdelem ez esetben a Windows kivtelkezel mechanizmusn keresztl valsul meg. A SafeSEH kvetelmnyeinek eleget tev programoknak futtatskor regisztrlniuk kell sajt kivtelkezel eljrsukat. Rgebbi, a DEP-et nem tmogat alkalmazsok hasznlatakor a rendszer a kivtelnek megfelel funkci hvsa eltt megvizsglja: maga a kivtelkezel kd futtathat memriaterleten van-e.
Akr hardveres, akr szoftveres DEP-rl van sz, a rendszer nem javtja ki pldul a puffer-tlcsordulsos srlkenysgeket, s nem akadlyozza meg memriaterletek fellrst. Amikor azonban a vezrls adatterletre kerlne, akkor vagy hardveres kivtel generldik, vagy a kivtelgenerlst az opercis rendszer szoftveres ton vgzi el, mely sorn az rt kdok leflelhetk. A DEP belltsait Windows XP, illetve Windows Server 2003 esetben a rendszerbetlts indtsrt felels boot.ini konfigurcis fjlban hatrozhatjuk meg, mely a rendszerpartci gykrknyvtrban foglal helyet. Az opercis rendszer bejegyzsnek vgn tallhat /noexecute kapcsolnak ngy llsa van: AlwaysOn, AlwaysOff, OptIn s OptOut. AlwaysOn A DEP engedlyezve van, kivtel nlkl minden futtathat llomnyra. AlwaysOff A DEP le van tiltva. OptIn A DEP csak a Windows sajt futtathat llomnyaira vonatkozik. Ez az alaprtelmezett bellts.
136
OptOut A DEP minden futtathat llomnyt felgyelete alatt tart, de a rendszergazdk a Control Panel/System/Performance lapjn kivteleket kpezhetnek a memriavdelmi eljrs hatkre all.
A felsorolt kapcsolk mindegyike rvnyesl hardveres s szoftveres DEP-nl egyarnt. A rendszer a boot.ini-be rt explicit /noexecute= OptIn kapcsolval telepl, illetve amennyiben a boot.ini-bl valamilyen okbl eltvoltjk a /noexecute kapcsolt, akkor a Windows gy viselkedik, mint ha a /noexecute=OptIn lenne rvnyben.
3.16. bra: Akciban a DEP, a lista szerepli pedig a kivtelek a hatsa all
137
Az gyfelek biztonsga
Mivel a Windows Vista mr nem hasznlja a boot.ini llomnyt, (sem az NTLDR rendszerbetltt), az j Boot Configuration Data (BCD) szerkesztsvel konfigurlhatjuk a DEP-et. Ehhez hasznljuk a beptett bcdedit parancsot, mely paramterek nlkl tjkoztatst ad a DEP pillanatnyi llapotrl. A DEP bcdedit-tel trtn belltshoz a kvetkez parancsokat hasznlhatjuk (a paramterek jelentse megegyezik a korbbiakkal): bcdedit /set nx OptIn bcdedit /set nx OpOut bcdedit /set nx AlwaysOn bcdedit /set nx AlwaysOff
Nhny sz a szolgltatsfikokrl
A szolgltatsfikok elre definilt hozzfrsi lehetsgek a Windows beptett szolgltatsainak futtatshoz. A Windows Vista hrom ilyen fikkal rendelkezik (miknt a korbbi opercis rendszerek is). A legersebb n. LocalSystem fik nem rendelkezik jelszval, mgis teljes hozzfrse van a rendszer egszhez, magban foglalja a beptett Administrators (Rendszergazdk) csoport jogosultsgi krt is, hlzati krnyezetben pedig ez a szolgltats testesti meg magt a szmtgpet, teht a hlzati hitelests is ezen a fikon keresztl trtnhet. A szolgltatsok korbban szinte kivtel nlkl a LocalSystem fik hasznlatval futottak, gy sokszor szksgtelen jogosultsgokat kaptak, ami az elbb lertakat figyelembe vve komoly biztonsgi agglyokat vethet fel. A Windows Vistban az XP-hez kpest a szolgltatsok tredke fut helyi rendszerfikkal, a tbbsgk tkerlt a cskkentett jogosultsgokkal rendelkez LocalService, illetve NetworkService fikokba. Viszont a szolgltats mkdshez nha azrt elengedhetetlenl szksges, hogy rendszerjogosultsgokat lvezzen, ezrt a Microsoft programozi egy trkkt vetettek be: ezeket a szolgltatsokat egyszeren kettvgtk, s a kdnak csak a privilegizlt mveleteket vgz rsze fut a LocalSystem fik
138
all, a tbbi tovbbra is a LocalService hatkrben marad. A biztonsg tovbbi fokozsa rdekben a megosztott szolgltatsok kt rsze kztti kapcsolathoz hitelests szksges. Emellett a szolgltatsok a felhasznlkhoz hasonlan sajt egyedi biztonsgi azonostt kaptak, melyek az albbi formtumban troldnak: S-1-80-<a szerviz logikai nevnek SHA-1 hash-e>. Szintn a felhasznlkhoz hasonlan az egyes szolgltatsoknak is csak adott mveletekhez van jogosultsguk. Ezeket a privilgiumokat a Registry trolja, a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services kulcs alatt, a RequiredPrivileges rtkben. A szolgltatsfikokhoz termszetesen ACL is tartozik, gy minden egyes szolgltatsnak gondosan kijellt munkaterlete van, melyen kvl nem tevkenykedhet, gy mg ha egy esetleges vrustmads sorn a krtev kd t is venn az irnytst a szolgltats fltt, akkor sem okozhat helyrehozhatatlan krt. A szolgltatsok szmra biztostott privilgiumok megfelelen kordban tartjk a folyamatokat, korltozzk a fjlrendszer s a registry hasznlatt, valamint a Windows tzfal ltal a hlzati kommunikcit is. Hogy egy gyors pldval demonstrljuk az j szolgltatskorltozs jelentsgt, tekintsnk kicsit vissza az idben, 2003 augusztusra, amikor a Blaster/Sasser fregvrus globlis problmkat okozott a Windows vehemens tmadsval. A Blaster a rendszer egyik alapvet szolgltatst, a Remote Procedure Call (RPC tvoli eljrshvs) kertette hatalmba, s a Windows folytonos jraindtsval okozott fejfjst a felhasznlknak. A freg ma mr szinte semmilyen krt nem tudna okozni, mert a Windows Vistban az RPCszolgltats is tesett a fenti vltozsokon gy: nem cserlhet le rendszerfjlokat, nem mdosthatja a registryt, nem befolysolhat ms szolgltatsokat, s nem mdosthatja azok belltsait (pldul antivrus szoftverekt).
A szolgltatsok biztonsgi konfigurlsa a Windows teleptse sorn automatikusan megtrtnik, azonban csak a rendszer sajt beptett sszetevire rvnyes, a kls s utlag teleptett szolgltatsokra nem.
Service Hardening A rendszerszolgltatsok megerstse fontos pont a Vista biztonsgossgval kapcsolatban. Ebben a mini eladsban ezzel kapcsolatban mutatunk be rszleteket. Fjlnv: I-3-3aService-Hardening.avi
139
Az gyfelek biztonsga
Ide tartozik mg az az jdonsg is, hogy amennyiben egy j fikot hozunk ltre a rendszerben, az alaprtelmezsknt korltozott felhasznli jogosultsgokat kap.
A felhasznli fikokat rint vltozsok kzl meg kell emltennk a korbbi a Windows XP-ben okban alaprtelmezs szerint jelenlv Support s a Help fikok megszntetse. A csoportokrl szlva, a legnagyobb vltozs a Power Users (Kiemelt felhasznlk) csoport hatkre gyakorlatilag megsznt. Mivel a nevvel ellenttben megtveszten sok jogosultsggal rendelkeztek ennek a csoportnak a tagjai, gy a rendszergazdk elszeretettel osztogattak effle jogkrket a felhasznlknak sok esetben teljesen feleslegesen. Kt mkd jogosultsgi szint maradt teht: Standard felhasznlk (Users csoport), s a Rendszergazdk (Administrators) csoport.
140
Ezen kvl, a vltoz ignyeknek megfelelen j csoportjaink is vannak, lssunk nhny pldt: Cryptographic Operators: a PKI-val, IPSec-kel kapcsolatos feladatok jogosultsgainak birtokosai. Distributed COM users: jogosultsg az elosztott COM-objektumok elrshez, kezelshez. Event Log Readers: A csoport tagjai megnzhetik az Esemnynapl bejegyzseit. IIS_IUSRS: lecserli a korbbi IUSR_<gpnv> fikot, azaz az anonim, webkiszolglhoz intzett krsek fikjval egyenrtk, annak ellenre, hogy egy csoportrl van sz. Performance log / Performance monitor users: a nevbl addan a Performance Monitor hasznlathoz kaphatnak (nem teljes kr) jogosultsgot az e csoportba bekerl felhasznlk.
141
Az gyfelek biztonsga
A Windows Vista kpes a hlzatban, valamint a weboldalakon hasznlt jelszavaink trolsra. Ezt mr a Windows XP-vel is megvalsthattuk, de sokkal kevsb komfortosan. A Vistval knnyedn elkszthetjk a felhasznlk szmra pldul az intranetes szolgltatsok hasznlathoz szksges belpsi hitelest adatokat, s elmenthetjk ezeket. Szksg szerint az esetleg tvesen bevitt hitelestsi informcikat is trlhetjk, illetve teljes jdonsgknt a jelszavainkat el is menthetjk .crd kiterjesztssel. A jelszavak trolsnak s belltsainak elrshez navigljunk el a Control Panel / User Accounts / Manage your network passwords pontra.
142
3. Egy szigor vllalati hlzatban is elfordulhat az, hogy egy gyflgpen jogosultsgkezelsi szempontbl rosszul megrt, de ktelezen hasznlt alkalmazs miatt muszj a felhasznlkat szksgtelenl magas szint jogosultsggal elltni, amely ltalban gy zajlik, hogy a rendszergazda a helyi Administrators (Rendszergazdk) vagy a korbban emltett, szintn tlsgosan ers Kiemelt felhasznlk (Power Users) csoportba beemeli a felhasznlt. Ezen helyzetek kivlt oka egyrszt a tudatlansg, viszont msrszt a knyelem, amely ugyan szintn fontos szempont, de tudnunk kell azt is, hogy a rendszergazda-jogosultsg teljes hozzfrst ad az opercis rendszerhez s a szmtgp minden komponenshez, lehetv tve olyan mdostsokat, amelyek a rendszert mkdskptelenn tehetik, vagy krt tehetnek ms felhasznlk adataiban. St, az vatlan hasznlattal a kvlrl rkez krtevk, vrusok, frgek, spyware-ek sem tkznek tl sok akadlyba hiszen, amint bejutnak a gpre, rgtn rendszergazda-jogosultsgot szerezhetnek. Valamint, zemeltetknt azt a tnyt is clszer ismernnk, hogy a rendszereket rint biztonsgi incidensek kzel 70%-a a bels hlzat felhasznlitl szrmazik. Ezek ismeretben bizonyra el fogunk gondolkozni azon, hogy megri-e az emelt szint jogosultsgi vakmer hasznlata. A Vistban viszont nem kell sokat ezen gondolkoznunk, alaprtelmezs szerint ksz helyzet el vagyunk lltva, amely taln kevsb knyelmes, viszont annl hasznosabb. A ksz helyzet szlltja az n. User Account Control (UAC, Felhasznli fikok felgyelete), amely egy sszetett megolds, ez a kvetkez alfejezetek kzl tbb is ennek a technolginak a rszletezsvel foglalkozik majd. Ha pldul a mindennapos hasznlat kzben adunk hozz felhasznlkat, akkor azok immr csak a standard felhasznli jogokkal brnak majd. Ha a teleptskor elsknt ltrejv fikot nzzk, az termszetesen tovbbra is rendszergazda-jogosultsg lesz, de neki is mind minden a helyi rendszergazdacsoportba tartoz fiknak cskkentett, standard felhasznl szint krnyezetet tlt be a Windows, a rendszermdostshoz szksges jogokat kln kell krnie. Egy sz mint szz, alapesetben a jogosultsgok tlz kiosztsa miatt kevesebbet kell aggdnunk, de mi a helyzet akkor, ha mgis szksg van rendszergazdaknt mkdtetni a gpet. Mert ugyan az is fontos s kiss taln fordtott eljel (de nem veszlyes) vltozs, hogy szmos olyan funkci vagy bellts kerlt be a standard felhasznlk jogosultsgi krbe, amelyekre korbban nem volt lehetsg, (ezt ksbb bvebben is kifejtjk), de azrt mg mindig maradt rengeteg, amelyhez ennl tbb jogosultsg szksges.
143
Az gyfelek biztonsga
Ha olyan mveletre kerl sor, amikor valban hozz kell nylni bizonyos rendszerbelltsokhoz, vagy olyan vdett mappkba kell programot telepteni, mint a \Windows vagy a \Program Files, a Vista interaktivitsra kszteti a felhasznlt, azaz egy gynevezett elevl promptot, jogosultsg-jvhagy krdst kld a felhasznlnak. Azaz a standard felhasznlnak kln engedlyeznie kell, mikor a rendszergazda jogaival lni szeretne. Ez lehetsget biztost a felhasznlnak, hogy eldntse, egy alkalmazs lhet-e ezekkel a jogokkal. Ez egyben azt is jelenti, hogy a felhasznl minden esetben informcit kap arrl, milyen alkalmazsok indulnak el, amelyek rendszergazdai joggal futnak. A technikai magyarzat lnyege, hogy amikor egy felhasznl bejelentkezik, az UAC kt biztonsgi tokent hoz ltre. Egy norml felhasznli tokent s egy olyan tokent, amely tartalmazza a rendszergazda jogokat. Az elindtott folyamat akkor nem kapja meg az utbbi jogokat, ha a felhasznl a folyamat indulsakor nem engedlyezi az UAC felletn keresztl. A ltrejtt norml felhasznli tokenben az albbi klnbsgeket fedezhetjk fel szemben a rendszergazdai tokennel (az ismeretlen fogalmakra ksbb visszatrnk): Kilenc rendszergazda-szint jog nincs benne. A felhasznl integritsi szintje Medium, s nem High. Alkalmazdik r egy alapesetben mindent tilt SID. Megjelenhet szmra az UAC engedlyez ablak (consent.exe). Fjl- s regisztrcis adatbzis virtualizci alkalmazdhat r.
Az UAC klnfle helyzeteknek megfelelen tbbfajta engedlyez ablakot jelenthet meg. Ha az alkalmazs, vagy annak kiadja a biztonsgi hzirend szerint blokkolva van, egy piros fejlccel rendelkez figyelmeztet ablak jelenik meg, a program futtatsa pedig nem lehetsges. Kkes-zldes szn ablakot lthatunk, ha a jogosultsgi szint emelst a Windows egyik beptett komponense kri. Kls programok esetn szrke sznkd UAC-promptot kapunk, ha az llomny rendelkezik digitlis alrssal, gy az valsznleg megbzhat forrsbl szrmazik, figyelemfelkeltbb, srga sznt pedig, ha nem tallhat alrs ez esetben csak akkor futtassuk az alkalmazst, ha ismerjk szrmazsi helyt s teljesen megbzunk abban. A User Account Control rszletes belltsa a helyi biztonsgi hzirendbl trtnhet. A finombelltsok kztt megadhatjuk pldul, hogy a figyelmeztet krds rendszergazda-jogosultsg felhasznl esetn csak egy igen/nem vlasztsi lehetsgbl, vagy akr teljesen egy figyelmezets nlkl trtnjen, vagy pldul azt is, hogy egy standard felhasznl esetn egyltaln ne legyen lehetsg a nv/jelsz pros megadsra, hanem csak az elutastsra.
144
Trtnetesen mg azt is bellthatjuk, hogy az UAC a krdablak megjelentsekor tkapcsoljon-e az gynevezett Secure Desktop mdba. A hzirendbl (s a Control Panel / User Accounts pont all) akr ki is kapcsolhatjuk az UAC-t, de ez termszetesen nem ajnlott.
A Secure Desktop a felhasznl munkafolyamatban, de elszeparlt asztalknt jn ltre, radsul csak a rendszer ltal rhat, gy a biztonsgi asztalt semmilyen kls, a felhasznl asztaln fut folyamattal nem lehet befolysolni. Ez szinte tkletesen megbzhatv teszi a Secure Desktopon megjelentett ablakokat, vagyis biztosak lehetnk benne, hogy maga a rendszer s nem pedig egy vrus kldte a megtveszt zenetet.
145
Az gyfelek biztonsga
Az albbiakban azon esemnyek (nem teljes) listjt lthatjuk, amikor az UAC szolgltats kzbelp: Alkalmazsok teleptse s eltvoltsa. Eszkzmeghajt programok teleptse s eltvoltsa. ActiveX-vezrlk teleptse. Windows-frisstsek teleptse. A Windows Update belltsainak mdostsa. A Windows tzfal belltsainak mdostsa. A Felhasznli fikok felgyelete (UAC) belltsainak mdostsa. Felhasznli fikok ltrehozsa s trlse. Felhasznli fikok tpusnak megvltoztatsa. A szli felgyelet konfigurlsa. A feladattemez megnyitsa.
146
Rendszerfjlok biztonsgi mentsbl trtn visszalltsa. Ms felhasznl mappjnak megnyitsa vagy megvltoztatsa.
A korltozott jogkrben dolgoz felhasznlk alaprtelmezsknt az UAC felgyelete alatt dolgoznak, mely esetkben a fenti felsorolsban szerepl mveleteknl nem egy egyszer engedlyez ablakot jelent meg, hanem egy rendszergazda jogosultsg felhasznl hitelest adatait kri be (de ahogyan korbban emltettk ez a mkds a biztonsgi hzirendbl megvltoztathat). Anlkl, hogy az UAC-cal tallkoznnak, a standard jog felhasznlk az albbi mveleteket vgezhetik el (szintn nem teljes a lista): Vezetk nlkli hlzat konfigurlsa. Energiaelltsi opcik vltoztatsa. VPN-kapcsolatok konfigurlsa. Nyomtat s egyb eszkzk hozzadsa (hzirendbl szablyozva). Windows Update hasznlata. Windows Defender hasznlata. Lemezdefragmentls, Disk Cleanup futtatsa. Idznavlts. Esemnynapl megtekintse (kivve persze a Security naplt).
Ha egy program futsa kzben szksgtelenl generl szintemelst kr prbeszdablakot, a Microsoft alkalmazshibaknt tekint az esetre, teht (ha pl. az Error Reporting-szolgltats rvn berkezik), gy kezeli a helyzetet, mintha a program hibsan mkdne. Ezzel magas prioritst kapnak az effle problmk, teht a fejlesztk is hamarabb reaglhatnak r, ezrt egyre biztosabbak lehetnk abban, hogy valban csak akkor jelenik meg az UAC-prompt, amikor tnyleg szksg van r feleslegesen nem bukkan fel.
A Vista tovbbi praktikus megoldsokkal is segti az UAC-prompt esetlegesen indokolatlanul zavar s lland megjelenst: Lehetv teszi a rendszergazdknak, hogy meghatrozzk, a nem rendszergazda-jog felhasznlk milyen meghajtprogramokat, eszkzket, ActiveX-vezrlket telepthetnek. gy, adott esetben, a nem rendszergazdai jog felhasznlk is telepthetnek nyomtatkat, VPNszoftvereket stb.
147
Az gyfelek biztonsga
Alap hlzati konfigurcik elvgzshez a felhasznlt elegend hozzadni a Network Configurations Operators csoporthoz. Ennek a csoportnak joga van az IP-cmek megvltoztatshoz, DNS-cache rtshez stb., vagyis a nlkl vgezhetk el ezek a feladatok, hogy a felhasznl az Administrators (Rendszergazda) csoporttagsgra lenne szksgk. Az UAC-fjlrendszer s regisztrcis adatbzis virtualizcija s a beptett alkalmazs kompatibilitsi smk segtsgvel sok rendszergazdai jogokat ignyl alkalmazs futtatst teszi lehetv, szmos problmn segt (a rszleteket lsd a kvetkez alfejezetben).
Az UAC tervezsekor fellltott programozsi irnyelvek kimondjk, hogy a felhasznlnak mindig elre tudnia kell rla, ha a mvelet jogosultsgi szintemelst kvetel. Ezt a gombokon s hivatkozsok mellett elhelyezett kis pajzsok ( ) jelzik, egyrtelmv tve, mely mveletekhez szksges emelt szint hozzfrs.
A fikvltozsok s a User Account Control (UAC) Ebben az eladsban a Vista felhasznli fikjaival s csoportjaival, illetve a taln legfontosabb a biztonsgot rint vltozssal, az UAC-lal kapcsolatos rszleteket trjuk fel. Fjlnv: I-3-3bFiokok-es-UAC.avi
Fjl- s registryvirtualizci
A User Account Control egy msik fontos feladata a szoftverkrnyezet virtualizlsa azon alkalmazsok szmra, melyek nem lettek felksztve a tbbfelhasznls rendszerekre, vagy nem kezelik jl a jogosultsgokat. Egyelre meglehetsen sok olyan program ltezik, amely vagy nem veszi figyelembe, hogy tbbfelhasznls krnyezetben mkdik, vagy egyszeren nem is hajland futni, csak s kizrlag rendszergazdai jogosultsgokkal. Az UAC ezrt detektlja az alkalmazs fjlrendszerbe s a registrybe val rsi krseit, s ennek megfelelen minden felhasznli fikban egyni virtulis krnyezetet (gynevezett homokozt) hoz ltre a programnak. A rendszergazda-jogosultsgot megkvetel programok gy tulajdonkppen azt hiszik, hogy tudnak rni a pl. a\Windows, vagy a \Program Files mappkba, esetleg a rendszerler adatbzis kritikus rszeibe is, m valjban egy, a szmukra ltrehozott virtulis valsgban mkdnek immron gond nlkl. A virtualizlt mappkat a vdett rendszerknyvtrak tallzsakor megjelen Compatibility Files gombra kattintva nyithatjuk meg, ezek fizikai helye a felhasznl profilknyvtrban tallhat az albbi tvonalon: \Users\<felhasznlnv>\AppData\Local\VirtualStore. A regisztrcis adatbzist rint rsi mveletek pedig a HKCU\Software\Classes\VirtualStore kulcs al kerlnek.
148
Mint az tvonalakbl is lthat, mind a kt hely a felhasznl profilja alatt helyezkedik el, gy a felhasznlnak van r rsi joga. Ha felhasznlnknti szably nem definilja mskpp, az olvass elsknt a globlis helyrl trtnik. A fjlrendszer virtualizcija egy filter driver (luafv.sys) segtsgvel valsul meg, a regisztrcis adatbzis pedig beptetten. A fjl- s regisztrcis adatbzis virtualizci meggtolja az rsokat a nem adminisztrtori jog (nem elevlt) folyamatok szmra, de csak az albbi helyekre: \Program Files s az almappi. \Program Files (x86) 64-bites rendszereken. \Windows s almappi, belertve a System32-t is. \Users\%AllUsersProfile% \ProgramData HKLM\Software
Az albbi objektumok azonban soha sem kerlnek virtualizlsra: Vista alkalmazsok. Futtathat llomnyok, mint az .EXE, .BAT, .VBS s .SCR. A tovbbi fjlrendszeri kivtelek a HKLM\System\CurrentControlSet\Services\ Luafv\Parameters\ExcludedExtensionsAdd kulcsban adhatak meg. 64-bites alkalmazsok s folyamatok. Azok az alkalmazsok, amelyeknl gyrilag definilva van, hogy nem virtualizltan futtatandk (mint az sszes Vista-komponens). Folyamatok s alkalmazsok, amelyek rendszergazdai jogokkal futnak. Kernelmd alkalmazsok. Mveletek, amelyek nem interaktv bejelentkezsbl szrmaznak (pl.: fjlmegosztson keresztli elrs). Alkalmazsok amelyek a regisztrcis adatbzisban a Dont_Virtualize jelzssel vannak megjellve.
Az utols ponthoz tartoz plusz informci: a reg.exe segtsgvel lthatjuk a hrom j registry flag-et a HKLM\Software kulcs alatt, ezek a kvetkezek: DONT_VIRTUALIZE, DONT_SILENT_FAIL, RECURSE_FLAG
149
Az gyfelek biztonsga
Az egyes alkalmazsok virtualizcijt a Task Managerbl (Feladatkezel) akr sajt magunk is engedlyezhetjk (vagy tilthatjuk le). Ezt a mveletet ajnlott csak szksg esetn elvgezni, kivltkpp a Windows beptett folyamatainl, mert a tves konfigurci akr a rendszer instabil mkdshez is vezethet.
3.20. bra: A feladatkezelben a kznsges processzeket egyszeren virtualizlhatjuk Fjl- s registryvirtualizci Ebben a screencastban tbb pldt is hozunk az UAC mellktermkeknt megjelent fjl- s registryvirtualizcira, elszr egy dediklt alkalmazs majd a cmd.exe segtsgvel. Fjlnv: I-3-3cFajl-es-registry-virtualizacio.avi
150
Az gyfelek biztonsga
jektumokhoz. Az opercis rendszer fjljai alaprtelmezsknt nem jelltek, gy kzepes szinten tartzkodnak, valamint termszetesen alkalmazdnak rjuk a megfelel fjlrendszer-jogosultsgi belltsok (ACL) is. Az egyes objektumok integritsi szintjei a SACL-ekben troldnak s az ellenrzsk minden esetben a DACL ellenrzsek eltt trtnik. Szint Low Medium High System SID S-1-16-4096 S-1-16-8192 S-1-16-12288 S-1-16-16384 Hex rtk 1000 2000 3000 4000 Hasznlati pldk Vdett md Internet Explorer Hitelestett felhasznlk/ Nem elevlt Rendszergazdk/ Elevlt jogok Helyi rendszer
Hogy mirt szksges ez a bvszkeds a jogosultsgi szintekkel? Kpzeljk el a kvetkez helyzetet: kapunk egy e-mailt egy csatolt fjllal. Amikor lementjk a fjlt, az rgtn alacsony integritsszintre kerl, mivel az internetrl (azaz egy nem megbzhat helyrl) rkezett. Ezrt aztn brmi legyen is a fjl tartalma, amikor lefuttatjuk, semmi klns nem trtnhet, mivel a fentiek alapjn egy alacsony szinten fut folyamat nem frhet hozz a felhasznl magas, vagy nem jellt, gy kzepes szinten lv adataihoz. Az Internet Explorer vdett mdja a megbzhatsgi szintek kr plt, s mivel a bngsz alaprtelmezsknt alacsony (Low IL) integritsszinten fut biztosak lehetnk benne, hogy az Internet Exploreren keresztl hozzjrulsunk nlkl nem teleplhet tbb a rendszerre semmilyen rt kd. Ezen tlmenen, mivel a Windows munkaasztal kzepes szintre van besorolva, a bngszben esetlegesen lefut ActiveX-vezrl sem kldhet tbb olyan megtveszt zeneteket az asztalra, miszerint vrustmads ldozatai lettnk, s azonnali hatllyal tltsnk le egy bizonyos programot ami valjban maga a vrus.
152
Az NTFS fjlrendszer-jogosultsgokhoz hasonlan bizonyos korltok kztt az integritsszinteket is az icacls paranccsal kezelhetjk. Kt korltozs ltezik: az objektumokat nem helyezhetjk t a System, illetve az Untrusted szintekre. Az integritsszintek vltoztatshoz hasznljuk a /setintegritylevel kapcsolt, azonban bnjunk vatosan ezzel az eszkzzel s csak szksg esetn mdostsuk ezt az objektumtulajdonsgot!
153
Az gyfelek biztonsga
A Security Center
A Windows Vistba beptett Security Center (Biztonsgi kzpont) sokban hasonlt a korbbi verzihoz, azonban el is tr attl. A tzfal, az Automatikus frisstsek gyfl s a vrusirt llapotnak lland vizsglata megmaradt, viszont bekerlt a monitorozand komponensek kz az immr integrlt Windows Defender (lsd ksbb) a frisstsi opcival egytt. Az UAC mkdse szintn nyomon kvethet a Security Centerben, valamint egy teljesen j szakasszal is bvltek a lehetsgeink, azaz az Internet Explorer legfontosabb biztonsgi belltsait is ellenrzi a rendszer, s jelzst is kapunk, ha ezek llapotban negatv vltozs kvetkezik be (a megfigyelt paramterekrl tovbbi rszleteket olvashatunk kicsit ksbb, a Biztonsgi belltsok automatikus felgyelete szakaszban).
3.22. bra: A Windows Vista Security Center tartalma bvlt A Windows XP s a Windows Vista Biztonsgi kzpontja (Security Center) Ennek az eladsnak a tmja a kt opercis rendszer Biztonsgi kzpontjnak bemutatsa. Fjlnv: I-3-4aSecurity-Centers.avi
154
Phishing filter
155
Az gyfelek biztonsga
Napjaink egyik legelterjedtebb online bnzsi formja, az gynevezett adathalszat, a phishing. Ennek az a lnyege, hogy pldul olyan pnzgyi szolgltatsnak lczott webhelyre csaljk a felhasznlt, mely klsre szinte pontosan megegyezik egy-egy bank vagy pnzintzet honlapjval. Itt aztn a felhasznltl olyan szemlyes adatokat krnek be, melyek felhasznlsval hozzfrhetnek bankszmljhoz s egyb szemlyes rtkeihez. A phishing elleni vdelem kzponti szerepet kapott az Internet Explorer 7-ben, a bngsz els indtsakor mris lehetsgnk van a szr bekapcsolsra s a belltsok testreszabsra. Az IE7 phishing filtere rendszeresen frissl online adatbzison s egy intelligens szrn alapul, mely tipikus jellemzk utn kutatva megvizsglja a weblap eredetisgt s megbzhatsgt. Ha e vizsglat sorn nem tallja megfelelnek az adott oldalt, akkor ezt szembetnen jelzi a felhasznlnak.
Vdett md
Az elz rszben ismertetett User Account Control nemcsak a figyelmeztet ablakok kldsvel prblja kordban tartani a felhasznlkat, de neki ksznhetjk, hogy az Internet Explorer 7 kpes gynevezett vdett mdban (Protected mode) futni de csak a Vistn, az XP-re teleptett IE7 nem ismeri ezt a fajta mkdst. Ha a vdett md engedlyezve van, az IE7 nagyon alacsony integritsi szinten (Low IL) dolgozik, amely szmos biztonsgi korltot jelent a mkdsben. Ezek kzl az egyik az, hogy a rendszer biztonsgi alapbelltsainak megvltoztatsa vagy egy emelt szint jogosultsg nlkl egy website nem kpes semmilyen mdon egy alkalmazst telepteni a bngszn keresztl. Ez azrt van, mert az alacsony integritsi szintnek ksznheten a bngsz a fjlrendszerbe, illetve a registrybe nem rhat automatikusan. Mivel a klnbz integritsi szinten lv processzek kztti kommunikci szintn ersen limitlva van, a knyszeren hasonlan alacsony szinten mkd ActiveX-vezrlk s az extra eszkztrak sem kpesek hozzfrni semmilyen fontos rendszerelemhez. Ezen kvl a Vista egy specilis virtulis mappt is elkszt az IE7 szmra, az olyan fjlok trolshoz, amelyeket a bngsz menetkzben egybknt a szmra tiltott helyekre mentene el. Ez a mappa szoksos gyorsttron bell helyezkedik el (Temporary Internet Files\Low), s ide s csak ide kpes egy alacsony integritsi szinttel rendelkez folyamat rni. Gyakorlatilag ez a korbban ismertetett fjl- s registryvirtualizci elve alapjn mkdik, csendben a httrben, sikeresen megtvesztve bvtmnyeket, vagy a brmit, amely az IE7 alatt tevkenykedik. A teljessg kedvrt emltsk meg, hogy a rendszerler adatbzist rint rsi prblkozsok ugyanezzel a mdszerrel, ugyangy vgzik, egy szintn elklntett terleten (HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\{a_user_SIDje}\Software).
156
De mi trtnik, ha az IE7 mgis ki akarja olvasni ezt az elklntett, virtualizlt tartalmat, azaz pl. egy rendszergazda szeretne egy ActiveX-vezrlt telepteni? Egy n. broker processz beavatkozik, azaz megerstst kr a folytats eltt, s jn az ismers UAC-prompt s a felhasznli interaktivits. A sznfalak mgtt a Vista tovbbi mappkat is ltrehoz a vdett md mkds kiszolglsa cljbl, azaz a bngsz rendszeres hasznlatval a kvetkez, szintn csak alacsony integritsi szinten lv mappkat tlthetjk meg fjlokkal, a szoksos bngsz mappk helyett: Temp: %LocalAppData%\Temp\Low Cookies: %AppData%\Microsoft\Windows\Cookies\Low History: %LocalAppData%\Microsoft\Windows\History\Low
A vdett md alaprtelmezs szerint be van kapcsolva az Internet, Helyi intranet (Local intranet) s Tiltott helyek (Restricted sites) znkban (a Megbzhat helyek (Trusted sites) znban teht nem), a bekapcsolt llapotot pedig egy, az llapotsorban lthat ikon jelzi.
A vdett md alaprtelmezsknt aktv, kikapcsolsa hacsak nem abszolt megbzhat helyen, pldul cges intraneten bngsznk nem ajnlott, mr csak azrt sem, mert ekkor az IE automatikusan a kzepes integritsi szintre kapaszkodik fel.
157
Az gyfelek biztonsga
Tanstvny-ellenrzs
Az rvnytelen tanstvnnyal rendelkez oldalak megltogatsakor eddig is kaptunk figyelmeztetst, most azonban olyan hangslyos lett a biztonsgi riaszts, hogy az a kezd felhasznlk figyelmt sem kerlheti el. A megbzhat, ers titkostst hasznl oldalak cme mellett egy lakat ikon jelzi a biztonsgos kapcsolatot, a veszlyesnek minstett oldalak cmsora pedig pirosra vltozik. Az rvnytelen, vagy lejrt rvnyessgi idvel rendelkez tanstvnyt hasznl weblapok tovbbra is megtekinthetk, eltte azonban a felhasznlnak nyugtznia kell, hogy megrtette a kockzati tnyezket s sajt felelssgre lp be az oldalra.
158
3.26. bra: A zna biztonsgi opcik kztt kiemelve ltjuk az igazn fontosakat
159
Az gyfelek biztonsga
Ha a manulis mdszer mellett dntnk, segtsgnkre lehet, hogy az Internet Explorer piros sznnel megjelli szmunkra a veszlyesnek tlt belltsokat. A znabelltsok kztt olyan jdonsgokat tallunk, mint a felbukkan szkriptelt ablakok tiltsa, a sttuszsor weboldal ltali frisstsnek letiltsa, valamint immr minden egyes ablaknak ktelez jelleggel ltszik a cm- (URL) s llapotsora. Ezekre a korltozsokra szintn az egyre terjed adathalsz-tmadsok kivdse miatt van szksg.
160
Vgl, de nem utolssorban emltsnk meg mg kt szintn halad opcit, amelyek az Internet Options\ Advanced (Internetbelltsok/Specilis) fln tallhatak, a panel aljn a kiemelt opcik kztt Az egyikkel (Restore advanced settings Specilis belltsok visszalltsa) knnyedn visszallthat az sszes halad bellts, amely szp szmban, ugyanezen a panelen tallhatak. A msikkal viszont az egsz Internet Explorert totlis alaphelyzetbe hozhatjuk (Reset Internet Explorer Settings Alaphelyzet), amely bizonyos esetekben igencsak hasznos s gyors megoldsnak bizonyulhat.
3.28. bra: Az IE7 biztonsgi opciinak alaphelyzetbe lltsa egyszer Az Internet Explorer 7.0 biztonsggal kapcsolatos jdonsgai Ebben az eladsban online pldkkal mutatjuk be az itt felsorolt jdonsgokat s vltozsokat az Internet Explorer 7-tel kapcsolatban. Fjlnv: I-3-4bIE7-biztonsag.avi
A Windows Defender
A Microsoft eredetileg a Windows XP-hez kezdte fejleszteni Microsoft AntiSpyware nven kmprogram s trjai-figyel alkalmazst, melynek vgleges verzija a Windows Defender nevet kapta, s vgl a Windows Vistba is be lett ptve. A szolgltatsknt fut Defender alaprtelmezsknt engedlyezve van, s az automatikus, temezett gyorskeress is be van kapcsolva. Az alkalmazs krtev-adatbzisa az internetrl a Windows Update szolgltats segtsgvel folyamatosan frissl, de a defincis fjlok igny szerint akr manulisan is letlthetk s telepthetk.
A Windows Defender XP-re telepthet vltozata a kvetkez webcmrl tlthet le: http:// www.microsoft.com/windowsdefender. A legfrissebb szignatra fjlok pedig a kvetkez Microsoft tudsbziscikken keresztl rhetk el: http://support.microsoft.com/?kbid=923159)
161
Az gyfelek biztonsga
A Windows Defender az id nagy rszben a httrben, a felhasznl megzavarsa nlkl fut, jelenltre csak akkor figyelhetnk fel, ha valamilyen beavatkozs szksges ekkor a tlca rtestsi terletrl egy buborkzenetet jelent meg, melyben ismerteti a teendket.
3.29. bra: Nemcsak vd a kmprogramok ellen, hanem a rendszerindtst is befolysolhatja a Windows Defender
Az ismert krtevk leflelsn kvl a Defender valban tfog vdelmet nyjt a Windows rendszer egsznek, gy kpes a kvetkez esemnyeket is detektlni: automatikusan indul programok listjnak mdosulsa; rendszerkonfigurci vltozsa; Internet Explorer bvtmnyek teleptse; Internet Explorer biztonsgi belltsok mdosulsa; szolgltatsok s eszkzmeghajtk teleptse, valamint azok konfigurcijnak vltozsa;
162
A Windows Defender rsze a Software Explorer, mellyel megtekinthetjk a rendszerrel automatikusan indul s az ppen fut alkalmazsok biztonsgi besorolst, valamint letilthatjuk a nem kvnt startup-programokat. Ha hozz akarunk jrulni a Windows Defender fejlesztshez, sajt vizsglat kzben szletett eredmnyeinket is kzz tehetjk, ha csatlakozunk a Microsoft SpyNet programhoz. A belps ktszint, Basic, illetve Advanced tagsgot is bellthatunk. Mg a Basic esetn a Defender csak alapvet informcikat kld a Microsoftnak a gpnkn esetlegesen szlelt spyware-ekrl, az Advanced tagsgot vlasztva minden belltsunkrl rtesthetjk a fejlesztket, pldul a mg be nem sorolt, de ltalunk biztonsgosnak tlt alkalmazsok lenyomatait is feltlti a program ezzel segtve az adatbzis tkletestst.
163
Az gyfelek biztonsga
164
Az EFS-tanstvnyt a Certificate Managerbl exportlhatjuk ki, melyet a certmgr.msc paranccsal indthatunk. A Personal (Szemlyes) tanstvnyok kztt jelljk ki azt, amelynek hasznlati cl mezjben (Intended Purposes) az Encrypting File System bejegyzst talljuk, majd kattintsunk jobb gombbal a tanstvnyra, s az All Tasks/Export (sszes feladat/Exportls) paranccsal mentsk le a fjlt. Ahhoz, hogy egy msik szmtgpen, vagy ugyanazon, de esetlegesen jrateleptett rendszer esetben hozzfrjnk titkostott adatainkhoz, az imnt kimentett tanstvnyfjl importlsra van szksg (melyet szintn a Certificate Managerrel vgezhetnk el).
A csoporthzirendbl igen rszletesen konfigurlhatjuk az EFS mkdst. Lehetsgnk van az EFS teljes tiltsra, de bellthatjuk a felhasznlk Dokumentumok mappinak, vagy akr az imnt emltett lapozfjl automatikus titkostst, valamint megkvetelhetjk USB SmartCard hasznlatt is.
A Windows Defender s a titkostott fjlrendszer (Encrypted File System EFS) Ebben a demban egytt mutatjuk be a Windows Defender kmprogram keres alkalmazs rszleteit, illetve a fjlok/mappk titkostsrt felels EFS-szolgltats megvltozott lehetsgeit. Fjlnv: I-3-4cDefender-EFS.avi
165
Az gyfelek biztonsga
A BitLocker hromfle mdon alkalmazhat, a kvetkezkben nvekv biztonsgi sorrendben bemutatjuk a titkostsi eljrs lehetsges konfigurciit.
166
Transzparens md (TPM chip hasznlata) A felhasznlnak semmilyen plusz teendje nincs, ha a rendszerindt fjlok rintetlensgrl a TPM modul megbizonyosodott, elindul az opercis rendszer s a felhasznl a szoksos mdon bejelentkezhet. USB-kulcs hasznlata A felhasznlnak mg a szmtgp indtsa eltt csatlakoztatnia kell a titkostkulcsot tartalmaz USB-eszkzt a szmtgphez. Ebben az esetben szksges, hogy a szmtgp mg az opercis rendszer betltse eltt kpes legyen kezelni az USB-eszkzket. TPM chip s felhasznlszint hitelests egyttes hasznlata A legbiztonsgosabb konfigurci, ha a TPM modulon kvl a felhasznl birtokban lv PIN-kd is szksges az indtshoz. A BitLocker multifaktoros hitelestshez a Windows Vista ktfle mdszert tmogat: a boot-folyamat eltt a PIN-kd bekrse a felhasznltl, vagy a kiegszt azonost USB-kulcsrl trtn beolvassa.
Mivel a BitLocker technolgia elssorban a vllalati felhasznlkat clozza, a meghajttitkostst csak a Windows Vista Enterprise s Ultimate vltozatai tmogatjk. Ha rendelkezsre ll a megfelel konfigurci, a szolgltatst a Control Panel/Security/BitLocker Drive Encryption menpont alatt kapcsolhatjuk be.
167
Az gyfelek biztonsga
Mivel a Windows Vista alkalmas klnfle hlzati szolgltatsok nyjtsra is (pldul web- s FTP-helyek publiklsra), illetve egy krtev program is mkdtetheti pl. SMTP-kiszolglknt az opercis rendszernket, alapveten szksges a tzfal rszrl a forgalom ktirny szrse. Az j tzfal ennek megfelelen immr kt irnyban vd, igaz a kifel irnyul kapcsolatok szrse alaprtelmezsknt ki van kapcsolva, mert a tapasztalatlan otthoni felhasznlk szmra ez ltalban szksgtelen s problmkat okozhat azonban brmikor bekapcsolhatjuk. A bal oldali sv legfels bejegyzsre (Windows Firewall with Advanced Security Fokozott biztonsg Windows tzfal) jobbkattintva s a tulajdonsglapot megnyitva elrhetjk a tzfal ltalnos belltsait, itt konfigurlhatjuk be a flapon is lthat paramtereket, valamint a blokkolt kapcsolatok esetn felbukkan rtestseket. Tbb flet is lthatunk, mivel a hrom hlzati profilnak megfelelen kln-kln hatrozhatjuk meg a tzfal mkdst, egy kln lapon pedig az integrlt IPSec-szolgltats alaprtelmezett belltsait tallhatjuk.
169
Az gyfelek biztonsga
A konzol fastruktrjban tallhatk a szablyrendszerek troli, illetve az egyb kapcsolatbiztonsgi belltsok, valamint a tzfal felgyeleti eszkzei. Az Inbound Rules (Bejv szablyok) bejegyzsre kattintva eltnnek a befel irnyul kapcsolatokra rvnyes szablyok. Szmos elre definilt bejegyzssel tallkozhatunk itt, ezek kzl csak nhny aktv, ezeket a sor eltti zld ikon jelzi. Egy-egy szablyt ketts kattintssal szerkeszthetnk, de a gyri belltsokat rdemes rintetlenl hagyni. Sajt szablyt is ltrehozhatunk, erre az Action (Mvelet) men alatti New Rule... (j szably) varzslt hasznlhatjuk, mely vgigvezet egy szably belltsnak lpsein. Mint a tzfal egyszerstett vezrlpultjn, itt is lehetsg van program s port szerint is fellltani a szablyt. Pluszknt azonban elre definilt szolgltatsokat (tvoli asztal, fjl- s nyomtatmegoszts, hlzati felderts stb.) is bekonfigurlhatunk ezekhez elre s eltr krlmnyekre legyrtott szablyok lteznek s teljesen egyni szably ltrehozst is krhetjk, ahol minden paramtert kzzel kell megadnunk.
170
A szably hatkrt egyes programokra korltozhatjuk, de egy listbl kivlaszthatunk Windows-szolgltatsokat is. Ha protokoll s port szerint szrnk, megadhatjuk a protokoll tpust, (illetve szmt), a kapcsolathoz hasznlt helyi s tvoli portok szmt. Ugyangy a helyi, illetve tvoli IP-cmeket, st akr a hlzati interfszt is megszabhatjuk, melyek a kapcsolatban rszt vehetnek, majd azt kell meghatroznunk, hogy a szably engedlyezze vagy blokkolja az imnt belltott paramterek szerinti kapcsolatokat. Ebben a lpsben bellthatjuk, hogy a kapcsolat csak akkor legyen engedlyezett, ha az titkostott, teht biztonsgos. Kvetkez lpsknt azokat a hlzati profilokat kell kivlasztanunk, melyekben a tzfalszably l, vgl egy nevet s egy rvid lerst (opcionlis) kell csatolnunk a szablyhoz. Ugyanezzel a varzslval dolgozunk, amikor kimen forgalom szablyozst lltjuk be az Outbound Rules (Kimen szablyok) szekciban.
A Windows tzfal mivel MMC konzolbl vezrelhet tvoli szmtgprl felcsatlakozva is kezelhet, valamint a netsh parancssori eszkzzel is lekrdezhetjk s megvltoztathatjuk a belltsokat. A tzfal halad belltsainak parancssorbl trtn kezelshez hasznljuk a netsh advfirewall utastscsoportot.
A mr emltett IPSec olyan nylt szabvnyokbl ll keretrendszer, amely kriptogrfiai biztonsgi szolgltatsok segtsgvel teszi lehetv a titkostott kommunikcit az IP-protokollt hasznl hlzatokon. Az IPSec-protokoll kt legfontosabb clja, hogy megvdje az IP-csomagok tartalmt, s hogy vdelmet nyjtson hlzati tmadsokkal szemben a megbzhat kommunikci kiknyszertsvel. Az IPSec a titkostson alapul vdelmi szolgltatsok, a biztonsgi protokollok s a dinamikus kulcskezels alkalmazsval mindkt clnak megfelel. E biztos httr szolgltatja azt a hatkonysgot s rugalmassgot, amely a szl s site-to-site VPN-hlzatok szmtgpei, tartomnyok, s pl. webhelyek kztti biztonsgos kommunikcit lehetv teszi. St, az IPSec a megadott forgalomtpusok fogadsnak vagy tovbbtsnak blokkolsra is hasznlhat.
171
Az gyfelek biztonsga
Az IPSec-protokoll biztonsgi szolgltatsainak belltshoz eddig kizrlag a klnbz hzirendek voltak hasznlatosak. Az IPSec-hzirendek igny szerint alakthatk, gy egy adott szmtgpre, alkalmazsra, tartomnyra vagy az akr az egsz vllalatra szabhatk. A Windows Vistban az IPSec is j ruhba bjt, ezen tl Connection Security Rules (Kapcsolatbiztonsgi szablyok) nven, a halad tzfal MMC-be integrlva is tallkozhatunk vele (a csoporthzirendbl tovbbra is definilhatk IPSec hzirendek). De nem csak a ruha j, most mr valban egyszerv vlt a hasznlat is, azaz nem szksges elmerlnnk a kriptogrfia mlysgeibe, ahhoz, hogy bekapcsoljuk kt tetszleges vgpont kzt az IPSec-et. A halad belltsok nagyon szpen el vannak rejtve, az alapbelltsokkal viszont eleve biztonsgosan, pr kattintssal kszthetnk azonnal mkd hlzati forgalomtitkostst. Kapcsolatbiztonsgi szablyokat a hagyomnyos tzfalszablyokhoz hasonlan varzsl segtsgvel llthatunk el, a lehetsgek trhza bsges, vlaszthatunk izolcit, kiszolgl-kiszolgl kapcsolat belltst, hitelests-mentestst llthatunk be, valamint biztonsgos tjrt (tunnel) hozhatunk ltre. Rendelkezsnkre llnak j algoritmusok is, a titkostshoz AES128/192/256, a kulcscserhez ECDH-P 256/384 titkostst is hasznlhatunk.
172
Az IPSec parancssorbl is kezelhet, ehhez a mr ismert netsh eszkzt alkalmazhatjuk. A netsh IPSec kontextusba val belpshez hasznljuk a netsh -c ipsec parancsot. A tzfal MMC-konzol Monitoring (Figyels) trolban megtekinthetjk az aktulisan aktv s mkd szablyokat, tzfal- s kapcsolatbiztonsg szerint kln csoportostva. A Security Associations (Biztonsgi trstsok) bejegyzs alatt az aktv kapcsolatbiztonsgi (IPSec) belltsok kerlnek listzsra.
A kt (valjban csak egy) Windows Vista tzfal Ebben az eladsban sor kerl a Windows Vistban integrlt tzfal mindkt arcnak bemutatsra, a halad lehetsgeket rszletesen kielemezve. Fjlnv: I-3-4dWindows-Firewall.avi
173
Az gyfelek biztonsga
Ments s visszallts
A korbbi Windows-verzikkal ellenttben a Vista mentsvel s visszalltsval kapcsolatos feladatokat mr nem az NTBackup-program, hanem a hangzatos nev Backup and Restore Center (A biztonsgi ments s visszallts kzpontja), illetve az innen elindthat Backup Status and Configuration (Biztonsgi ments llapota s konfigurcija, sdclt.exe) felletrl vgezhetjk el.
Az NTBackup-program hasznlatval, a kiszolglk mentsnek s visszalltsnak krdseivel a hatodik fejezetben rszletesen fogunk foglalkozni, most csak a Vista specilis lehetsgeivel ismerkednk meg.
Itt adhatjuk meg az egyes fjlok s mappk, automatikus mentsvel, illetve a teljes szmtgp disk image (lemezkp) alap mentsvel kapcsolatos belltsokat, s innen kezdemnyezhetjk az adatok visszalltst is.
174
Ments s visszallts
A Vista ngy klnbz lehetsget nyjt a biztonsgi mentsek ksztsre, ezek mindegyike ms mdon, s msfle adatok mentsre hasznlhat elnysen. A kvetkezkben ttekintjk az egyes mentsi tpusokat, s megvizsgljuk azt is, hogy melyik tpus milyen adatok mentsre hasznlhat legjobban. Restore points (Visszalltsi pontok) a rendszerfjlok s a rendszerkonfigurci mentsre hasznlhat, segtsgvel az opercis rendszer egy korbbi llapotra trhetnk vissza (a felhasznlk adataira a visszallts nem vonatkozik). Previous Versions (Elz verzik) a szolgltats elssorban a felhasznlk fjljainak mentsre s visszalltsra hasznlhat, a mentsek automatikusan trtnnek, a visszalltsi mveleteket pedig maguk a felhasznlk kezdemnyezhetik. (A szolgltats az rnykmsolatokon alapul, amelynek rszletes ismertetse a negyedik fejezetben tallhat.) Create backup copies of yout files and folders (Fjlok s mappk biztonsgi mentse) elssorban a felhasznlk fjljainak mentsre hasznlhat automatikus (idztett), illetve kzi indtssal. Complete PC backup (A teljes szmtgp mentse) a teljes szmtgp lemezkp alap mentse, ami tartalmazza valamennyi ktet valamennyi adatt, vagyis az sszes rendszerfjlt s -belltst, illetve a felhasznlk fjljait is.
Az gyfelek biztonsga
A System Restore-szolgltats
A System Restore (Rendszer-visszallts) szolgltats segtsgvel restore pointokat (visszalltsi pontok) hozhatunk ltre, amelyek lehetv teszik a rendszer helyrelltst sikertelen frisstsek, szoftver- vagy hardvertelepts, illetve ms vltoztatsok utn. A kvetkezkben ttekintjk a visszalltsi pontokkal kapcsolatos tudnivalkat s belltsi lehetsgeket. A visszalltsi pont tulajdonkppen a szmtgp egy adott ktetnek (pontosabban a kteten lv rendszer- s programfjloknak, illetve a regisztrcis adatbzisnak) lemezre mentett pillanatfelvtele, amelynek segtsgvel visszallthat a pillanatfelvtel idpontjnak rendszerkonfigurcija. A System Restore-szolgltats alaprtelmezs szerint napi temezssel automatikusan kszti el a helyrelltsi pontokat. A System Restore az adatok mentst ktetenknt vgzi, vagyis a szolgltats az egyes ktetekre engedlyezhet, illetve tilthat. Alaprtelmezs szerint a Vista maximlisan az adott ktet terletnek 15%-t hasznlja a visszalltsi pontok trolsra (a minimlisan szksges terlet 300 MB), s a szolgltats a rendszert tartalmaz ktet esetben engedlyezve van.
A System Restore-szolgltats ltal mentett adatok az adott ktet System Volume Information nev mappjban troldnak. Minden egyes visszalltsi pont kln almappba kerl, amelynek neve tartalmaz egy 32 karakter hossz egyedi azonostt (GUID). NTFS-kteteken a mappa nem rhet el a felhasznlk szmra (mg a rendszergazdknak sem); alaprtelmezs szerint egyedl a System fik kap jogot a mappa elrsre. Ha szeretnnk tudni, hogy mennyi helyet foglalnak a System Restore ltal mentett adatok, egy rendszergazda jogosultsggal fut parancssorban adjuk ki a kvetkez parancsot: vssadmin list shadowstorage.
Fontos megjegyezni, hogy a System Restore a szemlyes adatokat (pldul a felhasznli profil tartalmt) nem menti, gy ezeket az esetleges visszallts sem fogja rinteni, viszont mivel az rnykmsolatok (lsd ksbb) ksztst is a System Restore engedlyezsvel kapcsolhatjuk be, mgis rdemes lehet a szolgltatst a felhasznli adatokat tartalmaz ktetekre is engedlyezni. A napi temezs mellett termszetesen kzzel is kszthetnk visszalltsi pontokat (az brn lv Create (Ltrehozs) gomb megnyomsval), illetve a Vista bizonyos esemnyek bekvetkeztekor automatikusan is kszt tovbbi visszalltsi pontokat. A visszalltsi pont ksztst kivlt esemnyek a kvetkezk (cskkentett md rendszerindts esetn nem kszlnek visszalltsi pontok):
176
Ments s visszallts
Program teleptse megfelel teleptprogram esetn a teleptst megelzen visszalltsi pont kszl. A visszalltsi pont segtsgvel problma esetn helyrellthatjuk a szmtgp teleptst megelz llapott.
3.39. bra: Alaprtelmezs szerint a System Restore csak a rendszert tartalmaz ktet vltozsait figyeli
Frisstsek teleptse az automatikus frisstsek teleptse eltt is kszl visszalltsi pont. Visszalltsi mvelet visszalltsi pont kszl minden visszalltsi pontra trtn visszatrs eltt is, gy knnyen visszavonhatjuk az elhibzott mveletek hatst. Alrs nlkli eszkzmeghajt teleptse visszalltsi pont kszl az alratlan, illetve nem minstett eszkzmeghajtk teleptse eltt. (A minstett meghajtk korbbi llapotnak visszalltsa a Device Manager (Eszkzkezel) Driver Rollback (Az eszkzmeghajt visszalltsa) mveletvel lehetsges.) Mentsbl val visszallts visszalltsi pont kszl, ha a Vista beptett mentszoftvernek segtsgvel fjlokat lltunk vissza.
177
Az gyfelek biztonsga Problmt okozhat, ha a Windows Vista-rendszer mellett Windows XP is teleptve van a szmtgpen. Ebben az esetben a Windows XP indtsakor a Vista ltal mentett valamennyi visszalltsi pont (az rnykmsolatokkal egytt) megsemmisl. A jelensgnek oka az, hogy mivel a Windows XP nem ismeri a Vista ltal ltrehozott visszalltsi pontok formtumt, azt felttelezi, hogy azok srltek, gy egyszeren trli ket, majd ltrehozza a sajt visszalltsi pontjait.
A Previous Versions-szolgltats
A Previous Versions (Elz verzik) szolgltats a srlt, illetve vletlenl mdostott vagy trlt fjlok egyszer, a felhasznlk ltal kezelhet visszalltsi lehetsgt biztostja. Egy fjl vagy mappa elz verzija szrmazhat a Vista beptett mentszoftvervel ltrehozott mentsi fjlbl, vagy rnykmsolatbl, amelyek a visszalltsi pontok rszeknt alaprtelmezs szerint naponta egyszer kerlnek mentsre (csak vltozs esetn).
Az rnykmsolat-szolgltats a Windows Server 2003 esetben is ltezik, errl rszletes lers tallhat a negyedik fejezetben. A Windows Server 2003 esetn azonban az elz verzik csak az rnykmsolattal vdett ktet megosztott mappinak elrsekor llnak rendelkezsre. A Vista jdonsga, hogy az rnykmsolatok, s gy a fjlok s mappk elz verzii helyi ktetek esetben is elrhetk s hasznlhatk.
Ments s visszallts
Az rnykmsolatokat a rendszer a visszalltsi pont rszeknt, az ott megadott paramtereknek megfelelen menti. Ha a System Restore szolgltats engedlyezve van (a szolgltats alaprtelmezs szerint csak a rendszert tartalmaz ktetet vdi), akkor a ktet megvltozott fjljairl naponta egy rnykmsolat kszl (termszetesen a nem mdostott fjlokrl nem). Ha tbb ktetet is szeretnnk vdeni az rnykmsolatok segtsgvel, azokon is engedlyeznnk kell a System Restore-szolgltatst. Az rnykmsolatok hasznlatval kapcsolatban mindenkppen figyelembe kell vennnk az albbi szempontokat: Az rnykmsolatok lettartama korltozott. Alaprtelmezs szerint a ktet 15%-a ll rendelkezsre, erre a clra, ha ezt elrjk, a tovbbi rnykmsolatok elkezdik fellrni a legrgebben kszlt pldnyokat. rnykmsolat csak a fjlok, illetve mappk megvltoztatsakor kszlnek. Ha egy adott fjl mr hossz id ta vltozatlan, akkor elkpzelhet, hogy egyltaln nem lesznek rnykmsolatai (br ebben az esetben nincs is szksg rjuk). Amint mr emltettk, ha a szmtgpen ms opercis rendszert (Windows XP-t) indtunk el, akkor valamennyi rnykmsolat s a visszalltsi pontok is trldni fognak.
A rendelkezsre ll elz verzik megtekintshez kattintsunk a fjlra, illetve mappra az egr jobb gombjval, s vlasszuk a Restore Previous Versions (Korbbi verzik visszalltsa) menpontot.
Az elz verzik (Previous Versions) hasznlata Ebben a demban bemutatjuk a Vistba immr alaprtelmezsben integrlt Previous Versions szolgltats igencsak kellemes elnyeit. Fjlnv: I-3-5aPrevious-Versions.avi
179
Az gyfelek biztonsga
Complete PC Backup
A teljes szmtgp mentse azt jelenti, hogy a szmtgp kijellt kteteirl (a rendszerktetrl mindenkppen) lemezkp (disk image) alap msolatot ksztnk. A lemezkp tartalmazza az adott ktet valamennyi adatt, a rendszerfjlokat s belltsokat, valamint a felhasznlk fjljait is. A mentsi fjl (vagyis a lemezkp) mrete nagyjbl meg fog egyezni az sszes elmentett adat eredeti mretvel. A lemezkpek formtuma a Virtual PC (s a Virtual Server) ltal is hasznlt .vhd (virtual hard disk) formtum, vagyis azok akr egy virtulis gp al is becsatolhatk. Mieltt a mentst elvgeznnk, clszer megkeresni s kijavtani a ktet esetleges hibit (chkdsk), s tredezettsgmentesteni a ktetet. Ha a mentst msodik merevlemezre szeretnnk elvgezni, NTFS fjlrendszerrel kell megformznunk azt (tmrtett ktetre nem helyezhetjk a mentsi fjlt).
180
Ments s visszallts
A teljes szmtgp mentse csak teljes ktetekre vonatkozhat, egyedi fjlok vagy mappk kivlasztsra nincs lehetsg, gy aztn a ments elvgzse is meglehetsen egyszer: csak a clhelyet kell megadnunk s ki kell vlasztanunk a mentend kteteket. A szmtgp visszalltst elvgezhetjk a Backup and Restore Center felletrl, de nem indul rendszer esetn ez az t termszetesen nem jrhat. Ebben az esetben a visszalltshoz a Vista teleptlemezrl kell elindtanunk a szmtgpet, de a szoksos telepts helyett vlasszuk a Repair Your Computer (Szmtgp javtsa) hivatkozst, majd a Windows Complete PC Restore (Windows Complete PC Visszallts) opcit.
Ments s visszallts Ez a rszletes elads a Vista fjlokat s mappkat rint menteszkzvel, illetve a specilis komplett lemezktet ments szolgltatssal foglalkozik. Fjlnv: I-3-5bMentes-visszallitas.avi
181
II. RSZ
A kiszolgl
A msodik rszben a jelenleg aktulis hlzati kiszolgl opercis rendszer, a Windows Server 2003 R2 kpessgeit ismertetjk, szintn hrom fejezetben.
185. oldal
A knyv negyedik fejezete egy ltalnos bevezetsnek tekinthet a Windows kiszolglk alkalmazshoz. A telepts tmakrtl az alap fjl- s nyomtatszolgltatsokon keresztl egszen a hlzati szolgltatsokig jutunk el. A fejezet utols harmadban kapott helyet a Windows Software Update Services (WSUS) rszletes ismertetse is.
Tartomnyi krnyezet
275. oldal
Az tdik fejezetben megprbltunk egy ltalnos, de azrt alapos s mly ttekintst nyjtani a Windows hlzatok legfontosabb alkotelemrl, a cmtrszolgltatsrl. Rszletesen taglaljuk a cmtr szerkezett, objektumait, mentst, s az olyan kapcsold szolgltatsokat, mint pldul a DNS nvfelolds. Ezek mellett a Csoporthzirendrl s a telephelyekrl is szt ejtnk.
Hibakeress s -elhrts
339. oldal
A knyv befejez fejezete igazi unikumnak szmt. A hibakeress kapcsn ismertetjk a Windows opercis rendszerek alapszint mkdst, a rendszerindtstl kezdve, a Recovery Console-on keresztl egszen a kk hallig. A fejezet tovbbi rszeiben pedig a Windows hlzatokban elfordul problmk megoldshoz hasznlhat, beptett illetve kls eszkzkrl esik sz.
NEGYEDIK FEJEZET
Hlzati szolgltatsok a kiszolglk valamennyi szolgltatsa a hlzaton keresztl rhet el, gy szmos funkci kapcsoldik a megfelel hlzati mkds, s az gyfelek hlzati hozzfrsnek biztostshoz. Ebben a rszben ttekintjk az IP-cmek kiosztsnak mdszereit, a WINS-nvszolgltatssal kapcsolatos legfontosabb tudnivalkat, s a hlzathoz, illetve az egyes szmtgpekhez val tvoli hozzfrs lehetsgeit. Ide tartozik termszetesen a hlzatok nvfeloldst biztost, s az Active Directory cmtr mkdshez felttlenl szksges DNS-szolgltats is, de ezzel a kvetkez fejezetben fogunk rszletesen foglalkozni. Egyb kiszolgloldali sszetevk ebben a rszben rviden ismertetnk nhny tovbbi szolgltatst, majd megismerkednk a Windows alkalmazskiszolgl platformjval s kt erre pl alkalmazssal is.
186
hardverelemekbl felptett gpek sokkal ritkbban hibsodnak meg, illetve meghibsods esetn is nagyon rvid id alatt, st esetenknt folyamatos zem kzben is elvgezhet a hiba elhrtsa. A kiszolglk teht kpesek arra, hogy erforrsaikat folyamatosan, megszakts nlkl gyfeleik rendelkezsre bocsssk. Nagyobb teljestmny Termszetesen a kiszolgl ltalban jval nagyobb teljestmnyre kpes, mint egy tlagos asztali gp, radsul az erforrsok hasznlata a hlzatbl rkez krsek minl hatkonyabb kiszolglsra van optimalizlva. Pldul fjlmegoszts esetn egy kiszolgl szmtgp jval hatkonyabban kpes feladatnak elltsra sok berkez krs esetben is. Jogosultsgok kzponti kezelse ha az erforrsok megosztst a kiszolgl vgzi, akkor a hozzfrsi jogosultsgokat is a kiszolgl kezeli, gy azok belltst s felgyelett csak egy helyen kell elvgeznnk. Tovbbi lehetsget nyjt ezzel kapcsolatban, ha a kiszolgl bezemelsvel kapcsolatban a cmtrat, vagyis az Active Directoryt is teleptjk. A cmtr kpes arra, hogy a hlzat objektumait egysges, jl kezelhet formban tegye elrhetv a felhasznlk s a rendszergazdk szmra, gy a jogosultsgok kzponti kezelse a hlzat valamennyi elemre vonatkozan megvalsthat. Az Active Directory cmtrszolgltats felptsvel, teleptsvel s hasznlatval a kvetkez fejezetben rszletesen is foglalkozni fogunk. Kzponti felgyelet kiszolgl (vagy kiszolglk) hasznlatval megvalsthat a teljes hlzat kzponti felgyelete (leginkbb akkor, ha az Active Directory szolgltatsait is ignybe vesszk). A kzponti felgyelet alapjt kpez csoporthzirend segtsgvel a kiszolglk s gyflgpek belltsait nem egyesvel, hanem a kiszolgln ltrehozott bellts-gyjtemnyek hasznlatval, kzpontilag adhatjuk meg. Ez a megkzelts lehetv teszi azt, hogy valamennyi szmtgp s felhasznl biztosan megkapja a neki jr belltsokat vagyis az gyflgpek teljesen egysgesen, pontosan a rendszergazda ltal meghatrozott mdon mkdhetnek , s jelentsen megknnyti a sok szmtgpet, illetve felhasznlt rint vltoztatsok kezelst is. A kzponti felgyelet rszeknt olyan clszoftvereket is hasznlhatunk (pldul System Center Esentials 2007 (SCE), System Center Operations Manager 2007 (SCOM), Windows Server Update Services (WSUS), amelyek lehetv teszik, hogy gyakorlatilag minden, a hlzatot, illetve a szmtgpeket rint felgyeleti mveletet kzpontilag vgezhessnk el, s a rendszer mkdst befolysol valamennyi jelents esemnyrl mr a bekvetkezsvel egy idben (st sok esetben elre is) rtesljnk.
187
Alkalmazsplatform a Microsoft kiszolgl opercis rendszerei stabil, megbzhat alkalmazsplatformot nyjtanak klnfle kiszolgl termkek szmra (legyen sz akr a Microsoft, akr kls gyrtk, akr a vllalat sajt fejlesztinek termkeirl). Az infrastruktrban rejl lehetsgek kihasznlsval az egszen bonyolult, sszetett alkalmazsok is viszonylag gyorsan s knnyen elkszthetk.
A kiszolgl feladatai
Hogy valban szksg van-e kiszolgl beszerzsre s zembe lltsra, az attl is fgg, hogy milyen szolgltatsokat ignyel a hlzat s a felhasznlk. Ezek kzl bizonyos feladatokat az gyflgpek maguk is ellthatnak, de a fent felsorolt elnyk miatt, nagyobb ignybevtel, vagy kritikus fontossg funkci esetn mr mindenkppen rdemes megfontolni a kiszolgl alkalmazst. A kvetkezkben ttekintjk a tipikus kiszolgli feladatokat, s szt ejtnk arrl is, hogy milyen esetben lehet ezek egy rszt gyflgpre bzni. Fjl-, s nyomtatmegoszts a fjlok s nyomtatk megosztsa a kiszolgl szmtgpek klasszikus funkcija. Ez a funkci ltszlag azonos mdon megvalsthat gyflgpeken is, azonban intenzvebb, biztonsgos s folyamatos hasznlatra ez a megolds mr nem alkalmas, radsul szmos kiegszt funkci csak kiszolgl opercis rendszer esetn rhet el. Nagyjbl azt mondhatjuk, hogy az gyflgpek ltal biztostott fjl- s nyomtatmegoszts az egyetlen szobnyi cgmretig hasznlhat, mr csak azrt is, mert az gyfelek megosztsaihoz egy idben maximum tz felhasznl csatlakozhat. A kiszolglk fjl- s nyomtatmegosztsai elvileg korltlan szm felhasznl kiszolglsra kpesek, intenzv hasznlat esetn is biztosthatjk a megfelel teljestmnyt, a folyamatos hozzfrst s az adatbiztonsgot, a kiegszt szolgltatsok (rnykmsolatok, elosztott fjlrendszer, mappa alap kvtzs, fjlszrs stb.) pedig sok felhasznl esetn is biztostjk a hatkony zemeltets feltteleit. Hlzati szolgltatsok a hlzati szolgltatsok egy rsze (pldul az internetkapcsolat megosztsa) elrhet gyflgpek esetben is, de erre is vonatkoznak a hlzat mretvel s a szmtgpek szmval kapcsolatos korbban mr emltett korltozsok, a vllalati hlzatok szmra legfontosabb szolgltatsok (DHCP, DNS, tvoli elrs, tvlaszts) pedig csak kiszolgl opercis rendszereken rhetk el.
188
Biztonsgi ments a biztonsgi mentst s helyrelltst vgz NTBackup.exe alkalmazs termszetesen elrhet az gyflrendszereken is, de ebben az esetben csak az gyfl sajt merevlemezn trolt adatok mentst vgezhetjk el segtsgvel. A kzponti (kiszolgln trtn) adattrols (pldul a felhasznlk dokumentumtrol mappinak tirnytsval) nagymrtkben megknnyti a biztonsgi mentssel s visszalltssal kapcsolatos feladatok hatkony s biztonsgos elvgzst, az elosztott fjlrendszer s a replikci hasznlatval pedig tovbb fokozhatjuk a trolt adatok biztonsgt. Levelezs s csoportmunka ha a vllalat sajt kezbe kvnja venni a levelezs s csoportmunka kezelst (vagyis nem elgszik meg az internetszolgltat ltal nyjtott lehetsgekkel, vagy a klnfle ingyenes megoldsokkal), akkor Windows-platformon mindenkppen szksg van a kiszolgl opercis rendszer beptett POP3 s SMTPszolgltatsra (vagy a kiszolglra telepthet Exchange Serverre), illetve a Windows SharePoint Services-szolgltatsra. Web- s ftp-szolgltatsok a web- s ftp-szolgltatsokat, illetve a webkiszolgln alapul hlzati alkalmazsok httert az IIS (Internet Information Services) biztostja. Az IIS gyflrendszereken is elrhet, de ebben az esetben tbb szempontbl is korltozott lehetsgekkel rendelkezik. Nyilvnosan elrhet web-, vagy ftp-hely zemeltetsre pldul az gyfl-IIS semmikppen nem alkalmas, mr csak azrt sem, mert egy idben legfeljebb tz felhasznl csatlakozhat hozz. Egszen ms a helyzet azonban a kiszolgln fut IIS esetn, ez a vltozat mr tkletesen megfelel nagy terhelssel mkd, nyilvnos web- vagy ftp-szolgltats biztonsgos zemeltetsre is.
tats teljestmnyt terhelselosztst vgz frt (Network Load Balancing, NLBS) hasznlatval szeretnnk megnvelni. A hlzati terhelselosztst vgz frtk legfeljebb 32 darab Windows-kiszolgl egyestsvel biztostjk a TCP- s UDP-alap szolgltatsok s alkalmazsok mretezhetsgt. A hlzati terhelseloszts segtsgvel pldul a web- s ftp-kiszolglk, a tvoli elrst biztost VPN-kiszolglk, s a terminlszolgltatsok teljestmnyt nvelhetjk. Ignyelt szolgltatsok egyltaln nem mindegy, hogy a rendelkezsre ll teljestmnyt milyen szolgltatsok megvalstsra fordtjuk, bizonyos esetekben a klnfle funkcikat nem ajnlott (esetleg nem is lehetsges) egyetlen kiszolgln elhelyezni. A vllalat SBS-kiszolglja (Small Business Server) nem lehet pldul terminlkiszolgl; ha erre a szolgltatsra is szksgnk van, mindenkppen egy msodik kiszolglt kell zembe lltanunk. Br elvileg lehetsges, de biztonsgi jelleg problmkat okozhat az, ha a tzfalszoftver (ISA Server) a bels hlzat ltal ignyelt szolgltatsokkal (tartomnyvezrl, bels DNS-kiszolgl, Exchange stb.) egy szmtgpen osztozik, mivel ebben az esetben knyszeren nvelnnk kell a tzfalat futtat szmtgp tmadhat fellett (br ez a kifel nz interfszre termszetesen nem vonatkozik). Megfelel hardver esetn azonban ezek a problmk a klnbz virtualizcis technolgik (pldul az ingyenesen hasznlhat Virtual Server 2005) segtsgvel is kezelhetek. zembiztonsg (redundancia) a legtbb esetben ez a szempont indtja el a kisvllalatokat a tbb kiszolgl fel vezet ton. Br a kiszolglk a legtbb esetben mr a hardver szintjn is rendelkeznek bizonyos redundancival (tpegysg, RAID lemezvezrlk stb.), a teljes hlzat zemkpessge olyan fokon fgg a kiszolglk ltal biztostott szolgltatsoktl (pldul az Active Directorytl), hogy nem rdemes kockztatni, ha kritikus fontossg a hlzat folyamatos mkdse (s hol nem az?), akkor pldul tartomnyvezrlbl minimlisan kettre van szksg. A kiszolglfrtk alkalmazsa szintn az zembiztonsg fokozst szolglja, amihez termszetesen ugyancsak tbb kiszolglra van szksg (maximlisan nyolc csompontot hasznlhatunk). A Microsoft Cluster Service (MSCS) segtsgvel feladattvteli frtket (Fail-Over Cluster) valsthatunk meg, azaz, ha a frt valamelyik csompontja kiesik, az azon fut szolgltatsokat egy msik csompont veszi t. Kiszolglfrt esetn a kzs szolgltatsok adatai egyetlen pldnyban, megosztott elrs lemezeken troldnak.
190
Elkszletek s telepts
Elkszletek s telepts
A kvetkezkben megismerkednk a Windows-kiszolglk klnfle vltozataival, ttekintjk, hogy milyen szempontokat kell figyelembe vennnk a kiszolgl teleptse eltt, s mely krdsekre kell vlaszt tallnunk, mieltt a teleptlemezt a meghajtba helyezzk. Tulajdonkppen ez a telepts nehezebb rsze; a ksbbi esetleges problmk nagy rsze a tervezsre, (illetve annak hinyra) vezethet vissza. Megfelel elkszts utn a teleptprogram futtatsa tulajdonkppen mr semmifle problmt nem okozhat.
191
Windows Server 2003 Standard Edition R2 Kisvllalati s telephelyi krnyezetben kpes az alapvet hlzati s alkalmazsszolgltatsok biztostsra. A Standard vltozat maximum 4 processzor hasznlatt tmogatja, s 4 GB a hasznlhat RAM fels hatra. Windows Server Web Edition Dediklt webkiszolgl, feladata weboldalak, webalkalmazsok s webszolgltatsok htternek biztostsa. A kiszolgl kifejezetten webes alkalmazsokhoz van optimalizlva, tartalmazza az ehhez szksges alapvet felgyeleti s biztonsgi funkcikat. Egy- s ktprocesszoros gpekre telepthet, s 2 GB RAM kezelsre kpes (egyb korltozsokkal is tallkozhatunk hasznlatakor). Windows Small Business Server 2003 (SBS) Standard Edition R2 Komplett kiszolglcsomag kisvllalatok rszre. A csomag az nll komponensekhez kpest jelentsen kedvezbb ron kaphat, de hasznlata bizonyos korltozsokkal jr. Az SBS szolgltatsait legfeljebb 75 felhasznl veheti ignybe, s a licencfelttelek szerint a csomagot alkot valamennyi kiszolgl-alkalmazsnak egyetlen gpen kell futnia. Tovbbi korltozs, hogy az SBS-tartomny nem integrlhat ms tartomnyokkal (viszont az SBS-tartomnyban tbb kiszolgl, st tartomnyvezrl is hasznlhat). A standard vltozat a kvetkez komponenseket tartalmazza: Microsoft Windows Server 2003. Microsoft Exchange Server 2003 SP2, Standard Edition csoportmunka, internetes levelezs. Microsoft Office Outlook 2003 levelezprogram az SBS-gyflgpekre. Health Monitor 2.1 a kiszolgl s az alkalmazsok teljestmnynek, paramtereinek ellenrzse, naplzsa. Remote Web Workplace (Tvoli webes munkahely) a legfontosabb szolgltatsok interneten keresztl trtn elrse. Windows Server Update Services (WSUS) a frisstcsomagok kzponti letltse s elosztsa.
Windows Small Business Server 2003 Premium Edition A Premium Edition minden korltozsa megegyezik a Standard vltozatval, de dobozban a fentieken kvl a kvetkez komponenseket is megtallhatjuk:
192
Elkszletek s telepts
Microsoft Internet Security and Acceleration Server 2004 tzfal s proxykiszolgl Microsoft SQL Server 2005, Workgroup Edition adatbzis kiszolgl
Valamennyi vltozatbl mr csak az R2 kiads kaphat, ez a megelzhz kpest 21 j komponenst tartalmaz, amelyek kzl a legfontosabbakkal a tovbbiakban meg is fogunk ismerkedni.
~ 4 v
~ 2 v
A fenti brn lthat a Microsoft kiszolgl opercis rendszereinek tervezett fejlesztsi ciklusa. A nagyjbl ngyvente megjelen j fvonalbeli verzik kztt flton szerepel egy-egy kztes vltozat, amelyben alapvet technolgiai vltozs nlkl jelenik meg j nhny j szolgltats. Ennek a vonalnak az els kpviselje a Windows Server 2003 R2, ami az SP1-re alapul, s teleptsekor szabadon vlogathatunk a megjelent j komponensek kzl.
A telepts elkszletei
A kiszolgl teleptsnek megkezdse eltt (klnsen, ha egy kisvllalat els kiszolgljrl van sz) rengeteg krlmnyt kell figyelembe vennnk, hogy j dntseket hozhassunk, s a bezemelt szmtgp bevlthassa a hozz fztt remnyeket. Nagyon fontos, hogy minden lnyeges krlmnyt tisztzzunk elre, vagyis mg a telepts megkezdse eltt. Alapos tervezssel egy rugalmas s tlthat, knnyen kezelhet s a cg ksbbi, akr nem tervezett ignyeinek is megfelel rendszert hozhatunk ltre. A kvetkezkben felsoroljuk azokat az alapvet szempontokat, amelyek az elkszts sorn figyelmet rdemelnek.
193
ltalnossgban a kvetkez szempontok megfontolst javasoljuk: Tbb processzor a processzorok szmnak nvelsvel ltalban jelents teljestmnynvekeds rhet el, mivel ebben az esetben az erre felksztett programok tbb processzor egyidej hasznlatval prhuzamosthatjk mkdsket, illetve az egyes alkalmazsok is tbb processzoridt kaphatnak. RAM Gyakran a fizikai memria bvtse a legfbb teljestmnyjavt tnyez. Hardver RAID Tbb gyors lemezmeghajt kln lemezvezrlkkel val hasznlata jelents mrtkben gyorsthatja az I/O-feldolgozst s lervidtheti az rsi/olvassi idt. A klnfle RAID-megoldsok hasznlata a sebessgen kvl az adatbiztonsgot s megbzhatsgot is jelentsen nvelheti. Tbb lapozfjl Ha a lapozfjlt tbb fizikai lemezre osztjuk szt, valamelyest gyorsulhat a virtulis memrihoz val hozzfrs.
194
Elkszletek s telepts
Elzetes hibafelderts
A minimlis hardverkvetelmnyek betartsn kvl nmi figyelmet kell fordtanunk hardvereszkzeink, illetve alkalmazsaink kompatibilitsra is. A hardvereszkzk elzetes vizsglatra a Hardware Compatibility List (Windowshardverkompatibilitsi lista) weboldalt (http://www.microsoft.com/hcl), illetve a teleptlemezen tallhat hcl.txt fjlt is hasznlhatjuk. Termszetesen, mg a kompatibilis eszkzk esetben is gondoskodnunk kell a legfrissebb meghajtprogramok beszerzsrl, illetve esetleg a szmtgp BIOS-nak frisstsrl is. Ha a szmtgpen mr van valamifle Windows opercis rendszer, akkor alkalmazsaink s a meghajtprogramok kompatibilits-vizsglatt a teleptprogram nyitkpernyjrl indthat kompatibilits-vizsgl program segtsgvel is elvgezhetjk. A program segtsgvel automatikus vizsglatot indthatunk, amelynek eredmnyeknt listt kapunk a problms alkalmazsokrl, illetve meghajtprogramokrl.
A programot elindthatjuk a teleptprogram futtatsa nlkl is, ha a teleptlemez \i386 mappjban kiadjuk a winnt32 /checkupgradeonly parancsot. Aktv internetkapcsolat esetn a telepts, vagy a kompatibilits-vizsglat kzben is frissthetjk a rendszerben tallhat meghajtprogramokat, st a teleptprogram ltal hasznlt rendszerllomnyokat is.
195
196
Elkszletek s telepts
Lemezparticionls s fjlrendszer
Mg a telepts megkezdse eltt tervezzk meg a ltrehozand partcik mrett s a hasznland fjlrendszert. Kiszolglnk teljestmnyt jelentsen megnvelheti, ha az opercis rendszert s az adatokat kln lemezmeghajtn (vagy legalbb kln partcin) troljuk. Tbb lemezegysg hasznlatval az idignyes rsi/olvassi mveletek prhuzamosan hajthatak vgre. Szintn teljestmnynvel hats, s az adatok elvesztsnek eslyt is cskkenti, ha a tbb lemezt tartalmaz kiszolglk esetben hibatr kteteket hozunk ltre (tkrztt s RAID-5 ktetek) dinamikus lemezekkel. Szoftveres RAID-5 ktetek ltrehozhatk az opercis rendszer Lemezkezels eszkzvel, de vlaszthatunk hardveres megoldst is. A rendszert tartalmaz partci mrete termszetesen ersen fgg a hasznland szolgltatsok mennyisgtl, de ezen nem nagyon rdemes takarkoskodni. 10 GB-nl kisebb rendszerpartcit csak komoly knyszert eszkzk hatsnak engedve hozzunk ltre, de a 15-20 GB sem tlzs, ha azt szeretnnk, hogy ne kelljen zavarba jnnnk egy-egy kiegszt komponens, vagy javtcsomag teleptsekor, elfrjen a lapozfjl stb. Szintn clszer elre tgondolni azt, hogy fogunk-e hasznlni olyan komponenst, amelyhez nll partcira van szksg. Ilyen lehet pldul (nagyon sok vrhat objektum esetn) a cmtr, vagy pldul a WSUS-kiszolgl. A rendszer szmra kivlasztott partci formzst mindenkppen NTFS fjlrendszer hasznlatval vgezzk el, st ersen ajnlott az sszes tbbi partcit is ilyen mdon formzni. Az NTFS fjlrendszer hasznlata szmos elnnyel jr, ezek kzl csak a legfontosabbakat soroljuk fel: Az NTFS maximlis partci- vagy ktetmrete jval nagyobb a FAT rendszernl, radsul a ktet- vagy a partcimretek nvekedsvel az NTFS fjlrendszer teljestmnye nem cskken, ellenttben a FAT-tal. Az NTFS ltal biztostott jogosultsgi rendszer a megosztsok hasznlatakor is elnys, mivel segtsgvel nemcsak mappk, hanem egyedi fjlok szintjn is szablyozhat a hozzfrs. A fjltitkosts szolgltats nagymrtkben nvelheti az adatok biztonsgt. NTFS fjlrendszer esetn mkdik a lemezmveletek helyrelltsi naplzsa, amelynek segtsgvel a fjlrendszer kpes az adatok ramsznet, vagy ms rendszerproblmk utni helyrelltsra, gy nem kell ers izgalmi llapotban jraindtanunk a kiszolglt egy vratlan lells utn. Az alkalmazsok ltal ltrehozott nagyon nagymret, de tmenetileg csak kevs adatot trol fjlok esetben az NTFS fjlrendszer csak a fjl azon rsze szmra foglal le lemezterletet, ahov mr adatok rdtak.
197
Hlzati paramterek
Gondolkodjuk el elre (s lehetleg rjuk is fel az eredmnyt) a klnfle hlzati paramtereken. Mi legyen pldul a szmtgp, vagy a tartomny neve? Mivel a TCP/IP-protokollkszlet ktelez elem a Windows Server 2003 esetn is, nem rt, ha elre tisztzzuk, hogy mely hlzati interfsz milyen mdszerrel fog IP-cmet kapni. Ha statikus belltst hasznlunk (ez a klnbz kiszolgl komponensek miatt sok esetben ktelez), akkor mi legyen az IP-cm, az alaprtelmezett tjr (ha szksges egyltaln), mi a DNS- vagy WINS kiszolgl(k) cme a vlasztott nvfelolds tpustl fggen stb. Felttlenl clszer elre tisztzni a fentieket, mivel gpnk mr a telepts kzben (de legksbb az els bejelentkezskor) hasznlni fogja ezeket az adatokat, gy sok mlhat a megadott rtkeken.
198
Elkszletek s telepts
Ha a telept lefutott
A telept sikeres lefutsa esetn azonban mg nem vagyunk kszen: ellenriznnk kell a hardver s szoftvereszkzk megfelel mkdst. Teszteljnk mindent! Kezdjk a Device Managerrel (Eszkzkezel), bizonyosodjunk meg rla, hogy a Windows valban helyesen felismerte s teleptette a szmtgpben lv hardvereszkzk meghajtprogramjait, klns tekintettel a hlzati csatolkra. Nzzk t az Event Viewer (Esemnynapl) klnfle bejegyzseit! Ha mr ebben a szakaszban sorozatos hibkat tallunk, akkor annak mindenkppen utna kell nzni. Ha frisstett kiszolglrl van sz, akkor prbljuk meg elindtani valamennyi rklt alkalmazst, amit az j gpen is hasznlni szeretnnk! Vizsgljuk meg rszletesen a hlzati kapcsolatot! Elrhet minden, aminek elrhetnek kell lenni? Van nvfelolds (ha kellene lennie)? Az gyfelekrl elrhet a kiszolgl? A hlzaton kvlrl elrhet minden, aminek elrhetnek kell lennie? Esetleg olyasmi is elrhet, ami inkbb nem kne? Ha minden rendben van, akkor a kiszolgl teleptsnek els rszvel kszen vagyunk. Azrt csak az els rsszel, mert amit kaptunk, az mg csak egy res vz, a tovbbiakban ki kell vlasztanunk, s fel kell teleptennk azokat a szolgltatsokat, amelyekre a vllalatnak s a felhasznlknak (s persze a rendszergazdnak) szksge van.
199
A 4.3. brn lthat lista azokat a szolgltatsokat tartalmazza, amelyekre a Windows Server 2003 R2 vltozata kls erk bevonsa nlkl kpes. A kvetkezkben minden Yes megjells (vagyis valamennyi) szolgltatssal meg fogunk ismerkedni, br nhny esetben (IIS, Sharepoint stb.) csak a legfontosabb funkcik lersra szortkozunk. Az egyes szolgltatsok teleptst innen, vagyis a Configure Your Server Wizard (Kiszolgl konfigurlsa varzsl) felletrl, illetve az Add or Remove Programs (Programok teleptse/trlse) modulbl is elvgezhetjk.
A Windows Server 2003 klnfle szolgltatsainak felgyeletre szinte minden esetben az gyfl opercis rendszernl mr megismert Microsoft Management Console (MMC) technolgin alapul felgyeleti konzolok szolglnak. Valamenynyi konzol esetben lehetsg van tvoli kiszolglk elrsre is, vagyis akr egyetlen konzol segtsgvel felgyelhetjk a vllalat sszes kiszolgljt. A kiszolglhoz tartoz felgyeleti konzolokat telepthetjk brmelyik gyflgpre is, gy a rendszergazda sajt gprl is megadhatja a kiszolglk belltsait. A konzolok teleptshez az gyflgpen el kell indtanunk a Windows Server teleptlemezn, az i386 mappban tallhat adminpak.msi nev fjlt. A telepts utn az j konzolokat a Start men Administrative Tools (Felgyeleti eszkzk) csoportjban fogjuk megtallni.
200
A kiszolglk alapszolgltatsai
A kiszolglk alapszolgltatsai
Ebben a szakaszban megismerkednk a kiszolgl szmtgpek klasszikus funkciival: a fjlok s nyomtatk megosztsval. Elsknt ttekintjk a lemezkezelshez kapcsold fogalmakat, megismerkednk az alap- s dinamikus lemezekkel, a tkrztt, cskozott, s RAID-5 ktetekkel, a GUID partcis tblval, az NTFS-tmrtssel s a hagyomnyos lemezkvtkkal. Ezutn kvetkeznek a fjlok trolshoz, kezelshez kapcsold kiegszt szolgltatsok: a Removeable Storage (Cserlhet trol), a Remote Storage (Tvtrol) s a Storage Area Network (Trolhlzatok). Szt ejtnk a fjlok megosztshoz kapcsold alapszolgltatsokrl, a Shadow Copies-rl (rnykmsolat) s a Distributed File System-rl (Elosztott fjlrendszer). Vgl kvetkezhetnek az R2 verziban megjelen jdonsgok: a File Server Resource Manager, FSRM (Fjlkiszolgli erforrs-kezel), s a Print Management Console, PMC (Nyomtatskezel).
Fjlkiszolgl szolgltatsok
Mieltt hozzltnnk a fjlkiszolglk alapszolgltatsaink ismertetshez, felttlenl tisztznunk kell, hogy az gyflgpeken elrhet megosztott mappk szolgltatsai kzel sem azonosak a kiszolgl ltal megvalsthat fjlmegosztssal. A fjlkiszolgl egyrszt a szolgltatsok s felgyeleti lehetsgek szintjn is jelents tbblettel rendelkezik, msrszt a kiszolgl szmtgp jellemzen nagy CPU-teljestmnnyel, sok memrival, lemezterlettel s hlzati svszlessggel rendelkezik, vagyis kpes sok egyidej krs kiszolglst is megfelel sebessggel elvgezni.
A fjlkiszolglk alapszolgltatsai Ebben a screencastban ttekintjk a fjlkiszolglk kezelshez kapcsold legfontosabb eszkzk hasznlatt. Fjlnv: II-1-1afajlszerver-alapok.avi
Ahogyan mr korbban emltettk, a kiszolglk esetben termszetesen nem rvnyes az gyfl opercis rendszerek fjlmegosztssal kapcsolatos korltozsa (maximlisan tz egyidej kapcsolat), a kapcsolatok szmt csak az gyfllicencek szma s a kiszolgl szmtgp teljestmnye korltozza.
201
202
A kiszolglk alapszolgltatsai
tnyl ktet (Spanned volume) az tnyl ktetek kett, vagy tbb fizikai lemezre (dinamikus lemez) terjednek ki. Az tnyl ktetek mrete tetszs szerint bvthet brmelyik fizikai lemezen lv res terlet terhre. Az tnyl ktetek nem hibatrk s nem is tkrzhetk. Cskozott ktet (Striped volume) a cskozott ktetek az adatokat kt vagy tbb fizikai lemezen (tbb fizikai lemez hasznlatval nvekszik a teljestmny) lv cskokban troljk. A tbb lemezvezrl s merevlemez miatt az olvassi s rsi mveletek ebben az esetben rendkvl jl prhuzamosthatk, gy a Windows opercis rendszerekben hasznlhat ktetek kzl ez nyjtja a legnagyobb teljestmnyt, br hibatrst nem biztost. Ha egy cskozott ktet valamelyik lemeze meghibsodik, akkor az egsz ktet adatai elvesznek. A cskozott ktetek nem tkrzhetk s nem is bvthetk.
Tkrztt ktet (Mirrored volume) a tkrztt ktetek kt fizikai lemezt hasznlnak, ilyen ktet esetn valamennyi adatunk egyszeren kt pldnyban troldik. Ha az egyik tkrt tartalmaz fizikai lemez meghibsodik, s a rajta lv adatok elrhetetlenn vlnak, a msik lemezen tallhat tkrkp hasznlatval a rendszer tovbbra is mkdkpes marad. A tkrztt ktetek bvtse nem lehetsges. RAID-5 ktet (Redundant Array of Inexpensive Disks, olcs merevlemezek redundns tmbje) RAID-5 ktet esetn a trolt hasznos adat s a helyrelltshoz szksges paritsadatok hrom, vagy tbb fizikai lemezen elosztva troldnak. Ha valamelyik fizikai lemez meghibsodik, a
203
rajta trolt adatok a msik kt lemez adatai s a paritsadatok alapjn, egy j merevlemezen helyrellthatk. A RAID-5 ktetek nem tkrzhetk s nem bvthetk. A RAID-5 ktetek adatolvassi mveletek esetben jelentsen gyorsabbak pldul a tkrztt kteteknl, de rs kzben a paritsadatok szmtsa lasstja a mveleteket. Az egyik lemez meghibsodsa esetn azonban az olvassi teljestmny is jelentsen cskkenhet, hiszen ekkor az adatok egy rszt a paritsadatok segtsgvel az olvassi mvelet kzben kell generlni. A Windows Server 2003 termkcsald ltal knlt szoftveres RAID-megolds esetben a paritsadatok ltrehozsa s a srlt adatok helyrelltsa szoftveresen trtnik, vagyis a mvelet a szmtgp processzort terheli.
Hardveres RAID-megoldsok
Hardveres RAID esetn a redundns adatok ltrehozst s a srlt adatok javtst egy nll, intelligens lemezvezrl vgzi. A hardveres megoldsok legfbb elnye, hogy teljes mrtkben mentestik az opercis rendszert a lemezkezels feladataitl, st az opercis rendszer egyltaln nem is tud a vals, fizikai lemezkonfigurcirl, a Lemezkezelben ltalban csak egy kznsges alaplemezt tallunk. Az opercis rendszer szintjn megjelen fizikai lemez tulajdonkppen mr csak a RAID-vezrl ltal ltrehozott logikai lemez, a valsgos fizikai elrendezst a vezrlkrtya eltakarja az opercis rendszer ell. Ebben az esetben a Lemezkezelben egyltaln nem clszer mg dinamikus lemezek ltrehozsa sem, a lemezekkel kapcsolatos valamennyi belltst a vezrlkrtya szoftveres belltfelletn kell megadnunk. Hardveres RAIDmegoldsok olyan rendszerekben is hasznlhatk, amelyek szoftveresen nem tmogatjk ezek hasznlatt (pldul Windows XP). A hardveres RAID-eszkzk ltalban sajt BIOS-vezrlprogrammal, s nll konfigurcis programmal rendelkeznek. A logikai lemezek ltrehozst s a klnfle belltsok megadst (cskozs, tkrzs, RAID-5 stb.) ezekkel a programokkal vgezhetjk el. A hardveres RAID-megolds tovbbi nagy elnye, hogy a tmb valamelyik merevlemeznek meghibsodsa esetn a csere akr a szmtgp lelltsa nlkl is elvgezhet (Hot Swap), gy a klnfle karbantartsi mveletek nem okoznak kiesst. Ha a Windowst RAID-vezrlvel felszerelt szmtgpre teleptjk, specilis eszkzmeghajt-illesztprogramra lehet szksg ahhoz, hogy az opercis rendszer elrje a szmtgpben lv lemezeket. A meghajtprogramot a Windows teleptsnek elejn, az F6 billenty megnyomsa utn telepthetjk, mghozz kizrlag hajlkonylemezrl. Bizonyos RAID-vezrlk illesztprogramjt a Windows beptetten tartalmazza, ha ilyet hasznlunk, akkor a fenti problma nem jelentkezik.
204
A kiszolglk alapszolgltatsai
GPT-lemezek
A GPT (GUID Partition Table, globlisan egyedi azonostk partcis tblja) az EFI (Extensible Firmware Interface, bvthet bels vezrlprogram-fellet) csatol ltal az Itanium-alap szmtgpeken hasznlt lemezparticionlsi sma. A GPT szmos elnys tulajdonsggal rendelkezik az MBR-en alapul particionlssal szemben, az ilyen lemezeken pldul lemezenknt akr 128 partcit is ltrehozhatunk, s ezek mindegyike akr 18 exabjt (azaz 18 milli GB) mret is lehet. A jobb hibatrs rdekben a partcis tbla kt pldnyban troldik, de az MBR-particionls lemezektl eltren nem particionlatlan vagy rejtett szektorokban, hanem magukban a partcikban. A GPT-lemezek a Windows valamennyi 64-bites vltozatban hasznlhatk. A GPT-lemezek a Lemezkezels programban is az MBR-lemezektl jl megklnbztethet mdon, GPT-lemezekknt jelennek meg.
A Cserlhet trol a felgyelete alatt ll sszes adathordozt adathordozkszletekbe rendezi. A Cserlhet trol MMC segtsgvel az adathordozk thelyezhetk egyik adathordoz-kszletbl a msikba, gy biztosthatjuk, hogy az egyes alkalmazsok ltal ignyelt adattrol-kapacits rendelkezsre lljon.
Amikor egy adott kteten engedlyezzk a tvtrol hasznlatt, meg kell adnunk, hogy a ktet terletnek hny szzalkt szeretnnk szabadon tartani, s azt is, hogy a szolgltats hny napnl rgebben hasznlt fjlokat kezdjen el a megadott kls troleszkzre msolni (megadhatunk egy als mretkorltot is, mivel a nagyon kis fjlokkal nem rdemes foglalkozni, tbb velk a baj, mint amennyit az elrhet helymegtakarts r). Amg a kteten van elegend szabad hely, addig a rgen hasznlt (s mr lemsolt) fjlok megmaradnak az eredeti helykn is, vagyis ha mgis szksg lenne rjuk, akkor gyorsan elrhetk. Ha viszont a szabad terlet a megadott rtk al cskken, akkor a szolgltats elkezdi trlni a ktetrl azokat a fjlokat, amelyeket mr tmsolt a kls troleszkzre. A helyileg trolt adatokat teht a szolgltats csak akkor trli, ha valban szksg van az ltaluk elfoglalt terletre, viszont a mappalistkban ltszlag megmaradnak a trlt fjlok is.
206
A kiszolglk alapszolgltatsai
A tvtrol ltal kezelt fjlok minden esetben a szoksos mdon kereshetk, s nyithatk meg. Ha a fjl mr nincs a merevlemezen, a tvtrol szolgltats automatikusan elkeresi azt a kls trolbl s visszarja az eredeti helyre. Alaprtelmezs szerint a tvtrol szolgltats nem telepl az opercis rendszerrel egytt, de kivlaszthat a teleptend komponensek kztt, illetve a Control Panel (Vezrlpult) Add or Remove Programs (Programok teleptse s trlse) elemnek segtsgvel brmikor telepthet.
Trolhlzatok tmogatsa
A trolhlzatok (Storage Area Network, SAN), a tnyleges trolsi kapacitst biztost lemezmeghajt-alrendszerekbl, a kztk lv specilis hlzatbl, s a szmtgpek kapcsoldst lehetv tev elemekbl llnak. A merevlemezeket tartalmaz alrendszerek kztt igen gyors hlzati kapcsolat van, a kiszolglk szmra pedig elmletben a teljes trolkapacits egyetlen darabban elrhet. Jl megtervezett hlzat esetn a sebessg s a j kapacits-kihasznls mellett elny lehet a megnvekedett biztonsg is, mivel a trolhlzat egyes elemei akr fldrajzilag is elklnthetek egymstl, gy megfelel redundancia esetn elre nem lthat katasztrfa bekvetkeztekor is garantlhatja az adatok biztonsgt. A kiszolglk s a troleszkzk kztti kapcsolat ltalban az SCSI vagy a Fibre Channel (szlcsatorna) interfszeken alapul, de mindkettnek ltezik TCP/IP-felletet hasznl vltozata is. Az iSCSI csatolfellet segtsgvel az SCSI-parancsok TCP/IP-hlzaton vihetk t, gy lehetv vlik a nagy kiterjeds SAN-hlzatok ltrehozsa. A trolhlzat kiptse ltalban viszonylag nagy kltsggel jr, de a hagyomnyos megoldsokhoz kpest rugalmasabban hasznlhat, nagyobb kihasznltsggal zemelhet s jobban bvthet. A SAN sajt lemezvezrlvel rendelkezik, ami eltakarja a lemezek fizikai paramtereit, gy azok a kiszolglk szmra logikai egysgekknt (Logical Unit Number, LUN) rhetk el. A logikai egysgek tulajdonkppen a trolsi alrendszerek egyes rszeire mutat hivatkozsok. Egy logikai egysg llhat egy teljes lemezbl, egy lemezrszbl, egy teljes lemeztmbbl vagy a lemeztmb egy rszbl. A Trolhlzati trkezel (Storage Manager for SANs) a trolhlzat szlcsatorns s iSCSI rendszer lemezmeghajt-alrendszereihez tartoz logikai egysgek ltrehozsra s kezelsre szolgl.
207
Kiszolgl a hlzatban Windows Server 2003 R2 A kvetkez lers a hagyomnyos, R2 eltti kvtarendszerre vonatkozik. Az R2-ben megjelent mappa alap kvtzs (amelyet ksbb szintn bemutatunk) lnyegesen jobban s rugalmasabban hasznlhat. Az R2-ben megmaradt azonban a rgi kvtarendszer is.
Miutn egy kteten engedlyezzk a kvtahasznlatot, a rendszer folyamatosan nyomon kveti az elfoglalt terlet nagysgt, s a belltott hatrrtkek elrsekor naplzza az esemnyt, illetve a belltsoktl fggen az adott felhasznl szmra megakadlyozza a tovbbi helyfoglalst.
A lemezkvtk engedlyezsekor kt rtket adhatunk meg: a lemezhasznlat fels korltjt, s a kvthoz tartoz figyelmeztetsi szintet. Ha pldul a felhasznl korltjt 1 GB-ra, a figyelmeztetsi szintet pedig 950 MB-ra lltjuk, akkor a korlt elrse eltt figyelmeztet zenet kerl az Esemnynaplba, br sajnos, maga a felhasznl errl nem kap semmifle tjkoztatst. Az adott ktet tulajdonsglapjnak megjelentsekor viszont a felhasznlk a kvtnak megfelelen mdostott rtkeket lthatjk a Kapacits, Foglalt terlet s Szabad terlet mezkben, vagyis az 1 GB kvtval korltozott felhasznl a ktet teljes mrett 1 GB-nak ltja, annak valdi mrettl fggetlenl. A 4.6. brn
208
A kiszolglk alapszolgltatsai
lthat belltlapon megadott rtkek minden felhasznlra egysgesen vonatkoznak, de a Quota Entries (Kvtabejegyzsek) gomb megnyomsval megjelenthet listban mr egyedileg mdosthatjuk a felhasznlkra vonatkoz hatrrtkeket, s ellenrizhetjk az aktulis terletfoglalst. Megadhatjuk azt is, hogy a felhasznlk tllphessk a belltott kvtt. Ennek akkor van rtelme, ha nem akarjuk ugyan korltozni a lemezhasznlatot, de szeretnnk folyamatosan figyelemmel ksrni az egyes felhasznlk ltal elfoglalt terletet.
4.7. bra: Minden fjl a tulajdonos kvtjt terheli, de a rendszergazdnak tbbnyire nincs flnivalja
Fontos hangslyozni, hogy a korltozs az egy adott felhasznl ltal a kvtval vdett kteten trolt fjlok sszestett mretre vonatkozik, fggetlenl attl, hogy a fjlok melyik mappban vannak. A fjl annak a felhasznlnak a kvtjt terheli, aki a fjl tulajdonosa, vagyis aki ltrehozta azt a kteten (pldul tmozgatta oda egy msik ktetrl). Egy fjl tulajdonost a fjlhoz tartoz tulajdonsglap Biztonsg (Security) lapjn, a Specilis (Advanced) gomb megnyomsval jelenthetjk meg. Az NTFS-tmrts hasznlatval a felhasznlk nem kerlhetik el kvtjuk tllpst, mivel a tmrtett fjlokat a rendszer a tmrtetlen mretk alapjn szmtja be az sszestsbe.
209
A megosztott mappk rnykmsolatai a megosztott erforrsokon (pldul fjlkiszolgln) trolt fjlok esetben a felhasznlk ltal kezelhet, egyszer visszalltsi lehetsget biztostanak. A szolgltats segtsgvel a megosztott fjlok mltbeli llapotait jelenthetjk meg, illetve llthatjuk vissza. A korbbi vltozatok elrsnek lehetsge a kvetkez esetekben lehet hasznos: Vletlenl trlt fjlok visszalltsa A trlt fjlok korbbi vltozatai megnyithatk s jra elmenthetk. Vletlenl fellrt fjl helyrelltsa A vletlenl fellrt fjlok korbbi vltozatai az rnykmsolatok kztt mg megtallhatk. Fjlok klnbz vltozatainak sszehasonltsa A tlszerkesztett fjlok korbbi vltozatai kzl a felhasznlk kivlaszthatjk azt az llapotot, amikor a fjl mg megfelel volt.
Miutn engedlyezzk egy kteten az rnykmsolatok ksztst, meg kell adnunk, hogy a rendszer mekkora terleten trolhatja a fjlok korbbi vltozatait. Ha ezutn trljk, vagy mdostjuk, s elmentjk a ktet valamelyik fjljt, a trls, illetve ments tnyleges elvgzse eltt a rgebbi vltozat az rnykmsolatok szmra lefoglalt terletre kerl. Az rnykmsolatok belltsai kztt meg kell adnunk egy temezst (alaprtelmezs szerint reggel 7 s dli 12 ra), de ez nem a tnyleges msolst jelenti, hanem csak azt, hogy a megadott idpontoknl rgebbi fjlok s mappk minslnek korbbi vltozatnak. Vagyis pldul reggel 7 s 12 kztt akrhnyszor is mentnk el jra egy fjlt, nem kszl minden esetben jabb rnykmsolat. Az alaprtelmezett idzts teht azt hatrozza meg, hogy naponta legfeljebb kt elz vltozatunk keletkezhet (persze ennyi is csak akkor, ha a fjl valban mdosult a megadott idpontok kztt). Minden egyes rnykmsolat kszlet a betemezett idpontok kztt megvltozott fjlok elz vltozatt tartalmazza. A szolgltats maximlisan 64 darab ilyen kszlet trolsra kpes, ha tllpjk ezt a szmot, akkor a legrgebbi msolatok trldnek.
210
A kiszolglk alapszolgltatsai
Ha gyakrabban van szksgnk az rnykmsolatok elksztsre, akkor bellthatunk pldul rnknti idztst is, de ebben az esetben sokkal hamarabb el fogjuk rni a maximlis 64 fjlmsolatot, vagyis a rgebbi vltozatok rvidebb id utn kezdenek trldni.
Eszkzmeghajtk frisstsekor az rnykmsolatok szolgltats menti a meghajt elz llapott, ez teszi lehetv, hogy az eszkzmeghajtk kezelsnl vissza tudjunk trni egy korbbi vltozatra (Driver Rollback). Biztonsgi mentsek ksztsekor az rnykmsolatok segtsgvel menthetjk el a megnyitott fjlokat legalbbis azok korbbi verzijt. Az rnykmsolat szolgltats kiszolgl oldali belltsait a lemezmeghajt Tulajdonsgok (Properties) paneljnek rnykmsolatok (Shadow Copies) lapja segtsgvel adhatjuk meg, illetve ugyanez a belltlap elrhet a Szmtgp-kezels (Computer management) konzolbl is. Az rnykmsolat ksztse csak teljes ktetekre engedlyezhet s tilthat, azaz nem lehet csak a ktet bizonyos megosztott mappinak s fjljainak msolst belltani. Ennek megfelelen a belltlapon elsknt ki kell vlasztanunk azt a ktetet, amelyre a tovbbi mveletek vonatkozni fognak.
211
A kivlasztott ktetre engedlyezhetjk, illetve tilthatjuk az rnykmsolatok ltrehozst, a Kszts most (Create Now) gombra kattintva pedig nem ksztnk msolatokat, csak azt lltjuk be, hogy mostantl a vltozsokrl (ha vannak vltozsok) jra kszljn egy rnykmsolat-pldny. Lehetsg van a mr meglv msolatok trlsre is. A Belltsok (Settings) gombra kattintva megadhatjuk a kivlasztott ktetre vonatkoz mretkorltozsokat, s tllthatjuk az alaprtelmezett temezst.
Komolyabb hasznlat esetn mindenkppen rdemes trolterletknt olyan nll ktetet (mg jobb, ha az kln fizikai meghajtn is van) megadni, amelyrl nem kszl rnykmsolat, gy jelentsen nagyobb teljestmny rhet el. Ezt a belltst azonban csak addig tehetjk meg, amg nincsenek engedlyezve a ktet rnykmsolatai, a korbban ltrehozott rnykmsolatok thelyezsre nincsen lehetsg. Ha meglv fjl rgebbi vltozatt lltjuk vissza, annak hozzfrsi engedlyei nem vltoznak, meg fognak egyezni az eredeti fjllal. Ha trlt fjlt lltunk vissza, az arra vonatkoz engedlyek a mappa alaprtelmezett engedlyei lesznek. Termszetesen az rnykmsolatok szolgltats hasznlata nem helyettestheti, de jl kiegsztheti a rendszeres biztonsgi mentseket.
212
A kiszolglk alapszolgltatsai
Rgebbi gyflrendszerek esetn az rnykmsolat szolgltats hasznlathoz szksg van a megfelel gyflszoftver teleptsre is, de a Windows XP s Windows Vista rendszerekben a szoftver gyrilag benne van. Ha mgis szksg lenne az gyflprogramra, a teleptt a kiszolgl %SYSTEMROOT% \system32\clients\twclient mappjban tallhatjuk meg. Az rnykmsolatok gyfloldali nzett a megosztott mapphoz tartoz Tulajdonsgok (Properties) panel Elz verzik (Previous Versions) lapjn rhetik el a felhasznlk.
Itt a megjelen dtum s id alapjn kivlaszthat a mappa elrhet rnykmsolatai kzl a megfelel, amellyel a kvetkez mveletek vgezhetk el: View (Megtekints) a msolat egy kln ablakban nylik meg, gy megtekinthet annak tartalma, s sszehasonlthat a jelenlegi llapottal. Copy (Msols) a msolat kimenthet a kivlasztott mappba, gy megmarad a jelenlegi vltozat is. Restore (Visszallts) a gomb megnyomsa utn a kivlasztott msolat fellrja a mappa jelenlegi vltozatt.
213
214
A kiszolglk alapszolgltatsai
Az elosztott fjlrendszer alapveten kt zemmdban mkdhet: Klnll nvtr (Stand-Alone Namespace) ebben az esetben a DFS-nvtr szerkezetre vonatkoz minden adatot maga a kiszolgl trol. Klnll nvtr esetn az egyes DFS-mappk hivatkozsai a kiszolgl nevvel kezddnek, vagyis az elosztott fjlrendszer pldul a kvetkez mdon rhet el: \\SERVER\DFS. Klnll nvtr esetn maga a nvtr nem hibatr, gy a nvteret trol kiszolgl nem rhet el, akkor a teljes DFS-fa hozzfrhetetlenn vlik. Tartomnyi nvtr (Domain-based Namespace) ebben az esetben az elosztott fjlrendszer topolgiai adatait az Active Directory trolja, vagyis azok minden tartomnyvezrln megtallhatk. A DFS nvtr elrse nem egy konkrt szmtgpre, hanem a tartomny nevre val hivatkozssal lehetsges, vagyis a kvetkez mdon: \\ceg.local\DFS. Mivel az adatok tbb tartomnyvezrln is megtallhatk, ez a megolds a nvtr szintjn is hibatrst biztost.
Az elosztott fjlrendszer hasznlata a kvetkez esetekben jelenthet j megoldst: Ha vrhatan j fjlkiszolglk teleptsre, vagy a meglvk cserjre lesz szksg. Ha a felhasznlk sok megosztott mapphoz szeretnnek hozzfrni.
215
Ha a nagy forgalm megosztott mappk miatt terhelsmegosztsra van szksg. Ha folyamatos (hibatr) hozzfrst kell biztostanunk a megosztott mappkhoz. Ha a tvoli telephelyek s a kzpontban lv kiszolglk kztt biztonsgos s nagyon kis svszlessget ignyl fjlreplikcira van szksg.
216
A kiszolglk alapszolgltatsai
Ez teht azt jelenti, hogy a replikci nem a teljes fjlok, hanem a viszonylag kismret chunkok szintjn trtnik, vagyis az RDC tulajdonkppen nem a fjlokat, hanem csak a vltozst repliklja. St az RDC mg arra is kpes, hogy ha tbb fjlon bell vannak azonos tredkek (pldul egy kiss mdostott s ms nven elmentett fjl esetn), akkor a vltozatlan tredkeket a teljesen j fjlok ltrehozshoz is felhasznlja. A nagy fjlok mdostsai (pldul egy Outlook postafikfjl (pst) esetn) ltalban csak nhny tredket rintenek, vagyis ilyen mdon igen jelents svszlessg megtakarts rhet el. A Microsoft mrsei szerint pldul egy 3,5 MB-os PowerPoint-bemutat egyik cmsornak megvltoztatsa utni replikci a teljes fjl msolsval jr 3,5 MB forgalom helyett mindssze 16 kB hlzati forgalmat eredmnyezett. A DFS-R tartomnyvezrlk esetn nem vltja ki a fjlreplikcis szolgltatst (File Replication Service, FRS), hanem vele prhuzamosan mkdik.
217
Kiszolgl a hlzatban Windows Server 2003 R2 A fjlkiszolgli erforrs-kezel hasznlata Ebben a screencastben kiprbljuk a fjlkiszolgli erforrs-kezel segtsgvel bellthat j szolgltatsokat: ltalunk ksztett sablonok alapjn belltjuk a felhasznlk mappira vonatkoz kvtt, korltozzuk a trolhat fjlok krt s rszletes jelentseket ksztnk a fjlkiszolgl llapotrl. Fjlnv: II-1-1cFSRM.avi
Kvtakezels
A Windows Server 2003 R2 verzijnak egyik jdonsga a mappa alap kvtzs lehetsge. Az j kvtarendszerrel az egyes mappk mrett korltozhatjuk a benne lv fjlok tulajdonostl fggetlenl.
4.12. bra: A lemezhasznlat korltozsa az egyes mappk ltal elfoglalhat terletre vonatkozik
A trterlet limitlsa teht ebben az esetben nem ktetenknt s felhasznlnknt, hanem az egyes mappk szintjn trtnik. Minden mapphoz hozzrendelhetnk egy limitet, ami a mappba helyezhet fjlok (s almappk) sszestett mretnek fels korltja lesz. A hatrrtkeknek kt tpust adhatjuk meg: a szigor (Hard) kvta tnyleges korltozst jelent, mg az enyhe (Soft) hatrrtk az elfoglalhat terlet tnyleges limitlsa nlkl aktivlja a hatrrtkhez rendelt esemnyeket, vagyis a terlethasznlat megfigyelsre alkalmas. A kvtarendszer szorosan egyttmkdik az NTFS fjlrendszerrel, gy termszetesen csak NTFS-kteteken hasznlhat.
218
A kiszolglk alapszolgltatsai
Hard kvta esetn a hatrrtk elrsekor az I/O-mveletek szintjn akadlyozza meg a tovbbi helyfoglalst, vagyis a kvta tllpse a legkisebb mrtkben sem lehetsges. A kvta nem a fjlok logikai mrett, hanem minden esetben az adott mappn belli tnyleges lemezfoglalst veszi alapul, vagyis a klnfle specilis llomnyok (tmrtett fjlok, hard linkek, felcsatolt mappk) beszmtsa is ennek alapjn trtnik. Minden egyes hatrrtk esetn, a hatrrtk szzalkaknt adhatjuk meg azokat a foglaltsgi szinteket, amelyek elrsekor a bellthat tevkenysgek valamelyikt el szeretnnk vgezni. Az esemnyekhez kapcsolhat tevkenysgek a kvetkezk lehetnek: E-mail kldse a rendszergazdnak, illetve az esemnyt kivlt felhasznlknak. A felhasznlk esetben a rendszergazda adhatja meg az elkldend levl szvegt is. Esemnynapl bejegyzs ksztse.
219
Megadott program, illetve szkript futtatsa. Ilyen mdon rhetjk el pldul azt, hogy a hatrrtk elrsekor a kvta megemelkedjen; a dirquota.exe parancssori segdprogramot kell elindtanunk a megfelel paramterezssel. Trolsi jelents (Storage Report) generlsa (lsd ksbb).
Valamennyi belltst sablonknt is elmenthetjk, hogy ksbb, illetve msik mappa esetn mr csak egyetlen mozdulat legyen a megfelel belltscsoport alkalmazsa. Termszetesen kapunk elre elksztett mintkat is, ezeket kiss mdostva (esetleg ezutn j nvvel elmentve) knnyen elllthatjuk az ignyeinknek megfelel sablont, ami jelentsen megknnyti s meggyorstja a belltsok megadst. Lehetsg van a sablonok exportlsra s msik gpen val importlsra is.
A sablonos mdszer hasznlata azrt is ajnlott, mert a sablon mdostsakor lehetsgnk van arra, hogy ezt a mdostst utlag rvnyestsk a sablon alapjn ltrehozott kvtkra is. Mdosthatjuk csak azokat a kvtkat, amelyek teljesen megfelelnek az eredeti sablonnak (vagyis amelyikben nincsenek egyedi mdostsok), de hozzigazthatjuk az sszes kvtt sablonjnak vltozsaihoz. Ha gy dntnk, akkor a sablonban megadott belltsokkal fellrhatunk minden egyedileg megadott kvtatulajdonsgot (nem csak azokat, amelyeket a sablonban mdostottunk). A mappk korltjt rugalmas (vagyis hatrrtk elrshez rendelt parancs ltal ideiglenesen megnvelt) korltknt is megadhatjuk, gy az rintett felhasznlk e-mailben rtestst kaphatnak a tllpsrl, s azonnal nekilthatnak a szksgtelen fjlok trlsnek.
220
A kiszolglk alapszolgltatsai
4.15. bra: A hatrrtk elrsekor lefut parancs akr a kvtt is megnvelheti, vagyis adhat mg egy kis haladkot
Bellthatjuk azt is, hogy a rendszer ne korltozza ugyan egy mappa mrett, de kldjn rtestst egy megadott e-mail cmre, ha a mret elr egy meghatrozott rtket. Nem clszer pldul a klnfle szolgltatsokhoz tartoz ideiglenes mappk mrett korltozni (mert esetleg egy csendes htvgn emiatt lellhat az adott szolgltats), de fontos lehet, hogy a rendszergazda azonnal tudomst szerezzen rla, ha a mappa mrete a szoksos s elfogadhat rtk fl emelkedik. Az j kvtarendszer termszetesen nemcsak a rgi helyett, hanem mellette is hasznlhat, akr ugyanarra a trterletre is rvnyeslhet mindkt korltozsi szemllet.
221
A tiltst fjlcsoportok alapjn adhatjuk meg, a vgrehajthat fjl kategriba pldul szmos kiterjeszts tartozik (exe, com, bat, cmd, vbs stb.), de valamennyi fjlcsoport szerkeszthet is, vagyis magunk hatrozhatjuk meg, hogy egy fjltpushoz milyen konkrt fjlnvmintk tartozzanak. Termszetesen, a meglvkn kvl j tpusokat is definilhatunk, gy tetszleges kiterjesztseket vlogathatunk ssze. Lehetsgnk van helyettest karakterek hasznlatra is, vagyis pldul akr azt is bellthatjuk, hogy egy mappban ne lehessen olyan fjlokat trolni, amelyek nevnek msodik betje a (?a*). Persze egy ilyen korltozs gyakorlati haszna legalbbis megkrdjelezhet. A korltozsok a kvtkhoz hasonlan ebben az esetben is kt klnbz mdon adhatk meg:
222
A kiszolglk alapszolgltatsai
Az aktv szrs (Active Screening) valdi korltozst jelent, a tiltott fjlok ebben az esetben nem kerlhetnek a ktetre, illetve mappba. A passzv szrs (Passive Screening) a fjlok megfigyelsre szolgl, vagyis nem tiltja a fjlok ltrehozst, de a megfigyelt fjlok megjelense kivltja a rendszergazda ltal meghatrozott tevkenysgek vgrehajtst.
Termszetesen a kvtkhoz hasonlan a belltscsoportokat itt is sablonok segtsgvel adhatjuk meg, s a klnfle rtestsek (Esemnynapl, e-mail, trolsi jelentsek) s tevkenysgek (szkript vagy program futtatsa) is megegyeznek a kvtkkal kapcsolatban mr megismert lehetsgekkel. Egyetlen lnyeges klnbsg van: a fjlszrssel kapcsolatos esemnyeket a rendszer alaprtelmezs szerint nem trolja, vagyis ezek nem fognak szerepelni a megfelel trolsi jelentsben sem. Az esemnyek trolst az FSRM belltlapjn (jobb egrgomb -> Configure Options) kell engedlyeznnk.
Az FSRM felletn szmos alaprtelmezett fjlszrsablont tallhatunk, amelyek segtsgvel megtilthatjuk a hang- s mozgkpfjlok, vgrehajthat fjlok, kpfjlok stb. trolst. A fjlszrs termszetesen szintn csak NTFS-kteteken hasznlhat, mivel a korltozsok megvalstsa csak a fjlrendszerrel szoros egyttmkdsben lehetsges. A korltozsok (akrcsak a hozzfrs-vezrlsi listk) kzvetlenl a fjlrendszerben troldnak. A mappkra (vagy a ktetre) belltott korltozsok alaprtelmezs szerint tovbbrkldnek a hierarchia mentn. Ha ezt mdostani szeretnnk, akkor konkrtan meg kell adnunk azokat a fjltpusokat, amelyek trolst a szlmappra rvnyes korltozs ellenre is engedlyezni szeretnnk az adott almappban. Az engedlyezs a tiltshoz hasonl mdszerrel trtnik, a szlmappn megadott tilt (Block) tpus szably mellett az almappra engedlyez (Allow) tpus szablyt kell ltrehoznunk.
223
A fjlszrs segtsgvel a rendszergazda biztosthatja pldul, hogy a felhasznlk a kiszolgln trolt, s rendszeresen szalagra mentett szemlyes mappikat ne hasznlhassk klnfle mozifilmek s mp3 fjlok trolsra, gy megakadlyozhatja a trterlet s a mentsi kapacits szksgtelen ignybevtelt. Megadhatunk olyan szrsi belltsokat is, hogy a rendszer ne tiltsa le pldul a vgrehajthat fjlok megosztott mappkba msolst, de az ilyen esemnyekrl a rendszergazda kapjon e-mail rtestst a msolst vgz felhasznl s a megfigyelt fjl adataival.
4.18. bra: Alaprtelmezett fjlcsoportok. Minden fjlcsoporthoz a fjlnvben szerepl tetszleges mintkat adhatunk meg
Trolsi jelentsek
A trolsi jelentsek segtsgvel rszletesen figyelemmel ksrhetjk a fjlkiszolgl merevlemezein trolt adatokat. A legtbb jelents paramterezhet (a paramterek termszetesen tpusonknt klnbzk), gy egyedileg hatrozhatjuk meg, hogy pontosan mit tartalmazzon az adott jelents. Bellthatjuk pldul, hogy mely ktetekrl vagy mappkrl kszljn a jelents, illetve megadhatunk klnfle feltteleket a jelentsbe kerl bejegyzsekre vonatkozan. A jelentsek temezetten, illetve igny szerint azonnal is elllthatk a megadott belltsok alapjn. Fggetlenl az elllts mdjtl, a rendszer a megadott formtumban (HTML, XML, CSV, vagy egyszer szveg) mentst is kszt az egyes jelentsekrl. A mentett jelentseket alaprtelmezs szerint a %SYSTEMDRIVE%\StorageReports\ mappa almappiban tallhatjuk meg, de a trolmappa az FSRM belltlapjn megvltoztathat. A fjlok nevbl megllapthat a jelents tpusa s a kszts pontos dtuma is.
224
A kiszolglk alapszolgltatsai
Nyolc klnfle jelentst kszthetnk az albbiak szerint: Nagymret fjlok (Large Files) a jelents segtsgvel azonosthatjuk azokat a fjlokat, amelyek nagyobbak a paramterknt megadott mretnl. Fjlok tulajdonos szerint (Files by Owner) a jelentsben az egyes fjlokat tulajdonosuk alapjn csoportostva tekinthetjk meg. Paramterknt megadhatjuk, hogy melyik felhasznlk fjljaira vagyunk kvncsiak, s a jelentsbe kerl llomnyokat is szrhetjk a nevkben szerepl minta alapjn. Fjlok fjlcsoport szerint (Files by File Group) a jelents a paramterknt megadott fjlcsoportokhoz tartoz fjlokat tartalmazza. A kivlaszthat fjlcsoportok megegyeznek a fjlszrs szakaszban megadott csoportokkal. Fjlszr naplzs (File Screening Audit) a jelents a fjlszrsi szablyok megsrtsvel ksrletez felhasznlkat, illetve alkalmazsokat sorolja fel a paramterknt megadhat idtartamra visszamenleg.
225
Dupliklt fjlok (Duplicate Files) a jelents mappban vagy kteten tbb pldnyban megtallhat (vagyis azonos nev, mret s mdostsi idpont) fjlokat sorolja fel. Legrgebben hasznlt fjlok (Least Recently Accessed Files) a jelents a paramterknt megadott idtartamnl rgebben hasznlt fjlokat sorolja fel. Legutbb hasznlt fjlok (Most Recently Accessed Files) az elz jelents ellentte, vagyis azok a fjlok szerepelnek benne, amiket a megadott idpont ta valaki megnyitott. Kvtahasznlat (Quota Usage) a jelents azokat a kvtkat tartalmazza, amelyek kihasznltsga magasabb a megadott szzalknl. A jelents csak a Fjlkiszolgli erforrs-kezel ktetei s mappi szmra ltrehozott kvtkat tartalmazza, a hagyomnyos NTFS-kvtkat nem.
226
A kiszolglk alapszolgltatsai A Nyomtatskezel konzol hasznlata Ebben a screencastban a Windows Server 2003 R2 nyomtatkkal kapcsolatos j s szleskren hasznlhat komponenst, a Nyomtatskezel konzolt prbljuk ki. Fjlnv: II-1-1dPMC.avi
A PMC egyttmkdik az Active Directory csoporthzirend szolgltatsval, gy lehetsget nyjt arra, hogy a hlzaton elrhet megosztott nyomtatkat automatikusan teleptsk az gyflgpekre. A teleptst szmtgpre (ekkor az adott szmtgpen bejelentkez valamennyi felhasznl elrheti az adott nyomtatt) s felhasznli fikra is krhetjk (ekkor a nyomtat kveti az adott felhasznlt, brmelyik gpen is jelentkezik be).
Minden nyomtathoz megadhatjuk azt a csoporthzirend objektumot, amely az adott nyomtatt szlltja majd az gyfelek szmra. A telepts a csoporthzirendnl megszokott mdon, vagyis az adott szmtgp, vagy felhasznl szervezeti egysghez, illetve biztonsgi csoporthoz val tartozsa, vagy WMIszr alapjn is vezrelhet. (Az Active Directoryval s a csoporthzirenddel a kvetkez, a Tartomnyi krnyezet cm fejezet foglalkozik rszletesen.) Windows Vista eltti gyflgpek esetn szksg van mg rendszerindtskor a pushprinterconnections.exe nev program futtatsra, ami olvassa a vonatkoz csoporthzirend objektumot, majd telepti, illetve szksg esetn el is tvoltja a nyomtatkat.
227
A program futtatst a szmtgphez, illetve felhasznlhoz tartoz bejelentkezsi parancsfjlbl kezdemnyezhetjk, clszer ezt is megadni a nyomtatbelltst tartalmaz csoporthzirend objektumban. Windows Vista gyflgp esetn a program futtatsra mr nincsen szksg (termszetesen a leend ksbbi rendszerek esetn sem fog kelleni).
Hlzati szolgltatsok
A kvetkezkben a Windows Server 2003 klnfle hlzati szolgltatsaival fogunk megismerkedni. Egy rvid ismtls utn ttekintjk a hlzathoz csatlakoz szmtgpek TCP-IP konfigurcijnak kzponti megadsra alkalmas DHCP-szolgltatst, majd rviden ismertetjk a korbbi Windows rendszerekben hasznlt nvfeloldsi mdszert, a WINS-szolgltatst. Ezutn kvetkezik a Windows-hlzatok tvoli elrst, s klnfle tvlasztsi szolgltatsokat biztost RRAS-szolgltats, vgl pedig a Windows felhasznli felletnek tovbbtsra kpes Terminlszolgltatsok (Terminal Services) ismertetse.
228
Hlzati szolgltatsok
zat 224 2, vagyis tbb mint 16 milli llomst tartalmazhat. (Azrt kell mindkt szmbl kettt levonnunk, mert a csupa nullbl ll azonost az adott hlzatot, illetve llomst jelenti, a csupa egyesbl ll cm pedig a szrt (broadcast) zenetek szmra van fenntartva.) B-osztly cmek a B-osztly esetben 14-bit azonostja a hlzatot (kt bit a cmtpust), a maradk 16-bit pedig a hlzaton bell magt az llomst. Ez a cmosztly teht mg mindig meglehetsen nagy (legalbbis a magyarorszgi mreteket tekintve) hlzatokban is hasznlhat, mivel a hlzaton bell kioszthat cmek szma tbb mint 65 ezer. A hlzatot azonost 14-bit nagyjbl 16 ezer ilyen hlzat megklnbztetsre elegend. C-osztly cmek a C-osztly cmek kisebb hlzatokban val hasznlatra alkalmasak, a hlzaton bell 254 llomst (8-bit) klnbztethetnk meg C-osztly cmek hasznlatval. Viszont meglehetsen sok (tbb mint 2 milli) ilyen hlzat lehet, mivel 21-bit alkotja a hlzat azonostjt.
Az IP-cmen bell a hlzati azonost s az llomsazonost az alhlzati maszk (subnet mask) alapjn vlaszthat szt. Az alhlzati maszkok 32-bites szmok, amelyekben az egyms utni egy rtk bitek jelzik a hlzatazonostt, az egyms utni nulls bitek pedig llomsazonost rszt.
Publikus cmek
A publikus cmmel rendelkez hlzati csompontok kzvetlenl bekapcsoldhatnak az internet vrkeringsbe, semmifle kzvettre nincsen szksgk. Az interneten csak olyan adatcsomagok kzlekedhetnek, amelyek feladja s cmzettje is publikus cmmel rendelkezik, mivel a forgalomirnyt eszkzk (routerek) csak az ilyen csomagokat tovbbtjk. Ebbl mindjrt kvetkezik is a publikus cmekkel kapcsolatos egyik problma: minden publikus cmnek a teljes internetre nzve egyedinek kell lennie, vagyis a publikus cmek ersen szks erforrsnak tekinthetk. Publikus IP-cmet teht akkor hasznlunk, ha: kzvetlen, akadlytalan internetelrsre van szksg, bven van sajt, publikus IP-cmnk.
229
Mivel egyedinek kell lennie, nincs elg belle. Nincs elg belle, teht drga. Kevsb biztonsgos, mivel az, hogy kzvetlen internetelrsre ad lehetsget, egyben azt is jelenti, hogy fordtva, az internetrl is kzvetlenl elrhet a publikus cmmel rendelkez szmtgp. Ez a fellls pedig csak olyan gpek esetben engedhet meg, amelyek erre teljes mrtkben fel vannak ksztve, klnben igen gyorsan meg fogjuk tapasztalni az internetes vilg sszetettsgt.
Privt cmek
A cmtr egy rsze olyan llomsok szmra van fenntartva, amelyek nem csatlakoznak kzvetlenl az internetre, vagyis ezeket a cmeket brmely vllalat vagy szervezet szabadon felhasznlhatja a bels hlzatn tallhat llomsok azonostsra. Hrom cmtartomny tartozik ebbe a kategriba: 10.0.0.0 vagyis egy A-osztly hlzat valamennyi cme. A 172.16.0.0-tl a 172.31.0.0-ig terjed cmtartomny, vagyis 16 egyms utni B-osztly hlzat valamennyi cme. A 192.168.0.0-tl a 192.168.255.0-ig terjed cmtartomny, vagyis 256 egyms utni C-osztly hlzat.
Mivel a fenti cmeket brki hasznlhatja, azok termszetesen nem egyediek, gy nem hasznlhatk az internet kzvetlen elrsre. Azok az llomsok, amelyek csak privt cmmel rendelkeznek, az internetet csak kzvett (hlzati cmfordt) segtsgvel rhetik el. Privt cmeket teht akkor hasznlunk, ha: nem kell, vagy nem lehetsges kzvetlenl elrni az internetet, nincs elg publikus IP-cmnk.
A privt cmek hasznlata szmos elnnyel jr, pldul ebben az esetben nincs szksg semmifle regisztrcira, gyakorlatilag brmennyi IP-cmet kioszthatunk sajt beltsunk szerint. Termszetesen a privt cmek hasznlata kltsggel sem jr, radsul biztonsgosabb is a publikus cmeknl, mivel az ilyen cmet hasznl llomsok nem rhetek el az internet fell kzvetlenl. Ha a privt cmeket hasznl hlzatbl mgis ki szeretnnk ltni az internetre, szksgnk van egy olyan eszkzre, ami a privt cmeket az interneten is tovbbthat publikus cmekk alaktja. Vllalatok esetben a szolgltat ltalban biztost nhny publikus IP-cmet, a bels, privt cmek kiosz230
Hlzati szolgltatsok
tst s a cmfordtst pedig a vllalaton bell kell megoldani. Ez a legegyszerbb esetben azt jelenti, hogy szksg van egy kiszolgl szmtgpre, amely minimlisan kt hlzati csatolval rendelkezik (idelis esetben ez egy tzfal, amin egyetlen ms kiszolglszolgltats sem fut). Az egyik csatol megkaphatja a szolgltattl brelt publikus cmet, a msik pedig a bels hlzatnak megfelel, privt cmmel fog rendelkezni. Az internetre kzvetlenl teht csak ez az egy gp csatlakozik, a tbbiek pedig az szolgltatsait vehetik ignybe brmifle internetes adatforgalomhoz.
231
DHCP dinamikus
A DHCP (Dynamic Host Configuration Protocol) protokoll alkalmazsval a szmtgp bekapcsolsakor a TCP/IP-protokoll belltsa dinamikusan s automatikusan trtnik. A DHCP-kiszolgl megfelel belltsa esetn a szmtgpek (s egyb eszkzk) hozzjuthatnak IP-cmkhz, az alhlzati maszkhoz, s az alaprtelmezett tjrval, DNS-kiszolglval s WINS-kiszolglval kapcsolatos belltsi informcikhoz. Kzepes s nagyobb hlzatok esetn a szmtgpek tbbsge szmra a dinamikus DHCP cmhozzrendels lehet a legjobb megolds. A Windows opercis rendszerrel mkd szmtgpek alaprtelmezs szerint DHCPgyfelek, vagyis az gyflgpeken semmifle belltsra nincs szksg. Ezt a megoldst clszer hasznlni, ha: van DHCP-kiszolgl, kzponti bellts szksges, s szeretnnk lehetsget biztostani a kzpontilag vezrelt vltoztatsokra.
DHCP fenntartott
A fenntartott cmeket s egyb paramtereket a DHCP-kiszolgl osztja ki, de olyan mdon, hogy az adott lloms minden esetben egy meghatrozott IPcmet kapjon. Akkor hasznljuk ezt a mdszert, ha: van DHCP-kiszolgl, egy adott gpen valamilyen ok miatt mindig ugyanarra a cmre van szksg, de mgis szeretnnk, ha a DHCP-kiszolgltl kapna cmet, pldul azrt, hogy a tbbi paramtert ne kelljen kzzel belltanunk.
232
Hlzati szolgltatsok
A DHCP-kiszolgl
A DHCP egy TCP/IP szolgltatprotokoll, amely az llomsok szmra kioszthat IP-cmek brleti konstrukciban trtn hozzrendelst teszi lehetv, s ms paramtereket is eloszt az ezt ignyl hlzati gyfelek szmra. A DHCP biztonsgos, zembiztos s egyszer TCP/IP hlzati konfigurcit tesz lehetv, segtsgvel elkerlhetjk a cmtkzseket, s jelentsen egyszersthetjk az IP-cmek kiosztsval kapcsolatos adminisztrcit. A DHCP gyfl/kiszolgl modellt hasznl, amelyben a DHCP-kiszolgl vgzi a hlzatban hasznlt IP-cmek nyilvntartst s kiosztst, a DHCP-protokollt tmogat gyfelek pedig hlzati bejelentkezsk rszeknt meghatrozott idtartamra IP-cmet brelhetnek, s egyedi TCP/IP konfigurcit kaphatnak a DHCP-kiszolgltl.
A DHCP-kiszolgl belltsai Ebben a screencastban a Windows Server 2003 DHCP-szolgltatsnak teleptsvel s rszletes belltsaival ismerkedhetnk meg. Fjlnv: II-1-2aDHCP-kiszolgalo.avi
rdekes krds, hogy vajon hogyan mkdhet egy olyan TCP/IP-alap szolgltats, amelynek az a kiindul llapota, hogy az egyik rsztvev llomsnak egyltaln nincsen rvnyes IP-cme, s a tbbi paramter sincs belltva. A DHCPgyflnek radsul nyilvnvalan semmifle elkpzelse nem lehet arrl, hogy kitl is kellene cmet krnie, nem tudhatja pldul a DHCP-kiszolgl IP-cmt. Nos, a DHCP szrt zenetekkel (broadcast) mkdik, mivel az gyfl egyetlen dolgot tud biztosan, mgpedig azt, hogy a 255.255.255.255 broadcast cmre kldtt csomagot mindenki (gy, ha van ilyen egyltaln, akkor a DHCP-kiszolgl is) meg fogja kapni. Miutn bekapcsolunk egy DHCP-cmkrsre belltott gpet, az els hlzati mvelet egy ilyen csomag kikldse lesz. A cmkrs teljes folyamata ngy lpsbl ll, vagyis ngy hlzati csomagra van szksg: DHCP Discover (felderts) ezt a csomagot az gyfl kldi ki (broadcast), vagyis tulajdonkppen belekiabl az ismeretlenbe: Hah, valaki! Cmet krek! Ha esetleg senki nem vlaszol, akkor jhet APIPA. DHCP Offer (ajnlat) ezt a csomagot a DHCP Discover zenetre vlaszul a kiszolgl kldi vissza, mg mindig broadcast cmzssel, vagyis az gyflnek az zenetekben szerepl azonostszmok segtsgvel el kell dntenie, hogy a vlasz valban az krsre rkezett-e. A csomag tartalmazza a felajnlott IP-cmet s a hozz tartoz egyb paramtereket, vagyis szabad fordtsban ezt jelenti: Ez j lesz?
233
DHCP Request (krs) ezutn az gyfl mg mindig broadcast zenetet kld, ami azt jelenti: Rendben, jhet. Taln flslegesnek tnhet ez a plusz kr a folyamatban, hiszen az gyfl akr mindenfle visszabeszls nlkl bellthatn a kapott paramtereket. A pontos egyeztetsre tulajdonkppen csak akkor van szksg, ha tbb DHCP-kiszolgl is zemel a hlzatban. DHCP Ack (visszaigazols) az utols zenet a visszaigazols, az gyfl az ebben szerepl IP-cmet s opcikat fogja belltani. Szintn ebben az zenetben szerepel, hogy mikor fog lejrni a cmbrlet, vagyis az zenet tartalma ennyi: OK, nyolc napig a tid ez a cm.
Mivel a szrt zenetek csak az adott alhlzaton belli szmtgpeket rik el, alapllapotban a DHCP-szolgltats csak egyetlen fizikai alhlzaton hasznlhat. Ha tbb alhlzatra szeretnnk egyetlen kiszolgl segtsgvel cmeket osztani, akkor az alhlzatokat sszekt tvlasztkon DHCP-tovbbt gynkket (DHCP Relay Agent) kell teleptennk. Az gynk fogja a hozz rkez broadcast DHCP-zeneteket a tbbi alhlzatra tovbbtani. A DHCP-szolgltats segtsgvel az IP-cmen kvl mg szmos ms paramtert is bellthatunk, ezek szintn a DHCP Ack zenetben szerepelnek. A kvetkezkben a leggyakrabban hasznlt paramtereket soroljuk fel: tvlaszt (Router) a paramter segtsgvel az gyfeleken belltand alaprtelmezett tjrt (default gateway) hatrozhatjuk meg. Az alaprtelmezett tjr egy olyan cm, amelyre az gyfl azokat a csomagokat kldi el, amelyeket maga nem tud kzvetlenl kzbesteni (vagyis nincsenek a sajt alhlzatban). Az ilyen csomagok tovbbtsa az alaprtelmezett tjrknt megadott lloms feladata. DNS-kiszolglk (DNS Servers) az gyfeleken belltand DNS-kiszolglkat adhatjuk itt meg. DNS-tartomnynv (DNS Domain Name) a DHCP-gyfelek nvfeloldsi folyamata sorn hasznlhat DNS-tartomnynv. WINS-csomponttpus (WINS/NBT Node Type) a NetBIOS-nvfelolds mdja (4 varici van). WINS-kiszolglk (WINS/NBNS Servers) a DHCP-gyfelek ltal hasznlhat WINS-kiszolglk IP-cmei. A DHCP-kiszolgl az gyfeleinek brbe adhat cmeket egy ltalunk elre belltott cmtartomnybl, az gynevezett hatkrbl (scope) veszi. A hatkr teht a DHCP-szolgltatst hasznl alhlzat szmtgpeihez tartoz IP-cmek csoportja. A DHCP-szolgltats belltsa
234
Hlzati szolgltatsok
sorn minden egyes fizikai alhlzat szmra ltre kell hoznunk egy hatkrt, ennek klnfle tulajdonsgait belltva hatrozhatjuk meg az adott hatkrbl IP-cmet brl gyfeleknek tnylegesen elkldend paramtereket. A hatkrk ltrehozsakor a kvetkez tulajdonsgokat kell belltanunk: Address Pool (cmkszlet) a cmkszlet hatrozza meg a DHCP-szolgltats cmbrleti szolgltatshoz hasznlhat, s az abbl kizrt IP-cmek tartomnyt.
A hatkrn bell azokbl az IP-cmekbl kell kizrsi tartomnyt ltrehoznunk, amelyeket a DHCP-kiszolglnak nem szabad felajnlania az gyfelek rszre. A kizrt IP-cmek termszetesen hasznlhatk a hlzaton, de ezeket kzzel kell belltanunk azokon az llomsokon, amelyek nem veszik ignybe a DHCP-szolgltatst. Statikus IP-cmet kell hasznlnunk pldul magn a DHCP-kiszolgln, a DNS-kiszolgln, a tartomnyvezrlkn, a hlzati nyomtatkon stb. Ezeket a cmeket felttlenl zrjuk ki a DHCP-kiszolgl ltal kioszthat cmek kzl. Subnet Mask (alhlzati maszk) az IP-cmek alhlzatt hatrozza meg. Lease Duration (brleti idtartam) az az idintervallum (alaprtelmezs szerint nyolc nap), ameddig a dinamikus cmeket brl DHCP-gyfelek a kiosztott cmeket megjts nlkl hasznlhatjk.
235
DHCP Options (DHCP-opcik) a DHCP-gyfeleknek elkldtt valamennyi TCP/IP-paramter. Reservations (fenntartsok) a fenntartsok biztostjk, hogy egy-egy adott DHCP-gyfl mindig ugyanazt az IP-cmet kapja meg. Fenntartott cm hasznlatra olyan gpeken van szksg, amelyeknek fix IP-cmmel kell mkdnik, de mgsem szeretnnk statikus belltst hasznlni, hogy a tbbi paramtert kzpontilag llthassuk be. A fenntartott IP-cm belltshoz az gyflgpen semmi teendnk nincs, viszont a DHCP-kiszolgln meg kell adnunk a fenntartott cmet ignyl lloms fizikai cmt (MAC-address).
Hogy megtudhassuk egy csatol MAC-cmt, szerencsre nem kell felttlenl odamennnk a krdses szmtgphez. Ha megpingeljk az adott gpet, akkor annak MAC-cme bekerl az ARPprotokoll (Address Resolution Protocol) helyi gyorsttrba (s kerek kt percig ott is marad), gy kirathat az arp a parancs segtsgvel. Sajnos, azonban ez a mdszer csak az els routerig mkdik, mivel az tvlasztk csereberlik az Ethernet keretekben tallhat MAC-cmeket.
236
Hlzati szolgltatsok
Ha j fenntartott cmet szeretnnk definilni a kiszolgln, akkor ellenriznnk kell, hogy az adott cmre van-e mr rvnyes brlet, ugyanis a fenntarts ltrehozsa nmagban nem szabadtja fel a mr kiadott IP-cmet. Ha a cm mr hasznlatban van, akkor vagy ki kell vrnunk a brleti id lejrtt, vagy az gyflgpen ki kell adnunk az ipconfig /release parancsot. Hiba hozzuk ltre a fenntartst, az adott gyfl csak akkor kapja azt meg tnylegesen, ha maga kri, a DHCP-kiszolgl nem fogja kezdemnyezni semmifle cm kiadst. j cm krshez az gyflgpen az ipconfig /renew parancsot kell kiadnunk. A fenti listban mr tallkozhattunk a DHCP-kiszolgl ltal elkldtt paramtereket meghatroz DHCP-opcik megadsval, azonban ezeket nem csak a hatkrben, hanem sszesen ngy klnbz szinten is megadhatjuk: Server Options (Kiszolgl belltsai) az itt megadott belltsok a DHCP-kiszolgln definilt valamennyi hatkrre vonatkoznak, vagyis minden gyfl meg fogja kapni azokat. Scope Options (Hatkr belltsai) az itt megadott belltsok egy adott hatkrn belli cmbrletet megszerz valamennyi gyflre vonatkoznak.
237
Class Options (Osztly belltsai) ezek a belltsok csak azokra az gyfelekre vonatkoznak, amelyeket egy cm megszerzsekor a kiszolgl egy adott felhasznli vagy forgalmazi osztly tagjaknt azonostott. A DHCP-osztlyokkal kapcsolatos tudnivalkrl ksbb mg rszletesen szt ejtnk. Reservation Options (Fenntartott cm belltsai) az itt megadott belltsok csak arra az egyetlen gyflgpre vonatkoznak, amely az adott fenntartott cmet kapja.
A klnbz szinteken megadott belltsok rkldnek is az als szintek fel, de tkzs esetn mindig a ksbb megadott paramter gyz a fenti sorrend szerint. A DHCP-szolgltats belltst teht a kvetkez mdon kell megtennnk. A DHCP-konzolban ltrehozunk egy j hatkrt s belltjuk a: kioszthat s a kizrt cmeket, a cmek rvnyessgnek intervallumt, a fenntartott cmeket, az gyfeleknek kldend valamennyi opcit.
Ezutn mg aktivlnunk kell a hatkrt s (majdnem) kszen is vagyunk. Amennyiben Active Directory krnyezetben hasznljuk a DHCP-kiszolglt, egy engedlyeztetst (Authorize) is el kell vgeznnk, ugyanis a DHCP-kiszolglrl az Active Directory cmtr is tudni szeretne. Az engedlyezst csak a cmtrban definilt Enterprise Admins (Vllalati rendszergazdk) csoport tagjai vgezhetik el a klnfle kalz DHCP-szolgltatsok zavar hatsa elleni vdekezsl. Alaprtelmezs szerint a csoportnak egyetlen tagja van, mgpedig az eredeti, beptett Administrator (Rendszergazda) felhasznli fik. A DHCP-kiszolgl szmra nhny tovbbi fontos paramtert is meg kell adnunk (ezek a belltsok minden hatkrre vonatkoznak). Ha a kiszolgl tbb hlzati csatolval is rendelkezik, akkor kivlaszthatjuk, hogy melyik csatoln keresztl vlaszoljon a DHCP-gyfelek krseire, s a kiszolgl tulajdonsglapjn megadhatjuk a DHCP- s DNS-szolgltats egyttmkdst befolysol paramtereket is. A rgebbi gyflrendszerek (Windows 2000 eltt) nem kpesek a dinamikus DNS-bejegyzsek ltrehozsra, de megfelel bellts esetn a cmeket kiad DHCP-kiszolgl megteheti ezt helyettk. Alaprtelmezs szerint a DHCP-kiszolgl csak akkor prblkozik a kiadott cmek bejegyzsvel, ha az gyfl ezt kifejezetten kri, a rgi gyflrendszerek viszont nem tudnak errl a lehetsgrl, gy ha szksges, be kell lltanunk, hogy az bejegyzseiket a kiszolgl krs nlkl is elksztse.
238
Hlzati szolgltatsok
A DHCP-kiszolgl szolgltatsait ignybe venni kvn szmtgpeken semmifle belltsra nincsen szksg, mivel a Windows opercis rendszerek alaprtelmezs szerint DHCP-gyflknt kezdik plyafutsukat.
A belltsosztlyok
A belltsosztlyok tovbbi lehetsget knlnak, arra, hogy egy hatkr gyfeleit csoportokba rendezzk, s az egyes csoportok szmra klnbz bellts-kszleteket hatrozzunk meg. A belltsosztlyok a kvetkez kt tpusba sorolhatk: Felhasznli osztlyok (User Classes) a felhasznli osztlyokat teljesen egynileg definilhatjuk, de ehhez az gyflgpeken egyesvel meg kell hatroznunk, hogy a gp melyik felhasznli osztly tagja legyen. A felhasznli osztlyokkal teht a hasonl DHCP-belltsokat ignyl gyfelekhez rendelhetjk hozz a megfelel belltsokat. Szllti osztlyok (Vendor Classes) A szllti osztlyok segtsgvel azonos szllti tpussal (opercis rendszerrel) rendelkez gyfelekhez rendelhetk specilis belltsok.
A felhasznli osztlyokat a DHCP-kiszolgln kell ltrehoznunk, s minden osztlyhoz meg kell adnunk egy osztlyazonostt, ami alapjn a kiszolgl majd megismeri az adott osztlyhoz tartoz gyfeleket. Termszetesen minden gyflnek is ismernie kell sajt osztlynak (csoportjnak) azonostjt, ezt az ipconfig /setclassid parancs hasznlatval llthatjuk be az egyes hlzati csatolkra vonatkozan. Az azonost segtsgvel teht az egy hatkrn belli, hasonl konfigurcit ignyl gyfelek csoportostst vgezhetjk el. A felhasznli osztlyok hasznlatra akkor lehet szksg, ha az gyflgpek meghatrozott csoportjai a szoksostl bizonyos mrtkig eltr belltsokat (pldul rvidebb cmbrleti idt, vagy msik DNS-kiszolglt) ignyelnek. Miutn az gyflgpeken megtettk a szksges belltst (vagyis meghatroztuk, hogy az adott gyflgp melyik DHCP-osztlyhoz tartozik), a DHCPkiszolglhoz val csatlakozs utn a hatkrk szmra megadott belltsokon kvl az osztly szintjn definilt paramterek is eljutnak hozzjuk. A szllti osztlyok szerint azok a DHCP-gyfelek kaphatjk meg paramtereiket, amelyek a cmbrlet megszerzsekor a DHCP-kiszolglnak kldtt zenetben a szllttpusuk szerint azonostjk magukat. A Windows Server 2003 DHCP-kiszolgljn pldul rendelkezsre ll a Microsoft Options, vagy a Microsoft Windows 2000 Options szllti osztly. Ennek segtsgvel a Microsoft opercis rendszerek, illetve ezen bell a Windows 2000 rendszerek a tbbi szmtgphez kpest eltr belltsokat kaphatnak a DHCP-kiszolgltl.
239
gyfl2 gyfl2
DHCP-kiszolgl DHCP-kiszolgl
C konfig (felhasznli)
Az LMHOSTS-fjl s a WINS-kiszolgl
A Windows opercis rendszerek korbbi verzii (Windows 2000 eltt) a NetBIOS-neveket hasznljk a hlzaton elrhet szmtgpek s egyb megosztott erforrsok azonostsra. Ezekben a rendszerekben a NetBIOS-nevek hasznlata a hlzati szolgltatsok elrsnek alapfelttele.
A WINS-kiszolgl teleptse s belltsa Ebben a screencastban a NetBIOS-nvfelolds biztostsra kpes WINS-kiszolgl teleptsvel s belltsaival ismerkednk meg. Fjlnv: II-1-2bWINS-kiszolgalo.avi
A NetBIOS-nvtr egyetlen szintbl ll, ami azt jelenti, hogy a nvtrben tallhat valamennyi nvnek egyedinek kell lennie, a NetBIOS-nevek pedig maximlisan 16 karakter hosszak lehetnek. A NetBIOS munkamenetek minden esetben kt nvvel azonostott erforrs kztt jnnek ltre, de kt erforrs kztt egy idben csak egyetlen NetBIOS-munkamenet lehet. A tovbbi fjl-, vagy nyomtatmegosztsi kapcsolatok ugyanazon a munkameneten osztoznak. A NetBIOS-neveket hasznl erforrsok azonostsa szrt (broadcast) zenetek hasznlatval lehetsges, gy meglehetsen nagy hlzati forgalommal jr. A hlzati forgalom cskkentshez valamilyen mdon trolnunk kell a nevek s cmek sszerendelst, s ezt az adatbzist elrhetv kell tennnk a hlzaton. A NetBIOS-nevek s IP-cmek sszerendelsnek nyilvntartsra a Windows-rendszerekben kt mdszer ll rendelkezsre: LMHOSTS-fjl hasznlata WINS-kiszolgl (Windows Internet Name Service) hasznlata
240
Hlzati szolgltatsok
Az LMHOSTS a %SYSTEMROOT%\System32\Drivers\Etc mappban tallhat, illetve nem tallhat, mivel a mintaknt kapott fjl neve lmhosts.sam. A fjlt a megfelel mdostsok utn a megfelel tnevezssel kell lestennk. A fjlban megadhatunk egy msik (tetszleges nev) kzpontilag trolt lmhosts fjlt is, gy megvalsthat a teljes hlzat szmra egyetlen, kzpontilag karbantartott lmhosts fjl hasznlata is. Az lmhosts-fjl azonban mg ebben az esetben is kzi feltltst ignyel, vagyis csak egszen kis hlzatokban ajnlhat. Teljesen alkalmatlan pldul a DHCP-szolgltatssal val egyttmkdsre, minden szmtgpen statikus IP-belltsokat kell hasznlnunk. A WINS-kiszolgl a hlzaton hasznlt szmtgpekhez s csoportokhoz tartoz NetBIOS-nevek s IP-cmek sszerendelseinek regisztrlshoz s lekrdezshez biztost dinamikusan felpthet, elosztott adatbzist. A WINSkiszolgl teljesen automatikusan pti fel a nvszolgltats biztost adatbzist, s lehetsg van a kiszolglk kztti replikcira is, gy gyakorlatilag brmilyen mret rendszerben hasznlhat. A kzponti adatbzis jelentsen cskkenti a NetBIOS-nevek hasznlatval egytt jr szrt zenetek szmt, s a dinamikusan frissl adatbzis miatt nem ignyel statikus IP-cmeket. A WINS-kiszolgl teht kezeli a WINS-gyfelek nvregisztrcis krelmeit, regisztrlja neveiket s IP-cmeiket, s vlaszol az gyfelek ltal benyjtott NetBIOS-nvkrdsekre, vagyis visszakldi a lekrdezett nvhez tartoz IP-cmet, amennyiben az szerepel az adatbzisban.
A WINS-kiszolgl felgyeletvel a legtbb esetben nincsen sok gond, a telepts utn a szolgltats gyakorlatilag teljesen automatikusan mkdik. Tiszta Windows Server 2003 tartomnyokban tulajdonkppen nincsen r szksg, mivel itt a nvfelolds alaprtelmezs szerint a DNS-szolgltatson alapul, de tartalk mdszerknt azrt alkalmanknt j szolglatot tehet, s bizonyos specilis alkalmazsok is megkvetelhetik a NetBIOS-nvfelolds hasznlatt.
241
Az RRAS-infrastruktra
A Routing and Remote Access Server (RRAS, tvlaszts s tvelrs) kpes biztostani azt, hogy kls eszkzkrl (internet, msik hlzat, mobil eszkzk stb.) csatlakozhassunk a vllalat hlzathoz. A kapcsolds analg telefonvonal, ISDN, ADSL, vagy az interneten keresztl megvalstott VPN-kapcsolat segtsgvel is lehetsges. A tvoli felhasznlk ppen gy dolgozhatnak, mintha szmtgpk fizikailag csatlakozna a hlzatra. A tvelrs kapcsolatok szmra engedlyezett minden olyan szolgltats, amely a LANkapcsolattal rendelkez felhasznlk szmra szoksosan elrhet (pldul fjl- s nyomtatmegoszts, levelezs stb.), s az erforrsok kezelsre a helyi hlzatokban megszokott eszkzk hasznlhatk. Az RRAS tovbbi fontos szolgltatsa, hogy szoftveres tvlasztknt, illetve tjr-kiszolglknt kpes mkdni, gy lehetsget nyjt a kls s bels hlzatok rugalmas sszekapcsolsra. Az internet hasznlatval megvalstott kapcsolatok biztonsgt a PPTP, L2TP s IPSec protokollok tmogatsa biztostja. A kvetkezkben megismerkednk a RRAS klnfle kpessgeivel s az alkalmazott protokollok mkdsvel.
tvlaszts s tvelrs (RRAS) s a virtulis magnhlzatok Ebben a screencastban felteleptjk s belltjuk a Windows Server 2003 RRAS-komponenst, majd VPN-kiszolglt ptnk s aztn az gyflrl ki is prbljuk. Fjlnv: II-1-2cRRAS-infrastruktura.avi
Az RRAS kpessgei
Az RRAS a kvetkez szolgltatsokat nyjthatja a hlzat szmra: Tvoli elrs (Remote access) Az RRAS hasznlatval a felhasznlk tvolrl kapcsoldhatnak a vllalati hlzathoz betrcszs kapcsolaton (dial-up connection), illetve VPN (virtulis magnhlzat) hasznlatval az interneten keresztl. Hlzati cmfordts (Network address translation, NAT) vagyis az RRAS a privt IP-cmmel rendelkez gpek szmra biztosthatja az internet elrst, s ezzel kapcsolatban alapfok tzfal szerepkr betltsre is kpes. A Network Address Translation (hlzati cmfordts) lehetv teszi, hogy a bels hlzatra kttt, privt IP-cmmel rendelkez gpek tetszleges protokollokon keresztl elrjk az internetet. A hlzati cmfordtst vgz szmtgpben kt hlzati csatolra van szksg, az egyiknek a bels hlzat fel nz privt cmmel, a msik-
242
Hlzati szolgltatsok
nak pedig az internethez val kzvetlen kapcsoldst biztost publikus cmmel kell rendelkeznie. A bels hlzaton lv gpek internetes adatforgalomra vonatkoz krseit a hlzati cmfordtst vgz kiszolgl fogadja, s a berkez csomagokat az internetre tovbbts eltt gy mdostja, hogy azok feladjaknt a sajt publikus IP-cmt tnteti fel. gy a csomagok mr akadlytalanul eljuthatnak cmzettjkhz. A vlaszzenetek (mivel a csomagok feladja a kiszolgl volt) szintn hozz rkeznek be, ezekben most a cmzett mezt kell mdostania a megfelel privt cmre, hogy az eredeti felad megkaphassa azt. A NATszolgltatst hasznl gyflgpek semmit nem tudnak a csereberrl, vagyis az gyfeleken semmifle belltsra nincs szksg.
DHCPkiszolgl Tartomnyvezrl
Wireless Network
VPN gyfl
Telephelyek kztti kapcsolatok (Site-to-Site connections) az RRAS hlzatok kztt kapcsolatok megvalstsra is kpes, trcszs s VPN (lland, illetve igny szerint trcsz [Dial on Demand, DoD)] kapcsolds felhasznlsval. LAN-tvlaszt (LAN router) tbb Ethernet csatol esetn a bels hlzat szegmensei kztti tvlaszt funkci megvalstsa is lehetsges az RRAS hasznlatval.
243
Termszetesen a fenti listbl nem csak egy ttelt vlaszthatunk, az RRAS brmifle kombinciban kpes biztostani az emltett szolgltatsokat. Az RRAS hasznlatval elrhet teljestmny (vagyis a megfelel vlaszidvel kiszolglhat kapcsolatok maximlis szma) szmos tnyeztl fgg, de megfelel hardver s konfigurci hasznlatval az RRAS kpes lehet a kzepes kategrij hardveres megoldsok helyettestsre. Az RRAS-szolgltats alaprtelmezs szerint az opercis rendszer teleptsvel egytt felkerl a szmtgpre, de ekkor mg teljesen kikapcsolt llapotban van. Hasznlat eltt, az engedlyezssel egytt nhny belltst is meg kell adnunk, pldul ki kell vlasztanunk, hogy a RRAS mely funkciit szeretnnk hasznlni.
Tvelrsi hzirendek
Hiba lestettk azonban a kiszolglt, a tvoli gyfelek kapcsoldsa mg mindig nem lehetsges, mivel a tvelrsi hzirendek (Remote Connection Policies) alaprtelmezs szerint semmifle kapcsolatot nem engednek meg. A kapcsolatok engedlyezsvel egytt azonban clszer mindjrt ttekinteni a lehetsges belltsokat, s az ppen elgsges szintre korltozni a kapcsolds lehetsgt. Clszer pldul megadni azt a tartomnyi, vagy helyi csoportot, amelynek engedlyezni szeretnnk a tvoli hozzfrst.
244
Hlzati szolgltatsok
Szmos ms korltozs megadsra is mdunk van, szablyozhatjuk az resjrati kapcsolatok bontst, megadhatjuk azt az idszakot, amikor a kiszolgl hajland kapcsolatok fogadsra stb. Ugyancsak a hzirendekben kell belltanunk a csomagszrst, valamint a hitelestsre s a titkostsra vonatkoz paramtereket.
Ha tbb tvelrs-kiszolglt zemeltetnk, akkor clszer lehet a kzs hzirendek hasznlata. A Windows Internetes hitelestsi szolgltatsa (Internet Authentication Service, IAS) RADIUS-kiszolglknt hasznlhat, gy kzpontostott kapcsolat-hitelestst s -engedlyezst tesz lehetv a telefonos s VPN tvelrs, az tvlasztk kztti kapcsolatok, valamint a vezetknlkli hlzatok hozzfrsi pontjai (WLAN Acces Points) szmra. A RADIUS a Remote Authentication Dial-In User Service protokoll rvidtse. Ha a tvelrs-kiszolglt RADIUS-hitelests hasznlatra lltjuk be, akkor a rajta trolt tvelrsi hzirendek helyett a rendszer az IAS-kiszolgln tallhat hzirendeket fogja hasznlni.
245
4.29. bra: A tvoli hozzfrs tulajdonsgainak egy rsze a felhasznl oldalrl szablyozhat
RRAS-belltsok a cmtrban
A tvoli elrssel kapcsolatos paramterek egy rszt a hozzfrsi hzirend mellett, a felhasznlk oldalrl a cmtrban (Active Directory) is meghatrozhatjuk. A tartomnyi felhasznlk tulajdonsglapjnak Dial-in (Behvs) fln meghatrozhatjuk, hogy az adott felhasznlnak legyen-e lehetsge a tvoli kapcsoldsra, illetve megadhatjuk azt is, hogy a jogosultsg szablyozst a tvelrsi hzirendre bzzuk. Ugyanitt llthatjuk be az adott felhasznlhoz hozzrendelend statikus IP-cmet, s a csatlakoz szmtgp tvlasztsi tbljt (routing table) is kiegszthetjk az itt megadott bejegyzsekkel. Engedlyezhetjk a betrcszs kapcsolaton keresztl rkez felhasznlk visszahvst (ekkor a cg fizeti a telefonszmlt), illetve megadhatjuk azt a telefonszmot, amelyrl az adott felhasznl szmra engedlyezzk a csatlakozst.
246
Hlzati szolgltatsok
4.30. bra: Az elre gyrtott trcsz csak a felhasznlnvre s a jelszra kvncsi (esetleg mg arra se)
A csomag rszeknt rengeteg informci automatikusan eljuthat az gyflhez, st olyan belltsokat is megtehetnk, amelyekre a kzi kapcsoldsnl egyltaln nincs lehetsg. Egyedi feliratokat krhetnk a csatlakozskor megjelen ablakba, sgfjlt s klnfle telefonszmokat kldhetnk az gyfeleknek, megadhatjuk a kapcsoldskor belltand TCP/IP paramtereket, elrhatunk biztonsgi belltsokat, a kapcsolds klnbz fzisaiban szkripteket indthatunk stb.
247
A varzsl segtsgvel ltrehozott, testre szabott teleptcsomagot (ez tulajdonkppen egy exe fjl) az gyfeleknek eljuttatva (pldul egy webes letlts formjban), a felhasznlknak nem kell megadniuk a csatlakozshoz szksges klnfle paramtereket, mivel ezeket a csomag mr tartalmazza, s elvgzi az gyflgp szksges belltsait. Alaprtelmezs szerint a csomagkszt varzsl nincs felteleptve, de ezt knnyen ptolhatjuk az Add or Remove Programs (Programok hozzadsa vagy trlse) eszkz segtsgvel. A telept a Windows komponensek kztt lv Management and Monitoring Tools (Kezelsi s figyelsi eszkzk) csoportbl indthat.
Telefonos kapcsolds
A telefonos kapcsolds azt jelenti, hogy a tvoli gyfl valamifle kapcsolt vonalon megvalsul telekommunikcis szolgltats (pldul analg telefonvonal, ISDN-vonal, vagy X.25 rendszer) segtsgvel korltozott ideig fennll kapcsolatot ltest a tvelrs-kiszolgln lv valamelyik fizikai porttal. Tipikus plda ilyen kapcsolatra, az analg telefonvonalra modemmel kapcsold gyfl, aki a tvelrs-kiszolgl egyik fizikai portjhoz tartoz telefonszmot hv. Az analg telefonvonalon vagy ISDN-kapcsolaton keresztl megvalsul hlzati kapcsolat az gyfl s a kiszolgl kztti kzvetlen fizikai kapcsolatot jelenti, gy nincs felttlenl szksg az tvitt adatok titkostsra.
VPN-kapcsolatok
A virtulis magnhlzat (Virtual Private Network, VPN) a helyi hlzat olyan kiterjesztse, amely megosztott vagy nyilvnos hlzatokon (pldul az interneten) keresztli titkostott kapcsolatokat tartalmaz. VPN-kapcsolat hasznlatval gy kldhetnk adatokat kt szmtgp kztt megosztott vagy nyilvnos hlzaton keresztl, mintha a kt gp kzvetlen kapcsolatban lenne egymssal. A VPN-kapcsolatot kipt szmtgp, gyakorlatilag a bels hlzat rsze lesz (a hlzaton belli privt IP-cmet kap akkor is, ha az interneten keresztl csatlakozik), s hozzfrhet minden olyan szolgltatshoz (pldul fjlmegosztsok, DNS-kiszolgl, cmtr stb.), amelyek a vllalat tbbi szmtgpe szmra elrhetek. A kzvetlen kapcsolat emullsa rdekben az tvitt adatokhoz hozzfzdik egy fejlc (ezt a mveletet nevezzk begyazsnak), amely a vgpont megosztott vagy nyilvnos hlzaton keresztl trtn elrshez szksges tvonalra (ezt nevezzk VPN-alagtnak) vonatkoz informcikat tartalmazza. A VPN-kapcsolatokon tvitt adatok biztonsgi szempontok miatt minden esetben titkostva vannak, gy a titkost kulcsok nlkl az esetlegesen elfogott csomagok megfejthetetlenek.
248
Hlzati szolgltatsok
A mobil, illetve az otthon dolgoz felhasznlk VPN-kapcsolatok segtsgvel nyilvnos hlzatokon keresztl tudnak tvelrs kapcsolatot ltesteni vllalatuk tvelrsi-kiszolgljval. A felhasznl szempontjbl a VPN-kapcsolat kzvetlen kapcsolatknt jelenik meg a szmtgpe (a VPN-gyfl) s a VPN-kiszolgl virtulis portjai (s gy a bels hlzat) kztt. VPN-kapcsolatok hasznlata esetn az egyidej hozzfrsek szmt csak a kiszolgl erforrsai korltozzk (meg persze a vllalat internetkapcsolatnak svszlessge). A megosztott vagy nyilvnos hlzat pontos infrastruktrja lnyegtelen, mert az adatok logikailag egy lland sszekttets kapcsolaton keresztl kzlekednek.
VPN-alagt Bjtat protokollok s adatok
VPNkiszolgl
PPP-kapcsolat
DHCPkiszolgl
4.31. bra: VPN-infrastruktra
IP s DNS-kiszolgl hozzrendels
A VPN-kapcsolatok segtsgvel a szervezetek fldrajzilag klnll irodkkal, vagy ms szervezetekkel is ltesthetnek kapcsolatot nyilvnos hlzaton keresztl gy, hogy a kommunikci biztonsgos maradjon. Az interneten keresztli VPN-kapcsolat logikailag gy mkdik, mintha lland sszekttets WAN-kapcsolat (pldul brelt vonal) lenne. Ha pldul mindkt telephely lland kapcsolattal csatlakozik az internethez, a kapcsoldst kezdemnyez gyfl telephelynek VPN-kiszolglja automatikusan felpti a virtulis kapcsolatot s elrhetv teszi a msik telephely hlzatt, mghozz olyan mdon, hogy az gyflgpek (s a felhasznlk) ebbl semmit nem vesznek szre. Ebben az esetben a VPN-kiszolglk egyben tvlasztknt is mkdnek, vagyis biztostjk a mgttk lv teljes hlzat elrst a msik fl szmra. Termszetesen nem szksges, hogy mindkt oldalon RRAS legyen a VPN-kiszolgl, hasznlhatak a hardveres megoldsok (pldul egy ADSL router) is.
249
A fizikai kapcsolatot jelent telefonos hlzattal szemben, a virtulis magnhlzat mindig logikai, kzvetett kapcsolat a virtulis magnhlzati gyfl s a kiszolgl virtulis portja kztt, gy VPN-kapcsolatok esetn a biztonsgos tvitelhez az adatok titkostsra van szksg.
VPN-protokollok
A PPP (Point-to-Point Protocol) olyan szabvnyos protokollkszlet, amely lehetv teszi a tvelrst biztost klnfle szoftverek egyttmkdst. A PPP hasznlatra kpes szoftverek kpesek minden olyan hlzathoz csatlakozni, amely szabvnyos PPP-kiszolgln keresztl rhet el. A PPP tbb LAN-protokoll becsomagolsra is kpes, gy hlzati protokollknt a TCP/IP s az IPX is hasznlhat. Vlaszthatunk tbb klnfle hitelestsi mdszer kzl, adataink pedig tmrtett s titkostott formban is tvihetk. A PPP az alapja az RRAS ltal a biztonsgos VPN-kapcsolatok ltrehozshoz hasznlt PPTP s L2TP protokolloknak. PPTP (Point-to-Point Tunneling Protocol, pontpont alagtprotokoll) a PPTP a PPP (Point-to-Point Protocol) kiterjesztseknt meghatrozhat alagtprotokoll. A PPTP-protokoll hasznlatt a Windows 9x-tl kezdve valamennyi Windows opercis rendszer tmogatja (br a rgebbi rendszerek esetn kln kell letlteni s telepteni). A PPTPprotokoll begyazza (vagyis hozzfzi a sajt fejlct) s titkostja az tviend PPP-keretet az MPPE (Microsoft Point-to-Point Encryption, 128-bites RC4) titkosts hasznlatval az MS-CHAP, az MS-CHAP v2 vagy az EAP-TLS hitelestsi eljrsbl generlt titkost kulcsok segtsgvel. Az EAP-TLS hitelestsi eljrs a SmartCard-alap hitelestst is lehetv teszi. A PPTP-protokoll egyszeren NAT-olhat (ez akkor lehet fontos, ha pldul az RRAS mgl szeretnnk kifel VPNkapcsolatot ltrehozni), bezemelse egyszer, hasznlata pedig megfelel biztonsgot nyjt. L2TP (Layer Two Tunneling Protocol, msodik rtegbeli alagtprotokoll) az L2TP szintn a PPP-keretek begyazsra kpes, de ebben az esetben a titkostsi szolgltatsok a hlzati adatok biztonsgos tvitelre szolgl IPSec-protokollon alapulnak. Az L2TP s az IPSec kombincija L2TP/IPSec-protokollknt ismert. A VPN-gyflnek s a kiszolglnak is tmogatnia kell az L2TP s az IPSec-protokollt, vagyis az L2TP hasznlata Windows 2000 s 2003 Server kiszolglk s Windows 2000/XP/Vista gyfelek szmra lehetsges. Az IPSec tanstvny alap hitelestst hasznl, gy az L2TP alkalmazshoz teljes PKI-infrastruktrra, vagyis tanstvnykiad szolgltatsra (esetleg a jval kevsb
250
Hlzati szolgltatsok
biztonsgos elre megosztott kulcson (pre-shared key) alapul hitelestsre) van szksg, ezrt bezemelse lnyegesen bonyolultabb, viszont a tanstvny alap hitelests hasznlatval fokozottan biztonsgos. Tovbbi nehzsget jelenthet az, hogy a IPSec nem NAT-olhat (mivel a NAT-kiszolgl mdostja a csomagok fejlceit, amit az IPSec integritsvdelme nem enged meg), csak a NAT-Traversal technolgia hasznlatval. A NAT-T mkdse azon alapul, hogy a VPN-forgalom UDP-csomagok kpben utazik, ezek fejlceit a NAT-kiszolgl mr minden tovbbi nlkl mdosthatja.
VPN-karantn
A VPN-kapcsolatok hasznlatnak szmos elnye mellett van egy slyos htrnya is. A felhasznlk szmra nagyon j, hogy brhonnan, egyszeren s biztonsgosan elrik a vllalat hlzatt, a rendszergazda szmra viszont a brhonnan kifejezs komoly fejtrst okozhat. A brhonnan ugyanis jelentheti pldul kedves kollgnk otthoni szmtgpt is, amin a gyerekek sokat szoktak ugyan internetezni, de frisstve esetleg a mlt vezredben volt utoljra. Hogyan engedhetnk be a hlzatba egy olyan gpet, amin esetleg nincs tzfal, nincs rendszeresen frisstett vruskeres, nincsenek javtcsomagok s csoporthzirend, viszont ezekbl kvetkezen nyilvn van rajta sok egyb rdekessg? A VPN-karantn arra j, hogy elvrsainkat konkrt formban kzljk a csatlakozni kvn szmtgpekkel, ha pedig nem teljestik a feltteleket, akkor rvid ton megszakthatjuk velk a kapcsolatot. Csatlakozs utn minden szmtgp a karantnban kezdi plyafutst, vagyis egy ersen korltoz hzirend (IP-szrk s munkamenet idztk) belltsai rvnyeslnek r. Pldul csak annyit rhet el a hlzatbl, ami a klnfle frisstsek s egyb, a megfelel llapot elrshez szksges elemek letltshez szksges. Ekzben lefut rajta egy teljesen egyedileg sszellthat ellenrz szkript, ami megvizsglja tetszleges programok, registry-kulcsok, fjlok megltt, megfelel eredmny esetn feloldja a karantn korltozsait s a szoksos tvelrsi hzirendet rvnyesti kapcsolatra. A VPN-karantn ltrehozshoz szksges eszkzk a Windows Server 2003 Resource Kit Tools csomagban (http://tinyurl.com/6p6cy) tallhatk.
A csomagbl ngy fjlra lesz szksgnk: Rqs.exe (Remote Quarantine Server), Rqc.exe (Remote Quarantine Client), Rqs_setup.bat (a Remote Access Quarantine Agent szolgltats teleptje (a kiszolgln) s RqsMsg.dll (Remote Access Quarantine Agent Message). A csomag teleptse utn clszer frissteni az RQS.exe-t a http://tinyurl.com/dc2u7 cmrl letlthet pldnnyal.
251
Terminlkiszolgl hasznlatval, a nagy adatmennyisggel dolgoz alkalmazsokat is futtathatjuk korltozott svszlessget biztost krnyezetben (telefonvonal vagy megosztott WAN-kapcsolat), mivel gy az adatok helyett csak azok kpernyn megjelen kpt kell tvinnnk a hlzaton. A Terminlszolgltatsok (Terminal Services) hasznlata nem ignyel tl nagy svszlessget (akr egy betrcszs kapcsolaton keresztl is hasznlhat), mivel a kpernykpek helyett a kpek ltrehozshoz hasznlt ablakrajzol parancsokat (GDI, Graphical Device Interface) viszi t a Remote Desktop Protocol (RDP). A terminlszolgltatsok kt klnbz zemmdban futtathat, br a klnbsg csak a licencfelttelekben van, az alkalmazott technolgia mindkt esetben azonos: Tvoli asztal (Remote Desktop) a tvoli asztal a terminlszolgltatsok tvfelgyeleti zemmdja, leginkbb arra szolgl, hogy a rendszergazdnak ne kelljen a hideg s huzatos szerverszobban ldglnie akkor sem, ha egszen komoly mttet kell elvgezni a kiszolgln. A szolgltats hasznlathoz nincs szksg teleptsre, egyszeren a Rendszer (System) tulajdonsgpanel Tvoli hasznlat (Remote) lapjn engedlyezhetjk a tvoli asztalhoz val kapcsoldst. Ebben az esetben a Windows Server 2003 kt prhuzamos tvoli munkamenet fogadsra hajland, illetve csatlakozhatunk a konzol munkamenethez is (akr a gp eltt lve,
252
Hlzati szolgltatsok
akr tvolrl). A konzol munkamenethez azonban egy idben csak egyetlen felhasznl csatlakozhat, ha ezt egy tvoli munkamenet foglalja el, akkor loklisan mr nem lehet a gpre bejelentkezni. Ez a szolgltats gyflrendszerek esetben is hasznlhat (Windows XP s Vista), de ott mindssze egyetlen kapcsolatra van lehetsg (a helyi munkamenettel egytt), vagyis sajnos nem tudunk a felhasznl megzavarsa nlkl, vele prhuzamosan bejelentkezni az gyflgpekre. Terminlkiszolgl (Terminal Server) a terminlkiszolgl zemmd csak kiszolgl opercis rendszereken hasznlhat, de ebben az esetben a kapcsolatok szmt csak a megvsrolt gyfllicencek szma, s a szmtgp erforrsai korltozzk. A licenc kiszolgl bezemelsre s az gyfllicencek megvsrlsra 120 nap trelmi idt kapunk. A Terminlszolgltatsok aktivlshoz a Terminal Server komponenst kell felteleptennk a Programok teleptse s trlse (Add or Remove Programs) varzsl segtsgvel.
4.32. bra: Az RDC 6.0 telepthet a Windows Server 2003-ra, s Windows XP-re is
A Terminlszolgltatsokhoz a Remote Desktop Users (Tvoli asztal felhasznli) biztonsgi csoport tagjai csatlakozhatnak, illetve tartomnyvezrl esetn figyelembe kell vennnk azt is, hogy alaprtelmezs szerint sem a Users, sem pedig a Remote Desktop Users (Asztal tvoli felhasznli) csoport tagjai253
nak nincs helyi bejelentkezsi joga a kiszolglra, gy nem hasznlhatjk a terminlkiszolglt sem. Tovbbi problmkat okozhat az a tny, hogy res jelszval egyltaln nem lehet bejelentkezni terminl munkamenetbe, mg akkor sem, ha a konzolon ez lehetsges. A Terminlszolgltatsok gyflprogramjnak (Remote Desktop Connection, RDC) 6.0-s, legjabb verzija szmos jdonsgot tartalmaz a korbbi kiadsokhoz kpest. Az RDC-program segtsgvel csatlakozhatunk a Windowskiszolglkon fut terminlszolgltatsokhoz, s az gyflgpek tvoli asztalhoz is. Windows XP s Windows Server 2003 esetn az gyflprogram 5.2-es verzijval tallkozhatunk, de ezekre a rendszerekre is letlthet (az automatikus frissts segtsgvel is) a Vistban megjelent 6.0 vltozat is. A program az mstsc.exe parancs bersval, illetve a Start menbl indthat. Az gyflprogram s a kiszolgl kztt alaprtelmezs szerint 128-bites ktirny RC4 titkosts vdi az adatokat, de ha nem tiltjuk le, lehetsges a rgebbi, alacsonyabb titkostsi szintet biztost gyfelek csatlakozsa is. A tvoli kapcsolatok klnfle opcii az Options (Belltsok) gomb segtsgvel rhetk el. A megnyl tulajdonsglapon megadhatjuk a bejelentkezssel, a megjelentssel, a helyi erforrsokkal s a munkamenet ltrehozskor automatikusan elindul programokkal kapcsolatos adatokat. Az RDC segtsgvel a felhasznlk s rendszergazdk elmenthetik s betlthetik a kapcsolatok belltsait tartalmaz, rdp kiterjeszts fjlokat. Az RDC-program segtsgvel szmos adattpus tirnytst megvalsthatjuk. Biztonsgi okokbl minden tirnyts az gyflen s a kiszolgln is letilthat. Figyelmeztet zenet jelenik meg a fjlrendszerre, valamely portra, vagy smart card-ra vonatkoz tirnytsi krelemkor; a felhasznl megszakthatja a kapcsolatot, vagy letilthatja az tirnytst. A kvetkez tirnytsokat llthatjuk be: Fjlrendszer Az gyfl meghajti (a hlzati meghajtk is) elrhetk a kiszolgli munkamenetbl. Az engedly egyszerre az sszes meghajtra vonatkozik, radsul alaprtelmezs szerint a kiszolgli munkamenetben Everyone > Full Control jogosultsggal jelennek meg az gyflgp meghajti, gy az tirnyts hasznlathoz nmi vatossg szksges. Vglap Lehetsg van (csak RDP 6.0 esetn) a vglap megosztsnak engedlyezsre s tiltsra, vagyis ilyen mdon nagyon egyszeren cserlhetnk szvegeket s kpeket a helyi gp s tvoli munkamenet kztt. Fjlok tvitele viszont nem lehetsges a vglap hasznlatval.
254
Hlzati szolgltatsok
Portok Az gyfl soros portjai elrhetv tehetk a kiszolgli munkamenetbl, gy a kiszolgln fut szoftverek hozzfrhetnek az gyfl bizonyos hardvereszkzeihez. Nyomtatk Az gyfl valamennyi teleptett nyomtatja (a hlzati nyomtatk is) elrhet a kiszolgli munkamenetbl (a Windows 2000 Terminlszolgltatsok csak a helyi nyomtatk tirnytst tette lehetv). Az tirnytott nyomtatk knnyen rtelmezhet nevet kapnak. Hangok A hibazenetekhez kapcsold hangjelzsek, vagy pldul az j elektronikus levl rkezst jelz hangok tirnythatk az gyfelekre. Smart Card bejelentkezs A Windows-rendszer bejelentkezsi adatait tartalmaz smart card hasznlhat a Windows Server 2003 tvoli munkamenetbe trtn bejelentkezshez is. A funkci hasznlathoz olyan gyfl rendszer szksges, amely nllan is kpes a smart card kezelsre (Windows 2000, XP, Vista). Windows billentykombincik Az gyfl a Windows billentykombincikat (Alt-Tab, Ctrl-Esc stb.) alaprtelmezs szerint tovbbtja a tvoli munkamenetnek. A Ctrl-Alt-Del billentykombincit azonban biztonsgi okokbl mindig az gyfl dolgozza fel, a kiszolgln a Ctrl-Alt-End megnyomsval rhetjk el ugyanazt a hatst. Az tirnyts mkdik Windows 2000 terminlkiszolgl esetn is, de csak NT-alap gyfl opercis rendszerrel (Windows 9x-el nem). Idzna Az RDC-gyfl kpes az idznra vonatkoz adatok automatikus tadsra, illetve a felhasznlk manulisan is bellthatjk a megfelel idznt. gy a klnbz idznban lv felhasznlk egyetlen kiszolglt hasznlhatnak.
Nagyszm kapcsolat knyelmes kezelst biztostja a Remote Desktops MMC-konzol, amelyet az Administrative Tools (Felgyeleti eszkzk) programcsoportbl indthatunk el. A konzolfhoz hozzadhatjuk a szksges kapcsolatokat, bellthatjuk azok tulajdonsgait, megadhatjuk a szksges felhasznlneveket s jelszavakat. A csatlakoztatott kiszolglk kpernykpe a konzolon bell jelenik meg. A konzol a korbban mr emltett Administrative Tools csomag (adminpak.msi) teleptse utn gyflgpeken is hasznlhat.
255
4.33. bra: Ha megadjuk a szksges tanstvnyt, akkor SSL hasznlatval is kapcsoldhatunk a terminlkiszolglhoz
gyfloldalon az SSL-kapcsolat hasznlathoz Windows 2000, XP, illetve Windows Server 2003 opercis rendszerre, s legalbb 5.2-es verzij RDPgyflre van szksg. Termszetesen az is szksges, hogy a kiszolgl tanstvnynak kibocstja, (illetve a kibocst root CA-ja) szerepeljen az gyfl ltal hitelesnek tekintett tanstvny-szolgltatk kztt.
256
Egyb kiszolglkomponensek
bngsz
Terminal Server
Egyb kiszolglkomponensek
A kvetkezkben a Windows Server 2003 tovbbi kiszolgl-komponensnek (SMTP s POP3 kiszolgl, Tanstvnyszolgltatsok, Internet Information Services, Windows SharePoint Services s Streaming Media Server) egszen rvid, csak a legfontosabb funkcik felsorolsra szortkoz lersa kvetkezik. Utols tmnk, a Windows Server Update Services (WSUS) esetben azonban mr a rszletekbe is belemegynk, mert br a szoftver nem rsze az alapteleptsnek, de a kis s kzepes vllalatok esetben egy patch management rendszer kzpontjaknt nagyon jl hasznlhat, s teljesen komplex megoldst nyjt.
257
258
Egyb kiszolglkomponensek
szolgltats teleptsvel az SMTP-szolgltats is automatikusan telepl, hogy a levlklds is lehetv vljon a POP3-gyfelek szmra, a POP3 Manager felletn megadott e-mail tartomnyok pedig automatikusan bekerlnek az SMTP-szolgltatsba is.
A vllalati hitelests szolgltat ltal kiadott tanstvnyok segtsgvel ltrehozhatak digitlis alrsok, lehetv vlik a webes adatforgalom biztonsgoss ttele a Secure Socket Layer (SSL), vagy a Transport Layer Security (TLS) hasznlatval, az Active Directory alap tartomnyba val bejelentkezshez pedig Smart Card is hasznlhat.
259
A tanstvnyszolgltats teleptst az Add or Remove Programs eszkz segtsgvel vgezhetjk el, felgyelethez pedig az Administrative Tools -> Certification Authority menpont segtsgvel elindthat MMC-konzol hasznlhat. A felhasznlk tanstvnyaikat egy webes felleten, vagy a Tanstvnyok (Certificates) nev MMC-modul segtsgvel ignyelhetik a CA-tl, illetve lehetsg van arra is, hogy a klnfle alkalmazsok szrevtlenl ignyeljenek tanstvnyt a felhasznl szmra.
Az IIS teht a kvetkez alapkomponensekbl ll: Web- s alkalmazskiszolgl a HTML alap tartalmak szolgltatshoz. A webkiszolgl lehetv teszi tbb egymstl teljesen fggetlen webhely zemeltetst. A hozz tartoz felgyeleti konzol segtsgvel bellthatjuk a biztonsgi paramtereket, illetve monitorozhatjuk, felgyelhetjk az egyes webhelyeket. Szmos ms kiszolgl komponens is ignybe veszi a webkiszolgl szolgltatsait, erre pl pldul a Windows SharePoint Services s a WSUS is. FTP-kiszolgl (File Transfer Protocol) a fjl le- s feltltshez. A komponens segtsgvel a kiszolgl meghatrozott mappit tehetjk elrhetv az FTP-alap fel s letltsek szmra. Az FTP-kiszolgl kpes tbb (ltszlag) nll FTP-hely kezelsre (klnbz hlzati csatolkon, illetve portokon keresztl), s minden helyhez tetszleges szm virtulis knyvtrat csatolhatunk. Ez azt jelenti, hogy az FTPgyfl (pldul Internet Explorer) segtsgvel csatlakoz felhasznlk egy virtulis knyvtrft ltnak, amelynek elemei a szmtgp tetszlegesen megadott fizikai mappira nznek. Az FTP-kiszolglhoz a szmtgpen, (illetve az Active Directoryban) megadott felhasznlk csat-
260
Egyb kiszolglkomponensek
lakozhatnak, viszont mivel az FTP-gyfelek igen kevss biztonsgos kdolssal (ASCII) kldik t jelszavainkat a hlzaton, indokolt lehet nmi vatossg. Bellthatjuk pldul, hogy csak hitelests nlkli (Anonymous) felhasznlk jelentkezhessenek be, gy nem utaznak a hlzaton knnyen elolvashat jelszavak, viszont nincs md az FTPgyfelek megklnbztetsre. Korltozhatjuk a hozzfrst az gyfelek IP-cme alapjn, s lehetsg van a kzztett fjlok hozzfrsi jogosultsgok belltsra is. Az FTP-knyvtrakhoz val hozzfrsi jogok bizonyos mrtkig az FTP-kiszolgl szintjn is szablyozhatk (olvass, rs), de termszetesen a fjlrendszerben megadott NTFS-jogok is rvnyeslnek. NNTP-kiszolgl (Network News Transfer Protocol) a hrcsoportok ltrehozst s elrst teszi lehetv. SMTP-kiszolgl (Simple Mail Transfer Protocol) az elektronikus levelek kldsre, illetve tovbbtsra hasznlhat.
A Biztonsgi megfontolsok miatt az IIS alaprtelmezs szerint nincsen teleptve a Windows Server 2003 kiszolglkon. A teleptst az Add or Remove Programs Windows (Programok teleptse vagy trlse) Components szakaszban indthatjuk el (gyeljnk a szksges komponensek kivlogatsra, mivel az IIS rengeteg nllan telepthet rszbl ll). Az IIS 6.0 a telepts utn zrolt zemmdban fut, ami azt jelenti, hogy csak a statikus weboldalak kiszolglsa engedlyezett. Az IIS-re pl egyb szolgltatsok (ASP, ASP.NET, CGI parancsfjlkezels, WebDAV stb.) tiltott llapotban vannak, nem hasznlhatk. Ezeket a szolgltatsokat, ha szksg van rjuk az IIS Manager (IIS-kezel) Web Sevice Extensions (Webszolgltats-bvtmnyek) lapjn egyenknt engedlyezhetjk.
261
A SharePoint webhelyeken a felhasznlk ltrehozhatnak dokumentumtrakat, webnaplkat, vitafrumokat, kzztehetnek naptrakat s feladatlistkat. A SharePoint helyek webkijelzkbl s ms ASP.NET alap komponensekbl plnek fel, a kijelzk elhelyezsvel s tulajdonsgaik belltsval a rendszergazdk s felhasznlk teljes alkalmazsokat kszthetnek el egy-egy oldalon. A Windows SharePoint Services szmos elre gyrtott webkijelzt is tartalmaz, a jvben pedig jabbak is fognak kszlni.
A Windows Share Point Services teleptse s belltsai Ebben a screencastben felteleptjk, belltjuk s kiprbljuk a Windows Share Point Services csoportmunka alkalmazst. Fjlnv: II-1-3bWSS.avi
A SharePoint felleten ltrehozhat dokumentumtrak hasznlatval a felhasznlk egy kzponti helyen hozhatnak ltre, oszthatnak meg s tekinthetnek t dokumentumokat. A dokumentumtrak tbb fjltpust, illetve alknyvtrakat is tartalmazhatnak. Ha a felhasznl megnyit egy dokumentumtrat, a benne lv fjlok webes hivatkozsknt jelennek meg, s az ilyen mdon trolt informcik kzvetlenl elrhetk a klnfle Office-alkalmazsokbl. A hivatkozsra kattintva az adott dokumentum az Internet Explorer ablakban, vagy a SharePoint Services szolgltatssal kompatibilis alkalmazs ablakban, (pldul Word 2003, 2007) nylik meg. Az Outlook segtsgvel megtekinthetk a SharePoint helyeken trolt naptrak s partnerlistk, illetve lehetsget nyjt dokumentumszerkesztsre s rtekezletszervezsre szolgl helyek ltrehozsra.
262
Egyb kiszolglkomponensek
Kisebb hlzatok (nagyjbl 1000 szmtgpig, m a tmogats fels hatra elvileg 20.000 szmtgp) esetn a WSUS (Windows Server Update Services) lehet a tkletes vlaszts, mivel nll, komplex s ingyenes megoldst jelent. Termszetesen ms eszkzk is kpesek a feladat elltsra (pldul a Microsoft System Center Configuration Manager, vagy System Center Edition termke), de ezek nagy, illetve kzpvllalati felhasznlsra tervezett szoftverek, kis hlzatok esetn hasznlatuk tlsgosan kltsges lenne. Egybknt mindkt emltett rendszerfelgyeleti szoftvercsomag tartalmazza a WSUS-t, s ezt hasznlja a javtcsomagok kezelshez. Az nll WSUS-csomag a Microsoft webhelyrl szabadon letlthet, s ingyenesen hasznlhat (http://go.microsoft.com/fwlink/?linkid=89379). A kzelmltban jelent meg a WSUS 3.0 vgleges vltozata, amely eldjvel ellenttben mr nem webes, hanem MMC-alap felgyeleti eszkz segtsgvel konfigurlhat, hasznlata pedig tbb szempontbl is knyelmesebb s hatkonyabb vlt. Termszetesen akr azt is megtehetnnk, hogy az egyes szmtgpekre (Windows 2000 SP2, XP, Vista) teleptett AU (Automatic Updates, Automatikus frisstsek) gyflszoftver segtsgvel minden gp kzvetlenl a Microsoft Update (MU) kiszolglkrl tltgeti le kln-kln a frisstseket, de ez a megolds csak az otthoni felhasznlk ignyeinek felel meg. Ilyen mdon ugyanis, ha hlzatunk pldul tven gpbl ll, a szksgesnl tvenszer nagyobb adatmennyisget kell letltennk, ami jelentsen megterheli a vllalat internetkapcsolatt (s esetleg a bankszmljt is).
263
Tovbbi problmt jelent az is, hogy nincs md a javtsok esetleges mellkhatsainak elzetes feldertsre, s a problma megoldsra, mivel a javtcsomagok ellenrzs nlkl kerlnek fel a vllalat valamennyi szmtgpre. A WSUS-kiszolgl tulajdonkppen a MU-kiszolglk, s a gpeinken fut AU-gyfl kz kerl; egyetlen pldnyban letlti, s trolja az gyflgpek sszes szksges javtcsomagjt, amelyeket gy az AU-gyfelek mr nem az internetrl, hanem tle kapnak meg s teleptenek (de csak akkor, ha a rendszergazda erre engedlyt ad). A teljes rendszer teht hrom komponensbl ll (br ebbl csak kett tartozik a mi fennhatsgunk al): A Microsoft Update kiszolglk biztostjk a szksges javtcsomagokat. A hlzatunkban Windows 2000/2003 kiszolglra teleptett WSUSkiszolgl ezekrl tlti le a csomagokat, majd trolja ket. Az gyflgpeken (vagy kiszolglkon) fut AU-gyfelek az engedlyezett javtsokat letltik a WSUS-kiszolglrl, s teleptik azokat.
A WSUS zemeltetse viszonylag egyszer, szolgltatsai pedig a legjabb verziban mr szinte minden ignyt kielgtenek. A teljes patch management infrastruktrt felpthetjk egyetlen kiszolgl hasznlatval, de lehetsg van a vllalaton belli WSUS-hierarchia kialaktsra is. Br a WSUS 3.0 mr nem webes felgyeleti felgyeletet hasznl, a szolgltats tovbbra is az IIS 6.0 hasznlatra pl. Webes alkalmazs tlti le a frisstseket, tartja karban az SQL adatbzist, s az gyfelek is egy webszolgltats segtsgvel rik el a szmukra kiosztott frisstcsomagokat.
A WSUS teleptse
Hogy a WSUS-t telepthessk, kiszolglnknak a kvetkez feltteleket kell teljestenie: Windows Server 2003 Service Pack 1 Microsoft .NET Framework 2.0 Internet Information Services (IIS) 6.0 Microsoft Report Viewer 2005 Redistributable ez az egy komponens az, amit vrhatan kln kell majd letlteni s telepteni. Microsoft Management Console 3.0 Opcionlisan SQL Server 2005 SP1
264
Egyb kiszolglkomponensek
1 GB szabad lemezterlet a rendszert tartalmaz kteten. Minimlisan 20 GB szabad trolkapacits a javtcsomagok trolshoz. A szksges lemezterlet ersen fgg az gyflgpek nyelvi verziinak szmtl, mivel minden nyelvhez kln csomagokat kell letlteni s trolni. A minimlisan ajnlott 20 GB, angol s magyar nyelv Windows 2000, XP s Vista gyfelekkel nagyjbl elegend lehet. 2 GB szabad terlet a rendszer adatbzisnak trolshoz. Az adatbzis lehet az SQL Server 2005 SP1 brmelyik kiadsa, illetve maga a telept is tartalmazza a WMSDE adatbzis-kezelt.
A telepts nem mondhat tlsgosan bonyolultnak, csak nhny krdsre kell vlaszolnunk. Elsknt azt kell eldntennk, hogy a teljes kiszolglt, vagy csak a felgyeleti konzolt szeretnnk telepteni. Ezutn kvetkezik a licencszerzds elfogadsa, majd meg kell adnunk a letlttt javtcsomagok s a rendszerhez tartoz adatbzis trolsra szolgl mappkat (mindkett csak NTFS-kteten lehet). A javtcsomagokat trol mappt clszer lehet kln, nll partcira helyezni, de mindenesetre lehetleg ne tegyk a rendszert tartalmaz ktetre. Ez utn azt kell kivlasztanunk, hogy a WSUS felgyeleti konzol (s maguk a frisstscsomagok is) az IIS alaprtelmezett webhelyn, vagy kln a WSUS-szolgltats szmra ltrehozott webhelyen legyenek elrhetk.
265
Kln ltrehozott webhely esetn az gyflszoftver HTTP-protokollon, a 8530-as porton ri el WSUS-kiszolglnkat, gy az gyfelek belltsakor majd a http:// SERVER:8530 URL-t kell megadnunk. A telepts vgn azonban a telepts mg nem r vget, mivel automatikusan elindul a WSUS Server Configuration Wizard (WSUS-kiszolgl konfigurlsa varzsl), amelynek segtsgvel elvgezhetjk a kiszolgl belltsnak lpseit. Nem kell azonban felttlenl a varzslt hasznlnunk, minden belltsi lehetsg elrhet a WSUS 3.0 felgyeleti konzoljrl is, amelyet a Start men Administrative Tools (Felgyeleti eszkzk) programcsoportjbl indthatunk el (ugyanitt jra elindthatjuk a varzslt is). A konzol termszetesen nemcsak a WSUS-kiszolgln hasznlhat, hanem brmelyik gyflgpre is telepthetjk, s lehetsgnk van a felgyeleti jogok deleglsra is. Az Active Directory-cmtrban, vagy a helyi csoportok kztt a teleptskor ltrejn a WSUS Administrators (WSUS-rendszergazdk), s a WSUS Reporters (WSUS-jelentsksztk) biztonsgi csoport, ezek tagjai teljes jogosultsgot, illetve a jelentsek elksztsnek lehetsgt kapjk.
A WSUS-kiszolgl belltsai
Amint a 4.37. bra mutatja, a WSUS-kiszolgl a belltott temezsnek megfelelen letlti s eltrolja azoknak a termkeknek a frisstseit, amelyeket a rendszergazda kivlasztott. Bellthat automatikus engedlyezs is, ami a megadott felttelek teljeslse esetn a megadott csoportok szmra tovbbi beavatkozs nlkl engedlyezi a terjesztst, de ezt a lehetsget csak a ktelez vatossg figyelembevtelvel rdemes hasznlni. A tesztgpeinkre pldul minden tovbbi nlkl automatikusan rszabadthatjuk valamennyi javtcsomagot (ppen ezrt vannak), a tbbi gp esetben pedig az eredmny ismeretben mr kzzel vgezhetjk el a jvhagys belltst. Bellthat az is, hogy a kevsb kritikus komponensek (pldul az Office) valamennyi javtsa automatikusan telepljn minden gpre. A kvetkezkben ttekintjk a WSUS-kiszolgl legfontosabb belltsi lehetsgeit, s megismerkednk az egyes paramterek jelentsvel: Update Source and Proxy Server (Frissts forrsa s proxykiszolgl) itt kell kivlasztanunk azt a kiszolglt, amelyrl a WSUS le fogja tlteni a frisstseket. Kisvllalati krnyezetben ltalban nincs szksg tbb WSUS hasznlatra, de lehetsgnk van a csomagok forrsaknt msik kiszolglt is megadni, gy tbb WSUS-pldny hasznlata esetn is csak egyszer kell kzvetlenl a Microsofttl letlteni frisstseket. Ha proxykiszolgln (pldul ISA Server) rjk el az internetet, akkor ugyanitt kell megadnunk a kiszolgl nevt, portsz-
266
Egyb kiszolglkomponensek
mt, s a kapcsoldshoz szksges felhasznli adatokat (termszetesen csak akkor, ha a proxy hitelestst is ignyel), hogy a WSUS elrhesse a Microsoft Update kiszolglkat.
Kiszolgloldal
Products and Classifications (Termkek s besorolsok) itt adhatjuk meg azokat a termkeket, amelyeket A WSUS segtsgvel szeretnnk frissteni, illetve itt kell kivlasztanunk a letltend csomagok tpust (biztonsgi frissts, javtcsomag stb.). A WSUS gyakorlatilag minden Microsoft termk frisstseinek kezelsre kpes, csak a legfontosabbak: a Windows 2000, XP, Vista valamennyi vltozata, a Windows Server 2003 klnfle kiadsai, Office, Exchange Server, SQL Server, ISA Server, Windows Defender stb. Update File and Languages (Frisstsfjlok s nyelvek) ebben a szakaszban a frisstcsomagok letltsnek mdjt meghatroz paramtereket adhatunk meg, illetve bellthatjuk azt is, hogy a csomagok maradjanak a Windows Update kiszolglkon, br ennek szokvnyos esetben nyilvnvalan nincs tl sok rtelme. Nagyon fontos pont a letltend nyelvi verzik kivlasztsa, mivel egyltaln nem valszn,
267
hogy az alaprtelmezett viselkeds megfelel lenne. Ez ugyanis valamennyi nyelv (kztk pldul az arab, knai s japn) csomagjainak letltst jelenti. Synchronization Schedule (Szinkronizls temezse) A WSUSkiszolgl s a Microsoft Update-szolgltats szinkronizlsa, vagyis a javtcsomagok letltse trtnhet automatikusan (temezetten), illetve kzi indtssal is. Itt vlaszthatunk a kt zemmd kztt, illetve temezett szinkronizci esetn megadhatjuk a kvnt idpontokat is. Automatic Approvals (Automatikus jvhagysok) a letlttt frisstsek teleptsnek engedlyezse automatikusan is elvgezhet. A mdszer (a 3.0-s vltozatban) ersen hasonlt pldul az Outlook levlkezel szablyaihoz: a frissts besorolsa (biztonsgi frissts, javtcsomag stb.), illetve a frisstend termk (Office, Windows Vista stb.) alapjn kivlogatott csomagokat a kivlasztott csoportok szmra automatikusan engedlyezhetjk. A WSUS s az AU-gyfelek sajt frisstsei alaprtelmezs szerint automatikusan teleptsre kerlnek. Computers (Szmtgpek) egy nagyon fontos belltst tallhatunk itt: ki kell vlasztanunk azt a mdszert, amely szerint a WSUS csoportostani fogja a frisstend szmtgpeket. A csoportostsnak kt szempontbl is nagy jelentsge van, egyrszt sok gyflgp esetn jelentsen javtja az ttekinthetsget (lehetsg van egymsba gyazott csoportok ltrehozsra is, gy kvethetjk pldul a vllalat szervezeti egysgeinek hierarchijt), msrszt pedig az automatikus engedlyezst az gy kialaktott csoportok szerint hatrozhatjuk meg. A csoportosts kt alapveten eltr mdszerrel trtnhet. A csoporttagsgot bellthatjuk kzvetlenl a WSUS-konzolon (ebben az esetben teht a kiszolgl hatrozza meg a csoporttagsgot), illetve a csoporthoz tartozsukat meghatrozhatjk maguk az gyfelek is. A msodik esetben a kvnt csoportnak a registryben, az AU-gyfl belltsai kztt kell szerepelnie, ezt a megfelel csoporthzirend bellts hasznlatval, vagy esetleg kzvetlen registry mdostssal rhetjk el. Brmelyik mdszert is vlasztjuk, a csoportstruktrt mindenkppen a WSUS-konzolon kell ltrehoznunk. A kiszolgloldali csoportosts elssorban munkacsoportos krnyezetben (vagyis viszonylag kevs gyflgp esetn) ajnlhat, sok szmtgp, illetve a csoportosts gyakori vltoztatsa esetn mindenkppen a csoporthzirend hasznlata a megfelel a csoporthoz tartozs, s a tbbi gyflparamter belltsra is.
268
Egyb kiszolglkomponensek
Server Cleanup Wizard (Kiszolgl karbantartsa varzsl) a varzsl segtsgvel eltvolthatjuk a kiszolglrl a zavar elemeket: a klnfle okok miatt lejrt szavatossg, mr nem hasznlt frisstseket, illetve a csatlakozsra kptelen (pldul mr rgen leselejtezett) szmtgpeket.
Reporting Rollup (Jelentsek sszestse) itt azt hatrozhatjuk meg, hogy tbb, hierarchikusan elrendezett WSUS-kiszolgl kztt milyen mdon trtnjen a jelentsek ksztshez szksges adatok ramlsa. E-mail Notifications (rtests e-mailben) itt llthatjuk be a klnfle esemnyekhez (pldul j frisstsek letltse) kapcsold e-mail rtestsekre vonatkoz paramtereket. Personalization (Szemlyre szabs) Az adatok megjelentsre vonatkoz klnfle paramtereket adhatunk meg itt.
269
Ezzel vgre is rtnk a kiszolgl legfontosabb belltsainak, a szinkronizci (vagyis a javtcsomagok letltse) utn mr csak a tesztels s a frisstcsomagok jvhagysa van htra.
Frisstsek jvhagysa
A Software Update Services szolgltatst futtat kiszolgl szinkronizlsa alkalmval letlttt frisstsek nem vlnak automatikusan hozzfrhetv azoknak a szmtgpeknek, amelyek a kiszolgln lv frisstsek fogadsra vannak belltva. Erre csak akkor kerl sor, ha a rendszergazda jvhagyja a frisstseket. gy a rendszergazdnak mdja nylik r, hogy a csomagok teleptse eltt elvgezze a szksges teszteket.
gyfloldal
1. AU-gyfl figyeli a WSUS-t: frissts rkezett! 2. Admin lpett be? Igen Az admin kapja az zenetet, s ideiglenesen negliglhatja a teleptst
Nem
3. Idztett letlts letbe lp > telepts. 4. Szksges az jraindts? Nem Igen jraindts
4.39. bra: A WSUS gyfloldali komponense a Windows-rendszerek beptett Automatic Updates szolgltatsa
270
Egyb kiszolglkomponensek
A WSUS-gyfelek belltsai
A letlttt frisstcsomagok ngy klnfle llapotban lehetnek, ezek kzl vlaszthatunk a jvhagys sorn: Approved for Install (Teleptsre jvhagyva) a frissts letltdik s telepl az gyflgpekre. Approved for Remove (Eltvoltsra jvhagyva) az adott csomag trldik az gyflgpekrl (csak akkor vlaszthat, ha a frissts tmogatja). Not Approved (Jv nem hagyott) minden frissts ebben az llapotban rkezik. Declined (Elutastva) az adott frisstsre nincs szksgnk.
A frisstsek jvhagyst elvgezhetjk kzzel (egyenknt vagy csoportosan), illetve a korbbiak szerint bellthat a letlttt frisstsek automatikus jvhagysa is. A jvhagyssal egytt szksg esetn megadhatunk egy hatridt is, ameddig az adott frisstsnek mindenkppen teleplnie kell az gyflgpeken. A kiszolgl belltsai s a csomagok jvhagysa utn mr csak az gyfeleknek kell megmondanunk, hogy j WSUS-kiszolgl kerlt a hlzatba, legyenek szvesek ezentl ezt hasznlni a Microsoft Update-kiszolglk helyett. Az AU-gyfelet a Windows 2000 SP2-tl kezdve brmelyik opercis rendszer futtathatja (termszetesen a kiszolglk is). A Windows 2000 SP2, s a Windows XP RTM (vagyis javtcsomag nlkli) vltozata azonban nem tartalmazza az gyflszoftvert, ezekre kzzel (vagy csoporthzirenddel) kell teleptennk a Microsofttl letlthet csomagot. Az gyflszoftver felhasznli felletn (Vezrlpult Automatikus frisstsek) csak egyetlen belltsi lehetsget kapunk, minden mst csak a megfelel csoporthzirend-opcik segtsgvel (vagy esetleg kzvetlen registry mdostssal) adhatunk meg. A WSUS 3.0 esetn sszesen 15 csoporthzirend-opci segtsgvel hatrozhatjuk meg az gyfelek viselkedst, a kvetkezkben ezek kzl tekintjk t a legfontosabbakat: Configure Automatic Updates (Az automatikus frissts konfigurlsa) az opci azt hatrozza meg, hogy az AU-gyfelek hogyan kapjk meg s teleptsk a frisstseket. Ez az opci rhet el a felhasznli felleten keresztl is, de ott ms bellts nlkl termszetesen csak a Microsoft Update kiszolglkrl val letltsekre vonatkozik. Ngy lehetsg kzl vlaszthatunk:
271
Notify for download and notify for install (rtestsen a frisstsek letltse eltt, s rtestsen jra a telepts megkezdse eltt) ebben az esetben a letlts, s a telepts is kzzel indtand az gyflgpen. Auto download and notify for install (Tltse le a frisstseket automatikusan, s rtestsen, amikor kszen llnak a teleptsre) ha ezt vlasztjuk, akkor mr csak a teleptshez kell az engedlyezs.
Auto download and scheduled for install (Tltse le a frisstseket automatikusan, s az albb megadott temezs szerint teleptse ket) a letlts s a telepts is automatikusan trtnik, az idztst a panel aljn llthatjuk be. Ha ebben az idpontban a gp ppen kikapcsolt llapotban van, akkor a frissts letltse s teleptse a kvetkez bejelentkezs utn fog megtrtnni. Allow local admin to choose setting (A helyi rendszergazda adja meg a belltst) A helyi rendszergazda jogosultsggal rendelkez felhasznlk maguk vlaszthatnak a fenti lehetsgek kzl.
272
Egyb kiszolglkomponensek
Specify intranet Microsoft update service location (Adja meg az intraneten tallhat Microsoft frisstsi szolgltats helyt) A WSUSkiszolgl, s a statisztikkat trol kiszolgl teljes nevt kell itt megadnunk. A statisztikkat egy webkiszolgl trolja, amelyre az automatikus frisstst vgz gyflprogram elkldi az adatokat a letlttt frisstsekrl, s azok teleptsrl. A statisztikk elkldsre a program a HTTP-protokollt hasznlja, az adatok a webkiszolgl IIS naplfjljban jelennek meg. Enable client-side targeting (gyfloldali clcsoport-meghatrozs engedlyezse) Ha az opcit engedlyezzk, meg kell adnunk azt a clcsoportot, amelyhez az gyflgp tartozni fog. Automatic Updates detection frequency (Automatikus frisstsek keressi gyakorisga) Az AU-gyfl az itt megadott idkznknt keres j frisstseket a WSUS-kiszolgln. Az alaprtelmezs 22 ra, ami nagyon j vlaszts, mivel gy azokra a szmtgpekre is sor kerl elbb-utbb, amelyek csak egy meghatrozott napszakban vannak bekapcsolva. Allow Automatic Updates immediate installation (Automatikus frisstsek azonnali teleptsnek engedlyezse) Az opci engedlyezsvel azt rhetjk el, hogy az jraindtst nem ignyl, illetve a felhasznlt semmilyen ms formban nem zavar frisstsek teleptse azonnal a letlts utn megkezddjn. No auto-restart for scheduled Automatic Updates installations (Automatikus jraindts tiltsa temezett automatikus frisstsek teleptsekor) Ha bekapcsoljuk az opcit, a program a frisstsek teleptse utn nem indtja jra a gpet, hanem rtesti a felhasznlt az jraindts szksgessgrl. Ellenkez esetben sem indul jra sz nlkl az gyflgp: a felhasznl zenetet kap, hogy az jraindts t perc mlva fog megtrtnni. Delay Restart for scheduled installations (jraindts ksleltetse temezett teleptseknl) Az opci segtsgvel azt a vrakozsi idt adhatjuk meg, ami az els temezett jraindtsi ksrlet eltt fog eltelni (alaprtelmezs szerint 5 perc). Re-prompt for restart with scheduled installations (jbli rkrdezs az jraindtsra temezett teleptseknl) Ha a felhasznl nem indtotta jra a gpet az els figyelmeztets utn, a tovbbi figyelmeztetsek kztt az itt belltott vrakozsi id lesz rvnyes (alaprtelmezs szerint 5 perc).
273
Reschedule Automatic Updates scheduled installations (Automatikus frisstsek temezett frisstseinek ttemezse) Az opci rtke 160-ig (percben) llthat, a szmtgp bekapcsolsa utn ennyivel fog megkezddni a hinyz javtcsomagok letltse s teleptse. Allow non-administrators to receive update notifications (Ne csak a rendszergazdk kapjanak frisstsi rtestst) Ha az opcit engedlyezzk, valamennyi bejelentkezett felhasznl megkapja a frisstsek letltsrl s teleptsrl szl rtestseket.
A WSUS-belltsok terjesztsre hrom klnbz megolds kzl vlaszthatunk (a csoporthzirend hasznlatnak rszleteirl a kvetkez fejezetben lesz sz): A leend WSUS-gyfelek szmtgpfikjainak kln szervezeti egysgeket (Organizational Unit, OU) ksztnk, s kln GPO-kkal csak ezekhez rendeljk hozz a WSUS belltsait. Nem ksztnk kln OU-t, hanem az WSUS GPO-kat a meglev szervezeti egysgek kzl rendeljk hozz a megfelelkhz. Ha azt szeretnnk, hogy a tartomny sszes szmtgpe rszesljn a WSUS ldsaibl, mdosthatjuk akr a Default Domain Policyt is.
Jelentsek
A WSUS-kiszolgl jelentseinek segtsgvel mindenre kiterjed informcit kaphatunk a rendszer mkdsrl, lekrdezhetjk az egyes gyflgpek vagy frisstsek llapott, a szinkronizcival kapcsolatos esemnyeket, illetve sszefoglal jelentst krhetnk a kiszolgl valamennyi belltsrl is. Nagyon ltvnyos s rszletes jelentst kszthetnk az elzetesen megadhat szmos belltsi, szrsi paramternek megfelelen, az eredmnyt pedig akr Excel-, vagy pdf-formtumban is elmenthetjk, illetve termszetesen a kzvetlen nyomtatsra is lehetsg van.
274
TDIK FEJEZET
Tartomnyi krnyezet
A fejezet tartalma:
Mire j a cmtr? ............................................................................................... 276 Az Active Directory-cmtrszolgltats alapjai .............................................. 279 A DNS-szolgltats ........................................................................................... 294 Az Active Directory teleptse .......................................................................... 309 Tipikus cmtrobjektumok ............................................................................... 312 A cmtr mentse s visszalltsa .................................................................. 319 A csoporthzirend ............................................................................................. 322 A replikci s a telephelyek ............................................................................ 331 A tartomny koncepci s az ehhez kapcsold Active Directory cmtrszolgltats a legtbb szervezet esetn az informatikai rendszer legfontosabb alkoteleme. A cmtr trolja a hlzat valamennyi objektumnak s szmos erforrsnak adatait, s ezeket egysges, jl kezelhet formban elrhetv teszi a felhasznlk s a rendszergazdk szmra, gy biztostja a hlzat hasznlathoz s felgyelethez szksges infrastruktrt. Ebben a fejezetben teht az Active Directory, s a hozz kapcsold szolgltatsok, felgyeleti eszkzk hasznlatval kapcsolatos tudnivalkrl lesz sz. A kvetkez tmakrkkel fogunk foglalkozni: Mire j a cmtr? ttekintjk milyen szolgltatsokat nyjt a cmtr, s milyen gyakorlati haszonnal jr bevezetse a felhasznlk s a rendszergazdk szmra. Az Active Directory cmtrszolgltats alapjai Megismerkednk a cmtr felptsvel, alkotrszeivel s az zemeltetshez, felgyelethez szksges legfontosabb eszkzkkel. A DNS-szolgltats ttekintjk az Active Directory mkdshez nlklzhetetlen DNS-szolgltatssal kapcsolatos alapismereteket.
Tartomnyi krnyezet
Az Active Directory teleptse Az alapismeretek utn teleptjk a cmtrszolgltatst, sorra vesszk a teleptprogram ltal elvgzett mveleteket s a hibalehetsgeket. Tipikus cmtrobjektumok A felteleptett cmtrszolgltatst meg kell tltennk tartalommal, vagyis ltre kell hoznunk a hlzatunk elemeit reprezentl objektumokat. Ebben a rszben a leggyakrabban elfordul objektumtpusokkal kapcsolatos tudnivalkat tekintjk t. A cmtr mentse s visszalltsa Mire idig jutunk, mr meglehetsen sok munknk fekszik a cmtrstruktra kialaktsban, gy gondoskodnunk kell a rendszeres mentsrl. A csoporthzirend A csoporthzirend az Active Directory kiegszt (de rendkvl fontos) komponense. Segtsgvel megvalsthat az gyflgpek, kiszolglk s felhasznlk tmeges felgyelete, vagyis az egyetlen helyen meghatrozott belltsok valamennyi kivlasztott szmtgpen, illetve felhasznln rvnyeslni fognak. Ebben a rszben bemutatjuk a csoporthzirend mkdsre s kezelsre vonatkoz alapvet tudnivalkat. A replikci s a telephelyek Ebben a rszben megismerkednk az Active Directory tartomnyvezrli kztt vgbemen adatbzis szinkronizci, vagyis a replikci mkdsvel, s megtrgyaljuk a telephely struktra kialaktsval kapcsolatos ismereteket.
Mire j a cmtr?
Ha definilni szeretnnk a cmtr fogalmt, akkor egyszeren mondhatjuk gy: a cmtr egy olyan adatbzis, ami kpes a hlzat valamennyi erforrsnak azonostsra, s hierarchikus rendszerben val trolsra. Kiegszthetjk a defincit mg azzal is, hogy az azonosts s trols mellett a hlzat fizikai felptst s protokolljait tlthatv teszi, gy a hlzat erre feljogostott felhasznli elrhetik a hlzat erforrsait anlkl, hogy tudnk, hol tallhatak azok valjban, vagy hogyan kapcsoldnak egymshoz fizikailag. Ez a meghatrozs persze nemcsak a Windows Server 2003 cmtrszolgltatsra az Active Directoryra, hanem brmilyen ms cmtrra is igaz. Ez eddig rendben is van, de vajon mgis mire j a cmtr a gyakorlatban, mennyiben teszi knnyebb a felhasznlk s az zemeltetk lett? Mit fog ltni (s hasznlni) a cmtrbl a gpe eltt l felhasznl, s mit a rendszergazda, akinek a bevezetstl kezdve ezzel az jabb technolgival is nap mint nap birkznia kell?
276
Mire j a cmtr?
Nos, a felhasznl azt fogja tapasztalni, hogy a korbbinl sokkal ritkbban ltja a rendszergazdt, a gpe magtl tud mindent, a munkakrnyezete szpen szrevtlenl, de folyamatosan alkalmazkodik az ignyeihez. Ha j programot kell hasznlnia, akkor az feltelepl a gpre, az Asztaln pedig megjelennek az j parancsikonok. Ha j gpet kap, vagy tmenetileg t kell lnie egy kollga gphez, akkor nemcsak hogy minden tovbbi nlkl be tud jelentkezni a megszokott felhasznlnevvel s jelszavval, de a dokumentumai, parancsikonjai, levelei s nyomtati is mind a helykn lesznek. A felhasznlk teht szabadon (de ellenrztten) vndorolhatnak a gpek kztt, a megszokott krnyezetk rnykknt kveti ket. A rendszergazda viszont majdnem mindent elintzhet a sajt szobjban, a sajt gpe eltt lve. Kis tlzssal azt mondhatjuk, hogy egy jl felptett tartomnyi hlzatban a rendszergazda csak akkor ltja a felhasznlk gpeit, ha csavarhzt is kell magval vinnie, minden ms problma megoldhat tvolrl is. St, tvolrl s csoportosan, vagyis a klnbz belltsokat nem kell egyesvel megadni a gpeken, minden mvelet a gpek elre definilt csoportjaira vonatkozhat. gy lehetsgess vlik az, hogy a biztonsgi belltsok s a jogosultsgok kiosztsa mindentt egyformn s kvetkezetesen rvnyesljn, vagyis felhasznlk jogosultsgai (sajt szmtgpkn s a hlzaton is) pontosan megfeleljenek annak az elvnek, hogy mindenki csak annyi jogosultsggal rendelkezzen, amennyire felttlenl szksge van egy adott feladat elltshoz. A cmtr teht megadja a rendszergazda szmra azt a lehetsget, hogy a kzpontilag elrhat belltsok s korltozsok rvn garantlhassa a rendszer s az egyes gpek folyamatos mkdkpessgt s biztonsgt. Ez persze a felhasznlk szmra bizonyos korltozsokkal jr, de egy nagyobb hlzat folyamatos mkdkpessgnek fenntartsa rdekben erre mindenkppen szksg van. Mr tz szmtgp esetben is meglehetsen lehangol feladat, ha minden egyes gpen ltre kell hoznunk egy j felhasznli fikot. Ha az j felhasznlnak mg jogokat is kell adnunk a fjlrendszerben, akkor mr itt is van a dlutn t ra. Msnap pedig elgondolkodunk rajta, hogy taln mgis j lenne, ha mindenki a user felhasznlnvvel jelentkezne be valamennyi gpre, a jelszt pedig esetleg kitehetnnk a falijsgra Active Directory krnyezetben nincsen szksg arra, hogy az j felhasznli fikot vagy csoportot minden egyes gpen kln ltrehozzuk, a cmtr ltal trolt egyetlen felhasznli fik tulajdonosa valamennyi (a tartomnyhoz tartoz) szmtgpen bejelentkezhet, a csoportok pedig jogosultsgokat kaphatnak a hlzati s a helyi erforrsok elrshez is, s vltozs esetn is csak ezt az egy objektumot kell mdostanunk rtelemszeren egyetlen helyen. Msrszt, amibl vrhatan sok van egy hlzatban (szmtgpek, nyomtatk, felhasznli profilok stb.), azt a csoporthzirend segtsgvel egyszerre rhetjk el, tulajdonsgaik, belltsaik egyetlen mozdulattal mdosthatk.
277
Tartomnyi krnyezet
Az Active Directory teht az albbi szolgltatsokat nyjtja hlzatunk mindennapi zemeltetshez: Biztostja a szervezet mkdshez szksges objektumok s a hlzat publiklt erforrsainak (felhasznli fikok, csoportok, erforrs-objektumok, jogosultsgok, fjlok s megosztsok, perifrik, gp kapcsolatok, adatbzisok, szolgltatsok stb.) egy helyen trtn nyilvntartsi lehetsgt. Az Active Directory a hlzat objektumait egysges s jl kereshet formtumban trolja, gy azok knnyen elrhetek mind a felhasznlk, mind pedig a rendszergazdk szmra. Lehetv teszi a fent emltett hlzati erforrsok kezelst, ltrehozst, trlst, tulajdonsgaik belltst. Lehetv teszi a centralizlt, vagy ppen a decentralizlt felgyeletet s az engedlyek deleglst. Cskkenti, optimalizlja a hlzati forgalmat, s szmos klnbz erforrshoz (megosztott mappk, nyomtatk, levelezs stb.) egyetlen felhasznlnv, jelsz megadsval biztost hozzfrst (Single Sign On, SSO). A felgyeleti rendszer alapjt kpez, rendkvl sszetett lehetsgekkel rendelkez csoporthzirend megolds megknnyti a legbonyolultabb hlzat felgyelett is. Az Active Directory-cmtrnak igen fontos szerepe van ms technolgik hasznlatval kapcsolatban is, tbbek kztt nincs nlkle Exchange, s jelents szerepet kap pldul az RRAS, az ISA Server, a Certificate Services s mg sok ms kiszolgl komponens letben is.
Az Active Directory alapjul egy JET (Joint Engine Technology) adatbzismotort felhasznl ESE (Extensible Storage Engine) adatbzis szmos j tulajdonsggal s kpessggel kiegsztett vltozata szolgl. Az adatbzisban egyszeren megtallhatk elrhetk s elolvashatk a trolt adatok, s az Active Directory hierarchia s hozzfrsi modellje segtsgvel igen rszletesen szablyozhat az egyes elemekhez, vagyis a hlzat erforrsaihoz val hozzfrs. Termszetesen a hlzat elemei alatt itt nemcsak a tartomnyvezrlkn, vagy kiszolgl szmtgpeken, hanem magukon az gyflgpeken elrhet erforrsokat is rtjk, a hozzfrsi jogok szablyozsa ezekre is kiterjedhet. Az Active Directory szorosan integrldik a Windows-rendszerek biztonsgi modelljbe, a felhasznlazonostssal s hozzfrs-vezrlssel kapcsolatos feladatok legnagyobb rszt tveszi az gyflgpektl. Ugyancsak az Active Directory vgzi a felhasznlk azonostst szmos kiszolgl-alkal278
mazs esetben is, pldul az SQL Server, az Exchange s az IIS is az Active Directory segtsgvel tartja nyilvn a felhasznlkat, azok tulajdonsgait s jogosultsgait. Az Active Directory beptett biztonsgi szolgltatsa kt alapvet rszbl ll: elvgzi a bejelentkezsi azonostst (ezzel sszefggsben trolja s vdi az azonostkat), illetve szablyozza az egyes objektumokhoz val hozzfrst. Az zemeltetk egyetlen bejelentkezssel kezelhetik a cmtr adatait a teljes hlzaton, a megfelelen hitelestett felhasznlk pedig a hlzat brmelyik pontjbl hozzfrhetnek az engedlyezett erforrsokhoz.
279
Tartomnyi krnyezet
Fa (Tree) Ha az erd tbb tartomnya sszefgg DNS-tartomnyneveket hasznl, vagyis egyms gyermek, illetve szltartomnyai, akkor a struktrt tartomnyfnak nevezzk. Tartomny (Domain) A tartomny az Active Directory alapvet szervezeti s biztonsgi egysge. A tartomny olyan gyfelek, kiszolglk s egyb hlzati erforrsok gyjtemnye, amelyek kzs cmtradatbzist alkotnak, s egyben a replikci alapegysgt kpezik. Egy adott tartomny minden tartomnyvezrlje fogad mdostsokat, s azokat a tar-
280
tomny tbbi tartomnyvezrljre repliklja. Az Active Directory-cmtrban minden tartomnyt egy-egy DNS-tartomnynv azonost, s minden tartomny legalbb egy tartomnyvezrlt tesz szksgess. Szervezeti egysg (Organizational Unit, OU) A szervezeti egysgek az Active Directory-objektumtroli, amelyekbe felhasznlk, csoportok, szmtgp-objektumok, illetve ms szervezeti egysgek helyezhetk. A szervezeti egysgek rendkvl fontos szerepet jtszanak a csoporthzirend rvnyestsvel s a felgyeleti jogok deleglsval kapcsolatban is. A szervezeti egysgek hasznlatval a tartomnyon belli hierarchia pontosan megfelelhet az adott szervezet hierarchikus felptsnek.
Br az tlagos magyarorszgi vllalatok mretei miatt csak viszonylag ritkn lehet szksg egynl tbb tartomnybl ll hlzat ltrehozsra, a fenti fogalmak ismerett mgsem kerlhetjk el, mivel egyetlen tartomnyunk is minden esetben a tartomnyfa rsze, az egyetlen fa pedig biztosan egy erdhz tartozik. Ebbl kvetkezik, hogy br mindennapi feladataink sorn tbbnyire csak szervezeti egysgekkel s az egyetlen tartomnnyal tallkozunk, pldul az Active Directory-szolgltats teleptsekor mindenkppen vlaszolnunk kell az erdre s a tartomnyfra vonatkoz krdsekre is.
281
Tartomnyi krnyezet
A multimaster replikci gynevezett laza konzisztencit tart fenn a cmtron bell, ami azt jelenti, hogy az egyes pldnyok brmikor tartalmazhatnak ugyan ideiglenes, a teljesen konzisztens llapotnak nem megfelel adatot, de a konfliktusok a replikci sorn elbb-utbb valamilyen mdon biztosan felolddnak.
Cmtrpartcik
A partci az Active Directory egy sszefgg rszfja, amely egy egysgknt replikldik az erd ms, ugyanennek a rszfnak egy-egy replikjt magukban foglal tartomnyvezrli szmra. Az Active Directoryban minden tartomnyvezrl egyenknt legalbb a kvetkez hrom cmtrpartcival rendelkezik:
Smaadatok (minden objektum s tulajdonsg formlis lersa) A cmtr topolgija (tartomny, fa, erd, DC / GC-lista) Felhasznl / gp fikok, csoportok, e-mail cmek adatai Alkalmazsadatok (opcionlis)
Minden DC s GC Sma
Alkalmazsadatok
Sma partci (Schema Partition) A sma partci az osztly- s attribtum-defincikat, vagyis az objektumok s tulajdonsgok formlis lerst trolja. A partci minden tartomnyvezrln s minden globlis katalgusban megtallhat. Az Active Directory sma az egsz erdre vonatkozan megegyezik. Konfigurcis partci (Configuration Partition) Ez a partci a cmtr topolgijra vonatkoz adatokat trolja. Megtallhatk benne a tartomnyokra, a fkra s az erdre vonatkoz informcik, valamint itt troldik a replikcis topolgia, s az ehhez kapcsold metaadatok is. A konfigurcis adatok az egsz erdre vonatkoznak, s megtallhatk az erd valamennyi tartomnyvezrljn.
282
Tartomny partci (Domain Partition) itt tallhatjuk meg a felhasznlkra, szmtgpekre, csoportokra s egyb tartomny szint objektumokra vonatkoz adatokat. A partci az adott tartomny minden tartomnyvezrljn megtallhat. Alkalmazs partci (Application Partition) a Windows Server 2003 rendszert futtat tartomnyvezrlk a fentieken kvl egy vagy tbb alkalmazs-cmtri partcit is trolhatnak.
Tartomnyi krnyezet
Feladatai kz tartozik mg a tartomny sszes tartomnyvezrlje ltal mutatott id automatikus szinkronizlsa a Windows Time szolgltats segtsgvel.
Erdszint szerep
Tartomnyszint szerep
tartomnyban
PDC emulator PDC Emulator RID master RID Master Infrastructure master Infrastructure Master
Tartomny-szerep
5.3. bra: Az erd els tartomnyvezrlje kapja az erd szint, az egyes tartomnyok els tartomnyvezrli pedig a tartomnyszint szerepeket
Infrastruktra-fkiszolgl (Infrastructure Master) Szintn tartomnyszint mveleti fkiszolgl szerepkr, amelybl szintn egy lehet a tartomnyon bell, de csak akkor van r szksg, ha a hlzat tbb tartomnybl ll. Feladata a sajt tartomnynak objektumai s a tbbi tartomnyban tallhat objektumok kztti hivatkozsok frisstse. Amennyiben nem rhet el, a tartomnyon bell nem vesznk szre vltozst, azonban a tbbi tartomnnyal val kapcsolattarts sorn frisstsi problmk keletkeznek. Tartomnynv-nyilvntartsi fkiszolgl (Domain Naming Master) Erdszint mveleti-fkiszolgl szerepkr, amelybl az erdben kizrlag egy lehet. A specilis szereppel br tartomnyvezrl szablyozza az erdben a tartomnyok hozzadst s trlst. A tartomnyfkkal kapcsolatos vltoztatsok nem hajtdnak vgre, ha a szerepet megvalst tartomnyvezrl nem rhet el.
284
Sma-fkiszolgl (Schema Master) Erdszint mveleti-fkiszolgl szerepkr, kzpontostva vgzi el a sma sszes frisstst s mdostst. Amennyiben az erd smjt frissteni kvnjuk, hozzfrsi joggal kell rendelkeznnk a sma-fkiszolglhoz. Az elz szerephez hasonlan sma-fkiszolglbl is csak egy lehet az erdben, s szintn nem vesszk szre a hinyt, egszen addig, amg nem kerl sor a sma frisstsre, vagy bvtsre.
Az erd els tartomnyvezrljnek (ez egyben az elsknt ltrehozott tartomny els tartomnyvezrlje is) teleptsekor valamennyi erd s tartomny szint szerepkr erre a kiszolglra kerl, de ksbb ha mr tbb tartomnyvezrlnk is van , az egyes szerepeket tetszs szerint brhov thelyezhetjk. Ha egy adott szerepkrt megvalst tartomnyvezrlt lefokozunk, illetve eltvoltunk a tartomnybl, akkor az adott szerepkr thelyezsrl (lehetleg mg akkor, amikor a rgi kiszolgl is elrhet) mindenkppen gondoskodnunk kell. A tartomnyszint szerepkrk (RID Master, PDC Emulator, Infrastructure Master) thelyezsre az Active Directory Users and Computers (Active Directory felhasznlk s szmtgpek) konzol hasznlhat, a Domain Naming Master szerepkrt az Active Directory Domains and Trusts (Active Directory tartomnyok s bizalmi kapcsolatok), a Schema Master szerepet pedig az Active Directory Schema (Active Directory Sma) MMC-modul hasznlatval adhatjuk t msik tartomnyvezrlnek.
A sma
A sma az Active Directory-adatbzis szerkezete, vagyis a cmtrban trolhat objektumok definciinak sszessge. A sma minden egyes objektumosztly szmra meghatrozza a ktelez s lehetsges attribtumok krt, valamint a szlknt megadhat objektumosztlyokat. Az alapsma (vagy alaprtelmezett sma) rengeteg objektumosztlyt s attribtumot tartalmaz, gy a legtbb esetben nincs szksg ennek mdostsra. Szmtalan klnbz adatot tartalmazhat pldul minden egyes felhasznl objektum, a mkdssel kapcsolatos belltsok mellett (pl. login szkript, csoporttagsg, dial-up engedlyek stb.) informlis adatok tucatjait is trolhatjuk (cm, telefonszm, iroda, orszg, cg adatai stb.). Ha azonban olyan adatokat is trolni szeretnnk a cmtrban, ami nem fr bele az alapsmba, akkor lehetsg van a meglv osztlyok s attribtumok mdostsra, illetve jak hozzadsra is. Alaposan meg kell azonban fontolnunk minden mdostst, mert a megvltozott sma kslekeds nlkl replikldik az erd valamennyi tartomnyvezrljre, vagyis a mvelet minden esetben a teljes hlzatot rinti. Radsul a mdostsok visszavonsra
285
Tartomnyi krnyezet
egyltaln nincs lehetsg, a smbl semmi nem trlhet (csak a deaktivls lehetsges), hiszen a sma alapjn ltrehozott objektumokban l hivatkozsok lehetnek a trlni kvnt elemekre.
Jelents smabvtst hajt vgre pldul az Exchange Server teleptje, mivel az Exchange a felhasznlk nyilvntartsval s azonostsval kapcsolatos feladatait teljes egszben az Active Directoryra bzza. Minden ltrehozott cmtrobjektum a smban trolt objektumosztly egy pldnya. Az objektumosztlyok tartalmazzk a hozzjuk tartoz attribtumok listjt, ami meghatrozza az objektumokban trolhat adatokat. Az osztlyok s attribtumok egymstl fggetlenek, ezrt egy attribtum tbb osztlyhoz is trsthat.
286
Globlis katalgus
5.5. bra: A globlis katalgus az erd sszes tartomnynak valamennyi objektumrl tud valamit
A globlis katalgusban lv rszleges msolatok azokat az attribtumokat tartalmazzk, amelyek gyakran elfordulnak a felhasznli keressekben. A globlis katalgusba bekerl attribtumok krt a sma hatrozza meg, a kivlasztottak meg vannak jellve az objektumosztlyban. A globlis katalgusban trtn objektumtrols segtsgvel a felhasznlk gyorsan s hatkonyan tudnak keresni a cmtrban anlkl, hogy a tartomnyvezrlk kztti kommunikci terheln a hlzatot.
Az egyedi fkiszolgl-mveletek s a globlis katalgus szerepkr Ebben a screencastban megismerkednk az egyedi-fkiszolgl szerepkrk s a globlis katalgus szerepkr msik kiszolglra val thelyezsnek mdszervel, s kiprblunk kt parancssori eszkzt, amelyek a tartomnyvezrlk mkdsnek ellenrzsre hasznlhatk. Fjlnv: II-2-1a-FSMO.avi
287
Tartomnyi krnyezet
A tartomnyok mkdsi szintjei a teljes tartomnyban, s csakis az adott tartomnyban elrhet szolgltatsokat befolysoljk. A tartomnyokhoz ngy mkdsi szint ll rendelkezsre: Windows 2000 vegyes, Windows 2000 natv, Windows Server 2003 tmeneti s Windows Server 2003. A teleptskor ltrejv tartomny alaprtelmezett mkdsi szintje Windows 2000 natv. Az albbi tblzat a tartomnyi mkdsi szinteket s az azokhoz hasznlhat tartomnyvezrlket sorolja fel. Tartomny mkdsi szintje Windows 2000 vegyes Tmogatott tartomnyvezrlk Windows NT 4.0 Windows 2000 Windows Server 2003 termkcsald Windows 2000 Windows Server 2003 termkcsald Windows NT 4.0 Windows Server 2003 termkcsald Windows Server 2003 csald
Windows 2000 natv Windows Server 2003 tmeneti Windows Server 2003
A mkdsi szint ellptetst kveten a korbbi opercis rendszereket futtat tartomnyvezrlket nem lehet a tartomnyba belptetni. Ha pldul a tartomny mkdsi szintjt ellptetjk a Windows Server 2003 szintre, Windows 2000 Servert futtat kiszolglkat tartomnyvezrlknt mr nem lehet hozzadni a tartomnyhoz. Termszetesen tovbbra is belptethet a tartomnyba a Windows 2000 Server, brmifle funkcit ellthat, csak tartomnyvezrl nem lehet tbb. Az erdk mkdsi szintjnek belltsval az erd sszes tartomnyn engedlyezhetk szolgltatsok. Az erdkhz hrom mkdsi szint ll rendelkezsre: Windows 2000, tmeneti Windows Server 2003 s Windows Server 2003. Alaprtelmezs szerint az erdk Windows 2000 szinten mkdnek, s ezt Windows Server 2003 szintre lehet ellptetni. Az albbi tblzat az erdk egyes mkdsi szintjeit s az azokhoz hasznlhat tartomnyvezrlket sorolja fel. Erd mkdsi szintje Windows 2000 Tmogatott tartomnyvezrlk Windows NT 4.0 Windows 2000 Windows Server 2003 termkcsald
288
Erd mkdsi szintje Windows Server 2003 tmeneti Windows Server 2003
Tmogatott tartomnyvezrlk Windows NT 4.0 Windows Server 2003 termkcsald Windows Server 2003 csald
Az erd mkdsi szintjnek ellptetst kveten, a korbbi opercis rendszereket futtat szmtgpeket tartomnyvezrlknt nem lehet az erdbe belptetni. Ha pldul az erd mkdsi szintjt ellptetjk a Windows Server 2003 szintre, Windows 2000 Server rendszert futtat tartomnyvezrlket mr nem lehet hozzadni az erdhz. A mkdsi szint emelse tbb elnnyel is jr, pldul gy tehetjk lehetv bizonyos erd- vagy tartomnyszint j szolgltatsok, megoldsok hasznlatt (univerzlis csoportok stb.), s az R2 bizonyos szolgltatsai is csak magasabb mkdsi szinteken hasznlhatk.
Mentett lekrdezsek s a tartomny, illetve erd mkdsi szintjnek emelse Ebben a videban megmutatjuk az Active Directory-objektumok kztti keresst s csoportostst lehetv tev Mentett lekrdezseket (Saved Queries), illetve megemeljk tartomnyunk, illetve erdnk mkdsi szintjt. Fjlnv: II-2-1b-Saved-Queries.avi
Fizikai trols
Br szerencsre nehezen kpzelhet el olyan helyzet, amikor az Active Directoryt trol fjlokkal kzvetlen kapcsolatba kell kerlnnk, nem rthat, ha mgis megismerkednk az egyes fjlok funkciival s az ltaluk trolt adatok jellegvel. Valamennyi fjl a %systemroot%\NTDS-mappban tallhat. Ntds.dit a legfontosabb fjl az ntds.dit, ami magt az Active Directory-adatbzist trolja. A dit kiterjeszts a directory information tree kifejezsre utal. Edb.log a fjlban a tranzakcinapl tallhat, amelynek tartalma azonnal kveti a cmtr minden vltozst. A vltozsok aztn ksbb, a megfelel pillanatban tkerlnek vgleges helykre, az ntds.dit-be. A fjl maximlis mrete 10 MB.
289
Tartomnyi krnyezet
Edbxxxxx.log ezek a fjlok akkor jnnek ltre, ha az Edb.log tllpi az emltett 10 MB-os mrethatrt. Ebben az esetben az aktv tranzakcinapl ebbe a fjlba kltzik. A 10 MB mretkorlt termszetesen ezekre az llomnyokra is rvnyes. Edb.chk a fjl a cmtrba mg be nem kerlt adatok helyzetnek jelzje. Res1.log s Res2.log ezek a fjlok semmifle hasznos adatot nem tartalmaznak, egyszeren ktszer 10 MB helyet foglalnak a ksbb esetleg ltrejv tranzakcinapl-llomnyok szmra. Temp.edb a fjl, amint a nevbl is ltszik, ideiglenes adatokat trol a tranzakcikrl. tmenetileg ide kerlnek az ntds.dit tmrtse kzben eltroland adatok is.
A SYSVOL-mappa
A cmtrszolgltats fontos eleme a valamennyi tartomnyvezrln megtallhat SYSVOL nev megosztott mappa. A mappa tartalmazza azokat az elemeket (fjlokat), amelyek az Active Directory-szolgltatsokhoz kapcsoldnak ugyan, de mgsem trolhatk a cmtradatbzisban. Itt tallhatjuk meg azokat a fjlokat, amelyeket az gyflrendszerek indts, illetve bejelentkezs kzben letltenek a tartomnyvezrlrl, itt troldnak pldul a csoporthzirend fjlok s sablonok (Policies mappa), valamint a bejelentkezsi szkriptek (a scripts mappban, ami a NETLOGON megosztson keresztl rhet el az gyfelek szmra) stb. A megosztott mappa ltrehozst s az engedlyek belltst az Active Directory teleptprogramja automatikusan elvgzi. A SYSVOL-mappa tartalmt a File Replication Service (FRS) komponens rendszeresen szinkronizlja a tartomnyvezrlk kztt, gy brmelyik tartomnyvezrln is vgezzk el a szksges mdostsokat, a megfelel fjlok rvid idn bell a tbbi pldnyban is megjelennek.
Kezels s eszkzk
A kvetkezkben megismerkednk az Active Directory felgyeleti eszkzeivel, sorra vesszk azokat a grafikus fellettel rendelkez s parancssori eszkzket, amelyekkel elrhetjk a cmtrban trolt objektumokat, illetve megadhatjuk az Active Directory mkdsvel kapcsolatos egyb paramtereket. A grafikus fellettel felszerelt eszkzk mindegyike MMC-konzol, s (majdnem) valamennyit a Start men Administrative Tools (Felgyeleti eszkzk) mappjbl indthatjuk el:
290
A leggyakrabban hasznlt konzol Active Directory Users and Computers (Active Directory felhasznlk s szmtgpek) nvre hallgat. Segtsgvel kezelhetjk a cmtr objektumait, felhasznli s szmtgpfikokat, csoportokat, szervezeti egysgeket, megosztott mappkat s nyomtatkat hozhatunk ltre, illetve bellthatjuk ezek tulajdonsgait. Ugyancsak ezt a konzolt hasznlhatjuk a tartomny szint egyedi fkiszolgli-mveleteket (FSMO) vgz szmtgpek megadsra (RID Master, PDC Emulator, Infrastructure Master), a felgyeleti jogok deleglsra s a tartomny mkdsi szintjnek megvltoztatsra is. A felgyeleti jogok deleglsa azt jelenti, hogy tetszleges felhasznlnak, vagy biztonsgi csoportnak jogosultsgot adhatunk brmely Active Directory-troln (jellemzen szervezeti egysgen) bell meghatrozott felgyeleti jogok gyakorlsra. A felgyeleti jog jelentheti pldul a felhasznli fikok ltrehozsnak, szmtgpfik hozzadsnak, vagy a csoporttagsg mdostsnak lehetsgt, a jogosultsgi kr igen rszletesen meghatrozhat. Ilyen mdon, a szervezeten bell kis rendszergazdkat hozhatunk ltre, akik rendelkeznek a rendszergazda bizonyos jogosultsgaival, de ez csak szigoran meghatrozott mveletekre, s az objektumok pontosan meghatrozott krre vonatkozik.
291
Tartomnyi krnyezet
Az Active Directory Sites and Services (Active Directory helyek s szolgltatsok) a telephelyek kialaktsra s a tartomnyvezrlk kztti replikci belltsra szolgl (lsd ksbb). Ugyancsak ezzel az eszkzzel jellhetjk ki azokat a tartomnyvezrlket, amelyek a globlis katalgus szerepkrt fogjk tartalmazni. Az Active Directory Domains and Trusts (Active Directory-tartomnyok s bizalmi kapcsolatok) konzol, amint a nevbl sejthet, a tartomnyok kztti bizalmi kapcsolatok (trust relationship) kezelsre szolgl. A bizalmi kapcsolat a tartomnyok kztti olyan kapcsolat, amely lehetv teszi, hogy valamely tartomny felhasznlit egy msik tartomny vezrlje hitelestse. A Windows 2000 s a Windows Server 2003 erd tartomnyai kztti bizalmi kapcsolatok mindig tranzitvak s ktirnyak, gy a bizalmi kapcsolatokban mindkt tartomny megbzhatnak minsl. Ezzel a konzollal lehet tovbb a tartomnynvnyilvntartsi fkiszolgl (Domain Naming Master) szerepet megvalst kiszolglt kijellni. Az Active Directory Schema (Active Directory Sma) bepl-modul a sma kezelsre szolgl, s ennek segtsgvel mozgathatjuk msik tartomnyvezrlre a Schema Master szerepet is. A szerep j szmtgpre val thelyezsre pldul az eredeti Schema Master meghibsodskor, vagy cserjekor lehet szksg. A konzol indtsa azonban nem olyan egyszer, mint a korbbi eszkzk, mivel a modul nincs regisztrlva, gy ksz parancsikont sem kapunk hozz. A regisztrlshoz a kvetkez parancsot kell kiadnunk:
C:\>regsvr32 schmmgmt.dll
Ezutn nyissunk egy res MMC-konzolt s a File (Fjl) menben vlasszuk az Add/Remove Snap-in (Bepl modul hozzadsa/eltvoltsa), pontot, majd kattintsunk az Add (Hozzads) gombra. A listban jelljk ki az Active Directory Schema sort, majd nyomjunk nhny OK-t. A konzolt tetszs szerinti nven elmenthetjk, s termszetesen parancsikont is kszthetnk hozz.
A fenti konzolokon kvl az Active Directory-objektumainak kezelshez szmos parancssori segdprogram is hasznlhat, a kvetkezkben ezeket fogjuk ttekinteni. DSadd felhasznlt, csoportot, szmtgpet, kapcsolattartt s szervezeti egysget adhatunk segtsgvel az Active Directoryhoz.
292
DSmod a megadott tpus cmtrobjektum mdostsra hasznlhat. Az objektum tpusa a kvetkez lehet: felhasznl, csoport, szmtgp, kiszolgl, kapcsolattart s szervezeti egysg. DSquery a megadott keressi felttelek alapjn kereshetjk s lekrdezhetjk a cmtrobjektumokat. ltalnos zemmdban brmilyen tpus objektum, specilis zemmdban pedig a kivlasztott objektumtpusok lekrdezsre hasznlhat. DSmove a parancs segtsgvel objektumokat nevezhetnk t, illetve thelyezhetjk ket az adott tartomnyvezrl msik helyre. DSrm a megadott tpus objektumot tvolt el az Active Directorybl. DSget az Active Directory megadott objektumtpusainak kivlasztott attribtumait jelenti meg. CSVDE a program nevbl (Comma Separated Values Directory Export, vesszvel elvlasztott cmtrexport) is kitallhat, hogy az a kzismert csv, vagyis vesszvel elvlasztott rtkekbl ll fjlformtummal dolgozik. A cmtr adatait ilyen fjlokban exportlhatjuk, illetve megfelel tartalm csv fjl esetn importlhatjuk is azt a cmtrba. A csv formtum kivlan hasznlhat, ha az adatokon valamifle utfeldol-
293
Tartomnyi krnyezet
gozst, mdostst szeretnnk vgezni, a fjl akr Excel segtsgvel is megnyithat s mdosthat. LDIFDE a program segtsgvel j cmtrobjektumokat hozhatunk ltre, illetve mdosthatjuk, trlhetjk a meglvket. Az LDIFDE segtsgvel bvthet a sma, az Active Directory-felhasznl- s csoportadatai exportlhatk ms alkalmazsokba vagy szolgltatsokba, illetve az Active Directory feltlthet ms cmtrszolgltats adataival. Az LDIFDE specilis szvegfjlformtummal dolgozik, amelyben az adatok mellett utastsok is szerepelhetnek. Az LDIF-formtum az LDAP-cmtrak kztti replikci szabvnya, gy segtsgvel brmilyen mvelet elvgezhet. Ntdsutil a program az Active Directory-adatbzisnak karbantartsra s alkalmazspartcik ltrehozsra hasznlhat. A program segtsgvel van lehetsg a hlzatrl nem megfelelen eltvoltott (meghibsodott, ablakon kidobott stb.) tartomnyvezrlkn maradt egyedi fkiszolglmveletek erszakos tadsra. Az ntdsutil tbbszint parancsrendszerrel rendelkezik. Minden szinten hasznlhat a help parancs, amely az aktulisan kiadhat utastsokrl ad tjkoztatst. Ugyancsak az ntdsutilprogramot hasznlhatjuk a cmtradatok autoritatv (mrvad) visszalltshoz s a cmtr-visszalltsi jelsz belltshoz. A cmtradatok viszszalltsval s a DSRM-zemmddal A cmtr mentse s visszalltsa szakaszban rszletesen is foglalkozunk.
A DNS-szolgltats
Ha Active Directoryt szeretnnk, akkor a DNS-szolgltats hasznlata nem opcionlis, a gpek kztti egyszer nvfelolds, s az Active Directory mkdshez nlklzhetetlen szolgltatsok azonostsa is a DNS-adatokon alapul. A Windows tartomny nevnek radsul minden esetben meg kell egyeznie a hozz tartoz DNS-tartomny nevvel, vagyis a kt klnll nvtr szoros szimbizisban ltezik. Fontos tisztznunk, hogy az azonos nv ellenre a DNS-tartomnyok s az Active Directory-tartomnyok szerepe alapveten eltr egymstl. Br a kt nvtr azonos tartomnystruktrt hasznl, a trolt adatok, s gy a kezelt objektumok is klnbzek: a DNS-znkat s erforrsrekordokat, mg az Active Directory-tartomnyokat s a tartomnyhoz tartoz objektumokat trol. A DNS-erforrsrekordokat ad vlaszul a tartomny- s szmtgpnevekre vonatkoz krsekre, amelyek a DNS-kiszolglkhoz rkeznek, mg az
294
A DNS-szolgltats
Active Directory a tartomnyvezrlkhz intzett LDAP-krsek hatsra elvgzi a krt mveletet az adatbzisban trolt objektumokon. Ez teht azt jelenti, hogy egy szmtgpet reprezentl Active Directoryobjektum, s az adott szmtgphez tartoz DNS-erforrsrekord kt teljesen klnbz nvtrben tallhat. Br a DNS-kiszolgl teleptse s belltsa az Active Directory teleptsvel egytt, automatikusan megtrtnik, s a szksges erforrsrekordok bejegyzse is automatikus lehet, alapvet fontossga miatt nem kerlhetjk el a kzelebbi ismeretsget, mivel jl belltott DNS-kiszolgl nlkl az Active Directory alapfunkcii is mkdskptelenek. A DNS (Domain Name System) az IETF (Internet Engineering Task Force) nvszolgltatsi szabvnyn alapul szolgltats, az interneten hasznlt nvazonosts alapja. A DNS olyan nemzetkzi, tbbszint elosztott rendszer, amelynek segtsgvel a hlzati szmtgpek a tartomny-, illetve hostnevek bejegyzst s feloldst valstjk meg. A DNS-adatbzis a szmtgpnevekrl (s ms szolgltatsokrl) s az egyes nevekhez, illetve szolgltatsokhoz tartoz IP-cmekrl trol informcit. Ezeket a neveket hasznljuk pldul az internethez csatlakoz szmtgpek erforrsainak keresshez s hasznlathoz is. A 13 darab gynevezett root DNS-kiszolglt az InterNIC nev (termszetesen amerikai szkhely) szervezet tartja fenn. Mivel ersen elosztott rendszerrl van sz, az IP-cmek s hostnevek sszerendelst trol adatbzis sok ezer nll DNS-kiszolgln tallhat. A DNS hrom f alkotrszbl ll: A tartomnynvtr s a kapcsold erforrsrekordok elosztott adatbzist alkotnak. A DNS-nvkiszolglk troljk a tartomny nvtert s az erforrsrekordokat, tovbb vlaszolnak a DNS-gyfelek krdseire. A DNS-gyfelek rszt kpez DNS-lekrdezk (resolver) felveszik a kapcsolatot a nvkiszolglkkal, s nvlekrdezseket kldenek, hogy hozzjussanak az erforrsrekordokhoz, vagyis az IP-cmekhez.
A nvfelolds menete
A kvetkezkben vgigkvetjk a nvlekrdezs menett, megvizsgljuk, hogy a lekrdezst kezdemnyez alkalmazs honnan, s milyen mdon juthat hozz a krt adatokhoz. Minden alkalmazs a DNS-gyfl rszt kpez resolver szolgltatshoz fordul, ha egy megadott nvhez tartoz IP-cmre (vagy fordtva) van szksge.
295
Tartomnyi krnyezet
A resolver elszr is a loklisan trolt DNS-gyorsttrban (lsd ksbb) prblja megkeresni a krt rekordot, ha ez sikeres, akkor a krs egyltaln nem hagyja el a szmtgpet. Ha a keresett adat nem tallhat a gyorsttrban, akkor a resolver a TCP-IP-paramterek kztt megadott DNS-kiszolglhoz fordul, neki teszi fel a krdst. Ha a kiszolgl az ltala trolt adatbzis-tredk alapjn kpes a vlaszra, akkor visszakldi a krdses rekordot. Ha a rekord itt sem tallhat, akkor a krs tovbb utazik flfel a hierarchiban, a DNS-kiszolgl a tovbbtknt megadott kiszolglnak (vagy jobb hjn kzvetlenl a rootkiszolglknak) kldi el azt. Innen a lekrdezs megindul jra lefel a hierarchiban, egszen addig, amg meg nem tallja azt a kiszolglt, ami az elosztott adatbzisnak ppen azt a szeletkjt trolja, amelynek alapjn a krs megvlaszolhat. Nincs azonban mindig szksg a teljes kr vgigjrsra, mivel minden egyes DNS-kiszolgl is gyorsttrazza a lekrdezseket, gy a gyakrabban elfordul cmekrt nem kell tovbb krdezskdnie, a krs sok esetben a gyorsttrbl is kiszolglhat. Hogy a lekrdezs tja jobban kvethet legyen, nzznk vgig egy konkrt esetet: Egy szmtgpen fut bngszprogram a www.microsoft.com cmen tallhat weboldalt szeretn betlteni, ehhez termszetesen szksge van a nvhez tartoz IP-cmre. Felttelezzk (br vals esetben valsznleg nem gy lenne), hogy a cmhez tartoz erforrs-rekord nem szerepel egyetlen gyorsttrban sem. A DNS-krst a gp sajt DNS-kiszolglja csak akkor tudja megvlaszolni, ha a microsoft.com tartomny sajt kiszolgljrl van sz, a tartomnyban lv www nev gp erforrsrekordja csak itt tallhat meg. ltalban ez nyilvn nem gy van, vagyis a krs (hacsak a DNS-kiszolgln nincs tovbbt megadva, ahov a lekrdezseket el kell kldeni) a root kiszolglkhoz kerl. k tudjk azt, hogy kik a com tartomny DNS-kiszolgli, teht a krst ezekhez fogjk elkldeni. A com tartomny kiszolgli ismerik a microsoft.com DNS-kiszolgljt, ott pedig mr valban megtallhat a www nev gp erforrsrekordja, ez fog visszajutni a lekrdezst elindt resolverhez. A DNS-nvfelolds nemcsak az interneten, hanem a modern, Active Directory alap Windows tartomnyokban is alapvet szolgltats, amelynek esetleges hibja drmai hatssal van a teljes bels hlzat letre. A Windows hlzatokban is a DNS hasznlatval trtnik a gpek kztti kommunikcihoz szksges nvfelolds, a kiszolgli szerepek s szolgltatsok (tartomnyvezrl, globlis katalgus stb.) megkeresse. Jl mkd DNS-re van szksg, hogy j gpeket lptethessnk be a tartomnyba, rszben a DNS-adatokon alapul a tartomnyadatok replikcija, s mg sok, sok ms nlklzhetetlen szolgltats is. A rgi NetBIOS alap nvfelolds csak vsztartalkknt jhet szba, a DNS-kiszolgl hibja esetn nyerhetnk vele nmi idt.
296
A DNS-szolgltats
Bizonyos esetekben a gyorsttr problmkat is okozhat, mivel a DNSkiszolgln vgzett mdostsok csak ksve rkeznek meg az gyfelekre. Ilyenkor mindig arra kell gondolnunk, hogy a gyorsttr mg a mdosts eltti adatokat tartalmazza. Az gyfloldali gyorsttrat az albbi parancs segtsgvel trlhetjk:
C:\>ipconfig /flushdns Windows IP Configuration Successfully flushed the DNS Resolver Cache.
Magn a DNS-kiszolgln is van gyorsttr, ami esetleg szintn okozhat hasonl problmkat. A gyorsttrat a DNS-kiszolglhoz tartoz MMC konzolrl (Action -> Clear Cache), illetve az albbi parancs segtsgvel trlhetjk:
297
Tartomnyi krnyezet C:\>dnscmd server.ceg.local /clearcache server.ceg.local completed successfully. Command completed successfully.
A dnscmd program a Windows Support Tools rsze, gy azt kln kell telepteni (\support\ tools\suptools.msi a telept CD-n).
A DNS-zna
Znnak nevezzk a DNS-adatbzisokban a DNS-fa egy sszefgg rszt, amelyet a DNS-kiszolgl nll egysgknt kezel. Minden zna tartalmazza a hozz tartoz nevekhez kapcsold valamennyi erforrsrekordot. Zna pldul a ceg.hu, a ceg.local, a ceg.priv stb. A zna belltsainak (pldul a nevnek) megadsakor nagyon fontos, hogy tekintettel legynk a publikus s a tartomnyon belli DNS-szolgltats szigor elklntsre. Semmikppen nem clszer pldul a bels DNS-tartomny neveknt a vllalat regisztrlt, internetes tartomnynevt hasznlni, sokkal jobb vlaszts a ceg.local tpus nv. A DNS-kiszolglk minden znt nll fjlban trolnak (ha nem Active Directory integrlt znrl van sz, lsd ksbb), gy a zna a replikci, vagyis a DNS-adatok szinkronizlsnak alapegysge is. Az adatok visszakeressnek irnya alapjn kt znafajtt klnbztetnk meg: Forward Lookup Zone (Cmkeressi zna) a cmkeressi znkban a DNS-kiszolgl a krsben szerepl IP-cm alapjn hostnevet tud visszaadni, vagyis a zna az egyes hostnevekhez tartoz IP-cmeket trolja. Reverse Lookup Zone (Nvkeressi zna) a nvkeressi znkban fordtott irny keressre van lehetsg, vagyis a DNS-kiszolgl a lekrdezett IP-cmhez tartoz hostnevet tudja visszaadni.
A znk tpusai
A Windows kiszolglk DNS-kiszolgli hrom klnbz znatpust kpesek trolni. Standard Primary (szabvnyos elsdleges) a zna eredeti, mdosthat pldnyt trolja, ez fog a msodlagos znkba replikldni. A znban trtn brmifle vltoztats csak az elsdleges znban trtnhet. Az elsdleges zna trolsra minden esetben egy egyszer szveges l-
298
A DNS-szolgltats
lomny, a znafjl szolgl. A znafjlok kiterjesztse dns, s a DNSkiszolglt futtat szmtgp %windir%\System32\Dns mappjban tallhatjuk meg ket. A fjlok neve megegyezik a zna teljes nevvel. Standard Secondary (szabvnyos msodlagos) a msodlagos zna adatai csak olvashatk, az minden esetben az elsdleges zna egy msolatt trolja. A msodlagos znk hasznlata sok DNS-krs esetn jelentsen lervidtheti a vlaszidt, az elsdleges znt trol szmtgp meghibsodsa estn pedig azonnal kszen ll tartalkknt szolglhat. A Windows Server 2003 DNS-kiszolgljn azt tapasztalhatjuk, hogy a msodlagos zna is rhat, de ez csak azrt tnik gy, mert az ilyen krseket a kiszolgl automatikusan tirnytja az elsdleges znt trol szmtgphez. Stub Zone (helyettes zna) a helyettes zna csak bizonyos rekordokat tartalmaz, amelyek alapjn az adott zna mrvad DNS-kiszolgli azonosthatk.
A zna trolsa
A znaadatokat trolhatjuk a szoksos mdon fjlokban, illetve lehetsgnk van Active Directory integrated (Active Directory-integrlt) trolsi tpus hasznlatra is. Ez a trolsi md a Microsoft sajt megoldsa, ebben az esetben a zna adatai (vagyis az elsdleges s a helyettest znk rekordjai) kzvetlenl az Active Directory-adatbzisban troldnak a tbbi objektummal egytt. Ebbl persze egyenesen kvetkezik, hogy ilyen znt csak tartomnyvezrln hozhatunk ltre. Az integrlt zna hasznlata mg egy fontos kvetkezmnnyel jr: ebben az esetben az Active Directory replikcija egyben a DNS-adatok replikcijt is jelenti. A cmtrban csak elsdleges znk trolhatk, de ha minden znt az Active Directoryban trolunk, akkor a multimaster replikci miatt egyltaln nincs szksg msodlagos znk hasznlatra. Ha DNS-kiszolglnkat elssorban az Active Directory nvszolgltatsnak biztostsra sznjuk, akkor mindenkppen clszer ezt a trolsi mdot vlasztani a kvetkez elnyk miatt: Cmtrba integrlt znatrols esetn a DNS-zna mindegyik pldnya rhat, a szinkronizls a multimaster replikcis modell alapjn trtnik. Klnsen fontos, hogy ebben az esetben a zna mindegyik kiszolglja kpes a DNS-gyfelektl rkez znafrisstsi krelmek fogadsra, amg van hozzfrhet s elrhet tartomnyvezrl.
299
Tartomnyi krnyezet
Cmtrba integrlt znk hasznlatakor hozzfrs-vezrlsi lista kapcsolhat valamennyi erforrsrekordhoz, gy differencilt hozzfrst adhatunk akr minden egyes rekordhoz. Integrlt trols esetn egysgesen kezelhet s felgyelhet az Active Directory s DNS-znk replikcija. Az Active Directory replikcija az objektumok tulajdonsgainak szintjn trtnik, gy a rendszer a lehet legkisebb adatmennyisget mozgatja a znaadatok szinkronizcijhoz is.
A hagyomnyos mdon, vagyis szvegfjlban trolt znk esetben mindenkppen elnys az nll, jl tlthat trols (ez pldul a zna mentst is egyszerbb s gyorsabb teszi), viszont a znk kztti szinkronizci belltsa, illetve az elsdleges s msodlagos znkat trol kiszolglk kivlasztsa tbb odafigyelst s manulis munkt ignyel.
A nvkiszolglk tpusai
A nvkiszolglk csoportostsa az ltaluk trolt (vagy nem trolt) zna tpusa alapjn trtnik, megklnbztetnk elsdleges, msodlagos, illetve gyorstraz kiszolglkat: Primary DNS Server (elsdleges DNS-kiszolgl) az elsdleges kiszolgl felels a zna karbantartsrt, a zna tulajdonosa, a bejegyzett rekordokhoz teljes jogosultsga van. Secondary DNS Server (msodlagos DNS-kiszolgl) a msodlagos nvkiszolgl legfontosabb feladata az, hogy a nvszolgltats az elsdleges kiszolgl kiesse esetn is hozzfrhet legyen, az gyfelek tovbbra is lekrdezhessk a tartomny szmtgpeihez tartoz IP-cmeket. A msodlagos kiszolgl a zna msolatt tartalmazza, s a SOA-rekordban meghatrozott idkznknt (ha az elsdleges zna megvltozott) znatvitelt kezdemnyez, vagyis tveszi az elsdleges zna tartalmt (pontosabban csak a vltozsokat). Cache-only DNS Server (gyorstraz DNS-kiszolgl) a gyorstraz DNS kiszolgl nem trol znaadatokat, ltnek egyetlen rtelme a kiszolgl-oldali gyorsttr fenntartsa.
300
A DNS-szolgltats Ez a fajta csoportosts csak a fjlban trolt znk (gy pldul az interneten hasznlt publikus nvkiszolglk) esetn rvnyes. Active Directory-integrlt znatrols esetn valamennyi kiszolgl adatbzisa mdosthat, a znafrissts pedig a cmtr replikcijval egytt automatikusan megtrtnik.
SOA-rekord (Start of Authority) A SOA-rekord minden szabvnyos zna esetn a zna els rekordja. Felels a zna inicializsrt s a tbbi kiszolgl szmra jelzi a zna hitelessgt. A SOA-rekord hatrozza meg a znatvitel idztst, a msodlagos kiszolglk pedig az itt trolt (s a zna minden mdostsakor nvekv) sorszm alapjn
301
Tartomnyi krnyezet
dnthetik el, hogy szksges-e a zna letltse. Ugyancsak a SOA-rekordban trolt rtk szabja meg, hogy az gyfelek mennyi ideig trolhatjk sajt gyorsttraikban a letlttt rekordokat. A-rekord: az A-rekordok egy szmtgp nevnek s IP-cmnek sszerendelst hatrozzk meg, a lekrdezsek tbbsgre a megfelel Arekord a vlasz. NS-rekord: az NS-rekordok a zna tovbbi mrvad nvkiszolglinak kijellsre szolglnak. A DNS-kiszolgl alaprtelmezs szerint csak a zna NS erforrsrekordjaiban szerepl kiszolglkra engedlyezi a znaletltst. CNAME-rekord: Egy msodnevet, vagyis aliast rendel a megadott A-rekordhoz, (illetve esetleg msik CNAME-rekordhoz). ltalban CNAME hasznlatval szletnek a klvilgnak szl www, ftp, mail, proxy stb. gpnevek, gy a valdi gpnv (ami az A-rekordban szerepel) kvetheti a szervezeten bell kialaktott elnevezsi szoksokat, illetve a terhels megosztsa miatt tbb gp is elrhetv tehet egyetlen nv hasznlatval. MX-rekord: Az MX-erforrsrekordot az elektronikus levelezsre szolgl alkalmazsok hasznljk az zenetek cmzsben szerepl tartomny levelez kiszolgljnak azonostsra. A rekord annak a szmtgpnek (vagy szmtgpeknek) a nevt tartalmazza, amely az adott tartomnyba rkez levelek fogadsrt felels. A szmtgp nevn kvl a rekord tartalmaz egy szmot is, ami az adott kiszolgl prioritst jelzi (az alacsonyabb rtk magasabb prioritst jelent). PTR-rekord: a PTR (pointer, mutat) erforrsrekordok a nvkeressi mveletek tmogatsra szolglnak, egy IP-cm s egy hostnv sszerendelst hatrozzk meg. WINS-rekord: A WINS-erforrsrekordban egy WINS-kiszolglt adhatunk meg, ide tovbbtdnak majd a DNS-adatok alapjn meg nem vlaszolhat IP-cm lekrdezsek. WINS-R-rekord: ugyancsak egy WINS-kiszolgl cmt adhatjuk meg ebben a rekordban, ide a sikertelen fordtott lekrdezsek (ilyenkor nv alapjn keresnk IP-cmet) fognak tovbbtdni. SRV-rekord: az SRV-rekordok az Active Directoryhoz kapcsold szolgltatsok megtallst teszik lehetv.
Az utols hrom rekordtpus csak az Active Directory-tartomny bels DNS-kiszolgliban fordul el, a publikus nvkiszolglk ezeket nem tartalmazzk.
302
A DNS-szolgltats
Az SRV-rekordok formtuma
Az SRV-rekordok teht az Active Directory-szolgltatsok elrshez szksgesek. Hasznlatukkal lehetv vlik az, hogy tbb, hasonl TCP/IP-alap szolgltatst nyjt kiszolglt egyetlen DNS-lekrdezsi mvelettel keressnk meg. A DNS-lekrdezs ebben az esetben nem egy konkrt kiszolglra, hanem magra a szolgltatsra vonatkozik, a lekrdez pedig az SRV-rekordok ltal trolt kiszolgllistbl fogja megkapni azt, amelyik a belltott prioritsok alapjn jr neki. Ilyen mdon trtnik pldul az LDAP-protokoll segtsgvel a 389-es TCP-porton keresztl elrhet Active Directory-szolgltats megkeresse is. Az gyflgpek ebben az esetben nem egy konkrt szmtgp IP-cmt krdezik le a nvkiszolgltl, k csak annyit tudnak, hogy az adott tartomny egyik (brmelyik) tartomnyvezrljvel kvnjk felvenni a kapcsolatot, vagyis egy szolgltats (amit ltalban tbb konkrt szmtgp is kpes nyjtani) IP-cmt fogjk megkapni. Az SRV-erforrsrekordok egyes mezinek rendeltetse a kvetkez: Szolgltats A keresett szolgltats szimbolikus neve. A szolgltats neve lehet pldul _ldap vagy _kerberos. Protokoll Az tviteli protokoll tpust jelzi. Ez ltalban TCP vagy UDP, br elmletben ms protokollok is hasznlhatk. Nv A DNS-tartomnynv, amelyhez az erforrsrekord tartozik.
303
Tartomnyi krnyezet
Priorits Meghatrozza a cl mezben szerepl kiszolgl prioritst. Az SRV-erforrsrekordokat lekrdez DNS-gyfelek a legalacsonyabb sorszm (vagyis legmagasabb priorits) elrhet kiszolglval prbljk meg felvenni a kapcsolatot. Slyozs A priorits mellett a slyozs is terhelselosztsra hasznlhat. Azonos priorits kiszolglk esetn ez az rtk hatrozza meg a lekrdezs eredmnyt. Port A cllloms kiszolglportjnak szma, amelyen az adott szolgltats elrhet. Cl A krt szolgltats nyjtsra kpes kiszolgl DNS-tartomnynevt tartalmazza. Az itt szerepl nvhez tartoznia kell egy megfelel llomscm (A) erforrsrekordnak, amely alapjn a krdses IP-cm meghatrozhat.
Az albbi sorokban egy plda SRV-rekord lthat, fell az egyes mezk neve, alul pedig egy lehetsges rtke:
Service_.Protocol.Name Ttl Class SRV Priority Weight Port Target _ldap._tcp.ceg.local 600 IN SRV 0 100 389 server.ceg.local
A telepts utn azonban nhny fontos belltst ellenriznnk, illetve mdostanunk kell, hogy a nvszolgltats mkdse minden szempontbl megfelel lehessen. A belltsok kt nagy csoportba tartoznak; elsknt a zna, majd a teljes kiszolgl opciit fogjuk ttekinteni.
304
A DNS-szolgltats
A DNS-kiszolgl felgyeletre a DNS nev MMC beplmodul szolgl, amit legknnyebben a Start men Administrative Tools (Felgyeleti eszkzk) mappjbl indthatunk el. A zna opciinak megjelentshez a bal oldali fban nyissuk ki a kiszolglnk neve alatt tallhat Forward Lookup Zones (Cmkeressi znk) csompontot, kattintsunk jobb gombbal a tartomnyunk nevnek megfelel sorra, majd vlasszuk a Properties (Tulajdonsgok) parancsot! Amint az albbi kpen is lthat, az Active Directory teleptse kzben automatikusan ltrehozott zna alaprtelmezs szerint Active Directory-integrlt, vagyis az erforrsrekordok a cmtr objektumainak kpben troldnak. Az alaprtelmezett llapot szerint engedlyezett a znaadatok dinamikus frisstse (Dynamic updates) is, vagyis az gyflgpek maguk kezdemnyezhetik A s PTR rekordjaik bejegyzst, illetve mdostst.
A Name Servers (Nvkiszolglk) lap a msodlagos DNS-kiszolglk felvtelre szolgl, az itt megadott szmtgpek szmra NS-rekord kszl a znban. A Zone Transfers (Znatvitel) lapon engedlyezhetjk a zna ms kiszolglkra trtn tmsolst. Ha minden kiszolgln Active Directory-integrlt znt hasznlunk, akkor egyltaln nincs szksg znatvitel belltsra, mivel ebben az esetben a cmtr replikcija a znaadatok tvitelt is magban foglalja.
305
Tartomnyi krnyezet
A zna belltsai utn kvetkezzenek a kiszolgl opcii, ezek az adott kiszolgln ltrehozott valamennyi znra vonatkoznak majd. Keressk meg a fban a kiszolglnk nevt, kattintsunk r a jobb gombbal, s vlasszuk a Properties (Tulajdonsgok) parancsot! Ha tbb hlzati csatol is van a gpben, akkor nagyon fontos, hogy a megfelel csatolra korltozzuk a DNS-szolgltatst. Nyilvnvalan teljesen felesleges (st kros), ha pldul a tartomnyon belli neveket kezel kiszolgl a kls (az internet-szolgltat fel nz) csatolra rkez krsekre is vlaszol. Az Interfaces (Kapcsolatok) lapon vlaszthatjuk ki a kiszolgl IP-cmei kzl azokat, amelyeken keresztl vlaszolni kvnunk a berkez DNS-krsekre.
5.11. bra: A DNS-kiszolglnak nem kell felttlenl minden csatoln keresztl vlaszolnia (br, ha csak egy van, akkor mgis)
A Forwarders (Tovbbtk) lapon azokat a DNS-kiszolglkat adhatjuk meg, ahov tovbbhalad egy helyben nem feloldhat (pl. internetre irnyul) lekrdezs. Ha nem adunk meg egyetlen tovbbtt sem, az azt jelenti, hogy DNS-kiszolglnk minden, a hlzaton kvlre irnyul lekrdezst vgs sorban a gykrmutatk (vagyis a root DNS-kiszolglk) hasznlatval fog feloldani. Ennek eredmnyeknt nagy mennyisg bels, esetleg kritikus fontossg DNS-informcit kldhetnk ki az internetre. A biztonsgi s adatvdelmi problma mellett ez a mdszer jelents kls forgalommal is jr, terhelve a vllalat internetkapcsolatt.
306
A DNS-szolgltats
Ha tovbbtt jellnk ki (jellemzen az internetszolgltatnk DNS-kiszolgljt), akkor t tesszk felelss a kls forgalom kezelsrt. A tovbbt radsul vrhatan rengeteg kls DNS-informcit gyjt ssze a gyorsttrban, gy a kls DNS-lekrdezsek j rszt az itt trolt adatok hasznlatval is fel tudja majd oldani. A tovbbt hasznlatra belltott DNS-kiszolgl az albbiak szerint prblja megvlaszolni a hozz rkez lekrdezseket: A DNS-kiszolgl a berkez lekrdezseket elszr a gyorsttrbl, majd a rajta trolt elsdleges s msodlagos znk rekordjai kztti keresssel prblja feloldani. Ha az elz keressek sikertelenek voltak, akkor a lekrdezs a tovbbtknt megadott DNS-kiszolglhoz kerl. A DNS-kiszolgl meghatrozott ideig vr a tovbbt vlaszra, majd megprbl kapcsolatba lpni a gykrmutatiban megadott DNS-kiszolglkkal.
Utols lpsknt, ha szksges, ltre kell hoznunk a megfelel nvkeressi znkat a nvlekrdezsi mveletek tmogatsra. Az alapbelltsok helyes megadsa utn a DNS-kiszolglval nem lesz tl sok gondunk; az erforrsrekordok (A, PTR, SRV stb.) bejegyzse, trlse, tnevezse teljesen automatikus. Alaprtelmezs szerint a statikus TCP/IP-paramterekkel rendelkez hlzati csatolk megprbljk dinamikusan regisztrlni lloms (A) s mutat (PTR) tpus erforrsrekordjaikat. A regisztrlt nv a szmtgpnv, s a szmtgp elsdleges DNS-uttagjnak sszefzsbl alakul ki. Az elsdleges DNS-uttag alaprtelmezs szerint megegyezik a tartomny nevvel. A dinamikus cmbejegyzs (DDNS) kivlthat a kvetkez parancs hasznlatval:
C:\> ipconfig /registerdns
Rgebbi gyfelek hasznlata (Windows 9x, Windows NT) esetn a dinamikus bejegyzs csak a DHCP-szolgltats kzremkdsvel lehetsges. A DHCP a kiosztott cmeket (megfelel bellts esetn) megprblja a DNS-kiszolgln is regisztrlni. Egy jl mkd tartomnyvezrl DNS-znafjlja az albbi brhoz hasonlan nz ki:
307
Tartomnyi krnyezet
Kt cmkeressi znnk van, az _msdcs.ceg.local (Microsoft Domain Controllers) tovbb bonthat dc, domains, gc s pdc bejegyzsekre. A gc a globlis katalgust jelenti, a pdc bejegyzs pedig a PDC-emultorra utal. A ceg.local alatt az albbi altartomnyokat kell tallnunk: _sites itt a tartomnyvezrlket telephelyek szerinti bontsban talljuk, ez alapjn talljk meg a munkallomsok a hozzjuk legkzelebb es kiszolglkat _tcp s _udp az egyes szolgltatsok felbontsa TCP-csatorna-elrsi szempontbl
Amennyiben ezek a bejegyzsek hinyoznak, az Active Directory mg alapfunkciit sem fogja tudni elltni. Ha nincs meg minden, vagy res a zna, a kvetkezt tehetjk: Ha engedlyeztk a DNS-adatok dinamikus frisstst, akkor a tartomnyi SRV-rekordok regisztrcijrt a NetLogon-szolgltats felels, amely a bejegyzseket indulskor hozza ltre. Adjuk ki teht a kvetkez parancsokat:
C:\>net start netlogon C:\>net stop netlogon
308
A telepts felttelei
Az Active Directory hasznlathoz Windows Server 2003 opercis rendszer szksges, gyflrendszerekre a cmtr nem telepthet. A teleptprogram futsa kzben meg kell adnunk a cmtr adatfjljainak leend helyt (alaprtelmezs szerint %WINDIR%\NTDS). A megadott mappnak mindenkppen NTFS fjlrendszer kteten kell lennie, a minimlis helyigny pedig nagyjbl 250 MB. Nagyobb ignybevtel esetn indokolt lehet az nll, csak erre a clra hasznlt cmtrpartci ltrehozsa. Mit neveznk nagy ignybevtelnek? Egy tlagos magyar vllalatnl elfordul terhelst semmikppen sem. A gyakorlatban tbb ezer, de mg inkbb nhny tzezer troland objektum esetn lehet szksg erre a megoldsra. A cmtr teleptshez rendszergazda jogosultsg szksges egyrszt az adott szmtgpen, msrszt, ha mr ltez tartomnyhoz csatlakozunk, akkor a tartomnyban is. Alapfelttel a tkletesen belltott TCP/IP, elssorban a DNS-kiszolgl miatt. Az Active Directory alapszksglete a jl mkd nvszolgltats, ha a telept nem tall a hlzaton hasznlhat DNS-szolgltatst, akkor a telepts kzben maga hoz ltre egyet.
309
Tartomnyi krnyezet
j tartomnyt hozunk ltre, vagy meglv tartomnyhoz csatlakozunk? Ha meglv tartomnyhoz csatlakozunk, akkor meg kell adnunk a tartomny nevt, s a megfelel hitelestsi adatokat. j tartomny esetn pedig jn a kvetkez krds: A tartomny egy j erdben lesz, egy mr ltez tartomnyfra szeretnnk felfzni, esetleg j tartomnyft hoznnk ltre szmra egy ltez erdben?
Ttelezzk fel, hogy mg nincs Active Directory a hlzatban. Ebben az esetben nyilvnvalan j tartomnyt hozunk ltre, de egyben termszetesen j ft s j erdt is, vagyis egyszeren elfogadhatjuk az alaprtelmezett opcikat.
310
Az Active Directory teleptse A tartomnyvezrlkn (a tartomny tbbi szmtgpvel ellenttben) nincs helyi felhasznli adatbzis. A tartomnyvezrlv trtn ellptets kzben (j tartomny esetn) a DCPromo a ltez helyi felhasznli fikokat tmsolja az Active Directoryba, a helyi Administrator (Rendszergazda) felhasznl pldul tartomnyi rendszergazdv alakul. Amennyiben azonban nem j tartomnyt hozunk ltre, hanem egy mr ltez tartomnyhoz csatlakozunk, a gpen trolt helyi felhasznli fikok nem kerlnek be az Active Directory-adatbzisban, hanem egyszeren eltnnek. A DCPromo futtatsa utn teht mindkt esetben csak a tartomnyi felhasznlnevek s jelszavak hasznlatval fogunk tudni bejelentkezni.
Ezutn mr csak az j tartomny leend DNS s NetBIOS nevt, valamint az adatbzisfjlok s a SYSVOL megoszts helyt kell megadnunk, s kezddhet is a telepts. Futsa kzben a teleptprogram az albbi mveleteket vgzi el: Amennyiben a telept nem tall elrhet s hasznlhat DNS-szolgltatst, s nem utastjuk kifejezetten az ellenkezjre, akkor a telepts rszeknt megtrtnik a DNS-kiszolgl teleptse s belltsa is. Ltrehozza a cmtrpartcikat, magt az Active Directory-adatbzist s a naplllomnyokat. Ha egy j erd els tartomnyvezrljt teleptjk, akkor ltrehozza az gynevezett forest root domain-t, teht az erd els (gykr) tartomnyt. Ltrehozza s megosztja a SYSVOL-mappt (az gyflgpek innen tltik majd le a hzirendeket, szkripteket stb.). Belltja az adott tartomnyvezrl telephely tagsgt. Belltja a cmtrszolgltats s a repliklt mappk jogosultsgait. Bekri s eltrolja a cmtr-visszalltsi jelszt. A Directory Services Restore Mode jelszavra akkor lehet szksgnk, ha a gpen valamilyen ok miatt (valamelyik cskkentett mdban (Safe Mode), illetve a cmtrszolgltatsok helyrelltsi zemmdjban (Directory Services Restore Mode, DSRM) trtn rendszerindts, a Recovery Console (helyrelltsi konzol) hasznlata, esetleg valamifle rendszerhiba) nem ll rendelkezsre az Active Directory, gy az abban trolt felhasznli fikok hasznlatval nem tudunk bejelentkezni. Ekkor kell ezt a jelszt megadnunk, amelynek azonostsa a System Account Manager (rendszer fikkezel, SAM) adatai alapjn trtnik.
311
Tartomnyi krnyezet
Hibalehetsgek
Az Active Directory teleptse a korbban felsorolt felttelek teljeslse esetn rutinmvelet, a legritkbb esetben fordul el olyan hiba, ami megakadlyozn a telepts sikeres befejezst. Az albbi tblzatban mgis felsorolunk nhnyat a leggyakrabban elfordul hibajelensgek s a lehetsges okok kzl. A jelensg A hozzfrs megtagadva zenet, amikor ltrehoznnk, vagy hozzadnnk egy tartomnyvezrlt A lehetsges okok Nem vagyunk tagjai a helyi Administrators csoportnak. Nem vagyunk tagjai Domain Admins vagy az Enterprise Admins csoportoknak. Ltezik s elrhet ugyanilyen DNS vagy NetBIOS nev tartomny Hlzati (pl. TCP/IP) vagy DNS-hiba. Tzfal problma Az adott partcin nincs meg a minimum lemezhely
Hiba a DNS vagy a NetBIOStartomnynv megadsakor A mr meglv tartomnnyal nincs kapcsolat A lemez megtelt zenet
Tipikus cmtrobjektumok
Az Active Directory objektumai kt csoportba sorolhatk; a kontner tpus objektumok ms kontnereket, s levl tpus objektumokat tartalmazhatnak. Kontner tpus objektumok teht azok, amelyek ms objektumokat tartalmazhatnak, ilyen pldul maga a tartomny, a szervezeti egysgek stb. A levl tpus objektumok a hlzat klnfle funkcival rendelkez elemeit reprezentljk, ilyenek pldul a felhasznli- s szmtgpfikok, vagy a nyomtatk. A kvetkezkben ttekintjk azokat a cmtrobjektumokat, amelyeket a telepts utn ltre kell hoznunk, hogy az Active Directory szolgltatsait a felhasznlk s a rendszergazdk is hatkonyan vehessk ignybe.
312
Tipikus cmtrobjektumok Szervezeti egysgek, felhasznlk s szmtgpfikok kezelse Ebben a screencastban az Active Directory felgyeletnek leggyakrabban hasznlt eszkzt, az Active Directory Users and Computers konzolt ismerhetjk meg. Bemutatjuk a napi zemeltetsi gyakorlat ltalnos feladatait: szervezeti egysgeket s felhasznli fikokat hozunk ltre s belltjuk a felhasznli fikok legfontosabb jellemzit. Fjlnv: II-2-4a-ADUC.avi
A szervezeti egysg
A szervezeti egysgek az Active Directory-szolgltats troli, a tartomnyok alapegysgei. A szervezeti egysgek tagjai felhasznli- s szmtgpfikok csoportok, s ms szervezeti egysgek lehetnek. Idegen tartomnyba tartoz objektumokat azonban nem tehetnk a szervezeti egysgekbe. A szervezeti egysgek hasznlatnak egyik legfontosabb elnye, hogy azok a tartomnyhoz hasonl tulajdonsgokkal rendelkeznek, gy alkalmazsuk cskkenti a szksges tartomnyok szmt. A szervezeti egysg az Active Directory legkisebb objektuma, amelyhez csoporthzirend objektumokat rendelhetnk, illetve amelyhez felgyeleti jogokat deleglhatunk. Az Active Directory-objektumokhoz tartoz jogosultsgok s a csoporthzirend is a szervezeti egysg hierarchin keresztl rkldnek. A szervezeti egysgek a tartomnyon bell szabadon thelyezhetk, mozgathatk. A szervezeti egysg-hierarchia megtervezse rendkvl fontos, mivel a jl kialaktott hierarchia alapvet felttele a csoporthzirend hatkony mkdsnek. A kvetkezkben ttekintjk azokat a szempontokat, amelyeket figyelembe kell vennnk a szervezeti egysgek kialaktsakor.
313
Tartomnyi krnyezet
Az OU tervezs szempontjai A struktra kialaktsa a klnbz helyek, helysznek alapjn trtnik. A struktra a cg szervezeti felptst tkrzi. A hierarchia kialaktsa a cg klnbz osztlyai, csoportjai alapjn trtnik. A hierarchia legfels szintjnek kialaktsa a helysznek alapjn, az alacsonyabb szintek felosztsa viszont pldul a cg szervezeti felptse alapjn trtnhet.
A fikok tpusai
A felhasznli fik
A felhasznli fik (user account) az Active Directory alap rendszer felhasznljt reprezentlja. Az objektum trolja a felhasznl adatait (nevt, e-mail cmt, telefonszmt stb.) s lehetv teszi, hogy a rendszer klnfle elemeihez hozzfrsi jogosultsgokat definiljunk az objektum ltal reprezentlt felhasznl szmra. A kzponti trols s hitelests miatt a felhasznlk a hlzat tetszleges pontjn azonosthatjk magukat s hozzfrhetnek a szmukra engedlyezett erforrsokhoz. Az Active Directory beptetten tartalmaz nhny felhasznli fikot (pldul az Administrator (Rendszergazda) felhasznlt).
Felhasznlk ltrehozsa sablon alapjn Ebben a screencastban bemutatunk egy egyszer mdszert, amelynek segtsgvel tbb felhasznli fik ltrehozst elre belltott sablon alapjn vgezhetjk el. Fjlnv: II-2-4b-User-Template.avi
A felhasznli fikok ltrehozsra s tulajdonsgaik belltsra az Active Directory Users and Computers (Active Directory felhasznlk s szmtgpek) konzol szolgl. j felhasznl ltrehozsakor csak nhny alapvet tulajdonsgot kell megadnunk (pldul a bejelentkezsi nevet s a jelszt), a tbbi belltsi lehetsget a felhasznl tulajdonsglapjn tallhatjuk meg. Itt az informlis adatokon (telefonszmok, cmek stb.) tl bellthatjuk a jelsz kezelsvel kapcsolatos klnfle opcikat, meghatrozhatjuk a felhasznli fik lejratt (a megadott idpont utn a felhasznl mr nem fog tudni bejelentkezni), azokat a szmtgpeket, amelyeken az adott felhasznl bejelentkezhet stb.
314
Tipikus cmtrobjektumok
Ugyanitt adhatjuk meg azokat a csoportokat, amelyeknek tagja a felhasznl, ez a jogosultsgok kiosztsnak legegyszerbb (s legclszerbb) mdja.
A szmtgpfik
A szmtgpfik (computer account) az Active Directory-tartomny erforrsainak hasznlatra jogosult szmtgpet reprezentl. Az objektum a szmtgp szmos tulajdonsgt tartalmazza (DNS-nv, opercis rendszer stb.) s lehetv teszi, hogy a szmtgpen megadott felhasznli adatokat a cmtr hitelestse. A szmtgpfikok nem jnnek ltre automatikusan (kivve a tartomnyvezrlkt), az objektumok ltrehozshoz az egyes gyflgpeket be kell lptetnnk a tartomnyba. (Termszetesen ltrehozhatjuk az objektumot az gyflgptl fggetlenl is, de ez nem elegend ahhoz, hogy a szmtgp valban a tartomny tagjv vljon.) A tartomnyba val belpshez az gyflgpen rendszergazdaknt kell bejelentkeznnk, s a folyamat sorn meg kell adnunk egy olyan tartomnyi felhasznl hitelest adatait is, akinek joga van szmtgpfikokat ltrehozni az adott kontnerben.
315
Tartomnyi krnyezet gyflgp belptetse a tartomnyba Ebben a screencastban egy gyflgpet lptetnk be az Active Directory-tartomnyba, majd megvizsgljuk a belps kzben a cmtrban ltrejtt j szmtgpfikot. Fjlnv: II-2-4c-Join-Domain.avi
A tartomnyba val belptets kt fontos vltozssal jr az gyflgpre val bejelentkezssel kapcsolatban. Egyrszt a belps utn a helyi felhasznlk mellett valamennyi engedlyezett tartomnyi (vagyis az Active Directoryban trolt) felhasznl is be fog tudni jelentkezni a gpre. Ez azrt lehetsges, mert gp helyi Users (Felhasznlk) csoportjnak tagja lesz a tartomny egyik alaprtelmezett csoportja, a Domain Users (Tartomnyfelhasznlk) csoport, vagyis a tartomnyi felhasznlk a helyi Users csoporton keresztl kapnak jogot a gp helyi erforrsainak elrsre. A msik lnyeges vltozs pedig az, hogy a helyi Administrators (Rendszergazdk) csoportba bekerl a tartomnyi Domain Admins (Tartomnygazdk) csoport, vagyis a tartomny rendszergazda jog felhasznli rendszergazdaknt jelentkezhetnek be a tartomnyhoz tartoz valamennyi szmtgpen.
A csoportfikok
A csoportfikok (group account) az adminisztrci egyszerstst szolgljk, mivel a csoportokba helyezett felhasznl- s szmtgpfikok a csoporttagsgon keresztl kaphatnak hozzfrsi jogokat (biztonsgi csoport esetn), vagyis, ha egy objektum hozzfrs-vezrlsi listjban csoportfik tallhat, akkor a jogosultsg a csoport minden tagjra vonatkozik. A terjesztsi csoport (distribution group) csak emailek terjesztsre hasznlt, biztonsgi szolgltatsokkal nem rendelkez csoport. A terjesztsi csoportok nem szerepelhetnek a klnfle erforrsok s objektumok hozzfrs-vezrlsi listiban, (Access Control List, ACL), vagyis a terjesztsi csoportnak nem adhat semmifle jogosultsg. A terjesztsi csoportok az elektronikus levelezalkalmazsokkal hasznlhatk elektronikus levelek felhasznlcsoportoknak val elkldsre. Ha egy csoportnak nem akarunk jogosultsgokat adni, hozzunk ltre terjesztsi csoportot biztonsgi csoport helyett. A biztonsgi csoportok (security group) kifejezetten a jogosultsgok kiosztsnak megknnytsre szolglnak, gy hozzadhatk az objektumok hozzfrsvezrlsi listihoz, s egymsba is gyazhatk. A biztonsgi csoport elektronikus levelezsi egysgknt is hasznlhat. A csoportnak kldtt elektronikus levelet a csoport sszes tagja megkapja.
316
Tipikus cmtrobjektumok
A biztonsgi csoport kategrin bell is tbb klnbz csoportot klnbztethetnk meg. A klnbsgttel alapja egyrszt az, hogy kik lehetnek a csoport tagjai, msrszt pedig az, hogy milyen objektumokhoz adhatunk engedlyt az adott csoport szmra, vagyis a csoport mely objektumok hozzfrs-vezrlsi listiban szerepelhet. A fenti kt szempont szerint a biztonsgi csoportoknak ngy tpusrl beszlhetnk: Helyi csoport (Machine Local Group) Olyan biztonsgi csoport, amely csak annak a szmtgpnek az erforrsaihoz kaphat jogokat s engedlyeket, amelyen a csoportot ltrehoztk. A helyi csoportok tartalmazhatjk brmely megbzhat hely, pldul a tartomny, vagy ms megbzotti kapcsolatban ll tartomnyok s erdk felhasznli fikjait s csoportjait. Fontos szably, hogy helyi erforrshoz csak helyi csoportnak adjunk kzvetlenl jogosultsgot, vagyis pldul egy gyflgp NTFS-jogainak kiosztsakor egyetlen hozzfrs-vezrlsi listba se kerljn felhasznli fik, illetve tartomnyi csoport (az egyes felhasznlk profiljt trol mappkon kvl). A tartomny szintjn definilt csoportok mindig a helyi csoport tagjai kz val felvtellel szerezzenek jogot az erforrsok hasznlatra. Tartomnyon belli csoport (Domain Local Group) A tartomnyon belli csoportok tagjai a Windows Server 2003, Windows 2000 s Windows NT alap tartomnyok csoportjai s fikjai lehetnek. A tartomnyon belli csoportoknak csak a tartomnyon bell adhat engedly. Globlis csoport (Global Group) Olyan biztonsgi vagy terjesztsi csoport, amelynek tagjai sajt tartomnyban tallhat felhasznlk, csoportok s szmtgpek. A globlis biztonsgi csoport az erd brmely tartomnynak erforrsaira kaphat jogosultsgokat s engedlyeket. Univerzlis csoport (Universal Group) Az univerzlis hatkr csoport tagjai a tartomnyfa vagy az erd brmely tartomnyban lv csoportok s fikok lehetnek. Univerzlis hatkr csoportnak a tartomnyfa vagy az erd brmely tartomnyban adhat engedly. Az univerzlis csoport csak legalbb Windows 2000 natv mdban mkd tartomnyban hasznlhat. Az ilyen csoportok tagjai a globlis katalgusban troldnak.
A tartomny s az erd mkdsi (funkcionalitsi) szintje hatrozza meg, hogy milyen csoportok ltrehozsra van lehetsgnk.
Tartomnyi krnyezet
forrs pontosan hol tallhat, milyen mdon rhet el, s milyen tulajdonsgokkal rendelkezik. A felhasznlk knnyen megkereshetik pldul azokat a nyomtatkat, amelyek sznes, ktoldalas, A3 mret nyomtatsra kpesek.
Az ilyen mdon megvalsthat kzponti nyilvntarts segtsgvel minden egy helyen rhet el, a felhasznlknak nem kell tudnia, hogy az adott erforrs melyik kiszolgln, milyen megosztsi nven rhet el. Radsul gy megszabadulhatunk az zenetszrson (broadcast) alapul, s gy nagyobb hlzatokban rendkvl erforrs-pazarl szmtgp-tallz (Computer Browser) szolgltatstl is. A tallz szolgltatssal ellenttben, a cmtrban val kzzttel a msik IP-alhlzatban lv erforrsok elrsre is hasznlhat, st az erforrst tartalmaz szmtgpnek nem is kell felttlenl az Active Directory-tartomny tagjnak lennie. A megosztott mappkhoz s nyomtatkhoz tartoz cmtrobjektumok ltrehozshoz az Active Directory Users and Computers konzolt hasznlhatjuk, illetve nyomtat esetn a megosztshoz tartoz tulajdonsglapon is bellthat a List in the Directory (Listzs a cmtrban) opci. Az utbbi mdszer esetn azonban az Active Directory Users and Computers felletn nem jelenik meg a ltrehozott objektum (de a keresseknl igen). Miutn felvettk a megosztott erforrst, ennek elrhetsgre, vagy akr megltre vonatkoz ellenrzs nem trtnik, a cmtrobjektum s az erforrs kztt nincsen kapcsolat. A rendszergazdnak kell teht gondoskodnia rla, hogy az eltvoltott, vagy hosszabb ideig nem elrhet erforrsok kikerljenek a cmtrbl.
318
Active Directory SYSVOL-mappa Regisztrcis adatbzis Rendszerindt fjlok COM+ osztlyok regisztrcis adatbzisa A tanstvnytr adatbzisa
Az Active Directory mentse a System State (Rendszerllapot) ments rsze, az NTBACKUP felletn ezt kell kivlasztanunk. A rendszerllapot adatok biztonsgi mentsekor s visszalltsakor a rendszer a szmtgphez kapcsold sszes rendszerllapot-adat biztonsgi mentst vagy visszalltst vgrehajtja, az egyes sszetevk nll mentse vagy visszalltsa nem lehetsges. Az brrl leolvashat, mi tartozik a Rendszerllapot mentshez: az Active Directory-adatbzis, a SYSVOL-megoszts tartalma (hzirend fjlok, logon szkriptek stb.), a regisztrcis adatbzis, a rendszerindt fjlok, a COM+ osztlyok regisztrcis adatbzisa, s a tanstvnytr.
319
Tartomnyi krnyezet
A System State ments nllan s egy ltalnos ments rszeknt is elvgezhet. A ments a tartomnyvezrl online llapotban trtnik, sem lelltsra, sem jraindtsra nincs szksg.
A cmtr visszalltsa
Kzel sem ilyen egyszer azonban a cmtr visszalltsa, els alkalommal legjobb ezt egy tesztrendszeren kiprblni, hogy les helyzetben kevsb remegjen a rendszergazda keze. A szmtgp indtsa kzben a megfelel pillanatban (a grafikus kperny eltt) meg kell nyomnunk az F8 billentyt, ennek hatsra az albbi kpen lthat menhz jutunk:
A cmtr visszalltst a Windows egyik specilis biztonsgi zemmdjban a Directory Services Restore Mode-ban (Cmtrszolgltatsok visszalltsi zemmdja) vgezhetjk el. Az F8 pontos idztse utn a kvetkez rzs pont a bejelentkezs: nincs Active Directory, gy nem hasznlhatk a megszokott felhasznlnevek s jelszavak. Egyetlen mdon juthatunk be: a cmtrvisszalltsi zemmd jelszavt valamikor rgen, a cmtr teleptse kzben kellett megadnunk, a jelszhoz tartoz felhasznlnv pedig az eredeti, beptett Administrator (Rendszergazda). Ha sikerlt bejutnunk, akkor kvetkezhet az NTBACKUP indtsa, s a System State visszatltse a mentsi fjlbl. Mivel az Active Directory esetn egy elosztottan trolt adatbzist kell viszszalltanunk, a cmtr visszalltsa hrom klnfle mdszerrel trtnhet, bizonyos esetekben igen fontos lehet, hogy a megfelelt vlasszuk:
320
Normal (norml) Norml visszallts sorn az adatok (pldul az Active Directory-objektumok) megtartjk eredeti frisstsi sorszmukat. Az Active Directory repliklrendszere a sorszm alapjn rzkeli s tovbbtja az Active Directory vltozsait a tartomnyvezrlk kztt. gy a norml mdon visszalltott adatok rgi adatknt jelennek meg az Active Directoryban, vagyis ezeket az adatokat a rendszer mr biztosan nem tovbbtja a tbbi tartomnyvezrlre. A visszalltott objektumokat teht a replikci szinte azonnal fellrja a tbbi tartomnyvezrlrl rkez pldnyokkal. Ha a visszalltott adatokat szeretnnk elterjeszteni a tartomnyban, akkor autoritatv (mrvad) visszalltst kell hasznlnunk.
Norml Autoritatv Elsdleges
Tartomnyvezrl
Authoritative (mrvad) Az Active Directory adatainak mrvad viszszalltshoz a rendszerllapot-adatok visszalltsa s a kiszolgl jraindtsa utn (de mg az els replikci eltt) futtatnunk kell az ntdsutil.exe segdprogramot. Az ntdsutil segtsgvel az Active Directoryobjektumokat mrvad visszalltshoz jellhetjk meg. Ez azt jelenti, hogy az ntdsutil gy frissti az objektumok sorszmt, hogy azok biztosan nagyobbak legyenek brmelyik msik replikn trolt sorszmnl, gy a visszalltott adatok fogjk fellrni a tbbi tartomnyvezrln trolt objektumokat. Mrvad visszalltsra pldul akkor lehet szksg,
321
Tartomnyi krnyezet
ha vletlenl trltnk, vagy mdostottunk egy Active Directory-objektumot (pldul az sszes felhasznl- s szmtgpfikot tartalmaz szervezeti egysget), s a vltozs mr replikldott a tbbi tartomnyvezrlre is. Ha ilyen esetben norml mdon lltjuk helyre az objektumot, akkor a replikci a helytelen llapotot tekinti jabbnak, vagyis ismt ez fog replikldni a visszalltott kiszolglra is. Primary (elsdleges) elsdleges visszalltsi mdszert akkor kell hasznlnunk, ha nincs egyetlen mkdkpes tartomnyvezrlnk sem, vagyis a visszalltani kvnt kiszolgl a repliklt adatkszlet egyetlen pldnyt fogja tartalmazni. ltalban teht csak akkor van szksg elsdleges visszalltsra, ha a tartomny minden tartomnyvezrlje hasznlhatatlan, s a teljes tartomnyt a biztonsgi msolatbl kell visszalltani. Elsdleges visszallts vgrehajtshoz az NTBACKUP felletn (visszallts kzben az Advanced szakaszban) be kell jellnnk a Repliklt adatkszletek visszalltsa esetn a visszalltott adatok megjellse az sszes msolat elsdleges adatkszleteknt opcit.
5.18. bra: Az elsdleges visszallts kiss elrejtett, de nagyon hossz nev opcija
A csoporthzirend
A csoporthzirend technolgia segtsgvel a tartomny szmtgpeinek klnfle opercis rendszer-, alkalmazs-, s felhasznlszint belltsait a rendszergazda nem egyenknt, hanem meghatrozott csoportok szmra egyttesen adhatja meg. A csoporthzirend alkalmas a rendszergazda ltal elrt, a szmtgpekre s a felhasznlkra vonatkoz belltsok kiknyszertsre is, az gy szablyozott opcikat a felhasznlk akkor sem mdosthatjk vglegesen, ha egybknt a jogosultsgaik ezt megengednk.
322
A csoporthzirend
A ltrehozott hzirendeket (vagyis belltscsoportokat) gynevezett Group Policy Objectek (csoporthzirend objektum, GPO) troljk, ezeket az objektumokat lehet a kivlasztott Active Directory-trolkkal (telephely, tartomny, szervezeti egysg) sszekapcsolni. A csoporthzirend objektumokban trolt belltsok az gyflgpeken registryrtkek formjban jelennek meg, az opercis rendszer s az alkalmazsok pedig ezeket a registryrtkeket hasznljk fel mkdsi paramterknt. Windows Server 2003 SP2 s Windows XP SP2 esetn a bellthat paramterek szma 1800 krl van, Vista gyfl hasznlata esetn pedig mg tbb, nagyjbl 2400 opci ll rendelkezsre.
A csoporthzirend kezelsnek eszkzei Ebben a screencastban megismerkednk a csoporthzirend kezelsnek szoksos eszkzeivel, s kiprbljuk azok legfontosabb lehetsgeit. Fjlnv: II-2-6a-Group-Policy-Management.avi
323
Tartomnyi krnyezet
Mire hasznljuk?
A csoporthzirend igen szles krben hasznlhat, alig van olyan fontos belltsi lehetsg, ami nem rhet el ilyen mdon. A kvetkezkben ttekintjk azokat a tipikus feladatokat, amelyekre a csoporthzirend alkalmas: Szoftvertelepts A csoporthzirend segtsgvel Windows Installer (msi) csomagokat terthetnk a hlzaton automatikusan. A teleptend alkalmazsok a szmtgpekhez s a felhasznlkhoz is csatolhatk, teleptsk a szmtgp indulskor, illetve a felhasznl bejelentkezse utn trtnik meg. Lehetsg van az alkalmazsok automatikus frisstsre s javtsra is. Mappk tirnytsa A felhasznlkhoz tartoz Dokumentumok mappt a loklisan trolt profilbl tirnythatjuk egy hlzati megosztott mappba. A kzpontilag trolt dokumentumok megknnytik a felhasznlk adatainak biztonsgi mentst, s lehetv teszik, hogy a felhasznlk klnbz gpeken bejelentkezve is elrjk a Dokumentumok mappa tartalmt. A felhasznlk szmtgpn a Dokumentumok mappa gyorsttrba helyezett pldnya tallhat, gy a fjlok akkor is elrhetk, ha a gp ppen nincs kapcsolatban a hlzattal. Minden esetben, amikor a felhasznl be-, vagy kijelentkezik, a rendszer szinkronizlja a Dokumentumok mappa gyflszmtgpen lv pldnyt a kiszolgln lv pldnnyal. Szkriptek Minden szmtgphez s felhasznlhoz kt-kt szkriptet rendelhetnk. Az egyik szkript a gp indtsakor, illetve felhasznl bejelentkezsekor, a msik lelltskor, illetve kijelentkezskor fog lefutni. A szkriptek lehetnek hagyomnyos parancsfjlok (cmd.exe), vagy VBScript s PowerShell nyelv szkriptfjlok is, br a PowerShell szkriptek kzvetlen indtsa nem lehetsges. A szkriptek a tartomnyvezrlk SYSVOL megosztsra kerlnek, innen tltik le ket az gyflgpek. Biztonsgi belltsok a csoporthzirend megszmllhatatlanul sok biztonsgi belltst knl, ezek kzl csak a legfontosabbakat emltjk: A jelszhzirend segtsgvel meghatrozhatjuk a hasznlhat jelszavak minimlis hosszt, bonyolultsgt, a jelsz minimlis s maximlis lettartamt stb. A fikzrolsi hzirend meghatrozza a hibs bejelentkezsek maximlis szmt, s a tllps esetn alkalmazand szankcit. Bellthatjuk a naplzsra s a felhasznli jogokra vonatkoz opcikat, s az esemnynapl takartsi paramtereit is. A biztonsgi belltsok hangolst radsul sablonok segtsgvel is elvgezhetjk. A szmtgpek funkcija szerint elksztett sablonokat a %sys-
324
A csoporthzirend
temroot%\security\templates mappban tallhatjuk meg. Indokolt azonban az vatossg, mivel egy meggondolatlan mozdulattal olyan biztonsgoss tehetnk mondjuk egy tvoli telephelyen lv tartomnyvezrlt, hogy a hzirend letltdse utn tbb mi magunk sem rjk el azt a hlzatbl, s gy nem is tudjuk visszabillenteni tlzottan biztonsgos llapotbl.
Az Internet Explorer karbantartsa megadhatjuk az internetkapcsolatra (pldul proxy hasznlat), a bngsz biztonsgi belltsaira s felhasznlk krnyezetre vonatkoz belltsokat, pldul tetszleges elemeket adhatunk hozz a Kedvencek (Favorites) listhoz. Felgyeleti sablonok a csoporthzirend rendszer kls bvtmnyei jelennek meg ebben a szakaszban, gy itt tallhatjuk meg az opercis rendszer szmtalan elemre (Start men s tlca, Asztal, Vezrlpult, Mdialejtsz, lemezkvtk stb.), a hlzatra (DNS-belltsok, tzfal stb.), vagy pldul a nyomtatkra vonatkoz belltsi lehetsgeket.
325
Tartomnyi krnyezet
A kvetkezkben felsorolunk nhny konkrt pldt a csoporthzirend felhasznlsra: Eltntethetjk az Asztalrl s a Start menbl azokat az ikonokat, amelyeket az adott felhasznl szmra flslegesnek tlnk (Sajtgp, Hlzati helyek, Futtats stb.). Megtilthatjuk a Control Panelhez (Vezrlpult), illetve annak egyes elmeihez val hozzfrst. Letilthatjuk a parancssor, illetve a parancssori vgrehajts (cmd fjlok) hasznlatt. Megtilthatjuk a registry kzvetlen szerkesztst (regedit). Eltvolthatjuk a megadott menpontokat s paneleket az Internet Explorer felletrl. Megadhatjuk az Internet Explorer proxybelltsait s tetszleges elemeket adhatunk a Kedvencek listhoz. Bellthatjuk az egyes rendszerszolgltatsok indtsi mdjt, vagyis engedlyezhetjk s tilthatjuk futsukat. Megadhatjuk a vezetknlkli hlzatok belltsait. A felhasznl bejelentkezshez dvzl, illetve figyelmeztet zenetet kapcsolhatunk. Megtilthatjuk bizonyos alkalmazsok futtatst.
Csoporthzirend objektumok ltrehozsa s belltsi lehetsgek Ebben az eladsban csoporthzirend objektumokat hozunk ltre s ttekintnk nhny, ezekben az hzirendekben megadhat belltsi lehetsget. Fjlnv: II-2-6b-GPO.avi
326
A csoporthzirend
megjelen belltsi lehetsgeket a csoporthzirend sablonok (group policy templates), vagyis .adm kiterjeszts fjlok hatrozzk meg, ezekbl a Microsoft idrl idre frisstett verzikat ad ki az j komponensek tmogatsra, de egyedi clra akr mi magunk is kszthetnk ilyen sablonfjlt. A belltsok megadsa utn az adott trolban lv felhasznl objektumokra a felhasznl szakaszban megadott, a szmtgp objektumokra pedig a szmtgp szakaszban szerepl belltsok fognak rvnyeslni. Termszetesen egy GPO-t tbb trolhoz is hozzrendelhetnk, s egy felhasznlra, illetve szmtgpre is rvnyeslhet tbb csoporthzirend objektum. A csoporthzirend objektumok ltrehozsakor kt, egymsnak bizonyos mrtkben ellentmond szempontot kell figyelembe vennnk, vagyis meg kell tallnunk a helyes egyenslyt: Lehetleg minl kevesebb csoporthzirend objektumot hozzunk ltre. Termszetes, hogy kevesebb objektummal kevesebb baj van, a belltsok jobban ttekinthetek stb. Msrszt hozzunk ltre lehetleg kln csoporthzirend objektumot minden sszetartoz belltscsoport szmra, mert gy finomabban tudjuk adagolni, kiosztani a GPO-kat a szmtgp-, illetve felhasznlcsoportoknak.
Az rklds
A magasabb szint (szl) kontnerekhez rendelt GPO-k belltsai alaprtelmezs szerint rkldnek a gyermektrolkra s kombinldnak (sszeaddnak) az ide csatolt GPO-k belltsaival. Ha tbb GPO eltr rtkkel tartalmazza ugyanazt a belltst, akkor azok fellrjk egyms hatst az rklsi lnc mentn. Minden kontneren lehetsgnk van azonban a fentrl rkez rklds megszaktsra, ha bekapcsoljuk a Block Inheritance (rklds megszaktsa) opcit. Ez a lehetsg nagyon jl hasznlhat, ha pldul olyan GPO-t kell bezemelnnk, ami egyetlen OU kivtelvel a teljes tartomnyra vonatkozik. Ekkor hozzkthetjk a GPO-t a tartomnyhoz, a kivteles OU-n pedig egyszeren megszakthatjuk az rkldst. Problmt okozhat azonban, hogy ebben az esetben a tartomny szintjn megadott egyetlen GPO sem r le az adott szervezeti egysghez. Ennek megoldsra szolgl egy msik rkldssel kapcsolatos belltsi lehetsg. Minden GPO-n bellthat az Enforce (kiknyszerts) tulajdonsg. Az ilyen GPO-k egyszeren nem veszik figyelembe, hogy az alacsonyabb szint trol meg akarja szaktani az rkldst, s ettl fggetlenl is rvnyre jutnak.
327
Tartomnyi krnyezet
Ez teht azt jelenti, hogy tkzs esetn az utols (teht a legkisebb, a felhasznlt vagy szmtgpet kzvetlenl tartalmaz szervezeti egysg legkisebb sorszm hzirendje) gyz, vagyis ennek prioritsa a legnagyobb. Termszetesen, ha nincs tkzs a belltsok kztt, akkor a sorrendnek nincs jelentsge, vagyis minden megadott bellts rvnyeslni fog az adott felhasznlra, illetve szmtgpre.
A csoporthzirend
A csoporthzirend frisstse
A csoporthzirend objektumokon vgrehajtott vltozsok nem rvnyeslnek azonnal a szmtgpeken, illetve felhasznlkon. Az automatikus frissts az gyflgpek esetben 90, a tartomnyvezrlknl pedig 5 percenknt trtnik. A trelmetlenebbek azonban kzzel is kiknyszerthetik a frisstst a gpupdate (esetleg a mindent frisst gpupdate/force) hasznlatval.
329
Tartomnyi krnyezet
Ilyenkor sem futnak le azonban a gpindtshoz, lelltshoz, illetve ki-, bejelentkezshez kttt esemnyek (szkriptek), ezek futtatshoz jra kell indtanunk a szmtgpet, illetve jra be kell jelentkeznnk.
A gpupdate parancs csak a Windows XP opercis rendszerben jelent meg, korbban (Windows 2000) a secedit parancs megfelel paramterezsvel rhettk el ugyanezt a hatst.
330
A replikci s a telephelyek
A GPMC segtsgvel az albbi feladatokat vgezhetjk el: Ltrehozhatunk j hzirend objektumokat, s az egyes objektumokra meghvhat csoporthzirend-objektum szerkeszt (ez nem a GPMC, hanem az opercis rendszer rsze) segtsgvel megadhatjuk az abban szerepl belltsokat. A ltrehozott hzirend objektumokat hozzkthetjk (link) a megfelel Active Directory kontnerekhez. Knnyen ttekinthet listban megjelenthetjk az egyes csoporthzirend objektumokban lv belltsokat, nem kell azokat a szerkeszt alkalmazs felletn megkeresni. Deleglhatjuk az egyes GPO-k felgyeleti jogait felhasznlk, illetve biztonsgi csoportok szmra. Menthetjk s helyrellthatjuk a csoporthzirend objektumokat (akr valamennyit egy lpsben). Ellenrizhetjk az rkldst, bellthatjuk a blokkolst s kiknyszertst, illetve bellthatjuk az egy kontnerre hat csoporthzirend objektumok kztti prioritsi sorrendet. A Group Policy Results eszkz segtsgvel lekrdezhetjk az egyes felhasznlkra, illetve szmtgpekre aktulisan hat csoporthzirend objektumokat, s sszegezve megtekinthetjk az azokban szerepl belltsokat. Jelentseket kszthetnk HTML-formtumban
A replikci s a telephelyek
Az Active Directory-hlzat nvekedsnek egy pontjn elkerlhetetlenn vlik, hogy szembenzznk a telephelyek kialaktsnak problmival. Termszetes igny, hogy a kzponttl tvol dolgozk is rszesljenek a kzpontilag (vagy ppen elosztottan) felgyelt cmtr, a csoporthzirend, vagy pldul az Exchange ldsaibl. Korltozott svszlessg esetn mindenkppen a helysznen zemel tartomnyvezrl a j megolds, ekkor viszont a loklis hlzaton zemeltetett cmtr esetben nem jelentkez problmk fognak felmerlni. Hogyan s milyen gyakorisggal trtnik a tartomnyvezrlk kztti replikci? Milyen svszlessg szksges ehhez, s persze hogyan lehetne cskkenteni a szksgleteket? A telephelyen lv szmtgpeknek nyilvn a
331
Tartomnyi krnyezet
helyben lv tartomnyvezrl hasznlatval kellene bejelentkeznik, onnan kellene letltenik a csoporthzirend objektumokat, logon szkripteket stb. De honnan fogjk tudni az gyflgpek, hogy melyik a sajt, kzelben lv tartomnyvezrljk, amikor a DNS-tl csak egy szinte vletlenszeren kivlasztott IP-cmet kapnak? A kvetkezkben ezekre a krdsekre keresnk vlaszt, megismerkednk a replikci finomhangolsnak mdszereivel, s az egszsges telephelystruktra kialaktshoz szksges ismeretekkel.
A replikci
A replikci segtsgvel kpes az Active Directory-cmtrszolgltats a klnbz tartomnyvezrlkn trolt cmtr-adatbzisok folyamatos szinkronban tartsra. A tartomny sszes tartomnyvezrljn mdosthatak a cmtr adatai, ezrt az sszes tartomnyvezrl automatikusan rszt is vesz a replikciban, teht a cmtradatok brmilyen mdostst a rendszer a tartomny sszes tartomnyvezrljre repliklja. Az Active Directory tbb fkiszolgls (multimaster) replikcis modellt hasznl, amely lehetv teszi, hogy a cmtr mdostst brmelyik tartomnyvezrln elvgezhessk, majd a vltozsok az sszes tartomnyvezrl cmtrpldnyba bekerljenek. Ahogyan mr korbban emltettk, az adatokat az egyes tartomnyvezrlkn a cmtradatbzis tartalmazza, amely logikailag cmtrpartcikra tagoldik. Mindegyik partci klnbz tpus adatokat trol, ezek lehetnek a tartomny objektumai, a sma, klnfle konfigurcis adatok, vagy alkalmazsadatok. Az adott erdn bell valamennyi tartomnyvezrln megtallhat a sma- s konfigurcis partci msolata, az egyes tartomnyok vezrlin pedig a tartomnyobjektumokat tartalmaz replika. Amint az 5.21. brn lthat, a klnbz cmtrpartcik esetn klnbz replikcis topolgia alakul ki, mivel a tartomnyadatok replikcija csak az egyes tartomnyokon bell, mg a sma s konfigurcis partci az erd valamennyi tartomnyvezrlje kztt replikldik. A multimaster replikci segtsgvel valamennyi tartomnyvezrl szinte folyamatosan frissti az ltala trolt pldnyt a tbbi pldny vltozsainak megfelelen. A replikci termszetesen teljesen automatikusan trtnik, a rendszer minden objektum esetben az utolsknt trtnt vltoztatsokat rvnyesti a msolatokban. Szintn automatikusan megtrtnik a replikci konfigurcija, vagyis a tartomnyvezrlk feltrkpezse s a kapcsolatok kialaktsa is, kln minden egyes cmtrpartcira vonatkozan.
332
A replikci s a telephelyek
A1
A2
B2
B1
A3
A4
B3
A replikci csak akkor jelent tnyleges adattvitelt, ha van mit szinkronizlni, vagyis vltozsok trtntek az adatbzisban. Ilyen vltozs pldul: ha bvtjk a cmtr-adatbzist (pl. egy felhasznl ltrehozsa), ha megvltoztatunk egy objektumot (pl. jelszvltoztats), ha megvltoztatjuk egy kontner (szervezeti egysg) nevt, ha trlnk egy objektumot.
A vltozsok kvetse, s az adatok tvitele az objektumok tulajdonsgainak szintjn trtnik, vagyis pldul, ha megvltozik egy felhasznl telefonszm mezje, akkor nem az egsz objektum, hanem nllan csak a megvltozott tulajdonsg (a telefonszm) replikldik a tbbi tartomnyvezrlre.
A replikcis topolgia
Az sszes tartomnyvezrln megtallhat konzisztencia-ellenrz (Knowledge Consistency Checker, KCC) az Active Directory Sites and Services (Active Directory helyek s szolgltatsok) bepl modulban megadott hlzati adatokra alapozva automatikusan ltrehozza a leghatkonyabb replikcis topolgit.
333
Tartomnyi krnyezet
Brmikor bekerl teht egy j tartomnyvezrl, a KCC a mdosts figyelembevtelvel jraszmtja a korbban kialaktott topolgit (15 perc az idztse). A konzisztencia-ellenrz minden cmtrpartcihoz (sma, konfigurci, tartomny, alkalmazs) kln replikcis topolgit hoz ltre. A konzisztencia-ellenrz minden tartomnyvezrln ktirny, gyrs replikcis topolgit alakt ki, vagyis megprbl legalbb kt kapcsolatot ltrehozni minden tartomnyvezrl esetben (a jobb hibatrst rdekben), a jelentsebb kss elkerlse miatt pedig arra trekszik, hogy kt tartomnyvezrl kztt legfeljebb hrom lpst alaktson ki. A topolgia kzvetlen kapcsolatokat is tartalmazhat, ha a hrom lpsnl hosszabb replikcis t elkerlsnek rdekben ez szksges.
KC KC A2 KC
A1
A3
A4
A7 A6 KC KC KC
A5
KC
A replikci s a telephelyek
st esetleg nincs is lland kapcsolat. A telephelyek kztti replikci a svszlessg minl hatkonyabb kihasznlst prblja elrni; a cmtrfrisstsek automatikusan mennek vgbe egy bellthat temezs alapjn (alaprtelmezs szerint hromrnknt). A telephelyek kztti replikcival kapcsolatos adatforgalom alaprtelmezs szerint tmrtett, a svszlessg jobb kihasznlsnak rdekben.
A telephelyek
Az Active Directoryban a telephely (site) olyan szmtgpek csoportjt jelenti, amelyek kztt nagy sebessg, megbzhat hlzati kapcsolat (jellemzen LAN) van. A telephelyhez tartoz szmtgpek ltalban egy pletben tallhatk, vagy kzs helyi hlzathoz csatlakoznak. Egy telephelyen bell termszetesen tbb IP-alhlzat is lehet. Az Active Directory telephely koncepcijnak alapveten kt clja van: Egyrszt nvelhetjk vele a replikci hatkonysgt. A gyors kapcsolattal rendelkez szmtgpek csoportjaknt definilt telephelyeken bell gyakoribb a replikci, gy a telephelyen belli tartomnyvezrlk kapjk meg leggyorsabban a frisstseket. A telephelyek kztti lassbb kapcsolaton keresztl ritkbban trtnik meg a cmtradatok szinkronizlsa.
A 1
IP Subnet IP Subnet
IP Subnet IP Subnet
Replikci Replikci
A 2
B 1
IP Subnet IP Subnet
IP Subnet IP Subnet
Replikci Replikci
B 2
Replikci Replikci
Msrszt meghatrozhatjuk, hogy a telephelyen lv szmtgpeket a telephelyen lv tartomnyvezrl jelentkeztesse be, innen tltsk le a csoporthzirend objektumaikat, bejelentkezsi szkriptjeiket stb.
A fenti kt pont alapjn mindjrt le is vonhatunk kt fontos kvetkeztetst a telephelyek kialaktsra vonatkozan: Nem rdemes (hacsak nincs valami klnleges indok) helyben lv tartomnyvezrl nlkli telephelyet definilni, mivel ebben az esetben a fenti kt elnys tulajdonsg egyike sem jelentkezhet.
335
Tartomnyi krnyezet
Nem rdemes telephelyeket definilnunk olyan helysznek esetben, amelyek kztt gyors (10Mb/sec, vagy mg gyorsabb) hlzati kapcsolat van. A gyors kapcsolattal rendelkez IP-alhlzatok telephelly alaktsa nem nveli, hanem inkbb cskkenti a teljestmnyt.
A telephelyek s a tartomnyok kztti legfontosabb klnbsg az, hogy a telephelyek a hlzat fizikai felptst, a tartomnyok pedig a szervezet logikai szerkezett kvetik. A telephelyek s tartomnyok kztt brmifle tfeds lehetsges, egy telephely tartalmazhat tbb tartomnyt, s egy tartomny is kiterjedhet tbb telephelyre. A lnyeg minden esetben a replikcihoz, valamint az gyfelek s a tartomnyvezrlk kztti adatforgalomhoz szksges svszlessg optimlis felttelekkel trtn biztostsa.
Telephely B
WAN Link
Telephely A Tartomnyvezrlk
5.23. bra: A telephelyek kztti kapcsolat ltalban lassbb s kevsb megbzhat
336
A replikci s a telephelyek
Vgl a ltrehozott IP-alhlzatok tulajdonsglapjain ki kell vlasztanunk azt a telephelyet, amelyhez az adott alhlzat tartozik.
Az itt megadott instrukcikat a DNS-kiszolgl fogja kzlni az gyfelekkel, akik gy sajt IP-cmk s alhlzati maszkjuk alapjn eldnthetik, hogy melyik telephelyhez tartoznak, a telephely alapjn pedig kivlaszthatjk, hogy melyik tartomnyvezrlhz kell csatlakozniuk.
Telephelyek tervezse
A telephely-struktra megtervezse nem minden esetben egyszer feladat, az pletek egymstl val fizikai tvolsgn kvl sok esetben ms szempontokat is figyelembe kell vennnk. A legfontosabb krds, amit el kell dntennk, hogy biztosan rdemes-e telephelyet fabriklni az adott helysznbl, vagy nyugodtan hasznlhatjk a kzpontban lv kiszolglkat, esetleg mindenkppen az Active Directoryn kvl kell maradniuk. ltalnosan hasznlhat receptet adni valsznleg lehetetlen, de azrt megprbljuk felvonultatni a legfontosabb szempontokat:
337
Tartomnyi krnyezet
Hny szmtgp mkdik a telephelyen? kt szmtgpnek valsznleg nem rdemes kln tartomnyvezrlt kivinni a telephelyre, tartomnyvezrl nlkl pedig rtelmetlen a telephelly alakts, egyszerbb a kzpontban lv kiszolglkat hasznlni. Van-e esetleg mr kiszolgl, vagy tartomnyvezrl? komoly rv lehet a telephelly alakts mellett, ha van mr a helysznen kiszolgl. Ha erre szksg volt, (s nincs nagyon gyors hlzati kapcsolat), akkor valsznleg rdemes a kiszolglbl tartomnyvezrlt, a helysznbl pedig telephelyet gyrtani. Milyen IP-alhlzatokbl ll az j telephely? Milyen tpus s sebessg WAN-kapcsolat jellemzi az j telephelyet, milyen kltsgekkel jr a hlzati kapcsolat?
Vgezetl mg nhny tipp a korrekt s praktikusan mkd telephelyi krnyezethez: Egy egszsges telephelyen clszeren van tartomnyvezrl. Egy az adott helysznen hasznlt clalkalmazs is ignyelheti a telephelyet. Ha a fentiek kzl egyik sem teljesl, akkor valsznleg nem rdemes telephelly alaktani az adott helysznt. Mindig specifikljuk az sszes telephely, sszes IP-alhlzatt, mivel az gyflgpek ez alapjn talljk meg a hozzjuk kzel lv tartomnyvezrlt.
338
HATODIK FEJEZET
Hibakeress s elhrts
A fejezet tartalma:
Hogyan lehet szlelni a hibkat? .................................................................... 340 Hibakeress s javts mlyebben .................................................................. 341 Grafikus ellenrz-javt eszkzk ................................................................. 356 Adataink biztonsga ........................................................................................ 372 Kls eszkzk .................................................................................................. 382 Ami elromolhat, az el is romlik, egyltaln nem mindegy azonban, hogy a hibaelhrts kt percig, vagy kt hnapig tart sajnos, akr azonos hiba esetn is elfordulhat mindkt vglet, a dolog egyszeren azon mlik, hogy ki az, aki a hibaelhrtssal prblkozik, s milyen eszkzk llnak rendelkezsre a problma megkeresshez s elhrtshoz. Br a hibaelhrts termszetnl fogva nem sablonmvelet, vagyis nem lehet minden helyzetben hasznlhat receptet adni, ebben a fejezetben megprblkozunk az alapelvek, s felhasznlsra rdemes alapeszkzk bemutatsval.
A hibk elhrtshoz ltalban a programok felhasznli fellete mg kell merszkednnk, gy mindenkppen indokolt az vatossg; nem szmthatunk a megszokott bolondbiztos viselkedsre, vagyis egy meggondolatlan mozdulattal az eredetinl akr sokkal nagyobb bajt is okozhatunk. Egy fontos szablyt teht mindig clszer betartani: Ha nem tudod, hogy mit csinlsz, s pontosan mit akarsz vele elrni, akkor inkbb ne csinld!
A fejezetben a kvetkez tmkkal fogunk megismerkedni: Hibakeress s javts mlyebben elsknt azokkal a hibkkal foglakozunk, amelyek megakadlyozzk az opercis rendszer szoksos mdon val indtst, illetve a rendszer lellsval jrnak, vagyis kezelskhz specilis, ltalban grafikus fellet nlkli eszkzkre van szksg. A rendszerindts folyamata s az indtmen elemei ebben a rszben rszletesen megismerkednk a Windows-rendszerek indtsi folyamatnak lpseivel, s a hibakeressre szolgl zemmdokat lehetv tev indtmenvel.
Hibakeress s elhrts
A helyrelltsi konzol (Recovery Console) ttekintjk a Windows teleptlemezrl indthat Recovery Console lehetsgeit. Az eszkz segtsgvel hozzfrhetnk a ms mdon mr nem indthat opercis rendszer fjljaihoz s ms belltsaihoz.
A kk hall megismerkednk a Windows-rendszerek lellst ksr hrhedt kk kperny kivlt okaival, s a megjelen adatok jelentsvel. Grafikus ellenrz- javt eszkzk a sikeres rendszerindts utn rendelkezsnkre ll a Windows valamennyi beptett hibakeres-, javt s ellenrz eszkze. Ebben a rszben ezek kzl fogunk a legfontosabbakkal megismerkedni. Adataink biztonsga Ha mr minden ms mdszer csdt mondott, akkor a biztonsgi mentsbl val visszalltshoz kell folyamodnunk. Ebben a rszben a mentsi rendszer megtervezsrl s hasznlatrl lesz sz. Kls eszkzk a Windows beptett eszkzein kvl szmos kls programot is ignybe vehetnk a hibakeresshez. Ebben a rszben a Sysinternals cg ltal ksztett eszkzk kzl ismerkednk meg a legfontosabbakkal.
Br tmnk alapveten a Windows Server 2003 R2, a fejezetben lertak gyakorlatilag teljes mrtkben rvnyesek a rgebbi kiszolglrendszerekre (Windows 2000 Server) s az gyflrendszerekre is (Windows 2000 s XP). A Windows Vista esetn termszetesen vannak bizonyos (esetenknt jelents) klnbsgek s jdonsgok is, de ezek legnagyobb rszrl a knyv els rszben mr szt ejtettnk.
A legnehezebben felderthet hibk azok, melyek nem jrnak konkrt, jl beazonosthat jelensggel (pldul hibazenet), nincs nyomuk az esemnynaplban, csak bizonyos homlyos, nehezen, vagy egyltaln nem reproduklhat tnetek utalnak arra, hogy valami nincs teljesen rendben a kiszolglval. A kvetkez jelensgekre rdemes figyelmet fordtani: A kiszolgl a szoksosnl lassabban mkdik, esetleg nha minden klnsebb lthat ok nlkl jraindul. Az gyfelek a szoksosnl lassabban rik el a kiszolglt, esetleg bizonyos mveletek (pldul nvfelolds) elvgzsre sokat kell vrakozni. Klnfle hlzati szolgltatsok elrse bizonytalan, nha gond nlkl mkdik, mskor egyltaln nem rhet el. Rejtlyesnek tn hardverproblmk jelentkeznek (melegeds, hangok stb.)
Ha a megfigyelt jelensgek alapjn mr biztosak vagyunk benne, hogy valami problma lehet a kiszolglval, akkor az albbi eszkzket vethetjk be a konkrt hibajelensg azonostshoz: Task Manager (Feladatkezel) a fut (vagy nem fut) folyamatok azonostsra s az erforrsok foglaltsgnak ellenrzsre Services (Szolgltatsok) MMC a rendszerszolgltatsok llapotnak ellenrzshez Event Viewer (Esemnynapl) Alkalmazs- s rendszernaplfjlok (AD, IIS, ISA, SQL stb.) System Information eszkz (Msinfo32) Kls (pl. Sysinternals) eszkzk
341
Hibakeress s elhrts
Az MBR minden particionlt merevlemezen megtallhat (a particionlskor kerl r), mgpedig a lemez legels fizikai szektorban (vagyis a teljes mrete 512 bjt). Az MBR tartalmaz nmi vgrehajthat kdot (Master Boot Code), az adott lemez egyedi azonostjt (Disk Signature) s a ngyszer 16 bjt mret partcis tblt. Az MBR vgn tallhat partcis tbla teht ngy bejegyzst tartalmazhat. Az egyes bejegyzsekben szerepel az adott partci els s utols szektornak azonostja, a partci szektorainak szma, s a fjlrendszerre utal rtk. Ha a bejegyzs utols kt bjtjnak rtke 0x8001, akkor aktv partcirl van sz. Az MBR utols kt bjtja egy specilis rtk (0x55AA), amely a szektor vgt jelzi, s amelynek hinya komoly problmkat okozhat.
Ha az MBR utols kt bjtja nem 55AA, akkor a BIOS azt felttelezi, hogy az MBR srlt, vagy a lemez egyltaln nincsen particionlva. Ekkor ltalban (br a pontos szveg BIOS-fgg) az Operating system not found zenet jelenik meg, a szmtgp pedig termszetesen nem folytatja az indtst. Ha a
342
BIOS megfelelnek tli az MBR-t, akkor betlti s elindtja a benne tallhat programot. Az MBR programja vgigolvassa a partcis tblt, s kivlasztja belle az aktvknt megjellt partcit. Ha ez valami miatt nem sikerl (pldul egyltaln nincs aktv partci) akkor az Operating System not found, vagy az Invalid partition table zenet jelenik meg. Ha sikerlt megtallni az aktv partcit, akkor az MBR-kd betlti az adott partci boot-szektort a memriba s ellenrzi azt.
A bootszektor az egyes partcik els szektora, amely az adott partcira teleptett opercis rendszer indtst lehetv tev programkdot, s a partcira vonatkoz klnfle informcikat tartalmazza. A bootszektor a partci formzsakor jn ltre, tartalma pedig a fjlrendszer tpustl fgg. Az MBR-hez hasonlan a bootszektor vgt is az 0x55AA rtk jelzi.
Ha a bootszektort nem sikerl betlteni (pldul, mert a partci nincs formzva), akkor az Error loading operating system zenet jelenik meg s a betlts lell. Amennyiben a bootszektor vgn nincs ott a mgikus 55AA rtk, a Missing operating system zenet jelenik meg, s a betlts termszetesen ebben az esetben sem folytatdik. Ha minden rendben van, akkor az MBR-kdtl a vezrls a boot szektor kdjhoz kerl, s folytatdik a rendszerindts.
A bootszektor programjnak feladata az, hogy megkeresse s elindtsa a Windows betlt programjt az NTLDR-t, amelynek az indt partci gykerben kell lennie. Ha ez valamilyen ok miatt nem sikerl, akkor ezen a ponton kaphatjuk a Missing NTLDR hibazenetet (NTFS fjlrendszer esetn). Ha sikerlt elindtani az NTLDR-t, akkor az els lpsknt 32-bites vdett mdba kapcsolja a processzort s engedlyezi a memrialapozst, gy ezutn mr rendelkezsre ll a teljes 4 GB-os cmezhet tartomny (32-bites processzor esetn).
Az NTLDR ezutn a kvetkez mveleteket vgzi el [az NTLDR tartalmazza az NTFS (s FAT, illetve FAT32) fjl-rendszerrel formzott partcik olvasshoz s rshoz szksges programkdot]: Megvizsglja a gykrmappban tallhat hiberfil.sys llomnyt, s ha tall benne alv llapotban lv opercis rendszert, akkor visszatlti azt a memriba, a vgrehajts pedig folytatdik a hibernlskor megjegyzett ponton. Ha nincsen alv opercis rendszer, akkor az NTLDR beolvassa a gykrmappban lv boot.ini nev fjl tartalmt. A boot.ini ARC-tvonalak (Advanced RISC Computing) formjban tartalmazza a szmtgpen tallhat indthat opercis rendszerek helyt. Az NTLDR a boot.ini alapjn kszti el azt a kis ment, amibl kivlaszthatjuk az elindtand opercis rendszert.
343
Hibakeress s elhrts A men csak akkor jelenik meg, ha egynl tbb bejegyzs van a boot.ini-ben. Egy bejegyzs esetn az NTLDR azt felttelezi (milyen intelligens, nem?), hogy azt az egyet szeretnnk elindtani. Ha egyltaln nincsen boot.ini, akkor az NTLDR azt felttelezi, hogy az opercis rendszer az adott partci alaprtelmezett mappjba (c:\windows) van teleptve. Ha ez a mappa nincs a helyn, akkor a kvetkez zenet jelenik meg: Windows could not start because the following file is missing or corrupt: \winnt root\system32\ntoskrnl.exe.
Miutn valamilyen mdon sikerlt tisztzni, hogy melyik opercis rendszert is kell elindtani (kivlasztottuk a menbl, vagy sikerlt az alaprtelmezs alapjn megtallni), az NTLDR elindtja az ntdetect.com programot (az ntdetect.com szintn a gykrmappban tallhat). Az ntdetect listt kszt a szmtgp hardverkomponenseirl (busztpusok s eszkzk, lemezmeghajtk, grafikus krtya, billentyzet, soros s prhuzamos portok, egr stb.) s az eredmnyt tadja az NTLDR-nek.
Ezen a ponton, vagyis az indtand rendszer kivlasztsa (automatikusan, vagy a menbl) utn az NTLDR trli a kpernyt, s megjelent egy karakteres folyamatjelzt. Sajnos (vagy szerencsre) ez tbbnyire szinte lthatatlan a gyors betltds miatt. A klnfle indtsi opcik (cskkentett md, DSRM stb.) elrsre szolgl indtmen megjelentshez viszont pontosan akkor kell megnyomnunk az F8 billentyt, amikor ez a folyamatjelz lthat, (illetve nem lthat).
Ezutn az NTLDR sorban elkezdi betlteni a memriba rendszer klnbz rszeit (de csak betlti, mg nem inicializlja, illetve nem indtja el ket). Elsknt betltdik az ntoskernel.exe s a hal.dll (mindkt fjlnak a %systemroot%\System32 mappban kell lennie), majd a registry HKLM\SYSTEM ga (a %systemroot%\System32\Config\ System fjlbl, s az ebben trolt adatok alapjn valamennyi szksges eszkzvezrl. Az eszkzvezrlket tartalmaz fjlok a %systemroot%\ System32\Drivers mappban tallhatk. Az NTLDR a registryben trolt adatok alapjn hatrozza meg, hogy a betltds tovbbi rszt meghatroz gynevezett Control Setek kzl melyiket kell felhasznlnia. Ezen a ponton trtnik a Last Known Good Configuration (legutols helyes konfigurci) betltse (lsd ksbb), ebben az esetben egy korbban elmentett, a legutols mdostsokat mg nem tartalmaz Control Setet fog felhasznlni az NTLDR. Utols tevkenysgeknt az NTLDR elindtja a mr korbban betlttt ntoskernel.exe programot, a betltds tovbbi rszt mr az ntoskernel.exe vezrli.
344
Az ntoskernel indulsakor a kperny grafikus zemmdban vlt, s a sznes Windows log alatt megjelenik a dsz folyamatjelz, ami nem jelzi ugyan semmifle folyamat elrehaladst, de legalbb kellemes, megnyugtat ltvnyt nyjt. Kzben azrt fontosabb dolgok is trtnek, az ntoskernel memriastruktrkat hoz ltre, inicializlja a megszaktskezelket, elindtja a folyamatkezelt s ltrehozza a System folyamatot. Ezutn kerl sor az NTLDR ltal betlttt eszkzkezelk inicializlsra. Kvetkez lpsknt az ntoskernel elindtja a Session Managert (smss.exe), majd a winlogon.exe indtsakor megjelenik a Windows bejelentkez ablaka.
Az indtmen
A Windows indtmenje lehetv teszi azt, hogy az opercis rendszert klnfle specilis zemmdokban indtsuk el. A specilis zemmdokra ltalban hibakeress, illetve elhrts cljbl van szksg. Az indtment az NTLDR futsa kzben lenyomott F8 billenty segtsgvel rhetjk el. A kvetkezkben ttekintjk az egyes menpontok szerept, s felsorolunk nhny tipikus problmt, amelyek az indtmen hasznlatval oldhatk meg.
Az indtmen hasznlata Ebben a screencastban az opercis rendszer indtmenjnek klnfle lehetsgeivel ismerkedhetnk meg. Fjlnv: II-3-1a-Boot-Menu.avi
Cskkentett mdok
Ha a szmtgp a szoksos mdon nem indthat, illetve a szoksos indtskor olyasmi is elindul, amire egyltaln nincsen szksg (pldul klnfle kedves spyware programok, vagy egyb frgek), akkor rdemes megprblkozni valamelyik cskkentett mdban trtn rendszerindtssal. Termszetesen brmelyik cskkentett mdot is vlasztjuk, valamelyik helyi felhasznli fik hasznlatval be kell jelentkeznnk a rendszerbe. Safe Mode (Cskkentett md) Cskkentett mdban a Windows az alaprtelmezett belltsokat hasznlja (hlzati szolgltatsok betltsre nem kerl sor). Ebben az esetben az opercis rendszer csak a mkdshez nlklzhetetlen eszkzmeghajtkat (VGA monitorvezrl, a troleszkzk (IDE, SCSI, CD-ROM stb.) kezelprogramjai, egr s billentyzet) s a legszksgesebb szolgltatsokat (Logical Disk Manager, Plug and Play, RPC stb.) indtja el. Nincsen hlzat, nem hasznlhatak a klnfle extra eszkzk (USB-memrik, hangkrtya
345
Hibakeress s elhrts
stb.), s nem indulnak el a szoksos rendszerindtskor automatikusan indul programok sem. Ha a szmtgpet ilyen mdon sikerl elindtani, akkor megkereshetjk s letilthatjuk, illetve eltvolthatjuk a problmt okoz eszkzillesztt, szolgltatst, vagy programot. Safe Mode with Networking (Cskkentett md hlzattal) Ez az indtsi md megegyezik a cskkentett mddal, de betltdnek a hlzati alapszolgltatsok is (DHCP- s DNS-gyfl, Server, Workstation stb.) vagyis elrhetjk s felhasznlhatjuk a hlzati erforrsokat is. Ebben az esetben hasznlhatunk tartomnyi felhasznlnevet is a bejelentkezshez. Safe Mode with Command Prompt (Cskkentett md parancssorral) ebben az esetben nem indul el a Windows grafikus felhasznli fellett biztost Windows Explorer (explorer.exe), hanem helyette csak egy parancssort (cmd.exe) kapunk. Akkor lehet szksg erre az indtsi mdra, ha a szmtgp norml md indtst lehetetlenn tev problmt maga a Windows Explorer okozza (pldul hinyzik, vagy srlt az explorer.exe fjl).
A cskkentett mdokban elindul eszkzillesztket s szolgltatsokat a HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot registrykulcs alatt tallhat rtkek hatrozzk meg, a Minimal szakasz mindhrom esetben, a Network szakasz pedig a Cskkentett md hlzattal menpont vlasztsa esetn tltdik be.
346
Last Known Good Configuration (Legutols helyes konfigurci) A rendszer minden indtskor mentst kszt a registrynek a betltdsi folyamatot meghatroz rszrl (Control Set). A menpont kivlasztsakor a rendszer indtsa a Windows legutbbi indtsakor elmentett registryadatok alapjn trtnik, vagyis az utols bejelentkezs ta mdostott illesztprogram- s rendszerbelltsok el fognak veszni. A Control Set j kszletknt val megjellse, a bejelentkezskor trtnik, vagyis ekkor az aktulis s a legutols helyes Control Set megegyezik. A munkamenet sorn elvgzett vltoztatsok csak az aktulis registryadatokat rintik, a bejelentkezskor ltrehozott pldny megmarad eredeti llapotban, erre trhetnk ksbb vissza (a cskkentett mdban val bejelentkezs nem szinkronizlja a Control Seteket, vagyis ekkor megmarad a korbbi konfigurci is). A menpontot teht kzvetlenl a hibt okoz vltoztats utn rdemes hasznlni (a kvetkez bejelentkezs eltt), segtsgvel rszlegesen visszallthatjuk a registryt (az eszkzmeghajtk s szolgltatsok belltsait), de srlt vagy hinyz fjlok ptlsra nem hasznlhat. Directory Services Restore Mode (Cmtrszolgltatsok visszalltsa) Az elmentett Active Directory adatbzis mentsbl val helyrelltsakor van szksg a DSRM zemmdban trtn rendszerindts hasznlatra (csak tartomnyvezrlkn). A DSRM-zemmd rszletei az elz, Tartomnyi krnyezet cm fejezetben tallhatk. Debugging mode (Hibakeressi md) A rendszer indtskor a soros (COM2), illetve firewire portra kld klnfle hibakeressi adatokat. Disable automatic restart on system failure (Automatikus jraindts letiltsa rendszerhiba esetn) Alaprtelmezs szerint rendszerlells (kk hall) utn a szmtgp automatikusan jraindul, gy nem tudjuk megnzni s felrni a kpernyn lthat hibazenetet, ami pedig igen fontos lenne a hiba oknak megllaptshoz. Termszetesen az alaprtelmezett viselkeds a mkd rendszer grafikus felletn megvltoztathat, de ha a lells a Windows indtsa kzben trtnik, akkor ez a lehetsg mr nem rhet el. A menpont hasznlatval nem indul rendszer esetben is megvltoztathatjuk ezt a fontos belltst.
347
Hibakeress s elhrts
Teleptettnk egy olyan programot a szmtgpre, ami hozott magval egy j rendszerszolgltatst vagy eszkzmeghajtt, s belltotta ennek automatikus indtst is. jraindtsakor azonban az indul szolgltats hibja miatt nem indul el a szmtgp (kk hall). Ebben az esetben cskkentett mdban valsznleg problma nlkl elindthat a rendszer, s letilthatjuk az jonnan teleptett szolgltats vagy eszkzmeghajt automatikus indulst, illetve eltvolthatjuk a programot. Teleptettk gpnkre az internetrl letlttt rendszerkarbantart s kvfz csodaprogram legfrissebb, 2.43.5f verzijt. Mgsem tetszik azonban a programba integrlt e-mailkldsi funkci, ami folyamatosan klnfle reklmokkal bombzza ismerseinket, ezrt megprblunk megszabadulni tle. Szomoran tapasztaljuk, hogy a Feladatkezelvel sajnos nem lehet lelltani a folyamatot. Sebaj, trljk le magt a programfjlt! Amg azonban a folyamat fut, sajnos a fjlt sem lehet letrlni. Kvetkez lpsknt megprblhatjuk megkeresni s trlni a registry megfelel bugyrban (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) a program automatikus indtst vgz bejegyzst. jraindts utn azonban a csodaprogram.exe jra ott figyel a fut folyamatok kztt, st visszarta magt a registrybe is. Ekkor kvetkezik a cskkentett mdban trtn indts, ami mr valdi megoldst jelenthet. Cskkentett mdban nem indulnak el az egybknt automatikusan indul (csoda)programok, gy mr trlhetek a flsleges fjlok, s vglegesen trlhet a registrybejegyzs is. Az egyik szmtgphez j monitort csatlakoztatunk. A gp ltszlag elindul, de aztn mr csak nem ltszlag mkdik, mivel a bejelentkez ablak helyn csak egy fekete kperny fogad minket. Ebben az esetben az a helyzet, hogy az j monitor nem kpes a rgi monitor szmra belltott 1746x1398 kppontos felbonts (esetleg a 168 Hz kpfrisstsi frekvencia) megjelentsre. Cskkentett, vagy VGA-mdban trtn indts esetn a grafikus fellet olyan felbontssal indul, amelyet minden monitor biztosan meg tud jelenteni, gy mr be tudunk jelentkezni, s tetszs szerint tllthatjuk a kperny paramtereit.
Helyrelltsi konzol
A Helyrelltsi konzol (Recovery Console) hasznlatra akkor van szksg, ha semmilyen ms mdon nem tudjuk elindtani a gpre teleptett opercis rendszert (cskkentett mdban sem). A Helyrelltsi konzol teljesen nllan indthat, hasznlathoz nincsen felttlenl szksg a merevlemezen trolt informcikra.
348
A Helyrelltsi konzolnak nincsen grafikus fellete, ez tulajdonkppen egy korltozott parancskszlettel rendelkez nll mini opercis rendszer, amelynek hasznlatval hozzfrhetnk a merevlemezeken trolt adatokhoz, ptolhatunk, kicserlhetnk, vagy lementhetnk fjlokat (NTFS fjlrendszer esetn is). Lehetsgnk van diagnosztikai eszkzk futtatsra (pldul chkdsk a fjlrendszer ellenrzshez s javtshoz), s bizonyos mrtkig hozzfrhetnk a registryhez is: engedlyezhetjk, illetve letilthatjuk az egyes eszkzmeghajtk s rendszerszolgltatsok indtst. Tovbbi fontos lehetsg a f rendszertlt rekord (MBR) s a bootszektor javtsa (jrarsa) is. A Helyrelltsi konzolt telepthetjk a gp merevlemezre (de a teleptett vltozat a rendszerindts korai fzisnak hibja esetn nem rhet el), illetve elindthatjuk kzvetlenl az opercis rendszer teleptlemezrl is. A konzol lefel kompatibilis, vagyis pldul a Windows Server 2003 teleptlemeze hasznlhat a Windows 2000, XP stb. rendszerek javtshoz is.
A Recovery Console teleptse a merevlemezre Ebben a screencastban felteleptjk a kiszolgl merevlemezre a Recovery Console-t. Fjlnv: Fjlnv: II-3-1b-RC-telepites.avi
A konzol indtsa
A Helyrelltsi konzol indtshoz a szmtgpet a Windows telept CD-rl kell elindtanunk (mintha csak az opercis rendszert teleptennk). A merevlemezek elrshez esetleg szksges SCSI- vagy RAID-vezrlket az F6 billenty megnyomsa utn floppyrl adagolhatjuk be (ppen gy, mint telepts kzben).
Lehetsg van arra is, hogy a Helyrelltsi konzolt a merevlemezre teleptsk. Ebben az esetben a konzol indtshoz mr nincs szksg a telept CD-re, mivel a telepts sorn a futtatshoz szksges minden fjl a rendszerktet gykerben ltrejv cmdcons nev rejtett mappba kerl, a rendszerindtskor megjelen menbe pedig (boot.ini) bekerl a Windows Server 2003 Recovery Console sor. A teleptshez azonban szksg van a Windows CD-re, a kvetkez parancsot kell kiadnunk: x:\i386\winnt32/cmdcons, ahol x a teleptlemezt tartalmaz CD-meghajt betjele.
349
Hibakeress s elhrts
Az eszkzmeghajtk betltse utn a telepts helyett vlasszuk a rendszer javtst, majd a teleptett opercis rendszerek listja alapjn (a szm bersval) ki kell vlasztanunk azt a Windows pldnyt, amelyikbe be szeretnnk jelentkezni, s meg kell adnunk a helyi Administrator (Rendszergazda) fikhoz tartoz jelszt (ha a fik nevt megvltoztattuk, akkor sincs szksg felhasznlnvre, mivel azt a biztonsgi azonost (SID) helyettesti).
Tartomnyvezrl esetn a DSRM-md jelszavt kell begpelnnk, amelyet a tartomnyvezrlv val ellptetskor lltottunk be. (Ez a jelsz utlag az ntdsutil program hasznlatval mdosthat, de termszetesen csak a mkd rendszerben, a helyrelltsi konzolban nem.) A jelsz megadsval hromszor prblkozhatunk, ha a harmadik tipp is helytelen, a szmtgpet mr csak jraindtani lehet. Ha a helyrelltsi konzol nem tallt a lemezen teleptett Windows-rendszert, akkor termszetesen nincs hova bejelentkezni, s a parancssor minden tovbbi nlkl megjelenik. Ha sikerlt megadnunk a megfelel jelszt, akkor a kivlasztott pldny %systemroot% mappjban (pldul c:\windows) talljuk magunkat, s kezddhet a kzdelem.
A kvetkezkben ttekintjk a helyrelltsi konzol legfontosabb, leggyakrabban hasznlt parancsait, s a parancsok hasznlatval kapcsolatos tudnivalkat.
A konzol indtsa utn kilistzhatjuk a hasznlhat parancsokat a help parancs hasznlatval, illetve egyes parancsokhoz is krhetnk segtsget, ha begpeljk a help <parancsnv> utastst.
350
Chkdsk a parancs segtsgvel lemezellenrzst vgezhetnk, s krhetjk a tallt hibk automatikus javtst. Ha az ellenrzend lemez nincsen inkonzisztensknt megjellve, akkor a chkdsk csak a /p kapcsol hasznlata esetn vgzi el annak ellenrzst. Ha megadjuk a /r kapcsolt is, akkor a chkdsk megksrli a hibs szektorokban tallhat adatok helyrelltst. A chkdsk mkdshez szksg van az autocheck.exe programra, ha nem sikerl automatikusan megtallnia (a merevlemezen vagy a telept CD-n), akkor a chkdsk rkrdez annak helyre. Fixmbr a parancs jrarja a f rendszertlt rekord (MBR) els 446 bjtjt, vagyis az MBR-ben tallhat programkdot, de (ltalban) rintetlenl hagyja a partcis tblt.
Ms a helyzet azonban hibs partcis tbla (pldul kt aktvknt megjellt partci) vagy az MBR-t lezr 0x55AA rtk hinya esetn. Ekkor a fixmbr teljesen, s visszavonhatatlanul letrli a partcis tblnkat. Nem szabad teht a fixmbr parancsot hasznlni, ha az Operating system not found vagy az Invalid partition table hibazenetet ltjuk (legalbbis, ha mg szksgnk van a lemez partcis tbljra). Ilyen esetben sajnos az automatizlt megoldsokban mr nem bzhatunk, vagyis csak a nehz t jrhat: a merevlemezt tszereljk egy mkd gpbe, s a Resource Kit-ben tallhat DskProbe.exe nev program segtsgvel manulisan kijavtjuk a partcis tbla hibjt (csak ers idegzeteknek!). Ugyancsak flsleges a fixmbr-rel prblkozni, ha egyltaln nincs aktvknt megjellt partcink, mivel ekkor a partcis tbla megmarad ugyan, de aktv partci tovbbra sem lesz benne.
Fixboot a rendszerpartcira j bootszektort r. Ez a mvelet nem jr klnsebb kockzattal, rontani biztosan nem ront a helyzetnkn. Diskpart egyszer, karakteres fellet partcionlprogram, megegyezik azzal (csak a sznsszellts ms egy kicsit), amivel a Windows-telepts elejn tallkozhatunk. Elsdleges s kiterjesztett partcik, illetve logikai ktetek ltrehozst s trlst vgezhetjk el segtsgvel, illetve meg is formzhatjuk a ltrehozott meghajtkat. Map a parancs megjelenti a meghajt betjelek s a fizikai eszkznevek sszerendelseit. Erre az informcira pldul a fixboot s a fixmbr futtatsakor lehet szksg, mivel ekkor a fizikai eszkzneveket (pldul \Device\HardDisk0\Partition1) kell megadnunk paramterknt. Az arc paramter hasznlatval a parancs ARC (Advanced RISC Computing) formtumban rja ki az eszkzneveket (pldul multi(0)disk(0)rdisk(0)partition(1)), ezeket az rtkeket a boot.ini szerkesztsekor hasznlhatjuk fel.
351
Hibakeress s elhrts
Set a parancs segtsgvel megjelenthetjk s bellthatjuk a konzol krnyezeti vltozit. Mindssze ngy krnyezeti vltoznk van (rtkk true vagy false lehet), amelyekkel tilthat, illetve engedlyezhet klnfle mveletek vgrehajtsa. Alaprtelmezs szerint mind a ngy vltoz rtke false, vagyis a hozzjuk tartoz mveletek tiltottak. St alaprtelmezs szerint csak akkor llthatjuk t a vltozk rtkt, ha ezt a szmtgp helyi hzirendjben (vagy a csoporthzirendben) mr korbban engedlyeztk (lsd ksbb). A ngy vltoz a kvetkez: AllowAllPaths a vltoz segtsgvel engedlyezhetjk a merevlemezeken tallhat valamennyi ktet s mappa elrst. (Alaprtelmezs szerint csak a Windows-mappa s a gykr rhet el.) AllowRemovableMedia engedlyezhetjk az adatok cserlhet meghajtra val kimsolst. (Alaprtelmezs szerint csak befel msolhatunk.) AllowWildCards engedlyezhetjk a helyettest karakterek hasznlatt a fjl s mappakezel parancsokban (pldul copy *.*). NoCopyPrompt true rtk esetn a konzol nem kr megerstst a meglv fjlok fellrsa eltt.
Batch a parancs paramtereknt tetszleges nev, a Helyrelltsi konzol utastsait tartalmaz szvegfjl nevt adhatjuk meg. A fjlban szerepl utastsokat a konzol gy hajtja vgre, mintha egyesvel gpeltk volna be azokat. Msodik paramterknt megadhatjuk a parancsok kimenett fogad fjl nevt is, de ha nem adunk meg nevet, akkor a kimenet a szoksos mdon a konzolra kerl. Bootcfg a parancs segtsgvel mdosthatjuk a boot.ini tartalmt, megkereshetjk pldul a lemezre teleptett Windows-pldnyokat s hozzadhatjuk a megfelel bejegyzseket a boot.ini-hez. Listsvc a parancs megjelenti a szmtgpen elrhet valamennyi eszkzilleszt s szolgltats listjt. Enable a parancsot a paramterknt megadott eszkzilleszt vagy szolgltats engedlyezsre hasznlhatjuk. Msodik paramterknt megadhat az engedlyezet szolgltats indtsi tpusa is. Az indtsi tpus a kvetkez rtkek valamelyike lehet: SERVICE_BOOT_START SERVICE_SYSTEM_START SERVICE_AUTO_START SERVICE_DEMAND_START
352
Disable a parancs letiltja a paramterknt megadott szolgltats, vagy eszkzilleszt indtst. Logon a parancs segtsgvel tjelentkezhetnk a lemezre teleptett msik opercis rendszerbe. Hasznlhatk a fjl s mappamveletekkel kapcsolatos szoksos parancssori utastsok (cd, dir, copy, delete, md, rd, rename, type). Ha a Windows teleptlemezrl msolunk fjlokat a merevlemezre, akkor nincs szksg kln kitmrtsre (expand), a copy parancs ezt elintzi helyettnk. Exit kilps a konzolbl s a szmtgp jraindtsa.
Biztonsgi belltsok
A Helyrelltsi konzol kt biztonsgi belltst mg a szmtgp mkdkpes llapotban a helyi-, illetve a csoporthzirendben kell megadnunk. Tartomnyhoz nem tartoz szmtgpek esetn csak a helyi hzirend ll rendelkezsre. A kt belltst ebben az esetben a gpedit.msc (vagy a secpol.msc) konzolban adhatjuk meg (Security Settings -> Security Options). Termszetesen a fenti mdszer tartomnyi szmtgpek esetn is mkdik, de ekkor a csoporthzirend esetleges belltsai fellrhatjk a helyi hzirendet. Tartomnyi szmtgpek esetn clszer a fenti belltsokat kzpontilag, a csoporthzirendben szablyozni.
353
Hibakeress s elhrts
A kt opci jelentse a kvetkez: Allow floppy copy and access to all drives and folders (Hajlkonylemez msolsa s hozzfrs minden meghajthoz s mapphoz) ha engedlyezzk ezt az rtket, akkor a korbban emltett set parancs hasznlatval tllthatjuk a konzol ngy krnyezeti vltozjt. Allow automatic administrative logon (Automatikus rendszergazdai bejelentkezs) ha engedlyezzk az rtket, akkor a konzol indtsakor nem kell megadnunk a rendszergazda jelszavt, a bejelentkezs automatikusan megtrtnik.
A kk hall
Ha a Windows indtsa vagy futsa sorn kezelhetetlen hibba tkzik, az adatok megvsnak rdekben lell, s megjelenti a hrhedt kk kpernyt (a jelensg neve Blue Screen of Death, vagyis a hall kk kpernyje). A kk hall teht egy megoldhatatlan szitucinak a lehetsgekhez kpest korrekt lezrst jelenti. A kk kpernys rendszerlellsokat az esetek nagyon jelents rszben nem maga az opercis rendszer, hanem valamelyik kernel mdban fut eszkzmeghajt, illetve a hardver hibja okozza. A hiba oktl fggetlenl az informcis kperny megjelentst, s a rendszer lelltst a KeBugCheckEx nev rendszerfggvny hajtja vgre.
354
A kk kperny a kvetkez esetekben jelenhet meg: Egy eszkzmeghajt, vagy kernel mdban fut opercis rendszer fggvny kezelhetetlen kivtelt generl (pldul rni prbl a memria rsvdett terletre) Egy eszkzmeghajt vagy opercis rendszer fggvny kifejezetten meghvja a KeBugCheckEx fggvnyt, mert olyan krlmnyeket szlelt, amelyek lehetetlenn teszik a rendszer tovbbi mkdst. Hardver hiba, vagyis nem maszkolhat megszakts (Non maskable Interrupt, NMI) esetn.
Termszetesen az is megoldhat lenne, hogy az opercis rendszer egyszeren nem vesz tudomst a fenti jelensgekrl, s fut tovbb, mintha mi sem trtnt volna, de ebben az esetben ksbb valsznleg mg rosszabb krlmnyek kztt knyszerlne lellni a rendszer. A kk hall teht nem felttlen knyszer, hanem a ksbbi slyosabb problmk megelzsre szolgl vintzkeds, ha nem lenne, ki kellene tallni .
355
Hibakeress s elhrts
A megjelen informcik igen fontosak lehetnek a hiba oknak megtallshoz, szerepel kztk egy hibakd, s annak emberi nyelv megfelelje is (pldul IRQ_NOT_LESS_OR_EQUAL). Br szznl is tbb klnbz hibakd ltezik, a legtbb kzlk csak nagyon ritkn fordul el. Ha nem vagyunk biztosak a hiba okban s a lehetsges megoldsban, akkor a hibakd alapjn tovbbi informcikat tallhatunk a Microsoft Tudsbzisban (http://support. microsoft.com). Ha a kpernyre kirt informcik alapjn nem sikerl azonostani a hibt, akkor hasznos lehet a rendszerlells kzben fjlba mentett memriatartalom (crash dump) tanulmnyozsa. Erre a clra szmos klnfle tbbkevsb automatizlt analizl eszkz ltezik.
A rendszerhibk kezelsnek belltsai Ebben a screencastban ttekintjk a Startup and Recovery lap belltsi lehetsgeit. Fjlnv: II-3-1d-Startup-and-Recovery.avi
A rendszerhibk kezelsnek klnfle paramtereit a Control Panel -> System -> Advanced -> Startup and Recovery lapon (6.6.5. bra) adhatjuk meg. Taln a legfontosabb bellts az automatikus jraindts engedlyezse, illetve tiltsa. Alaprtelmezs szerint a szmtgp jraindul a lellsok utn, ami nagyon jl jhet pldul egy csendes htvgn, mivel ha a kiszolgl egyltaln kpes az jraindulsra, akkor a rendszergazda j esetben htfn csak az esemnynaplbl rtesl a trtntekrl. Ha azonban szeretnnk ltni a hibazenetet, akkor felttlenl ki kell kapcsolnunk az automatikus jraindtst. Ha ezt elmulasztjuk, akkor ahogyan mr korbban emltettk , az indtmen hasznlatval utlag is megvltoztathat ezt a bellts (Disable automatic restart on system failure).
A kk hall mestersgesen is elidzhet tbb mdon is. Lellthatunk pldul olyan szolgltatsokat, amelyek nlkl a rendszer mkdskptelen, illetve hasznlhat a hivatalos, valsznleg tesztels cljra szolgl mdszer is. Ltre kell hoznunk a CrashOnCtrlScroll DWord rtket (1) a HKLM\System\CurrentControlSet\i8042prt\Parameters kulcs alatt. jraindts utn a jobb oldali Ctrl nyomva tartsa mellett ssk le ktszer a Scroll Lock billentyt
356
Grafikus ellenrz-javt eszkzk A grafikus fellettel rendelkez ellenrz- javt eszkzk hasznlata Ebben a screencastban kiprbljuk a Windows rendszerek beptett ellenrz s hibajavt eszkzei kzl a legsrbben hasznltakat. Fjlnv: II-3-2a-GUI-eszkozok.avi
357
Hibakeress s elhrts
Processes (Folyamatok) ezen a lapon mr a szmtgpen fut sszes folyamat lthat, megtallhatjuk kztk az elz oldalon felsorolt alkalmazsokhoz, a tbbi alkalmazshoz s az sszes rendszerszolgltatshoz tartoz folyamatot is. Alaprtelmezs szerint itt lthatjuk a folyamathoz tartoz vgrehajthat llomny nevt, a futtat felhasznlt, valamint itt kvethetjk nyomon a pillanatnyi memria- s processzorid felhasznlst. Itt kereshetjk meg pldul azt a rendszerfolyamatot, amelyik valami miatt tl sok erforrst hasznl, s lelasstja a rendszert. Szmos ms adatot is megjelenthetnk, ha a View (Nzet) men Select Columns (Oszlopok kivlasztsa) pontjra kattintunk. Fontos informci lehet pldul a folyamat azonostja (Process Identifier, PID), ezt a hibakeress sorn, tbb helyen is felhasznlhatjuk majd. A jobb gombos helyi menben bellthatjuk az egyes folyamatok prioritst (de csak vatosan, mert ha egy processzt nagyon kiemelnk pl. a Realtime lehetsget vlasztva, akkor minden ms folyamat iszonyan lelassulhat), s itt kzvetlenl is lellthatjuk a nem vlaszol alkalmazsokhoz tartoz folyamatokat. Performance (Teljestmny) a Teljestmny lapon a szmtgp teljestmnyvel, vagyis a processzor(ok) s a memria kihasznltsgval kapcsolatos informcik jelennek meg. A memria kihasznltsgval kapcsolatos adatok kztt is tallhatunk nhny flrerthet nev mezt, gy tekintsk t egyenknt az adatok tartalmt.
358
A CPU Usage (CPU-hasznlat) mezvel semmi problma nincs, szzalkos rtk formjban megjelenti a processzor pillanatnyi terheltsgt. A PF Usage (Lapozfjl) rtk (s a hozz tartoz grafikon) viszont nem a lapozfjl hasznlatt mutatja, hanem a rendszer ltal lefoglalt sszes memriaterlet (a fizikai memriban s a lapozfjlban egyttesen) nagysgt. A Totals (sszests) szakaszban a rendszerben fut folyamatok, programszlak s a lerk (a programok ltal hasznlt erforrsok, pldul fjlok, registrykulcsok stb.) szmt tallhatjuk. A Commit Charge (Lefoglalt memria) szakasz hrom rtknek jelentse a kvetkez: a Total (sszes) rtk a rendszer ltal a fizikai memriban s a lapozfjlban lefoglalt sszes memrit jelenti (megegyezik az PF Usage kijelzn lthat rtkkel). A Limit (Korlt) a fizikai memria s valamennyi lapozfjl sszestett mrete, maximlisan ennyi memrit foglalhatnak a folyamatok. A Peak (Cscsrtk) a szmtgp bekapcsolsa ta lefoglalt legtbb memrit jelenti. A Physical Memory (Fizikai memria) szakaszban a szmtgpben lv fizikai memria (RAM) mrett lthatjuk. Az Available (Rendelkezsre ll) rtk a szabad memria mennyisgt jelenti, a System Cache (Rendszergyorsttr) mezrl pedig a megnyitott fjlok lekpezshez ignybe vett fizikai memria mennyisgt olvashatjuk le. A Kernel Memory (Kernelmemria) szakaszban az opercis rendszer magja s az eszkzillesztk ltal hasznlt memrira vonatkoz adatokat tallhatjuk meg. A Paged (Lapozhat) rtk a kernel ltal hasznlt memria kilapozhat rszt jelenti, a Nonpaged (Nem lapozhat) mez pedig az a rsz, amelynek mindenkppen a fizikai memriban kell maradnia.
Networking (Hlzat) ezen a lapon a szmtgp engedlyezett hlzati csatolira vonatkoz adatokat tekinthetnk meg. A grafikonok a pillanatnyi terhels alakulst mutatjk, alul pedig az alaprtelmezett kszleten kvl mg szmos tovbbi adatot is megjelenthetnk (View men Select Columns pontja). Users (Felhasznlk) a lapon lthatk a szmtgpre bejelentkezett felhasznlk, az egyes munkamenetek llapota s neve. A bejelentkezet felhasznlknak kldhetnk zenetet, s szksg esetn meg is szakthatjuk a kivlasztott munkamenetet.
359
Hibakeress s elhrts
A rendszerszolgltatsok
A rendszerszolgltats olyan program, vagy folyamat, amely a rendszer egy meghatrozott, ms programok tmogatsra szolgl funkcijt valstja meg, ltalban alacsony, hardver kzeli szinten. Minden szolgltats egy meghatrozott felhasznli fik hasznlatval bejelentkezve ri el az opercis rendszer erforrsait s objektumait. Windows Server 2003 esetn a szolgltatsok nagy tbbsge alaprtelmezs szerint a Helyi rendszer (Local System) fik hasznlatval jelentkezik be, ami gyakorlatilag korltlan hozzfrst biztost a teljes rendszerhez.
A SYSTEM fik sok esetben mg az Administrators csoport tagjainl is kiterjedtebb jogokkal rendelkezik, a rendszerler adatbzis nhny terlethez pldul csak a SYSTEM fiknak van jogosultsga, az administrator mg csak be sem nzhet oda. Br a SYSTEM fikkal termszetesen nem lehet kzvetlenl bejelentkezni, egy egyszer trkk segtsgvel mgis elindthatunk a SYSTEM nevben fut programokat; ha egy tetszleges programot a SYSTEM fikkal bejelentkez Feladattemez szolgltats indt el, az termszetesen szintn a SYSTEM fik nevben fog futni. Ha teht pldul kiadjuk a kvetkez parancsot: C:\>at 21:00:00 /interactive cmd, akkor (majd este kilenckor) kapunk egy SYSTEM jogokkal fut parancssort, ahonnan mr brmilyen ms programot is ugyanilyen jogosultsgi szinttel indthatunk el.
Ha a SYSTEM fikkal bejelentkez szolgltats tartomnyvezrln fut, akkor nemcsak maghoz a szmtgphez, hanem a teljes tartomnyhoz is korltlan hozzfrssel rendelkezik. Ms, korltozott jogosultsgi szinttel is megelged szolgltatsok a Network Service (Hlzati szolgltats), vagy a Local Service (Helyi szolgltats) fik hasznlatval jelentkezhetnek be, amelyek jelentsen kevesebb jogosultsggal (s veszllyel) jrnak. Az elbbi esetben (Network Service) a szolgltats csak a hlzaton, mg a Local Service hasznlata esetn csak a helyi gpen kap jogosultsgokat. A szolgltatsok hozzfrsi szintjnek korltozsa a rendszer vdelmt szolglja az adott szolgltats hibs mkdse, vagy egy ellene irnyul kls tmads esetn. Ahogyan mr korbban is emltettk, a Vista opercis rendszerben drasztikusan cskkent a SYSTEM fik nevben fut szolgltatsok szma, ppen a biztonsggal kapcsolatos megfontolsok kvetkeztben.
360
A szolgltatsok hrom klnbz indtsi tpusba tartozhatnak. Az automatikus indtsak a rendszer indtsval egytt elindulnak s tbbsgk folyamatosan aktv marad a teljes rendszer, vagy az adott szolgltats lelltsig. A kzi indts szolgltatsokat szksg esetn a felhasznl, illetve klnfle programok vagy ms szolgltatsok indthatjk el, a tiltott szolgltatsok pedig sem automatikusan, sem manulisan nem indthatk el. A Services (Szolgltatsok) MMC-modul segtsgvel (meglepets!) a rendszerben fut szolgltatsok llapotrl kaphatunk informcit, illetve bellthatjuk a futtatsukkal kapcsolatos klnfle paramtereket. Amint a 6.7. brn lthat, a listban megtallhatjuk a szolgltatsok nevt, rvid lerst, aktulis llapott, indtsi tpust s azt a felhasznlnevet, amelynek hasznlatval a szolgltats bejelentkezik a rendszerbe. A szolgltatsokkal kapcsolatos hibk gyors felmrse jl felhasznlhat, ha a sorokat az indtsi tpus szerinti sorrendbe rendezzk. Ekkor az automatikus tpus kerl a lista elejre, gy knnyen szrevehetjk, ha egy ilyen szolgltats valami miatt nem indult el. (Nhny automatikusan indul szolgltatsnak nem kell folyamatosan futnia, de ezekbl meglehetsen kevs van.)
A tovbbi adatokat megjelent, illetve bizonyos paramterek belltst is lehetv tv prbeszdablak megjelentshez dupln kell kattintanunk az adott szolgltatst reprezentl sorra. A prbeszdablak lapjain megadhatjuk a
361
Hibakeress s elhrts
szolgltats indtsi tpust, s a futtat felhasznli fikot (le is llthatjuk, illetve elindthatjuk a szolgltatst). A Recovery (Helyrellts) lapon megadhatjuk, hogy mi trtnjen, ha a szolgltats lell az els, msodik, illetve harmadik alkalommal. jraindthat az adott szolgltats, maga a szmtgp, illetve lefuttathatunk egy tetszleges programot is. Ezek a lehetsgek szmos esetben nagyon hasznosak lehetnek, hiszen egy szolgltats lellsa komoly problmt okozhat, de ezt a szolgltats, vagy a szmtgp jraindtsa a legtbb esetben megoldja (hacsak nincs nagyobb baj), az elindtott program pedig rtestheti pldul a rendszergazdt, vagy a felhasznlkat. A hibakeress szempontjbl taln a Dependencies (Fggsgek) lap tartalma lehet a legfontosabb. Innen azt olvashatjuk le, hogy az adott szolgltats mely ms szolgltatsoktl fgg (vagyis minek kell futnia, hogy elindulhasson), s mely szolgltatsok fggenek tle (vagyis mi minden fog lellni az adott szolgltatssal egytt).
Az Eszkzkezel
Az Eszkzkezel (Device Manager) a szmtgpre teleptett hardvereszkzk grafikus nzett biztostja; segtsgvel frissthetjk a hardvereszkzk illesztprogramjait, mdosthatjuk a hardverelemekkel kapcsolatos klnfle belltsokat, s felderthetjk, illetve elhrthatjuk a hibkat.
6.8. bra: Az Eszkzkezel a rejtett (nem Plug and Play) eszkzk megjelentsre s eltvoltsra is kpes
362
Az Eszkzkezel segtsgvel gyors, ttekint kpet kaphatunk a szmtgp hardvereszkzeirl, ellenrizhetjk azok megfelel mkdst, illetve mdosthatjuk a hardverelemek erforrsokkal (megszakts, I/O tartomny stb.) kapcsolatos belltsait. Ugyancsak az Eszkzkezel ad lehetsget a hardvereszkzk illesztprogramjainak frisstsre, illetve a korbban mr megtrgyalt rnykmsolat szolgltats segtsgvel rosszul sikerlt frissts esetn vissza is trhetnk az elz verzira (Driver Rollback). Fontos lehetsg, hogy az eszkzkezel a nem Plug and Play hardvereszkzk megjelentsre (s eltvoltsra) is lehetsget ad. Az ilyen eszkzk esetben ugyanis nemcsak a telepts, hanem az eltvolts sem mindig automatikus, ha az eltvoltst vgz program nem fut le tkletesen, akkor az illesztprogram a hardvereszkz fizikai eltvoltsa utn is aktv maradhat, foglalhatja a rendszer erforrsait, s esetleg ms problmkat is okozhat. A rejtett eszkzk megjelentshez kapcsoljuk be a View Show hidden devices (Nzet Rejtett eszkzk megjelentse) opcit.
Az Esemnynapl
Az Esemnynapl szolgltats ltal ksztett naplk segtsgvel nyomon kvethetjk a szmtgp egyes komponenseinek mkdst, s gyorsan rteslhetnk a klnfle problmkrl. Termszetesen lehetsgnk van az esemnyek klnfle tulajdonsgai (tpus, forrs, dtum stb.) szerinti szrsre s keressre is. A Windows Server 2003 csaldba tartoz opercis rendszerek alaprtelmezs szerint hromfle naplban rgztik az esemnyeket:
363
Hibakeress s elhrts
Az alkalmazsnapl (Application log) a klnfle alkalmazsok ltal naplzott esemnyeket tartalmazza. Ide jegyzi be a futsa kzben trtnt esemnyeket valamennyi Microsoft program, de szmos ms forrsbl szrmaz alkalmazs zeneteit is megtallhatjuk itt. Az alkalmazsnaplba kerl zenetek tartalma s mennyisge teljes mrtkben az egyes alkalmazsok fejlesztinek hatskrbe tartozik, brmelyik program felkszthet az Esemnynapl hasznlatra. A biztonsgi napl (Security log) az rvnyes s rvnytelen bejelentkezsi ksrleteket, valamint a klnfle erforrsok (pldul fjlok) ltrehozst, megnyitst vagy trlst tartalmazza. A biztonsgi naplba kerl esemnyek krt a csoporthzirend, (illetve a helyi hzirend) belltsai hatrozzk meg. A rendszernapl (System log) a Windows rendszersszetevi ltal naplzott esemnyeket tartalmazza. Ide kerlnek a klnfle illesztprogramokkal s ms rendszersszetevkkel kapcsolatos esemnyek, pldul a sikertelen betlts, lells stb.
A tartomnyvezrlkn a fentieken kvl mg legalbb kt msik naplt is tallhatunk: A cmtr-szolgltatsi napl (Directory Service log) az Active Directory-szolgltats ltal naplzott esemnyeket tartalmazza, ide kerlnek pldul a cmtradatbzis replikcijval kapcsolatos klnfle bejegyzsek. A Fjlreplikcis szolgltats naplja (File Replication Service log) a Fjlreplikcis szolgltatsa ltal naplzott esemnyeket tartalmazza. A rendszer ebben a naplban rgzti pldul a tartomnyvezrlk SYSVOL-mappinak szinkronizlsakor bekvetkez hibkat. Ha a tartomnyvezrl egyben DNS-kiszolgl is, akkor egy tovbbi naplt is tallhatunk rajta. A DNS-kiszolglnapl (DNS Server log) a DNS-szolgltats ltal naplzott esemnyeket tartalmazza.
Az egyes naplk mretre, illetve a maximlis mret elrsekor bekvetkez esemnyekre vonatkoz belltsokat az egyes naplk tulajdonsglapjn, illetve a csoporthzirend segtsgvel hatrozhatjuk meg. Valamennyi napl esetben lehetsg van a bejegyzsek fjlba mentsre, az gy elkszlt fjlt pedig akr egy msik szmtgpen is importlhatjuk. A naplkba kerl bejegyzsek a kvetkez t tpus valamelyikbe tartoznak:
364
Hiba (Error) Jelents, mr bekvetkezett problma, pldul egy szolgltats sikertelen indtsi ksrlete, vagy lellsa, egy alkalmazs lefagysa stb. Figyelmezets (Warning) Nem felttlenl jelents, de a jvben knnyen slyosabb problmba torkoll esemny. Figyelmeztets kerl pldul a naplba, ha a rendszerkteten (vagy mshol) lecskken a szabad lemezterlet, ha nem trdnk a figyelmeztetssel, az a legtbb hibnl is slyosabb kvetkezmnyekkel jrhat. Nem rdemes teht csak a hibkra szrve olvasgatni a naplkat, mert gy nem kerlnek a szemnk el azok a bejegyzsek, amelyek elre jelezhetnk a ksbbi komolyabb problmkat. Informci (Information) Egy alkalmazs, illesztprogram vagy szolgltats sikeres mkdst ler esemny. Amikor pldul betltdik egy hlzati csatol illesztprogramja a naplba Informci tpus bejegyzs kerl. Sikeres esemnyek naplzsa (Success Audit) Ilyen tpus bejegyzsekkel a biztonsgi naplban tallkozhatunk. Sikeres esemnynek minsl pldul, ha egy felhasznlnak sikerl bejelentkeznie a rendszerbe. Sikertelen esemnyek naplzsa (Failure Audit) Szintn csak a biztonsgi naplba kerlhetnek ezek az esemnyek, ilyen bejegyzs kszl pldul egy hlzati meghajthoz val sikertelen hozzfrsi ksrlet esetn.
Az Esemnynaplba kerl hibk (s sok esetben a figyelmeztetsek is) mindenkppen trdst rdemelnek, br gyakran elfordul az is, hogy semmi klns teendnk nincs, mert pldul egyszeren a szmtgp jraindtsa megoldja a problmt. Ebben az esetben sem rt azonban, ha a naplbejegyzsben tallhat esemnyazonost alapjn rkeresnk a hibazenetre a Microsoft Tudsbzisban (http://support.microsoft.com), ahol gyakorlatilag minden elkpzelhet bejegyzssel kapcsolatban rszletes, megbzhat forrsbl szrmaz informcit kapunk (a legtbb esetben persze angolul, br van nhny magyartott cikk is). Megtudhatjuk, hogy mi okozhatja a jelensget, s mi lehet a megolds (pldul javtcsomag letltse s teleptse, belltsok mdostsa stb.). Szintn jl hasznlhat forrs lehet a http://eventid.net webhely, ahov akr mi magunk is feltlthetjk egy adott problmval kapcsolatos krdsnket, illetve vlaszolhatunk msok krdseire is. Termszetesen sok esetben jl hasznlhatk az ltalnos keresk is.
365
Hibakeress s elhrts
Dr. Watson
Dr. Watson egy hibakeres/nyomkvet alkalmazs, ami sszegyjti a klnfle programhibkkal kapcsolatos tnyeket, hogy aztn ezek alapjn Sherlock Holmes (a rendszergazda) rendkvl les elmjvel levonhassa a megfelel kvetkeztetseket.
Programhiba, illetve kezeletlen kivtel esetn Dr. Watson automatikusan akciba lendl, hozzkapcsoldik a hibs alkalmazshoz vagy szolgltatshoz, megvizsglja a hibt s a DRWTSN32.LOG nev szveges naplfjlba rja a vizsglat eredmnyt (s bejegyzst kszt az Esemnynaplba is). Dr. Watson segtsgvel ltrehozhatunk a memria tartalmt trol binris fjlt is, amely aztn specilis hibakeres alkalmazs segtsgvel elemezhet. Dr. Watson belltsainak (pldul a naplfjl s a memriakp trolmappja) megadshoz a drwtsn32.exe programot kell elindtanunk.
366
Az ipconfig parancs segtsgvel megjelenthetjk a hlzati csatolkhoz tartoz TCP/IP-paramtereket, frissthetjk a csatolk a DHCP-belltsait s bejegyeztethetjk a paramtereket a DNS-kiszolgl adatbzisba. Ha paramter nlkl adjuk ki az ipconfig parancsot, akkor megjelenthetjk az sszes adapter IPv6vagy IPv4-cmt, alhlzati maszkjt s alaprtelmezett tjrjt. Ha a parancsot az /all kapcsolval indtjuk el, akkor igen rszletes adatokat kapunk valamennyi csatolrl, gy knnyen ttekinthetjk a belltsokat, s gyorsan megtallhatjuk az esetleg elgpelt, vagy ms ok miatt hibs rtkeket. A NetStat paranccsal protokollstatisztikt s az aktv TCP/IP-kapcsolatokat jelenthetjk meg. A -r kapcsol hasznlatval kilistzhatjuk a szmtgp tvlasztsi tblzatt, a -e kapcsolval pedig a kldtt s fogadott Ethernet keretekre vonatkoz statisztikai adatokat jelenthetjk meg. A -s kapcsol segtsgvel protokollonknti bontsban kapunk statisztikt a szmtgp TCP/IP-forgalmrl. A netstat a parancs segtsgvel az aktv kapcsolatokat listzhatjuk ki, megjelenik hasznlt protokoll, a nyitott port szma, s a kapcsolat llapota. Fontos informcit kaphatunk a netstat ao parancs hasznlatval, mivel ekkor az elz lista kiegszl az egyes kapcsolatokat nyitva tart folyamat azonostjval (PID) is. A PID-et felhasznlva a Feladatkezel segtsgvel gyorsan beazonosthat az adott kapcsolatot nyitva tart rendszerfolyamat. Az Nbtstat parancs hasznos eszkz a NetBIOS-alap nv-hozzrendelsi problmk hibakeressben. Az nbtstat paranccsal megjelenthetjk az aktv NetBIOS-munkamenetek listjt, azok llapott, s a munkamenetekre vonatkoz statisztikai adatokat, illetve kilistzhatjuk vagy megjthatjuk a gyorsttrakban s a WINS-kiszolgln regisztrlt nvhozzrendelseket. Az Arp parancs segtsgvel a cmfeloldsi protokoll (Address Resolution Protocol, ARP) ltal a hlzati forgalom cskkentshez hasznlt cmfordtsi tblzat, vagyis az ARP-gyorsttr tartalmt jelenthetjk meg. Az ARP vgzi a
367
Hibakeress s elhrts
kimen Ethernet-keretekbe kerl MAC-cmek meghatrozst az IP-cmek alapjn. Az ARP-gyorsttr tartalmt az arp a paranccsal jelenthetjk meg, az arp s hasznlatval pedig j statikus bejegyzseket adhatunk a tblzathoz.
A NetDiag-program a kiszolgl opercis rendszerek teleptlemezn, a Support Tools csomagban tallhat, a csomag teleptsvel kerl fel a gpre (\support\tools\suptools.msi). A parancs segtsgvel a klnfle hlzati komponensek rszletes vizsglatt vgezhetjk el. A program megvizsglja valamennyi fontos hlzati elem mkdst (TCP/IP-paramterek, NetBIOS, tartomnyvezrlk, klnfle szolgltatsok elrhetsge stb.). A Tracert nev nyomkvet segdprogram a hlzati csomagok tvonalnak meghatrozsra hasznlhat, segtsgvel listt kszthetnk azokrl az tvlasztkrl, amelyeken egy megadott cl fel tart csomagok thaladnak. A tracert a kvetkezk szerint mkdik: A program ICMP Echo zeneteket kld a cl IP-cm fel, amelyeknek TTL (Time to Live) rtke folyamatosan nvekszik. A TTL rtk 1-gyel indul, vagyis az els kikldtt csomag csak az els tvlasztig jut el, itt a TTL nullra cskken. Az tvlaszt ilyenkor nem kldi tovbb a csomagot, hanem ICMP Time Exceeded TTL Exceeded in Transit hibazenetben rtesti a kldt az esemnyrl. A Tracert-program feljegyzi a hibazenetet, (amely termszetesen tartalmazza a felad, vagyis
368
az els tvlaszt cmt is) s j csomagot kld a clcm fel, egyel nagyobb TTL-rtkkel. Ez a csomag a msodik tvlasztn fog hibazenetet generlni, gy a tracert mr ennek a cmt is feljegyezheti. Mire a csomag eljut a cmzetthez, a tracert az sszes tvlaszt cmt ismerni fogja, amelyeken a csomag thaladt. Ezutn a tracert listt kszt a hibazenetekbl kinyert tvlaszt-cmekbl, s a cmhez DNS-lekrdezs segtsgvel meghatrozott nevekbl. Ha hasznljuk a -d opcit, a program nem hajt vgre DNS-lekrdezst, ilyenkor csak az tvlasztk IP-cmei jelennek meg. A tracert parancs felhasznlhat annak a meghatrozsra, hogy egy adott csomag tovbbtsa a hlzat mely pontjn lett lelltva. A ping parancssori segdprogram a megadott cllloms mkdkpessgnek ellenrzsre szolgl. A ping ICMP Echo zeneteket kld a megadott IP-cm fel, majd vrakozni kezd a cmzettl rkez ICMP Echo Reply zenetekre. A program kirja a berkezett vlaszzenetek szmt, valamint a krs elkldse s a vlasz megrkezse kztt eltelt idt. A pathping nev parancssori eszkz a ping s a tracert funkcionalitsnak kombincijt nyjtja, s nhny tovbbi szolgltatssal is rendelkezik. Az tvonal feltrkpezse mellett a pathping minden egyes tvlasztt tbbszr is pingel, s megjelenti a ksleltetssel s elveszett csomagokkal kapcsolatos informcikat. Ilyen mdon felmrhetjk az tvonalon elhelyezked rossz tviv kpessg vonalakat s tvlasztkat. Az nslookup program a DNS-infrastruktra hibakeresshez hasznlhat adatok megjelentsre alkalmas. Segtsgvel lekrdezhetjk a megadott DNSkiszolgl adatbzisban trolt rtkeket (szmtgpnv megadsval IP-cmet s fordtva). A parancs els paramtereknt a lekrdezend nevet, vagy IP-cmet kell megadnunk, msodik paramterknt pedig megadhatjuk annak a DNSkiszolglnak a nevt (vagy IP-cmt), amelynek a lekrdezst el kell kldeni. Ha nem adunk meg msodik paramtert, akkor a szmtgpen belltott alaprtelmezett DNS-kiszolgl fog vlaszolni. Az nslookup nagyon jl hasznlhat a nvfeloldssal kapcsolatos egyszerbb hibk gyors feldertsre, ha ilyen problmra gyanakszunk rdemes mindig ezzel kezdeni a hibakeresst.
369
Hibakeress s elhrts
Network Monitor
Az eddigiekkel szemben a Network Monitor mr egyltaln nem nevezhet egyszer eszkznek, de szakrt kzben gyakorlatilag brmire kpes; segtsgvel a hlzati mkds legmlyebb rtegeibe is betekintst nyerhetnk. A program segtsgvel rgzthetjk s megvizsglhatjuk a gpnkhz rkez vagy kimen valamennyi hlzati csomagot, ezeket a Network Monitor a hlzati architektra NDIS rtegnek megcsapolsval gyjti ssze szmunkra. Mivel az NDIS meghajt a hierarchia legalacsonyabb szoftveres rtege (alatta mr csak a hlzati adapter hardvere tallhat), a Network Monitor segtsgvel minden olyan csomagot lthatunk, amit a hlzati adapter tovbbkld az opercis rendszer fel. Az zenetszrsos hlzat mkdsi elve szerint (a switchekkel sszekapcsolt hlzattal most nem foglalkozunk), minden egyes csomagot a hlzatra kapcsolt valamennyi gp megkap. Ezutn a hlzati adapter hardveresen szszehasonltja az Ethernet csomagban lv cl MAC-cmet a sajtjval, s csak a neki sznt csomagokat kldi tovbb a feljebb lv szoftveres rtegek fel. A Network Monitor driver ezt a hardveres szrst kapcsolja ki (promiszkusz md), gy megjelentheti a hlzaton elrhet valamennyi csomag tartalmt.
A promiszkusz md korbban csak a SMS rszeknt beszerezhet Network Monitor Gold verziban volt hasznlhat (a kiszolgl opercis rendszerek rszeknt kapott alapvltozatban nem), de a legjabb, 3.1-es verziban mr nincs ilyen megklnbztets, a p-mdnak elnevezett zemmd egyszeren ki- s bekapcsolhat a grafikus felleten.
Egyetlen esetben nem jelenik meg a hlzati csomag a Network Monitorban; ha az Ethernet keret CRC-je hibs, a hlzati adapter semmikppen nem kldi tovbb a csomagot. A Network Monitor hasznlatval sszegyjthetjk azokat az informcikat, amelyek segtsgnkre lehetnek a hlzat hibtlan mkdsnek fenntartsban, s az esetleges hibk gyors kikszblsben. A Network Monitor programot bellthatjuk gy, hogy csak azokat az adatokat jelentse meg, amelyekre az adott helyzetben ppen szksgnk van. Szrk segtsgvel szablyozhatjuk a csomagok megjelentst s elrejtst, pldul a csomag tpusa (protokoll), vagy forrs-, illetve clcme alapjn. Bellthatjuk azt is, hogy a Network Monitor bizonyos felttel, vagy felttelek teljeslse esetn automatikusan elindtsa, vagy lelltsa a csomagok gyjtst. Termszetesen lehetsgnk van a megjelents paramtereinek belltsra is, pldul a klnbz csomagtpusokat klnbz sznnel jelenthetjk meg. A Network Monitor segtsgvel az sszegyjttt adatokat fjlba is menthetjk ksbbi vizsglat s elemzs cljbl.
370
A Network Monitor rgebbi verziit a Windows kiszolgl opercis rendszerek beptetten tartalmazzk (az Add or Remove Programs (Programok teleptse s trlse) segtsgvel telepthet), a legjabb, 3.1-es verzi pedig szabadon letlthet a Microsoft webhelyrl. Az j verzi szmos j funkcival rendelkezik, kpes pldul a vezetk nlkli hlzatok forgalmnak megfigyelsre, a Vista RAS-kapcsolatainak (belertve a VPN-kapcsolatokat is) ellenrzsre. Az j Network Monitor a szoksos mdon a Microsoft Update, (illetve a vllalat sajt WSUS-kiszolglja) segtsgvel frissthet.
Ethereal
Az Ethereal egy msik hlzatmonitoroz program, amelynek funkcii nagyjbl megegyeznek a Network Monitor lehetsgeivel, de szmos belltsa valamivel egyszerbben adhat meg, ezrt kezdsnek taln jobban ajnlhat. Az Ethereal szmos platformra (Windows, MAC, klnfle Linux s UNIX verzik) ingyenesen letlthet a http://www.ethereal.com/download.html cmrl.
371
Hibakeress s elhrts
Adataink biztonsga
A biztonsgi ments s visszallts belltsai s idztse Ebben a screencastban az NTBackup program a fszerep, megmutatjuk a klnfle belltsi lehetsgeit, biztonsgi mentst ksztnk nhny fjlrl, majd visszalltjuk azokat. Fjlnv: II-3-3a-NTBackup.avi
A biztonsgi ments a hibaelhrts utols vdelmi vonala, segtsgvel mg a legslyosabb esetekben is elkerlhet rtkes adataink teljes elvesztse. Termszetesen csak akkor szabad ehhez az eszkzhz nylnunk (persze nem a mentsrl, hanem a helyrelltsrl van sz), ha ms mdszertl mr nem remlhetnk eredmnyt, hiszen a biztonsgi mentsbl val helyrellts szksgszeren adatvesztssel jr; a mentsek temezse hatrozza meg az elveszthet adatok maximlis mennyisgt.
372
Adataink biztonsga Meg kell jegyeznnk, hogy a redundns lemez-alrendszerek (hardveres RAID) semmikppen nem helyettesthetik a rendszeres biztonsgi mentseket, hiszen nem nyjtanak vdelmet az adatok szndkos vagy vletlen (pldul figyelmetlensg, vagy szoftverhiba miatt) trlse ellen, illetve a hardverrel kapcsolatos katasztrfa (tbb lemez egyidej meghibsodsa, tzeset stb.) esetn is elveszthetjk adatainkat. A redundns alrendszerek alapveten nem az adatbiztonsgot (rszben persze azt is), hanem a rendelkezsre llst nvelik.
Nagyon fontos, hogy kt fogalmat pontosan megklnbztessnk egymstl: Biztonsgi ments adatok msolsa egy alternatv mdira, az adatveszts elkerlse (cskkentse) miatt. A mentett llomnyok hossz tv megrzse ltalban nem szksges. Archivls az adatok thelyezse olyan mdira, mely biztostja a hossz tv megrzst (ezt ltalban klnfle elrsok szablyozzk) s tbbnyire keressi lehetsget is nyjt.
A mentsi rendszer megtervezsvel kapcsolatban szmos olyan szempontot kell figyelembe vennnk, amelyek teljes mrtkben a helyi, egyedi adottsgoktl fggenek, gy sajnos nem ltezik ltalnosan hasznlhat recept. A kvetkezkben azokat a krdseket tekintjk t, amelyekre vlaszt kell tallnunk a tervezs sorn: Mit mentsnk? (s mit ne?) Mentsnk rendszeresen minden olyan adatot, amelynek elvesztse problmt okoz, s ms mdon val helyrelltsa nem lehetsges, illetve tbb munkval jr, mint a mentsi fjl visszatltse. Semmikppen nem rdemes azonban lementeni teht azokat az adatokat, amelyek helyrelltsra biztosan nem lesz szksg, illetve azokat sem, amelyek ms mdon is knnyen helyrellthatak. Flsleges adatra j plda a TEMP knyvtr s teljes tartalma, a felhasznlk profiljba az Internet Explorer ltal lementet weblaptredkek stb. Knnyen helyrellthat adatnak minslhet pldul az Office programcsomag, s ms alkalmazsok. Br az NTBackup kpes a megnyitott fjlok mentsre is, mgsem rdemes a rendszerhez tartoz nyitott fjlokkal prblkozni. Teljesen flsleges pldul bevenni a mentsbe a Windows lapozfjljt (pagefile.sys), vagy az Active Directory-adatbzisfjljait (ntds.dit) stb. (az Active Directory mentse a System State ments rsze, a fjlok kzvetlen mentsre nincs szksg). Milyen srn mentsnk? Amint mr emltettk, a mentsek srsgt az elveszthet adatok maximlis mennyisgnek kell meghatroznia. Minl kevesebb (rvidebb id alatt keletkez) adat elvesztst kpes klnsebb problma nlkl elviselni a vllalat, annl gyakrab373
Hibakeress s elhrts
ban kell mentseket vgeznnk. Termszetesen a mentsek gyakorisgnak meghatrozsakor figyelembe kell vennnk a trolt (s mentend) adatok kztti klnbsgeket is: a gyakran vltoz, rtkes llomnyokat srbben, a ritkbban mdostott adatokat pedig ritkbban kell menteni (esetleg elegend az egyszeri archivls is). Mire mentsnk? Nagyon fontos krds a biztonsgi mentseket trol eszkzk s a mdia (merevlemez, szalag, optikai lemezek stb.) kivlasztsa is. A kiszolglban lv msodik merevlemeztl, a klnfle szalagos meghajtkon keresztl az nll, automatizlt trolegysgekig szmtalan megolds kzl vlaszthatunk, az optimlis megolds megtallshoz figyelembe kell vennnk a szksges kapacitst, a sebessget, a megbzhatsgot, tartssgot, s a fajlagos kltsget is. A mentseket tartalmaz mdia trolsra lehetsg szerint vlasszunk olyan megoldst, ami komolyabb katasztrfa esetn is megfelel biztonsgot nyjt: szksges lehet a kiszolgltl fizikailag is elklntett (akr klnll telephelyen lv) trol hely, tzbiztos kazetta stb. Mikor mentsnk? Az adatok mentst clszer olyan idpontra idzteni, amikor vrhatan nincsen sok megnyitott fjl (br ezek korbbi verziit az rnykmsolat technolgia segtsgvel az NTBackup kpes lementeni), s a ments ltal lefoglalt erforrsok hinya nem zavarja a felhasznlkat. Szoksos irodai krnyezetben ez azt jelenti, hogy a mentseket az jszakai rkra s a htvgre kell idztennk. Ebbl kvetkezen a mentsek elvgzsre korltozott idintervallum ll rendelkezsre, ezt figyelembe kell vennnk a mentend adatok krnek (mennyisgnek) meghatrozsakor, s ennek megfelelen kell kivlasztanunk a ments tpust (a ments klnfle tpusairl ksbb mg szt ejtnk) s a felhasznland eszkzket is. Mennyi ideig fog tartani a visszallts? Termszetesen mr a mentsek megtervezsekor figyelembe kell vennnk a visszalltssal kapcsolatos szempontokat. Hogy maximlisan mennyi idt vehet ignybe a visszallts, azt alapveten a vllalat mkdse hatrozza meg, az elvrt szintidnek megfelelen kell megvalstanunk s belltanunk a mentsi rendszert. Ki fogja elvgezni a mentst? A fjlok mentst azok tulajdonosai s a legalbb olvassi joggal rendelkez felhasznlk vgezhetik el, ennek megfelelen kell belltanunk az idztett mentsekhez tartoz felhasznli fikot. Az Administrators, Backup operators s Server operators csoportok tagjai mg olyan fjlok mentsre is kpesek, amelyekhez egybknt semmifle jogosultsggal nem rendelkeznek.
374
Adataink biztonsga
Az NTBackup
A biztonsgi mentsek elvgzsre a Windows-rendszerek beptett NTBackup programjt hasznlhatjuk. Termszetesen a megfelel pnzsszeg ellenben vlaszthatunk ms megoldst is szmos kifinomultabb, tbb lehetsggel rendelkez rendszer van a piacon , de kisvllalati krnyezetben az NTBackup gyakorlatilag mindent tud, amire szksgnk lehet.
Az NTBackup segtsgvel a kvetkez feladatokat vgezhetjk el: Kivlasztott fjlok s mappk mentse s visszatltse. Megnyitott fjlok mentse az rnykmsolat technika segtsgvel. Az rnykmsolatokrl (Shadow Copies) s a kapcsold belltsi lehetsgekrl a negyedik, Kiszolgl a hlzatban cm fejezetben rszletes lers tallhat. Msolat ksztse a szmtgp rendszerllapotrl (System State ments).
375
Hibakeress s elhrts
Az NTBackup program a csak a helyi rendszerllapot adatok mentsre kpes, tvoli szmtgpek rendszerllapotnak mentsre nincs lehetsg.
Automatikus rendszer-helyrelltshoz (Automated System Recovery, ASR) szksges fjlok s konfigurcis belltsok mentse s helyrelltsa. A tvtrolkon s felcsatolt hlzati meghajtkon tallhat adatok mentse. Naplfjl ksztse a biztonsgi ments folyamatrl. Msolat ksztse a rendszerpartcirl, a rendszerindt partcirl s rendszerindtshoz szksges fjlokrl. A biztonsgi msolatok automatikus elksztsnek idztse. A mentshez felhasznlt mdia alapszint kezelse (pldul formzs). Az NTBackup gyakorlatilag brmilyen mdira kpes mentst kszteni. Online adatbzist hasznl Microsoft termkek adatainak mentse.
Az NTBackup nemcsak a grafikus fellet, hanem parancssori paramterek segtsgvel is teljeskren vezrelhet, gy lehetsg van a parancsfjlbl, vagy klnfle szkriptnyelvekbl val hasznlatra is.
376
Adataink biztonsga
A ments tpusa
Az NTBackup tbb klnbz tpus ments elvgzsre kpes, a kvetkezkben ezekkel fogunk megismerkedni. A klnbz tpus mentsek kzben az NTBackup a mentend fjlok kt tulajdonsgt veszi figyelembe. Az egyik termszetesen az utols mdosts dtuma, a msik pedig egy specilis fjl, illetve mappatulajdonsg, az archivland attribtum. Az attribtumot minden olyan mvelet kteles bekapcsolni, ami a fjl tartalmnak mdostsval jr (ebbl tudja majd az NTBackup, hogy a fjl megvltozott, teht menteni kell). A sikeres ments utn ltalban (a ments tpustl fggen) az NTBackup trli az attribtumot. A fjlok s mappk tulajdonsglapjn az archivland attribtum az Advanced (Specilis) szakaszban File is ready for archiving (A fjl archivlsra ksz) nven szerepel. Az NTBackup program segtsgvel a kvetkez mentsi tpusokat hasznlhatjuk: Copy backup (Msolat) A msols lementi az sszes kijellt fjlt, de nem jelli meg a fjlokon a biztonsgi ments elvgzst (vagyis nem trli az archivland attribtumot). A msols akkor lehet hasznos, ha pldul az temezett norml s nvekmnyes biztonsgi mentsek kztt egy extra msolatot is szeretnnk kszteni adatainkrl, mivel a msols semmikppen nem befolysolja a szoksos mentseket. Daily Backup (Napi ments) a kijellt fjlok kzl csak azokrl kszt mentst, melyek a ments futtatsnak napjn mdosultak. A biztonsgi mentst az NTBackup nem jelli a fjlokon (ms szval nem trli az archivland attribtumot). Differential Backup (Klnbsgi ments) a klnbsgi ments a legutols norml vagy nvekmnyes ments ta ltrehozott vagy mdostott fjlokrl kszt biztonsgi msolatot. A klnbsgi ments nem trli az archivland attribtumot. A norml s klnbsgi biztonsgi ments kombincijnak (pldul hetente norml, naponta pedig klnbsgi ments) hasznlatakor a visszalltshoz a legutols norml s a legutols klnbsgi msolatra lesz szksg. Incremental Backup (Nvekmnyes ments) A nvekmnyes ments a legutols norml vagy nvekmnyes biztonsgi ments ta ltrehozott vagy mdostott fjlokrl kszt msolatot. A ments vgrehajtst a rendszer megjelli a fjlokon, vagyis ebben az esetben trldni fog az archivland attribtum. A norml s a nvekmnyes biztonsgi ments kombincijnak hasznlatakor a visszalltshoz a legutols norml s az azta ltrehozott valamennyi nvekmnyes biztonsgimsolat-kszletre szksg lesz.
377
Hibakeress s elhrts
Normal Backup (Norml ments) A norml biztonsgi ments az sszes kijellt fjlt lementi, s trli rajtuk az archivland attribtumot. Norml biztonsgi msolat esetn valamennyi fjlt egyetlen biztonsgimsolat-kszlet hasznlatval visszallthatjuk. A legels biztonsgimsolat-kszlet ltrehozsakor ltalban norml biztonsgi msolatot kell ksztennk.
Adataink biztonsgi mentshez a norml s a nvekmnyes ments kombincijnak hasznlatval van szksg a legkisebb trolkapacitsra, s a nvekmnyes mentsek vgrehajtshoz viszonylag kevs id is elegend lehet. A fjlok visszalltsa azonban ezzel a mdszerrel idignyes s bonyolult lehet, mivel tbb biztonsgimsolat-kszletet kell hasznlnunk, amelyek akr tbb lemezen vagy szalagon is lehetnek. Ha pldul htvgn vgezzk el a norml mentst (ekkor viszonylag sok id llhat rendelkezsre), jszaknknt pedig a nvekmnyes mentseket, akkor egy pnteki visszallts esetn szksgnk lesz az elz htvgn kszlt norml mentsre s minden azta kszlt nvekmnyes mentsre is. Ha a norml s a klnbsgi biztonsgi ments kombincijt hasznljuk, akkor a klnbsgi mentsek tbb idt vehetnek ignybe (klnsen gyakran mdosul adatok esetn), de egyszerbb lesz az adatok visszalltsa, mivel csak az utols norml, s az utols klnbsgi kszletre lesz szksgnk.
Automatikus rendszer-helyrellts
Az Automatikus rendszer-helyrellts (Automated System Recovery, ASR) segtsgvel egy hajlkonylemezbl s egy mentsi fjlbl ll kszletet lehet ltrehozni, amelynek segtsgvel visszallthat a srlt rendszer mentskori llapota. Termszetesen mieltt ezt a mdszert hasznlnnk rdemes megprblkozni ms lehetsgekkel is (cskkentett md, Last Known Good Configuration, Helyrelltsi konzol stb.). Az automatikus rendszer-helyrellts kt rszbl ll: elsknt a mkd rendszeren az NTBackup program Automatikus rendszer-helyrellt varzsljnak (Automated System Recovery Wizard) segtsgvel ltre kell hoznunk a megfelel helyrellt kszletet. A kszlet egyik eleme egy mentsi fjl, ami tartalmazza a rendszerllapot adatokat, a rendszerszolgltatsokat s az opercis rendszerhez tartoz valamennyi ktet adatait. A varzsl a mentsi fjl mell egy hajlkonylemezt is kszt, amelyen megtallhatjuk a biztonsgi msolatra s a lemezbelltsokra (alap- s dinamikus ktetek), valamint a visszallts menetre vonatkoz informcikat.
378
Adataink biztonsga
6.16. bra: ASR-kszlet ltrehozsa az NTBackup hasznlatval. Szksg lesz egy floppylemezre is (s nem rt egy floppymeghajt sem)
Idztett ments
Az NTBackup segtsgvel sszelltott mentsi feladatokat vgrehajthatjuk kzvetlenl a felletrl trtn indtssal, illetve (a mentsi belltsok fjlba rsa utn) a bellthat idztsnek megfelel idpontokban automatikusan. A mentsek temezshez az sszelltott belltsokat fjlba kell mentennk, s meg kell adnunk egy felhasznlnevet (s jelszt), akinek nevben az temezetten indul feladatok futni fognak. A kvetkez idztsek belltsra van lehetsgnk: Egyszer (Once) A feladat egyetlen egyszer, a megadott idpontban fog lefutni. Napi (Daily) A feladat naponta egyszer, a megadott idpontban fog lefutni. Heti (Weekly) a feladat hetenknt ismtldve a megadott napok megadott idpontjban fog lefutni. Havi (Monthly) a feladat havonta egyszer, a megadott idpontban fog lefutni. Rendszerindtskor (At System Startup) A kvetkez rendszerindts alkalmval.
379
Hibakeress s elhrts
Belpskor (At Logon) A kvetkez belps alkalmval (a mentst idzt felhasznl belpsrl van sz). resjrati idben (When idle) A feladat akkor fog elindulni, amikor a rendszer a megadott id ta nyugalmi llapotban van.
Az temezett feladatok (gy a belltott biztonsgi mentsek) vgrehajtsrt a Windows-rendszerek beptett Feladattemez szolgltatsa (Task Scheduler) a felels. A Control Panel Scheduled Tasks elemnek hasznlatval ellenrizhetjk mentsi feladataink vgrehajtsnak eredmnyt, s szksg esetn itt is mdosthatjuk a belltsokat (idzts, futtat felhasznl stb.).
A visszallts
A visszallts az a lps, amit soha senki nem szokott elre kiprblni, les helyzetben meg gysem sikerl. Nagyon fontos, hogy a mentsi feladatok belltsa utn teszteljk a visszalltst is. A kvetkezkben vgigkvetjk a mentsbl val helyrellts lpseit. Ttelezzk fel, hogy az egyik tartomnyvezrlnk rendszerlemeze meghibsodott, a gp nem indthat, s semmi esly nincs r, hogy ms mdon zemkpess tehetjk. A gpben lv msodik merevlemezen (vagy szalagon, ez tulajdonkppen lnyegtelen) van egy elz nap ksztett norml ments (d:\mentes\backup.bkf) ezt szeretnnk visszalltani. Mi a teend? A mentsi fjl beolvasshoz s a visszalltshoz szksgnk van az NTBackup-programra, mgpedig ppen azon a gpen, amelyre a rendszerllapot adatokat vissza szeretnnk lltani. A hibs merevlemez cserje utn teht teleptennk kell a gpre egy Windows Server 2003 rendszert, hogy legnagyobb rszt azonnal fellrhassuk a korbbi mentsnkkel. A kvetkez lpseket kell teht elvgeznnk:
380
Adataink biztonsga
Teleptnk egy res Windows Server 2003-at a teleptlemezrl. Az j rendszerben elindtjuk az NTBackup-programot, s a mentsi fjlbl visszatltjk a rendszerllapot adatokat. Vgl jrateleptjk a szksges alkalmazsokat, s megint az NTBackup segtsgvel visszamsoljuk a mentett adatokat is.
A visszallts (csak a megfelel jogosultsg birtokban vgezhet el) rtelemszeren fellrja mentsben szerepl fjlokat s mappkat, illetve a rendszerllapot adatokat is. A mentett fjlok s mappk nem csak az eredeti helykre, hanem brhov visszallthatk, de a rendszerllapot adatok csak az NTBackup programot futtat szmtgp aktulis belltsainak helyre kerlhetnek, vagyis mindenkppen fellrjk azokat
Az ASR a kszlet rszeknt ltrehozott hajlkonylemez alapjn helyrelltja a szmtgp indulshoz szksges lemezek sszes ktett s partcijt, s a Windows nhny msik ltfontossg sszetevjt, majd a mentsi fjl alapjn visszalltja a korbban elmentett fjlokat s adatokat. Az ASR visszallts teht a kvetkez mveleteket vgzi el: Beolvassa a lemezkonfigurcit Visszalltja a bootlemez szignatrkat, a kteteket s a partcikat Telepti a Windows lementett verzijt Az NTBackup segtsgvel visszalltja a rendszerllapotot s a mentett fjlokat
381
Hibakeress s elhrts
Kls eszkzk
A Windows opercis rendszerek beptett hibakeres eszkzein kvl szmos kls program is rendelkezsnkre ll erre a clra. A kvetkezkben a Sysinternals ltal jegyzett eszkzk kzl tekintnk t nhnyat, amelyek igen jl hasznlhatk szinte brmilyen hibakeressi feladat sorn, illetve nmelyikkel az opercis rendszer mkdsnek olyan mlysgeibe lthatunk bele, ami semmifle ms eszkzzel nem lehetsges. Az eszkzket vilgszerte rengetegen hasznljk, gy azok megbzhatsghoz s hasznossghoz nem frhet ktsg.
Sysinternals segdprogramok
A Sysinternals ltal ksztett eszkzk tulajdonkppen az opercis rendszer beptett eszkzeinek tbb-kevsb (ltalban inkbb tbb) felokostott vltozatai, amelyeknek funkcii s kezelse kifejezetten a rendszergazdk szemlletmdjt tkrzi. A Sysinternals cg szmtalan ilyen eszkzt ksztett, ezen fell pedig tbb igen rdekes s fontos knyv (Inside Windows-sorozat), elads s oktatanyag fzdik nevkhz. A vllalatot 2006-ban a Microsoft megvsrolta (a cg alapti azta a Microsoft alkalmazsban llnak), de az eszkzk tovbbra is rendszeresen frisslnek (st jak is kszlnek), s a http://www.microsoft.com/technet/sysinternals/default.mspx cmrl valamenynyi ingyenesen, brki szmra letlthet. Valamennyi eszkz futtatshoz rendszergazda-jogosultsg szksges (Vista alatt Run as Administrator), viszont teleptsre egyltaln nincs szksg, a letlttt exe fjl minden tovbbi nlkl futtathat. A legfontosabb eszkzk egyetlen csomagban is letlthetk a http://tinyurl.com/ybce37 cmrl (Sysinternals Suite).
A Sysinternals eszkzk Ebben a screencastban kiprbljuk a legfontosabb s a legrdekesebb Sysinternals eszkzket. Fjlnv: II-3-2b-Sysinternals.avi
382
Kls eszkzk
A FileMon kivlan felhasznlhat a rendszer mkdsnek megfigyelsre (elgg megdbbent mennyisg fjlmvelet trtnik egy rintetlen, semmi klnset nem csinl rendszerben is, nem beszlve mondjuk egy Word, vagy Outlook indtsrl), de taln a legfontosabb felhasznlsi terlete a fjlrendszerbeli jogosultsghinyok kimrse. Ha egy rosszul megrt felhasznli alkalmazs nem hajland felhasznli jogosultsgokkal elindulni, akkor a FileMon segtsgvel knnyen megtallhatjuk a sikertelen mveletben szerepl fjlt vagy mappt, s gy csak arra az egy elemre kell megadnunk a program futshoz szksges jogosultsgot. A listba kerl adatokat szrhetjk pldul a mveletet kezdemnyez folyamat neve szerint, s lehetsg van rszletes keressre s fjlba mentsre is.
383
Hibakeress s elhrts A FileMon s a RegMon helyt a Process Monitor vette t, ami viszont csak Windows 2000 SP4, Windows XP SP2, Windows Server 2003 SP1, s Windows Vista rendszereken futtathat. A rgebbi rendszerek tmogatsa miatt azonban megmaradt az nll FileMon s RegMon is (ezek mg a Windows 9x rendszereken is elindulnak).
Process Monitor
6.20. bra: A Process Monitor a fjlrendszer s registry mellett a folyamatok s programszlak monitorozsra is kpes
A Process Monitor egy sszetett rendszermonitoroz eszkz, amely kpes a fjl- s registrymveletek, valamint a folyamatok s szlak vals idej megfigyelsre (kln-kln s prhuzamosan is). Az eszkz egyben valstja meg a FileMon s a RegMon kpessgeit, s szmos j lehetsget is nyjt.
384
Kls eszkzk
Process Explorer
A Process Explorer kpes a szmtgpen fut folyamatok szinte minden tulajdonsgnak megjelentsre. Funkciinak egy rsze megtallhat a Feladatkezelben is, de segtsgvel rengeteg olyan informcihoz is hozzjuthatunk, amelyek megjelentsre a Feladatkezel nem kpes. A folyamatok a szl-gyermek kapcsolatoknak megfelel fastruktrban jelennek meg, s valamennyi folyamathoz megjelenthetjk a hasznlt rendszererforrsok s a nyitva tartott dll-ek listjt is. A Process Explorer igen kifinomult keressi lehetsgekkel rendelkezik, gy pillanatok alatt megtallhatjuk pldul azt a rendszerfolyamatot, amelyik egy adott erforrst vagy dll-t megnyitva tart.
AutoRuns
Az AutoRuns segdprogram megkeresi s megjelenti a rendszerindtskor automatikusan indul valamennyi programot, szolgltatst stb., vagyis mindent, amit az opercis rendszer automatikusan elindt. A listba kerlnek az indtpultban s a klnfle registrykulcsokban (Run, RunOnce stb.) szerepl bejegyzsek, az Explorer shellbvtmnyek, a betltd eszkztrak s mg sok minden ms is.
385
Hibakeress s elhrts
A programhoz tartozik egy parancssori fellettel rendelkez eszkz is (AutoRunsc.exe), amellyel lehetsgnk van a kimenet csv fjlba val elmentsre is.
AD Explorer
Az AD Explorer kpes a cmtradatbzis nyers formjnak megjelentsre, segtsgvel elrhetjk valamennyi cmtrpartcit s megjelenthetjk, illetve szerkeszthetjk az egyes objektumokhoz tartoz tulajdonsgrtkeket. Az ADExplorer nagyon kifinomult keressi lehetsgekkel rendelkezik, s lehetsgnk van a keressek elmentsre s ksbbi jrafelhasznlsra is. Teljesen egyedlll lehetsg az, hogy offline megjelentsre s sszehasonltsra alkalmas pillanatkpeket kszthetnk az Active Directory adatbzisrl. A mentett adatbzis brmikor jra felcsatolhat, vagyis az l adatbzissal megegyez mdon jelenthet meg. A klnbz idpontokban kszlt pillanatkpek sszehasonltsval azonosthatjuk a megvltozott objektumokat, tulajdonsgokat s jogosultgi listkat.
386
Kls eszkzk
AD Restore
Az ADRestore a trlt cmtrobjektumok megkeressre s visszalltsra kpes. A program hasznlata nagyon egyszer, a cmtr online llapotban indthatjuk el s paramterknt (nem ktelez) csak a trlt objektumok kztt vlogat szrt kell megadnunk.
Hibakeress s elhrts
PsList a fut folyamatok listjt s az egyes folyamatok legfontosabb adatait jelenti meg. PsLoggedOn a parancs a szmtgpre bejelentkezett felhasznlkat listzza (a helyi bejelentkezseket s a megosztott erforrsokra vonatkoz kapcsolatokat is). PsLogList a parancs az Esemnynapl bejegyzseit listzza. PsPasswd a parancs segtsgvel megvltoztathatjuk a felhasznli fikokhoz tartoz jelszavakat. PsService a parancs segtsgvel kilistzhatjuk a szolgltatsokat, s elvgezhetjk a kezelskkel kapcsolatos legfontosabb mveleteket. PsShutdown a parancs hasznlatval lellthatjuk, illetve jraindthatjuk a szmtgpet (tvolrl is). PsSuspend a parancs segtsgvel felfggeszthetjk, illetve jraindthatjuk a megadott szolgltatst.
TCPView
A TCPView segtsgvel a TCP s UDP vgpontok listjt jelenthetjk meg. A program felletrl leolvashat az adott kapcsolathoz tartoz folyamat neve, a helyi s a tvoli port szma, s a kapcsolds llapota is. A program parancssori vltozatban is hasznlhat, ennek neve tcpvcon.exe.
NewSID
6.24. bra: A NewSID segtsgvel grafikus felleten vltoztathatjuk meg a biztonsgi azonostt
388
Kls eszkzk
A NewSID-program segtsgvel a szmtgp egyedi biztonsgi azonostjt (Security Identifier, SID) vltoztathatjuk meg. A SID megvltoztatsra a lemezkp alap klnozs segtsgvel teleptett szmtgpek esetn van szksg, mivel a hlzati mkds sorn klnfle problmkat okozhat az egyforma biztonsgi azonostk hasznlata.
BGInfo
Br nem kapcsoldik szorosan a hibakeresshez, mindenkppen figyelmet rdemel ez az egyszer, de nagyon tletes program. A BGInfo segtsgvel egyszeren az Asztal httrkpt llthatjuk be, de olyan mdon, hogy a kpen megjelenjenek a szmtgp klnfle adatai (neve, IP-cme, opercis rendszere stb.). Ha a programot az Indtpultbl, vagy logon szkriptbl minden bejelentkezskor lefuttatjuk, akkor a httrkp mindig az ppen aktulis adatokat fogja tartalmazni. A program az automatikus indts esetn sem marad a memriban, csak elkszti az aktulis httrkpet, s mr vget is r, vagyis biztosan nem foglalja a rendszer erforrsait, s nem okoz semmifle problmt a rendszer mkdsben.
389
FGGELK
Az emltett halad virtualizcis eszkzkrl tovbbi informcit tallhatunk a http:// www.microsoft.com/virtualization weboldalon (a VPC 2007-et is innen tlthetjk le), a konzerv virtulis gpek pedig (sok ms termk .vhd-ja mellett) letlthetek http://www.microsoft.com/vhd oldalrl.
392
2. Futtassuk a DVD Gepek\VistaEnt mappjban lv Vista.part01.exe llomnyt! Vlasszunk ki egy clmappt a merevlemeznkn, majd tmrtsk ki a virtulis gp httrtrt (.vhd) s konfigurcis llomnyt (.vmc) s az egyb informcis fjlokat. 3. Tegyk meg ugyanezt a Windows Server 2003 R2 esetn is (Gepek\ W2K3R2 mappa > WIN2K3R2EE.part1.exe). Legynk trelmesek, a kicsomagols eltart egy ideig. A kt virtulis gp httrtr ignye viszonylag nagy, sszesen kb. 7,3 GB.
Fontos tudnival az is, hogy mindkt gp az els indts utn maximum 30 napig mkdik csak. Teht brmikor indthatjuk a DVD-rl (pontosabban 2008. jnius 30-ig), de ha mr megy, maximum 30 napig hasznlhat. Annak, hogy jra kicsomagoljuk s elindtsunk egy 30 napos peridust, semmi akadlya nincs.
393
A virtulis krnyezet elindtshoz elegend a virtulis gp teleptsekor megadott clknyvtrban dupln kattintani (futtatni) az ott tallhat .vmc fjlra, de az els indts eltt, a belltsok miatt alternatv megoldsknt hasznlhatjuk a felteleptett Virtual PC 2007 konzoljt is, amelyet a Start menben, a Microsoft Virtual PC ikonjra kattintva tudunk indtani. Ha ezt az utat vlasztjuk, akkor a megjelent ablakban a New gombra kattintva, majd az Add existing virtual machine opcit vlasztva meg kell adnunk azt a knyvtrat, ahov a virtulis krnyezetet teleptettk, illetve konkrtan az adott .vmc elrhetsgt. Ezt kveten a Virtual PC konzoljbl a megjelent virtulis gpen dupln kattintva, vagy a kivlasztsa utn a Start gombra kattintva indthatjuk el. De mg ne tegyk, ismerkedjnk meg elszr a gpek finomhangolsi lehetsgeivel.
rdekes s fontos opci a hostgp mappinak hasznlata is. A belltsok kztt, a Shared Folders pontban van arra lehetsgnk, hogy egy betvel jellt meghajtknt felvegyk a futtat gp egy adott mappjt. Ha pl. majd brmilyen kls szoftvert kell telepteni, akkor ezen a felcsatolt mappn (azaz a hostgpen) keresztl ezt egyszeren meg tudjuk majd tenni. Esetleg fontos lehet tudni azt is, hogy az sszes virtulis gpre vonatkoz kzs bellts a VPC konzol File/Options menpontja all rhet el. Ha viszont az eddig felsorolt fontos s az esetleges tovbbi, egyni paramterek belltsn tlvagyunk, akkor mr elindthatjuk a virtulis gpeket.
Elkpzelhet, hogy a gpek indtsa utn kapunk egy zenetet, amelyben arra figyelmeztet bennnket a VPC 2007, hogy a gpek .vhd fjlai Virtual Server al passzolnak inkbb. Nyugtzzuk, a mkdsben nem okoz problmt.
A Windows Server 2003 R2 virtulis gp indtsa utn elszr az n. mini setup, azaz az eltelepts utols fzisa fut le, amely egy automatikus jraindtsba torkollik. Vrjuk ki trelemmel. A Vistnl egy kicsit mskpp trtnik az indts. Itt is megjelenik a telepts utols fzisa, amelyben viszont neknk kell megadni elszr a regionlis paramtereket, aztn az hajtott sajt felhasznlnevet, jelszt, s ikont. Ezutn jhet a httrkp, majd a hlzat belltsa (a Work profilt vlasszuk, ez fog passzolni a feladatainkhoz). Mr csak az id s dtum belltsa marad, illetve egy automatikus teljestmny vizsglat kivrsa.
395
A Windows Server 2003 R2 gyri felhasznlja az Administrator fik, melynek jelszava: Evaluation1. Termszetesen az els belps utn btran ltrehozhatunk sajt fikot, sajt jelszval, vagy megvltoztathatjuk az Administrator fikt is. A Vista gp esetn az ltalunk megadott helyi felhasznli fikot hasznljuk. Virtulis gpek esetn a belps utni els teend a Virtual Machine Additions telepts szokott lenni (a gp ablaknak Action menjbl). Ezzel a bvtmnnyel ltalban plusz teljestmnyhez s knyelmi szolgltatsokhoz jutunk. Viszont erre most nem lesz szksg, mindkt virtulis gp esetn ez a komponens elteleptsre kerlt.
A virtulis gpet teljes kpernyn is hasznlhatjuk, ehhez a host key + Enter gombok egyttes lenyomsa szksges. Az ablakos megjelentshez ugyanezzel a billentykombincival lehet visszavltani.
W2K3 virtulis gp (a kiszolgl): NetBIOS nv: W2K3, Server stb. Fix IP szksges: 172.16.0.1, Network mask: 255.255.0.0, Default Gateway: nincs, DNS: 172.16.0.1
396
A gpek lelltsa
Ksbbi feladatkrei (a screencastokban mindent bemutatunk): FSMO DC, tartomny nv nev: pl. ceg.local AD integralt DNS (pl. ceg.local) DFS, FSRM, PMC DHCP WINS RRAS, VPN WSUS 3.0, IIS, WSS
Amikor a Windows Server 2003 R2 alatt egy integrlt Windows-komponenst szeretnnk feltelepteni az Add/Remove Programs ablakbl, akkor hivatkozzunk a virtulis gp C:\WindowsInstallationFiles\i386 mappjra, ugyanis ezt szerencsre integrlta a Microsoft, az eredeti .vhd fjlba.
A gpek lelltsa
A virtulis gpek lelltst a szoksos mdon is vgezhetjk, ilyenkor az opercis rendszer kikapcsol, de eltte lemezre ment minden mdostst, majd vgl teljesen lell. Alternatv megoldsknt megprblhatjuk bezrni a virtulis gp ablakt is. Ekkor vlaszthatunk, hogy az elbb lert, hagyomnyos lelltst szeretnnk krni, vagy egyszeren megljk a gpet, mintha kihznnk az elektromos hlzatbl, vagy fizikailag kikapcsolnnk. Ez csakgy, mint valdi gpek esetben csak vgszksgben javasolhat, mivel adatvesztst okoz. Az elbbi listban a harmadik opci a Save state, amely lementi a virtulis gp teljes memrijt, majd kikapcsolja azt. Ez nagyban hasonlt a hibernlshoz, azonban ezt nem a virtulis opercis rendszer, hanem a Virtual PC 2007 vgzi el a futtatott virtulis gpen. Az ilyen mdon lelltott gpeket ksbb elindtva pontosan ugyanabban az llapotban kapjuk vissza, mint ahogy lelltottuk, mg akkor is, ha a Virtual PC 2007-et futtat (host-) szmtgpet jraindtjuk a lellts utn.
397
Trgymutat
A,
A biztonsgi ments s visszallts kzpontja, 174 A hozzfrs megtagadva, 312 A jelszt nem lehet megvltoztatni, 104 A kvetkez bejelentkezskor meg kell vltoztatni a jelszt, 104 A Windows Vista teleptse, 3, 5, 8 access token, 114 Accessories, 160 account, 100, 314-316 ACL, 114, 115, 120, 139, 151, 152, 316 ACPI, 13 Action, 29, 170, 297, 396 Active Directory, 34, 35, 111, 113, 186, 187, 190, 198, 215, 216, 227, 238, 246, 258, 259, 260, 266, 275-282, 285-305, 308-321, 323, 329, 331-337, 347, 364, 373, 376, 386, 387 Active Directory felhasznlk s szmtgpek, 285, 291, 314 Active Directory Domains and Trusts, 285, 292 Active Directory Schema, 285, 292 Active Directory Sites and Services, 292, 333, 336 Active Directory Users and Computers, 285, 291, 313, 314, 318 Active Directory-szolgltats, 281, 290, 303, 309, 313, 364 adatveszts, 372, 373, 397 Add/Remove Programs, 15, 397 Add/Remove Snap-in, 91, 292 Address, 135, 235, 236, 367 Address Pool, 235 Adjust power settings, 58 Adjust visual effects, 57 ADMIN$, 125 Administrative Templates, 52, 75 Administrative Tools, 29, 30, 31, 61, 68, 88, 200, 214, 255, 258, 260, 262, 266, 290, 305, 310 Administrator, 101, 103, 115, 140, 238, 311, 314, 320, 350, 382, 396 Administrators, 91, 101, 105, 106, 117, 126, 128, 133, 138, 140, 143, 148, 266, 312, 316, 360, 374 adminpak.msi, 200, 255 ADSL, 242, 249 Advanced, 24, 26, 45, 57, 58, 60, 117, 161, 163, 209, 322, 343, 351, 356, 377 Advanced system settings, 24, 26 aktv partci, 342, 343, 351 aktivls, 13, 14, 22 alagtprotokoll, 250 alaprtelmezs, 10, 17, 28, 85, 103, 106, 108, 118, 124, 125, 126, 140, 143, 157, 176, 178, 179, 210, 223, 224, 232, 235, 239, 241, 244, 253, 254, 255, 261, 268, 273, 297, 302, 305, 307, 309, 327, 329, 335, 344, 346, 352, 360, 363 Alaprtelmezett, 44, 224, 329 alaprtelmezett tjr, 40, 198, 231, 232, 234, 367 alaprtelmezett felgyeleti megoszts, 124 Alapfeladat, 69 Alapfeladat ltrehozsa, 69 alaplap, 14, 166, 342 alaplemez, 202, 204 alhlzat, 232, 234, 235, 335, 337 alhlzati maszk, 43, 229, 231, 232, 235, 336, 337, 367 alkalmazs, 17, 20, 31-34, 42, 59, 113, 143, 144, 148, 150, 161, 163, 165, 168, 189, 257, 261, 262, 264, 283, 295, 322, 328, 331, 334, 357, 364, 365, 366, 383, 394 alkalmazskiszolgl, 16, 186, 260 Alkalmazsok, 59, 146, 149, 357 All Users, 37 lloms, 47, 228, 232, 234, 236, 307 Allow, 128, 168, 223, 272-274, 354 almappa, 25, 119, 120, 176, 218, 223, 224 Almappk s fjlok trlse, 121 ltalnos, 45, 55, 59, 70, 102, 160, 293 ltalnos jog, 102 alv llapot, 343 Anonymous Logon, 107, 108 API, 42, 50, 70, 113, 205
Trgymutat APIPA, 43, 231-233 AppData, 26, 148, 157 Application, 62, 283, 364 Application log, 62, 364 Applications, 18, 59, 62, 357 archivls, 66, 374, 377 rnykmsolat, 6, 175-179, 188-213, 363, 374, 375 ASR, 376, 378, 379, 381 Asztal, 26, 106, 253, 325, 389 Asztal tvoli felhasznli, 106, 253 Asztaltrsasg, 20, 50 thelyezs, 27, 28, 212, 285, 292, 373 tjr, 37, 45, 78, 234, 242 tnyl ktet, 202, 203 attribtum, 120, 282, 286, 293, 377, 378 tvitel, 9-11, 17, 83, 216, 254 Audit object access, 119 Audit Policy, 119 Authenticated Users, 107, 118 Automated System Recovery, 376, 378 Automated System Recovery Wizard, 378 Automatic Private IP Addressing, 231 automatikus frissts, 130, 177, 254, 271, 273, 324, 329 automatikus magnhlzati IPcmkioszts, 231 automatikus rendszer-helyrellts, 376, 378, 381 Automatikus rendszer-helyrellt varzsl, 378 bejelentkezsi parancsfjl, 228 bejelentkezik, 144, 361 bejelentkez kperny, 82 bejv kapcsolat, 168 Bejv szablyok, 170 Bekapcsolva, 42 brelt vonal, 249 betjelek, 351 billenty, 12, 60, 83, 204, 345, 349, 381 billentyzet, 252, 344, 345 BIOS, 8, 14, 59, 166, 195, 204, 342 BitLocker Drive Encryption, 167 BitLocker meghajttitkosts, 166 Biztonsg, 97, 116, 119, 209 biztonsgi azonost, 114, 139, 283, 350, 387, 388, 389 biztonsgi belltsok, 88, 93, 159, 162, 247, 277, 324 biztonsgi csoport, 214, 227, 253, 266, 291, 316, 317, 328, 331 biztonsgi frissts, 102, 267, 268 biztonsgi funkci, 192 Biztonsgi kzpont, 130, 154 biztonsgi ments, 106, 147, 175, 189, 212, 216, 319, 324, 340, 372-378, 380 Biztonsgi ments llapota, 174 Biztonsgi ments llapota s konfigurcija, 174 biztonsgi napl, 364, 365 Biztonsgimsolat-felelsk, 106 biztonsgos kapcsolat, 50, 158 Boot Configuration Data, 138 boot.ini, 136, 137, 138, 343, 344, 349, 351, 352 bngszs, 155, 159 bngsz, 152, 155, 156, 157, 325 broadcast, 49, 229, 233, 234, 240, 318, 372 Business, 6, 9, 104, 127, 190, 192
B
backup, 175, 377, 380 Backup and Restore Center, 174, 181 Backup Operators, 106, 128 Backup Status and Configuration, 174 bjt, 43, 109, 110, 228, 342, 351 Batch, 108, 128, 352 BCD, 138 bcdedit, 138 bellts, 85, 94, 126, 136, 143, 153, 161, 187, 231, 232, 238, 239, 256, 268, 271, 307, 328, 329, 356, 394, 395 Belltsok, 72, 212, 254 Belltsszerkeszt, 33 bepl modul, 91, 129, 205, 333 Bepl modul hozzadsa/eltvoltsa, 91, 292 bejelentkezs, 70, 112, 113, 128, 255, 272, 290, 320, 329, 336, 347, 354 bejelentkezsi kperny, 395
C
CA, 256, 259, 260 Certificate Manager, 165 Certificate Revocation List, 259 Certificate Services, 278 Certificates, 260 Certification Authority, 259, 260 Change, 121, 334 chkdsk, 76, 180, 349, 351 cmbrlet, 234, 239 Cmkeressi znk, 305
400
Trgymutat cmtr, 100, 113, 186, 187, 197, 238, 248, 275-279, 282, 286, 289-294, 301, 305, 309, 311, 315, 319, 320, 331-333, 364, 387 cmtradatbzis, 280-282, 332, 364, 386 cmtrszolgltats, 100, 111, 114, 187, 275, 279, 290, 294, 311, 332, 347 Cmtrszolgltatsok visszalltsa, 347 cmtartomny, 43, 46, 168, 230, 234 cmtartomnyok, 43, 46 client, 18, 251, 273 cmd, 105, 150, 222, 324, 326, 346, 360 CNAME, 302 COM, 141, 319 Command, 77, 298, 346 Complete PC Backup, 27, 175, 180 Computer, 29, 30, 52, 60, 75, 90, 103, 122, 124, 128, 181, 211, 318, 360 Computer Configuration, 52, 75 Computer Management, 29, 30, 60, 103, 122, 124, 360 Computers, 268, 285, 291, 313, 318 Configure, 200, 223, 258, 262, 271, 310 Configure Your Server, 200, 258, 262, 310 Connect, 39 Connect to, 39 Connect to a network, 39 Connection Manager Administration Kit, 247 Connection Security Rules, 172 Control Panel, 22, 23, 28, 36, 55, 81, 103, 137, 142, 145, 167, 207, 326, 356, 380 CPU Usage, 359 Create, 69, 70, 175, 176, 212 Create Basic Task, 69 Creator Group, 108 Creator Owner, 108 CRL, 259 Custom, 63, 64 Customize, 37 Csoporthzirendobjektum-szerkeszt, 88, 91 csoporttagsg, 100, 105, 123, 268, 285, 291 Cskkentett md, 77, 140, 345, 346, 348 Cskkentett md hlzattal, 77, 346 Cskkentett md parancssorral, 77, 346
D
Datacenter Edition, 191 DC, 254, 279, 282, 333, 397 Default Domain Controllers Policy, 329 Default Domain Policy, 274, 329 default.asp, 8, 12 default.aspx, 8, 12 Delete, 121, 395 Delete Subfolders and Files, 121 Deny, 118, 128 Dependencies, 362 Desktop, 26, 57, 93, 106, 145, 146, 253 Device Manager, 23, 30, 87, 177, 199, 362 devmgmt.msc, 23 DFS, 19, 214-217, 397 DHCP, 43, 47, 188, 228, 231-239, 241, 307, 346, 367, 396, 397 DHCP Relay Agent, 234 DHCP-kiszolgl, 47, 231-239, 396 DHCP-szolgltats, 228, 233-235, 238, 241, 307 DHCP-gyfl, 233, 234, 236, 239 Diagnose and repair, 39 Diagnostics, 32, 75, 77 Diagnosztika, 12, 39, 55, 349 Diagnosztizls s javts, 39 Dialup, 108 digitlis alrs, 57, 132, 144, 259 Dinamikus, 202 dinamikus frissts, 305, 308 dinamikus ktetek, 203, 378 dinamikus lemezek, 197, 201, 202, 204 dir, 25, 353 directory, 289 Directory Services Restore Mode, 311, 320, 347 DirectX 9, 8 Disk Cleanup, 58, 147 Disk Management, 203 Distributed File System, 201, 214, 216 DMA, 59 DMA-csatornk, 59
Cs
Csatlakozs, 39, 64, 251 csatol, 194, 205, 231, 236, 243, 306, 365 Cserlhet trol kezelse, 17 cskozott ktet, 202, 203 csoport hatkre, 140 csoporthzirend, 11, 21, 87, 88, 91, 187, 227, 228, 251, 268, 271-278, 281, 290, 313, 322-331, 335, 353, 364 csoporthzirend-objektum, 88, 91, 329, 331
401
Trgymutat DNS, 35, 37, 44, 45, 48, 49, 106, 112, 148, 186, 188, 190, 198, 231, 232, 234, 235, 238, 239, 241, 248, 275, 280, 281, 294309, 311, 312, 315, 325, 332, 337, 346, 364, 367, 369, 396, 397 DNS Domain Name, 234 DNS-gyorsttr, 49, 296, 297 DNS-kiszolgl, 35, 37, 44, 45, 48, 49, 190, 231, 232, 234, 235, 239, 248, 294-307, 309, 311, 337, 364, 367, 369 DNS-nv, 45, 295, 296, 315 DNS-tartomnynv, 234, 280, 281, 303, 304 DNS-szolgltats, 186, 238, 241, 275, 294, 298, 304, 306, 309, 311, 364 Documents, 26, 28 Dokumentumok, 25, 26, 28, 102, 126, 165, 324 Dokumentumok kezelse, 126 domain, 40, 311 Domain Admins, 115, 312, 316 Domain Controllers, 308, 329 Domain Guests, 115 Domain Naming Master, 284, 285, 292 Domain Users, 316 Driver, 177, 211, 363 DVD, 8, 10, 11, 14, 95, 140, 175, 194, 391-393, 397 Dynamic, 43, 202, 232, 305 Dynamic Host Configuration Protocol, 43, 232 Dynamic updates, 305 e-mail, 33, 50, 69, 83, 97, 152, 220, 221, 223, 224, 258, 269, 314, 316, 348 Enable, 273, 346, 352 Enable Boot Logging, 346 Encrypt contents to secure data, 163 Encrypting File System, 163, 165 End Task, 357 energiaellts, 58, 94, 102, 147 Energiaelltsi belltsok mdostsa, 58 engedly, 98, 106, 127, 128, 254, 317 Engedlyek, 118 Engedlyezs, 93 Enterprise, 6, 104, 127, 167, 189, 191, 238, 312, 392 Enterprise Admins, 238, 312 Enterprise Edition, 189, 191 erd, 280, 282-289, 292, 311, 317, 332 eredeti frissts, 321 erforrs, 5, 34, 73, 97, 98, 125, 126, 186, 201, 217, 218, 226, 240, 278, 296, 318 erforrs-megoszts, 5, 125, 186 erforrsrekord, 294-307 rtestsi terlet, 162 rvnytelen bejelentkezsi ksrlet, 364 ESE, 278 Esemnynapl, 30, 31, 60-65, 70, 72, 141, 147, 199, 219, 223, 341, 363, 364, 388 Eszkzkezel, 23, 30, 87, 177, 199, 362, 363 Eszkzk, 60 Ethernet, 236, 243, 367, 368, 370 Event Log, 141 Event Viewer, 30, 31, 61, 70, 199, 341 Everyone, 107, 115, 126, 254 Exchange Server, 189, 198, 258, 267, 286 Experience, 22 Express, 258 Extensible Firmware Interface, 205 Extensible Storage Engine, 278
E,
EAP, 250 Edit, 118 EFI, 205 EFS, 6, 153, 163, 164, 165 egr, 28, 179, 344, 345 egyszer ktet, 202 egyszer tzfal, 33 elrsi t, 83, 214 Elosztott fjlrendszer, 201, 214 elre megosztott kulcs, 251 elugr ablak, 129 Elz verzik, 175, 178, 213 Elsdleges, 10, 322, 351 elsdleges csoport, 115 elsdleges DNS-kiszolgl, 300 elsdleges partci, 202 elsdleges zna, 298-300
F
fjl, 17, 20, 37, 45, 48, 49, 57, 101, 115, 119, 122, 125, 126, 132, 149, 150, 152, 156, 168, 170, 178-180, 185, 188, 197, 207, 209, 210, 212, 216, 217, 222-224, 240, 241, 242, 248, 260, 289, 290, 293, 343, 346, 349, 352, 353, 373, 374, 377, 378, 380-384, 392 fjl- s nyomtatkiszolgl, 125 fjlkiszolgl, 201, 217, 218, 224
402
Trgymutat fjlmegoszts, 37, 149, 187 fjlok ltrehozsa, 102 fjlrendszer, 18, 76, 116, 119, 120, 126, 134, 139, 148-153, 163, 165, 188, 189, 197, 202, 207, 214-216, 343, 349, 384 fjlreplikcis szolgltats, 19, 217, 364 fjltitkosts, 197 FAT, 197, 343 FAT32, 343 Favorites, 26, 325 Feladat befejezse, 357 Feladatkezel, 60, 72, 87, 150, 341, 357, 367, 385 Feladattemez, 30, 33, 68, 69, 70, 360, 380 felbonts, 308, 348 felhasznl, 10, 26, 27, 35, 71, 82, 83, 87, 88, 91, 100-120, 123, 126, 128, 140149, 151, 152, 162, 163, 167, 168, 187, 188, 189, 192, 208, 209, 224, 226, 227, 246, 249, 252-258, 260, 262, 273-278, 281, 285, 293, 294, 311-316, 322-329, 333, 357, 361, 380, 387 felhasznlhoz tartoz, 24, 26, 228, 258 felhasznli fellet, 6, 32, 61, 106, 130, 228, 252, 271, 339 felhasznli fik, 9, 34, 35, 85, 91, 99, 100107, 128, 140, 142, 148, 186, 214, 227, 238, 277, 278, 281, 283, 291, 311, 313317, 329, 360, 362, 374, 388 Felhasznli fikok, 70, 103, 143, 146 Felhasznli fikok felgyelete, 70, 143, 146 Felhasznli jogok kiosztsa, 127 felhasznli jogosultsg, 35, 140, 383 felhasznli mappk, 27, 28 felhasznli profil, 24, 26, 92, 176, 277 Felhasznlk, 102, 103, 106, 314, 316, 359 felhasznlnv, 13, 24, 90, 108, 148, 278, 320 felgyelet, 5, 28, 40, 55, 67, 73, 87, 146, 187 Felgyeleti eszkzk, 29, 30, 61, 68, 88, 200, 214, 255, 266, 290, 305, 310 felgyeleti konzol, 29, 75, 200, 206, 258, 260, 265, 266, 330 Felgyeleti sablonok, 325 Figyelmeztets, 365 File Replication Service, 217, 290, 364 FileMon, 382, 383, 384 fik, 34, 35, 100-106, 118, 128, 138, 140, 176, 277, 317, 345, 350, 360, 396 Fikok, 9 Firewall, 33, 93, 168, 169 fizikai eszkz, 351 fizikai lemez, 194, 203, 204 Fokozott biztonsg Windows tzfal, 33, 168, 169 Folder Options, 122 folyamat, 13, 99, 111, 121, 123, 134, 135, 144, 152, 156, 167, 199, 315, 329, 342, 345, 348, 358, 360, 367, 382, 383, 388 Fontos, 16, 45, 101, 122, 123, 176, 196, 209, 294, 317, 358, 363, 367, 393 forest, 280, 311 formtum, 17, 29, 90, 180, 224, 274, 293, 294, 303, 331, 351 formzs, 30, 376 Forward, 298, 305 Forward Lookup Zones, 305 Forwarded Events, 62, 64 fkiszolgl, 283, 284, 285, 287, 292, 294 FQDN, 45 frissts, 9, 13, 28, 50, 52, 86, 90, 196, 268, 271, 272, 363 Frisstsek teleptse, 177 FRS, 217, 290 ftp, 7, 48, 189, 190, 302 FTP, 16, 19, 169, 260 ftp-hely, 189 Full Control, 117, 118, 121, 123, 254 Fully Qualified Domain Name, 45 Futtats mint, 142 Fggsgek, 128, 362 frt, 190
G
Games, 15 GC, 286 General, 45, 59, 70, 160 globlis katalgus, 280, 282, 286, 287, 292, 296, 308, 317 globlisan egyedi azonost, 205 Globally Unique Identifier, 89 Go, 357 gomb, 66, 91, 176, 209, 213, 254 gpedit.msc, 88, 323, 353 GPMC, 330, 331 GPO, 88, 90, 274, 323, 326, 327, 328, 331 GPT, 205 gpupdate, 89, 329, 330 grafikus felhasznli fellet, 6, 116, 124, 346 grafikus krtya, 22, 342, 344, 346
403
Trgymutat Group Policy, 88, 89, 90, 91, 323, 327, 330, 331 Group Policy Management Console, 330 Group Policy Object, 88, 91, 323 Group Policy Object Editor, 88, 91 Group Policy Result, 331 Groups, 30 Guest, 102, 103, 106, 107, 115, 118, 128 Guests, 105, 106 GUID, 89, 176, 201, 202, 205 Hatlyos engedlyek, 120 Hatkr belltsai, 237 hzirend, 75, 78, 87-93, 95, 127, 132, 144, 164, 245, 246, 251, 319, 324, 328, 329, 331 Help, 140 Hely, 28 helyettes zna, 299 helyettest karakter, 222, 352 Helyi bejelentkezs, 128 Helyi bejelentkezs engedlyezse, 128 Helyi bejelentkezs megtagadsa, 128 helyi biztonsgi adatbzis, 101 Helyi biztonsgi hzirend, 31, 88, 127 helyi fjlrendszer, 123 helyi felhasznl, 24, 35, 83, 85, 103, 113, 311, 316, 345, 396 Helyi felhasznlk s csoportok, 30, 103, 106 helyi hlzat, 35, 38, 44, 45, 48, 49, 50, 242, 248, 335 helyi hzirend, 55, 87, 88, 90, 91, 92, 95, 323, 352, 353, 364 Helyi intranet, 157 helyi men, 66, 357, 358 helyi nyomtat, 37, 255 helyi rendszer, 35, 138, 143, 272, 376 helyi szmtgp, 29, 31, 37, 101, 114 Helyi szolgltats, 360 Helyrellts, 362 helyrelltsi konzol, 311, 340, 350, 352, 353, 378 helyrelltsi pont, 176 hiba, 33, 37, 73, 75, 187, 214, 312, 339, 340, 347, 354-356 hibaelhrts, 29, 339, 372 hibakeress, 134, 345, 358, 362 Hibakeressi md, 347 hibs illesztprogram, 77 History, 157 hitelests, 84, 89, 99, 100, 108-113, 138, 139, 167, 172, 251, 256, 258, 259, 261, 314 hitelestsi adatok, 310 hitelestsszolgltat, 89, 111 Hitelestett felhasznlk, 107, 118, 152 hivatkozs, 22, 25, 37, 57, 58 HKEY_LOCAL_MACHINE, 139 Home, 5, 6, 7, 9, 104, 105 Home Basic, 6, 9, 104 Home Premium, 6, 7, 9, 104 hosts, 48, 49 Hozzads, 91, 292
Gy
gyakorlat, 313 gyorsttr, 49, 156, 160, 236, 296, 297, 300, 324, 367 gykr, 117, 311, 343, 352
H
hajlkonylemez, 199, 204, 342, 381 hlzat, 4, 11, 30-41, 43, 44, 48, 51, 64, 73, 78, 82, 113, 143, 147, 185-190, 207, 214, 228-231, 242, 243, 248, 249, 263, 275-279, 281, 284, 296, 312, 314, 331, 336, 342, 345, 367, 369, 370, 395 Hlzat feldertse, 37 Hlzat-belltsi felelsk, 106 hlzati cmfordts, 43, 242. 243 hlzati erforrs, 278, 280, 346 Hlzati s megosztsi kzpont, 36, 78, 123, 128 hlzati forgalom, 34, 100, 111, 172, 240, 367 hlzati kapcsolat, 5, 29, 37-42, 45, 59, 89, 106, 199, 207, 232, 248, 334-338 Hlzati kapcsolatok, 39 hlzati megoszts, 42, 119, 122, 123, 124, 128 hlzati nyomtat, 226, 235, 255 hlzati szint hitelests, 41 Hlzati szolgltats, 185, 186, 188, 228, 360 hlzaton keresztl, 37, 108, 163, 186, 248, 249 hangkrtya, 345 Hangok, 255 hardver, 4, 7, 9, 18, 101, 185, 186, 190, 194, 196, 199, 244, 342, 354, 360, 391 Hardvererforrsok, 59 hardvertelepts, 176 Hardware, 13, 59, 85, 195, 394 Hardware Resources, 59
404
Trgymutat hozzfrs, 95, 97, 102, 107, 113, 120, 123, 148, 166, 186, 194, 197, 223, 246, 278, 300, 316, 317, 328, 354 hozzfrsi engedly, 212 hozzfrsi jog, 100, 186, 187, 214, 258, 261, 278, 285, 314, 316 hozzfrsi jogok, 214, 258, 261, 278, 316 hozzfrsi szint, 360 HTML, 224, 260, 331 http, 7, 8, 9, 11, 12, 17, 46, 50, 52, 83, 86, 115, 132, 161, 195, 199, 251, 256, 257, 261, 263, 266, 330, 356, 365, 371, 382, 392 https, 65, 82, 85, 257 Internet Protocol, 42, 43 Internetbelltsok, 160, 161 internetezs, 160 internetkapcsolat, 44, 188, 195 internetkapcsolat megosztsa, 188 internetszolgltat, 189, 307 intranet, 142, 157, 262, 273 IP, 34, 37, 42-49, 78, 81, 86, 110, 148, 171, 186, 198, 207, 228-237, 240-248, 251, 261, 295-304, 306, 318, 332, 335-338, 367, 368, 369, 389, 396 IPC, 108, 125 IPC$, 108, 125 IP-cm, 34, 37, 43-49, 78, 86, 110, 148, 171, 186, 198, 228-237, 240, 241, 242, 248, 261, 295, 296, 298, 300306, 332, 336-369, 389 ipconfig, 45, 237, 239, 297, 307, 367 ipconfig /all, 45 ipconfig /registerdns, 307 IPSec, 34, 47, 93, 141, 168-173, 242, 250 IPSec protokoll, 242 IPSec-protokoll, 171, 172, 250 IPv6, 46, 47, 367 IRQ, 356 ISA, 113, 190, 266, 267, 278, 341 ISA Server, 113, 190, 266, 267, 278 iSCSI Initiator, 31 ISDN, 242, 248 Itanium, 132, 205
I,
I/O, 52, 59, 194, 219, 363 IAS, 243, 245 ideiglenes fjl, 58 ideiglenes fjlok, 58 idzna, 13, 102, 255 IETF, 295 IIS, 7, 16, 65, 141, 189, 200, 256-258, 260, 261, 264, 265, 273, 279, 341, 376, 397 IIS Manager, 258, 261 ikon, 157, 158, 170 illesztprogram, 23, 58, 59, 77, 95, 132, 204, 347, 363, 365 Inbound Rules, 170 index, 22 indexels, 28, 57 Indexelsi belltsok, 57 Indexel szolgltats, 16 Indexing Service, 16 Indtsi javts, 76 indtmen, 78, 339, 342, 344-347, 356 Informci, 365 Infrastructure Master, 284, 285, 291 Install, 271 intelligens krtya, 82, 111, 113 Interactive, 108 internet, 42, 44, 48, 87, 97, 129, 168, 229, 230, 242, 306 Internet Authentication Service, 245 Internet Engineering Task Force, 295 Internet Explorer, 6, 87, 93, 129, 152162, 260, 262, 325, 326, 373 Internet Explorer 7, 6, 153, 155, 156, 159, 161 Internet Information Services, 7, 16, 189, 256, 257, 258, 260, 264 Internet Options, 160, 161
J
Jtkok, 15 jelsz, 10, 13, 38, 50, 87, 102, 105, 108, 109, 111, 112, 144, 278, 294, 314, 324, 350 jelszval vd, 128 jogok, 123, 152, 261, 266, 281, 291
K
Kapcsolat vagy hlzat belltsa, 38 Kapcsolatbiztonsgi szablyok, 34, 172 Kapcsolatok, 306 karakterlnc, 114 karantn, 251 kbit/s, 216 KCC, 333, 334 KDC, 111 Kedvenc hivatkozsok, 26 Kedvencek, 26, 325, 326
405
Trgymutat kk hall, 199, 340, 347, 348, 354, 355, 356 Kellkek, 160 kmprogram, 161, 162, 165 Kpek, 26 kpernykml, 71 keress, 61 keretrendszer, 65, 75, 171 kernel, 131, 134, 354, 355, 359 ketts kattints, 170 Key Distribution Center, 111 Keyboard, 395 Kezdmappa, 105 Kiemelt felhasznlk, 140, 143 Kimen szablyok, 171 Kis mret, 357 Kisebb, 82, 263 kiszolgl, 4, 5, 18, 40, 44-49, 82, 85, 113, 114, 122, 129, 172, 185-193, 196-201, 206, 211-216, 231, 233-239, 241, 243, 245, 248-258, 260, 261, 262, 264, 266, 268-274, 278, 285, 293, 295-302, 304, 306, 321, 322, 323, 337, 338, 341, 349, 356, 368-371, 376, 396 kiterjeszts, 90, 142, 222, 289 kiterjesztett partci, 202, 351 kivlasztsa, 191, 196, 267, 300, 344, 358, 374, 394 Knowledge Consistency Checker, 333 kommunikci, 65, 156, 171, 249, 287 konfigurci, 69, 71, 150, 167, 244, 334, 344, 347 konfigurcis partci, 282, 332 konfigurls, 52, 106 Korbbi verzik, 179 Korltozott, 331 knyvtr, 68, 70, 120, 373 Krnyezeti vltozk, 24 Kteg, 105, 108 ktet, 166, 175-180, 197, 202-208, 210212, 222, 352, 378 kzpontilag felgyel, 263 kulcs, 7, 13, 14, 109, 111, 139, 148, 149, 166, 167, 356, 383 kvta, 218-220 Kvtabejegyzsek, 209 Last Known Good Configuration, 344, 347, 378 Layout, 135 LDAP, 294, 303 lellts, 397 lemezellenrzs, 30, 76, 351 lemezkezels, 197, 204, 205 lemezkvtk, 201, 207, 208, 325 lemezmeghajt, 194, 202, 207, 211 letlttt fjl, 26 Ltrehozs, 176 Ltrehoz csoport, 108 Ltrehoz tulajdonos, 108 levelezs, 189, 192, 242, 278 levelezprogram, 192, 258 Library, 68 licencfelttelek, 192, 252 Lightweight Directory Access Protocol, 279 Links, 26 Linux, 17, 371 List Folder Contents, 120 Local, 30, 31, 48, 49, 88, 103, 104, 106, 127, 148, 157, 317, 360, 394, 396 Local intranet, 157 Local Policies, 127 Local Security Policy, 31, 88, 127 Local Service, 360 Local System, 360 Local Users and Groups, 103, 104, 106 LocalSystem, 114, 138 Location, 28, 41, 42, 89 Log On, 128 Log On As, 128 logikai lemez, 204 Lomtr, 58
M
magyar, 7, 46, 128, 196, 265, 309 MAK, 247 Manage Documents, 126 Manage Printers, 126 Manage startup programs, 57 Manage wireless networks, 39 Manage your network passwords, 142 Manufacturer, 14 mappa, 24, 26, 28, 37, 87, 117-122, 125, 156, 176, 178, 188, 208, 212-214, 218, 220, 221, 224, 290, 324, 344, 352, 376, 393 Mappa belltsai, 122 Mappa tartalmnak listzsa, 120
L
L2TP, 242, 250 lapozs, 343 lapozfjl, 163, 165, 194, 197, 359
406
Trgymutat Mappk, 324 msodik rtegbeli alagtprotokoll, 250 msodlagos zna, 299 Msols, 213 Master Boot Record, 202, 342 Maximize, 357 MBR, 202, 205, 342, 343, 349, 351 Media Sharing, 38 Mdiafjlok megosztsa, 38 Meeting Space, 20, 50 Megbzhat, 157 Megbzhat helyek, 157 megbzhatsg, 3, 32, 72, 131, 134, 151, 156, 194, 374 Megbzhatsg- s teljestmnyfigyel, 32, 72 meghajt, 28, 30, 117, 194, 211, 349, 351, 370 meghibsods, 175, 179, 187, 204, 299, 373 Megjelentsi hatsok belltsa, 57 Megnyitott fjlok, 211, 359, 375, 387 megoszts, 108, 123, 125, 126, 175, 311, 319 Megoszts, 37, 38, 122, 123 Megoszts s felderts, 37 Megoszts varzsl, 122 megosztott erforrs, 30, 37, 38, 51, 108, 210, 240, 318, 388 megosztott erforrsok, 30, 37, 38, 51, 210, 240, 388 megosztott mappa, 99, 123, 214, 290 Megosztott mappk, 317 megszakts, 59, 186, 355, 363 Member Of, 105 memria, 22, 32, 59, 73, 75, 131, 134-136, 189, 191, 194, 328, 355, 358, 359, 366 Memria, 76 memriaterlet, 135, 136, 359 Memory, 32, 359 Ments, 24, 97, 174, 181 mennyisgi licenc, 6 merevlemez, 6, 22, 73, 166, 175, 179, 203, 342, 374, 380, 392, 393 mez, 359 Microsoft .NET Framework, 17, 264 Microsoft .NET Framework 3.0, 17 Microsoft Exchange Server, 192 Microsoft Internet Security and Acceleration Server, 193 Microsoft Management Console, 29, 200, 205, 264 Microsoft Message Queue (MSMQ) Server, 17 Microsoft SQL Server, 193 Microsoft Tudsbzis, 161, 356, 365 Microsoft zenetvrlista- (MSMQ-) kiszolgl, 17 Microsoft Virtual PC 2007, 392 Microsoft Windows, 192, 239, 260 Minden fjl, 209, 224 Mindenki, 107 Minimize, 357 mmc, 29, 91 MMC, 29, 30, 33, 61, 74, 88, 91, 103, 104, 106, 122, 124, 127, 168, 170-173, 200, 205, 206, 255, 260, 262, 263, 265, 285, 290, 292, 297, 305, 330, 336, 341, 360, 361 mmc.exe, 91 MMC-program, 29 Mdosts, 121 Monitor, 61, 72, 73, 74, 141, 192, 370, 371, 382, 383, 384 Movie Maker, 6 MSDN, 8 MS-DOS, 109 msinfo32, 58, 341 munkaasztal, 152 munkacsoport, 13, 34, 105, 198 munkakrnyezet, 9, 24, 100, 129, 277 munkamenet, 240, 251, 252, 254, 347 Music, 26 mutat, 207, 302, 307 Mvelet, 170 Mveletek, 29, 149 mveleti fkiszolgl, 283, 284, 285 MX, 302
N
Naplrend, 119, 363 naplzs, 66, 90, 115, 225 Naplzs, 119 NAT, 43, 242, 250, 251 NAT-T, 251 Nem vlaszol, 357 net, 108, 124, 308, 365 net use, 108, 124 net user, 108 NetBIOS-nv, 45, 48, 234, 240, 241 NETLOGON, 290, 308 netstat, 367
407
Trgymutat Network, 18, 36, 37, 38, 39, 41, 42, 43, 45, 52, 78, 82, 89, 106, 108, 123, 128, 148, 190, 242, 260, 261, 346, 360, 370, 371, 396 Network Address Translation, 43, 242 Network and Internet, 36 Network and Sharing Center, 36, 38, 39, 78, 123, 128, 396 Network Configuration Operators, 106 network connection, 39 Network Discovery, 37 Network File System, 18 Network Load Balancing, 190 Network Service, 360 Networking, 48, 359 nvfelolds, 48, 49, 198, 199, 241, 294, 295, 296, 341 nvkiszolgl, 49, 295, 300, 305 Nvtelen bejelentkezs, 108 nvtr, 214, 215, 279, 280, 294 New Task, 69, 70 Nzet, 66, 68, 122, 358, 363 NFS, 18 NS, 302, 305 nslookup, 369 ntbtlog.txt, 346 NTDS, 289, 309 ntds.dit, 289, 290, 373 ntdsutil, 294, 321, 350 NTFS, 25, 87, 113, 116, 120, 123, 153, 163, 166, 176, 180, 197, 201, 202, 205-207, 209, 214, 218, 223, 226, 261, 265, 309, 317, 343, 349 NTFS-fjlrendszer, 163 null session, 108 opercis rendszer, 3-11, 13, 14, 18-22, 2733, 42-45, 49, 50, 52, 57, 59, 60, 61, 66, 68, 82, 84, 86-90, 98, 101, 102, 105, 106, 108, 109, 113, 114, 116, 118, 122, 124, 125, 127-132, 134-138, 142, 143, 151, 154, 155, 163, 166-169, 175, 179, 185, 188, 189, 191, 193, 195-201, 203, 204, 207, 232, 239, 240, 244, 250, 252-256, 261, 271, 288, 289, 309, 315, 322, 323, 325, 329-331, 339-350, 353360, 363, 368, 370, 371, 378, 382, 385, 389, 395, 397 Options, 60, 223, 236, 237, 238, 239, 254, 395 Organizational Unit, 274, 281 orszg, 5, 6, 285 osztly, 229, 238, 239, 282 OU, 274, 281, 314, 327, 328 Outbound Rules, 171
,
rkls, 117 rklds, 116, 118, 119, 327, 329 sszegzs, 123 sszetev, 18, 111
P
parancs, 23, 47, 67, 86, 124, 220, 221, 236, 239, 254, 293, 294, 297, 298, 307, 330, 350-354, 367, 368, 369, 387, 388 parancsfjl, 105, 108, 228, 324, 376 prbeszdablak, 361 prhuzamos port, 344 partci, 122, 125, 197, 202, 282, 283, 332, 342, 343, 344, 351 Password, 38, 104, 105, 142 PDC, 283, 285, 291, 308 PDC-emultor, 283, 308 People Near Me, 20, 50, 51 Performance, 28, 55, 56, 61, 73, 74, 137, 141, 358 Performance Information and Tools, 28, 55, 56, 61 perifrik, 278, 342 permission, 119 Permissions, 118 Personalization, 269 Photo Gallery, 19 Pictures, 26 pillanatfelvtel, 176 ping, 369, 371
Ny
nyilvnos kulcs, 259 nyomtats, 37, 126 Nyomtats, 126 nyomtatsi sor, 17, 126 nyomtat, 95, 99, 125, 126, 226, 227, 318 nyomtat megosztsa, 126 Nyomtatk, 255 nyomtatk megosztsa, 37, 126, 188, 201 Nyomtatkezels, 32, 126
O,
Objektum-hozzfrs naplzsa, 119 OEM, 14 Olvass s vgrehajts, 120
408
Trgymutat PKI, 141, 250, 256, 259 Play, 52, 82 Plug and Play, 345, 362, 363 Point-to-Point Protocol, 47, 250 Point-to-Point Tunneling Protocol, 250 POP3, 189, 257, 258 POP3-szolgltats, 258 port, 81, 170, 171, 367, 388 Post Office Protocol, 258 Power Users, 140, 143 PPP, 47, 250 PPTP, 47, 242, 250 Previous Versions, 175, 178, 179, 213 Primary, 283, 298, 300, 322 Print, 17, 32, 125, 126, 201, 226 Printer, 37, 123 problmamegolds, 160 Processes, 358 processzor, 22, 73, 136, 189, 191, 192, 194, 328, 343, 358, 359 profil, 26, 40, 41, 42, 52 Profile, 105 program, 10, 21, 22, 57, 69, 79, 108, 125, 132-135, 142, 144, 147, 148, 163, 168175, 195, 196, 205, 220, 223, 227, 228, 252-257, 273, 293, 294, 298, 328, 342, 348, 350, 351, 360-364, 367, 368-371, 376-378, 382, 383, 387-389 Program Compatibility Wizard, 21 Program Files, 101, 144, 148, 149 programfuttats, 33 Programok, 15, 200, 207, 248, 253, 258, 261, 371 Programok s szolgltatsok, 15 programok teleptse, 146 Programok teleptse/trlse, 200 Programs, 15, 200, 207, 248, 253, 258, 260, 261, 371 Programs and Features, 15 Properties, 116, 211, 213, 305, 306 protokoll, 19, 42, 46, 48, 49, 51, 65, 85, 108, 110, 111, 168, 171, 232, 236, 245, 250, 258, 303, 367, 370 protokollok, 46, 47, 48, 171, 242, 250, 260, 303 PTR, 302, 305, 307 Public, 26, 37, 41, 259 Public Key Infrastructure, 259
R
RA, 85 RADIUS-hitelests, 245 RADIUS-kiszolgl, 245 RAID, 12, 190, 194, 197, 199, 201-204, 349, 373 RAID-5 ktet, 197, 201, 203 RAM, 7, 32, 109, 191, 192, 194, 342, 359, 394 RDP, 6, 81, 82, 83, 252, 254, 256, 257 RDP-protokoll, 82 Recovery, 311, 340, 348, 349, 350, 353, 356, 362 regedit, 60, 326 Registry, 33, 134, 139, 163, 383 regsvr32, 292 rejtett megoszts, 125 relatv azonost, 283 Relative Identifier, 283 Reliability and Performance Monitor, 32, 72 Remote, 7, 17, 19, 23, 70, 81-86, 106, 108, 139, 192, 201, 206, 216, 242, 244, 245, 251-255, 257 Remote Assistance, 83, 85 Remote Authentication Dial-In User Service, 245 Remote Desktop, 7, 23, 70, 81, 82, 106, 108, 252, 253, 254, 255, 257 Remote Desktop Connection, 81, 254 Remote Desktop Protocol, 82, 252 Remote Desktop Users, 106, 253 Remote Desktop Web Connection, 257 Remote Procedure Call, 139 Remote settings, 23, 81 Removable Storage Management, 17 Remove, 200, 207, 248, 253, 258, 260, 261, 271, 371 rendelkezsre lls, 5, 191, 373 Rendszer, 22, 23, 175, 176, 252 rendszer lelltsa, 163, 354 rendszerllapot, 196, 319, 321, 376, 378, 380, 381 Rendszereszkzk, 30 rendszerfelgyeleti eszkzk, 24 rendszerfolyamat, 32, 114, 357, 367 rendszergazda, 10, 30- 35, 42, 55, 59, 83, 101, 102, 119, 132, 142-144, 147, 148, 151, 157, 176, 185, 187, 200, 214, 219, 221, 223, 224, 251, 264, 266, 270, 272, 276, 277, 279, 291, 309, 316, 320, 322, 328, 354, 356, 366, 382
Q
Quota, 207, 209, 217, 226 Quota Entries, 209
409
Trgymutat Rendszergazda, 101, 103, 115, 140, 148, 238, 311, 314, 320, 350 Rendszergazdk, 101, 106, 133, 138, 140, 143, 152, 316 rendszerid, 102 rendszerindts folyamata, 339, 342 Rendszerinformci, 58 rendszerktet, 181, 349 rendszerlells, 72, 347, 356 rendszerler adatbzis, 101, 148, 156, 360 rendszermag, 134 rendszernapl, 62, 90, 341, 364 rendszerpartci, 136, 197 rendszerszint, 135 rendszerszolgltats, 89, 360 Rendszertlts naplzsnak engedlyezse, 346 Rendszervdelem, 24 Rendszer-visszallts, 175, 176 Repair, 181 Replicator, 106 replikci, 189, 216, 217, 275, 276, 279, 280-282, 292, 294, 298, 299, 321, 331-335 replikcis topolgia, 282, 332, 333 Replikl, 106 Resolution, 48, 49, 50, 236, 367 Restart, 273 Restricted, 157 Restricted sites, 157 RFC, 111 RID, 114, 140, 283, 285, 291 RID Master, 283, 285, 291 RID-fkiszolgl, 283 RIP, 17 root CA, 256 rosszindulat program, 135 router, 243, 249 Router, 234 Routing and Remote Access, 242 Routing Information Protocol, 17 RPC, 129, 139, 345 RRAS, 228, 242, 243, 244, 246, 247, 249, 250, 278, 394, 397 Run as administrator, 66, 382 Safe Mode with Networking, 346 Sajt tulajdonba vtel, 119 Sajtgp, 24, 326 SAM, 101, 311 SAN, 207 sv, 155, 169, 335 svszlessg, 17, 51, 65, 83, 89, 216, 217, 331, 334, 336 Scheduled Tasks, 380 Schema, 282, 285, 292 Schema Master, 285, 292 schmmgmt.dll, 292 Scroll Lock, 356 Search, 57 secedit, 330 Security, 62, 101, 114-116, 119, 127, 130, 147, 153, 154, 167, 168, 173, 209, 283, 353, 364, 387, 389 Security Center, 130, 153, 154 Security Identifier, 114, 283, 387, 389 Security Log, 62 Security Options, 353 Security Settings, 127, 353 segdprogram, 83, 292, 368, 369, 385 segdprogramok, 58, 61, 382 segtsgnyjts, 23, 83 sma, 205, 279, 282, 285-287, 292, 294, 332, 334 Sma, 282, 285, 292, 293 server, 257, 298, 304 Server, 17, 18, 70, 82, 83, 86, 87, 134, 136, 155, 178, 180, 185, 187, 189-196, 198, 200-204, 217, 218, 226-228, 233, 237, 239, 241, 242, 250-258, 260-269, 276, 279, 283, 287, 288, 289, 292, 299, 300, 309, 317, 323, 330, 340, 346, 349, 360, 363, 364, 374, 380, 381, 384, 392-397 Service, 15, 19, 20, 51, 62, 65, 75, 97, 111, 113, 128, 129, 138, 139, 155, 168, 190, 258, 264, 297, 304, 360, 364 Services, 17, 18, 30, 32, 60, 75, 139, 149, 187, 189, 192, 257, 260, 261, 262, 263, 311, 341, 361 Services and Applications, 30 session, 111 Set up a connection or network, 38 Settings, 25, 85, 161, 212, 394 Setup, 199, 342 setup.exe, 199, 392 Shadow Copies, 201, 210, 211, 375 Shared Folders, 395 Shares, 124 Sharing, 37, 39, 122, 123
S
S-1-5-18, 114 S-1-5-19, 114 S-1-5-20, 114 Safe Mode, 77, 311, 345, 346 Safe Mode with Command Prompt, 77, 346
410
Trgymutat Sharing and Discovery, 37 Sharing Wizard, 122 SID, 114, 115, 140, 144, 152, 283, 350, 387, 389 Simple Mail Transfer Protocol, 258, 260, 261 Simple volume, 202 site, 171, 335 sklzhat, 49, 191, 279 SMTP, 69, 169, 189, 257-261 SOA, 300, 301 SOAP, 65 Software, 57, 148, 149, 156, 163, 263, 270 SOFTWARE, 348 Software Update Service, 263, 270 Spanned volume, 203 Specilis, 17, 24, 26, 45, 58, 60, 117, 124, 161, 209, 377 Specilis belltsok, 161 specilis csoportok, 106 Specilis megoszts, 124 Specilis rendszerbelltsok, 24, 26 SRV, 302, 303, 304, 307, 308 SSL, 256, 257, 259 Standard, 102, 140, 192, 298, 299 Standard Edition, 192 Start men, 26, 36, 57, 88, 160, 200, 254, 266, 290, 305, 310, 325, 326, 394 Starter, 5, 6, 7 Startup, 60, 76, 140, 356, 379 Startup Repair, 76, 140 statikus IP-cm, 241, 246 Storage, 30, 201, 205, 206, 207, 217, 220 Storage Area Network, 201, 207 subnet, 34, 229 subnet mask, 229 Summary, 59 Support Tools, 298, 368 System, 14, 22, 23, 24, 30, 33, 44, 45, 58, 59, 60, 62, 75, 77, 81, 85, 88, 90, 115, 131, 133, 134, 137, 149-153, 160, 165, 175-179, 187, 196, 252, 263, 295, 311, 319, 320, 340-345, 356, 359, 364, 373, 375, 376, 379, 392 SYSTEM, 101, 118, 139, 344, 346, 352, 360 System and Maintenance, 24, 81 System Information, 58, 59, 341 System log, 90, 364 System Policy, 88 System Properties, 24, 85 System Restore, 77, 175, 176, 177, 179 System Tools, 30, 160 SYSVOL, 290, 311, 319, 324, 364, 376
Sz
szabad terlet, 194, 202, 206, 265 Szmtgp, 29, 30, 60, 90, 181, 211 Szmtgp javtsa, 181 szmtgp lelltsa, 204 szmtgpfik, 35, 291, 315 szmtgp-hlzat, 51, 97 Szmtgp-kezels, 29, 30, 60, 211 szegmens, 43, 136, 231 szektor, 342, 343, 384 szlessv, 38 szemlyes adatok, 27, 84, 156, 176 Szerkeszts, 118 szerver, 16, 49, 82 szervezeti egysg, 87, 227, 268, 274, 281, 291-293, 312, 313, 322, 323, 326-329, 333 szervizcsomag, 89 Szinkronizls, 214, 268, 270, 284, 335, 364 szoftver, 176, 196, 213, 247, 252, 257 Szolgltatsok, 30, 32, 60, 75, 341, 361 szrt zenet, 233, 234, 241 szvegfjl, 300, 352
T
Take Ownership, 119 Tlca, 36 tmads, 360 tanstvny, 132, 158, 165, 250, 256, 259 Tanstvnyszolgltatsok, 257 Trols, 30 trol, 6, 28, 114, 118, 175, 197, 201, 205, 206, 215, 265, 273, 280, 289, 295, 299, 300, 317, 327, 366, 374 tartomnyfa, 280, 281, 317 Tartomnyfelhasznlk, 316 Tartomnygazdk, 115, 316 Tartomnyi szmtgpek, 353 Tartomnyi tag, 323 Tartomnyi vendgek, 115 tartomnynv, 234, 292, 312 Tartomnyon belli csoport, 317 tartomnyvezrl, 90, 100, 112, 114, 190, 192, 253, 282-286, 288, 293, 296, 299, 304, 307, 311, 320, 331-335, 338, 364, 368, 376 Task Manager, 61, 87, 150, 341, 357, 385 Task Scheduler, 33, 68, 380 Tasks, 68, 70, 165 tvfelgyelet, 85, 252
411
Trgymutat tvoli asztal, 81, 82, 85, 170, 252, 254 Tvoli belltsok, 23, 85 tvoli eljrshvs, 139 tvoli szmtgp, 31, 37, 50, 82, 85, 171, 376 Tvsegtsg, 83, 85 TCP/IP, 18, 35, 42-46, 48, 106, 198, 207, 231, 232, 233, 236, 247, 250, 303, 307, 309, 312, 367, 368 TCP/IP-paramter, 35, 231, 236, 307, 367, 368 TCP/IP-protokoll, 42, 43, 46, 49, 198, 232 TCP/IPv4, 44 TCP-port, 65, 303 telefonos kapcsolat, 107 telefonvonal, 242, 248, 252 telephely, 87, 216, 249, 276, 311, 323, 326, 328, 335-338 telepts, 7, 11-14, 18, 22, 28, 101, 106, 140, 181, 185, 191, 193-198, 200, 227, 241, 261, 263, 265, 266, 272, 304, 309, 310, 311, 312, 349, 350, 351, 363, 392, 395, 396 telepts felttelei, 309 teleptsi folyamat, 381 teleptlemez, 181, 191, 195, 200, 340, 381 teleptprogram, 12, 13, 55, 177, 191, 195, 199, 276, 309, 310, 311 teljes hlzat, 187, 190, 241, 249, 279, 285 Teljes hozzfrs, 121 Teljes mret, 357 Teljes trkp, 37 teljestmny, 72, 187, 189, 203, 204, 212, 244, 395 Teljestmny, 189, 358 Teljestmnyadatok s -eszkzk, 28, 55 Telnet Client, 18 tma, 129 Temp, 123, 157, 290 Temporary Internet Files, 156 terjesztsi csoport, 316, 317 termkazonost, 13, 14 termkkulcs, 7, 23 terminl, 252, 254, 256 Terminal Server, 253 Terminal Services, 81, 82, 128, 228, 252 Terminal Services Gateway, 82 terminlkiszolgl, 190, 253, 255, 257 Terminlszolgltatsok, 81, 128, 228, 252, 253, 254, 255 terminlgyfl, 257 terlet, 90, 176, 203, 208, 218, 383 tervezs, 191, 314, 373 Testreszabs, 37 TGT, 111, 112 Ticket Granting Ticket, 111 Tiltott helyek, 157 Time, 297, 368 titkost, 110 titkosts, 163, 164, 166, 250, 254 TLS, 250, 259 Tools, 30, 31, 32, 57, 60, 248, 251, 255, 256 Tovbb, 14 Tovbbtott esemnyek, 64 tbbfelhasznls rendszer, 148 tmrts, 17, 205, 209, 216 tredezettsgmentests, 68 Transmission Control Protocol/Internet Protocol, 42 Transport Layer Security, 259 tree, 289 trust, 292 TTL, 368 tulajdonos, 115, 119, 163, 209, 225, 259 tulajdonsglap, 27, 103, 169, 207, 209, 314, 364 Tulajdonsgok, 24, 116, 211, 213, 305, 306 tkrztt ktet, 202, 203, 204 tzfal, 33, 42, 47, 66, 93, 130, 134, 154, 168-173, 193, 231, 242, 251, 325
U,
UAC, 102, 140, 142-148, 150, 154, 155, 157 j felhasznl, 314 jraindts, 273, 348, 356 Ultimate, 6, 7, 9, 20, 104, 127, 167 univerzlis csoport, 289, 317 UNIX, 17, 18, 252, 371 update, 133, 273, 274 Upgrade, 9 URL, 66, 160, 266 USB, 8, 11, 12, 82, 95, 165, 166, 167, 345 USB-eszkz, 8, 12, 167 User Account Control, 70, 85, 93, 102, 143, 144, 148, 156 User Accounts, 103, 142, 145 User Rights Assignment, 127 User State Migration, 11 Users, 24, 25, 26, 28, 102, 103, 105, 106, 107, 118, 123, 128, 140, 148, 149, 253, 316, 318, 359 tvlaszts, 188, 228, 246, 367 tvlaszts s tvelrs, 242 tvlasztsi tblzat, 367 tvlaszt, 43, 44, 243, 368
412
Trgymutat
,
gyfl, 3, 5, 19, 81, 82, 85, 90, 110-113, 122, 129, 142, 154, 155, 168, 186, 189, 200, 201, 214, 233, 234, 237, 238, 248-250, 254-257, 260, 264, 268, 273, 295, 323, 346, 396 gyfl-kiszolgl, 186 gyflprogram, 254, 258, 273 zenet, 33, 69, 110, 208, 234, 254, 312, 342, 343, 344 zenetablak, 69
W
Warning, 365 web, 7, 16, 169, 189, 190 Web Edition, 192 webhely, 260, 266, 365 webkiszolgl, 192, 257, 260, 273 weblap, 156 WHQL, 132 windir, 48, 89, 90, 299 Windows 2000, 9, 10, 45, 48, 70, 88, 89, 111, 133, 163, 226, 238, 239, 240, 250, 255, 256, 257, 263, 264, 265, 267, 271, 283, 288, 289, 292, 317, 330, 340, 349, 384 Windows 2000 eltti rendszer, 317 Windows 2000 Server, 111, 226, 288, 289, 340 Windows 3.1, 109 Windows billenty, 255 Windows Complete PC Restore, 181 Windows Defender, 56, 57, 93, 147, 153, 154, 161-163, 165, 267 Windows Easy Transfer, 10 Windows lmnyindex, 22, 55 Windows Explorer, 36, 77, 163, 346, 357 Windows Fax and Scan, 19 Windows faxol s kpolvas, 19 Windows Features, 15 Windows Firewall, 33, 93, 168, 169 Windows Firewall with Advanced Security, 33, 93, 168, 169 Windows Installer, 133, 324 Windows Internet Name Service, 45, 240 Windows Intz, 37 Windows Live Messenger, 50, 83 Windows Logs, 62 Windows Mail, 6 Windows Management Instrumentation, 58 Windows Me, 6, 7, 20, 38, 50, 77, 262 Windows Media Player, 6, 7, 38 Windows Media Services, 262 Windows Meeting, 20, 50 Windows Meeting Space, 20, 50 Windows NT, 87, 88, 90, 110, 196, 202, 279, 283, 288, 289, 307, 317 Windows NT 4.0, 87, 196, 202, 288, 289 Windows NT tartomny, 283 Windows Remote Assistance, 83 Windows Server 2008, 83, 89 Windows Trgyal, 20, 50 Windows Time, 284
V
vglap, 254 vllalati hlzat, 5, 132, 143, 188, 242 Vllalati rendszergazdk, 238 varzsl, 10, 14, 21, 172, 200, 248, 253, 258, 262, 266, 269, 310, 378 VBScript, 324 vgrehajthat, 33, 222, 223, 224, 342, 358 vgrehajthat fjl, 222, 223, 224 Vendg, 102, 103, 107, 115 Vendgek, 102, 106 vezrls, 136, 343 Vezrlpult, 22, 23, 28, 55, 57, 103, 207, 271, 325, 326 vezrlpultelem, 85 vezetk nlkli hlzat, 38, 39, 371 vezetk nlkli hozzfrsi pont, 38 Videos, 26, 27 Views, 63, 64 Virtual Private Network, 248 virtulis gp, 6, 180, 391-397 virtulis magnhlzat, 38, 242, 248, 250 virtulis memria, 24 virtulis port, 249, 250 virtulis szmtgp, 392 vrus, 134, 135, 145, 152, 251 visszallts, 24, 28, 97, 174-177, 181, 321, 322, 372, 374, 378, 380, 381 Visszallts, 181, 213, 381 visszalltsi pont, 24, 68, 176, 177, 178, 179 volume, 202, 203 VPN, 38, 47, 90, 147, 171, 190, 242, 243, 245, 247-251, 371, 397 VPN-kapcsolat, 147, 242, 247, 248, 249, 250, 251, 371
413
Trgymutat Windows tzfal, 18, 42, 129, 139, 146, 168, 171 Windows tzfal belltsai, 146 Windows Ultimate Extras, 20 Windows Update, 11, 146, 147, 161, 267 Windows Vista, 3-9, 11, 13, 20, 29, 36, 39, 40, 46, 48-51, 55, 65, 75, 77, 82, 83-85, 89, 92, 100, 102, 124, 125, 131, 132, 138, 142, 154, 163, 166, 167, 168, 169, 173, 178, 213, 227, 228, 268, 330, 340, 384 Windows Vista Upgrade Advisor, 9 Windows XP, 3, 5, 7, 10, 13, 18, 20-24, 26, 27, 32, 33, 48-52, 65, 79, 83, 86, 87, 97, 107, 129, 130, 134, 136, 140, 142, 154, 155, 161, 178, 179, 204, 213, 253, 254, 271, 323, 330, 384 Windows-frisstsek teleptse, 146 Windows-naplk, 62 Windows\System32\Config, 101 Windows-tzfal, 42 Windows-szolgltats, 15, 30, 62, 66, 75, 171, 205 Windows-szolgltatsok, 15, 30, 66, 171 Windows-szolgltatsok be- s kikapcsolsa, 15 WINS, 45, 48, 49, 186, 196, 198, 228, 231, 232, 234, 240, 241, 302, 367, 397 WINS/NBNS Servers, 234 WINS/NBT Node Type, 234 WINS-kiszolgl, 45, 48, 49, 231, 232, 234, 240, 241, 302, 367 WMI, 30, 58, 227, 328 WMI Control, 30 Workgroup, 193
X
x64, 9, 132, 134 XML, 66, 67, 90, 224 XPS, 17 XPSP2, 168
Z
Zene, 26 zna, 45, 159, 298-302, 304-306, 308 znatvitel, 300, 301, 305
414
A szerzkrl
Gl Tams
1996 ta zemeltet Windows szervereket, vllalkozsa tbb cg informatikai rendszernek gazdja, illetve konzultnsa. Rendszergazda, informatikai vezet, trner, illetve 2007 janurja ta, a Microsoft Magyarorszg llomnyban, a TechNet program szakmai tancsadjaknt is tevkenykedik. Ebben a minsgben a hazai Microsoft konferencik, esemnyek, webcastok rendszeres eladja, offline s online szakmai anyagok szerzje. Szakvizsgit tekintve MCSA/MCSE/MCTS, Security s Messaging pluszkpestsekkel is rendelkezik, illetve okleveles Microsoft trner (MCT). 2004. janur ta Magyarorszgon az els krben s immr negyedszer jravlasztva MVP (Most Valuable Professional), azaz a Microsoft Corporation szakmai djazottja. Kedvenc szakterletei kz tartozik az ISA Server, a WSUS, a Vista s a Windows Server 2008, valamint a bta szoftverek. Ns, angol-trtnelem szakos pedaggus felesgvel valamint t gyermekvel Ceglden l.
Szab Levente
Szakmai gyakorlatt az IBM Magyarorszgnl szerezte, majd 2000-tl egy pnzgyi rszvnytrsasg rendszergazdja s informatikai vezetje, valamint elltja a holdinghoz tartoz tbb cg informatikai teendit is. A 2004 vgn indult Windows Portal (http://winportal.net) internetes szakmai lap alaptja s fszerkesztje, melynek kapcsn, az online kzssgrt vgzett munkjrt a Microsoft 2007 prilistl MVP (Most Valuable Professional) cmmel jutalmazta. Szakterlete az asztali PC-ken s mobileszkzkben hasznlt Windows opercis rendszerek behat tanulmnyozsa, valamint a legjabb bta szoftverek tesztelse. Kedvencei kz tartozik a Vista s a rendszer biztonsgi megoldsaival kapcsolatos tmk.
A szerzkrl
Szernyi Lszl
1995 ta foglalkozik Windows kiszolglk s gyflgpek zemeltetsvel. Jelenleg az Orszgos Meteorolgiai Szolglatnl dolgozik, mint Windows rendszerekrt felels rendszergazda. Szmtalan fordts fzdik a nevhez [szakcikkek, tanulmnyok, a Neumann Jnos: Szmtgp s az agy cm knyve (NetAcademia, 2006) stb.], s rendszeresen publikl klnfle tmj szakmai rsokat, elssorban a rendszerfelgyelet automatizlsnak lehetsgeivel kapcsolatban. Trsszerzje a Small Business Server 2003 cm nagy siker szakknyvnek. Kedvenc szakterletei kz tartoznak a klnfle rendszerfelgyeleti feladatok automatizlsval kapcsolatos eszkzk (VBScript, PowerShell, .NET Framework, WMI, ADSI, stb.). Ns, felesgvel s tzves lnyval Budapesten l.
Felels kiad: a SZAK Kiad Kft. gyvezetje Felels szerkeszt: Kis dm Trdel: Mamira Gyrgy Bortterv: Flrin Gbor (Typozis Kft.) Terjedelem 27 (B5) v. Kszlt az OOK Press Nyomdban (Veszprm) Felels vezet: Szathmry Attila
416