Professional Documents
Culture Documents
Windows Server 2008R2 - A Kihívás Állandó
Windows Server 2008R2 - A Kihívás Állandó
Gl Tams
Minden jog fenntartva. A szerz s a kiad a knyv rsa sorn trekedtek arra, hogy a lert tartalom a lehet legpontosabb s napraksz legyen. Ennek ellenre elfordulhatnak hibk, vagy bizonyos informcik elavultt vlhattak. A pldkat s a mdszereket mindenki csak sajt felelssgre alkalmaz hatja. Javasoljuk, hogy felhasznls eltt prblja ki s dntse el sajt, hogy megfelel-e a cljainak. A knyvben foglalt informcik felhasznlsbl fakad esetleges krokrt sem a szerz, sem a kiad nem vonhat felelssgre. A cgekkel, termkekkel, honlapokkal kapcsolatos listk, hibk s pldk kizrlag oktatsi jelleggel kerlnek bemutatsra, kedvez vagy kedveztlen kvetkeztetsek nlkl. Az oldalakon elfordul mrka- valamint kereskedelmi vdjegyek bejegyzjk tulajdonban llnak.
Gl Tams, 2011 Lektorlta: Lepenye Tams (rendszermrnk, Microsoft Magyarorszg) Petrnyi Jzsef (szakrt, Emaildetektv Kft)
Bort: Varga Tams Anyanyelvi lektor: Bonhardtn Hoffmann Ildik
Kiad: Jedlik Oktatsi Stdi Kft. 1215 Budapest, v u. 8-12. Internet: http://www.jos.hu E-mail: jos@jos.hu Felels kiad: a Jedlik Oktatsi Stdi Kft. gyvezetje
Ksznetnyilvnts
Csak a korbbiakat tudom ismtelni (lsd Forefront TMG knyv), azaz a 10 ves gyermek jra a voodoo knyvvel, a felesg pedig - kb. flton - a kvetkez halkan benygtt mondattal: tudtam, hogy nehz lesz, de nem gondoltam, hogy ennyire. Ekkor mr sejtettem, hogy az jjel-nappal rs kzben valsznleg elviselhetetlenl viselkedem Velk. De lesz krptls, grem. Emellett a lektorok segtsge is nagyon sokat jelentett. Szmos ktelessgk ellenre, els krsre elvllaltk a feladatot, majd zoksz nlkl, brutlisan rvid hatridre knyszertve is megtettk a ktelessgket, amit mg egyszer ksznk. s mg egy dolog a vgre: ksznm az j munkahelyemen (IQSOFT-John Bryce Oktatkzpont) a kollgknak, hogy augusztusban s szeptemberben trelmesek s megrtek voltak.
TARTALOMJEGYZK
1 2 Bevezets _______________________________________________________ 11 Rgen s ma _____________________________________________________ 13 2.1 Apr magyarzat az elejre ________________________________________ 13 2.2 Az jdonsgok dihjban s sorrendben _____________________________ 15 2.2.1 A Windows Server 2008 jdonsgai________________________________ 15 2.2.2 A Windows Server 2008 R2 jdonsgai _____________________________ 18 3 Tervezs s telepts_______________________________________________ 23 3.1 3.2 Kiadsok s felttelek __________________________________________ 23 Telepteni knny ______________________________________________ 26 A klasszikus tiszta telepts lpsei ____________________________ 26 A csendes (unattended) telepts ______________________________ 32 Egy j mdszer: a Server Migraton Tool _________________________ 39
Felgyelet, kezels, ellenrzs _______________________________________ 49 4.1 4.2 4.3 4.4 4.5 A Server Manager ______________________________________________ 49 A Powershell 2.0 ldsai ________________________________________ 54 BPA __________________________________________________________ 59 Az RSAT ______________________________________________________ 61 WS-Management _______________________________________________ 63 Fjl- s nyomtatszolgltatsok ___________________________________ 66 FSRM_____________________________________________________ 66 ABE ______________________________________________________ 67 DFS s DFS-R jdonsgok ____________________________________ 68 VHD kezels, VHD boot ______________________________________ 73 Nyomtatszolgltatsok _____________________________________ 76
Kiszolgl alapszolgltatsok ________________________________________ 66 5.1 5.1.1 5.1.2 5.1.3 5.1.4 5.1.5 5.2 5.3
5.3.1 5.3.2
5.4 6 6.1
Windows Server Backup _________________________________________ 96 Az els szakasz: a Windows Server 2008 __________________________ 113 Read-Only tartomnyvezrlk (RODC) _________________________ 113 Az jraindthat cmtrszolgltats ___________________________ 121 Tbb tartomnyi jelsz- s kizrsi hzirend ____________________ 122 Database Mounting Tool ____________________________________ 125 Az Offline Domain Join ______________________________________ 127 AD Administrative Center ___________________________________ 130 AD lomtr ________________________________________________ 133 Kisebb mutatvnyok (MSA, AMA, DSRM PS) ____________________ 139 A smafrissts ____________________________________________ 141 A mkdsi szintek ________________________________________ 143
AD* ___________________________________________________________ 113 6.1.1 6.1.2 6.1.3 6.1.4 6.2 6.2.1 6.2.2 6.2.3 6.2.4 6.3 6.3.1 6.3.2 6.4 6.5
Teleptsnk vgre! _____________________________________________ 149 Kedvencnk a Csoporthzirend __________________________________ 161 A Central Store ____________________________________________ 163 A rgi-j GPMC ____________________________________________ 165 Szrs, kommentek s az All Settings nzet __________________ 165 Starter GPO-k _____________________________________________ 169 Group Policy Preferences ___________________________________ 171 Tovbbi R2-es jdonsgok __________________________________ 175
Kiemelt szolgltatsok ____________________________________________ 178 A karantnunk, a NAP __________________________________________ 178 sszetevk _______________________________________________ 180 A kapcsoldsi lehetsgek _________________________________ 181 Mi is ez? _________________________________________________ 193 Varzsoljunk! _____________________________________________ 197 A kt zemmd ___________________________________________ 208 A BranchCache konfigurlsa ________________________________ 210 7.1.1 7.1.2 7.2 7.2.1 7.2.2 7.3 7.3.1 7.3.2
RDS + VDI _____________________________________________________ 215 8.1 8.2 8.3 8.4 8.5 8.6 8.7 Session Host _________________________________________________ 215 RemoteApp __________________________________________________ 227 Web Access __________________________________________________ 233 Connection Broker_____________________________________________ 237 VDI _________________________________________________________ 244 RemoteApp for Hyper-V _________________________________________ 258 RD Gateway __________________________________________________ 259 Mit tud, mire val s mi kell hozz? _______________________________ 270 A konzol s a virtulis gpek kezelse ____________________________ 273 Egy virtulis gp ltrehozsa ____________________________________ 278 A virtulis gp belltsai _______________________________________ 287 A Hyper-V Server R2 ___________________________________________ 293 Elnyk s htrnyok ________________________________________ 297 Az els lpsek _____________________________________________ 299 Ellenrzs s felgyelet _______________________________________ 303 Szerepkrk, komponensek teleptse __________________________ 308 Server Core + AD ____________________________________________ 310 Egyb alkalmazsok s a meghajt programok ___________________ 311
Hyper-V________________________________________________________ 270 9.1 9.2 9.3 9.4 9.5 10.1 10.2 10.3 10.4 10.5 10.6
BEVEZETS
1 B EVEZETS
Jelen knyv szletsnek elsdleges oka az, hogy a Microsoft Magyarorszg szervezsben lebonyoltott, hagyomnyosan rendkvl sikeres Informatika Tisztn sorozat negyedik rszben1, 2010 szn 12 - az interneten is kzvettett - eladson keresztl foglalkoztunk a Windows 7-tel, de fkpp a Windows Server 2008-cal s az R2-vel. A TechNet program akkori szakmai vezetjeknt mr akkor is - azaz az eladsok tartalmnak s sorrendjnek tervezse kzben - tudtam, hogy a letlthet prezentcik s screencast-ok sora nmagban kevs lesz, szksg lesz ksbb egy rszletesebb, papralap kivonatra is. De tudni egy dolog, megrni meg egy msik aki rt mr valaha 2 oldalnl tbbet, az tudja, hogy mirl beszlek Aztn menet kzben, a napi robot sorn mr a legnagyobb problma nem is maga az rs volt, hanem a knyv tmja. Ugyanis az utols (flig) szerveres knyvnk a szintn szp siker, kivtelesen kereskedelmi forgalomba is kerlt Rendszerfelgyelet rendszergazdknak cm m volt, amelyben a Windows Vista s az akkor legfrissebb szerver, a Windows Server 2003 R2 kerlt tertkre. Ehhez kpest mostanra kettt lptnk elre, hiszen nemcsak az risi vltozsokat hoz Windows Server 2008, hanem az utdja, a szintn sok j kpessget felvonultat a Windows Server 2008 R2 is megjelent. Az Informatika Tisztn eladsaiban s demiban csak az R2-t hasznltuk, de mg ott is muszj volt a Windows Server 2008as alapokra visszautalni, ht mg mekkora szksg van erre egy annl jval rszletesebb tartalm knyvben! Nos, gy rzem, ez nha felemsra is sikeredett, mivel van olyan fejezet, ahol teljesen sztvlasztottam (pldul a cmtrszolgltatsok), de van, ahol nem, mert nem volt annyi klnbsg, vagy ppensggel nem egymsra pltek a vltozsok. A tervezett tartalmat tekintve a dolgom nem volt nehz, mert ugye az volt a lnyeg, hogy a kezdk szmra is rthet legyen, de a haladknak is nyjtson j informcit, illetve akinek a Windows Server 2008 vagy ppen az R2 az els opercis rendszere, az is rtsen mindent, de aki esetleg a Windows Server 2003-rl jn, annak is hasznos legyen. Nem is nehz, ugye? Na nem sajnltatom magam tovbb, de azt azrt megjegyzem, hogy egy darabig a tartalomjegyzk trsa napi szint feladatnak bizonyult. A mlysget illeten - azt hiszem - ltalban tudtam tartani magam a kitztt kezd/kzphalad szinthez, br nha elgurult a gygyszer, mint pl. az AD vagy az RDS fejezetnl (ezek lettek a
1
https://technetklub.hu/blogs/informatikatisztan/archive/2010/10/14/informatikatiszt-225-n-ingyenes-szakmai-k-233-pz-233-s-kezd-233-s-halad-243-rendszergazd225-knak.aspx
~ 11 ~
~ 12 ~
RGEN S MA
2 R GEN
2.1 A PR
S MA
MAGYARZAT AZ ELEJRE
A Windows Server 2008 a Microsoft hatodik genercis (6.0), hlzati kiszolgl opercis rendszere, amely RTM (Release to Manufacturing) kiadsnak dtuma 2008. februr 27. De itt s most mi nem llunk meg a 6. genercinl, hanem kicsit mg tovbb megynk, mgpedig a 6.1-es verzij Windows Server 2008 R2-re 3 , amely 2009. jlius 22-n jelent meg. Az a helyzet, hogy ltezik egy msik, vlemnyem szerint kiss tves megkzelts, amely szerint ez utbbi csupn a Windows Server 2008 javtsa - s ami a lnyeg: sokak szerint nincs is igazn komoly, szmottev klnbsg. A Microsoft az egyszer R2, azaz Release 2 rvidtssel taln kiss segt is ezen vlemny kialaktsban, m a helyzet az, hogy maximum szaktudstl el nem vaktva 4 gondolhatjuk ezt komolyan. Termszetesen nem hajtom lebecslni a Windows Server 2008-at, hiszen a stabil alapot s a kpessgek jelents rszt valban ez a termk adja az R2 al is, s a Windows Server 2003-hoz kpest risi ugrst jelentett, de az R2 mg gy is klnlegesen sokat tesz hozz a kszlethez, elssorban a funkcionalits terletn, mikzben egyttal rengeteg helyen praktikusan korriglja a 2008-as vltozatot. Taln a legknnyebben gy rtjk meg ezt a helyzetet, hogyha szembelltjuk a Vista SP1-et s a Windows 7-et. Ugyanis a Windows Server 2008 kdbzisa jelents rszben a Vista SP1-gyel 5 egyezik meg, ezrt architektrjukban s a funkcionalitsukban is sok kzs vons tallhat, s ugyanez a helyzet az R2 s a Windows 7 esetn. A knyv szempontjbl persze ez a vita magammal kiss akadmikus jelleg, hiszen az a hatrozott szndkom, hogy a Windows Server 2003-hoz kpest adjak nmi tudst az Olvas kezbe, gy aztn, ha gy vesszk, akkor egyszerre kt termket fogok bemutatni ezen oldalakon. Mindemellett azrt alapveten az R2 fell kzeltek minden tmhoz (pldul az sszes kpernykpen), mg akkor is, ha az adott rsznl nincs vagy nincs sok vltozs a Windows Server 2008-hoz kpest persze ilyen viszont igen kevs helyen van.
Soha tbbet nem emltem meg ebben a mben a teljes nevet, mivel borzaszt hossz s tbbeknek knnyen sszekeverhet pl. a Windows Server 2008-cal. Innentl ltalban R2 nven futunk, s ha esetleg majd a Windows Server 2003 R2 re utalok, akkor ezt kln jelzem. 4 Hzagos ismereteim szerint tbb gazdja is van ennek a politikailag szerintem teljesen korrekt kifejezsnek (pl. Fti Marcell), de n elszr, sok-sok ve Socz Zsolttl hallottam s azta is kjes rmmel hasznlom. 5 s nem a Vista RTM-mel, ezt ne feledjk el!
3
~ 13 ~
2.1
BRA
M R
AKKOR MEGMONDTUK
Az ipargunkba ksbb rkezknek azrt elmondom, hogy a Longhorn kifejezs a ksbbi Windows Server 2008-at s a Vistt jellte, a Vienna pedig a jelenleg szintn mg csak kdnvvel rendelkez (br ez mr egy msik) Windows 8 Server-t jelli.
Br, tegyk hozz, hogy az XP SP2 ta ezek a klasszikus szervizcsomagok is tbbet adnak a keznkbe mint csupn egyszer javtsok sorozatt. 7 A Microsoft Magyarorszg vekig a Lurdy-hzban tartotta a nagy-nagy, sok szz rsztvevs zemelteti (IT Pro) konferencikat.
6
~ 14 ~
RGEN S MA 2.2 A Z
JDONSGOK DIHJBAN S SORRENDBEN
Ez a rsz kiss megneheztette a szerz lett, hiszen ha kt verzirl beszlnk egyszerre, akkor egyrszt komoly emlkkeres nyomozst kellett vgrehajtani (a 2008-as verzit nem nagyon zemeltetem mr sehol), a dihj meg viccesen sznalmas az jdonsgok kpzeletbeli listjt tekintve. Azrt megprblom, igaz, csak kt lpsben.
JDONSGAI
Teht a Windows Server 2003 R2-hz kpest a Windows Server 2008 - kis tlzssal -, gyakorlatilag minden rszletben megvltozott. A felhasznli fellettl kezdve az alapvet biztonsgi, hlzati kpessgeken keresztl a hardver kezelsig, s mg ezen tl is rezhet a gykeres vltozs. A Windows Server 2008 automatikusan tartalmazza a Vista SP1 olyan jdonsgait, mint pldul az jrart hlzatikezelsi rteg (pl. natv IPv6, natv vezetk nlkli hlzat, biztonsgi fejlesztsek); lemezkp alap telepts, kiszolgl konfigurls s visszallts; diagnosztikai, rendszerfelgyeleti, naplzsi s jelentskszt eszkzk; j biztonsgi funkcik, mint a DEP, a Bitlocker s az ASLR (vletlenszer cmterlet-kioszts); vgre teljesrtk ktirny tzfal biztonsgos alaprtelmezett belltsokkal, megfelel hardverrel a menet kzbeni csere (hot-plugging), kernel-, memriakezelsi s fjlkezelsi fejlesztsek. Ezekre az OS alapvet, kliensekre s kiszolglkra egyarnt jellemz rszletekre azrt nem trek ki most, mert egyszer mr lertuk nagyon rszletesen, hrom teljes fejezetben a Vista kapcsn, az e knyv eldjnek szmt Rendszerfelgyelet rendszergazdknak cm frcmben. Mivel rengeteget fogom mg emlegetni ezt a forrst, ideje, hogy lerjam az elrhetsgt is (fejezetenknt .pdf formtumban letlthet a linkrl, de van itt mg egy j pr rdekessg is, pl. a tmba vg rvid videk (screencastok)): http://www.microsoft.com/hun/technet/article/?id=f0c8cf69-ae4c-4b1bb333-9feeda419509
Szval most (ahogyan ebben a knyvben gyakorlatilag vgig) inkbb a szerver vltozatok komponenseire s szolgltatsaira koncentrlunk. Els nagy tmakr a rendszerfelgyelet s a rendszer komponenseinek kzponti kezel eszkze, a Server Manager, ami egy ersen integrlt MMC konzol, a kulcsfontossg teendk egy helyre koncentrlsval (szerepkrk s szolgltatsok teleptse, trlse,
~ 15 ~
2.2
BRA
M INDENT
EGY HELYEN
INTELLIGENSEN
A kvetkez kiemelend terlet a virtualizci, amely integrltan tallhat meg a Windows Server 2008 ta a Microsoft kiszolgl opercis rendszerekben. A Hyper-V - meglep mdon egy hypervisor, ami lehetsget nyjt olyan virtulis gpek ltrehozsra, amelyek jobban kihasznljk a rendelkezsre ll hardvert, tbb s akr teljesen eltr platform opercis rendszer futtatsra alkalmasak, illetve kpesek a virtulis s a fizikai erforrsok nll kezelsre, mindezt persze biztonsgosan. Egy jl mkd virtualizcis megolds szmos olyan zemeltetsi s technolgiai problmt megold, amelyekre a mltban csak nagyon krlmnyesen tudtunk reaglni, ha sikerlt egyltaln9. A cmtrszolgltatssal kapcsolatos vltozsok s fejlesztsek minden j Windows kiszolgl esetn a fkuszba kerlnek. Nyilvn nem vletlenl, hiszen a cmtr Egy a Vista s a Windows Server 2008 rkezse krl megjelent univerzlis parancshj s feladatorientlt technolgia, amely alkalmazsa azta is tretlen, s idelis eszkzknt hasznlhat a klnbz Microsoft szerverek (OS-ek, Exchange szerverek, stb.) felgyeletre s konfigurlsra. 9 s persze nem a klasszikus ttelre gondolok ekkor, ami ugye nagyjbl gy hangzik: Az informatikval rengeteg olyan problmt megoldunk, amelyek az informatika nlkl nem lteznnek.
8
~ 16 ~
RGEN S MA
hierarchia rugalmassga s alkalmazhatsga miatt a tz s a tzezer gpet tartalmaz hlzatok esetn egyarnt jl hasznlhat az Active Directory, mgpedig a minden szervezet szmra legfontosabb clra: a felhasznlk, a szmtgpek s egyb erforrsok trolsra s kezelsre. Persze, emellett a biztonsgi ertr megteremtse s egyb fontos kiszolgl alkalmazsok, megoldsok (Exchange, Csoporthzirend, stb.) mkdsnek tmogatsa is kritikusan fontos feladat. Kisebb s nagyobb vltozsokat egyarnt szrevehettnk a cmtrszolgltatsok terletn is a Windows Server 2008-ban. A legjobb ezekben a vltozsokban az, hogy valdi, letszag ignyeket fedtek le, illetve rgta elvrt, praktikus szolgltatsokat valstottak meg, pl. Read-Only tartomnyvezrlk (RODC), tbb tartomnyi jelsz- s kizrsi hzirend, az jraindthat cmtrszolgltats vagy ppen a rszletes auditls. De semmikpp ne feledkezznk meg a Csoporthzirenddel kapcsolatos fejlesztsekrl sem (erre egy j pda a kivl Group Policy Preferences)! Egy jabb nagyon rdekes terlet a Server Core nev n. teleptsi md (direkt nem kiadst vagy verzit rtam), ami gyakorlatilag egy olyan vltozata a Windows 2008-as szervereknek, amely majdnem teljes egszben parancssorbl fut s a loklis kezelse is csak s kizrlag a parancssori eszkzkkel trtnik. Ez az zemmd, azltal, hogy csak a szksges sszetevket s alrendszereket tartalmazza a grafikus felhasznli fellet nlkl, olyan klnsen magas rendelkezsre lls kiszolglt biztost, amelyet ritkbban kell frissteni s karbantartani. Elsre ez biztosan meghkkentnek tnik, de mkdik s nem is akrhogyan. A Windows Server 2008 rendszerben meghonostott egyik legizgalmasabb j technolgia a Microsoft soron kvetkez webkiszolglja, az Internet Information Services 7.0. Az IIS7 valjban tbb mint egy hagyomnyos webkiszolgl olyan fejlett biztonsgi funkcikkal rendelkez s knnyen felgyelhet, radsul ersen modularizlt platform, amely webalkalmazsok s -szolgltatsok fejlesztsre s megbzhat zemeltetsre szolgl. Az IIS7 egyttal tmogatja s egysgbe fogja a Windows web platform klnbz generciinak technolgiit, kztk az ASP.NET 2.0 keretrendszert, a Windows Communication Foundation webszolgltatsokat, s persze rengeteg beptett s nll Microsoft kiszolgl szerepkrt, mint pl. a tanstvnykiad szolgltatst, a Terminal Services komponenst, a Windows SharePoint Services szolgltatst, vagy akr az Exchange kiszolglkat is. A NAP, azaz a Network Access Protection valsznleg a Windows Server 2008 legnagyobb - biztonsggal kapcsolatos - dobsa volt. Ugyanis a legtbb szervezet esetn jelents igny mutatkozik egy olyan megoldsra, amely mr a fizikai hlzat szintjn elvlasztja az alkalmi csatlakozs vagy kevsb megbzhat illetve kevsb felgyelhet szmtgpeket a bels hlzatba tartoz, rtalmatlan s rtkes kliensektl s szerverektl. Erre a lthatan nehezen megoldhat helyzetre nyjthat gygyrt a NAP, azaz egy olyan szerver-kliens megolds, amely a vdett hlzatunkba
~ 17 ~
2.3
BRA
E GY
FURA JDONSG :
TS W EB A CCESS
EGYIK BTJBAN
JD ONSGAI
10
Nem bntom a Suzukit, a felesgem is egy Ignisszel jr, de muszj volt egy plda
~ 18 ~
RGEN S MA
Erteljes hardveres tmogats, olyan kpessgekkel, mint pldul a maximum 256 logikai processzor vagy a SLAT (Second Level Address Translation) tmogats 11 , illetve az energiatakarkos mkds biztostsa olyan extrkkal mint a Core Parking (a processzor magok dinamikus, hasznlatfgg ki-be kapcsolsa), valamint pl. az OS memriakezelsnek tbb mint 400 ponton trtnt korrekcija. Meg kell emlteni azt is, hogy az R2 az els olyan opercis rendszer a Microsoft palettjn, amelybl mr csak s kizrlag 64 bites vltozat kszlt. A felgyeleti eszkzk kzl elsdleges fontossg a Server Manager tovbbfejlesztse, azaz pldul a tvoli szerverek ezen eszkzn keresztli felgyelete (gy a Server Core md gpek is), msrszt a PowerShell 2.0 verzival j eszkzkkel is bvlt a paletta, amelyek mr hasznlhatak a Server Core, az IIS s az AD alatt is, hiszen az R2-tl kezdve ezeken a terleteken is van PowerShell tmogats.
Ez a megolds a CPU hasznlat optimalizlsra trekszik elssorban a virtualizcinl, radsul RAM-ot is megtakart. Gyrtnknt ms s ms egybknt a neve, az Intelnl Extended Page Tables (EPT), az AMD-nl meg Rapid Virtualization Indexing (RVI, korbbi nevn a Nested Page Tables azaz az NPT).
11
~ 19 ~
2.4
BRA
P OWER S HELL
MINDENHOL , GY AZ
AD- VEL
IS
St, ha mr itt tartunk, a Server Core alatt a .NET Framework s a tanstvnyszolgltatsok is hasznlhatak. De megjelentek a Server Manager-be integrlt BPA (Best Practice Analyzer) komponensek is, amelyek a hibafeldertsben s problmamegoldsban segtenek rengeteget az zemeltetknek. A cmtrszolgltatsok terletn tbb nagy durrans is elrhetv vlt, pl. a Recycle Bin, azaz az AD Lomtr, vagy az Offline Domain Join (a kliensek fizikai kontaktus nlkli belptetse a tartomnyba), vagy a teljes j felleten, azaz egy webszolgltatson keresztl elrhet AD Administrative Center, de nem maradhat ki az egy rgi-rgi problmra megoldst nyjt Managed Service Accounts (felgyelt szolgltats fikok) sem, s persze a Csoporthzirendbe is kerltek j technikai megoldsok.
~ 20 ~
RGEN S MA
2.5
BRA
AD AC ( MAJDNEM AC/DC,
DE AZRT NEM )
Az R2-ben mr a Hyper-V msodik genercis vltozata rhet el, tbb kulcsfontossg terleten is tovbbfejlesztettk, gy aztn lnyegesen nagyobb rendelkezsre llst s teljestmnyt biztost (pl. 64 logikai processzor tmogats a host gpen, illetve 384 db egyprocesszoros virtulis gpet is futtathatunk), mikzben izmosabb felgyeleti s egyszerstett rendszerbe lltsi eljrsokat knl, s olyan j szolgltatsokat is tartalmaz, mint a mkds kzbeni, l ttelepts (Live Migration) vagy a lemezek dinamikus hozzadsa s elvtele. A hlzati szolgltatsokkal kapcsolatos szerver technolgik vagy praktikus tovbbfejlesztseken mentek t, mint pl. a DNS vagy a DHCP szerver, az SSTP VPN, vagy ppen j megoldsok szlettek, mint az IKEv2 VPN vagy egy szenzcis technikai megvalsts jdonsg a tvoli elrs terletn, a DirectAccess. Ez utbbi egy IPv6 s IPSec alapokon nyugv, lland tvoli elrst jelent elssorban a mobil felhasznlk esetn, s gy VPN, hogy nem is az A korbbi Terminal Services nvvltozson ment keresztl, immr Remote Desktop Services a neve, s megint csak jabb megoldsokkal s eszkzkkel egszlt ki, amelyek kzl kimagaslik a Hyper-V-vel s az Active Directory-val egyttmkd VDI (Virtual Desktop Infrastructure) infrastruktra ptsnek tmogatsa, ami egy olyan kzpontostott munkalloms-szolgltat architektra, amely lehetv teszi a Windows s ms munkalloms-krnyezetek futtatst s felgyelett a kzponti kiszolgln tallhat virtulis gpeken, tbbek kztt pldul az RD Web Access felletn keresztl.
~ 21 ~
A telephelyes krnyezetek tmogatsa is gzervel zajlott, ennek folyomnya lett az egszen zsenilis megolds BranchCache kpessg s a read-only DFS-R, azaz a replikcis szolgltatsok RODC-khez passzol vltozata. Ennyi a rvid s abszolte nem teljes kpessg felvezets, de taln mr most is ltszik, hogy a kvetkez majdnem 300 oldalon lesz mirl olvasni.
~ 22 ~
TERVEZS S TELEPTS
3 T ERVEZS
3.1 K IAD SOK
S TELEPTS
S F ELTTELE K 12
Az sszes kiads tekintetben felforgat jelleg vltozs nincs, de azrt akad egy-kt rdekessg. me a lista: - Windows Server 2008 R2 Standard - Windows Server 2008 R2 Enterprise - Windows Server 2008 R2 Datacenter - Windows Web Server 2008 R2 - Windows Server 2008 R2 for Itanium-Based Systems - Windows Server 2008 R2 Foundation A klasszikus Standard, Enterprise s Datacenter mellett a Web Server is lassan szoksoss vlik. Ennl a ngy vltozatnl a Server Core teleptsi md is jr (de vagy-vagy teht nem pluszban kapunk hozz egy licencet). Az Itanium kiadsrl maximum azt kell tudni, hogy elvileg ez lesz az utols verzi ebbl a tpusbl. A Foundation kiads teljesen j, s a Small Business vltozatok 13 al lvi be a Microsoft, teht egszen kis cgeknek. Ez nagyon szpen ltszik a szp mennyisg szoftveres s hardveres korltbl is, viszont a jelentsen alacsonyabb r szimpatikusabb tnyez ebben a szegmensben, mint az elrhet szolgltatsok szles vlasztka. A 3.1-es bra megr pr mist, ergo sszefoglalnm a lnyeget egy felsorolsban: - Az X64 Sockets egyrtelmen jelzi, hogy az R2-nl csak s kizrlag 64 bites kiadsaink vannak (a Windows Server 2008-nl mg volt 32 bites is). - A foglalatok (s nem magok!) sorban maximum a Foundation rdekes, azaz a maximum 1 CPU korlt. - A memrinl szintn, br ha a virtualizci is lnyeges (s ha mg az elejnl, azaz a tervezsnl mg nem is, ksbb tuti az lesz :D), akkor az Enterprise-ig tart 32 GB-os RAM korlt adott esetben szk is lehet, persze ebben az esetben ms oka is lesz majd az Enterprise kiadsnak, lsd ksbb. - A Hot... rszeket tugorva vegyk figyelembe, hogy a Failover Cluster szolgltats az Enterprise-nl kezddik (viccesnek s kitalltnak tnhet, de lttam mr olyat, ahol ezt nem sikerlt figyelembe venni).
Mg egyszer felhvnm a figyelmet, hogy innentl ha kln nem emltem - akkor csak az R2-vel foglalkozunk, hiszen gyis minden benne van, ami a kzvetlen eldjben. 13 Ha a Small Business Server kategriban szeretnnk az R2-es verzij opercis rendszert hasznlni, akkor a SBS 2011 lesz a mi bartunk (no s persze az Exchange 2010 s mg 1-2 tovbbi dolog miatt egybknt is).
12
~ 23 ~
3.1
BRA
C SAK
Az utols eltti sor kifejezetten fontos, ha virtualizcit terveznk, s nem hajtunk bebukni a licencelsen. A Standard verzinl a Host + 1 VM azt jelenti, hogy maximum 1 virtulis gpet llthatunk munkba, de csak akkor, ha a host gpnek nincs semmilyen szerver szolgltatsa (a Hyper-V nem az ebbl a szempontbl). Teht ha pl. tartomnyvezrl vagy ppen egy NAP szerepkre van, akkor mr nem lehet pluszban leglisan egy virtulis szervernk. Az Enterprise-nl ugyanez a helyzet, csak a kplet vgeredmnye ms: a hasznland virtualizlt gpek szma a host prhuzamos hasznlata (gy rtem, valamilyen szerepkrrel a Hyper-V-n kvl) mellett maximum 4 lehet. Ha sok virtulis gpnk van, akkor egyrtelmen a Datacenter kiads lesz a nyer a korltlan virtulis gp licence-szel14, de persze ahogy itt is, a tbbi esetben is ki kell szmolni, hogy melyik a megfelel konstrukci. A Remote Desktop Admin Connections, az admin teht a felgyeleti RDP kapcsolatok maximlis szmt jelentik, ami egysgesen s sszesen 2 darab a Windows Server 2008 ta.
Vigyzat, a Datacenter kiads licenszelse - a tbbi kiadstl eltren processzorszm alapjn trtnik (a lektor megjegyzse).
14
~ 24 ~
TERVEZS S TELEPTS
Az egyb, fkpp hardveres teleptsi elfelttelek (most a clean, azaz a tiszta vagy szz teleptsrl beszlnk) hivatalos listja a kvetkez: Komponensek CPU Kvetelmnyek Minimum: 1.4 GHz (x64 processzor) Ajnlott: 2 GHz vagy gyorsabb Megjegyzs: Ha az Itanium platform a clpont, akkor az Intel Itanium 2 tpus CPU lesz a minimum kvetelmny Minimum: 512 MB RAM Ajnlott: 2 GB RAM vagy tbb Minimum: 10 GB Ajnlott: 40 GB vagy tbb Megjegyzs: Ha minimum 16 GB RAM van a rendszernkben, akkor ezt figyelembe kell venni a trhelynl is a pagefile, a hibernls vagy a memria dump fjlok miatt, teht ezek apropjn pluszban szmoljunk trhellyel Csak DVD-ROM Super VGA (800 x 600) vagy nagyobb felbonts Billentyzet, egr
3.2
BRA
RAM Trhely
KVETELMNY EK LISTJA
Ennek a tblzatnak (ahogy mindegyik ilyesfajta kvetelmnylistnak) j nhny rsze egszen vicces 15 , s kiss ellentmond a htkznapi gyakorlatnak, de egy biztos, tkletesen ltalnos recept nincs, gyakorlatilag minden esetben egyedileg kell megterveznnk a hardver eszkzket - az elvrsokkal szinkronban. Mg egy fontos s ez esetben tnylegesen letszag tapasztalatra hvnm fel a figyelmet: annak ellenre, hogy jabb, tbbet tud s tbb mindenre hasznlhat az R2 verzi az eldjvel szemben, a hardverignye kevesebb vagy legalbbis megegyeznek bizonyul majd. Ez a rengeteg ponton (CPU, memria, diszk, hlzat) korriglt rendszernek ksznhet. 16 A jogtiszta hasznlat apropjn jegyezzk mg meg azt a tnyt is, hogy a Windows Server 2003-hoz kpest drasztikusan, de a Windows Server 2008-hoz kpest is jelentsen enyhlt az aktivlssal kapcsolatos kemny hozzlls a gyrt cg Viszont a minimum felttelek negliglsa egy bejelentett PSS hiba esetn nagyon is szmt, teht a tmogats elvesztsvel jr (a lektor megjegyzse). 16 s mg egy fontos dolog: mivel egy 64 bites rendszerrl van sz, minden meghajtprogramnak (driver, hogy rtsk) rendelkezni kell digitlis alrssal.
15
~ 25 ~
KNNY
s tnyleg az, mgpedig egyre knnyebb. A Vista ta az OS telepts jelentsen egyszersdtt, minimlis beavatkozst ignyel, s adott esetben nem akad meg, ha valamit nem tudunk azonnal beadni a teleptnek (pl. termkkulcs a klienseknl) illetve a komponensekkel telepts kzben nem kell foglalkoznunk. De azrt tekintsnk vgig egy komplett folyamatot, mert minimum egyszer azrt meg kell ismernie mindenkinek a lehetsgeket! Szval rendszert indtunk a DVD-vel (egy darab van jellemzen az sszes kiadssal, de ez sem jdonsg mr) vagy egy .iso fjlbl Hyper-V alatt - mint az n a pldmban vagy esetleg VHD boot-tal, amirl viszont majd ksbb lesz sz. 3.2.1 A
K L AS S ZI K U S TI S Z T A T E L EP T S L P S EI
~ 26 ~
TERVEZS S TELEPTS
3.3
BRA A
16
VE DOLGOZ RENDSZERGAZDA A
101
3.4
BRA
B ALRA
WRE
INDTSI LEHETSGE
~ 27 ~
3.5
BRA
SIMA ,
4 S ERVER C ORE ( DE
3.6
BRA
A Z EULA ( MAXIMUM
SP1- ES
INTEGRLT
EULA )
~ 28 ~
TERVEZS S TELEPTS
3.7
BRA
EZ
(95%- BAN
3.8
BRA
L EMEZKEZELS
(L OAD D RIVER )
~ 29 ~
3.9
BRA
HA
RAID
3.10
BRA
M SOLS ,
KICSOMAGOLS , KONKRT TELEPTS , FRISSTS S KZBEN JRAINDTS IS LESZ , KTSZER IS GYHOGY MENJNK KVZNI
~ 30 ~
TERVEZS S TELEPTS
3.11
BRA
AZ
Szemben a Windows Server 2003-mal, az admin jelsz megadsnl gyeljnk arra, hogy mr itt is (loklis gpen, tartomny nlkl is) mkdik a kemny jelszhzirend, azaz minimum 7 karakter, s a kisbet, nagybet, szm, jel ngyesbl hromnak szerepelnie kell a jelszban, valamint 42 nap mlva lejr az alaprtelmezs szerint17. A telepts tnyleg egyszer, de ezzel mg teljesen nem r vget, hiszen a jelszvltoztats s a profilunk betltse utn kvetkez lps is egy varzsls, azaz az Initial Configuration Tasks.
No s persze, ha a gpet tartomnyba lptetjk, akkor a tartomnyi jelszhzirend lesz az rvnyes az odatartoz, de az ezen a gpen belp felhasznlk esetn.
17
~ 31 ~
3.12
BRA
AZ
ALAPVARZSLS INDUL
Hasznos dolog ez a fellet, mert a legfontosabb alapbelltsokat (hlzat, gpnv, tartomnyi tagsg, Windows Update, Remote Desktop, tzfal) itt azonnal s egy helyen megtehetjk, ha viszont csak egyszer akarjuk ltni, azaz elegnk lett belle, akkor a bal als sarok fontos lesz (Do not show this window at logon).18 De ha szksges, akkor az alapbelltsok nyomtatsa, emailben elkldse vagy lementse sem okoz gondot. De ezek utn mg mindig nincs vge a varzslsnak, hiszen azonnal megkapjuk a Server Managert, ahol szintn van pr teendnk a folyamat elejn is, s persze ksbb is rengetegszer elltogatunk majd mg ide. Azonban ez mr a 4. fejezet anyaga, ergo lpjnk vissza kicsit! 3.2.2 A C S E N D ES ( U N AT T EN D ED ) T EL E P T S Akadhat olyan szituci, amikor nem tudjuk (vagy nem akarjuk) a kattintgatst mvelni telepts kzben, illetve az egyik legfontosabb okknt inkbb azt hoznm fel, amikor is rengeteg szervert kell azonos mdon teleptennk. Erre egy egyszer megolds ltalban a csendes telepts (s persze nem csak opercis rendszereknl, alkalmazsoknl is van erre opci), s van rengeteg ms megolds is, Egybirnt mind az ICT, mind a Server Manager indtskori megjelenst vagy tiltst a Csoporthzirendbl szablyozhatjuk.
18
~ 32 ~
TERVEZS S TELEPTS
amelyek lnyegesen tbb lehetsget rejtenek magukban, m egyttal sokkal bonyolultabbak is (lsd: tmeges telepts, azaz mass deployment). Visszatrve a csendes telepts lebonyoltshoz is szksg lesz j pr teendre, de ezeket szerencsre csak egyszer kell megtenni, s aztn sokszor lvezni a hasznt. Szksgnk lesz a Windows Automated Installation Kit (WAIK) legfrissebb vltozatnak letltsre 19 , ami egy ingyenes eszkz s a Microsoft Download Centerben20 talljuk meg. A WAIK egyik alapkomponensvel azaz a Windows System Image Manager-rel (WSIM) kszthetnk egy n. distribution share-t (s gy persze a hlzaton keresztli telepts lehetsghez is hozzjutunk), s a WSIM grafikus felletn, rengeteg opcival egy unattend.xml fjlt, amellyel aztn az sszes telepts eltti, alatti s utni mveletet nagyon granulrisan szablyozhatjuk, s ha ezt megtesszk akkor ezek utn a teleptsi folyamat is minimlis beavatkozst ignyel majd. Persze ez a tma, mrmint a tmeges telepts, hiperbonyolult is tud lenni (pl. tovbbi 3 s 4 bets rvidts eszkzk garmadja ll a rendelkezsnkre, WDS, MDT, Lite/Zero Touch Install - taln ezek a legfontosabb kulcsszavak), gy aztn meg sem prblom ennl jobban ebben a fejezetben kifejteni.
3.3 F RISSTS
VAGY MIGRCI ?
ltalban a rendszergazda szakmai letnek egyik komoly dilemmja ez a krds, ami radsul rendszeresen visszatr, hiszen 3-4 vente biztosan kapunk j opercis rendszereket s persze szerver alkalmazsokat (gondoljunk az Exchange vagy a TMG szerverre), s a csert mg egy jl mkd rendszerben is meg szoktuk s meg is kell lpni az idelis rendszer21 elrse apropjn (nyilvn ez sosem fog sikerlni, de azrt csak csinljuk s csinljuk s csinljuk ). Trtnetesen az a helyzet, hogy mindkt megoldsnak szmtalan elnye van, m a htrnyokkal is hasonlan llnak. Ha pldul frisstnk helyben (in-place upgrade), akkor: - A feladat lnyegesen egyszerbb, mivel az alkalmazsok, a belltsok, a krnyezet marad rgi csak ppen a rendszer komponensei frisslnek.
Vagy inkbb az MDT-re (Microsoft Deployment Toolkit). Az MDT desktop oldalrl ismers lehet, j megjegyezni, hogy ugyanazok az eszkzk mkdnek a szervereknl is. Az MDT-nek rsze a WAIK, tovbb az extra bonyolult WSIM helyett is egy bartsgosabb task sequence llthat ssze (a lektor megjegyzse). 20 http://www.microsoft.com/download/en/default.aspx
19
Az idelis rendszer - az idelis gzhoz hasonlan - mindig kitlti a rendelkezsre ll teret (a lektor megjegyzse).
21
~ 33 ~
Ha naiv rendszergazdk vagyunk, akkor mr drzslhetjk is ssze a kezeinket, nincs krds, ez lesz a nyer! De nem biztos, mivel: - A hardver egsz egyszeren nem brja el az j OS-t, teht ugyanerre a gpre nem lehetsges feltenni. Vltoznak az idk, a hardverspirl mkdik, az eszkzk szempontjbl halott gy a frissts, meg aztn egybknt is szeretnnk j hardvert, mert ki nem ebben a szakmban? - Az opercis rendszer nem frissthet helyben, mert: o Eltr a platform (32 bit > 64 bit vagy esetleg fordtva), erre j plda 98%-ban a Windows Server 2003-rl Windows Server 2008 R2-re val tlls, hiszen az utbbibl ugye nincs is 32 bites. o Eltr a nyelv (eddig magyar volt, de okosabbak lettnk, 22 s angolt szeretnnk hasznlni). o Eltr a kiads, pldul eddig Small Business Server-t hasznltunk, de... kinttk. - A gp mr tllt pr vet, teli van szemetelve, mr az elz vltsnl is helyben frisstettnk, ergo szoftveres szempontbl is elavult, s nagyon szeretnnk tiszta lappal indulni. - Az idzts fontos, ha frisstnk, akkor azt egy adott idpontban tesszk meg, s egybl az 1-rl a 2-re jutunk. Visszavonni a vltozsokat ltalban problms vagy inkbb lehetetlen, s ha brmirt is belehal a rendszer, nincs vagy nagyon nehz a visszat. Szp kihvs. Szval mgis migrci lesz? Az j, mert: - Teljesen j hardver s szoftver krnyezetnk lesz, gyors, szp s hasznlhat lesz minden rsze a rendszernek. - Megvan a remek alkalom arra, hogy kijavthassuk az elz rendszer ptse sorn elkvetett alapszint hibkat (nvkonvenci, komponensek jratervezse s elosztsa a szerverek kzt, stb.) - Rrnk. Prhuzamosan megy majd a kt rendszer, s ha szpen nyugodtan tpakolgattunk mindent, s a bolygk is egyttllnak s ldoztunk mr egy kecskt is jflkor, akkor tbillentjk - de marad mg a rgi szerver is, azaz van visszat, mert szpen, fokozatosan fogjuk kivezetni (s akr kicsit megjtva tartalkknt jra is hasznosthatjuk).
Ez egy ersen szubjektv s politikailag teljesen inkorrekt megjegyzs, amely szellemtl az Olvas btran eltrhet, de a szerz hatrozottan hisz abban, hogy rdemes s fontos az angol nyelv vltozatokat hasznlni - legalbbis a szerver oldalon.
22
~ 34 ~
TERVEZS S TELEPTS
De azrt ez sem fenkig tejfel, mivel: - A migrci lnyegesen bonyolultabb, a komponensek s a tartalom (AD, DHCP, tanstvnyok, fjlszerver, megosztsok, nyomtatk, stb.) tvitele sorn lehetnek nehz pillanatok s/vagy rengeteg munka. - Tesztelni mindkt esetben kell, de itt taln sokkal tbbet, mivel rengeteg minden vltozni fog. - A kliensek ekkor mindig krdsesek, hogyan fognak reaglni a vltozsra, gondoskodtunk-e mindenrl, a folyamat a kliens szempontjbl teljesen transzparens-e, s csak az elnyket rzi-e majd a felhasznl? Mg lehetne ragozni, de nem teszem. Ellenben a voksomat azrt leteszem: n a migrci hve vagyok, igaz hogy melsabb, s sokkal tbb dolgot kell tudni, illetve sokkal tbb tnyezt figyelembe kell venni, de ez egy tiszta, szraz rzs a vgn, s radsul ettl csak felkszltebbek lesznk, hiszen rengeteg jdonsgot tanultunk kzben (meglehet azt is, hogy ilyet soha tbbet nem csinlunk ). De nzznk egy konkrt s viszonylag egyszer gyakorlati pldt. Rengeteg ilyennel vagy hasonlval szembeslk klnbz levelezlistkon krds formjban, s persze a htkznapokban ezt nehz aprlkosan megvlaszolni, de most fussunk neki! Lesz benne pr tma, ami ebben a knyvben ksbb jn majd logikailag, de nem baj. Sziasztok!23 Adott egy: rgi hardver, Win 2k3 3 R2 32bit, Exchange 2003 s a clgp, ami a rgit levltja: j hardver, Win 2k8 R2 64bit, Exchange 2010. Krdsem, hogyan oldhatom meg legegyszerbben, az Active Directory felhasznli, jogok, belltsok trkldjenek r, hogyan lltsam be az jat, h. ne kutyuljon be a rendszerbe, hogyan tudom, azt megtenni, h. teljesen tvegye a rgi szerver szerept? A szerz receptje szerint a sorrend illetve a teendk nagyjbl, de nem felttlenl a teljessg ignyvel24 a kvetkezek: 1. Elszr terveznk, papron, vagy Excel-ben, sszegyjtjk az eddigi s a tervezett j szerverre kerl adatokat (IP konfigurci, szerepkrk, partcik, megosztsok, stb.) 2. Tovbb gondolkodunk: a kliensek mi mindennel vannak a szerverhez ktve, pl. van-e login szkript/csoporthzirend konfig a meghajt felcsatolsokhoz, van-e Home meghajt s/vagy vndorl profil a user profilokban, belertuk-e a proxy A hardver eszkzk jellemzit s az IP, nv adatokat kiszedtem, de mst nem, ez tnyleg egy valdi, elhangzott krds. 24 A teendk listja kicsit ms s ms lehet minden rendszerben, mert ugyebr kt egyforma rendszer nincs.
23
~ 35 ~
3.
4.
5. 6.
7. 8.
~ 36 ~
TERVEZS S TELEPTS
3.13
BRA
EZ
AZ ERD FELKSZLT
3.14
BRA
T ART
A SMABVTS ,
31 > 47)
9. A sikeres sma bvts utn (jraindts nlkl) jhet az AD telepts, DNS s GC bellts, TCP/IP vltoztats mindkt gpen az j szerver adatainak a bevezetshez.
~ 37 ~
27
~ 38 ~
TERVEZS S TELEPTS
rendszer is, s akr erre is kerlhet egy Windows Server 2008 R2, mivel egy DC nem DC. 16. Ha mr biztosak lesznk benne, hogy nem lesz tbbet Windows Server 2003as tartomnyvezrlnk (s jl eldugva a padlson sincs egy msik ), akkor az erd s a tartomny mkdsi szintjt tovbb emelhetjk hiszen csak ezutn fogunk tudni bizonyos j szolgltatsokat hasznlni, a friss ropogs j szervernkn s a tartomnyban, illetve az erdben. 3.3.1 E GY J M D S Z E R : A S E R VE R M I G R A TO N T O O L Ahogy jeleztem korbban, szeretek migrlni. Szinte brmit. s sokszor kell. Van abban valami felemel, amikor az j, ers s csilivili hardveren, s egy j, mg szzies ernyeket felvonultat OS-en fut tovbb minden, amit az elmlt vekben sszekalapltl. Radsul az j hardverrel tbbnyire, j s okosabb feladat ki- s eloszts jn ltre a szerverek kztt is (s itt gondoljunk btran a fizikai s a virtulis gpek kztti migrcira is, oda s vissza is), azaz ilyenkor lehet korriglni, az elmlt vek tapasztalatai alapjn kiss vagy akr gykereiben is mdostani az infrastruktrt. St, ha mr minden OK, s amikor mr minden gy mkdik, ahogyan eltervezted, akkor mg az is lehet, hogy nem kell naponta piszklni mint eltte, azaz jhet a vllveregets. Persze - mondhatni - nekem knny, hiszen maximum pr szz userig (na j, van/volt ezres is) s ltalban 25 alatti szerverrel dolgozom, ltalban minimlis szm telephellyel, s a nemzetkzi kapcsolatok meg fleg az als flrendeltsgi viszonyok (technikailag rtem ezt) sem srn htrltatnak. A "4 fldrszen, 1200 szervered s 60.000 kliensed van" viszonylatot csak az MCP vizsgkon tapasztaltam meg (na de ott aztn rendesen :D), az n krlmnyeim kztt nagyjbl s ltalban maximum 1-2 fs a tervez-, kivitelez- s monitoroz/tesztel csapat is, vagy csak jmagam. Egy sz mint szz, viszonylag sok - ebbe a kategriba tartoz - rendszertalaktst vgeztem mr, ismerem a trkkket, van j pr mdszerem s j pr eszkzm is. Azrt kell a sok trkk s a j mdszer, mert a migrci ltalban bonyolult, s tegyk a szvnkre a keznket, egyttal kiss aluldokumentlt illetve alultmogatott folyamatrl van sz. Persze van ADMT, meg netsh, meg ntdsutil, meg export/import, mostansg mr xml-be, de eddig ebben a knyvben is csak klnll, nem rendszerbe foglalt, nem azonos mdszert kvet megoldsokrl volt sz. Most viszont a Windows Server 2008 R2-ben valami egszen jjal prblkozik a Microsoft, s ez az n. Windows Server Migration Tool, s a jelszava lehetne a legyen a forrs s a cl is ugyanaz!
~ 39 ~
3.15
BRA
E GY
PIPA MINDENEKFELETT
WSMT
Vagy kicsit szaladjunk elre: ha PowerShell rajongk vagyunk, akkor hrom lps az eszkz teleptse: 1; Import-Module ServerManager, 2; AddWindowsFeature Migration, 3; rl. Alapveten mi kell ehhez az eszkzhz? Ht a j reg PowerShell-, a "rgi" szerveroldalon az 1.0-s, az R2-nl meg a 2.0-s verzival. Merthogy az egsz migrcis eszkztr, tokkal-vonval PS alap. Nos, hogyismondjam, finoman szlva sem vagyok egy PowerShell zsonglr, de a legels Exchange 2007 migrci ta azrt mr nem kell a fokhagymafzr, ha megltom a PS eltagot a parancssorban, s eme migrcis kalandok kzepette meg egszen megkedveltem. A legjobban a hibakezels, illetve a beptett segtsg mennyisgnek mrtke az, ami feldob, persze, nyilvn gy kell elcsbtani a kezdket, okos. Na s tnyleg, tegyk a szvnkre a keznket, mit nem lehet majd PowerShelllel kezelni akr most vagy akr 5 v mlva? Mr eddig is sok-sok mindent lehetett, de pl. az R2-ben mr az AD-t is, a Csoporthzirendet is (1. ImportModule grouppolicy, 2. New-GPO Proba-GPO s ksz, s mg az egeret se fogtam meg), st mg egy kicsit az amgy egszen konzervatv Forefront TMG is...
~ 40 ~
TERVEZS S TELEPTS
3.16
BRA
E NNYI
S NEM TBB
Visszatrve a fsodorba: az R2-es WSMT telepts utn a kvetkez teendnk a forrsok felksztse lesz. De mire is? A WSMT jelen pillanatban 7 klnbz (nha azrt sszefgg) konfigurcit, kpessget, szerepkrt tmogat, konkrtan ezeket: - TCP/IP konfig, DHCP szerver - AD/DNS - Fjlszerver (megosztsok, VSS, VDS, FSRM is) s BranchCache - Printszerver - Loklis felhasznlk s csoportok s milyen szervereket tmogat, azaz hogyan nz ki a verzi mtrix?
3.16
BRA
M TRIX
EZ IS
s milyen kivtelekkel, illetve aranyszablyokkal? - Windows Server 2008 Server Core nem lehet forrsa a Windows Server 2008 R2. Server Core-nak, ti. a .NET Framework csak az utbbiban ltezik. - Eltr nyelvi bellts OS-ek kztt nem mkdik.
~ 41 ~
Most, hogy mindezt tudjuk (s j rendszergazda szoks szerint szpen tsiklunk majd felette), kezddhet az igazi munka, azaz a telepts, majd a forrsgpek regisztrlsa. Els teendknt a Windows Server 2008 R2-es szerveren csinlnunk kell egy mappt, s clszeren egy megosztst a rgi szervernek, majd indthatjuk a parancssort, de szigoran a "Run As Administrator" mdszerrel. Lpjnk be a %Windir%\System32\ServerMigrationTools mappba, s gpeljk a be a kvetkez parancsok valamelyikt: SmigDeploy.exe /package /architecture amd64 /os WS08 /path <az ltalunk legyrtott deployment mappa> SmigDeploy.exe /package /architecture amd64 /os WS03 /path <az ltalunk legyrtott deployment mappa> SmigDeploy.exe /package /architecture X86 /os WS08 /path <az ltalunk legyrtott deployment mappa> SmigDeploy.exe /package /architecture X86 /os WS03 /path <az ltalunk legyrtott deployment mappa>
3.17
BRA GY KSZLT EL A
WS03
Azt gondolom, nem kell tlmagyarzni, a kszlet elemei CPU-nknt s OS-enknt eltrek, gy aztn csini kis nevekkel elltott mappkat gyrt le az SmigDeploy.exe, ha jl csinljuk. Lpjnk t a forrs oldalra, s az adott szerverre msoljuk le a megfelel mappt, majd egy szintn admin parancssorbl (mr ahol van ilyen), a helyi mappba belpve, adjuk ki a kvetkez parancsot (nem elrs, valban pont s per jel van az elejn :D).
~ 42 ~
TERVEZS S TELEPTS
.\Smigdeploy.exe Ezzel ksz is van a telepts, illetve a kliensek migrcis eszkztrral elltsa, most pedig jjjn az export, azaz most mr aztn nzzk a lnyeget! A feladat szerint egy Windows Server 2003 DHCP szervernek sszes ltez adatt s belltsait akarjuk migrlni, de kombinlni akarjuk a migrcit a forrsgp komplett TCP/IP belltsainak tvitelvel (teht azonos lesz a kt gp cmzse, nyilvn egyszerre nem fognak mkdni), st a helyi fikok s csoportok (ergo nyilvn ez nem egy DC) migrlsval is. Kicsit letszag, kicsit nem (mivel a helyi user fikok szinte elhanyagolhatak egy tartomnyi gp esetn), de a prba kedvrt j lesz. A Windows Server 2003-on31 indtsuk el a Powershell-t, ha jt akarunk magunknak, akkor az Administrative Tools-ban keressk meg az j migrcis programcsoportot, s az itt lv PS-t indtsuk, ha nem, akkor elsknt be kell tltennk a kvetkez paranccsal a migrcis eszkztrt: Add-PSSnapin Microsoft.Windows.ServerManager.Migration A teljessg kedvrt lerom azt is, hogy mely utastsra van szksg akkor, ha egy szimpla parancssorbl hajtjuk a PS-t betlteni, viszont egytt a migrcis holmikkal: Powershell.exe PSConsoleFile ServerMigration.psc1 No s itt lljunk csak meg egy kicsit s szmoljunk. Hlkrtyt. Tudniillik ha trtnetesen a forrsoldalon tbb van, akkor a cloldalon is tbbnek kell lennie. Merthogy elkpzelhet, hogy azrt van tbb, mert a j reg DHCP szervernk tbb krtyhoz is "hozz volt ktve" (Bindings), azaz tbb alhlzat szmra is tolta az TCP/IP konfigokat. De most mr nzzk a konkrt export parancsot: Export-SmigServerSetting featureID DHCP User All Group IPConfig path <storepath> Verbose gy gondolom, hogy nmi magyarzat szksges, nzzk tagonknt. 1. Export-SmigServerSetting: ez maga a cmdlet, a get-help-pel kombinlva borzaszt rszletes pldkat is kapunk a szintaxisra. 2. -featureID DHCP: itt adjuk meg, hogy melyik legyen a hat tpus kzl, ha nem vagyunk tisztban az elnevezsekkel, akkor hasznljuk a GetSmigServerFeature parancsot a rszletek kidertsre.
E felett is ugyanez, csak akkor van eltrs, ha Windows Server 2008 R2-rl Windows Server 2008 R2-re migrlunk, de gy gondolom, hogy ez nem ennek a knyvnek a tmja
31
~ 43 ~
3.18 M R
GYJT ...
~ 44 ~
TERVEZS S TELEPTS
3.19 ... S
MR KSZ IS .
Ezek utn viszont nyargaljunk t a cl oldalra, azaz a Windows Server 2008 R2-hz! Ha mg az import eltt elgondolkozunk azon, hogy vajon be kell-e lptetni a tartomnyba, akkor ne gondolkodjunk tovbb, nem muszj, st gyakorlatilag nem oszt s nem szoroz, ksbb is belptethetjk. A TCP/IP belltsa sem rdekes, gyis fellrjuk. Viszont az imnt ksztett srvmig.mig fjlt egy fjlmsolssal el kell majd juttatnunk az j gpre, ezzel szmoljunk. Nos igen, mg egy dolog: feltehetjk elre a DHCP szervert is, pldul a Server Managerbl. De mondok jobbat: PS> Add-Windowsfeature DHCP. Ilyenkor nem krdez semmit (ellenttben a Server Managerrel), ami azrt is j, mert gysincs mit belltani, hiszen minden szksges adatot importlunk. De mondok mg jobbat: az Import-SmigServerSetting cmdlet a featureID DHCP paramter apropjn rzkeli, hogy nincs DHCP Server s felrakja. Persze ez egy jraindtssal jr, meg azzal, hogy jra be kell tni a parancsot, de azrt cool, nem? :) Ha viszont mr felraktuk, akkor lltsuk le, ha esetleg elindult a szerviz (ha a PS-bl tesszk fel, nem fog). Nos, nzzk meg a parancsot:
~ 45 ~
~ 46 ~
TERVEZS S TELEPTS
3.20
BRA
MAGYARZAT LENTEBB
Nmi kp specifikus inf: - A felhasznlkat nem migrltam (az azonos neveket, azaz a gyriakat amgy sem pakolja t). - A "path" vgre mindig kell a per jel. - Az IPv6-ot letiltotta, mivel a WS03-on nem volt. - Illetve mg az is kiolvashat az utols sorbl, hogy az jraindts ktelez. Ha minden OK (elsre gy sem lesz az32), akkor ez kiderl a srga szn szvegbl, ezek utn mehet a PS-bl a "Set-Service DHCPserver startupType automatic" plusz a "Start-Service DHCPServer", s tekintsk meg a TCP/IP konfigot, meg a DHCP szervert, naht, mkdik. Amit mg jles dolog tgondolni, az az hogy igazbl nem bntottuk meg a forrsszervert mlyen, gyhogy ha valami balul slt el, s ez kiderl mr rgtn az utlagos tesztelskor, akkor az instant rollback nem okozhat gondot Nem nzek senkit sem bnnak, csak ppen figyeljk meg pl. a Hyper-V Type clipboard text parancsnak mkdst, elszeretettel hagyja le a ktjeleket s egyb extra karaktereket, amit persze csak ksbb szr ki az ember fia.
32
~ 47 ~
Idre nem rzkeny szolgltatsok esetn, virtulis gpnl nagyobb jelentsge lehet a frisstsi opcinak, mivel ekkor hasznlhat a pillanatfelvtel (snapshot) technolgia (a lektor megjegyzse).
33
~ 48 ~
4 F ELGYELET ,
4.1 A S ERVER M ANAGER
Mivel mssal is kezdhetnnk ezt a fejezetet, mint a rendszergazdk szmra abszolte mindennapos hasznlat Server Manager-rel, ami gyakorlatilag tnyleg egy svjci bicska, s valban minden htkznapi feladatunkhoz szervesen hozztartozik. De nem volt ez mindig gy, nzznk meg egy kpet egy igen korai Server Manager-bl, mgpedig egy Windows NT 4.0-s pldnybl.
4.1
BRA
E GYKOR
ILYEN VOLT
Majd ezutn, a Windows 2000 Server-tl kezdve rkeztek a klnbz felgyeleti eszkzk s varzslk, gymint a Manage Your Server, a Configure Your Server, illetve az Add or Remove Windows Components s persze a Computer Management MMC. szintn szlva, hmmm... mindig is kiss szkeptikus voltam ezekkel a "...Your Server" varzslkkal, szerintem nagyjbl csak kozmetika volt, s nem tbb. Ennek megfelelen az "Igazi rendszergazda ilyet nem hasznl!" felkiltssal ltalban a bal als sarokban lv (a vgleges bezrst kivlt) ngyzetre kattintottam egy-egy j szerver teleptse utn. Az Add or Remove Windows Components pedig igencsak gyenglkedett akkor, ha komplex mdon szerettk volna hasznlni, azaz neknk kellett mindig, minden esetben kitallni, hogy mi mindent kell mg feltelepteni egy szolgltats hasznlathoz, nem beszlve a leszedsrl, amikor aztn tnyleg csak a sajt intelligencinkban bzhattunk, ergo biztonsgi s teljestmnyproblmk sorozatt is hozhatta egy gondatlan, csak fligmeddig elvgzett eltvolts. De ez a helyzet - szerencsre - drasztikusan megvltozott a Server Manager-rel, ami a Windows Server 2008-ban debtlt, s tnyleg teljes szemlletvltozst hozott. Pr szban arrl, hogy elssorban, akr rgtn a telepts utn mi mindenre alkalmas: 1) Az aktulis szerver szerepkrk (roles) megtekintse illetve teleptse/eltvoltsa 2) Az aktulis szerver kpessgek (features) megtekintse illetve teleptse/eltvoltsa
~ 49 ~
4.2
Az elz listbl igazbl az 1. s 2. pont az, ami rgtn s mellbevgan jdonsg lesz egy Windows 2003-as rendszergazdnak, gyhogy kezdjk a szerepkrkkel s a kpessgekkel! A szerepkr (Role) teht egy olyan jl definilt feladat egyttes, amit a szervernk ellthat a rendszernkben. De ennl lnyegesen lvezetesebb egy mlyen tisztelt kollgm, Petrnyi Jzsef defincija: A server role az tulajdonkppen egy alap szerverfunkci. Egy ptkocka. Pldul role a File Server funkci, a Print szolgltats vagy a Terminal Service (Tvoli hozzfrs). Ezeket a szerepkrket lehet aztn felcicomzni maty szalagokkal, cskos napernykkel szerepkr szolgltatsokkal. Nzznk is rgtn nhny pldt: a File Server szerepet felturbz szerepkr szolgltats lehet mondjuk a Distributed File System szolgltats vagy a File Service Resource Manager, vagy a Single Instance Service. Az els az elosztott fjltrols kpessgvel javtja a File Server szerepkrt, a msodik kvtt,
~ 50 ~
http://technetklub.hu/blogs/winserver2008r2/archive/2010/08/12/Window s Server 2008-10-sz-237-nh-225-z-az-eg-233-sz-vil-225-g.aspx Valamennyi szerepkr-szolgltats tteles felsorolsa nagyon hossz volna, de azt azrt rdemes (kpes formban) ttekintennk, hogy milyen szerepkrk llnak rendelkezsnkre, immr az R2-ben, ismers lesz azrt bven.
4.3
BRA
T IZENHT
DARAB
Van persze egy msik halmazunk is (s ez a nagyobb szm, br a role serviceekkel egytt nyilvn nem), ez pedig a kpessgek. Ezek olyan rendszerkomponensek, amelyek nmagukban ltalban nem meghatroz mdon
~ 51 ~
4.4
BRA
42
s akkor foglaljuk ssze, egy kicsit ismt ms tollval keskedve: Mg egyszer: mi is az a role? Alapszolgltats. Mi a role service? Kiegszt szolgltats. s a feature? Extra szolgltats. Szolgltats szolgltats htn. De nem ez volt a kiindulsi alapunk is: szolgltatsok sszelaptolva? A klnbsg a rendezettsg. A funkcionlis csoportostsok. A fenti kategrik ugyanis nem csak a fejnkben lteznek, hanem valsgosan is: a Windows
~ 52 ~
4.5
BRA
Lthat, hogy a Server Manager igazbl csak egy, a tetn lv komponens, a httrben s a mlyben szmos egyb alkotelem mkdik azrt, hogy tnyleg multifunkcis jelleg legyen a rendszergazdk kellktra. gy aztn a kvetkez rszekben kicsit megnzzk a felptmny rszeit, meg persze a tbbi szerszmot is de csak nhny kiemelkedt.
~ 53 ~
"Ha egyetlen mondatban kellene megfogalmaznunk, hogy mi is a PowerShell amirl ez a knyv szl -, akkor azt mondhatnnk, hogy a PowerShell egy teljesen objektumorientlt, a .NET keretrendszerre pl parancsfeldolgozs szkript krnyezet, ami gykeresen j alapokra helyezi (s fogja helyezni) a Windows opercis rendszerekkel s kiszolgl-oldali alkalmazsokkal kapcsolatos felgyeleti feladataink elvgzst. [...] Ha egy mveletsort egyetlen gpen csak egyetlen egyszer kell vgrehajtanunk, akkor a grafikus fellet a logikus vlaszts, ebben az esetben a parancssor hasznlata, vagy a megfelel szkript megrsa csupn idignyes (br szrakoztat) hobbinak tekinthet. Egszen ms a helyzet azonban, ha az adott mveleteket minden nap el kellene vgeznnk (vagy esetleg 300 gpen kell minden nap elvgeznnk). [...] Aki ltja a jvt, az tudhatja, hogy a PowerShell mindent visz. Elbb-utbb mindenkinek ugyangy meg kell tanulnia, mint annak idejn a DOS-t egyszeren nincs nlkle let a Windows-vilgban." A bevezet rsz Sos Tibor MVP kollgm els Powershell (PS) knyvnek 34 beharangozjbl szrmazik, s nehz vele vitatkozni. A PS (kdnevn Monad) soksok v fejleszts utn eleinte mg csak az Exchange 2007 kiszolglban ksznt vissza, azta viszont feltartzhatatlanul halad, s mra gyakorlatilag szinte az sszes kiszolgl szoftver mellett, az opercis rendszereknl is teljes mrtkben jelen van. Az utbbiak esetn a totlis debtls az R2-vel kvetkezett el (PowerShell 2.0), amikor is az jabb modulok a felgyeleti eszkzk, a Server Manager s pl. a cmtrszolgltatsok terletn is teret nyert (j plda erre a 2.4 bra), mghozz tbbnyire teljes eszkztrral. Nzznk egy egyszer gyakorlati pldt, a Server Managerhez kapcsoldva, s felttelezve, hogy mr elindtottuk a PS-t: Az sszes kpessg listzsa, x-szel jellve, hogy valjban mi is van fent a rendszeren: import-module servermanager Get-WindowsFeature Csak azon kpessgek listzsa, amelyek fent vannak a rendszeren: Errl a hivatkozsrl minden anyag letlthet, tbbek kztt az azta megjelent 2.0-s knyv is: http://technetklub.hu/TechCenters/TechCenterPage.aspx?id=18
34
~ 54 ~
Get-WindowsFeature|where {$_.Installed -eq "true"} |fl Krdezzk meg, hogy a .Net-framework fent van-e? Get-WindowsFeature net-framework Ha nincs, rakjuk fel: Add-WindowsFeature net-framework No s van ms is, PS2-ben immr van tvvezrls is, azaz a Remoting, amivel szenzcis dolgokat is mvelhetnk, ktfajta modell szerint is: - Egy gprl soknak: parancsok, szkriptek kldse egy gprl tbb gp fel, akr a httrben is (a kapcsolatok limitlsa lehetsges) - Sok gprl egynek: Hosting modell, pl. egy kiszolgl vs. tbb zemeltet, akr eltr jogosultsg szerint is Nos, akkor nzznk nhny egyszer pldt: A tvoli R2 gprl krdezzk le a processzeket: Invoke-Command Computername srv1 Command {get-process} Kt session kialaktsa, majd jellemzik listzsa: $sessions = New-PSSession -computername srv1, srv2 $sessions | Fl
~ 55 ~
E GY
GPRL , KETTRE
De ne lljunk meg itt, krdezzk le a c betvel kezdd processzeket a kt gprl! ICM -session $sessions -command {get-process c*}
4.7
BRA
PROCESSZ ,
AZ EGYIK ,
A MSIK GPRL
s vgl teleptsk fel prhuzamosan a Windows Backup-ot mindkt gpre, majd nzzk meg, hogy sikerlt-e! Enter-PSSession -Id 2 import-module servermanager add-windowsfeature dhcp get-windowsfeature backup Get-PSSession | Remove-PSSession Nem semmi. A PS viszont lthatan egy programozsi nyelv, ebbl kvetkezen nem mindig s nem mindenki szmra egyszer hasznlni - elkpzettsg nlkl. Ezrt a Microsoft az R2-be tbb knnytst is tett a PS elnyeit kihasznlni szndkoz rendszergazdk szmra, ezek kzl az egyik a Server Manager Remoting (az elbb trgyalt PS Remoting segtsgvel), ami az RSAT hinyossgait igyekszik kikszblni, mg egy msik segtsg az Integrated Scripting Environment (ISE), ami egy grafikus fellet segdeszkz (telepthet kpessg) a PS teljes kr kihasznlshoz. A felmrsek szerint a Windows Server 2008 megismerse utn, a felgyelet tmakrben az 1. szm krs a rendszergazdk rszrl a tvoli Server Manager
~ 56 ~
4.6
BRA
C SAK
EGYETLEN PIPA
A rads az, hogy ez a PS funkci bvls kihasznlhat lett a Windows Server Core verzijn is, hiszen az R2-tl kezdve a Core alatt is van PS tmogats s .NET Framework (lsd ksbb). St, igazbl egy rendes MMC konzol mdjra, tbb kiszolgl Server Manager-t is beletlthetjk egyetlen konzolba, de csak gy, ha elindtunk egy res MMC-t, s kln-kln betltjk, majd elmentjk, mivel a gyri Server Manager-bl prhuzamosan nem megy.
~ 57 ~
4.7
BRA
Ahogy korbban emltettem, a msik plda, az ISE egy tnyleges mank az amatr PS hasznlknak egy GUI, azaz egy grafikus fellet formjban. gy nz ki:
~ 58 ~
4.8
BRA
T ETSZETS
Termszetesen itt is mkdik a Remoting, azaz tvoli hasznlatra is alkalmas, ltszik is a kpen, hogy ppen tl vagyok az elz kt szerverre egyszerre trtn Windows Server Backup kpessg teleptsn, s mr nyitottam is egyszerbben egy j Remote Shell panelt. Pont ez a lnyeg az ISE hasznlatnl, az egyszersg s a grafikus fellet lehetsgeinek a kihasznlsa. Ismerkedjnk meg vele, prblgassuk, megri.
4.3 BPA
A BPA jelentse a Best Practice Analyzer, s szerencsre j rgta ltezik ez az ingyenesen letlthet eszkz a Microsoft szervereihez, eleinte csak Sharepoint-hoz s Exchange-hez, de aztn pl. az ISA, SQL, stb. kiszolglkhoz is megjelentek sorra a megfelel verzik. s most mr az opercis rendszerekhez is, hiszen az R2 ta immr nem egy kln letlthet vltozatban, hanem a Server Manager-be beptve is tallkozhatunk a BPA tudsval. Szemly szerint nagyon szeretem ezeket a segdeszkzket, mert egyrszt sokszor tudom ajnlani, ha krdeznek, mivel ha kezdk vagyunk (mindenki gy indul), akkor a tippek, illetve a konfigban per pillanat lv hibk vagy hinyossgok listzsa remek terep a tanulshoz (arrl nem is beszlve, hogy problmkat oldunk meg ).
~ 59 ~
Valszn azrt, hogy igen, mert ez mr kiderlt volna , de pldnak j lesz. http://blogs.technet.com/b/askds/archive/2010/04/28/win2008-r2-bpaupdates-released-for-april-2010-wave.aspx
35 36
~ 60 ~
4.9
BRA
V AN
MIT JAVTANI 37
Nem rt, ha megengedjk a Windows Update-en keresztli frisstst, ugyanis ez olyan eszkz, amely tudsanyagt a Microsoft grete alapjn rendszeresen frisstik (ahogy lthatjuk is az elz oldalon) a berkez problmk s hibajelensgek, lersok apropjn. s azrt ne feledjk: a BPA csak megmutatja, meg nem oldja a problmt!
4.4 A Z RSAT
Remote Server Administration Tool a becsletes neve ennek az eszkznek, ami a Windows Server 2008-cal egytt szletett, s a korbbi Windows Server 2003 Administrative Tools Pack (Adminpak.msi) csomagot volt hivatott levltani (a Vista megjelensekor sajnos mg nem is volt ksz, ergo az Adminpak.msi-vel kellett trkkznnk, sokat), no s persze megjtani. A cl az volt, hogy a rendszergazdk ne csak a szerver konzolon vagy RDP-vel legyenek kpesek elrni a szerveren fut szerepkrk s kpessgek konfigurcis lehetsgt, hanem a sajt munkallomsukrl is, ahol valsznleg mostansg egy Windows 7 fut.38 39 Ha az utbbihoz tartoz RSAT verzit40 hasznljuk s egy R2-es kiszolglt hajtunk felgyelni, akkor a kvetkez szerepkrket (s a rszeiket is) lesznk kpesek a
37
38
Persze az egyik szerverrl a msikat az RSAT-tal elrni knnyebb, hiszen be van ptve a kpessgek kz, de nyilvn nem ez a tipikus hasznlati md. 39 De nem is atipikus. Az Exchange szerver teleptsnek pldul ersen javasolt elfelttele az RSAT, ugyanis ezen kereszl lehet az AD-t is matyizni. (A lektor megjegyzse). 40 Remote Server Administration Tools for Windows 7 with Service Pack 1 (SP1): http://www.microsoft.com/download/en/details.aspx?id=7887
~ 61 ~
4.10
BRA
A Z RSAT
A letlts utn (figyeljnk oda, mert kln vltozatok vannak a Visthoz s a Windows 7-hez, st utbbi esetn az SP1-hez is, plusz x86/x64 megklnbztets is van) egy
~ 62 ~
~ 63 ~
4.11
BRA
A W IN RM
Ha sikeresen belltottuk a WinRM szolgltatst a tvoli gpen, akkor lehetsgnk lesz a WinRS-sel (Windows Remote Shell) kapcsoldni ehhez a gphez. gy brmilyen parancssori vagy szkript mveletet elvgezhetnk (figyeljk meg a kvetkez brt), mindssze a tvoli gp host nevt, IP-cmt vagy WinRM-aliast kell ismernnk. A WinRS (Windows Remote Shell) hasznlatrl bvebb informcit a parancs sgjban olvashatunk. (winrs -?)
4.12
BRA
A W IN RS- SEL
~ 64 ~
4.13
BRA
IS
W IN RM- MEL
MEGY , DE PERSZE
NEM FOG
SIKERLNI
E fejezet lezrsakpp jeleznm, hogy a felgyeleti eszkzk krbe termszetesen beletartoznak olyan komponensek is, mint a Feladatkezel, az Esemnynapl, a Feladattemez vagy ppen a Teljestmny figyel s mg sokan msok. Mivel ezekben az eszkzkben minimlis vagy ppen zr vltozs van, s mivel ezeket a mr emlegetett elzmny knyvben rszletesen kitrgyaltuk a Windows Vista kapcsn, ezrt a felesleges oldalszaports helyett, elg lesz a linket megosztani a kedves Olvasval: Rendszerfelgyelet rendszergazdknak http://www.microsoft.com/hun/technet/article/?id=f0c8cf69-ae4c-4b1bb333-9feeda419509
~ 65 ~
5 K ISZOLGL
5.1 F JL -
ALAPSZOLGLTATSOK
S NYOMTATSZOLGLTA T SOK
5.1.1 FSRM A File Server Resource Manager (FSRM) MMC nem 100%-osan jdonsg, st mg a Windows Server 2008-ban sem az (a Windows Server 2003 R2-bl val), de sokszor rzem gy, mintha nem is ltezne, mintha nem is tudnnak rla az zemeltetk. Pedig figyelemre mlt, radsul van R2-es jdonsgunk is, gyhogy 1-2 oldalt megr most neknk is. Ngy f rsze van: - Storage reports management: Jelentseket generl az ltalunk kivlasztott llomnyok illetve mappk hasznlatrl. Rengeteg mintt adhatunk meg a jelents kritriumaknt, pl. lehetsges llomnytpusok vagy felhasznlk vagy llomnycsoportok alapjn szrni vagy ppen a kt vagy tbb pldnyban ltez llomnyokat is kiszrhetjk, de ltezik minta a nagymret vagy a legtbbet/legkevesebbet hasznlt llomnyok listzsra, illetve akr a kvta hasznlat nyomon kvetsre is. Nagyon rszletes, tovbbi finomtsi lehetsgeink is vannak egy-egy kategrin bell. A jelentst krhetjk emailben - termszetesen idzthetjk is -, de van lehetsgnk alaprtelmezsben DHTML, vagy HTML, XML, DSV illetve sima szveg formban - menteni is. - Quota management: A mr a Windows 2000 Server ta hasznlhat (?) kvta menedzser drasztikus vltozsokon ment keresztl. Nincs tbb a csak lemezre vonatkoz korlt, akr mappnknt klnbz korltokat adhatunk meg. Nincs tbb a logika mret alapjn trtn szmols, hanem a lemezhasznlat szmt, s nem kell tbb kizrlagosan az Esemnynaplt figyelgetnnk, az FSRM pl. e-mailben is rtesthet, s kpes adott szkriptet vagy parancsokat futtatni illetve jelentseket gyrtani, ha "esemny" van. Ktfajta kvtt gyrthatunk, az n. "hard" kvtt, amely megtiltja a felhasznlknak s az alkalmazsoknak a limiten felli lemezhasznlatot, illetve a "soft" kvtt is, amely nem ilyen "kkemny", viszont rtestst ekkor is kaphatunk a tllpsrl. Kellemes lehetsg a kvta sablonok hasznlata, melyeket egyszer kell alaposan megtervezni, s mindenre kiterjeden elkszteni, s aztn ad hoc alapon alkalmazni. - File screening management: A harmadik elem ebben a csoportban a "File screening", azaz egyfajta szrsi lehetsg, ti. megtiltja bizonyos llomnytpusok (pl. .mp3, .avi, stb.) mentst az adott lemezre/mappba. Rszletesen konfigurlhat, lteznek hasznos sablonok s elre gyrtott llomnytpus csoportok, de tetszlegesen bvthet is. A kvta menedzserhez hasonlan itt is megklnbztetnk ktfajta akcitpust: az "Active" tilt, a "Passive" csak rtest s van kivtel belltsi lehetsg.
~ 66 ~
KISZOLGL ALAPSZOLGLTATSOK
5.1
BRA
KORDBAN TARTOTT
H:
MEGHAJT
Classification management: Csak az R2-ben ltezik (ellenben minden kiadsban), s rszben egyfajta megjell vagy inkbb besorol (classification) eszkzrl van, amellyel a fjlokat klnbz tulajdonsgaik alapjn kpesek lesznk logikailag csoportostani, majd mveleteket vgezni velk (File Management Tasks). Pldul egy nagy-nagy hlzati megosztsrl a rendkvl ritkn hasznlt fjljainkat elklnthetjk egy msik, lass elrs trolsi helyre, vagy az rzkeny fjlokat (mi mondjuk meg pl. kulcsszavakkal, hogy mi szmt szenzitvnek) eltvoltjuk a megosztsbl, vagy akr vzjeless is tehetnk automatikusan dokumentumokat. Ha pedig az AD Rights Management Server-rel (RMS) kombinljuk, akkor az automatikusan azonostott s osztlyozott rzkeny adataink gy is biztonsgban lesznek, ha klnbz formkban (msols, e-mail csatols) elhagyjk a szervezetnk informatikai rendszert.
5.1.2 ABE A Windows Server 2008-ban vgre a grafikus felleten is megjelent Access Based Enumeration. Ismers? Lehet, mivel volt mr ilyen a Windows 2003-ban is, anno az SP1-gyel rkezett, de csak parancssorbl rhettk el, s kiss fraszt mdon. Szval eme durva nev, de finom mdszert takar megolds clja az, hogy akinek nincs joga egy hlzati megosztshoz, az ne is lssa a tartalmt.
~ 67 ~
5.3
BRA
A Z ABE
LEGYEN VELNK
De ennek vge, indtsuk el a sok ms szempontbl is rdekes "Share and Storage Management" MMC-t az Administrative Tools-bl, s ha varzslunk egy megosztst akkor egy adott lpsben az "Advanced" gomb alatt megtalljuk a GUI-n is ezt a lehetsget. Persze nemcsak a varzslban llthatjuk ezt be, hanem utlag is, st alaprtelmezs szerint nem is minden esetben rvnyes, azaz ha a lenti listban szerepl mdszerekkel kreltunk egy megosztst, akkor kzzel kell utlag belltani: - Az Advanced Sharing a Windows Explorer-ben - Ha a net share parancsot hasznljuk - Ha ktetek megosztsrl van sz - Az admin megosztsok esetn (ktetek vagy mappk, gymint C$ vagy ADMIN$) 5.1.3 DFS S DFS-R J DO N S G O K A DFS s a DFS-R tmakr szintn nem teljesen j, azaz a Windows Server 2003 R2ben trtntek az elskrs s igazn nagy vltozsok (pl. az MMC bvtmnyek
~ 68 ~
KISZOLGL ALAPSZOLGLTATSOK
vltozsai, vagy eleve a teljesen j replikcis megolds, az j tmrtsi algoritmussal41). De azrt az jabb opercis rendszereknek sem kell szgyenkezni, vannak jdonsgok szp szmmal. Ezek kzl kiemelnk most egy prat, elszr olyanokat, amelyek a Windows Server 2008-cal rkeztek. Content Freshness A DFS-R tartalmaz egy j, tartalom frisst megoldst, ami megtiltja a kiszolglnak, hogy bizonyos - offline llapotban tlttt - id utn, vadul elkezdje szinkronizlni automatikusan - ha majd online llapotba kerl. Ez azrt fontos, mert a DFS-R nagyjbl ugyangy mkdik, ahogy az AD replikci, azaz ez is JET adatbzis, s multimaster replikcit hasznl, s a trls itt sem fizikai elszr, hanem logikai, azaz a jl ismert srkves mdszer, ami 60 nap utn trl csak - fizikailag is. s itt jn a problma: ha a DFS-R szerver tbb mint 60 napig nem tud repliklni, viszont utna majd egyszer csak igen, akkor a fjlok rg trlt pldnyainak a srkve jra feltnik, s persze replikldik is, adott esetben konfliktusba kerlve a meglvekkel42. A Content Freshness vdelem nem alaprtelmezett, hanem bellthat, mghozz egyesvel, minden DFS-R szerveren az albbi paranccsal. wmic.exe /namespace:\\root\microsoftdfs path DfsrMachineConfig set MaxOfflineTimeInDays=60 s amikor majd a CF l, akkor a rgi-j szerveren letilthatjuk vagy trlhetjk a kapcsolatokat, lellthatjuk a DSF-R szervizt, az idztst rvidre zrhatjuk vagy akr kikapcsolva is tarthatjuk a gpet - ergo lesz idnk korriglni. A vratlan lellsok kezelse Az NTFS fjlrendszerben bekvetkez vltozsok az esetek tbbsgben elszr memriban helyezkednek el, s csak egy kis id utn rdnak ki a merevlemezre. A DFS-R replikci adatbzisa szempontjbl viszont a vltozs mr a diszkre rs eltt bekvetkezik. A kztes idben bekvetkez brmilyen katasztrfa, legyen az vratlan szerverlells vagy szablytalan volume-dismount, a DFS-R adatbzis inkonzisztencijhoz vezethet. Mg a Windows Server 2003 R2 esetn ez a komplett DFS-R adatbzis jraptsvel s gy rengeteg idvel jrt, az j vltozat ezt az adatbzis jraptse nlkl, azaz sokkal gyorsabban intzi el. Propagation report Remote Differential Compression (RDC): http://technet.microsoft.com/en-us/library/cc781091%28WS.10%29.aspx 42 Ez az AD-nl az n. lingering object szituci.
41
~ 69 ~
5.4
BRA
C SAK
SYSVOL replikci a DFS-R segtsgvel Amikor a DFS-R megjelent a Windows Server 2003 R2-ben, akkor mr csak egyetlen krds maradt. Kidobjuk-e az FRS-t? Nos, sajnos nem dobhattuk ki ezt a kvletet, mert egy fontos dolga megmaradt, ez pedig a tartomnyvezrlk "SYSVOL" megosztsainak replikcija. De most mr, a Windows Server 2008-ban akr ezt a feladatot is truhzhatjuk a DFS-R-re, br nem ktelez. Egy biztos, az ttrst igen krlmnyesen s lpsrllpsre kell megtennnk, mert br lehet, hogy nagyon hajtjuk s tnyleg remek lenne az elnyeit kihasznlni, de azrt pl. a rgi tartomnyvezrlket (Windows 2000/2003) egsz jl ki tudnnk akasztani az j replikci mdszerrel.
43
~ 70 ~
KISZOLGL ALAPSZOLGLTATSOK
Ergo az els lps a tartomnyi mkdsi szintjnek emelse, ez gyis csak akkor megy, ha mr rgi DC-ink nem lesznek. Ezutn jhet a DFS-R install minden DC-re, majd egy parancssori segdeszkzre lesz szksg, a dfsrmig.exe-re, amivel a 4 klnbz sttuszt fogjuk tugorni, pontosabban hrmat, mert alapbl a 0. szinten vagyunk44. A migrcis llapotok a kvetkezek: 0 START 1 PREPARED 2 REDIRECTED 3 ELIMINATED
5.5
BRA
3 DC- BL 2
MG NEM
OK
A tovbbi szksges lpsek: - A dfsrmig /setglobalstate 1 utasts, minek hatsra egyet ugrunk, s ekzben a DFS-R kszt magnak egy msolatot a SYSVOL mapprl, majd egy msik DC DFS-R szervizvel megprbl egy kezd replikcit vgrehajtani. Ha ez sikerlt az sszes tartomnyvezrln, akkor mehetnk tovbb. Ellenrizni a "dfsrmig /getmigrationstate" paranccsal tudjuk ezt. - Most jn a dfsrmig /setglobalstate 2", ha OK, akkor erre vlaszul prhuzamosan elkezd majd mkdni a replikci, ami szintn lekrdezhet, ugyangy mint az elbb. Ami fontos, innen mg mindig visszatrhetnk az FRS-re, de ez az utols esly. - Az utols - rtelemszeren - a dfsrmig /setglobalstate 3 parancs lesz, ennek hatsra a DFS-R trli az eredeti SYSVOL-t, s az jjal megy tovbb. Ellenrizzk, s ha minden klappol, akkor majdnem kszen is vagyunk, egy Csak vatosan, mert a hasznlata minden tekintetben globlis, azaz brmelyik DCn alkalmazzuk, az az egsz tartomnyt egyformn rint vltoztatst jelent.
44
~ 71 ~
5.6
BRA
EZ
Termszetesen a Server Core-ral is mkdik mindez, a kpen lthat BookDC2 pl. ilyen. No s mg annyit szeretnk hozzfzni mindehhez, hogy a DFS-R SYSVOL replikcit nem tudjuk olyan rszletesen konfigurlni a DFS Management MMC-ben, mint a tbbi replikcis csoportot, de ez valahol logikus is, rljnk inkbb szpen csendben a lehetsgnek ! RODC tmogats (lsd 6. fejezet) Miutn a DFS replikciba a tartomnyvezrlk SYSVOL megosztsa is belevehet, ebbl az RODC sem maradhat ki. Egy RODC esetn viszont meg kell felelni az Active Directory-ban erre vonatkoz szablynak, miszerint az RODC-rl nem szrmazhat semmifle vltozs vissza a tbbi, rhat-olvashat adatbzis DC-re, de ez nem is gond, mkdik. Az R2 fjlszerver szerepkrnek is fontos s megbecslt rsze a DFS/R, ezrt aztn ebbe a verziba is kerlt nhny jdonsg. ABE tmogats
45
~ 72 ~
KISZOLGL ALAPSZOLGLTATSOK
Az ABE-t az elz fejezetben mr rszleteztem, gy most elg csak annyit megjegyezni,hogy a DFS nvtereknl az R2-ben szintn engedlyezhetjk a DFS Management konzollal vagy akr a Dfsutil.exe-vel, a parancssorbl. De, mindez csak akkor mkdik majd, ha az sszes DFS szervernk Windows Server 2008 vagy R2. Csak olvashat repliklt mappk Van olyan lehetsgnk is az R2 DFS-R alatt, hogy egy replikcis csoporttagot csak olvashatnak jellnk meg, azaz gy megtilthatjuk a felhasznlknak, hogy az adott mappa tartalmt mdosthassk. Persze ezt eddig is megtehettk, de csak manulisan, az NTFS jogok konfigurlsval, de gy mg egyszerbb, igaz kicsit nagyobb terhelst kap emiatt a DFS szerver. A RODC-nek csak egy read-only SYSVOL jr RODC tmogats mr eggyel korbban is volt, m az R2-ben ez tovbb bvlt, mivel innentl a RODC SYSVOL mappja egy csak olvashat repliklt mappv alakult t. Ez az igazi megolds, mert gy nem lehet ebben a mappban sem vltozs, csak fellrl indtva. Failover cluster tmogats Az R2-es DFS-R megteremti a lehetsget arra, hogy egy failover cluster is tagja legyen egy replikcis csoportnak, azaz pl. a clusterezett fjl megosztsok ezutn repliklhatak lesznek. A korbbi verziknl ez az egyttmkds nem volt lehetsges, azaz a szolgltats nem kltztt t egy msik node-ra, ha az adott tagon futott. 5.1.4 VHD K EZ EL S , VHD B O O T Ez a szakasz viszont teljesen j megoldsokat takar, s a msodik rsz pldul elg megdbbent jdonsg is egyben. Az els nem annyira, ugyanis a VHD kezels a Disk Management MMC -ben kezddik, ahol (most csak az R2-rl van sz 46 ) innentl kapunk egy .vhd ksztsi illetve felcsatolsi lehetsget.
46
~ 73 ~
5.7
BRA
V AN C REATE
A TTACH ,
S PERSZE
C REATE
AND
A TTACH
IS
Az .vhd ksztsnl vlaszthatunk, hogy mekkora s hogy milyen tpus legyen, ha pedig van mr egy vhd. fjlunk (mert pl. egy Hyper-V all kiszedtnk egyet), akkor csak be kell tallznunk, mris egy j ktetknt ltjuk majd. A msodik dolog viszont ennl lnyegesen bonyolultabb. Tmren: ltrehozhatunk egy multi-boot-os rendszert gy, hogy a msodik, harmadik, stb. opercis rendszer a fizikai gpnkn egy .vhd fjl formjban ltezik majd mindsszesen. Elkpeszt, nem? Nos, a kvetkez folyamat lpseiben azt mutatom meg, hogy pl. egy R2 al hogyan tesznk be egy Windows 7 OS-t. Nem annyira letszer plda, de most nem is ez a lnyeg, hanem a lehetsg. Nos, a konfigurls lpsei is gy kezddnek, mint ahogy az elz kpen ltszik ti. elszr le kell gyrtanunk egy .vhd fjlt (ez lesz az j OS diszkje, gyhogy csak okosan a mrett) valahov a gpnkre helyben, azaz a HDD-nk valamelyik partcijra. Majd ezek utn csatoljuk fel, s formzzuk meg NTFS-re, s adjunk neki egy betjelet, mondjuk a plda kedvrt a V:-t!
~ 74 ~
KISZOLGL ALAPSZOLGLTATSOK
5.8
BRA
C SAK
D ISK 1
A msodik lpscsokor arrl szl, hogy a Windows 7-es telept image-et r kell gygytani erre a .vhd fjlra, azaz ez olyan lesz, mintha egy fizikai gpnl betoltuk volna a DVD-t, s a msols fzist is megtettk volna. Az ImageX.exe-re van szksgnk (ez a WAIK rsze, ami ltszik is az elrsi tbl) illetve az install.wim-re (ez a W7 DVD-n lesz) s a kvetkez parancsra: cd /d "c:\program files\Windows AIK\tools\amd64\" imagex /apply <full path to install.wim> 1 V:\ Ez beletelik egy kis idbe, de ha ksz, akkor bootolhatv kell tennnk az j ktetnket a BCDBoot paranccsal:: cd c:\windows\system32 bcdboot v:\windows Ezutn vlasszuk le a diszket a Disk Management MMC-ben, vagy egybknt a DiskPart-ot is hasznlhatjuk erre, hiszen fel van r ksztve: diskpart select vdisk file=c:\temp\w7.vhd detach vdisk exit
~ 75 ~
47
~ 76 ~
KISZOLGL ALAPSZOLGLTATSOK
5.9
BRA
A PMC
EGYTTMKDIK AZ
AD- VAL -
A LEGNAGYOBB RMNKRE
Macers volt, de mkdtt igen szpen, viszont erre az egsz knldsra ma mr nincs szksg, ha minimum egy Vista vagy Windows Server 2008 gprl van sz, ergo elg csak a hozzrendelst legyrtani, s az ezek utn a GPMC-ben megjelen printer GPO-kat a kvnt felhasznlkra/szmtgpekre rirnytani. Fontos az, hogy ehhez a mdszerhez az AD smjnak minimum Windows Server 2003 R2-es vagy Windows Server 2008-asnak kell lennie, de ez mr nem is annyira fj dolog, igazbl n is csak ktelessgbl emltettem meg. A Windows Server 2008 R2-ben ez a szerepkr j nevet kapott (Print and Document Services) s tbbek kztt kibvlt olyan nagyobb mutatvnyokkal, mint a hlzati szkennerek hasznlata (Distributed Scan Server service role, amelyhez van egy dediklt MMC is) illetve 1-2 tovbbi extrval is. A printer migrcis lehetsgek bvlse Ha sok hlzati printernk van, s gy sok-sok nyomtatsi sor s sok-sok meghajt program s esetleg kltzik a szerver, akkor a migrci valamilyen automata eszkz nlkl borzalmas rmlomm vlik. Szerencsre ehhez azrt mindig is volt valamilyen eszkz, pl. a Windows Server 2003-nl ez volt a Print Migrator 3.1-es verzija, de tovbblptnk s a Windows Server 2008-ban egy j eszkznk lett erre a feladatra, st kett is. Az egyik a PMC-bl indthat varzsl, a msik pedig egy parancssori eszkz, a Printbrm.exe.
~ 77 ~
Ezekkel minden gond nlkl lehetsges akr tbb szz, tbb ezer printer adatainak mentse s visszalltsa (csak R2), exportja s importja, belertve a nyomtatsi sorokat, a belltsokat, a print processzorokat s a portokat is, st egyb a printer driver izolcis belltsokat is migrlhatjuk, vagy pl. mentsbl vissza is tlthetjk a nyomtatsi sorok biztonsgi belltsait (az utbbi kt dolog szintn csak az R2-re vonatkozik).
5.10
BRA
Printer driver isolation Ha sosem volt mg printer driver fagys a nyomtatszervereden, akkor ugord t ezt a rszt! De inkbb mgse ! Az R2 eltt ha egy brmilyen okbl problms nyomtat meghajt szoftver48 esetleg sztfagyott, akkor minden valsznsg szerint kiakasztotta az egsz printer spooler processzt, s gy az egsz nyomtatsi alrendszert, teht a mindenki egyrt elv szpen mkdtt. Az R2-ben viszont a drivereket akr egyesvel is elvlaszthatjuk a spooler processztl, gy cskkentve a globlis problmkat. A kivitelezs rm egyszer, a kpen lthat mdon a PMC-ben elrhet. Figyelem, az alaprtelmezs nem az izollt md!
Szerintem mindenki tudja, hogy tbbek kztt - mely nyomtatkat gyrt cg kszt fantasztikus printereket - borzalmas driverekkel
48
~ 78 ~
KISZOLGL ALAPSZOLGLTATSOK
5.10
BRA
A KR
IZOLLHATUNK IS
Location-aware printing Taln helyzetrzkeny nyomtats-nak fordthat a legjobban ez a szolgltats, amit a lehet hogy ismernk is Windows 7-bl. De az R2-ben az alaprtelmezett bellts is ez, szval a laptop felhasznlk akr minden hlzaton, amelyhez csatlakoznak, ms s ms printert kaphatnak meg a teleptettekbl alaprtelmezettnek - s persze teljesen automatikusan. Distributed Scan Server A vgre maradt egy igen rdekes dolog, amelyet szintn szlva mg sohasem prbltam ki vagy lttam lesben, de biztos nem marad ez gy rkre. Azt viszont tudom, hogy a hlzati szkennels mindig komoly problma, ha a szkenner (mondjuk egy multifunkcis kszlk rszeknt) nem rendelkezik egy webszerverrel, amelyhez csatlakozva egy bngszbl kpesek szkennelni a felhasznlk, akkor minden gpre mindenkppen telepteni kell a gyri szoftvert, ha egyltaln van (s ha ez a) megolds a problmra. A Distributed Scan Server-rel begyjthetjk a WSD 49 (Web Services on Devices) kompatibilis hlzati szkennereket, gy aztn monitorozhatjuk ezen eszkzk llapott, illetve krelhatunk s felgyelhetnk szkennelsi mveleteket is. A lenti brbl kiderl, hogy egy szkennelsi mvelet gyakorlatilag egy szablycsokor 50 , amibl kiderl, hogy hogyan, milyen jellemzkkel (felbonts, sznmlysg, fjltpus) trtnik meg majd a mvelet, hova kzbesti a szerver a vgeredmnyt (hlzati megoszts, e-mail vagy akr egy Sharepoint site, vagy ezek kombincija), s azt is, hogy kinek vagy milyen csoportnak lesz mveletek vgrehajtshoz jogosultsga. A felhasznl csak odafrad a kompatibilis szkennerhez, hitelesti magt pl. egy smartcard-dal, vagy egyszerbb mdon az ADba, kivlasztja a megfelel mveletet s ennyi, persze ha akarja, akr fell is brlhatja a betpllt mveletek jellemzit. Az ilyen eszkzk hlzaton keresztl SOAP zenetekkel operlnak, UDP-t hasznlva, s gyakorlatilag a plug and play lmny olyan, mintha USB-sek lennnek. 50 Post-scan processes (PSP) s az AD trolja ezeket.
49
~ 79 ~
5.11 A
De azrt itt is szksgesek bizonyos felttelek: - A szervernek tartomnyi tagnak kell lennie - Erd szinten is kvetelmny az R2-es llapot (!) - Nyilvn kell bven hely a szkennelt anyagok feldolgozshoz (ez sok esetben csak tmeneti lesz a feldolgozs idejre, de akkor is) - Szksg van egy tanstvnyra is a szkenner szerver szmra, ami kt folyamathoz is kell: egyrszt a szkennertl a szerverig, msrszt a kliensektl a szerverig, merthogy a Windows 7-bl is hasznlhat szoftveres elrssel ez a komponens (a Scan Management alkalmazs ugyanis telepthet a Turn Windows Features On or Off segtsgvel).
5.2 DHCP
DNS
Mindkett alapszolgltats, gy mindkett htkznapi hasznlat, de persze mretes krnyezetben azrt rendesen el is lehet merlni mindkettben, gy aztn mondjuk inkbb azt, hogy htkznapi is. Ide tartozhatna mg a WINS is, de igazbl ezzel kapcsolatban annyira nincs jdonsg, hogy bele sem kerlt a cmbe. Illetve az az jdonsg, hogy ha mg mindig vannak (lesznek) rgi OS-eink s alkalmazsaink51, akkor mg mindig Illetve vegyes hlzatban Samba klienseink, szervereink. Ilyenkor kln lvezhetjk az idnknt felbukkan WINS inkonzisztencikat, illetve az idegl trlsi algoritmusokat (a lektor megjegyzse).
51
~ 80 ~
KISZOLGL ALAPSZOLGLTATSOK
nem radrozhatjuk ki a WINS-t, de nem is kell, alig eszik valamit, s dolgozik rendesen. Kezdsknt beszljnk e fejezet kapcsn egy mlyebben trtnt vltozsrl is, az j TCP/IP stack-rl (Next Generation TCP/IP stack), amely egy alapos bvtsen esett t architekturlis, biztonsgi s hardver tmogatsi szempontbl is. A Windows Server 2008 teljesen jrart hlzati verme a jelenleg elterjedt IPv4-en kvl mr natvan tmogatta a TCP/IP6-os verzijt (IPv6) is. A 128-bites (16-bjtos) cmekkel operl IPv6 protokoll bevezetsre fknt azrt volt szksg, mert a vilgszerte mkd gpek szmnak izmos nvekedse miatt napjainkban egsz egyszeren elkezdtnk kifogyni, st gyakorlatilag kifogytunk a kioszthat IP-cmekbl. Emellett az IPv6 lehetsget adott a TCP/IP-protokollal kapcsolatos nhny technolgiai alapelv jragondolsra is.
5.12 A D UAL
STACK
Az IPv6 jval tgabb cmtartomnyok ltrehozst teszi lehetv, valamint a jelenlegi megoldsoknl knnyebben konfigurlhat, gyorsabb s biztonsgosabb adattvitelt tesz lehetv. A Visttl s a Windows Server 2008-tl kezdve a korbbi kt egymstl teljesen fggetlen protokoll-vermet (tcpip.sys s tcpip6.sys) egy gynevezett Dual IP architektra vltja fel, gy a rendszer az IPv4 s IPv6-os hlzatokat kln-kln, de mgis egyszerre tudja kezelni. Ennek ksznheten a Windows egy idben ktfajta IP-cmmel is rendelkezhet, egy 4-es, illetve egy 6-os verzijval. A Vista Dual IP architektrja egy hlzati vermen bell kezel mindent, gy tovbbra is egy szlltsi rtegre (TCP, UDP) s egy adatkapcsolati rtegre van szksg.
~ 81 ~
Az IPv6-os konfigurcis lehetsgek bvebb ismertetshez hasznljuk a netsh interface ipv6 /? parancsot. 53 Persze, a kliens oldalon a Windows 7 is tartalmazza ezen jdonsgok tmogatst.
52
~ 82 ~
KISZOLGL ALAPSZOLGLTATSOK
5.13 A
Egyszer rezervci konfigurls - kt egrkattintssal Egy specilis eszkz54, a DHCP Server Events Tool, amely a DHCP adminoknak segt, elssorban azoknak az esemnyeknek a nyomon kvetse vlik lehetv ezzel az MMC-vel, amelyek egybknt is jdonsgok az R2-ben. Lnyeges az is, hogy ez az eszkz - egy rendes MMC bvtmnyhez hasonlan kpes tvoli DHCP szerverekhez is kapcsoldni55, illetve tbbhz is, plusz a kpen is lthat bal oldali keretben lv kategrik egy-egy bejegyzse msolhat s szrhet. Nhny j DHCP opci tmogatsa, fkpp IPv6-osok, pl. az Option 15 (User Class), vagy az Option 32 (Information Refresh Time) A DHCP Server szolgltatsfikja is vltozott a LocalService-rl a Network Service-re, gy a veszlyes privilgiumok szma is cskkent. Tovbbi rszleteket rengeteg helyen tallunk a hardening services kulcsszavakra, ami a Vistban kezdd drasztikus rendszerszolgltats vltozsokra utal.
Feltve ha adminok, vagy legalbb a Event Log Readers csoport tagjai vagyunk.
~ 83 ~
5.14 E GY
EXTRA
MMC
Kt szerver oldali vltozst emltenk meg a DNS tmakrben. Elsknt a znk httrben trtn betltse fontos elrelps, ami taln eldnti a fjlban vagy az AD-ban tartsuk a DNS znkat cm vitt is, ti. az elbbi esetben ez az j lehetsg nem ll rendelkezsre. Ha viszont a cmtrban tartjuk a zninkat, akkor a Windows 2008 s az R2 kpes lesz ezeket egy DNS restart utn a httrben, szeparlt szakaszokban, aszinkron mdban betlteni, s gy az eddigiekkel szemben kpes lesz a folyamat kzben is vlaszolni a berkez nvfeloldsi krskre, azaz nem bicsaklik bele egy esetlegesen nagymret zna egyszerre - ezrt aztn lassan trtn - betltsbe se. St, ha olyan krs/regisztrci rkezik, amely egy olyan znra vonatkozik, ami mg nincs a memriban, akkor a kliens haja magasabb prioritst kap, s a DNS szerver kiszolglja a krst. De jelzem jra: ez csak a cmtrban tartott DNS znkra igaz, a fjlban tartott znknl marad a szekvencilis feldolgozs. Egy msik szerveroldali jdonsg a feltteles tovbbtk jszer hasznlata. A DNS MMC-ben, a faszerkezetben a znatpusok kztt egy j mappt lthatunk, Conditional Forwarders nven. Itt kell felvennnk a klnbz tovbbtkat (a megszokott helyen is lehet persze), s a felvtel utn ezeket a jobb oldali keretben lthat listban rgtn lthatjuk is. Ennl taln fontosabb viszont az, hogy AD integrlt zna esetn lehetsgnk van a cmtrban trolni, s ebbl kvetkezen repliklni is a tovbbtkkal kapcsolatos adatokat 56 . A replikci tbbfle szcenriban is mkdhet, azaz minden Rnzsre nem tnik nagy kalandnak, de huszonsok tartomnyvezrl - s DNS szerver - esetn kifejezetten lds (a lektor megjegyzse).
56
~ 84 ~
KISZOLGL ALAPSZOLGLTATSOK
tartomnyvezrl DNS szerverre (amely legalbb Windows Server 2003), vagy pldul minden DC-re a tartomnyban.
5.15 F ELTTELES
TOVBBT
Fontos mg a RODC-k apropjn a read-only DNS opci is, ami gyakorlatilag egy elsdleges tpus zna, nvfeloldsra tkletesen alkalmas, s rekordszinten frisst, ha szksges, de csak fentrl. Mindent replikl (alkalmazspartcik, domainDNSZones, ForestDNSZones, stb.), de a telephelyrl semmikppen nem rhat pldny. Mg egy rdekes jdonsgrl szmolnk be, ez pedig a WINS-hez hasonl (de azt azrt nem teljesen helyettest) megolds, a specilis GlobalNames zna, ami egy AD integrlt zna lesz. Ha egy znt ezzel a nvvel hozunk ltre a DNS-ben, akkor gy lehetnek a statikus, globlis rekordoknak NetBIOS nevei, hogy a WINS-t nem is teleptjk. De vegyk figyelembe, hogy ezzel csak azokat a tipikusan fontos gpeinket (a szervereket) jelljk, amelyek mr rendelkeznek fix IP-cmekkel, teht sz sincs dinamikus regisztrcirl, s sz sincs mretezsrl, fleg egy nagyobb, sszetett hlzatban. 57 Fontos tudni azt is, hogy amg nem engedlyezzk az sszes mrvad DNS szerveren, addig nem hasznlhat ez a zna. Az engedlyezs parancsa:
57
~ 85 ~
5.3 NPAS
Nagy btorsgnak tnhet egy alfejezetben beszlni a Windows Server 2008-ban megjelent Network and Access Policy Server-rl, de mr most jelzem, hogy a legnagyobb s legrobusztusabb rsz, a Network Access Protection (NAP) szerkezetileg ebben a frcmben kiss ksbb jn, ezrt ide, az alapszolgltatsokhoz csak a maradk kerl. Ez se kevs azrt, mivel az NPAS igen komoly mret gyjt lett, mghozz a NAP s a NAP-hoz szksges rszszolgltatsok mellett a komplett RRAS (Routing and Remote Access Services, azaz pl. a VPN s a DUN szerverek + a route-ols), pl. a Network Policy Server (az elrsi s hozzfrsi hzirendek) s a korbbi IAS (Internet Authentication Services, azaz a Microsoft RADIUS teljesen RFC kompatibilis kiszolglja) is ide kerlt.
5.16 M INT
A J BOLTBAN ...
~ 86 ~
KISZOLGL ALAPSZOLGLTATSOK
5.3.1 A Z NPS Haladjunk akkor szpen sorban, kezdjk az NPS-sel, azaz a specilis hzirend kiszolglnkkal (gyakorlatilag semmi kze a Csoporthzirendhez). Tbb fontos szerepe is van ennek a komponensnek, multifunkcisan hasznljuk, minimum hrom clra: 1. RADIUS (Remote Authentication Dial-In User Service) kiszolglknt kzponti hitelestst, engedlyezst s nyilvntartst (accounting) vgez a vezetk nlkli, vezetkes, VPN s DUN kapcsolatok esetben. Ha az NPS-t RADIUS kiszolglknt hasznljuk, akkor a hlzati elrst megvalst kiszolglkat (pldul Access Point-ok, VPN szerverek vagy akr egy Forefront TMG) RADIUS gyflknt konfigurlhatjuk az NPS-ben. Ezenkvl bellthatjuk azokat a hlzati hzirendeket is, amelyeket a hlzati hzirend-kiszolgl a csatlakozsi krelmek engedlyezsre hasznl. 2. RADIUS proxy: Ha az NPS-t RADIUS proxyknt szeretnnk hasznlni, akkor a kapcsolatkrelmek hzirendjn (Connection Request Policy) keresztl kell belltani, hogy az NPS mely kapcsolatkrelmeket (s hova) tovbbtsa ms RADIUS kiszolglknak. Gyakorlatilag egy kztes elemknt mkdik ilyenkor. 3. Network Access Protection (NAP) policy server: ksbb kitrgyaljuk.
5.17 H ITELESTS
~ 87 ~
Ez gy elgg frasztnak tnik, de nzznk meg egy gyakorlati pldt: a feladat az lesz, hogy a szanaszt szrt Access Point-jainkon keresztl belp laptopok RADIUSszal kapcsoldjanak a tartomnyba, meghatrozott felttelek mentn, konkrtan kizrlag a Wireless Users AD csoport tagjai tudjk hasznlni a vezetk nlkli hlzatunkat (persze brmelyik AP-n keresztl a cgnknl) a sajt tartomnyi felhasznlnevkkel s jelszavukkal belpve. Az elfelttelek: - A csatlakoz laptopokat be kell lptetni a tartomnyba - Nmi csoport konfigurlsra is szksg lesz a cmtrban, illetve ha okosan s persze kzpontilag akarjuk megoldani a kliensek belltst, akkor a Csoporthzirendet is hasznlnunk kell - Szksges az AD Certificate Services, az NPS-t igazol tanstvny hasznlathoz, s persze a kliensnek el kell fogadnia hitelesknt ennek a tanstvnynak a kiadjt58 - s persze az NPS-t is telepteni kell (5.16 bra). 1. Ha van mr NPS, akkor indtsuk el, majd a Getting Started oldalon vlasszuk a RADIUS server for 802.1x Wireless or Wired Connection menpontot. 2. A kvetkez panelen rtelemszeren vlasszuk a Secure Wireless Connections pontot!
Ez a tartomnyba tartoz gpek esetn nem lesz problma, ha pldul sajt PKI infrastruktrval rendelkeznk.
58
~ 88 ~
KISZOLGL ALAPSZOLGLTATSOK
5.18
BRA
M INT
3. Ezutn adjuk meg a RADIUS klienseinket, amelyek jelen esetben az AP-k lesznek, mivel ezeken keresztl csatlakoznak a laptopok majd a hlzathoz. DNS nv vagy IP cm kell, ha tbb is van, akkor ksbb mindet vegyk fel! Persze ezeket az APkat is konfigurlni kell majd, hiszen tudniuk kell, hogy ki az r, azaz ki a RADIUS szerver a hlzatban, s azt is, hogy mi a megosztott jelsz.
~ 89 ~
5.19
BRA
K T AP- M
IS VAN
4. Most jn a hitelestsi metdus, tipikusan ebben az esetben a PEAP-ot (Protected EAP) fogjuk vlasztani, br lehetne pl. a smartcard is egy opci, ha rendelkeznk ilyen infrastruktrval. Viszont brmit is vlasztunk konfigurlni kell, pldul a PEAP-nl az NPS szerver tanstvnyt kell megadni, az EAP tpust, illetve vlaszthatunk olyan lehetsgeket, mint az Enable Fast Reconnect. 5. Most jn azon felhasznlk kivlasztsa, akik ilyetn mdon kapcsoldhatnak, tipikusan csoportok formjban tesszk meg ezt, pl. Wireless Users. De az is elkpzelhet, hogy gpeket vagy gpcsoportokat szeretnnk itt megadni mint a hitelests alanyait, gy adott esetben a Domain Computers csoportot. 6. Itt akr vge is lehetne a mulatsgnak, de ha hajtjuk, akkor tovbb szrhetnk, de csak akkor, ha az AP-k tmogatjk az adott RADIUS attribtum hasznlatt, pl. a kpen a Home status a Filter-Id attribtumon keresztl majd a Domain Users lesz. 7. Ezutn jn a szumma kperny, s az NPS konfigurlssal kszen is vagyunk.
~ 90 ~
KISZOLGL ALAPSZOLGLTATSOK
5.20
BRA
T OVBBI
AP
MEGKTHETI A KEZNKE T
Persze a teljes folyamathoz mg hozztartozik a kliens opercis rendszer WLAN kapcsolatnak belltsa (amihez pldul a Csoporthzirendet kivlan alkalmazhatjuk) Vista s Windows 7 esetn. Illetve feladat mg az AP-k megfelel konfigurlsa is, de mi most csak a szerver oldallal foglakoztunk egy tipikus esetet figyelembe vve. 5.3.2 A Z RRAS Ha visszanznk az 5.16-os brra, akkor a kvetkez kt komponens a mr jl ismert RRAS-hoz tartozik. Igazbl az itt is megjelen IPv6 kompatibilitson kvl az RRAS-ban sok jdonsg nincs, azrt a kt59 j VPN tpusrl azrt emlkezznk meg. Secure Socket Tunneling Protocol (SSTP) Sokan lesznek, akik azt mondjk majd, miutn bezemeltk ezt a szolgltatst: - Na vgre! Ezzel nem a mvelet hosszsgra, hanem inkbb e komponens szksgessgre gondoltunk. Mert az SSTP olyan lehetsg, ami jl beleillik abba a tendenciba, amely alapjn ez szemlyes vlemny - pr generci mlva csak a HTTP/S protokollokat kell majd kinyitni a tzfalakban. Na de leplezzk le vgre: az Egy, azaz az els rkezett a Windows Server 2008-ban, s a kvetkez pedig az R2-ben.
59
~ 91 ~
5.21
BRA
S ZOKVNYOS SSL
IP
S A
TCP
HEADER TITKOSTATLAN )
Legalbb hrom f rvet tudunk felsorakoztatni a VPN over HTTPS (illetve inkbb az SSL VPN elnevezs a hivatalos) mellett a hagyomnyos tpusokkal szemben: - A specilis VPN portokat nem tudjuk, nem lehetsges minden krlmnyek kztt hasznlni, egyszeren egy sereg helyen (pl. szllodkban, publikus helyeken vagy ms cgek hlzatban) tiltjk. - Brmelyik hagyomnyos VPN tpust nzzk, a tunnelt a legtbb esetben t kell vezetni egy NAT szerveren. Ez van mikor kisebb, van viszont, hogy nagyobb (L2TP) problmt is okozhat. - A VPN kapcsolatok tipikusan egy vgpont egy csompont tpusak. Ha a kt helyszn LAN IP tartomnya megegyezik, s kzttk NAT-ot alkalmazunk, akkor szintn konfliktus lehet. Persze, az utbbi kt problmra lteznek ajnlott s mkd megoldsok, de knnyen belthatjuk, hogy egyetlen portot kinyitva, a NAT s ms hlzati nehzsgek nlkl egyszerbb lenne mkdtetni egy VPN infrastruktrt. Az SSTP viszont egy az alkalmazsi rtegben mkd protokoll, tipikusan kt program kztti kommunikcira felksztve, viszont egy hlzati kapcsolaton bell akr tbbre is (gyakorlatilag a teljes hlzatban), ergo jobban kpes kihasznlni a svszlessget. Az SSTP ugyanazon SSL httrre tmaszkodik, mint pl. az L2TP/IPSec (egyms mellet mindhrom tpus jl elfr) s ugyangy a TCP 443-as portot hasznlja, de tudnunk kell, hogy gy, ahogy az L2TP IPSec nlkl, az SSTP SSL nlkl sem ms, mint egy kicsit klnlegesebb tunneling protokoll. Htrnya kz tartozik mg az is, hogy a Site-to-Site kapcsolatokban nem vehetjk majd hasznt. Mieltt azonban lernnk vgleg, egy-kt tovbbi pozitv tulajdonsgt is tekintsk t: - Nincs szksg kln kliensre, s nincs szksg pldul extra IP cmekre.
~ 92 ~
KISZOLGL ALAPSZOLGLTATSOK
Teljesen transzparens a felhasznl szmra, s nem kell specilis tvlasztst illetve metrikt sem hasznlnunk. Nem szmtanak akadlynak a kapcsolat kt pontja kztt mkd routerek, tzfalak, web proxy-k s NAT szerverek. Nem fgg a kapcsolat olyan extra protokolloktl, mint a PPTP GRE vagy az L2TP ESP. Kompatibilis az IPv6-tal, a NAP-pal, az RRAS-sal, akr a multifaktoros azonostssal is. Az alkalmazsi rtegbeli mkds miatt majd igazn knyelmesen szrhetjk a forgalmat egy olyan tzfallal, amely erre kpes (pl. ISA Server 2004/2006 , Forefront TMG), persze ehhez a specilis, n. SSL Bridging mdszerrel kell majd kipubliklnunk.
5.22
BRA
AZ
EGYETLEN
R2- ES
Az SSTP-t teht a Windows Server 2008 mr tartalmazza (kliens oldalon viszont elszr a Vista SP1-ben hasznlhattuk), de alaprtelmezs szerint nincs lestve. Igazbl nem kell semmi extrra gondolnunk, az RRAS-ban a szoksos mdon sszehozunk egy VPN szervert, belltjuk a portok szmt (alaprtelmezs szerint 128 van), az NPS-ben lehetsget adunk a VPN trcszs jogra (Connections to
~ 93 ~
~ 94 ~
KISZOLGL ALAPSZOLGLTATSOK
Nhny tovbbi jellemz s elny, most mr csak egy felsorols formjban: - Az IKEv2 egy IPSec tunnel mdra pl megolds - Az IKEv2 Mobility and Multihoming Protocol (MOBIKE) hasznlatval varilja a VPN kapcsolat felhasznl oldali vgpontjt Dormant md: szakads esetn vr s vr, mindaddig vr, mg jra lesz kapcsolat az RRAS-sal - Gyorsabban mkdik s gyorsabban visszall mint a tbbi tpus - Kpes IPv4-rl IPv6-ra vltani s vissza - Az automatikus NAT-T lehetsg is rendelkezsre ll - NAP kompatibilis - SSTP fall-back, azaz ha valamirt nem sikerl IKEv2 kapcsolatot ltesteni, akkor automatikusan az SSTP-vel prblkozik
5.23
BRA
A W INDOWS 7- BEN
MR
4 VPN
62
~ 95 ~
5.24
63 64
BRA
S OK - SOK
NVEKMNYES MENTS
Ez utbbi lehet termszetesen egy smartcard-on is. Persze nagyvllalati krnyezetben a System Center Data Protection Manager az ajnlott megolds.
~ 96 ~
KISZOLGL ALAPSZOLGLTATSOK
A Windows Server Backup egy MMC bepl modulbl, a parancssori eszkzkbl s Windows PowerShell cmdlet-ekbl ll. A Windows Server biztonsgi msolattal a teljes kiszolglrl, az sszes ktetrl, adott ktetekrl, a rendszerllapotrl, illetve konkrt fjlokrl vagy mappkrl is kszthetnk biztonsgi mentst, helyben vagy tvoli mdban, illetve temezve is. Valamint az opercis rendszer nlkli helyrelltsra (rtsd > krach) alkalmas biztonsgi msolat is kszthet, csont nlkl. A biztonsgi ments segtsgvel ktetek, mappk, fjlok, bizonyos alkalmazsok s a rendszerllapot llthat helyre. A merevlemez meghibsodsa vagy egyb katasztrfa esetn pedig vgrehajthat az opercis rendszer nlkli helyrellts. (Ehhez a teljes kiszolglrl vagy az opercis rendszer fjljait tartalmaz ktetekrl kszlt biztonsgi msolat, illetve a Windows helyrelltsi krnyezet szksges - ez lltja helyre a teljes rendszert a rgi rendszerre vagy egy teljesen j diszkre). Javaslom, hogy menjnk is vgig a folyamaton, azaz egy jabb kpes beszmol kvetkezik, helyi s teljes mentssel, dediklt lemezre, s egybl rgtn temezve.
5.25
BRA
T ELJES
~ 97 ~
5.26
BRA I DZTSNK , HETI KETT NAP NINCS , DE MAJD KSBB TRKK ZNK
~ 98 ~
KISZOLGL ALAPSZOLGLTATSOK
5.27
BRA A CLPONT EGY DEDIKLT LEMEZ , EGY KTET , VAGY EGY HLZATI MEGOSZTS LEHET , SZALAG
NEM
5.28
BRA
W INDOWS
~ 99 ~
5.29
BRA
Feltnt, hogy a varzsl nem krdezett r arra, hogy teljes vagy nvekmnyes, vagy klnbsgi legyen? Nem ht, mert nem szksges. A teljes s nvekmnyes biztonsgi msolatokat automatikusan kezeli a Windows Backup, azaz egy teljes biztonsgi msolatknt viselked nvekmnyes biztonsgi msolatot hoz ltre. Ez azzal jr, hogy az eseti biztonsgi msolatok tetszleges eleme helyrellthat lesz majd, de a ments csupn a nvekmnyes biztonsgi msolathoz szksges helyet foglalja el. St, nem kell kzzel trlgetnnk sem, a rendelkezsre ll hely fggvnyben a rgebbi biztonsgi msolatok automatikusan trldnek. Magyarul, teljesen magra hagyhatod a mentst, s ha nagy a diszk, akkor nagyon sokig knyelmes helyzetben vagy. Nos, ezutn formzza a dediklt lemezt, s ksz is. Csinljunk most egy az idztstl eltr pldnyt, ergo vlasszuk a Backup Once opcit az Action pane keretbl.
~ 100 ~
KISZOLGL ALAPSZOLGLTATSOK
5.30
BRA
N YOMHATUNK
5.31
BRA J UST DO IT !
~ 101 ~
s most az trtnt, amitl a legjobban tartunk, feladta a szerver hardver (de a backup diszk nem ), de mr beszereztk az j HDD-ket, s vissza fogunk lltani mindent. A visszallts viszonylag egyszer lesz65, el kell indtanunk a telept DVD-t, majd mg a telepts eltt, a Repair your Computer opcit vlasztva a Windows Recovery Environment zemmdban, automatikusan megtallva a helyi mentst, vagy tallzva a hlzatot visszallthatjuk a szervernket csont nlkl.
5.32
BRA
A R EPAIR
Ehhez persze a teljes szerverrl vagy az opercis rendszer fjljait tartalmaz ktetekrl kszlt ments szksges mindig, s ha okosan csinltuk, s egy dediklt lemezen van mindez, akkor valsznleg nagyon gyors is lesz.
65
~ 102 ~
KISZOLGL ALAPSZOLGLTATSOK
5.33
BRA
K ICSIT
5.34
BRA
M EG
~ 103 ~
5.35
BRA
L EGYEN
FORMZS ?
A KARUNK
DRIVEREKET P TOLNI ?
A KARUNK
ELLENRZST
(A DVANCED )?
5.36
BRA
L ESZ ,
AMI LESZ
~ 104 ~
KISZOLGL ALAPSZOLGLTATSOK
5.37
BRA
A CSKNAK DRUKKOLO K
5.38
BRA
S RN
~ 105 ~
5.39
BRA
N AGYON
~ 106 ~
KISZOLGL ALAPSZOLGLTATSOK
5.40
BRA
M INDEN
5.41
BRA
E GY
~ 107 ~
5.42
Nos, itt lljunk meg egy kicsit! A parancs gy nz ki jelen esetben: wbadmin start backup -backupTarget:F: -include:E: -allCritical -quiet start backup: a wbadmin.exe indtsa backupTarget: a clhely, jelen esetben kivtelesen egy msik ktet, az F: include: milyen egyb kteteket vegyen bele a mentsbe, pl. most az E:-t allCritical: ezzel azt jelezzk, hogy legyen System State s System volume ments is, teht a teljes diszk nlkli visszallts is quiet: a httrben, mindenfle megjelens nlkl fusson
~ 108 ~
KISZOLGL ALAPSZOLGLTATSOK
5.43
Ha ezzel megvagyunk, a Task Scheduler Library alatt egy j feladatunk szletett, s teszi a dolgt szpen. Mg kt dologrl beszlni szeretnk a Windows Server Backup apropjn, spedig a Hyper-V s az Exchange Server mentsrl. Mindkett kicsit szegny ember vzzel fz megolds, teht neknk kell kicsit piszklni manulisan a rendszert, de mkdik. A Hyper-V esetn egy registry kulcsot kell hozzadnunk ahhoz, hogy a Windows Backup VSS alap virtulis gp mentst is tudjon. Ez az a kulcs, amelyet ltre kell hoznunk (figyeljnk oda, mr a WindowsServerBackup sincs felvve): HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT \CurrentVersion\WindowsServerBackup\Application Support\{66841CD46DED-4F4B-8F17-FD23F8DDC3DE} Ha ez megvan, akkor hozzunk ltre ez al egy String Value-t: Name: Application Identifier Type: REG_SZ Value: Hyper-V
~ 109 ~
Ha ez megvan, akkor mentsk le a Hyper-V gpek llomnyait (mindet) tartalmaz egsz ktetet, majd nzzk meg, hogy ezutn, a visszalltst megprblva, az Applications tpus alatt ltjuk-e a Hyper-V gpeket!
5.44
BRA
~ 110 ~
KISZOLGL ALAPSZOLGLTATSOK
5.45
BRA
GY
H YPER -V
VIRTULIS GPEI IS
Sajnos kt-hrom korltunk is van e tma kapcsn 66 , az egyik, hogy a Microsoft tmogats a dinamikus lemezekkel rendelkez guest gpek esetn csak az offline llapot mentsre vonatkozik, a msik pedig az, hogy VSS-t nem tmogat OS-ek (Windows 2000, XP), illetve a Integration Services nlkli gpek (lsd: 9. fejezet) az effajta ments kzben saved state llapotba kerlnek. No s persze a virtulis gpeket egyesvel nem tudjuk visszalltani, csak az egsz ktetet, szval azrt ez kzel sem tkletes megolds. Az olvas a saved state miatt shutdown-ra gondolhat, pedig nem ez trtnik. A saved state sorn a virtulis CPU megll, a regisztereit a rendszer elmenti, a virtulis gp memriatartalmt pedig a gp a merevlemezre menti. Ezutn megtrtnik a ments, majd a ments utn a futsi llapot helyrell. A virtulis gp opercis rendszere azt rzkeli, hogy ugrs trtnik az idben pont mint a Mtrix-ban (A lektor megjegyzse)
A Windows 8 Server Developer Preview vltozatban ez az egsz mahinci nem szksges, a Hyper-V 3.0 gpeit egybl s kln-kln ltja a Windows Backup.
66
~ 111 ~
5.46
BRA
E XCHANGE S TORE - OK
VISSZLLT S LEHETSGE
Nos ezzel az hossz-hossz 5. fejezet vget rt, sok-sok apr s nhny nagyobb vltozst ttekintettnk, most viszont jjjenek az igazn nagyok.
67
http://technet.microsoft.com/en-us/library/dd876854.aspx
~ 112 ~
AD*
6 AD*
A cmtrszolgltatssal kapcsolatos vltozsok s fejlesztsek minden j Windows kiszolgl esetn a fkuszba kerlnek. Nyilvn nem vletlenl, hiszen a cmtr hierarchia rugalmassga s alkalmazhatsga miatt a tz s a tzezer gpet tartalmaz hlzatok esetn egyarnt jl hasznlhat az Active Directory, mgpedig a minden szervezet szmra legfontosabb clra: a felhasznlk, a szmtgpek s egyb erforrsok trolsra s kezelsre. Persze, emellett a biztonsgi ertr megteremtse s egyb fontos kiszolgl alkalmazsok, megoldsok (Exchange, Csoporthzirend, stb.) mkdsnek tmogatsa is kritikus feladat. De elszr az elnevezsek vltozsairl s a Microsoft csaldteremt szndkrl kell beszlnnk. Ugyanis az Active Directory egy gyjtnv lett, s tbb eddig klssknt nyilvntartott szerepkr is megkapta ezt az eltagot. - Active Directory Domain Services o Az eddigi, szimpla Active Directory helyett - Active Directory Lightweight Directory Services o Az ADAM, azaz az AD Application Services helyett, lsd mini cmtr - Active Directory Certificate Services o A loklis PKI infrastruktra megteremtje - Active Directory Federation Services o Azonosts kezel, tipikusan a http/s alap kliensek extranetes erforrs elrshez - Active Directory Rights Management Services o Kzponti szablyzs, informcivdelmi megolds Itt s most mi szinte csak az els ttellel, azaz a cmtrszolgltatsokkal foglalkozunk, de a Windows Server 2008 s az R2 olyan rengeteg jdonsgot hozott ezen az egy tren is, hogy muszj minimum kett s aztn mg tovbb szabdalni ezt a nagy-nagy fejezetet, gy aztn elszr kezdjk a rgivel, azaz a Windows Server 2008-cal!
6.1 A Z
ELS SZAKASZ : A
6.1.1 R E A D -O N L Y T A R TO M N Y V EZ RL K (RODC) Anno megdbbent volt, hogy a Microsoft egy teljesen j tartomnyvezrl tpussal rukkol el, de mra mr megszoktuk s szeretjk, mr csak azrt is, mert valban elmondhat, hogy tnylegesen vals ignyek hoztk ltre ezt a tpust. Egy mondatban sszefoglalva, a RODC egy olyan DC, amely tartalmazza a cmtr egy pldnyt, azaz kpes az sszes tartomnyvezrl feladat elltsra, de a cmtr tartalma nem vltoztathat meg helyben. Mirt elnys ez?
~ 113 ~
~ 114 ~
AD*
6.1
BRA
L EHET
ILYET IS
Folytassuk a RODC megismerst a megoldand technikai problmkkal, hiszen mivel teljesen j szerepkrrl van sz, a garantlt mkdshez szksg volt az ismert cmtr s cmtr tmogat megoldsok alapos s mlyrehat korrekcijra. A Read-Only cmtr adatbzis s a replikci A RODC alatt mkd cmtr adatbzis pldnynak teljesen ugyangy kell kinznie, mint egy hagyomnyos DC-nl (a jelszavakat kivve, de errl majd ksbb), mert klnben hogyan megy le a replikci, azaz hogyan lesz kompatibilis? Viszont vltozsokat nem trolhat el, s nem is repliklhat, azokat sem, amelyek esetleg szksgesek. gy aztn az sszes vltozsi krelemnek el kell jutni valahogyan egy rhat DC-ig, hogy aztn a hagyomnyos replikcival visszakerlhessen (ha akarjuk) a RODC cmtr pldnyba. Ez az a plusz kr, amely kizrja a korbbi telephelyi, sima DC esetn egyszeren bevihet, s esetlegesen az egsz erdt negatvan rint adatbzis vltozsokat. Persze pldul a telephelyi alkalmazsok tovbbra is kaphatnak egyszeren hozzfrst a cmtr helyi pldnyhoz, de csak olvassi joggal. Ha ennl tbbre van szksg, akkor pl. LDAP-on keresztl tovbbkerl a krs automatikusan a hub site (a kzponti telephely, vagy ahol egy rhat DC van) fel. Az n. unidirectional replikci kvetkezmnye az a vltozs is, hogy az rhat DC-k a replikcis folyamatban felismerik, hogy a partnerk egy ReadOnly szerepkrt tartalmaz, s ebben az esetben nem is kezdemnyezik a pull tpust, hiszen nem is jnne, nem is jhetne semmilyen vltozs a RODC
~ 115 ~
~ 116 ~
AD*
fikjnak nyomt, ergo ha megtallja, akkor automatikusan nem kldi tovbb a kzponti DC fel a krst, hanem a helyben letrolt adatokkal gyorsan s problmamentesen megoldja a hitelestst.
6.2
BRA
A Z A LLOW
A Password Replication Policy feltltse abszolt a mi dntsnk, mrlegelnnk kell teht, hogy mely fikok vagy csoportok azok, amelyek hitelestsi adatai lekerlhetnek a RODC-re. Ha minden a telephelyen hasznlt fikot engedlyeznk (s esetleg a tartomnyi admin fikokat is!), mindig gyors lesz a belps, viszont ha eltulajdontjk a gpet, hozzfrhetek a jelszavak, ugyangy, mint egy hagyomnyos DC esetn. Ha csak nhny szimpla felhasznli fikot engedlyeznk, akkor tbb id megy el ms fikok esetn a belpsre, viszont nincs komoly biztonsgi problma. Az admin jogok sztvlasztsa Mint ahogyan mr emltettem, a RODC-n szksges s fontos is egy helyi magas szint jogosultsg biztostsa, ami nagyjbl a loklis admin jogkrrel egyenl anlkl, hogy a cmtr objektumaira brmilyen befolysa lenne az ebbe a csoportba tartoz felhasznlknak. Egy ilyen fik csak egy tartomnyi fik lehet (clszeren az
~ 117 ~
6.3
BRA
A RODC
Ez egy igazn praktikus lehetsg, mivel gy tnyleg adhatunk gy az alkalmazsok s a hardver terletn admin jogot, hogy a cmtrat egy pillanatig sem veszlyeztetjk. Read-Only DNS Ha DC, akkor DNS szerver is. Ezt a ttelt a RODC esetn is tudjuk rvnyesteni. A RODC DNS szerver teljes rtk, pl. kpes az sszes a DNS ltal hasznlt alkalmazspartcik repliklsra (pl. a ForestDNSZones, DomainDNSZones) vagy a kliensek maradktalan nvfeloldsi krseinek kiszolglsra. De a RODC jellegbl addan minden mvelet nem trtnhet meg. Melyek ezek? Nos, ide tartozik pl. a kliensek automatikus regisztrcija a DDNS segtsgvel, vagy sajt maga felvtele pl. egy AD integrlt znba, egy NS rekord al. gy aztn, ha egy kliens gp sajt rekordja frisstst vgezn el, akkor a RODC DNS kzli vele, hogy mely DNS szerveren teheti ezt meg, merthogy helyben sz sem lehet rla. Kzben azrt a - httrben - megksrli a megfelel DNS szerverrl lehzni a kliensre vonatkoz vltozst azrt hogy a kvetkez pillanatban mr ki tudja szolglni
~ 118 ~
AD*
egy msik krs sorn ezt a nevet/cmet. Fontos az is, hogy szerencsre ez a replikci csak az adott DNS rekordra vonatkozik, nem kell ezrt teht egy egsz znt lehzni a folyamat sorn. A RODC bevezetsnek felttelei Nem kevs slyos elem van ebben a listban, de taln az eddigiek alapjn ltszik, hogy valban mlyen bele kellett nylni a cmtr mkdsbe a RODC-k bevezetse miatt: - Legalbb egy darab rhat Windows Server 2008 DC-nek lennie kell a tartomnyban. Ez elssorban a replikcis partnersghez szksges. - Az a DC, amelyhez a RODC a hitelestsi krseket intzi majd, csak minimum egy Windows Server 2008 Server lehet, ti. a Password Replication Policy csak az j szerverrel kpes mkdni, illetve felismerni, hogy egy olyan specilis krsrl van sz, amelyet egy RODC adott ki. - A tartomny mkdsi szintje legalbb Windows Server 2003 kell hogy legyen azrt, hogy elrhetv (azaz inkbb kiknyszerthetv) vljon a biztonsgos Kerberos delegls. - Az erd mkdsi szintje tekintetben is ktelez a minimum Windows Server 2003-as szint, az n. linked-value replikci hasznlata miatt, amely nagyobb replikcis megbzhatsgot nyjt, illetve lehetv teszi, hogy ne az adott elemet tartalmaz egsz tmb replikldjon, hanem csak a tnylegesen megvltozott elem. - A Password Replication Policy hasznlatnak alapfelttele a smabvts (lsd ksbb). - Hasznlnunk kell az Adprep /rodcprep parancsot az erd szintjn, ami azrt szksges, hogy frisstsk az erd sszes DNS alkalmazspartcijt, hogy aztn az sszes RODC DNS szerver kpes legyen (immr a megfelel jogosultsggal) repliklni ezeket a rekordokat.
~ 119 ~
6.4
BRA
E GY
A RODC eltvoltsa Ebben a tmakrben is van nmi praktikus vltozs, azaz a RODC trlsekor kapunk segtsget ahhoz, hogy gyorsan orvosoljuk az eltulajdonts vagy valamely drasztikus vltozs okozta krokat. Egy ilyen esetben a trls eltt (a kvetkez brn jl lthat mdon) RODC ltal is trolt hitelestsi adatokat lenullzhatjuk.
6.5
BRA
E GY
~ 120 ~
AD*
6.1.2 A Z J RA I N D T H A T C M T RS ZO L G L T A T S A Windows Server 2008-tl kezdve a tartomnyvezrlkn a cmtr jraindthat. De mirt? s hogyan? Elssorban azrt, hogy ne kelljen jraindtani a gpet bizonyos esetekben, pldul a cmtrt rint frisstsek vagy ppen az AD karbantartsa (pl. offline defrag) apropjn68. Meg aztn amg tart az jraindts - ami ltalban, szinte fggetlenl a gp teljestmnytl rengeteg id -, ne essenek ki egyb, a tartomnyvezrln fut kritikus szolgltatsok, pl. a DHCP szerver csont nlkl mkdik majd tovbb. A cmtr szervizek lelltsa s jraindtsa brmelyik j tartomnyvezrln lehetsges, s nincs semmilyen egyb megkts sem, azaz az eddigi ltalnos helyzettel szemben sz sincs pldul arrl, hogy ez a lehetsg funkcionalitsi szint fgg lenne. Az jraindtsi opci minimlis vltozst hoz a kezelsben, s nincsenek extra opcik sem ezzel kapcsolatban, azaz tnyleg csak annyirl van sz, hogy a DCken lv Services MMC-ben megjelenik a listban az Active Directory Domain Services nev szerviz, amit a szoksos mdon lehet kezelni. Az AD ily mdon lelltott llapotra egy kln, fantzia nlkli kifejezs van, gy hvjk: "AD DS Stopped" zemmd. Igazbl taln inkbb az az rdekes, hogy ilyenkor mi trtnik a szerverrel a tartomnyban! Vagy jra lehet hasznlni a helyi felhasznl adatbzist? Na azt azrt nem . Tag marad erre az idre egyltaln a tartomnyban? Vagy tagkiszolgl? Vagy egyik sem? Nos, ha egyedl van a tartomnyban, akkor azt gondolom, logikus, hogy egyik sem. Viszont ha tbb DC is van, akkor a tartomnyi tagsga l, s tagkiszolglknt dolgozik addig is, amg jra DC nem lesz. gy teht pldul az interaktv vagy a hlzaton keresztli bejelentkezs lehetsge ebben az esetben is adott. Valamennyire akkor is igaz ez, ha nincs elrhet msik DC, mert ekkor a helyi belpshez a Directory Services Restore Mode jelszt kell hasznlnunk69. Sokig persze nem clszer azrt gy hagyni a gpet, hiszen a belptets vagy a replikci termszetesen nem mkdik, az adatbzis (Ntds.dit) offline, s a szerviz lelltsa rtelemszeren magval hz a sttsgbe ms szolgltatsokat is (DNS, KDC, FRS, stb.).
De pldul nem egy System State ments visszalltsra, ez a Microsoft ltal egyltaln nem javasolt s tmogatott megolds. 69 Tudjuk, ez az amit a teleptskor megadunk, aztn szpen elfelejtjk, hogy aztn ebbl risi gond legyen ksbb, mondjuk egy cmtr adatbzis visszalltskor .
68
~ 121 ~
6.6
BRA
C SAK
6.1.3 T B B T A R TO M N Y I J EL S Z - S K I Z R S I H ZI RE N D Volt egy igazn komoly problmnk a Windows Server 2008 eltti idkben, ti. egy Windows Server 2003 tartomnyban semmilyen megoldst nem tallhatunk az egy tartomny = egy jelszhzirend ttel kikerlsre. Ha valamilyen nyomatkos okbl mgis muszj egy j jelszhzirendet definilni, akkor csak egyet lehet javasolni: egy j tartomnyt kell ltrehozni, ami persze nem tkletes megolds, taln tbb is a htrnya, mint az elnye. De megsznt ez a korlt, egy teljesen j mdszerrel (FineGrained Password Policy) krelhatunk azonos tartomnyban tbb jelszhzirendet is, st az j hzirend kiterjed a fik kizrsi (account lockout) opcikra is. Mirt fontos a tbb tartomnyi jelszhzirend? Nos, ez elgg rtelemszer, hiszen mivel a felhasznli fikok slya nem azonos, a magas jogosultsg fikokat jobban kell(ene) vdennk, ersebb jelszavakat lenne clszer megkvetelnnk azrt, hogy az emberi tnyez (hanyagsg, felletessg, feleltlensg) ltal okozott problmkat megelzzk. Emellett a norml felhasznli fikok jelszavval kapcsolatban nem minden esetben szksges kkemny restrikcikat alkalmazni, nem indokolt az tlagos felhasznlkat knozni az extra jelsz megadsi kritriumokkal.
~ 122 ~
AD*
Egy alternatv jelsz- s kizrsi hzirend ltrehozsnak lpsei hrom pontban foglalhatak ssze: 1. Ksztsk el a megfelel csoportot, s mozgassuk t a megfelel fikokat! 2. Ksztsk el az j PSO-t (Password Settings Objects), azaz az j jelszhzirendet! 3. Rendeljk hozz a PSO-t az adott csoport(ok)hoz, vagy akr egyesvel a felhasznli fik(ok)hoz! Ebbl mr kiderlhetett, hogy az j jelszhzirendeket csak fikokhoz vagy globlis biztonsgi csoportokhoz rendelhetjk. Mi lesz az OU-kkal? Nos, sajnos kzvetlenl nem rendelhet hozz egy PSO egy OU-hoz, ha maradunk ennl a hierarchinl, akkor muszj legyrtani az rnyk biztonsgi csoportokat. Ez kiss bonyoltja taln a folyamatot, de gondoljunk bele, mennyi csoportunk van viszont mr kszen, gyrilag ltrehozva (Domain Admins, Enterprise Admins, Schema Admins, Server Operators, Backup Operators, stb.)! A PSO-k ltrehozsa egybknt ktfle mdon trtnhet, ADSI Edit-tel (immr beptve: adsiedit.msc) vagy ldifde-vel. Az els mdszer els lpse a kvetkez tvonalon egy j objektum ltrehozsa itt: <domain_name>,CN=System,CN=Password Settings, CN=Password Settings Container
6.7
BRA
E GY PSO
NEM
PSO
Az ezutn kvetkez, tznl is tbb lpst tartalmaz varzsl belltsai kztt rismerhetnk a szoksos jelsz- illetve kizrsi hzirend opcikra. Idnknt kiss
~ 123 ~
6.8 E GY
KSZ
PSO
UTLAGOS KONFIGURCI JA AZ
ADUC- BL
Itt jegyeznm meg, hogy a hivatalos mdszer elgg fraszt, de sajnos az R2ben sem vltozott meg. Valsznleg pp ezrt szlettek olyan kls programok, amelyeket a Microsoft nem tmogat(hat), viszont kivlan s nagyon egyszeren mkdnek. Egyet be is linkelek: Fine Grain Password Policy Tool 1.0: http://itbloggen.se/cs/blogs/chrisse/archive/2009/01/11/fine-grainpassword-policy-tool-1-0-2300-0-rtm.aspx E rsz vgn jn a feketeleves, azaz a kritriumok s tovbbi megjegyzsek:
~ 124 ~
AD*
Elszr is az egsz folyamat csak akkor indthat el, ha az adott tartomny funkcionalitsi szintje minimum Windows Server 2008, s megtrtnt a smabvts is (kt teljesen j osztllyal kell kibvteni a smt). Ez ugye csak akkor rhet el, ha mr likvidltuk az sszes Windows 2000/2003 Server DCt. Csak a Domain Admins csoport tagjai kszthetnek s alkalmazhatnak PSOkat a fikokra vagy a csoportokra. Olvassi jogot szabadon deleglhatunk a PSO-ra, de egy viszonylag letszer pldt emltve, egy helpdesk-es kollga nem fogja tudni megvltozatni a jelszhzirendet (van, hogy ez j hrnek szmt ). Szmtgp fikokra semmilyen krlmnyek kztt nem alkalmazhatak az j jelsz- s kizrsi hzirendek. A testreszabott jelsz filterekkel mr szerencssebbek vagyunk, mert minden tovbbi kvetkezmny nlkl hasznlhatjuk ezeket tovbbra is.
6.1.4 D A TAB A S E M O U N TI N G T O O L Ismt egy teljesen j megoldsrl van sz, amely tmren abban segti az zemeltetket, hogy egyszeren azonostsuk azokat a cmtr objektumokat, amelyeket gy vagy gy, de trltnk vagy ppen megvltoztattunk. Visszalltani ugyan nem fogjuk tudni ezzel a mdszerrel 70 , de mieltt nekiesnnk a tnyleges visszalltsnak, gyorsan ttekinthetjk, hogy mit kell s mit lehet majd visszahozni. A legfontosabb viszont, hogy ezeket a pillanatfelvteleket vagy mentsi pldnyokat anlkl tudjuk megtekinteni, hogy a specilis AD Restore Mode miatt jra kellene indtani a gpet. A megvalsts lpsei ignyelnek nmi szakrtelmet s rszben parancssorbl trtnnek: 1. Indtsuk az Ntdsutil.exe-t s hasznljuk az j snapshot parancsot, amellyel kszthetnk egy mentst az AD-rl, majd ezt fel is csatolhatjuk a fjlrendszerbe. 2. Egy msik parancssori eszkz jn, a Dsamain.exe (Exchange rksg :D71), amivel az adott pldnyt LDAP szerverknt tudjuk futtatni. A szintaxisra vigyzzunk, s persze arra is, hogy a ktelezen mellkelend 4 port (LDAP, LDAP-SSL, GC, GC-SSL) mindegyike eltr legyen a szoksostl, azaz brmi lehet, csak ne a szabvny, hiszen a mkd AD pont ezeket hasznlja ppen most is.
De nemsokra azzal a mdszerrel is megismerkednk . A dsamain.exe az Exchange 5.5 rendszer Directory Service nven fut alkalmazsa volt, mely tulajdonkppen az Active Directory snek tekinthet. Itt tanulta meg az MS, hogyan kell multimaster replikcij JET adatbzisokat hatkonyan kezelni (a lektor megjegyzse)
70 71
~ 125 ~
6.9 E GY
5. Ha vgeztnk, a Dsamain.exe ablakban lltsuk le az AD mentett pldnyt a CTRL+C-vel! 6. Az ntdsutil-t gy is konfigurlhatjuk, hogy rendszeres idkznknt megtegye az automatikus pillanatfelvtel ksztst, gy aztn valban brmikor belenzhetnk majd a rgebbi pldnyokba is.
~ 126 ~
AD*
6.10 K T AD
PLDNY EGYSZERRE EL RHET AZ LDP . EXE - VEL , S LTSZIK A KLNBSG IS , MIVEL A PILLANATFELVTEL KSZTSE UTN TNEVEZTEM AZ EGYIK CSOPORTOT
Egyetlen fontos dolog maradt mg ezzel az jdonsggal kapcsolatban, amire nagyon oda kell figyelnnk, s ez pedig a biztonsg. Alapesetben csak a Domain / Enterprise Admin csoport tagjai tekinthetik meg a pillanatfelvteleket, de sajna brmelyik erdbl! Azaz ha valaki tmsolja a fjlrendszerbl a pillanatfelvtelt egy msik erdbe, ahol trtnetesen Domain Admin, akkor minden tovbbi nlkl belenzhet a mi cmtrunkba. Ezrt ezen pldnyok biztonsgrl felttlenl rdemes valamilyen egyb mdszerrel kln is gondoskodni.
6.2 A
MSODIK SZAKASZ : AZ
R2
Nem fogyott el a munci az R2-re sem, jabb s jabb ltvnyos s kevsb ltvnyos, de praktikus megoldsokat kaptunk a keznkbe a cmtr szolgltatsok terletn. 6.2.1 A Z O FFL I N E D O M AI N J O I N Kzdttl mr ADS-sel, WDS-sel, Ghost-tal, newsid-dal, sysprep-pel (a lista szabadon bvthet) a tartomnyi belptets apropjn? Szeretted volna azt, hogy a kliens OS (akr fizikai, akr virtulis gpekrl beszlnk) a legels indts utn mr tartomnyi tag legyen, mgpedig gy, hogy a DC a kzelben sincs, amikor belptetted? Akit ezen lehetsgek egyszer, praktikus megoldsa nem villanyoz fel, az ne olvassa tovbb . A tbbieknek viszont szeretnm elrulni, hogy a Windows Server 2008 R2-vel, valamint a Windows 7 klienssel (de csak ezzel a kettvel) ez menni fog. Eddig gy tudtuk, hogy a tartomnyba lptets megkveteli egy megbzhat kapcsolat kialaktst a kliens OS s a tartomny, azaz a tartomnyt ebben az esetben
~ 127 ~
6.11
BRA
S IMN
Termszetesen olyan jogosultsggal kell rendelkeznnk, amely lehetv teszi egyrszt, hogy belphessnk erre az R2-re adminknt, msrszt, hogy belptethessnk gpeket a tartomnyba. Ezt a jogkrt persze egyrszt deleglhatjuk, msrszt ellenrizhetjk s korriglhatjuk a Csoporthzirendben, a kvetkez helyen: Computer Configuration > Windows Nekem pl. szmtalanszor kellett mr azzal a mdszerrel lnem, hogy VPN-en keresztl belptetem a gpet, majd a domain profil kialaktshoz lockolom a klienst (a logoff nem j, mert megszakad a VPN kapcsolat), s ezek utn mr be tudok a domain userrel lpni, s gy legkzelebb mr van egy cache-elt hitelestsi csomagom, ergo tudom hasznlni a domain userrel a gpet - anlkl, hogy fizikailag eljutottam volna a kb. 85 km-re lv tartomnyhoz . 73 Mondjuk ha valaki csinlt mr RODC-t, akkor tudja, hogy ez ott mr egy varzsl formjban is mkdik, meg aztn a GUID alapjn, ltalban a brand gpeknl eddig is lehetett felvenni gpfikot, viszont belptetni azrt egyik esetben sem.
72
~ 128 ~
AD*
Settings > Security Settings > Local Policies > User Rights Assignment > Add workstations to domain. 2. Az akarmi.txt-t valahogyan el kell juttatnunk arra a Windows 7 gpre, amelyet ezzel a mdszerrel be akarunk lptetni.
6.12
BRA
AZ
3. Hasznljuk a kvetkez parancsot a leend kliensen: djoin /requestODJ /loadfile akarmi.txt /windowspath %SystemRoot% /localos
6.13
BRA
4. Ezek utn amikor a Windows 7 bekerl fizikailag is a tartomnyi hlzatba, akkor mr nincs ms dolgunk, csak elindtani, s rgvest hasznlhat is lesz, a tartomnyi felhasznlk szmra is. A djoin.exe egy bonyolult "szerkezet", nhny opcit/paramtert az eddigieken kvl is rdemesnek tallhatunk egy kis magyarzatra. - /machineou: a cl szervezeti egysg helye, okos dolog, hiszen az alaprtelmezett Computers trolra nem hat a GP, gy viszont egyrszt rgvest
~ 129 ~
Amennyiben viszont a tmeges telepts a cl pl. a WSIM (Windows System Image Manager) hasznlatval, s a clunk az, hogy a csendes telepts rsze legyen az offline belptets, akkor az Unattend.xml-be kell belevinni a szksges inft, mghozz egy j szekciba, merthogy a W7/WS08R2 szmra hasznlhat Unattend.xml termszetesen erre fel van ksztve: <Component> <Component name=Microsoft-Windows-UnattendedJoin> <Identification> <Provisioning> <AccountData>Base64Encoded Blob</AccountData> </Provisioning> </Identification> </Component> 6.2.2 AD A DM I N I S T RA TI V E C E N T E R Egy j, multi-domain/forest cmtr kezel s lekrdez felletrl esik most egy kevs sz. Termszetesen ez is Powershell alap, s a rengeteget alkalmazott AD Users and Computer MMC-re hasonlt taln a legjobban, de a gyakorlat azt mutatja, hogy inkbb prhuzamosan hasznljuk a klasszikus eszkzzel egytt.
Ilyet (azaz a belptetett gp alaprtelmezett helynek tirnytst) mr eddig is csinlhattunk a redircmp paranccsal, de gy sszektve az ODJ-vel mg jobb.
74
~ 130 ~
AD*
6.14
BRA
H ASONLSGOK
S KLNBSGEK
No s az is fontos, hogy ez az eszkz az R2-ben jelent meg elszr, br az is igaz, hogy a hatst kiterjeszthetjk. Ugyanis a szolgltats msik alapja az Active Directory Web Services, azaz a cmtr elrse egy webszolgltatson keresztl, de rgtn jelzem, hogy mg gondolatban se keverjk be ide az IIS-t, kivtelesen75 ez a rsz teljesen nllan mkdik, a TCP 9389-es porton. s ez az a pont, ahol az elbb emltett kiterjesztshez kapcsoldunk, ugyanis Active Directory Management Gateway Services 76 nven letlthet s feltelepthet korbbi opercis rendszerekre is (Windows Server 2003 s 2008), s gy egy R2-rl kpesek lesznk elrni a rgebbi tartomnyokat s erdket is.
Itt most arra gondolok, hogy az Exchange-tl kezdve az RDS-ig minden webes szolgltats IIS virtulis mappkon keresztl mkdik. 76 http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=2852
75
~ 131 ~
6.15
BRA
AD
AD LDS
ADWS- SEL
Persze ezeken az ADAC-ot futtatni nem fogjuk tudni, de kliensknt mkdni kpesek lesznek. De ez hatrozottan egy olyan tulajdonsg, amelyet az ADUC-szel soha nem tudtunk megoldani, azaz a tbb tartomny s erd objektumainak egyetlen helyrl trtn kezelst. Emellett a szrs s keress terletn igen komoly fejlesztsek trtntek, valamint a nzetek elmentse is lehetv vlt. De pr htrnyrl is szlnk, mert azrt gy korrekt: - Nem bvthet a klasszikus mdon , pl. az acctinfo.dll vagy acctinfo2.dll bvtmnyekre clzok - Nincs drag & drop - Nincs RSOP Planning / Logging tmogats - NTDS Settings sincs
~ 132 ~
AD*
6.16
BRA GY NZ KI AZ
ADAC
6.2.3 AD L O M T R Az AD Recycle Bin csodlatos dolog, mivel egy olyan problmt old meg, amire nincs egybknt rendes megolds: a humn erforrs problmt , ami lland s llandan megjulni kpes. Ezzel szemben az AD RB lehetv teszi brmilyen trlt AD objektum online, azonnali s teljes kr visszalltst. Az AD RB jval tbbet r, mint az eddigi mdszerek, mivel: - A srkvezst (s a reanimcit) elfelejthetjk - Nem szksges egy trls miatt az offline AD llapot - Nemcsak egy rszleges visszalltst tudunk megtenni Szval az nem meglepets, hogy a statisztikk szerint a humn erforrs ltal elkvetett hibk adjk a cmtrproblmk jelents rszt (is). Ezek kzl magasra kiemelkedik a trls, mint visszavonhatatlan mvelet. Valban visszavonhatatlan, mert br ha rendelkeznk megfelel mentssel (jabb humn erforrs krds :D), megoldhatjuk a problmt, van Directory Services Restore Mode, van ntdsutil, van autoritatv mdszer s egyb trkkk is, amellyel visszahozhatak a trlt objektumok, de ez mindenkppen mkdskiesssel jr, s nem is vlhat be mindig hiszen tbb kls tnyeztl is fgg a sikeressge.
~ 133 ~
6.17
BRA
AZ
EVOLCIS FOLYAMAT ,
FL =
MKDSI SZINT
A Windows Server 2008-ban mr volt prblkozs a grafikus felleten a nem szndkos trls visszaszortsra is, pl. ha egy OU ltrehozsakor bekapcsolva hagytuk az jdonsgnak szmt "Protect contanier from accidental deletion" opcit, akkor csak krlmnyesen, a szoksos egyszer trls helyett minimum 3-4 plusz kattintssal s csak a specilis nzetet bekapcsolva lehetett visszalltani a szimpla trls lehetsgt. De ez csak kiegszt, elkerl megolds, s pl. a mr meglv objektumoknl vagy a user fikoknl nincs is ilyen, illetve pl. a szkriptbl trls ellen sem vd. Sz volt viszont korbban arrl, hogy elbb-utbb lesz vltozs ezen a tren is, s jelentem az R2-vel eljtt ez a vltozs, s - kitnen mkdik. Nzzk meg lpsrl lpsre, hogy hogyan, illetve elszr azt, hogy mi van a httrben, valamint azt, hogy mely kritriumok teljeslse utn lesz lehetsg egy objektum online visszalltsra az AD Lomtrbl!
6.18
BRA
E LEDDIG
GY MENT
A mkds vltozsait legjobban az elz s a kvetkez brval tudom szemlltetni, plusz azzal az infkteggel, ami ezutn jn. Az alaplls az, hogy eddig egy cmtr objektum trls szintn nem teljesen vgleges (fizikai) trlst jelentett rgtn az ltalunk felszabadultan elvgzett, megerst "Yes" gomb utn, hanem egy "srkv" (tombstone) talakulst illetve mg jobb, ha gy kpzeljk el, hogy az objektum
~ 134 ~
AD*
dalolva befekszik a marha nagy srk al, de mg a felsznen :), eltemetve viszont mg nem lesz. Ez egytt jr pl. a "Deleted Objects" trolba bekerlssel, illetve tbbek kztt pl. az objektum "isDeleted" attribtumnak "TRUE"-re billensvel (merthogy nehogy mg egyszer trlni tudjuk az ltalunk nem kedvelt user fikjt :D), azonban a szimpla visszalltsra mgsincs ilyenkor md - csak mentsbl, s csak a DSRM-ben. Ez azrt van gy, mivel az adott objektumhoz tartoz DN (distinguished name, tudjuk, OU=,DC=, stb.) meggyalzsra kerlt (az RDN + a "\0ADEL: " lett a helyes kis DNjbl), a legtbb n. non-link-valued attribtum lenullzdott, a link-valued attribtumok (pl. egy user csoporttagsga) pedig tnyleg fizikai trlsre kerlt.
6.19
BRA
V AN
VLTOZS BVEN
A "srkvem mr van, de mg csak alatta fekszem..." llapot alapesetben 180 napig volt lvezhet. Ezalatt is kaptunk azrt egy apr visszalltsi lehetsget a keznkbe, pratlan kpzavarral n ezt a "a zombi, aki kibjt a srk all" nvvel illetnm, amgy "tombstone reanimation" a becsletes neve, ami egyrszt alapesetben szintn egy offline mvelet (illetve a Sysinternals segdprogramja 77 rvn nem is), msrszt a fentiek miatt nem is lehet teljesen sikeres eljrs, ergo tnyleg csak a mentsbl visszatlts lehet korrekt. Viszont ha bkn hagytuk az objektumot, akkor jhetett vgre az automatikus, vgleges fizikai trls, azaz a srk elporladt (ami vgeredmnyben j, mert azrt az AD a srkre 41 db klnbz attribtumot szorgosan felfirklt, teht megtartott), az objektum meg a fld al kerlt, a vgleges helyre. Uff. Nos, ebbe a folyamatba kerlt be az R2-ben a Lomtr, kzvetlenl a "srkves" llapot el, ahogyan az elz brbl ez szpen ki is derl. A vltozs pedig abban
77
~ 135 ~
6.20
BRA
A Z AD PS
~ 136 ~
AD*
Enable-ADOptionalFeature Identity CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=netlogon,DC=priv Scope ForestOrConfigurationSet Target netlogon.priv Jelzem, hogy a sortrsek ellenre ez egy darab parancs, s a kimenete az elz kpen lthat.
6.21 V ISZONT
~ 137 ~
6.22
BRA
V ALAMINT
AZ IS LTSZIK , HOGY GJAKAB - UNK JELENLEG TRLT LLAPOTBAN LELEDZIK , A MEGFELELEN ELGG C SOFFADT
DN- JE
ENNEK
6.23
BRA
DE
AD L OMTR
IKONT ???
6.24
BRA
A Z OU
L OMTRAS
IDKRE
~ 138 ~
AD*
Mg nhny tudnival s ajnls: - Group Policy, Exchange objektumokra nem tmogatott ez a mdszer (de a reanimation + restore sem) - Van viszont direkt trls is o Get-ADObject Filter {<suitable filter>} IncludeDeletedObjects | Remove-ADObject - Szmtsunk a DIT, azaz az AD adatbzis nvekedsre, kb. 10-15%-kal - Termszetesen AD LDS-ben is mkdik, csak kicsit mshogy kell bekapcsolni, s ha minden pldny WS08 R2-on fut (s persze smabvts is kell itt is, LDIFDE > MS-ADAM-Upgrade-2.LDF) De mint ahogy az elz kpeken lthat, a visszalltshoz is szintn az AD PS-re vagy az ldp.exe-re van szksg. n az elbbit javaslom, egyszerbb. s az let is az lesz, ha uralmunk al hajtjuk az AD lomtrat. Hajr! 6.2.4 K I S E B B M U T A T V N YO K (MSA, AMA, DSRM PS) A Managed Service Accounts (MSA) Mit tesznk, ha egy alkalmazsnak vagy egy kiszolgl szoftvernek egy dediklt felhasznli fikra van szksge? Ht ltrehozunk egyet, rgen ez nagy divat volt (egy Exchange 5.5-nl pldul ktelez volt, de ma is megmaradt ez az ajnls, pl. a Forefront Identity Manager-nl). Viszont egy ilyen fiktv fikra nem figyel senki, ergo vagy azt mondjuk, hogy pl. a jelszhzirend nem fog vonatkozni r, vagy kzzel variljuk a jelszavt, pl. 42 naponknt. Az els biztonsgi szempontbl nincs rendben, a msodikat pedig gyis el fogjuk felejteni, s akkor majd nem indul az alkalmazs, s pont akkor fogunk majd nyaralni, s stb. s stb., szval ez szintn nem megolds. De az MSA megoldja. Ez egy teljesen j objektum osztlyt jelent a cmtrban, s gyakorlatilag az adott szmtgpfik gyermeknek szmt. s ami a legfontosabb: a jelszava nem fgg sem a szimpla, sem a FGPP jelszhzirendtl, hanem a gpfik jelszavval prhuzamosan vltozik, alaprtelmezs szerint 30 naponta, de ez szablyozhat, na mivel? Ht a Csoporthzirenddel! Egybknt 240 karakteres jelszavakkal dolgozik, s muszj, akkor a ResetADServiceAccountPassword cmdlet-tel nullzhat. A fik ltrehozsa a New-ADServiceAccount Name {MSA name} Path {directory path} Hozzrendelse a szerverhez: Add-ADServiceAccount Identity {FQDN} -ServiceAccount {MSA}
~ 139 ~
Teleptse a helyi szerveren: Install-ADServiceAccount Identity {MSA} Ezutn mr csak a fikot hasznl alkalmazs belltsra kell sort kertennk. De azrt itt is vannak korltok: - Egy MSA = egy szerver, ergo nem megoszthat pl. egy a tartomnyban, vagy pldul akkor, ha az alkalmazs egy klaszterben tbb node-on is mkdik - Csak Windows 7 vagy Windows Server 2008 R2 esetn hasznlhat - A teljes SPN kezels csak az R2-es tartomny mkdsi szinttl elrhet, de az egyszerbb SPN mveletek, mint pl. a delegls ms adminok szmra azrt mr korbban is Authentication Mechanism Assurance (AMA) A magyarzat tmren: egy multifaktoros 78 bejelentkezssel tbb jogunk lehet pldul egy fjlmegosztson. Tekintsnk bele egy kicsit az alkalmazsnak a folyamatba: - Az admin csoportokat linkel a smartcard hzirendek alapjn - Ha egy specilis OID van a user SmartCard-jn akkor, amikor belp, kap egy msik SID-et - gy aztn vltozik az Access token, s gy ms biztonsgi csoportba kerl - Hozzfr ersebb jogokkal is az adott megosztshoz - DE ha a smartcard nlkl lp be (pl. egy usernv/jelsz prossal), akkor nem Felttelek: - Csak R2 erd mkdsi szint s csak Kerberos hitelests - A szksges szkriptek (set-IssuancePolicyToGroupLink.ps1, IssuancePolicy.ps1) letlthetek. 79
get-
Directory Services Restore Mode Password Reset Messzirl kezdjk. Minden DC-n az ellptets kzben (lsd 6. bra) megadunk egy jelszt azrt, hogy a helyi felhasznli adatbzis hjn is legyen azrt egy-egy admin jelszavunk, pldul a cmtr visszalltshoz, amikor is gysem megy a cmtr mivel ha menne, nem tudnnk visszalltani. Olyan hitelests megolds, amikor tbb mdszert hasznlunk egyszerre, pl. egy felhasznli nv + jelsz, plusz egy OTP (One Time Password) vagy SecureID hardveres eszkz hatjegy szmkdja, vagy pl. egy smartcardon lv tanstvny + a PIN kd. 79 http://technet.microsoft.com/en-us/library/dd378897%28WS.10%29.aspx
78
~ 140 ~
AD*
Amikor nem megy a cmtr, az a Directory Services Restore zemmd (F8 a boot folyamat kzben, majd a menpont). Szval ez egy kritikus dolog, mert ugyan mi adjuk meg ezt a jelszt, de ez nem azonos az esetleg nap mint nap hasznlt Administrator fik jelszavval. Nem bizony. Ezt a jelszt aztn a sajt rdeknkben rendszeresen vltoztatjuk, a jelszhzirend hat is r, de kzben szpen elfeledkeznk a DSRM jelszrl. vek mlva, mikor sszedl a cmtr az adott gpen, s vissza szeretnnk lltani, akkor jn a pnik, elfelejtettk a teleptskor megadott jelszt, ergo nem tudunk belpni a DSRM mdba, ergo nincs visszallts, pedig kecskt is ldoztunk jflkor egy echte nmet nemesacl trrel. De hiba. A megoldsra tbb mdszer is van. Soroljuk fel: - Nem felejtjk el (de nem rom le hogy lerjuk, mert jelszt nem runk le sose ) - Amikor mg megy a cmtr az ntdsutil-lal, admin jogosultsggal megvltoztatjuk ezt a jelszt - Amikor mg megy a cmtr, egy j ntdsutil kapcsolval szinkronizljuk egy tetszleges tartomnyi felhasznlhoz (nyilvn nem Gizikjhez a titkrsgrl) Megktsek (restrikcik): - Csak Windows Server 2008 s R2 esetn - EGYSZERI mvelet, amely azonnal tmsolja a jelszt - Nem tartomnyi, csak helyi (az ntdsutil blokkol klnben) A parancs pedig konkrtan gy nz ki: ntdsutil "Set DSRM Password" "Sync from domain account <suitable user> " q q
6.3 A
T EREP ELKSZT S E
6.3.1 A S M A F RI S S T S Egy j Windows szerver vltozattal tipikusan egytt jr a cmtrszolgltats vltozsa, a klnbz kisebb-nagyobb jdonsgok megjelense is. Ezek - ahogy lttuk az elz oldalakon - ltalban knyelmes s kellemes vltozsok, de ez elkszts, a tartomny s/vagy az erd felksztse a legtbb esetben azrt nmi terhet is jelenthet (mg ha ltalban deset is). Ha msrt nem, akkor azrt mivel egy alapos ttekintst s mrlegelst kvetel meg az zemeltetktl, mivel a smafrissts egyik klnlegessge abban rejlik, hogy visszafordthatatlan, visszavonhatatlan folyamat, azaz igencsak krltekinten kell eljrnunk a vltoztatsokkal, fkpp nagyobb s/vagy bonyolultabb krnyezetben. A z
~ 141 ~
~ 142 ~
AD*
teendnk az Adprep-pel, mivel preparlnunk kell a Windows 2003-as mkdsi szinten lv erdt azrt is, hogy a RODC repliklhassa a DNS alkalmazspartcikat. Viszont ehhez nem kell a Schema Master gp, az erd brmelyik tartomnyvezrljrl elindthatjuk az Adprep /rodcprep parancsot, de ehhez is szksges az Enterprise Admins csoporttagsg. Tovbbi tudnivalk a RODC alkalmazsval kapcsolatban: - Ha gy tervezzk, hogy a RODC-nk egyben GC (globlis katalgus kiszolgl) is lesz, akkor az erd minden egyes tartomnyban kivtel nlkl futtatnunk kell az Adprep / domainprep parancsot, akr van ezekben j kiads DC, akr nincs. Ennek a kritriumnak az oka az, hogy gy a RODC kpes lesz repliklni a globlis katalgus adatokat minden tartomnybl, s gy - s csak gy - teljes rtk GC-nek szmt majd. - Az els Windows 2008/R2 DC egy meglv Windows 2003/2008 tartomnyban semmikppen nem lehet RODC, ezt a szerepet csak egy msodik j DC birtokolhatja, mivel az els ahhoz kell, hogy a RODC ezen keresztl rje el a tartomnyt, s be tudja indtani a specilis replikcit, a jelszszinkront s egyebeket (rszleteket lsd a RODC fejezetben). 6.3.2 A M K D S I S ZI N T EK A kvetkez lpsben a szintn specilis, mkdsi szintekrl lesz sz (a migrcinl mr ezt s a smabvtst is emltettk egy kicsit), azrt mert az ezzel kapcsolatos teendk is minimum lehetsges, de sok esetben ktelez elemei lesznek az R2 bevezetsnek. A most kvetkez ttekintssel teht ezen a terhen szeretnk kicsit knnyteni, sorba lltva a lehetsges forgatknyveket. Ktelessgem szlni arrl is, hogy a smafrisstshez hasonlan a mkdsi szinten vltoztatsa is visszavonhatatlan folyamat (ltalban, lsd kvetkez keret), teht csak vatosan! A visszavonhatatlansg tnye egszen az R2-ig igaz is volt, de itt mr nem, tnyleg visszafel is lphetnk a mkdsi szinttel. Persze bizonyos korltokkal: 1. Csak egy szinttel vissza (Windows 2008) 2.; felttelezve, hogy nem engedlyeztnk olyan jdonsgokat, amelyeket blokkolna a visszallts (Ha igen: Disable-ADOptionalFeatures), 3; A Recycle Bin viszont NEM letilthat (azaz ha mr megengedtk, nincs visszat). Valamint nincs grafikus fellet a visszalltshoz, ergo marad a Powershell, mgpedig a Set-ADDomainMode, Set-ADForestMode cmdlet-ek. Nos, most is, mint mindig, szt kell vlasztanunk a tmt kt rszre, a tartomnyok s az erd szintjre. Elszr koncentrljunk a tartomnyok mkdsi szintjvel kapcsolatos okossgokra! Az sszes mkdsi szint listja, szp sorban: - Windows 2000 mixed (a Windows Server 2003-ban ez az alaprtelmezett)
~ 143 ~
R2 tartomny mkdsi szintek A legfontosabb: az R2 els zemmd kivtelvel a tbbi felllsban kpes lesz tartomnyvezrlknt dolgozni. Teht az R2 DC egy Windows 2000 mixed md tartomnyban semmikpp, viszont efelett a Windows 2000/2003/2008 tartomnyvezrlkkel is biztosan egyet fog rteni. Windows 2000 natv md tartomnyok Tartomnyvezrl lehet: W2K, W2K3, WS08, R2 Berakhatunk teht egy ilyen tartomnyba is R2 DC-ket, de a tisztn WS08/R2 jdonsgok viszont a tartomny ezen llapotban nem hasznlhatak, hiszen ezen j technolgik alapfelttele a natv WS08-as tartomnyi zemmd. A W2K natv md tartomnyok viszont a kvetkez pluszokat adhatjk az elz (a Windows 2000 mixed) mdhoz kpest: - Az univerzlis csoportok biztonsgi s terjesztsi csoportokknt is hasznlhatak. - Csoportok ltalnos egymsba gyazhatsga. - Biztonsgi s terjesztsi csoportok kztti konverzi. - SID history: A felhasznl rgi, ms tartomnyban hasznlt SID-jt tartalmazza, melyre tipikusan egy migrci utn lesz szksg.
Windows Server 2003 md tartomnyok Tartomnyvezrl lehet: W2K3, WS08, R2 Ebben az zemmdban a Windows 2000 DC-k mr nem, a Windows Server 2003-ak viszont csont nlkl hasznlhatak egytt a Windows Server 2008 tartomnyvezrlkkel. A j pr Windows Server 2008 s R2 jdonsg viszont szintn nem mkdik majd ilyen krlmnyek kztt. A W2K3 natv md tartomnyok pldul a kvetkez lehetsgeket biztostjk (az els ngy rklt a Windows 2000 mixed mdbl, de azrt bertam): - A Netdom.exe-vel tnevezhetjk a tartomnyvezrlt - A Users s a Computers trolk (azaz nem OU-k) tirnytsa
Csak ha NT4-rl jttnk kzvetlenl a Windows 2003-ra, mert ilyen egybknt semmilyen ms esetben nem fordulhat el, teht pl. Windows 2000-rl Windows 2003-ra sem.
80
~ 144 ~
AD*
Kpes frissteni a gpek illetve felhasznlk viszonylatban a LastLogonTime attribtumot, s repliklni a LastLogonTimeStamp-et a tartomnyon bell (mg ha kiss nehzkesen is, azaz nem tlsgosan nagy pontossggal). Az Authorization Manager a hzirendjeit trolhatja az AD-ban Rendelkezsre ll a Kerberos Secure Delegation az alkalmazsok szmra a Kerberos hitelests kiknyszertsre
Windows Server 2008 md tartomnyok Tartomnyvezrl lehet: WS08, R2 Ha itt tartunk, akkor az azt fogja jelenteni, hogy minimum Windows Server 2008 DCink vannak (vagy elszrtuk, de nagyon 81). Ez a szint azrt fontos, mert az ebben a knyvben is emltett Windows 2008-as cmtrszolgltats jdonsgok ekkor mr elrhetek, teljes mellszlessggel. A Windows Server 2008 md tartomnyok teht pldul (a lista nem teljes!) a kvetkez extrkat adjk az elz mdhoz kpest. - DFS-R replikci a SYSVOL megoszts szmra (kifejezetten kellemes dolog, hiszen ekkor bevethet a DFS-R rszeknt az RDC algoritmus, amivel knnyedn magas tmrtsi hatsfokot is elrhetnk, mr csak azrt is, mert az RDC a klnbsgi replikcis mdszert preferlja) - Kerberos AES 128/256 tmogats - Last Interactive Logon Information, amely megmutatja a felhasznl legutols sikeres interaktv belpsnek idpontjt, az ehhez hasznlt munkallomst illetve a sikertelen belpsek szmt is - Fine-Grained Password Policies, azaz alternatv jelszhzirend Az R2-vel kapcsolatos tartomnyi zemmdnl kicsit varilok, mivel itt sztszedem olyan szintekre is, amelynl mg nincs teljes tkapcsols, csak egy j szerver, vagy aztn az els tartomnyvezrl: - Egy vagy tbb R2 tagkiszolgl o Offline Domain Join o Managed Service Accounts - Egy vagy tbb R2 tartomnyvezrl o Active Directory Administrative Center o PowerShell for Active Directory Module o Best Practices Analyzer o DSRM Password Sync - R2 tartomny mkdsi szint o Authentication Mechanism Assurance o Kibvtett MSA-SPN management A tartomnyok utn az erdk mkdsi szintjnek WINDOWS SERVER 2008-as szintre emelsvel folytatjuk. A lnyeg az, hogy mivel az erd a tartomnyok felett
81
~ 145 ~
~ 146 ~
AD*
Kicsit megdbbent, de a tartomnyi szint szmtalan jdonsgval nagyjbl el is fogyott a puskapor, azaz erdszinten nincs semmilyen extra jdonsg. Egyetlen dolgot azrt meg kell emlteni, ami miatt valsznleg rdemes is lesz megemelni az erd mkdsi szintjt, ha ez lehetsges. A dolog a RODC-val kapcsolatos, de messzirl futunk neki. Nhny alkalmazsnl megszokott dolognak szmt, hogy a cmtrban trol szenzitv adatokat (jelszavak, jogosultsgok, titkostott kulcsok, stb.). Ezzel nincs is gond, st praktikusnak is tekinthetjk ezt a mdszert, a tartomnyvezrlkre amgyis fokozottan oda kell figyelnnk, s ht valban ritkn tnik el egy-egy DC a szerverszobbl / terembl. Viszont ha bekerl majd a kpbe egy-egy RODC - ismerve a tulajdonsgait: csak olvashat, jelszavakat nem trol, Server Core-ra is felmegy, stb. - a telephely egy stt sarkba lerakva, akkor azrt kicsit mgis aggdhatunk. Ugyanis egy cmtrpldny azrt lesz azon a gpen is, szval ha trtnetesen ellopjk, azrt kibnyszhat lesz belle ez-az. Nos, erre tallta ki a Microsoft igen okosan az n. RODC Filtered Attribute Set (RODC FAS) hasznlatnak lehetsgt, amely azt jelenti, hogy a Windows Server 2008 Schema Master DC-n pl. az ldfide-vel vagy az ADSIEdit-tel megnvelhetjk az adott attribtum tulajdonsgai kztt a searchFlags rtket (pl. 0-rl 640-re = CONFIDENTIAL / RODC_FILTERED, lsd kp, br ott mg hexban van). gy aztn ha a tartomnyvezrl beleakad ebbe az rtkbe, akkor ezt az attribtumot nem fogja repliklni a RODC krsre. Mrmint a Windows Server 2008 GC DC-k, merthogy egy Windows Server 2003 GC DC tovbbra is megenged lesz83 s csont nlkl hagyja magt megerszakolni. Ha viszont az erdnkben mr nincs s nem is lehet effajta rgi DC, akkor a problmt - kicsit kzvetve ugyan, de - letudtuk. St, a Windows Server 2008-ban mr gyrilag meg van jellve ily mdon egy pr attribtum, elssorban a Credential Roaming (azaz ha tbb gpen bejelentkezve akarunk azonos tanstvnyt s kulcskszletet hasznlni) s a Bitlocker miatt, konkrtan ezek: - ms-PKI-DPAPIMasterKeys - ms-PKI-AccountCredentials - ms-PKI-RoamingTimeStamp - ms-FVE-KeyPackage - ms-FVE-RecoveryGuid - ms-FVE-RecoveryInformation - ms-FVE-RecoveryPassword - ms-FVE-VolumeGuid Kiprbltam anno ezt is, hiba piszkljuk meg az emltett flag-et a Windows Server 2003 Schema Master-en - nem rti.
83
~ 147 ~
6.25
BRA
MEG VARILT
E MPLOYEE -N UMBER
Ha mr itt tartunk, azrt emltsk meg, hogy a FAS mellett/helyett van mg egy lehetsgnk, ez pedig a vdeni kvnt attribtum searchFlags rtknek feljavtsa a CONFIDENTIAL szintre (ennek 128 a decimlis rtke, ez az elz esetben ugye automatikusan benne van a 640-ben, ltszik is az elz kpen). Ezt a Windows Server 2003 SP1 ta lehetsges mvelni, van is hozz egy fraszt KB cikk84 is. Gyakorlatilag e vltoztats az Authenticated Users csoport Read jogt veszi le (ergo egy akrmilyen jttment RODC-jt is), csakhogy - lltlag - az a gond lehet ezzel, hogy az emltett alkalmazsok esetleg nem veszik majd ezt jnven.
84
http://support.microsoft.com/kb/922836
~ 148 ~
AD*
R2 md erd Tartomnyvezrl lehet: R2 A Windows Server 2008-hoz hasonlan megint csak a puskapor teljes mrtk elfogysrl van sz (nzzk csak meg az R2 tartomnyi szintnl, hogy mennyi lehetsg van!), mivel egyetlen jdonsgunk van ezen a szinten, de az mondjuk nagyon szimpatikus: ez a mr megismert Recycle Bin.
6.26
VGRE !
Most egy kpes beszmol kezddik az AD teleptsrl, azrt, mert menet kzben sokkal knnyebb lesz elmagyarzni az jdonsgokat. Most rgtn hadd jegyezzem meg, hogy lpsrl lpsre bemutatok mindent, azonban nem magyarzom el, hogy a nvkonvenci mirt lnyeges, vagy azt, hogy pl. mi az a globlis katalgus, meg a DNS szerver, de azrt, mert mindezt mr lertuk egyszer (Rendszerfelgyelet rendszergazdknak cm knyv), s mr 2x belinkeltem. Viszont azrt arrl beszljnk, hogy az AD telepts s eltvolts mindig is a dcpromo.exe-vel kezddtt s vgzdtt! De a Windows Server 2008 ta mr nem felttlenl, illetve egyltaln nem. Kds, ugye? Direkt csinlom . Szval ha most a dcpromo-t futtatjuk, akkor elszr felteszi az AD-hoz szksges binris llomnyokat, majd elkezdi a teleptst. De ha nem gy akarjuk, van ms md is, emlkezznk vissza, a Server Manager-ben is van AD DS szerepkr. De ha ezt teleptjk, az nem azt jelenti majd, hogy mris tartomnyvezrl lett a gpnk, csak annyit, hogy a binris llomnyok fent vannak, jhet a dcpromo.
~ 149 ~
6.27
BRA
K EZDDIK , A PA ,
KEZDDIK !
Az alapszint instrukcikbl mr itt kapunk egy csokrot: - Legyen minimum 2 DC-d (Egy DC nem DC, mr jeleztem korbban) - A DNS szerver muszjfaktor (majd feltesszk menet kzben) - 2 lpcss telepts (pr sorral nzznk vissza) - Tovbbi elemek is felkerlnek automatikusan a rendszerre, pl. a DFS/R (ez ugye 2 db dolog), illetve a File Replication szolgltats, plusz a .Net Framework 3.51. Ha felrtnk a telepts els lpcsfokra, akkor indthatjuk a dcpromo-t, az innovci azonban csodlatos, a Server Manager szumma kpernyjrl egy kk szn linkkel is, azaz nem muszj a Start/Run szakaszban gpelgetnnk .
Hny, de hny olyan egykori tartomnyvezrlt lttam mr, ahol ez az utbbi lps nem trtnt meg!
85
~ 150 ~
AD*
6.28
BRA
E DDIG
KIRLY
6.29
BRA
LTALBAN
SZKSG IS VAN AZ
A DVANCED
MDRA , S KLNBEN IS
~ 151 ~
6.30
BRA
K OMOLY
FIGYELMEZTETS
Itt azrt kevs a kpalrs, ezrt kicsit kifejtem. A Windows Server 2008-tl kezdve a gyri tartomnyvezrli hzirendben (ami teht egybl mkdni fog) j pr a hlzati biztonsggal kapcsolatos opci engedlyezett vlt86. Ezek kzl itt egyrl van sz, amely hatsa viszont a Windows 2000 eltti klienseket kizrja a tartomnyba belps lehetsgtl (rtelemszeren akkor is, ha eddig mkdtek, teht nemcsak a belptetssel, a belpssel is gond lesz), de pl. egy NT tartomny s az R2-es tartomny kztti megbzhatsgi (trust) kapcsolatoknak is vge. Radsul kls, nem tartomnytagknt mkd eszkzkkel (pl. NAS-ok, egyb SAMBA SMB kliensek, vagy ms, IP alapon elrhet hlzati trolk) is lehetnek elrsi problmk, st mg a Vista SP1 eltti szoftveres komponenseket is emlt ez a figyelmeztet zenet. A megolds a lbjegyzetben lv KB cikkben benne van, ha muszj, akkor gyengtennk kell ezeken a biztonsgi opcikon.
86
http://support.microsoft.com/kb/942564
~ 152 ~
AD*
6.31
BRA
M EGLV
6.32
BRA
TARTOMNY TELJES
DNS
~ 153 ~
6.33
BRA
N ET BIOS
6.34
BRA
E RD
~ 154 ~
AD*
6.35
BRA
UA.
2003- AS
LEHETSG VAN )
6.36
BRA
A KISLNY
~ 155 ~
6.37
BRA
DNS
~ 156 ~
AD*
6.38
BRA
R UTIN
FELADAT ,
95%- BAN
J AZ ALAPRTELMEZETT HELY
6.39
BRA
EZ
~ 157 ~
6.40
BRA
SZUMMA S AZ
E XPORT
AD
10.
FEJEZET )
6.41
BRA
AZ
~ 158 ~
AD*
A sikeres ellptets s az ignyelt automatikus jraindts utn (bal als sarok) a bejelentkez kpernyn mr csak s kizrlag a tartomnyba lphetnk be, a helyi felhasznli adatbzisba mr nem, viszont az eddigi Administrator jelszt kell hasznlnunk. No s ha eltvoltunk? Tegyk meg most. Egy msodik DC eltvoltsrl lesz sz, ami egy 2008 R2-es DC, s az elsdleges is az.
6.42
BRA
N EMSOKRA
VGE LESZ
6.43
BRA
M IVEL
EZ EGY
GC,
~ 159 ~
6.44
BRA
E ZT
DC,
6.45
BRA
M IVEL
A DMIN
JELSZ IS KELL
~ 160 ~
AD*
6.46
BRA
JRA
A legeslegvgn hadd mondjak el egy fontos dolgot: az sszes panelen mkdik a CTRL+C, ergo ha pl. egy hibba futunk vele, knny lesz kimsolni s a kedvenc keresnkbe berni.
6.5 K ED VENC NK
C SOPORT HZIREND
Rengeteg alkalommal kapok olyan - akr egszen sszetett - szakmai krdseket amelyekre egyetlen szval, azaz brutlis egyszersggel tudok vlaszolni: Csoporthzirend. Felettbb idegest szoksom ez, viszont ltalban nem trflok, a tapasztalatom alapjn tnyleg szmos problmt megoldhatunk a hzirend opcikkal, s sok-sok idt s energit meg tudunk sprolni az energikus Csoporthzirend hasznlattal. Legfontosabb elnyei az egy helyrl trtn, kzponti kezels s a hatkr, azaz akr az sszes szmtgpre s felhasznlra rvnyesthet belltsok. A kzpontosts mellett egy msik lnyeges rv (csnya szval) az implementlhatsg, azaz kpesek vagyunk-e fjdalmas tszervezs nlkl rhzni a szervezetnkre egy komplex, de azrt igny esetn egyediv is tehet bellts gyjtemnyt? Szerencsre igen, ennek tbb biztostka is van, pldul a cmtrszolgltatshoz hangolt mkds, s a kzsen hasznlt hierarchia.
~ 161 ~
6.47
BRA
EZ
A LEGJOBB KPEM A
C SOPORTHZIRENDRL
A Csoporthzirend evolcija a Windows 2000 Server / Professional prossal kezddtt (ami eltte volt, arrl inkbb hallgassunk). E kt OS viszonyban kb. 630 bellts llt a rendelkezsnkre, ami megdbbenten nagy mennyisgnek bizonyult akkoriban. Azta viszont minden OS vltskor illetve szinte minden szervizcsomag esetn nvekeds volt tapasztalhat, amely kvetkezik egyrszt az egyre okosabb opcik kitlsbl, msrszt a szaporod j komponensek lehetsgeinek lefedsbl. Ma egy Windows 7 s egy R2 esetn a tartomnyban hasznlhat hzirend belltsok szma 3300 krli, szval btran mondhatjuk, hogy elgg aprlkosan szablyozhat. A fejlds folyamatos kijelents kzhelynek szmt ugyan, de azrt igaz. Gondolkodjunk logikusan: a Csoporthzirend a kliensekben megtallhat komponensek s szolgltatsok lehetsgeinek a szablyzst jelenti. Ha jabb s
~ 162 ~
AD*
jabb elemek jelennek meg egy jabb opercis rendszerben, ezeket clszer, majdhogynem ktelez lekvetni a hzirend opcik kztt is. Ez pontosan gy volt eddig is, st egy-egy OS szervizcsomagja vagy akr egy-egy j Office verzi kapcsn is. Ez mindenfle szempontbl irdatlanul, ttekinthetetlenl sok, de szerencsre a bvl opcikon kvl - j ideje elszr - j pr kellemes s knyelmes vltozst is tapasztalhatunk a mkdssel, a kezelssel, illetve a felgyelettel kapcsolatban egyarnt. Nzzk ezeket most sorban! 6.5.1 A C EN T R AL S TO R E Messzirl kell elkezdennk, mivel a Central Store kialaktsnak az egyik elzmnye a Windows Server 2008-ban s a Vistban debtlt j hzirend sablon formtum, az .admx s a hozz passzol nyelvi sablonok, azaz az .adml fjlok megjelense. A hagyomnyos, mr az NT-kben is megtallhat .adm formtum sablonok finoman szlva szmtalan hinyossggal kzdenek, ezek egyike a SYSVOL mappa tlterhelse. Azaz ha tartomnyban ltrehozunk egy j csoporthzirend objektumot, akkor, ha esik, ha fj, a GPO mappjba az alaprtelmezett .adm fjlok, azaz az Administrative Templates szakasz sablonjai automatikusan bemsoldnak. Ez sszesen 4-5 fjlt jelent, a Windows Server 2003 SP2 esetn, kb. 4 Mbyte mretben, teljesen res llapotban. Gondoljunk bele, tbbtz esetleg mg tbb GPO esetn (akkor is, ha egyetlen belltst tesznk meg) szmolnunk kell az jabb 4 Mbyte-tal. Replikci, telephelyek, alacsony svszlessg, mondjam tovbb? Pazarls, az biztos. Nevet is adtak ennek a jelensgnek, ez az n. SYSVOL Bloat. Nos a Visttl kezdden a gyri sablonok sszmrete nem, a registry alap mkds szintn nem, ellenben a sablon formtuma s mennyisge megvltozott. 132 darab (ez a szm a Windows 7-nl mr jval magasabb) XML alap, tartalmban a nyelvi elnevezsektl teljesen elvlasztott .admx fjlunk van a Windows\PolicyDefinitions mappban minden egyes kliensen illetve a szervereken is. Plusz ugyanebben a mappban lehetnek mg tovbbi mappk is, a nyelvi fjloknak (.adml), amelyekbl rtelemszeren szintn 132 db van. Ezek elnevezse nem tetszleges, a mappa neve ktelezen csak az adott nyelvre egyrtelmen utal rvidtett vltozat lehet, pl. En-US, hu-HU, stb.. Nos, el is rkeztnk vgre a lnyeghez, ha vesszk a btorsgot, s ezt az egsz szerkezetet (a PolicyDefinitions mappt) bemsoljuk a tartomnyunk PDC FSMO-val rendelkez DC-jre, a SYSVOL mappba, akkor nincs sablon tbbszrzs, nincs pazarls, kisebb a replikcis forgalom, mindenki rl. Konkrtan a kvetkez helyre kell msolnunk ezt a nevezetes mappt: SYSVOL\sajat.domain\Policies
~ 163 ~
6.48
BRA
KP EGYBKNT MG EGY
W INDOWS 2003- AS
TARTOMNYBAN KSZLT )
A Central Store kialaktshoz a kzi msols is mkdik s tmogatott87, de ha ez brmilyen elkpzelhetetlen okbl nem megy, van hozz egy segdeszkz is (Central Store Creator Utility), amely egy Group Policy MVP kollga blogjrl letlthet88. Egyetlen megjegyzst fznk mg hozz a sablonvltozshoz. Ha ugyanis rendelkeznk sajt .adm sablonokkal, amelyeket szeretnnk a jvben is hasznlni, s nem vagyunk XML guruk, akkor neknk talltk ki az ADMX Migrator segdprogramot, amirl anno jmagam is rtam egy TechNet cikket89.
87 88
http://support.microsoft.com/kb/929841
~ 164 ~
AD*
6.5.2 A R GI - J GPMC A lassan t ve publikus Vistban mr megtallhattuk a Group Policy Management Console nevezet MMC-t, azaz mr csak az igazn rgi motorosok emlkeznek arra, amikor mg kln le kellett tlteni s telepteni minden gpre ezt a csomagot, ha a nagyon egyszer alaprtelmezett GP Object Editor (gpedit.msc) nem bizonyult elgnek (nem bizonyult). Ma mr viszont integrlt, az R2-ben elsdlegesen teht ezt a keretprogramot hasznljuk, igaz itt is telepteni kell a Server Manager-rel a modularits elveinek megfelelen (leszmtva a forest root DC-t, amelyre mindig felkerl automatikusan). Kliens oldalon ellenben kicsit cifrbb a helyzet, mert a Vista mg tartalmazta, a Vista SP1-bl azta viszont kikerlt. Ellenben az RSAT minden esetben tartalmazza, teht ha a rendszergazda a sajt gpre ezt a csomagot felrakja, akkor az sszes tbbi felgyeleti eszkz mellett az j GPMC-t is hasznlhatja.
6.49
BRA
A GPMC
6.5.3 S Z R S , K O M M EN TEK S A Z A L L S ET TI N G S N Z E T Nos teht, melyek azok az elnyk, amelyek miatt megri ilyen bonyolult mdon elkszteni s krbejrni a GPMC hasznlatt? Pldul a keress vagy inkbb szrs. Sok ve s sok mindenre hasznlom a Csoporthzirendet, de azrt van, hogy egy ismers opcit percekig keresek feldltan, de az idevg MCP tanfolyamokon a kezdeti Csoporthzirend kbulat utn - a hallgatk els s teljesen logikus krdse is mindig ezzel kapcsolatos.
~ 165 ~
6.50
BRA
S ZRS ,
NAGYON ALAPOSAN
Szval, ha minden egyes opcit szeretnk ltni, ami pldul a firewall-lal kapcsolatos, akkor az j GMPC-ben r tudunk keresni erre (az Administrative Templates szakaszon bell), azaz kiszrhetjk ezeket az opcikat egy egyni nzetbe (jobb gomb: Filter Options). Ilyenkor csak azok a trolk ltszanak a bal oldali keretben, amelyek azokat az opcikat tartalmazzk, melyben szerepel a keresett sz (illetve az All Settings alatt megtalljuk az sszeset, egy listban).
~ 166 ~
AD*
6.51
BRA
A Filtering panelt (legels kp) jobban megvizsglva tallhatunk j pr rdekessget. Szkthetjk a keresst az igazi, azaz a menedzselhet opcikra, vagy mondhatjuk azt is, hogy csak azok a belltsok rdekelnek bennnket, amelyekhez mr korbban hozznyltunk, de szrsi opci lehet a felhasznli megjegyzsek meglte is (errl majd ksbb). Ha kulcsszt runk be, akkor nemcsak az adott bellts szvegben, hanem a gyri magyarzatok, illetve a felhasznli megjegyzsekben is kereshetnk (ezek miatt ltszik annyifle tallat a msodik kpen a firewall szra). Radsul tovbb szkthetnk egy terjedelmes listbl az opercis rendszer, a szervizcsomag vagy akr a klnbz komponensek kivlasztsval. Szval a Windows 2000 ta vrjuk a keress/szrs lehetsgt a Csoporthzirendben, rengeteg ideje nlklzzk mr ezt a lehetsget, de most vgre megkaptuk radsul elgg kimert mdon. A keress, szrs, rendezs tmakrhez tartozik mg kt jdonsg is. Az egyik a korbban mr emltett felhasznli megjegyzsek bevitelnek lehetsge. Minden egyes opcihoz szabadon fzhetnk hozz megjegyzseket, ami elsre nem tnik valami nagyon fontos lehetsgnek, pedig az. Ha pldul tbben hangoljuk a Csoporthzirendet, akkor ha lelkiismeretesen vgezzk ezt, azaz kommenteznk rendesen, akkor mindig tudni fogjuk, hogy ki s mirt lltotta be az adott opcit. De tegyk a szvnkre a keznket: ha csak egyedl konfigurlunk, akkor is emlksznk
~ 167 ~
6.52
BRA
K NNY
ELIGAZODNI A
GPO- K
KZTT IS
Egy msik lehetsg az sszes ltez opci egyetlen listba zsfolsa (All Settings). Ez szintn egy Administrative Templates hatkr mvelet, kln a gpek, illetve kln a felhasznlk esetn. Ilyenkor a gpek esetn 1648, a felhasznlknl pedig 1454 db opcit a jobb oldali keretben lthatunk, alapesetben ABC sorrendben, de van lehetsg rendezni az opci llapota, az esetleges kommentek vagy az elrsi tvonal szerint. Radsul nem egy passzv listt kapunk, hanem brmelyik elemre kattintva rgvest szerkeszthetjk is az opcit (korbban elfelejtettem jelezni, hogy ez a szrs esetn is ugyangy van). A kzs emlkezst segtheti a Microsoft Desktop Optimization Pack Advanced Group Policy Management eszkze, amely mg jvhagysi folyamatokat is tartalmaz egy-egy GPO vltozshoz (a lektor megjegyzse). http://technet.microsoft.com/en-us/library/ee532079.aspx
90
~ 168 ~
AD*
6.53
BRA
A LL S ETTINGS
Az Explain text, azaz a gyri magyarz szveg kibvtse is ehhez a tmhoz tartozik mg, sok-sok helyen jrartk, rtelmesebb s hasznlhatbb tettk ezeket a magyarz szvegeket, ergo rdemes idnknt megnzni. s egy megjegyzs: ha valamivel ezekben nem rtnk egyet, hibt tallunk benne, vagy jobbat tudunk rni, akkor a Group Policy Team szvesen fogadja az alternatvkat a gptext@microsoft.com e-mail cmen. 6.5.4 S T A RT E R GPO- K Kpzeljk el, hogy szksgnk van 5 darab GPO-ra, amelyben egyenknt 100-100 opcit fogunk belltani! A 100-bl 50 ugyanaz lesz (mert mondjuk ezek a cges alapkvetelmnyek), a maradk 50-nek viszont teljesen eltrnek kell lennie. Mit csinlunk? Rgta vannak mr sablonjaink (lsd: Security Templates MMC) a Csoporthzirendhez, de ezek tipikusan biztonsgi sablonok, az Administrative Templates szakaszra nem vonatkoznak, neknk pedig kifejezetten a gpek s a
~ 169 ~
6.54
BRA
A S TARTER GPO
FELHASZNLSA
Szeretnm a figyelmet felhvni a piros keretben szerepl kt nyomgombra. Szerepk fontos, mivel a hordozhatsgot szolglja, azaz ha egy Starter GPO-t elmentnk .cab formtumba, akkor egy msik rendszerben is elrhetv tudjuk tenni a Load
91
~ 170 ~
AD*
Cabinet paranccsal. Ezek ismeretben szimpla gy lesz felszerelni magunkat nhny hasznos Starter GPO-val. 6.5.5 G RO U P P O L I C Y P R EF E R EN C ES 2006 szn a Microsoft megvsrolta a Desktop Standard nev cget, melynek volt egy remek alkalmazsa ami lehet, hogy nhny Olvasnak mg ismers: ez volt a PolicyMaker. Nos, ezt az alkalmazst jelentsen trtk s testre szabtk, majd teljesen beptettk a Windows Server 2008-ba (s az RSAT-ba is), s Group Policy Preferences nven fut azta is. Annyira fontos s annyira ms, hogy a GPO-kban egy teljesen kln fgat kapott. Mg akkor is gy van ez, ha sszesen kb. 90-100 opcit tartalmaz csak (de ez igazbl sokkal tbb, mert egy-egy ponton akr 30-40 dolgot is llthatunk), teht mennyisg szempontjbl nem sszemrhet a hagyomnyos hzirendekkel. De ms szempontbl sem sszemrhet, ugyanis a hatsa nem ktelez a felhasznlkra nzve, hanem csak ajnlsnak szmt, azaz a felhasznl, ha akarja, megvltoztathatja az ltalunk elre definilt belltst. Termszetesen ugyangy kzpontilag hangoljuk, s ugyangy frisslhet is (a kliensen 90-120 percenknt), radsul kln-kln van itt is gp/felhasznl hatkr (br a hasonlsg az opcik tpusa s rtelme kztt azrt jval kisebb, mint az alap hzirendeknl). Amit mg meg kell jegyeznnk, hogy ha egy hagyomnyos hzirend opci s egy Preferences opci sszeakad, akkor mindig a hagyomnyos nyer, de ez logikus is.
6.55
BRA
P OLICIES
P REFERENCES 2 X
IS EGY - EGY
GPO- N
BELL
A GPP rengeteg olyan kellemes lehetsget ad a rendszergazdk kezbe, amely eddig kimaradt a hagyomnyos hzirendekbl, beszljnk teht ttelesen ezekrl, elszr a szmtgpekre vonatkoz opcik kzl a Windows Settings krben: - Environment szakasz: Ltrehozhatunk, mdosthatunk, kicserlhetnk s trlhetnk krnyezeti vltozkat. - Files s Folders: Ltrehozhatunk, mdosthatunk, frissthetnk s trlhetnk fjlokat s mappkat! Mindkt szakaszban szmos lehetsg van a ltrehozs
~ 171 ~
6.56
BRA
M KDIK
Network Shares: Ltrehozhatunk hlzati megosztsokat is, minden egyes a klasszikus mdon is elrhet jellemzjvel egytt, st az Access-based Enumeration (magyarul: csak azt ltja a felhasznl, amihez van jogosultsga) opcik is elrhetek. Shortcuts: szintn elrhet minden alapmvelet a parancsikonokkal kapcsolatban is.
Van folytats is mg a gpek hzirendjnl, s ez a Control Panel kr, ahol a kvetkez szakaszok tallhatak meg.
~ 172 ~
AD*
Data Sources: Ltrehozhatunk, mdosthatunk, frissthetnk s trlhetnk DSN-eket s adatforrsokat is konfigurlhatjuk, ugyangy mint az ODBC panelen a Vezrlpultban. Devices: engedlyezhetnk vagy tilthatunk eszkzmeghajtkat a class ID-jk alapjn, nagyjbl hasonlan, mint az eredeti (Vista) hzirendben. Folder Options: kicsit ms, mint fent, a fjltpusok, a fjl-sszerendelsek krt szlesthetjk vagy szkthetjk. Local Users and Groups: minden (!), amit egybknt tudunk mvelni a helyi felhasznlkkal s/vagy a csoportokkal. Persze elszr ltre kell hozni ezeket, br az Administrator s a Guest felhasznlkat alaprtelmezs szerint is tudjuk kezelni gy. Network Options: Hihetetlen, de igaz: innen indulva kpesek lesznk minden rszletre kiterjed VPN s DUN kapcsolatokat ltrehozni a kliensen. Mindenre gondoltak, eldnthetjk, hogy egy vagy az sszes felhasznlnl jelenik majd meg a kapcsolat, elrhetek a trcszsi, a hitelestsi s egyb opcik is. Ha van mr azon a gpen VPN kapcsolatunk, amelyiken konfigurljuk a GPP-t, azt pldul importlhatjuk, elkpeszt Power Options: Itt gyrthatunk opcikat s smkat az energiaellts opcikrben (csak Windows XP esetn). Printers: TCP/IP s loklis (!) nyomtatkat hozhatunk ltre. LPT/USB/COM portokat, IP cmet s minden ms nyomtat tulajdonsgot is konfigurlhatunk itt. Scheduled Tasks: Ltrehozhatunk, mdosthatunk, frissthetnk s trlhetnk idztett feladatokat. Services: A rendszerszolgltatsokat illeten is szmos lehetsgnk van, igaz, ez nem sokban klnbzik a szimpla hzirend esetn ismers opciktl.
~ 173 ~
6.57
BRA
K IBONTOTT GPP
VPN
KAPCSOLAT
Ezek mellett a felhasznlkra is van egy-egy Windows Settings s egy Control Panel szakasz, de ennek (nhny esetben szintn szenzcis) rszleteitl mr megkmlem a kedves Olvast, nzzk meg nszorgalombl, megri. Attl viszont nem kmlek meg senkit, hogy bemutassak mg egy fontos komponenst, az n. Target Editor-t, amelyet minden belltsnl megtallunk (a Common flrl rhet el > Item level targeting fl > Targeting gomb), s amellyel egyszeren s ltvnyosan szkthetjk a belltott opcink hatkrt. A kvetkez kphez rtelmetlen feltteleket szedtem ssze, a lnyeg nem is ez, hanem a soksznsg, mg legalbb hromszor ennyi lehetsg van, amit nagyon egyszeren sszepakolhatunk egy kzs felttelrendszerr (szval nem kell a WMI-vel knldnunk). Ami lemaradt a kprl, pedig klnsen fontos, az a csoportokra illetve az egyni felhasznlkra trtn szrs lehetsge.
~ 174 ~
AD*
6.58
BRA
S ZERFELETT
CSOPORTBA SZEDVE
Mr csak egyetlen fontos krds maradt htra a GPP-vel kapcsolatban: mely klienseken fog mkdni alaprtelmezs szerint, s mi lesz a tbbivel? A vlasz nem olyan rossz, mint amire szmthatnnk: Windows 2008-on csont nlkl, a Vista RTM, XPSP2 s Windows Server 2003 SP1/SP2 esetn egy letlthet n. Client-Side Extension (CSE) segtsgvel mkdik a GPP. A Vista SP1 ta viszont gyrilag beptett a kliens. 6.5.6 T O V B B I R2- ES J D O N S G O K Nhny dolog megjult, tbb mint 300 92 opci bekerlt (IE8, Bitlocker/ToGo, Power, Taskbar, Security, WLAN, PKI, NAP, NRPT, AppLocker, DNSSec, DirectAccess, Biometric Framework), s lett 1-2 komoly s fontos jdonsg is, de azrt mindezt csak egy szk felsorols formjban fogom most ismertetni: - Windows PowerShell Cmdlets for Group Policy o Ahogyan nagyon sok egyb terleten, a csoporthzirendben is megjelent a PowerShell szkriptek segtsgvel trtn menedzsment lehetsge. GPO-k ltrehozsa, trlse, mentse, tnevezse, valamint
92
~ 175 ~
~ 176 ~
AD*
6.59
BRA
s most, hogy vgre elrtnk a Csoporthzirend szekci vgre, klnsebb kommentek nlkl megosztank 1-2 zemeltetsi tancsot, mert tancs az aztn tnyleg kell ehhez az eszkzhz: - Mindenkppen teszteld le a belltsok hatst! - Elszr a GPO-kat csinld meg, s csak eztn kerljenek be a kliensek a hatkrkbe! - A GPO gyrts/szerkeszts ugyanarrl az OS verzirl trtnjen! - A j cl a kevs GPO, sok s logikailag sszefgg belltssal! - vatosan a knyszerts s a blokkols lehetsgekkel! - Az adminoknak mindig tilts (Deny) legyen a vgrehajtson! - Hasznld btran a parancssort s a GPMC extrkat! - Kommentls, dokumentls, ments! - Prbld meg a felhasznlk tudomsra hozni a mirt magyarzatt! 93
93
Opcionlis
~ 177 ~
7 K IEMELT
SZOLGLTATSOK
Mrmint gy rtem, hogy az ltalam kiemelt szolgltatsok . Ezek azok a nagyobb komponensek, melyeket nehz beskatulyzni, mert tbb szerepkrrel s szolgltatssal is egytt dolgoznak. Viszont kzs jellemzjk, hogy ingyenesen elrhetek, azaz az opercis rendszer rszei, s az is, hogy igencsak innovatv megolds mind, valamint mg az is, hogy a bevezetsk vagy a mkdsk megrtse nem egyszer feladat deht neknk muszj szeretni a kihvsokat.
7.1 A
KARANT NU NK , A
NAP
A NAP, azaz a Network Access Protection valsznleg a Windows Server 2008 legnagyobb biztonsggal kapcsolatos dobsa. A legtbb szervezet esetn ugyanis jelents igny mutatkozik egy olyan megoldsra, amely mr a fizikai hlzat szintjn elvlasztja az alkalmi csatlakozs vagy kevsb megbzhat, illetve kevsb felgyelhet szmtgpeket a bels hlzatba tartoz kliensektl s szerverektl. Tartomnyi krnyezetben ugyan van nhny eszkznk a biztonsgi hatrok fellltsra, a kzponti felgyeletre s a renitens gpek mresre tantsra, de sok esetben mg ez is kevsnek bizonyul, vagy ppen nem alkalmazhat. Viszont a fizikai vagy a tvoli hozzfrs szintjn egyltaln nem rendelkeznk ezekkel az eszkzkkel, ugyanakkor nagyon sok esetben nem tagadhatjuk meg teljesen a hozzfrst a hlzatra szksgszeren jogosan kapcsold (nem tartomnyi) gpektl sem. Erre a lthatan nehezen megoldhat helyzetre nyjthat gygyrt a NAP, azaz egy olyan szerverkliens megolds, amely a vdett hlzatunkban alaprtelmezs szerint mg az IP-kapcsolatot sem engedi meg, s amely csak egy alapos, az zemeltetk ltal rszletesen hangolhat vizsga sikeres teljestse esetn adja meg a hozzfrst a bels hlzathoz kapcsoldni szndkoz gpeknek. De a NAP nemcsak az ellenrzst oldja meg, hanem az elutastott gpek lelhelynek, azaz a karantnnak a vezrlst s az automatikus llapotjavtshoz szksges folyamatokat is kpes kzben tartani. A NAP clja teht tmren az, hogy a routerek, switchek, a vezetk nlkli hozzfrsi pontok, a szoftveres s az appliance (hardverbe ptett clszoftver, pldul egy Forefront TMG) rendszerek segtsgvel rvnyestse a vgpontokon a biztonsgi elvrsainkat. Mindezt gy ri el, hogy lekrdezi a hlzatra csatlakoz eszkzk egszsgi llapott (bekapcsolt tzfal, Windows Update kliens, vrus/spyware-irt llapota, st kls gyrttl szrmaz sablonok94, stb.), majd ezt sszehasonltja az ltalunk elre definilt szablycsomaggal, s az eredmny alapjn dnt a hlzati hozzfrs engedlyezsrl. Ha a folyamat negatv eredmnnyel zrul, a Mra (2011) rengeteg kls gyrt is tmogatja, szzas nagysgrendben (http://www.microsoft.com/en-us/server-cloud/windows-server/network-accessprotection-nap.aspx).
94
~ 178 ~
KIEMELT SZOLGLTATSOK
kapcsoldni szndkoz kliens nem jut be a vdett hlzatba, hanem lehetsget kap biztonsgi llapotnak szintre hozsra, azaz csatlakozhat a publikus szegmensen mkd patikaszerverekhez 95 , pl. egy WSUS-hoz/SCCM-hez vagy a vrusirt- szignatrkat trol szerverhez, majd a szksges korrekci utn (ami lehet automatikus is, lsd auto-remediation 96 ) vgrehajthat egy jabb kapcsoldsi ksrletet, s ha egszsges, akkor beengedjk a hlzatba97.
7.1
BRA
AZ
A korrektsg kedvrt emltsk meg a NAP egyetlen elzmnynek tekinthet mr a Windows Server 2003-ban s az ISA 2004/2006 kiszolglkban is jelenlv VPN-karantn megoldst, de csak azrt, hogy kiderljn: mlysgben s hasznlhatsgban egyarnt nagyon klnbzik a NAP-tl. A legjobb plda erre a belptet kzeg, ugyanis a VPN karantn rtelemszeren csak a VPN kapcsolatok esetn volt hasznlhat, mg a NAP a vezetkes, a vezetk nlkli s a RAS/VPN kapcsolatok esetn is, illetve a kapcsolds tpusa alapjn a DHCP, IPSec- vagy ppen az RDP kliensekre is alkalmazhat.
Fti Marcell szenzcis elnevezse. Magyarul bekapcsolja a kikapcsolt tzfalat. 97 Ha sokig nem viselkedik rendesen, akkor viszont a karantnbl is kikerlhet (mivel konfigurlhat az itt tlthet idtartam), azaz meg is szakthat a kapcsolat.
95 96
~ 179 ~
7.2
BRA
K OMPONENSHEGYEK
7.1.1 S S ZE T E V K
98
~ 180 ~
KIEMELT SZOLGLTATSOK
Ha szndkunkban ll a NAP bevezetse, akkor szmoljunk azzal is, hogy tbb kiszolgl-szerepkr is felkerl majd a kiszolglnkra, illetve j pr kls szerepkrt ssze is kell konfigurlnunk a NAP-pal. Nzzk az sszes kapcsold elem listjt: - Network Policy Server (NPS): Mr volt rla sz korbban, gyakorlatilag a Microsoft legjabb RADIUS szerver implementcija 99 . Az NPS taln a legfontosabb eszkznk, mivel gyakorlatilag minden fogad komponenssel tartja kapcsolatot, s a kezben van a dnts a beengedsrl, vagy az elutastsrl. Ezenkvl a Connection s a Network Policy gyjtkben lv szablyok segtsgvel: o Kzpontilag kpesek lesznk felgyelni a vezetk nlkli hozzfrsi pontokat, a VPN szervereket, a dial-up szervereket s pldul a 802.1x szabvnnyal dolgoz hlzati eszkzket is. o Az egszsgi llapot elrsok SHV (System Health Validator) ellenrz csomagok formjban kerlhetnek fel az NPS szerverre. o A kliensek egszsgi llapott felmr s az eredmnyt trol csomagok (Statements of Health SoH) is kzbesthetek az NPS-en keresztl. o A korltlan s a korltozott hozzfrsek kritriumait is lerhatjuk (Health Policy), s persze a NAP EC-knek megfelelen tbb szablyzat is ltezhet. - Health Registration Authority (HRA): Egy olyan NAP komponensrl van sz, amely csak az IPSec tpus kapcsoldskor (lsd ksbb) szksges. A kliens egy a megfelelt llapott bizonyt tanstvnyt kaphat ettl a kiszolgltl az SoH krs kikldse utn, s ezzel pti majd fel az IPSec kapcsolatot. - Host Credential Authorization Protocol: A Cisco hasonl (NAC, Network Admission Control) rendszere fel kapcsolatot teremt komponens. - RRAS: Szintn felkerl a szerverre ez a rgi j ismers is, amely a sokfle kapcsoldsi lehetsgrt, illetve hlzati technolgirt felel (VPN, DUP, LANto-LAN, LAN-to- WAN, NAT stb.) , de a NAP-hoz csak kzvetve kapcsoldik. - IIS7 + PKI infrastruktra. Szintn ktelez elemek, mr a telept varzslban is konfigurlhatunk egy sajt CA-t (persze ha mr ltezik, akkor hasznlni is tudja a megfelel szervertanstvnyt). - s vgl, de egyltaln nem utolssorban az Active Directory, ami az elrt egszsgi informcik lelhelye lesz. s most jjjenek a rszben mr emlegetett kapcsoldsi lehetsgek, amelybl t ll rendelkezsre, azaz ezek azok a kzegek amelyekbl kapcsoldva egy kliens llapott a NAP kpes vizsglni, majd dnteni a sorsrl. 7.1.2 A
99
K AP C S O L D S I L EH E T S G EK
Az NPS-t persze hasznlhatjuk RADIUS kliensknt is, s ezen a terleten is, pl. egy telephelyes, tbb NAP kiszolgls infrastruktrban.
~ 181 ~
7.3
BRA
A NAP DHCP
2. 802.1x Vezetkes (Wired) s vezetk nlkli (Wireless) kapcsoldsok Korrektebb megolds, mint az elz, vezetkes s vezetk nlkli eszkzk segtsgvel, viszont ezekkel a hardver eszkzkkel szemben elvrs, hogy a hozzjuk fordul kliens egszsgi llapott kpesek legyenek fogadni s tovbbkldeni az NPS fel. Negatv vlasz esetn viszont a hardver eszkz tipikusan egy a bels hltl eltr, attl fggetlentett VLAN-ba irnytja majd a gpeket. De persze gondoskodunk kell arrl, hogy a patikaszerverekkel is legyen kapcsolata ennek a VLAN-nak.101
Viszont a DHCP mindig kznl van, s ha erre is hasznljuk, akkor mr ez is hatalmas elrelpsnek szmt. 101 Nehezti ezt a szitucit, hogy vagy a hlzatos kollgkkal kell egyeztetni (nem mindig sikeres az ilyen kezdemnyezs), vagy magunknak kell rteni ezekhez az eszkzkhz (a lektor megjegyzse).
100
~ 182 ~
KIEMELT SZOLGLTATSOK
7.4
BRA
S ZMTALAN VLAN
7.5
BRA
K T
TZ ( FAL ) KZTT
A NAP VPN tmogatsa szemben a korbbi VPN karantn megoldssal szleskr, s knnyen konfigurlhat, s nehezebben kikerlhet. Knnyedn elrhatjuk az egszsgi llapotot, amit a kapcsold kliensen lv gynk folyamatosan figyel. Tipikusan a kapcsold gp egy tartomnyi gp lesz, gy az automatikus javts sem lehet problma, s a kapcsolds ideje alatt folyamatosan ellenrzs alatt marad a kliens. Az j fejleszts VPN tunnel protokollok mind NAP kompatibilisek, de a kvetkez rszben ismertetsre kerl DirectAccess elrs esetn is folyamatosan ellenrzs alatt maradhat a kapcsold munkalloms. s persze ne feledjk, ha pl. egy
~ 183 ~
~ 184 ~
KIEMELT SZOLGLTATSOK
7.6
BRA
E GY
IPS EC
SEGTSGVEL
Vgl cmszavakban nzzk meg, hogy mi trtnik egy mkd NAP rendszerben, amikor a kliens DHCP-vel szeretne kapcsoldni. 1. A kliensnk a szoksos mdon IP-belltsokat kr a DHCP-kiszolgltl. Ha a kliens rendelkezik az SoH-val, akkor ezt a DHCP-krelem mr tartalmazza. A DHCP-szerver az SoH-t tovbbtja az NPS kiszolglnknak, az pedig kiderti, hogy rvnyes-e. 1.1. A eset: Ha igen, a DHCP-kiszolgl elltja a klienst a komplett IPkonfigurcival, a kliens pedig korltlan hozzfrst kap a hlzathoz, s vge a folyamatnak. 1.2. B eset: Ha nem, akkor a DHCP olyan IP-paramtereket ad t a kliensnek, amelyek csak a korltozott hlzathoz biztostanak hozzfrst (lsd korbban). 2. Ha a kliensnek nincs SoH-ja, akkor nem megfelel, s ugyanaz trtnik, mint az elz pont B esetben, s jhet a kvetkez pont. 3. A kliens NAP gynke frisstsi krelmet kld a nyitott vagy elrhet hlzaton lv patikaszervernek. 4. A patikaszerver elltja a klienst a megfelel javtsokkal, s a kliens SoH-ja is aktualizldik. 5. Ismtelt krelem indul a DHCP-szerver fel, amely viszont mr tartalmazza az j SoH-t azaz kezddhet ellrl a vizsglat, az idelis 1.1 pont fel haladva.
~ 185 ~
7.7
BRA
E GY NAP
KLIENS S AZ
EC- K ,
BEKAPCSOLT
De nzzk meg - gyorstott zemmdban - azt is, hogy hogyan konfigurlunk be egy IPSec EC-vel mkd NAP-ot! A feladat kicsit elrugaszkodik a knyv alaptmjtl, de legalbb egy relis cl: egy VPN szerverknt (is) mkd Forefront TMG vagy UAG szerveren keresztl mkdjn a NAP, a tartomnyi - tipikusan hordozhat - gpeink szmra, amikor nem a bels hlzatban vannak. 1. lltsuk be a tanstvnykiadnkat (Certificate Authority) gy, hogy kpes legyen egy megfelel egszsgi tanstvnyt kiadni a NAP kliens krse esetn! a) Ehhez egy Workstation Authentication tanstvny kell majd, teht msoljunk le egy ilyen sablont a CA Certificates Templates konzolban (Windows Server 2003 Server, Enterprise Edition tpus). b) A neve lnyegtelen, ellenben az Extension > Application Policies > Edit alatt vegyk fel a System Health Authentication policy-t, mivel ennek az OID-ja azonostja majd a tanstvnyt egy NAP egszsgi tanstvnyknt. c) Engedlyezzk a sablont (Certificate Templates > New > Certificate Templates to Issue), majd a CA gykern adjunk meg minden jogot a leend NAP szervernk szmtgp fikjnak (lsd kvetkez kp). Erre azrt van szksg, hogy a NAP kiszolgl kpes legyen kiadni egy tanstvnyt az egszsges kliens nevben. d) Egy bonyolult parancs jn: Certutil setreg policy\EditFlags +EDITF_ATTRIBUTEENDDATE ez azrt kell hogy a HRA szmra a leend krsben specifiklhat legyen az rvnyessgi peridus. e) Ezek utn a CA jraindtsa ktelez.
~ 186 ~
KIEMELT SZOLGLTATSOK
f) A leend NAP szerveren krjnk egy Computer tpus tanstvnyt a kiszolglnak (elvileg itt mr ltni fogjuk a NAP klienseknek szl sablont is, de nem ez kell most).
7.8
BRA
A NAP
2. A NAP szerepkr teleptse a kvetkez lps, azaz rakjuk fel az NPS es a Health Registration Authority komponenseket. A telepts kzben vlasszuk ki a CA szervernket, mint Existing Remote CA-t, majd az elbb elksztett tanstvnyt is. 3. Indtsuk el az NPS-t, majd a fkpernyrl a Configure NAP pontot! Ha IPSec alapon szeretnnk a NAP-ot, akkor vlasszuk a kvetkez kpen is szerepl IPSec with HRA metdust. 4. A RADIUS kliens(eke)t meghatroz lpsen simn tugorhatunk, mivel a mi esetnkben a helyi HRA lesz majd a RADIUS kliens. A kvetkez, Machine Groups ablakban a felhasznli rvnyessgi krt adjuk meg. Ha nem adunk meg semmit, akkor minden felhasznlra rvnyes lesz ez a hzirend.
~ 187 ~
7.9
BRA GY INDUL A
NAP
VARZSL
5. Ezutn egy SHV megadsa kvetkezik. Ha nem teleptettnk egy klst (pl. a Forefront vrusirthoz is van ilyen), akkor marad a gyri a Windows SHV (mindjrt rnznk a belltsaira). Itt lthatunk mg egy fontos opcit is, ami az auto-remediation-ra, azaz az automatikus gygytsra vonatkozik. Ha ezt megengedjk, akkor pl. a kikapcsolt MIcrosoft Update kliens vagy a tzfal bekapcsolja majd magt a kliensen. 6. Ezek utn jn az sszegzs s ez a rsz kszen is van, viszont az egsz mvelet mg egyltaln nem, ezrt ugorjunk t a Network Access Protection pontra s keressk meg a Windows SHV belltsait (7.10 bra). Nos, itt fogjuk a csatlakozsi feltteleket belltani! Az brn is lthat, hogy n csak annyit kveteltem meg most, hogy a Microsoft Update kliens legyen mindig bekapcsolva.
~ 188 ~
KIEMELT SZOLGLTATSOK
7.10
BRA
AZ
7. Ezzel vgeztnk is az NPS-ben, ergo indtsuk el a HRA-t az Administrative Tools-bl. Itt viszonylag kevs dolgunk lesz, a bal oldali keretbl vlasszuk ki a Certification Authority-t, s jelljk ki a CA szervernket az Add paranccsal. Ha ezzel megvagyunk, akkor vlasszuk ki ugyanitt a CA tulajdonsgait, s lltsuk be a kvetkez kp alapjn a Use enterprise certification authority alatt ktszer a korbban elksztett egszsgi tanstvnyunk sablonjt. s ezzel vgeztnk is a HRA-val.
~ 189 ~
7.11
BRA
A HRA
BELLTSA
8. Jjjn viszont a Csoporthzirend, definiljunk egy kln GPO-t, majd lltsuk be a kvetkez opcikat: a) Hatrozzuk meg az EC tpust (IPSec Relying Party, lsd a kvetkez kpet)! b) Jelljnk meg egy URL-t, amelyen a NAP szervernk elrhet kvlrl is (a pldban erre szksgnk lesz), mint egy megbzhat HRA (7.13 bra)! c) lltsuk be, hogy a NAP szolgltats minden rintett kliensen automatikusan induljon (Security Settings > System Services)! d) lltsuk be azt is, hogy a Security Center (Administrative Templates > Windows Components > Security Center) mindig legyen bekapcsolva (ez egy tartomnyban alaprtelmezs szerint ki van kapcsolva)!
~ 190 ~
KIEMELT SZOLGLTATSOK
7.12
BRA AZ
IPS EC EC
BEKAPCSOLSA A
C SOPORTHZIRENDBEN
7.13
BRA
A Z E XTERNAL
KAPCSOLAT KO NFIGURLSA
~ 191 ~
7.14
BRA
AZ
EGSZSGI TANSTVNY
sszegezzk mg egyszer! Amikor a kliens a kls hlzatbl csatlakozik, a NAP ellenrzs is megtrtnik s ha be van kapcsolva (a pldm szerint) a Microsoft Update, akkor megkapja a kliens a spci tanstvnyt s mkdik az IPSec csatorna kiptse. Ha nem, akkor pedig a remediation llapottl fggen vagy automatikusan bekapcsoldik a Microsoft Update, vagy nem lesz addig kapcsolat, amg kzzel nem korriglunk. Ha nincs
~ 192 ~
KIEMELT SZOLGLTATSOK
kapcsolat, akkor azrt nincs mert az emltett tanstvnyt ilyenkor nem kapja meg a kliens. Korrekt. Vgl ennyi kattintgats utn, mieltt dmonizlnnk a NAP-ot, tisztzzuk azrt azt, hogy mire nem lesz j? - NEM vd a felhasznli tmadsok ellen - NEM VPN karantn - NEM ISA/TMG kiszolgl - NEM kell felttlenl hozz specilis hardver - s persze NEM kell hozz kln licenc sem
7.2 T BB
MINT
A 2007-es RSA konferencin beszlt Bill Gates elszr arrl a vzirl, hogy VPN vagy brmilyen ms tvelrsi mdszer nlkl is el kellene tudnunk rni biztonsgosan a bels hlzatunk erforrsait, instant mdon, azaz brmilyen manulis teend nlkl, gyakorlatilag teljesen automatikusan. Ez remekl hangzott az elkpzels szintjn, hiszen akr rendszergazda vagyok, akr felhasznl, ezzel az elrssel csak a problma van. A VPN bonyolult (is tud lenni, fkpp, ha szimpla felhasznlk vagyunk), ha komolyan vesszk, kell a Smartcard\PKI, sokszor egy automatikus default gateway tirnytssal is jr (a split tunnel-t nem szeretik ltalban a cges krnyezetben), vannak olyan hlzatok (pl. hotelek vagy egyb szigor cges hlzatok), ahonnan nem hasznlhat, vagy csak PPTP, s sorolhatnm mg a problmkat. Summa summarum: nem igazi az lmny. 7.2.1 M I I S E Z ? A DirectAccess azaz a Windows Server 2008 R2-vel s a Windows 7-tel megvalstott kzvetlen elrs viszont az. Mivel jmagam pldul rendkvl sokat vagyok tvol az irodtl, a tvoli elrs az els pillanattl kezdve fontos volt. Anno minden gpemhez beszereztem a smartcard olvast (a Dell Tablet PC-hez nem volt egyszer), mindenhol hasznltam a CMAK-kal csomagolt IT Connection Manager-t az sszes kritriummal egytt (a rszletek nem publikusak). Mkdik, de mindez csak knlds a DA-hoz kpest. Ugyanis most mr semmit nem kell trcszni, semmit nem kell elindtani (kritriumok persze ugyangy lehetnek, pldul megkvetelhet a smartcard hasznlat), csak indtom a bngszt, s berom az intranetes szerver nevt vagy pl. a fjlszervert a Start/Run-ba. Nincs hossz ellenrzs, terjedelmes karantn vizsglat, csak egy internet kapcsolat kell. Radsul, mivel mr a belps eltt led, a cges krnyezetben ktelez frisstsek s hzirendek letltse sem csak a VPN kapcsolat utn indulhat, hanem ettl fggetlenl, azaz brmikor, ha van a gpnek net elrse. Persze nem arrl van sz,
~ 193 ~
7.16
BRA
E GY ( MAJDNEM )
TELJES
DA
INFRASTRUKTRA
Mindeme "csoda" alapja tbb hlzati technolgia egyttes alkalmazsa, gymint IPSec (hitelests s titkosts) illetve az IPv6 a ktirny kapcsolat felptshez, idelis esetben tkletes point-to-point security kialaktsa a NAT, a NAT-T s az egyb NAT problmk nlkl. Viszont ha mg nincs teljes IPv6 infrastruktrnk102, akkor az ISATAP-ra, a Teredo-ra, a 6to4-re is szksgnk lehet az IPv4/v6 talaktshoz szerver illetve kliens oldalon103. Kis segtsg ezek rtelmezshez: - Teredo: NAT Traversal - IPv4 tunneling: mindegyik talakts IPv6 belecsatornzsa IPv4-be. o ISATAP: az IPv4 cmek egy linken bell vannak (pl. bels hlzat) o 6to4: publikus IPv4 cmekhez, brhol, nincs NAT o Teredo: az IPv4 cmek privt cmek, brhol, NAT-T - Split DNS s a DA hasznlat "kvetse": Name Resolution Policy Table Alaprtelmezs szerint a Vista, WS08, Windows 7, WS08 R2 OS-ekben natv mdon implementlva van, a hlzati hardver eszkzk persze mg kln krdst kpeznek. 103 Vagy egy NAT-PT (RFC 2766) kpes Layer2/3 hlzati eszkz, azaz switch vagy router (mivel az R2 ezt nem nyjtja) vagy egy Forefront UAG 2010, ami szintn kpes a teljes talaktst elvgezni.
102
~ 194 ~
KIEMELT SZOLGLTATSOK
Az NRPT-hez mg egy mondat, mivel ez rdekes jdonsg, amely a Windows 7ben debtl. Az NRPT elsdleges clja az, hogy szeparlni tudjuk a kliens oldalon a Internet/Intranet forgalmat, teht abban az esetben, ha a kliens az interneten lg, az els DNS inf keress helye a NRPT lesz - s ha egy DA-n keresztli, bels hlzati nv/cm elrsrl van sz, akkor ott kell lennie ebben a tblban a mi megfelel DNS szervernknek (Csoporthzirend > Name Resolution Policy), s mr indulhat is a titkostott DNS lekrdezs vagy mehet titkosts nlkl is - pl. az l DA kapcsolaton keresztl. Plusz itt van mg neknk egy j, a Microsoft ltal fejlesztett protokoll, az IPHTTPS. Csak a Windows 7 illetve az R2 esetn, a proxy vagy tzfal mgtt elhelyezett hostok kpesek az IPv6 csomagokat IPv4 alap HTTPS session-okbe "gymszlni". Ezzel persze akadhatnak teljestmny gondok, ppen ezrt ez csak a tartalk forgatknyv, arra az esetre, ha a kliens szimpla IPv6 alapon (illetve a fentebb emltett talaktsi megoldsokkal) nem tud kapcsoldni. No s persze a klnbz hitelestsi protokollok is szksgesek, ezek kzl jelen pillanatban elssorban a smartcard, azaz egy multifaktoros hitelests a lehetsg. A gpnek rtelemszeren tartomnyi tagnak kell lennie, illetve j tudni azt is, hogy az zemeltetk megszabhatjk a bels erforrsok elrst, azaz adhatnak elvileg korltlan hozzfrst, vagy csak bizonyos szerverek/gpek elrst, nagyjbl ahogyan pl. egy Remote Desktop Gateway-nl. E rvid ttekints utn mg egy dologba gondoljunk bele: azok a klienseink, akik hasznljk a DA-t, azon kvl, hogy a bels hlzatba csont nlkl belelthatnak, egymssal is kommuniklhatnak majd, amelyet elssorban a klnbz P2P alkalmazsokkal fognak tudni igazn sszehozni, de a lista szlesthet. Ezek kztt vannak/lesznek olyanok, amelyeknl nincs szksg plusz lpsekre a biztonsgos kommunikcihoz, a tbbi esetben (pl. Remote Assistance, Remote Desktop, File/Printer Sharing, stb.) viszont - neknk zemeltetknek - gyakorlatilag IPSec transzport szablyokkal kell majd engedlyeznnk alkalmazsonknt kln-kln vagy ppen mindent megengedve, vagy adott esetben tiltani a kapcsolds lehetsgt. Mindjrt konfigurlunk, de eltte tekintsk t egy elkpzelt104 DirectAccess krnyezet sszes szoftveres elemt s a velk szemben tmasztott elvrsokat: - EDGE gp
Azrt nem csak elkpzelt, nlam virtulis krnyezetben mkdik is , viszont a teljes lers s a step-by-step dokumentum letlthet a netrl: http://www.microsoft.com/download/en/details.aspx?id=24144
104
~ 195 ~
Igazbl elg a sajt tanstvnykiad, mivel lland lesz a bels hlzati elrs, me egy jabb elny . 106 Enhanced Key Usage, azaz a kiterjesztett kulcshasznlati informcik.
105
~ 196 ~
KIEMELT SZOLGLTATSOK
7.17
BRA
KRNYEZET
Az brn szerepel mg kt tovbbi gp is, de ezek elssorban a virtulis tesztkrnyezet miatt vannak beptve, a valsgban nem szksgesek. - INET1 gp o Egy internetes szolgltatt szimbolizl, publikus IP-vel rendelkezik, DHCP s DNS kiszolgl is van rajta, abban a szituciban segt, amikor a laptopunkkal egy nyilvnos helyen neteznk - NAT1 gp o Ez egy Windows 7, ami gyakorlatilag a NAT kiszolgl, s az otthoni egyszer ADSL routert helyettesti, amely mgtt lnk a laptopunkkal, ha hazartnk a munkbl A teljes elkpzels szerint hrom darab hlzatunk van: - Az Internet (131.107.0.0/24) - Az otthoni hlzat (Homenet; 192.168.137.0/24) NAT-tal kapcsoldva a nethez - Bels hlzat (Corpnet; (10.0.0.0/24) a DA ltal elvlasztva107 7.2.2 V A R ZS O L J U N K ! A cl az, hogy a kliens brmelyik hlzatban is van, lland s automatikus kapcsolatot tartson a bels hlzat teljes vagy rszleges elrsvel. Ha minden elfelttelt megteremtettnk, akkor varzsoljunk egy j nagyot a DirectAccess Most a DA szerver vgs elhelyezsvel, azaz pl. a tzfalakkal kapcsolatos felllssal nem foglalkozunk, a TMG knyvben lertam az sszes lehetsget, st mi tbb, a megoldsokat is (a linket lsd az 5.3.2 fejezetben).
107
~ 197 ~
7.18
BRA
~ 198 ~
KIEMELT SZOLGLTATSOK
7.19
BRA
AZ
DA
KLIENSEK CSOPORTJT
7.20
BRA
I TT
~ 199 ~
Kt f rsz van ebben az ablakban, egyrszt a kls s a bels interfszt kell megadni (ha valamit nem jl lltottunk be a TCP/IP-ben, azonnal sikt), illetve itt rhatjuk el ktelez smartcard hasznlatot. Ha a Certificate Components-re vagy Next-re megynk, akkor pedig a kt tanstvny betallzsa a kvetkez lps.
7.21
BRA
V LASSZ R OOT CA
TANSTVNYT
~ 200 ~
KIEMELT SZOLGLTATSOK
7.14
BRA AZ
NLS
7.22
BRA
~ 201 ~
7.23
BRA
HA
DNS
DNS
SZERVERRE
3 lehetsgnk van, az els a szigor, azaz csak s kizrlag az NRPT-t hasznlja (magyarul csak azok a DNS infk lnek, amelyek helyben, s ebben szerepelnek), a msodik a Fall back, azaz elsdleges a megszokott DNS elrsnk (pl. otthon az ISP) s msodlagos az NRPT, vagy akkor is l ez a lehetsg, ha nem elrhet a szoksos. A harmadik is Fall back a helyire, de csak akkor, ha brmilyen DNS feloldsi hiba van. Mg egy kicsit maradunk a harmadik lpsnl s a kvetkez, Management ablakban megadhatjuk a klienseinket felgyel (pl. egy SCCM vagy egy WSUS) szerverek elrst. Ezutn mr csak egy lps marad, az elrhet bels hlzati erforrsok kivlasztsa, az a fajta szelekci, amikor korltozzuk a bels hlzat erforrsainak elrst, amit egy end-to-end hitelests kiknyszertsvel tehetnk meg, illetve AD biztonsgi csoportok formjban tovbb szkthetjk az elrst, majd azrt engedhetnk a gyepln egy kicsit, az IPSec kapcsolatok biztonsgi belltsainak mdostsval.
~ 202 ~
KIEMELT SZOLGLTATSOK
7.24
BRA
S ZERENCSRE
ELG AZ
IP V 4
CM , MAJD KORRIGLJA
7.25
BRA
R ESTRIKCI !
~ 203 ~
Ha ksz, akkor nincs tbb ablak, de teend azrt mg igen, mentsk el a konfigot a Save gombbal (szpen jelzi, hogy hol van ez a konfig fjl), majd nyomjuk meg a Finish-t is! Erre kapunk egy sszegz ablakot, majd ha az Apply-t hasznljuk, akkor vgzi el az rdemi munkt, azaz elkszti a 2 db, az sszes belltsunkat s adatainkat tartalmaz Csoporthzirend objektumot teht neknk ezzel nem kell foglalkozni.
7.26
BRA
D OLGOZIK
SZPEN
Gyakorlatilag ezzel vgeztnk is, a sikerrl kpernykpek formjban nehz beszmolni, demzni sem volt knny sosem, hiszen csak annyi trtnik, hogy mindig mkdik, brmelyik hlzaton is tallhat a gpnk. Ezutn nmi utmunka marad mr csak, mint pl. a DC s az APP szerver IPv6-os infinak frisstse (net stop/start iphlpsvc), illetve a kliens gpen egy gpupdate. A kliens mkdsrl mg annyit, hogy ugye, ahogy mr errl sz volt, 3 kls tranzicis IPv6 protokollunk, amelyek automatikusan jutnak lehetsghez az adott hlzat mkdsi jellemzitl fggen, teht: - Ha kimegynk a bels hlbl, s egy olyan hlzatba kapcsoldunk majd, ahol pl. publikus IP cmnk lesz, akkor els krben jn a 6to4, ha esetleg ez valamirt nem mkdik (pl. egy proxy, stb.), akkor a Teredo. Azt, hogy melyik interfsz l, az ipconfig paranccsal kivlan lehet ltni.
~ 204 ~
KIEMELT SZOLGLTATSOK
7.27
BRA
AZ
IPCONFIG MINDENT E LRUL , MOST PPEN AZ I NTERNET HLBAN VAGYUNK , VAN MG LEHETSG
6 TO 4- GYEL ,
DE LTSZIK , HOGY
Ha egy NAT-olt hlzatban vagyunk, pl. otthon, akkor a 6to4 egybl nem lesz megfelel, a Teredo viszont igen, de ez sem 100%, proxy vagy hlzati eszkz szintn akadlyozhatja. Ekkor jn az IPHTTPS, ami viszont a tapasztalatom szerint nem lesedik automatikusan, teht neknk kell kzzel tiltani - a Teredo-t, a kvetkez paranccsal: netsh interface teredo set state disabled 108. Ha jl van konfigurlva a DA, s a kliens is rendben van tanstvnyilag is (pl. CRL elrs), akkor az ipconfigbl jl ltszik, hogy sikerl beizztani az IPHTTPS interfszt, ami aztn tzfalon, proxy mindenen thast majd.
Azt, hogy ppen milyen protokollok s milyen forgalmi adatokkal mkdnek a DA szerveren, illetve hogy a DNS felolds rendben van-e, azt a DirectAccess Management MMC-bl a Monitoring pont all tudjuk ellenrizni.
Az engedlyezs s a tilts kztt kicsit kevs a logikai sszefggs : netsh interface teredo set state enterpriseclient
108
~ 205 ~
7.28
BRA
NU,
Mg egy utols knnyts (nehz befejezni ezt az alfejezetet), mivel van egy problma mg: a kliensen elg nehz ltni, hogy most ppen mkdik vagy nem mkdik a kapcsolat. Gyrilag nincs semmilyen segdeszkz az opercis rendszerben erre, a felhasznl pedig nem fog ipconfig-ot betgetni, de ha mgis, rteni nem fogja . Ezrt ksztette a Microsoft a DirectAccess Connectivity Assistant-ot, ami letlthet109, s bezemelhet, a Tlcn egy ikon formjban fog vizulis jelzst adni a DA kliens llapotrl. Kapunk egy teleptt a kliensre, de ez mg kevs lesz, a mellkelt Csoporthzirend sablonok segtsgvel be is kell konfigurlnunk pr opcit, pl. azt, hogy mi a cme az NLS szervernknek, amivel a segdeszkz ellenrzse mkdni fog, vagy pl. az NPRT kliensoldali hasznlatt is szablyozhatjuk egy kicsit. Illetve viszonylag egyszeren tudjuk majd hibakeressre is hasznlni, lsd a kvetkez kpet.
Itt mindent megtallunk majd ehhez, pl. a rszletes Deployment Guide-ot is: http://technet.microsoft.com/en-us/library/ff384241.aspx
109
~ 206 ~
KIEMELT SZOLGLTATSOK
7.29
7.30
BRA
K SZ
IS VAN ,
TUDS
7.3 A MI
A TELEPHELYEKEN FONTOS :
B RANCH C ACHE
Tmren sszefoglalva: egy rgi problmra egy j megolds. A problma az, hogy a telephelyeken lv szmtgpekrl a kzponti erforrsok (fjlszerver, webszerver, alkalmazsok, stb.) elrse s futtatsa nehzkes, s gy a felhasznlk munkavgzse csorbul. Persze a WAN kapcsolat fejlesztse, a svszlessg emelse gygyr lehetne a fjdalmunkra, na de ez ersen kltsgfgg tma, vagy akr fizikailag is megvalsthatatlan. De van megoldsunk az R2-ben (s csak abban), Windows 7 kliensekkel, a HTTP/S, a BITS (tipikusan Windows Update) s az SMB (fjlszerverek elrse) protokolloknl s ez a BranchCache. Ami radsul transzparens a felhasznlk szmra, rtkes svszlessget szabadt fel, plusz SSL tmogatssal is br, teht biztonsgos is egyben. Csupa j hr, nem?
~ 207 ~
Azonnal jelezni kell, hogy kt f tpus is rendelkezsre ll, azaz ktfajta forgatknyv ltezik a telephely elltottsga alapjn: 1. Nincs szerver, viszont kevs felhasznl van elosztott (Distributed cache) 2. Van szerver s sok felhasznl van kzponti (Hosted cache) 7.3.1 A K T ZE M M D Az els esetben (maximum 100 gpig ajnlott) teht csak kliensek (a BranchCache szempontjbl csak Windows 7) alkotjk a telephelyi hlzatot, teht a kzponti BranchCache szerver segtsgvel megszerzett gyorsttrazott anyagok trolsa ezeken a klienseken trtnik majd meg, kln-kln. A BranchCache engedlyezse pedig a Csoporthzirenden keresztl megy, s helyben a netsh-val fogjuk tudni piszklni a loklis paramtereket.
7.31
BRA
E LOSZTOTT
ZEMMD
A folyamat a kvetkez mdon nz ki, lpsenknt: 1. A kliens a kzpontban lv, mr BC-vel mkd intranet szerverrl le akar tlteni egy fjlt. 2. Elsre nem kapja meg, csak egy a hitelestsi / engedlyezsi procedra zajlik le, illetve egy content metadata csomagot kap csak a kezbe. 3. Ezzel a csomaggal s a WS-Discovery protokoll segtsgvel krbekrdezi a szomszdjait, hogy esetleg valamelyik letlttte-e mr a fjlt s esetleg trolja is jelen pillanatban. De nem, mi most az elsk elsje lesznk, teht a kzvlemnykutats eredmnye most mg zr lesz. 4. gy aztn a kliensnek le kell tltenie a fjlt, teljes valjban, viszont immr a sajt, erre a clra fenntartott gyorsttrba teszi bele. 5. Ezutn, hogy hogy nem, a msodik kliensnek is szksge lesz erre a fjlra (mert ez pl. a fizetsi jegyzk egy Excelben). Ugyangy felszalad a kzpontba, a hitelests s az engedlyezsi eljrs ugyanaz lesz, s ugyangy megkapja a
~ 208 ~
KIEMELT SZOLGLTATSOK
content metadata csomagot is, benne a fjl blokkjai alapjn kiszmolt hashekkel egytt. 6. Ezutn viszont a WS-Discovery-vel sszeftyl az egyes klienssel, az egyes jelzi, hogy tallt, sllyedt, a msodik kliens pedig szpen elkri tle a fjlt, de ez a transzfer mr titkostva, a fenti szervertl kapott hash-ekbl kombinlt kulccsal trtnik meg. 7. A kettes kliens megprblja visszafejteni a fjlt, azaz az imnt, helyben megszerzett fjl blokkjaibl kiszmolt hash-eket sszehasonltja a fentrl kapott hash-ekkel, s ha rendben van, akkor mr meg is gyzdtt arrl, hogy a tartalom vltozatlan, teht felhasznlhat. Ha viszont vltozott, akkor sem szksges az egszet leszedni jbl, hanem csak a megvltozott blokkokat (a hash-ekbl minden kiderl), ergo gy is sokkal gyorsabb lesz. A msodik esetben, amikor is egy R2-es szerveren - akr tbb ms szerepkr mellett a BranchCache kpessg is fut, kicsit sszetettebb az zembe helyezs, viszont tbb elnye is van: - 7/24-ben elrhet, mivel ltalban nem kapcsoljuk ki a szervert - Valsznleg jval nagyobb trterletet engedlyezhetnk - Valsznleg jval nagyobb hlzati teljestmnnyel szolglja ki a klienseket
7.32
BRA
K ZPONTI
ZEMMD
1. Ugyanaz, mint az elbb, a kliens felkszik a kzpontba, s a hitelests / engedlyezs utn megkapja a szoksos csomagot. 2. A kliens keresi a fjlt a helyi hln a hash-ekkel operlva, s ha ez az els prblkozs, akkor fentrl tlt. 3. Rgtn ezutn a kliens egy SSL kapcsolatot pt ki a lenti BC szerverrel, s felajnlja neki a fjlra jellemz azonost csomagot vizsglatra. 4. A lenti BC szerver elfogadja ezt, s gyorsan megmondja a file blokk informci alapjn, hogy mi van meg belle, s az esetleges hinyz/megvltozott blokkokat elkri. Ha semmi nincs meg a fjlbl, akkor az egszet elkri.
~ 209 ~
Mit is kell telepteni? BranchCache kpessg (Server Manager) BranchCache kpessg (Server Manager) BranchCache rsz szerepkr a File Services szerepkrn bell BranchCache kpessg (Server Manager) s hosted cache kijells Nincs telepts, csak engedlyezs
H OGY
s akkor kezdjnk el sorban haladni, az eleje egyszer, csak a Server Manager kell hozz, a negyedik sorhoz viszont mr kell segtsg: Netsh BranchCache set service mode=HOSTEDSERVER Ahogy a tblzatban is szerepel, a Windows 7-ben mr alaprtelmezs szerint benne van a BC kliens, csak engedlyezni kell, itt pl. az els mdszerhez: Netsh BranchCache set service mode=distributed A kvetkez parancs viszont brmelyik esetben hasznlhat, mgpedig az sszes llapotinf lekrdezsre: NetSh BranchCache show status all
~ 210 ~
KIEMELT SZOLGLTATSOK
A kvetkez kpen hasznltam is ezt a parancsot, s jl lthat, hogy ez egy Hosted Cache kliens a telephelyen, megvan a helyi BC szerver cme is, maximum 5%-ot hasznlhat a lemezbl, s az is, hogy mr most is van kb. 3,3 MB a cache-ben, plusz alul a belltott jellemzk szummja is megtekinthet.110
7.34
BRA
N ET S H B RANCH C ACHE
De ha sokkal okosabbak vagyunk (s ha van tartomny 111 ), akkor a Csoporthzirendbl rdemes mindezt belltani, mivel gy egyszerbb.
A netsh branchcache reset is jl jhet, ezzel egy reset-et adhatunk a BC kliensnek. 111 De a Helyi hzirendbl is elrhet, ha esetleg utljuk a parancssort.
110
~ 211 ~
7.35
BRA
OPCI A
C SOPORTHZIRENDBEN
Illetve a bekapcsolson kvl tovbbi belltsokat is lthatunk az adott GPO-ban, pl. a mkdsi tpust vagy a cache cljaira lefoglalt hely mrett innen is be tudjuk lltani, de persze a netsh-val is lehet majd, helyben mindent. A telephelyi szervernl azrt nem csak ennyi a mulatsg, egyrszt a netsh-val a mretet s egyebeket lltsuk be, de sz volt arrl is, hogy SSL-lel kapcsoldik a kliensekhez, nos ez nem megy egy tanstvny nlkl, amit egyrszt be kell szerezni pldul a kzpontban lv CA szervertl (semmi extra, sima szerver tanstvny), de akr egy nalrtat is hasznlhatunk. Viszont aztn hozz is kell rendelni a BranchCache szolgltatshoz, na ehhez viszont nincs GUI, ezrt trkkzni kell, mghozz - milyen meglep - a netsh-val. Az els lps az, hogy meg kell szereznnk az adott tanstvny SHA-1 hash-t, azaz a thumbprint-jt, ami egy j hossz szmsor. Ha megnyitjuk az adott .cer fjlt, akkor a Details fln legalul megtalljuk.
~ 212 ~
KIEMELT SZOLGLTATSOK
7.36
BRA
Ha ez megvan, kimsolhatjuk egy text fjlba, szedjk ki belle a szkzket, s illesszk be a kvetkez parancsba az SHA-1_Hash sztring helyre: netsh http add sslcert ipport=0.0.0.0:443 certhash=SHA-1_Hash appid={d673f5ee-a714-454d-8de2-492e4c1bd8f8} Ezzel aztn jl hozzrendeljk a tanstvnyt a BranchCache szolgltatshoz, ami nem tl bartsgos mvelet, de legalbb csak egyszer kell megtenni. A kvetkez paranccsal viszont ellenrizhetjk, hogy jl kopipsztelnk-e? netsh http show sslcert Szval gy vagy gy, de vgre belttk a klienseket s a lenti szervert, s dolgoznak is, de mi a helyzet a kzpontban? A sima teleptsek utn van mg dolgunk? Van bizony.
~ 213 ~
Ehhez elfelejtettem egy dolgot: az adott megoszts tulajdonsgainl, a Caching gomb alatt kztt engedhetjk/tilthatjuk a BranchCache-t. 113 Viszont ne felejtsk: a Vistnl mr van BITS PeerCaching, az is valami, st.
112
~ 214 ~
RDS + VDI
8 RDS + VDI
Anno amikor a Windows Server 2008-at teszteltem, teljesen megdbbentem, hogy a terminlszolgltatsok terleten mennyi vltozs s jdonsg jelent meg mr a bta verzikban is114, akkor arra gondoltam, hogy a TS fejleszt csapat durvn kreatv munkt vgez. A vlemnyem nem vltozott ksbb sem, azaz az R2-re ugyanez elmondhat, csak brjuk kvetni az jdonsgokat. Most megprbljuk.
8.1
BRA
KOMPLEXITS BIZONYT KA
De mieltt elkezdenk radozni a rsz szerepkrkrl, muszj megemlteni, hogy az tnevez kommand hls tevkenysge miatt kialakulhat bennnk nmi zavar. Az elmlt tizenvalahny vben s gy a Windows Server 2008-ban mg Terminal Serverknt (TS) emlegettk ezt a szerepkrt, de a nv az R2-ben megvltozott, mostantl az RD, azaz a Remote Desktop az eltag, teht a helyes rvidts az RDS (Remote Desktop Services). Illetve mg annyit elljrban, hogy itt sem vlasztom kett a kt opercis rendszert, hanem megprblom az R2 apropjn megkzelteni a tmt, ugyan a fejlesztsek miatt van j pr klnbsg az R2 elnyre, de egyttal a vltozsok nvekmnyesek, azaz minden benne van az R2-ben, ami korbban is elrhet volt.
114
s aztn persze meg is maradt a vglegesben - mert nem mindig van m ez gy.
~ 215 ~
115 116
Biztonsgi s praktikus (zemeltetsi) okokbl sem. A mretezshez egy komoly segtsg, a Remote Desktop Load Simulation Tools: http://www.microsoft.com/download/en/details.aspx?id=2218
~ 216 ~
RDS + VDI
8.2
RDS
RDSH
KELL
Ez egy olyan telept varzsl, amely tovbbi jelzseket is ad, illetve tovbbi krdseket is feltesz, pldul az alkalmazs-kompatibilitssal kapcsolatban jelzi, hogy akkor teleptsk ezt a komponenst, ha mg nem pakoltuk tele a szervert alkalmazsokkal, mivel (s ez persze korbban is gy volt) az RDSH eltti alkalmazsok kicsit mskpp, vagy ppen sehogy sem fognak mkdni a terminlszolgltatsok hasznlatakor. A kvetkez lpsben pedig az NLA (Network Level Authentication) alkalmazsa a krds. Az NLA tovbbi biztonsgot s szerver erforrs takarkoskodst jelent, s arrl van sz, hogy a felhasznl a terminlkapcsolat indtsakor nem a szerver desktopjt, azaz a logon kpernyt kapja, hanem csak egy autentikcis ablakot. Teht csak s kizrlag akkor eshetnk r teljes svszlessggel a szerverre, ha biztosan van a belpshez jogosultsgunk. Arrl nem is beszlve, hogy egyfajta DoS (Denial-of-Service) ksrletet is kivdnk ezzel, a helytelen belpsi ksrletek elkerlsvel, amivel meg a szerver hardvert kmljk meg a plusz terhelstl. A NLA csak a RDC 6.x kliens felett mkdik, s a CredSSP-t hasznlja (Credential Security Provider CredSSP) a korai hitelestsre, ergo: - Csak a CredSSP tmogatssal rendelkez opercis rendszerek hasznlhatjk az NLA-t (Windows 7, Vista SP1 vagy ksbbi, XP SP3).
~ 217 ~
8.3
BRA
NLA
VAGY NEM
Ezutn mg egy szerencsre ksbbre is halaszthat - krds is lesz, mgpedig a licenszelsrl. Lpjnk ezen is tl, s akkor mr csak az RDSH felhasznli krt kell kivlasztanunk, megfelel alapossggal (persze ezen is vltoztathatunk ksbb). Viszont ami most jn, az teljesen j elem, ugyanis az RDSH szmos, a felhasznli lmnyt alaposan nvel szolgltatssal is rendelkezik, ezek kzl itt hrmat rgtn ki- vagy bekapcsolhatunk, de ksbb lesz mg tbb is.
~ 218 ~
RDS + VDI
8.4
BRA
A UX
AZ EGEKBEN IS LEHET
A harmadik sok esetben tnyleg fontos lehet a felhasznlk szmra, ti. az olyan megjelentsbeli extrk, mint a Windows Flip, a 3-D ablak kezels vagy a az ablakok tltsz kerete, melyek mind rszei a tvoli Aero Glass lehetsgnek. Ha viszont az Audio and Video Playback vagy a Desktop Composition lmnyt bekattintjuk akkor ne csodlkozzunk, hogy a Desktop Experience kpessg is felkerlt automatikusan rendszernkbe (Desktop Themes, Windows Media Player, stb.). Tbb dolgunk nincs, egy jraindts utn immr birtokba is vehetjk az RDSH-t, azaz egybl lett is egy terminlszervernk. Vizsgljuk is meg, zibe, a Remote Desktop Session Host Configuration elemet elindtva (Administrative Tools \ Remote Desktop Services)!
~ 219 ~
8.5
BRA
A Z RDSH- BAN
A Connections szakaszban az RDP kapcsolatok kzs jellemzit tudjuk konfigurlni. Ha kicsit jobban megnzzk, lthat, hogy ez mr a 7.1-es RDP-t jelenti, ami az R2 SP1-es verzi. Ha 6.1-et ltunk itt, akkor a Windows Server 2008-at hasznljuk, ha a 7.0-t, akkor az R2 RTM kiadst. Egybknt, ha az ezt megelz teleptsi procedrt nem csinltuk meg, akkor is elrhet itt a belltsok egy rsze, hiszen az admin md RDP-t is kezelni kell, ami viszont minden Windows Server-ben elrhet (mg ha nincs is engedlyezve alaprtelmezs szerint). Ugyanez igaz az RDS programcsoportbl elrhet Remote Desktop Services Manager-re, ami kifejezetten az aktv RDP kapcsolatok kezelje, azaz itt nzhetjk meg az aktulis munkamenet listt, itt vlaszthatjuk le vagy lptethetjk ki a felhasznlkat, vagy zenhetnk nekik vagy ppen tvehetjk a kpernyjket s stb. Az RDP-Tcp tulajdonsgok kzl nhny jdonsgot s/vagy fontosat kiemelnk. Kezdjk a General fl tartalmval!
~ 220 ~
RDS + VDI
8.6
BRA
B IZTONSG
MINDENEKFELETT
Az elsdleges biztonsgi belltsokat itt talljuk (alul a mr emlegetett NLA). A Security layer alatt vlaszthatunk szerver hitelestsi megoldst, RDP, SSL (TLS 1.0) vagy ppen a megegyezses (Negotitate). Az utbbi az alaprtelmezs, ami abbl indul, hogy mindkt oldal a TLS-t hasznlja majd. Ha nem, akkor attl fgg, hogy lesz-e kapcsolds, hogy a kliensben a kvetkez kpen lthat bellts hogy ll.
~ 221 ~
8.7
BRA
MI
LEGYEN , HA NINCS
TLS?
Ez alatt llthatjuk a minimlis titkostsi szintet a szerver s a kliens kztt, s vgl a Certificate: mezben, kicsit eldugva generlhatunk egy nalr tanstvnyt, vagy kivlaszthatjuk azt, amellyel a kiszolgl azonostja majd magt a kliens fel. Visszatrve a 8.6 bra tbbi flre, mg egyet emelnk ki (a tbbi vagy ismert, vagy valsznleg sosem kell hozznylni), ez pedig a Client Settings. Ezen bell a felhasznlink lmnyfokozst vgezhetjk el, azaz egyrszt a profilban megjelen felhasznli krnyezet grafikai jellemzit szablyozhatjuk (sznmlysg 117 , tbb monitoros krnyezet, audio/vide lejtszs), msrszt az eszkz tirnytsokat (lemezek, printerek, vglap, PnP eszkzk, stb.) engedhetjk vagy tilthatjuk globlisan s a kliens belltsait fellrva.
Ha pl. levesszk a 32 bits per pixel rtket kisebbre, akkor kikapcsoljuk az Aerot, ez nha - pldul csekly svszlessg esetn - igen sokat segt.
117
~ 222 ~
RDS + VDI
8.8
BRA
A Z UX
FEJEZET FOLYTATDIK
Ha vgeztnk az RDP-Tcp fleivel, s ezek utn viszont az Edit Settings rszbe kattintunk, mindig ugyanaz a panel jn majd fel, igaz, tbb fle is van, kicsit trkks, de ez ilyen. A tartalma azrt vigasztal, ugyanis rgtn az els fln (General) egyrszt a felhasznlk munkamenet korltozsait (felhvnm a figyelmet az egyetlen hasznlt session-re utal opcira: Restrict each user to a single session), msrszt a belpsi mdokat tudjuk szablyozni, s pl. karbantarts esetn jl tudjuk hasznlni a Drain zemmdot118, a msodik vagy a harmadik lehetsg vlasztsval.
Ilyenkor ugyanis j RDP kapcsolatokat nem fogad el a szervernk, de a meglvk maradhatnak s akr jra is csatlakozhatnak, ha megszakad a kapcsolat.
118
~ 223 ~
8.9
BRA
TELJESTMNY OPCIK
A msodik fl, a licenszels tmakrhz tartozik, ugyanis itt adhatjuk meg a mr elzetesen felkonfigurlt licensz kiszolglnk nevt, a licenszek tpust, s mindezt egszen egyszer mdon. Ha ezt nem tesszk meg, akkor 120 napig a Tlcn felbukkan buborkok formjban folyamatosan kapjuk majd a felszltst erre. Csak a tisztnlts kedvrt: nem itt konfigurljuk s rvnyestjk a megvsrolt licenszeinket, itt csak egy hivatkozst adunk meg a megfelel szerverre s a tpusra (persze knnyen lehet, hogy nmaga lesz a clpont). A licensz kiszolgl belltsa, aktivlsa s a licenszek rvnyestse egy kln alkalmazsban trtnik, ez szpen ltszik is a 8.2 kpen. Az RD Connection Broker rsz mr sokkal izgalmasabb, igaz, most mg nem tartunk ott, hogy ezzel is foglakozzunk, most csak annyit, hogy egy RDSH sokfle mdon kapcsoldhat egy RDCB-hez, vagy lehet egy VDI krnyezet rsze is (lsd ksbb), st egy RDS farm tagja is, amelyben az NLB segtsgvel pp magas rendelkezsre llst mvel. Szval, jval tbb m az RDSH, mint ami az eldje, azaz egy klasszikus TS volt, de tnyleg nem tartunk mg itt, be is fejezem. Ami viszont ide tartozik, az az IP virtualizci, merthogy ilyet is tud a mi RDSH-nk. Van, amikor arra van szksg, hogy az adott session pldul egy (rosszul megrt) alkalmazs ignye miatt kivtel nlkl mindig ugyanazt az IP cmet kapja. Ez eddig
~ 224 ~
RDS + VDI
orosz rulett volt, mert vagy gy volt, vagy nem, most mr viszont bellthat akr minden egyes felhasznlnak egy dediklt, egyedi IP cm.
8.10
BRA
A RCUK
NINCS , DE EGYEDI
IP
CMK VAN !
Ezt persze csak akkor tehetjk meg, ha van egy DHCP szervernk, meg tisztzni kell azt is, hogy melyik interfsz hlzatn hajtunk ilyesmit csinlni, s persze biztos, ami biztos alapon fallback van (a gp eredeti IP-je), de ennyi, a DHCP-ben pldul semmi extrt nem kell konfigurlni, megy magtl. Ja s el ne felejtsem, 2 db Csoporthzirend opci is rendelkezsre ll, az egyikkel ki-be kapcsolhatjuk az IP virtualizcit, a msikkal meg pl. letilthatjuk a belpst, ha nem kap pl. az adott alkalmazs a DHCP-tl cmet. Van itt mg valami, ami viszont a GUI-n nem ltszik, de azrt ltezik, st alaprtelmezs. gy hvjk, hogy DFSS (Dynamic Fair Share Scheduling), vagy rviden FairShare. Ez egy CPU idzt megolds a terminl felhasznlk szmra, mondhatni egy proaktv igazsgoszt. Merthogy elvileg s eddig egy user egy munkamenetben119 simn kisajtthatta a processzort, de ennek vge, a munkamenetek slyozsra kerlnek, a kernel scheduler leosztja a lapokat, mindegyik munkamenet kap egy szeletet a CPU-bl egy adott idintervallumra, s ha ezt elri, akkor a kvetkez menet kezdetig knyszerpihenre kerl. Rend a lelke mindennek.
119
~ 225 ~
8.11
BRA
R EMOTE F X
8.12
A BOUT - RA
AZ ABLAKVEZRL G OMBON
~ 226 ~
RDS + VDI
Szval az Easy Print brmilyen RDP kapcsolat esetn (RemoteApp, Web Access is) lehetv teszi, hogy a kliens a sajt - brmilyen tpus - nyomtatjt minden tovbbi bellts s egyni meghajt program telepts nlkl hasznlhassa. Aki kszkdtt mr a 20 Ft-os printerek 64 bites, szerverre passzol drivervel, vagy akinl az ervel belehegesztett, elvileg univerzlis driver nap mint nap kk hallba meneklt, az nagyon fogja ezt a lehetsget rtkelni. A technolgia mlyebb rszleteitl megkmlnm itt az olvast120, de a kulcsszavak az XPS formtum, a GDI konverzi s a .NET Framework, br az utbbi mr nem lnyeges a W7/R2 pros esetn (eltte viszont az Easy Print sikertelen mkdsnek az oka 90%-ban a hinya vagy a rossz verzija volt). Azt viszont mg j ha tudjuk, hogy a rendelkezsre ll Csoporthzirend opcik a finomhangolst segtik, ugyanis ezekkel tudjuk elszr is engedlyezni ezt az opcit elsdleges mdszerknt, illetve vatossgbl azt is megszabhatjuk, hogy csak a kliensen lv alaprtelmezett printert hasznlhassuk automatikusan. Nos, miutn egszen jl kivgeztk az RDSH-t, haladjunk tovbb mg jabb s mg izgalmasabb terletekre!
8.2 R EMOT E A PP
A RemoteApp komponenssel knnyedn s ltvnyosan megoldhatjuk a terminlkliensek alkalmazs elltst s hasznlatt. A klasszikus fellls szerint a vkony kliensrl - szemmel is lthat mdon - egy RDP kapcsolatot kell kiptennk, majd az adott kapcsolaton (ablakon) bell futtatjk a felhasznlk a szmukra engedlyezett alkalmazsokat. Ezzel viszont van egy komoly problma. Egyrszt nincs szksg arra, hogy az egsz szerver desktopot (Asztal, Start men, stb.) is lssk, mivel tipikusan az alkalmazsok miatt hasznlunk egy RDS szervert, s nem a krnyezet miatt. Msrszt biztonsgi s erforrs okok miatt is jobb lenne, ha nem kellene betlteni mindent a munkamenetbe. Harmadrszt rengeteg dolgot tiltania kell az zemeltetknek, ha olyan krnyezetet akarnak, ami sokig brni fogja ugye tudjuk, hogy a felhasznlk iszony kreatvak is tudnak lenni a problmagyrtsban persze, nem a megoldsban . Szval egy egyszerbb, biztonsgosabb s zembiztosabb mdszerre lenne szksg. Nos, ez a RemoteApp.
~ 227 ~
8.13
BRA
A R EMOTE A PP M ANAGER
Az j mdszer szerint az zemeltet egy a RemoteApp Manager-ben vgzett elkszts utn (tbb publiklsi mdszer kzl vlasztva) parancsikon(ok)at helyez el a felhasznl gpn (a Windows 7-ben mg egyszerbb), amelyekre kattintva az alkalmazs egy RDP kapcsolatot kezdemnyez a httrben. Ennek hatsra elindul a kiszolgln az adott program, amit a felhasznl gy vesz szre, hogy az alkalmazs rgvest megjelenik a gpn, tkletes helyi programnak lczva magt. Ha a gp/felhasznl szmra tbb RDS alkalmazst publiklunk ezzel a mdszerrel, akkor a mr l RDP kapcsolaton testvriesen megosztoznak majd az alkalmazsok, teht nem a kapcsolatok szma n. Nem tudom, hogy ezt hogyan tudjuk elkpzelni, amg nem ltjuk, mindenesetre rengeteg screencast-tal rendelkeznk a TechNetKlub TV-n tbbek kztt e tmban is121. Nzzk meg most dihjban, az zemeltet oldalrl a teendket (felttelezve, hogy a publikland programok teleptsn mr tl vagyunk), de szgezzk le mg az elejn, hogy a RemoteApp miatt jra t kell futnunk a 8.11 brt: 1) A RemoteApp Manager konfigurlsa.
https://technetklub.hu/tv/Default.aspx?auth=0&sid=21ec0497-3159-4f96ae7b-352a48dd1692
121
~ 228 ~
RDS + VDI
2) Az adott program terminl programm "avatsa" varzslval (elredefinilt listt kapunk, amelyet persze tetszs szerint bvthetnk). 3) Az adott program terminl programknt val mkdsnek engedlyezse. 4) Egy .rdp vagy .msi csomag elksztse a kijellt alkalmazs(ok)bl szintn varzslval, pr egyszer lpsben. 5) A csomagok publiklsa a felhasznlk szmra (parancsikonok kiszrsa, megosztott mappa, .msi telepts a Csoporthzirenddel, vagy ms disztribcis szoftverrel, stb.).
8.14
BRA
A R EMOTE A PP M ANAGER
Az els ponthoz a munkt kezdjk a RemoteApp Managerben, s clszeren a bal fels sarokban, az RDSH Server Settings alatti Change hivatkozsra kattintva. Ezzel megint egy trkks bellt panelt kapunk, hiszen a flek majdnem az egsz RemoteApp Manager konfigurlst elrhetv teszik , de nem baj, haladjunk! Az RDSH Server fln alapdolgokat lltunk be, leszmtva taln az Access to unlisted programs rszt, ahol egsz egyszeren megtilthat,hogy a felhasznl szmra nem engedlyezett, de publiklt alkalmazsok lthatv vljanak, pl. a Web Access alatt. Az RD Gateway fl alatti belltsok csak akkor szksgesek, ha valban az RD Gateway-on keresztl rkeznek a kliensek, s akkor ennek a belltsait (nv, hitelests, stb.) bele kell hegeszteni az alkalmazs .rdp, vagy .msi fjljba. A Digital
~ 229 ~
8.15
BRA
K SBB
RDSH
A Common s a Custom Settings alatt a kliensek mkdst kzvetlenl befolysol belltsokat tehetnk meg, az elsnl kattintgatva vlasztva, a msodiknl pedig gyakorlatilag direktben kopizva szerkesztgetnk. Ez utbbi borzasztan fontos lesz, ha olyan belltst hajtunk tenni, ami nincs kivezetve sehol sem a grafikus felletre, de mgis szksg lenne r. Alkalmazsi pldkat egyrszt vehetnk egy .rdp fjlbl, amit akr egy Notepad-dal is megnyithatunk, de ez a lista122 is nagyon kellemes. No, most mr hozz is kezdhetnk a 2. ponthoz, azaz egy RemoteApp alkalmazs publiklshoz: Action Pane > Add RemoteApp Program.
122
http://technet.microsoft.com/en-us/library/ff393699%28WS.10%29.aspx
~ 230 ~
RDS + VDI
8.16
BRA
V LASSZUNK
ALKALMAZS T !
Ha megvan az alkalmazs, akkor a Properties alatt extra opcikat is bellthatunk, pl. azt, hogy majd elrhessk-e a Web Access-bl is, meg azt, hogy legyen-e valamely parancssori argumentuma, vagy s ez nagyon fontos is lehet a User Assigment alatt szkthetjk a jogosultsgi krt. Ha ezt megtesszk, akkor a felhasznl tnyleg csak azt ltja, amit szabad. Ha vgigverekedtk magunkat a varzsln, akkor a lenti listban viszontlthatjuk az imnt engedlyezett alkalmazsunkat s a r jellemz rszleteket. Innen rgvest indthatjuk is a publiklst (helyi men > Create .rdp File, vagy Create Windows Installer Package). A klnbsg a kett kztt: a) .rdp fjl: egyszeren msolhat, de nincs fjltrsts s egy fokkal komplikltabb sztszrni b) .msi fjl: alaprtelmezsben mkdik a trsts, s akr egy Csoporthzirenddel is kiszrhatjuk, bellthat hogy hova kerljn (Desktop, Start men), viszont gy vagy gy, de telepteni kell Ha eldntttk, akkor mg ezt is testre szabhatjuk (szerver cm, RDG, tanstvny), s mg egyebeket is tallunk az .msi-nl, s aztn kszen is vagyunk. Innentl mr csak el kell juttatni valahogyan a kliensre, s mkdik is.
~ 231 ~
8.17
BRA
K APCSOLDIK ...
8.17
BRA
... S
MR FUT IS , S CSAK A
T ASK M ANAGERBL
~ 232 ~
RDS + VDI
s akkor most, hogy megvolt a RemoteApp alapozs, bvtsk ki az lmnyt egy msfajta publiklsi mdszerrel s az ezen alapul kliensoldali extrkkal!
8.3 W EB A CCESS
A recept: vgy egy IIS-t, tegyl bele rlap alap hitelestst, tanstvnyt, s mondd meg az RDSH-nak, hogy igen, akarjuk a RemoteApp-okat a bngszbl is elrni, s ksz a Web Access. Gyakorlatilag mg ennl is egyszerbb az implementci, ugyanis azzal, hogy felteleptjk a komponensek kzl (8.2 bra) a Web Access-t, az els kett feladatot meg is oldottuk. A kezd konfigurlsnl mg arra kell gyelnnk, hogy a RemoteApp Manager-ben a jobb fels sarokban kizldljn a pipa (Distribution with RD Web Access), amit gy rhetnk el, hogy az RDSH szerveren a TS Web Access Computers helyi biztonsgi csoportba berakjuk az RDWA szerepet betlt szmtgp fikjt (ami egy msik gp is lehet, mert lehet, hogy szeparlunk, azaz elvlasztjuk a kt komponenst egymstl). Ezek utn az alkalmazsoknak kell megengednnk, hogy ltszdjanak a WA alatt, majd az RDWA gpen egy klasszikus szerver tanstvnyt kell belepakolni az IIS al, s kszen is vagyunk. Ami mg htravan, az az RDWA rgygytsa az RDSH-ra, amit az RDWA gpen a Remote Desktop Web Access Configuration ikonon keresztl tudunk belltani. Ez elindtja a bngszt az RDWeb oldallal, s gy a belps s a Configuration pont kivlasztsa utn rjuk be az RDSH szervernk nevt (lsd ksbb, kicsit elreszaladva a 8.26 brn).
~ 233 ~
8.18
BRA
A Z RDWEB
8.19
BRA
...
S BELLRL .
~ 234 ~
RDS + VDI
De azrt rtsnk meg egy pr dolgot: - Az RDWA nllan, nmagban nem nyjt kapcsolatot, egyszerbb esetben egy darab RDSH, komplexebb krnyezetben egy RDSH farm vagy egy RD Connection Broker kell hozz. - rlap alap hitelestssel dolgozik, ami tbbek kztt SSO-t is kpes nyjtani, de csak a RemoteApp esetn, s ehhez mr a Connection Broker s egy kzs tanstvny kell, valamint egy megfelel verzij RDP kliens (7.0 vagy jabb). - Kzponti publikcis zemmdban is tud dolgozni, ha van a kapcsolati lncban egy az RDWA-t irnyt Connection Broker, ami a tbb RDSH szervert, VDI kapcsolatot s a feed elrst is megoldja, s ilyenkor az RDWA lesz az, ahol minden lehetsget egyben ltunk (ksbb ehhez majd lesz inf s kp is). Ha jl megnzzk a 8.18-as brt, s esetleg azt, amit mi sszehoztunk a lers alapjn, akkor rgvest szrevehetjk, hogy n mr nmikpp testreszabtam a portlt, igaz, csak a kls oldalt, de akkor is. Nos ez is egsz jl megoldhat, de elszr is essen sz a magyartsrl: a szoksos mdon kell a nyelvi csomagot felpakolni a szerverre, azaz be kell szerezni a csomagot, majd a Control Panel / Regional Settings alatt hozz kell adnunk, majd tvltani erre, s akkor az RDWEB is magyarul lesz. De a portl feliratait is trhatjuk a sajt elnevezseinkre, amit n mveltem, azt pldul a %windir%\Web\RDWeb\Pages\en-US mappban lv login.aspx-ben (n az angolt hasznlom, ha magyartottunk, akkor a hu-HU mappban tallzgassunk). De megszabhatjuk azt is, hogy a belpsi rlapon melyik profil legyen az alaprtelmezett (pl. mindig a privt, ez clszer, mert klnben lesz felugr figyelmeztet panel az alkalmazsok indtsakor), vagy hogy ne is legyen vlaszts, vagy ppen eltntethet a portlon bell a Remote Desktop tab (a Configuration amgy is csak az adminoknl jelenik meg), s egyebek. Ezek nem hivatalos, ajnlott mdszerek, hanem tipikusan .aspx fjlok trogatsa, de mkdik, az tuti.123 Vagy pldul az Integrated hitelests is elrhet (s gy az rlapra sem lesz szksg), ugyanis egy tartomnyon bell a tartomnyi felhasznlnv/jelsz prossal automatikusan a bngsz (az IE biztosan) a httrben hitelest majd, ami elssorban a felhasznlnak kellemes, mert nincs gpelgets. Viszont ehhez sajna nem elg az IIS virtulis mappjban kattintgatni, szintn trkkzni kell (s OS limit is van, pl. az XP-vel nem is jrhat ez az t), de szintn megtallhat a megfelel lers a felhben. Van viszont egy hivatalos, tmogatott, ellenben csak a Windows 7-re alkalmazhat extra lehetsgnk is, mgpedig a Control Panelba ptve. Ezt gy hvjk, hogy RemoteApp and Desktop Connections. A lnyege, az hogy ha csatlakozunk az
123
~ 235 ~
8.20
BRA
O LVASSUK
LE A PLDT !
124
~ 236 ~
RDS + VDI
8.21
BRA
B EVITTK
S TART
MENT
Ha valaki rti a mechanizmust s nagyvllalati szemllete van, akkor rgtn meg fogja magban krdezni: s tbb RDWA szervert hasznlhatunk? Ht persze, st a felhasznl ebbl sem fog szrevenni semmit a webes felleten, de ez mr a kvetkez alfejezet tmja, megrkeztnk a sorban kvetkez elemhez, ami a Connection Broker.
~ 237 ~
8.22
BRA
M OST
MG GY NZ KI
Elsre nem valami szp ltvny, kzpen a sok piros kereszt s srga hromszg, s minimlis zld pipa, de javtunk folyamatosan. Pldul a Status rszben a Display name alatt a Windows 7-es leend RemoteApp programcsoportot s a leend portlt egyszerbben is elnevezhetjk, mint ahogy korbban tettk. Ugyanitt az RDWA szervernket is bevehetjk a buliba (ez ugyanaz, mint az RDSH-nl a biztonsgi csoportba pakols).
~ 238 ~
RDS + VDI
8.23
BRA
K EZDJK
A NEVEKNL S AZ AZONOSTKNL
Egybknt, rgtn itt s most gyalogoljunk el a kt darab RDSH szervernkre125, s ott viszont a TSWA helyi csoportokba tegyk bele az RDWA gp helyett az RDCB-t, mivel innentl nem lesz direkt kapcsolat az RDSH-k s az RDWA kztt, hanem csak a RDCB-n keresztl. Ezutn haladva lefel egy msik gyjtpanelbe jutunk, ha pl. az RD Gateway linkre kattintunk. Ebben elszr is a Redirection Settings fl kszn vissza, de ez mg nem kell neknk, viszont a msodikon az RD Gateway kiszolglnkat konfigurlhatjuk, persze ilyen sincs mg neknk, viszont a harmadik flnl a tanstvny belltsa ltalban elvrt igny.
A msodikrl mg nem volt sz, de a konfigurls ugyanaz, kivve, hogy nyilvn ms alkalmazsokat publikltunk rajta.
125
~ 239 ~
8.23
BRA
K EZDJK
A NEVEKNL S AZ AZONOSTKNL
Mint lthat az RDCB-nek van sajtja, st, stljunk el jra a kt RDSH-hoz, s ott is ezt a tanstvnyt ljk be clszeren, pl. az SSO miatt (erre utaltam a 8.15-es brnl). A Licensing Settings magrt beszl, viszont az sszes RDSH s RDWA szervernk alapbelltsa innentl ez lesz. Ha visszatrtnk az alap MMC-hez, akkor mr sokkal jobban nz ki szngyileg, persze a VDI belltsok hinya miatt mg ersen piroslik. No s akkor rendeljk hozz szp sorban a kt RDSH szervert az RDCB-hez, a bal oldali keretben a RemoteApp Source pont all, a jobb gombos menbl!
~ 240 ~
RDS + VDI
8.24
BRA
G YLNEK
AZ
RDSH
SZERVEREK
8.25
BRA
~ 241 ~
Mg egy dolog hinyzik, az RDWA rhangolsa az RDCB-re, amit jra az RDWA gpen vgezznk el, mgpedig az ismers mdszerrel: Remote Desktop Web Access Configuration > Configuration > az RDSH szerver helyett megadhatjuk az RDCB cmt. Ha el is fogadja, akkor biztosan jl dolgoztunk.
8.26
BRA
JABB
Ezutn a kliensben tallzzuk be az RDWeb oldalt, a siker teljes ragyogsa miatt. Ha megnzzk a kvetkez kpet, akkor a korbbi portlhoz kpest van pr j ikon, pl. az Office 2010-es alkalmazsok. Nos, erre is j a kt RDSH, a pldban az egyikrl publikltam az Excel 2003-at, a msikrl meg a 2010-es verzikat126. Radsul a felhasznl nem is veszi szre a klnbz forrsokat, persze mirt is venn szre, nem ez a dolga, s amgy is termszetes, hogy ilyen szint problmkat megoldunk. Sima gy.
Az mr csak hab a tortn, hogy van a rendszeremben 2007-es Office is, plusz az egyik csald App-V-vel, pontosabban App-V for RDS-sel van elksztve.
126
~ 242 ~
RDS + VDI
8.27
BRA
N YERTNK
8.28
BRA
S ASSZEMMEL
RDSH,
A MSIK
RDSH2.
~ 243 ~
8.29
BRA
E GY
UTOLS KP : A
R EMOTE A PP W7 CP- BE
RDCB- N
KERESZTL
8.5 VDI
Tovbb szrnyalunk. Az R2 eltt nem volt lehetsg arra, hogy a Virtual Desktop Infrastructure (VDI) egy kls gyrt megoldsa nlkl mkdhessen a rendszereinkben. Most mr van, ergo ideje megismerkedni vele, de egybknt is ajnlom a felfedezst - annak is, aki nem akarja, vagy nem tudja bevezetni -, mert a tma nagyon rdekes s izgalmas, s mkdik, szpen. Ebben a fejezetben egy egypldnyos RD Virtualization Host krnyezetet ptek fel, de mr most megjegyzem, hogy a tbb RDVH-s rendszer kialaktsa is hasonl mdon trtnik, br ebben az esetben clszer lesz olyan felgyeleti eszkzt vlasztanunk, mint pldul az SCVMM (System Center Virtual Machine Manager)127. De mi is az a VDI?
http://www.microsoft.com/en-us/server-cloud/system-center/virtual-machinemanager.aspx
127
~ 244 ~
RDS + VDI
A vlasz egyszeren, teljesen a sajt szavaimmal: egy olyan krnyezet, ahol a felhasznlk a fizikai gpek helyett/mellett virtulis gpeken (is, vagy csak) dolgoznak, teljesen htkznapi mdon, s mindezt az RDS infrastruktrn keresztl rik el. Persze gy, ahogy brmikor mskor, ha a virtualizci bejn a kpbe, mr varilhatunk is egybl (s ez az, ami imho a plusz izgalmat hozza egy szakembernek 128), gy termszetesen itt is, mert rgtn ktfle gptpus is ltezik: 1) Minden felhasznlnak van egy sajt, nevestett, szemlyes virtulis gpe (Personal Virtual Desktop), amely csak az v, eteti, akr rendszergazda jogosultsgot is kaphat rajta, s persze a vltozsokat mentjk is a .vhd fjlba. 2) Noname, kzs gpek, amelyek egy n. pool-ban vrakoznak arra, hogy valaki ltalnos clokra s nem mentve a vltozsokat (azaz minden vltozs trldik, vagyis inkbb az eredeti llapot visszardik) hasznlja ezeket a gpeket, s tipikusan nem is emelt szint joggal.
8.30
BRA
A VDI
Mszakilag azrt persze ennl lnyegesen bonyolultabb a dolog, s ami a fontos, nem is egyetlen sszetevn mlik, hanem egy sszjtkon. s van egy j elem is, ez szintn szlva az n esetemben nem volt ez mindig gy, 6-7 ve mg egyltaln nem gyztt meg a virtualizci, s abban a mondsban talltam rmet, hogy ...szerver az, amit nem brok felemelni , de ht ez mr rgen elmlt, ma mr elkpzelhetetlen az az let, amikor mg nem volt Hyper-V, s az a fajta hihetetlen rugalmassg, amit a virtualizci ad hozz a lehetsgeinkhez.
128
~ 245 ~
~ 246 ~
RDS + VDI
5) Az RDVH megrugdossa a poolban lv egyik virtulis gpet, felkelti, ha alszik, stb., majd kiderti az IP cmt. 6) Ezt a cmet elkldi az RDCB-nek, ami tovbbkldi a Redirector-nak, ami pedig ezt elkldi a felhasznl fizikai gpnek. 7) A felhasznl gpe szpen csndben kilp a Redirector fel men eddigi RDP kapcsolatbl, s tugrik a virtulis gpre a kapott IP alapjn. Nos, ilyen egyszer ez. De mg nincs vge. Ha viszont arrl van sz, hogy egy sztkapcsolt llapotbl indul a felhasznl, akkor a folyamat a harmadik lpsig azonos, ott viszont elvlik az eddig megismerttl. Mivel az az RDVH gpen lv VM gynk folyamatosan jelzi az RDCBnek a virtulis gpek llapotinfjt, ezrt az RDCB tudni fogja, hogy nem egy j, hanem egy sztkapcsolt esetrl van sz, ezrt rgtn rjn, hogy nem kell a pool-t bngsznie, nem vlaszthat tetszlegesen, hanem csak azt a gpet akarjuk, amelyikkel eddig is megvolt a kapcsolat. gy a VM gynk csak finoman rugdossa meg a gpet, hogy kidertse, hogy bevethet-e, s ha igen, akkor mris mehet az IP cm a szoksos mdon a felhasznl gphez. Most viszont beszljnk a konkrt sszetevkrl, illetve mivel mr van egy kirlyul mkd RDS infrastruktrnk, csak az j elemekrl! Igazbl egy gpen fogunk sokat dolgozni, aztn pedig az RDCB-n vglegestjk a konfigot (tudjuk, zldtnk jbl), majd leteszteljk. Szval az RDS rendszer mell kell egy Hyper-V gp is, clszeren ugyanabban a tartomnyban, s minimum kt virtulis gp (csak hogy lssuk a klnbsget a kt tpus kztt, de nekem azrt most is 6 darab lesz a pldban), s persze mind kliens lesz, mivel ezek desktopjt akarjuk a felhasznlnak odaadni. Vegyk gy, hogy a Hyper-V s a virtulis gpek teleptse s belptetse a tartomnyba mr megoldott feladat s az RDVH komponens is (8.2 bra), mivel ez elgg next-next-finish 130 mvelet, kpet sem rdemel. Ezutn viszont van dolog bven, elszr is preparlnunk kell az sszes virtulis gpet, amelyeket rabigba fogunk majd, s mindezt majdnem teljesen fggetlenl attl, hogy melyik VDI tpusba tartoznak majd. A preparls a kvetkez mveleteket tartalmazza: - A Remote Desktop engedlyezse s a megfelel felhasznli csoport hozzadsa Remote Desktop Users csoporthoz - Az RPC (Remote Procedure Call) engedlyezse A RemoteFx kpessg ehhez a megoldshoz nem kvetelmny, de termszetesen jl jn (de ez csak az R2 SP1-gyel rkezik), lsd kvetkez fejezet.
130
~ 247 ~
De clszer gondoskodni a vndorl profilokrl vagy pl. a mappa tirnytsrl, klnben a nevestett felhasznlknak rdekes lmnyei lesznek mondjuk egy, a pool gpen elksztett dokumentumrl .
131
~ 248 ~
RDS + VDI
8.31
BRA
L EGYEN
EZ EGY
VM
REDIRECTION
RDSH,
S NE FELEJTSK EL A
CB
NEVT MEGADNI
Ezutn az RDCB-ben startoljunk a legfels sorban, azaz vlasszuk a Configure hivatkozst az RD Connection Broker is not configured... szveg mellett!
~ 249 ~
8.32
BRA
SZERVERT KR , MEGKAPJA .
8.33
BRA
E LSZR
ADJUK MEG AZ
RDVH
~ 250 ~
RDS + VDI
s igazbl a kvetkez kt ablak is kimaradhat, ha mr korbban belltottuk az RDSH-ban a Redirector-t, s mg rgebben a Web Access szervernket. Ezutn az sszegzs jn, majd nincs vge, az alkalmazs mg csak most jn, ellenriz mindent, s a vgn 3 zld pipt kell kapnunk. Ha gy trtnt, akkor viszont mehet a varzsls tovbb, az ablak aljn mr lthat, hogy a szemlyes virtulis gpek hozzrendelse innen is indthat.
8.34
BRA
E DDIG OK,
DE FOLYTATJUK
~ 251 ~
8.35
BRA
G IPSZ J
8.35
BRA
K ZBEN G JAKAB
W INDOWS 8- AT
~ 252 ~
RDS + VDI
8.36
BRA
G JAKAB
SZEMLYES
W INDOWS 8- AS
GPE LTSZIK AZ
AD- BAN
IS
8.37
BRA
1-2
EXTRA TULAJDONSGA IS
~ 253 ~
8.37
BRA
H ALADUNK
A POOL FEL
~ 254 ~
RDS + VDI
8.38
BRA
K T W INDOWS 7
S EGY
W INDOWS 8
8.39
BRA
B RMILYEN
NV S AZONOST MEGFELEL
~ 255 ~
8.39
BRA
F ELLLT
N ETLOGON
VIRTULIS GPPARK
8.40
BRA
O LL ,
MINDEN
Z LD !
~ 256 ~
RDS + VDI
8.41
BRA
8.42
BRA
G JAKAB
SAJT
W INDOWS 8- A
MEGRKEZETT
~ 257 ~
H YPER -V
Mg egy megoldsrl illik beszlni, ha mr az RDS-VDI tmakrnl vagyunk. Mg a VDI egy komplett desktop-ot ad a felhasznl kezbe, a RemoteApp for Hyper-V (innentl RAH) csak az alkalmazst. Azaz a felhasznl egy (vagy tbb) RemoteApp ikont kap, amit a sajt fizikai gprl indt, viszont az alkalmazs egy virtulis gpen fut. Ebbl persze a felhasznl semmit nem vesz szre, nem is kell, ne zavarjuk ssze! Ha ismerjk a Windows 7 egyik kellemes jdonsgt, az XP Mode-ot, akkor rteni fogjuk, hogy a RAH mkdsi elve ugyanaz132, csak egy tvoli gpen s Hyper-V alatt. Ugyanis az XP Mode az egy alkalmazs kiajnls, helyi desktop virtualizcival, mg a RAH szintn alkalmazs kiajnls, csak ppen tvoli desktop virtualizcival. Van mg egy komoly oka a RAH hasznlatnak, s az az alkalmazs kompatibilits. Ugyanis az a gp, amirl majd indtjuk az alkalmazst, csak Windows 7 lehet, de a clgp akr egy XP is, IE6-tal s ms skvletekkel amelyekre sajnos mg mindig szksg van. Ha a RAH-ot hajtjuk, a kvetkez elfeltteleknek kell megfelelni: - A virtulis gp csak XP SP3 vagy Vista SP1 vagy Windows 7 (Enterprise vagy Ultimate) lehet. - A guest gpekre egy frisstst fel kell tennnk (csak XP133 s Vista134 esetn), s nmi registry varilsra is szksg lesz. - A kliensen az RDC 7 az alapfelttel, s a RemoteApp alapjul szolgl .rdp fjlt kicsit korriglnunk kell. - Csoporthzirenddel clszer lesz a munkamenet sztkapcsolsi belltsokat is konfigurlni, ezen a helyen: o Computer Configuration | Policies | Administrative Templates | Windows Components | Remote Desktop Services | Remote Desktop Session Host | Session Time Limits | Set the time for disconnected sessions. Ezutn jhetnek a konkrt teendk, mgpedig most egy XP SP3 esetn, s egy Notepad-ot fogunk elsknt futtatni errl az OS-rl. St, ugyanaz a hotfix teszi lehetv ezt a mkdst! Ha ezt a hotfixet egy Windows Virtual PC-n fut Vist-ra tesszk fel, akkor a helyi gpnkn egyszerre lehet IE7 s IE8/9 (a lektor megjegyzse). 133 http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=4465
132 134
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=10007
~ 258 ~
RDS + VDI
Teleptsk fel a frisstst! Registry: HKLM/Software/Microsoft/Windows Server/TsAppAllowList/fDisabledAllowList = 1
NT/CurrentVersion/Terminal
Lpjnk t a Windows 7-es kliensre, majd indtsunk el egy mstsc.exe-t, mentsk el az .rdp fjlt, pl. RemoteNotepad nven, majd zrjuk be. Nyissuk meg pl. Notepad-dal az .rdp fjlt, s javtsunk bele: o remoteapplicationmode:i:1 o alternate shell:s:rdpinit.exe Majd adjuk a vgre a kvetkez sorokat: o RemoteApplicationName:s:Remote Notepad o RemoteApplicationProgram:s:%windir%/system32/notepad.exe o DisableRemoteAppCapsCheck:i:1 o Prompt for Credentials on Client:i:1
8.43
BRA
E GY
KLASSZIKUS
N OTEPAD
IE7 W INDOWS 7- RL
Ez gy szpen megy is, egy dolgot ne felejtsnk el: a kliensre csatlakozunk, s nem szerverre, azaz sszesen egyetlen egy RDP kapcsolat ll rendelkezsre.
8.7 RD G AT EWAY
Mltatlanul a vgre kerlt ez az sszetev, de csak azrt, mert taln a kedves Olvas is szrevette, hogy fokozatosan ptkockrl, ptkockra raktam ssze egy
~ 259 ~
~ 260 ~
RDS + VDI
vagy a helyben, az RD Gateway Managerrel ltrehozott csoportok hasznlata, vagy akr gy is bellthatjuk, hogy ne legyen semmilyen korltozs. 1-2 tovbbi extrt is feljegyezhetnk a neve mell: - Az R2-es verzi mr NAP integrcival is rendelkezik. - lland belpsi zeneteket, illetve admin s/vagy rendszer (instant) zeneteket is publiklhatunk. - A kls biztonsgos eszkztirnyts is megvalsthat (R2 RDSH s RDP7 esetn).
8.44
BRA
A Z RD G ATEWAY
A teleptse sorn az els fontos krds a tanstvny hasznlat lesz, ami lehet nalrt, bels s kls tanstvnykiadtl szrmaz, s el is odzhatjuk a krdst, de a lnyeg, hogy legyen tanstvny (az nalrtat azrt hagyjuk ki, ha lehet). A telept felajnlja az azonnali hzirend gyrtst is, de ezt egyelre hagyjuk ki! Illetve mg egy szerepkrhz ragaszkodik, mgpedig az NPS teleptshez, no vajon mirt is? Nos, a NAP tmogats miatt. Ha felment, akkor keressk fel az RD Connection Manager-t, s kezdjk el nzegetni!
~ 261 ~
8.45
BRA
A Z RD G ATEWAY M ANAGER
Kezdjk a globlis belltsokkal, a gpnk tulajdonsgai kztt. Az els hrom fln a kapcsolatok szmnak korltozst, majd a tanstvnyunk belltst, illetve a NAP belltsokat (ahol pldul a RD CAP-jaink kzpontilag is megtallhatak lennnek) talljuk. Azutn mivel a rendelkezsre lls ebben az esetben is fontos - az esetleges RDGW farm tagsgi belltsait kapjuk meg. Az Auditing alatt a naplzs rszletessgt llthatjuk be, mg az SSL Bridging-nl az ISA vagy TMG, vagy ms publikl eszkzzel trtn kapcsolds szablyzsa lthat. Ha hasznljuk, kt eset lehetsges: - HTTPS-HTTPS: Annak ellenre, hogy pl. a TMG terminlja majd a HTTPS kapcsolatot (azrt, hogy az sszes szrsi kpessgt be tudja vetni), azrt legyen a TMG s az RDGW kztt is SSL csatorna. - HTTPS-HTTP: Ne legyen kt SSL tunnel (az els ugye a kls user gpe s a TMG kls lba kztt van), a TMG s a RDGW kztt elg neknk a HTTP is.
~ 262 ~
RDS + VDI
8.46
BRA
NAP
8.47
BRA
VISZONY A TZFALHOZ
~ 263 ~
Egyetlen dolog maradt a globlis belltsoknl, mgpedig egy R2-es jdonsg, az zenetek, amelyeket majd csatlakoz felhasznlk kapnak meg. Van ideiglenes rendszer zenet, s van lland belpsi zenet, s kemnykedhetnk is, azaz olyan felhasznlk szmra letilthatjuk az sszes kapcsoldsi lehetsget, akiknek az RDP kliensei nem kpesek ezeket az zeneteket fogadni (lsd kzvetkez tblzat).
8.48
BRA
A B IZTONSGI
MTRIX
AZ
RD G ATEWAY
s akkor hozzuk vgre ltre a hzirendeket, mert ez a lnyeg, a bal oldali keret faszerkezetben ltjuk is mr ezek trolit, persze jelenleg mg resek. Ha mondjuk a CAP-pal kezdjk, akkor ltszik, hogy az NPS szerveren lv CAP-ok is hasznlhatak lennnek, de mi inkbb helyit ksztnk most, s a varzslval. Ebben az a j, hogy egybl meg is adhatjuk, hogy a CAP mellett legyen egy RAP-unk is, vlasszuk most ezt, s akkor egy menetben tl lesznk rajta. Adjunk egy nevet elszr a CAP-nak135, majd jjjn az els restrikcis panel! Itt a legals csoport az rdekes, azaz a gpek domain tagsga szerint is szelektlhatunk a kliensek kzl. n pldul csak s kizrlag a DirectAccess laptopoknak engedtem meg, hogy belpjenek az RDGW-n keresztl (s ezeken a gpeken is csak a Domain Users csoport tagjai).
Tetszleges mennyisg CAP s RAP hzirendnk lehet, lesz majd sorrend is, az elnevezsnl ezt esetleg vegyk szmba.
135
~ 264 ~
RDS + VDI
8.49
BRA
H ITELESTS ,
8.50
BRA
MEGHAJTK S A
P NP
ESZKZK TILTSA
~ 265 ~
Az als kpen - az eddigi sszes eszkztirnytsos belltssal szemben - itt s most a tiltsokat kell bepiplnunk. A kicsit klnll Only allow client... ngyzet az RDP 7.0 vagy jabb hasznlatt teszi ktelezv. A kvetkez panelen a nyugalmi llapot (idle) s a munkamenetek idtllpsi belltsait lthatjuk, de ez most rdektelen. Ha ez mind megvan, jn a szumma kperny, majd trjnk t az RD RAP gyrtsra. jra csoporto(ka)t kell kijellnnk, de ezek mr nem a kapcsoldshoz, hanem az erforrsok elrshez lesznek majd szksgesek. Ezutn azokat az adott gpeket, gpcsoportokat jelljk majd ki (tipikusan a szerverek), amelyekhez a korbban megadott felhasznlk hozzfrhetnek az RDP kapcsolat sorn. Azaz ha az RDGW-n keresztl jnnek, akkor brmelyik szervert nem rhetik majd el, csak s kizrlag a kijellteteket. Hrom varici van: 1) AD csoport 2) Az RDGW-n kattintgatunk ssze egy csoportot, vagy vlasztunk egy mr legyrtottat 3) Nincs erforrs-hozzfrs korltozs, legalbbis az elrhet gpek szerint nem csinlunk ilyet
8.51
BRA
H OVA
ENGEDJK BE ?
~ 266 ~
RDS + VDI
Ha a kzpst vlasztjuk, akkor neknk kell a gpek, vagy pl. egy RDSH farm esetn a farm nevt (is!) megadni, de az is lehet, hogy szlssges esetben IP cmeket kell berni a listba.
8.52
BRA
V IGYTEK
DC- T
IS !
Most mr tnyleg csak egy elem van htra a varzslbl, mgpedig a TCP port szkts vagy ppen a brmilyen port megadsnak a lehetsge. Ezutn ismt szumma, majd vgeztnk, immr rendelkeznk hozzfrsi s erforrs hzirend szablyokkal is. s ne felejtsk el, amg ezeket nem gyrtjuk le, addig nincs tmen forgalom az RDGW-n, azaz ha csak felteleptjk, s az RDSH vagy a RDCB szervereken megjelljk, hogy hasznlja pl. a RemoteApp a Gateway-t, de nem csinlunk CAP/RAP objektumokat, addig coki! Az RDGW szerveren vgeztnk, most jhet az RDSH / RDCB szervereken a Gateway konfigurls, majd stljunk el a kliensre, merthogy ezt is fel kell ksztennk! No nem nagyon (s persze tartomnyi krnyezetben Csoporthzirend is van), de azt azrt meg kell mondanunk a Windows 7-nek pldul, hogy van m RDGW szerver is. A kvetkez kpen az is ltszik, hogy hol.
~ 267 ~
8.53
BRA
B EJN
A KPBE AZ
RDGW...
8.54
BRA
... S
MR HITELESTNK IS LTALA .
~ 268 ~
RDS + VDI
Szval a kliensnk RDP kapcsolatban a legutols fln kell megadnunk, hogy hogyan, milyen jellemzkkel hajtunk az RDGW-n keresztl kapcsoldni. Felhvnm a figyelmet a legals ngyzetre (Use my RD Gateway credentials for the remote computer), amellyel az SSO, azaz az egyszeri/egyszer belps ldsos hatsa al kerlhetnk. Ez gynyren ltszik a msodik kpen, mikor is megmutatja neknk a hitelest ablak, hogy ezekkel az adatokkal elszr az RDGW-re, majd aztn a clszerverre fogunk belpni. Ha ehhez minden felttelt megteremtettnk, akkor mkdni is fog, ahogyan ez a kvetkez kpen ltszik is az RD Gateway Manager Monitoring menpontja alatt.
8.55
BRA
A2
Nem hiszem el, hogy vge ennek a fejezetnek, pedig mgis. De egy kicsit azrt rokon rsz kvetkezik, hiszen a VDI vagy RAH miatt mr gyis rintettk, s egybknt itt a fejezet vgn jl el is rulom, hogy az RDS is egyfajta virtualizci, mgpedig az n. prezentci virtualizci.
~ 269 ~
9 H YPER -V
Egy korbbi lbjegyzetben mr megemltettem a virtualizcival kapcsolatos pozitv irnyba trtn vlemnyvltozsomat, de az igazsghoz hozztartozik, hogy annak ellenre, hogy vgigtgettem - a Virtual PC-tl kezdve, a Virtual Serveren t, a HyperV-n keresztl az SCVMM-ig -, az elmlt sok-sok v rengeteg termkt, mgis ez az a tmakr, amit inkbb csak hasznlok, mint rtek. Illetve ez azrt nyilvn kiss tlzs, de a mlyvzben azrt nha kapldzok kicsit. Szval, aki ettl a fejezettl azt vrja, hogy a Hyper-V mkdsnek legmlyebb bugyraiban turklva, a sarki zldsges szmra is tkletesen rthetre fordtom a lnyeget (mint remlhetleg ltalban), az lehet, hogy csaldni fog. Inkbb a gyakorlati dolgokra szeretnk fkuszlni, azaz leginkbb az zemeltetsre, persze azrt lesz elmlet is bven, s kivtelesen - s persze engedllyel136 nagyobb tuds szakemberektl is lopok nha ebben a fejezetben.
9.1 M IT
Egy biztos, akr tervez rendszermrnkk vagyunk, akr kreatv fejlesztk, akr kzmves rendszergazdk, akr IT vezetk, e tma mellett elmenni nem lehet s nem is rdemes. Ha tbb opercis rendszert, tbb alkalmazst, tbb gpet akarunk mkdtetni s mindezt flexibilisen, idt s erforrst sprolva, s meglehetsen nagy szabadsggal, akkor a virtualizci tkletes alternatva. Radsul tbb terletre is tnylunk, mivel a virtualizci a Microsoft egy halom megoldsban is jelen van. Ebben a fejezetben a szerver-virtualizcirl (Hyper-V) fogunk megemlkezni, de a tma kapcsn gondolhatunk az alkalmazs-virtualizcira (pl. App-V), a desktopvirtualizcira (Med-V), vagy akr az elz rszben emlegetett RDS-re is. A Hyper-V egy teljesen 64 bites, mikrokerneles hypervisor-alap virtualizcis megolds, amely a Windows Server 2008-ban indult el (az RTM-hez kpest nmi ksssel, ha emlksznk) az 1.0-s verzival. Az R2-ben mr 2.0-s vltozat van, tbb komoly jdonsggal, s mg mieltt a 3.0-s verzit a Windows 8 Server137-ben elrnnk, az R2 SP1 is lktt a funkcionalitson egy kicsit, vagy nem is kicsit.
Br gy tennnek msok is, de sajnos nem tesznek gy, nincs erklcs a neten, nekem pldul kilomteres online hivatkozsi jegyzkem lehetne, de csak 10 mteres van . 137 A knyv irsakor mg bta, st mg az sem (n. Developer Preview), gyhogy a nv is csak kdnv, ksbb brmi ms is lehet.
136
~ 270 ~
HYPER-V
Viszont a virtualizcival kapcsolatban ltalban sok a homlyos kifejezs is, s kicsit mshogy is kell gondolnunk a gpekre, a hardverre vagy az alkalmazsokra, pp ezrt oszlassuk el kicsit a kdt pr defincival138: - Hypervisor: A hypervisor egy vkony szoftverrteg 139 , ami kzvetlenl a hardver s a rajta fut opercis rendszerek kztt foglal helyet. A feladata, hogy elklntett futtatsi krnyezeteket biztostson az sszes opercis rendszer szmra (ezek lesznek a partcik). Minden partci csak a sajt hardver erforrsaival rendelkezik (memria, eszkzk s a CPU adott idszeletei). A hypervisor ellenrzi s koordinlja a partcik hozzfrst a tnyleges hardverhez. - Partci (Partition): ez a hypervisor ltal biztostott elklnts alapegysge; egy fizikai cmtartomnybl s egy vagy tbb virtulis processzorbl pl fel. A partcihoz meghatrozott hardver erforrsok rendelhetk s az erforrsok elrshez szksges jogosultsgok is.
9.1
BRA
A H YPER -V
FELPTSE
Szl partci (Parent partition): Az a partci, amelyben dolgozva a gyerek partcikat ltrehozzuk s felgyeljk. Ha nagyon le akarnnk egyszersteni, akkor azt mondhatnnk hogy ez a host gp, de azrt nem, mivel a szl partci is egy virtulis gp. Gyerek partci (Child partition): A szlbl ltrehozott brmely tovbbi partci. A gyerek partci gyakorlatilag egy virtulisan definilt hardver.
~ 271 ~
Mi mindenre van szksgnk Hyper-V mkdshez? Nem sok ttelbl ll a lista: - Egy 64 bites CPU-ra. Mr a Windows Server 2008 esetn is csak a 64 bites vltozatnl hasznlhattuk a Hyper-V-t, az R2-nl pedig nincs is ugye ms. - Windows Server 2008 / R2 Standard, Enterprise, Datacenter - A CPU-nl a hardveres virtualizci tmogats (Intel VT/AMD-V) - Engedlyezett s bekapcsolt, hardveres Data Execution Protection (DEP) (Intel XD bit / AMD NX bit) s amit nyjt, technikai szemmel, felsorolsszeren s persze az R2-vel szmolva: - 32 s 64 bites virtulis gpek prhuzamos mkdse - Egy- s tbb processzoros (magos) virtulis gpek hasznlata - 64 processzormag (akr 8x8 mag), SLAT s CPU Core Parking tmogats - 1 TB fizikai memriatmogats - Maximum 384 futtathat virtulis gp s maximum 512 virtulis processzor - 256 TB lemezterlet LUN-onknt - Pass-through140 lemeztmogats 256 TB LUN-ig - 16 node-os frt, maximum 1024 virtulis gppel - Cluster Shared Volumes (CSV) hasznlat, Quick s Live Migration tmogats Ez az a helyzet, amikor egy fizikai diszket dediklva adunk oda egy virtulis gpnek, ami a leggyorsabb diszk sebessget jelenti.
140
~ 272 ~
HYPER-V
Multipath IO tmogats Virtulis hlzati kapcsol (switch) hasznlata, 10 GBitE tmogats Virtulis gpek pillanatnyi llapotnak mentse (snapshot), s visszalltsa MMC 3.0 felgyeleti eszkz, WMI interfsz (szkriptels, felgyelet)
s most koncentrljunk egy kicsit a szerver-virtualizcira s nem felsorolsszeren az elnykre, azaz pontosan milyen helyzetekben lehet hasznos a Hyper-V neknk?141 - Szerverkonszolidci: a szerver hardverek a legritkbb esetben vannak folyamatosan kiterhelve a lehetsgeik hatrig. Minden szolgltats mskor s eltr mennyisg szmtsi teljestmnyt illetve erforrsokat ignyel. rdemes ezeket a klnfle szolgltatsokat minl kevesebb fizikai vasra kzpontostani, s azok sklzhatsgt s rendelkezsre llst biztostani. - A szolgltatsok folyamatos mkdsnek biztostsa: a cl itt igencsak egyszer: szeretnnk minimalizlni mind a tervezett, mind a be nem tervezett rendszerlellsok idejt. Minl kevesebbszer lljon le a rendszer, de ha le is ll, gyorsan helyre tudjuk azt lltani! Virtualizcival mindez knnyen megvalsthat, hiszen mind a frtzsre, mind a virtulis lemezek s gpek replikcijra s mozgatsra is szmtalan megolds ll rendelkezsnkre, amihez egszen knyelmes rendszerfelgyeleti megoldsok is elrhetek mr. - Dinamikus adatkzpont: lehetsgnk van arra is, hogy az egy vasra konszolidlt opercis rendszerek, illetve szolgltatsok kztt rugalmasan mozgathassuk az erforrsokat, pldul a rendelkezsre ll memrit, illetve a szmtsi kapacitst. Ha tbb szervernk van, igny szerint msolhatjuk, mozgathatjuk kztk a virtualizlt gpeinket is. - Fejlesztsi s tesztkrnyezet: knnyen pthetnk olyan virtulis tesztkrnyezeteket, amelyekkel brmilyen tesztelsi clokat megvalsthatunk. Ezek a virtulis krnyezetek nem kell, hogy kln fizikai szerverekre kerljenek elfrhetnek a mr hasznlatban lv szervereken is, s mivel csak a teszt idejre van rjuk szksg, gy erforrsignyk is csak ideiglenes. A virtualizcinak ksznheten tkletesen izollhatjuk ezeket a tesztrendszereket a valdiaktl (egy hardveren bell is!), de ha pont ennek az ellenkezjre van szksgnk (pldul egy migrci tesztelsekor szeretnnk elrni az aktulis rendszert is), az is knnyen megvalsthat. Nos, ennyi a bevezetshez szksges adat s elmlet utn nzzk meg a Hyper-V kezelsre mindennaposan hasznlt eszkznket, a Hyper-V Manager-t!
9.2 A
141
A kvetkez ngy bekezds Budai Pter mve, egy rgi-rgi Technet Magazinbl.
~ 273 ~
9.2
BRA
EZ
GY NEM
OK ( RTELEMSZEREN
H YPER -V- T )
A szerepkr a teljes GUI-s kiszolglra trtn teleptsekor a kezelshez szksges eszkz, a Hyper-V Manager egybl felkerl, viszont Server Core vagy a Hyper-V Server esetn nem, s nem is lehet. De tvolbl igen, mindhrom szerver zemmd esetn s erre 2 megoldsunk is van, tipikusan mindkett tartomnyban egyszeren elrhet, munkacsoportos krnyezetben mr kevsb, mivel a jogosultsgok deleglsa kiss krlmnyes142: 1) A Server Manager-ben a kpessgek kztt tallunk egy Hyper-V Tools-t, gy ha az egyik szerverrl a msikra szeretnnk a kezelst megoldani, akkor ezt kell telepteni s hasznlni.
http://blogs.technet.com/b/jhoward/archive/2008/03/28/part-1-hyper-vremote-management-you-do-not-have-the-requested-permission-to-complete-thistask-contact-the-administrator-of-the-authorization-policy-for-the-computercomputername.aspx
142
~ 274 ~
HYPER-V
2) s erre a clra szolgl az RSAT csomag pl. egy Windows 7-en, amelynek szintn van egy Hyper-V Tools MMC-je. No s persze mretesebb krnyezetben, tbb Hyper-V szervert felgyelve s irnytva, kzpontostott feladatokat elltva az SCVMM-nek nem lesz prja.
9.3
BRA
A H YPER -V M ANAGERBEN
A Hyper-V Manager-rel a szl partci opercis rendszerbl kezelhetjk a gyermek partcikat (a guest-eket, azaz a virtulis gpeket). Itt hozhatjuk ltre ezeket, itt trlhetjk, llthatjuk be a jellemziket. A kzps, dominns keretben a virtulis gpeket s pillanatnyi llapotukat, a memria s CPU fogyasztst, stb. ltjuk. A teendk a jobb oldali keretben jelennek meg, egyrszt fell a komplett Hyper-V-re vonatkozan, msrszt alul az adott virtulis gp viszonylatban. Az els leselkeds utn nzznk be a globlis tulajdonsgok kz, ezt az adott HyperV szerver helyi menjben a Hyper-V Settings-et kivlasztva rhetjk el.
~ 275 ~
9.4
BRA
K EZDJK
ITT
Az elejn a kiszolglra vonatkoz belltsok jnnek szembe, pl. a leend virtulis gpek .vhd fjljainak s konfigurcis fjljainak alaprtelmezett helyt tudjuk mdostani, illetve a NUMA Spanning (Non-Uniform Memory Architecture 143 ) engedlyezse is itt tallhat. Aztn pedig kisebb jelentsg belltsok jnnek, mint pl. a billenty kombincik hasznlatnak krlmnyei vagy az egrkurzor elengedse144 (ha nincs integrcis komponens teleptve). Ellenben egy ezeknl lnyegesen fontosabb rszt is clszer mg a virtulis gpek ltrehozsa eltt konfigurlni,mgpedig a virtulis hlzatokat. Az n. virtulis Bizonyos (igen komoly) kiszolgl hardver esetn Hyper-V alatt egy virtulis gpnek meg lehet adni, hogy mely NUMA node-on mkdjn. Ti a NUMA egy olyan spci memria architektra, amely a multiprocesszoros rendszerekben hasznlatos, s a CPU-knak sajt, a kzs rendszer memritl elklntett memria terlete is lehet. 144 Ezt annyira nem neveznm aprsgnak, egy rosszul konfigurlt egrkurzor kpes az rletbe kergetni az admint (a lektor megjegyzse).
143
~ 276 ~
HYPER-V
switchek konfigurcija szintn az adott Hyper-V szerver helyi menjben tallhat (Virtual Network Manager). Itt hrom, egymstl teljesen eltr virtulis hlzat tpus ll rendelkezsnkre, amelyek egyik kzs jellemz viszont az lesz, hogy akr tbbet is ltrehozhatunk bellk (lsd kvetkez kp).
9.5
BRA
Private: kizrlag a virtulis gpeink kztti hlzati kapcsolatok kialaktsra nyjt lehetsget, se a szl fel, sem egy kls kapcsolat fel nem lehetsges kapcsoldni. gy lehet pldul kellemesen szeparlni egymstl akr teljesen ugyanolyan IP konfigurcival tesztrendszereket (persze ha nincs szksg kls kapcsolatra). Internal: Az adott Hyper-V szerver gpei s a szl opercis rendszer, valamint az ugyanazon a fizikai szerveren fut virtulis gpeink kztti hlzati kapcsolat kialaktsra szolgl. External: Ezen a virtulis switch-en keresztl csatlakoztathatjuk a virtulis gpeinket a rendszernk nem virtualizlt rszbe. Az ilyen tpusnl a virtulis hlzathoz ktelez hozzrendelni fizikai gp egyik hlzati krtyjt.
~ 277 ~
9.3 E GY
VIRTULIS GP LT REHOZSA
Legalbb hromfle mdon juthatunk j virtulis gp birtokba: 1. Teleptnk egy teljesen j virtulis gpet, egy teljesen j virtulis lemezzel, a szoksos OS teleptsi mdszerrel 2. Rendelkeznk egy msik Hyper-V all kiexportlt gppel (amelyhez egy konfigurcis fjl s egy vagy tbb diszk is tartozik), s ezt beimportljuk 3. Rendelkeznk egy sysprep-elt lemezkppel, s ebbl (ha okosan akarjuk csinlni) egy differencilis lemezzel hozunk ltre telepts nlkl egy vagy akr tbb j virtulis gpet
Az ilyen krnyezetet headless krnyezetnek nevezzk. Szerverekbe beptett rendszerfelgyeleti krtyval mkdtethet (a lektor megjegyzse). 146 Tbb Hyper-V host esetn (SCVMM nlkl) tfedsek lehetnek. Azonos MAC cm gpek nem kommuniklhatnak egymssal, tbb host esetn, de SCVMM hinyban neknk kell gondoskodnunk a MAC cmek hostokon tvel egyedisgrl (a lektor megjegyzse).
145
~ 278 ~
HYPER-V
Nzzk sorban! Az egyes mdszer a legegyszerbb, de pl. sok gp esetn nagyon fraszt, s semmilyen knnyebbsget nem hordoz magban. E mdszer szerint egy j virtulis gpet s egy vagy tbb j virtulis diszket fogunk ltrehozni, s aztn megkezdjk az OS teleptst. A folyamatot az adott Hyper-V szerver helyi menjben, a New pontra kattintva kezdemnyezhetjk (itt az j virtulis gp mellett akr egy j virtulis diszket, vagy ppen egy virtulis floppy is ltrehozhat egybknt).
9.6
BRA
N EVEZZK
S HELYEZZK EL A GPNKET
Ezutn jnnek sorban a hardveres jellemzk, RAM, hlzat, diszk, stb., viszont a CPU konfigurcit az j virtulis gp varzslban nem mdosthatjuk, alaprtelmezetten egyet kap a gpnk, de ahogy minden mst, amit eddig belltottunk, termszetesen ezt is megvltoztathatjuk majd a varzsl befejezse utn.
~ 279 ~
9.7
BRA
A RAM
HOZZRENDELSE
9.8
BRA
SWITCHEK
~ 280 ~
HYPER-V
9.9
BRA
L EMEZKEZELS
9.10
BRA
A DJUK
F INISH - RE
KATTINTVA VGEZTNK IS
~ 281 ~
147
~ 282 ~
HYPER-V
9.11
BRA
Ha betallztuk a mappt, akkor el kell dntennk, hogy ez egy egyszeri import lesz-e vagy esetleg egyfajta sablonknt akarjuk hasznlni a korbban kiexportlt gpet. A csak s kizrlag az R2 alatt megjelen Duplicate all files opci kivlasztsa esetn (s persze a Copy the virtual machine (create a new unique ID) hasznlata mellett) lehetsgnk nylik egy korbban exportlt gp tbbszri importlsra. Ezen j opci segtsgvel egy elre definilt, konfigurlt, elksztett s exportlt virtulis gpet (master image) tbbszr is felhasznlhatunk, gy egy j kiszolgl nhny percen bell a rendelkezsnkre llhat. Ha nem ezt a lehetsget vlasztjuk, akkor az import folyamat az echte exportlt fjlokat hasznlja fel a virtulis gpnkhz, s ezt a vhd-t fogja elindtani, teht ezt az exportot sszesen egyszer tudtuk beimportlni. Az exportnl elvileg minden jellemznek s tulajdonsgnak passzolnia kell az export s az import Hyper-V gpek tekintetben. Termszetesen egy az eredeti gpbe becsatolt, de az j helyen nem ltez .iso fjl, vagy egy eltr nev hlzati switch esetn nem fog meghisulni az export, viszont egy figyelmeztet hibazenetet kapunk errl. Sajnos a konkrt hibt nem rja bele a Hyper-V ebbe az zenetbe, viszont az Esemnynaplban, az Applications s Services Logs\Microsoft\Windows naplk kztt a Hyper-V-VMMS naplfjlban konkrtan meg fogjuk tallni, hogy mi fj neki. A harmadik mdszer kicsit hasonlt a kettes vghez, s ugyangy azt a clt szolglja, hogy egyszerbb legyen sok gpet ltrehozni. Egy korbban ltrehozott (s rsvdett tett) sysprep-elt .vhd fjlt fogunk hasznlni, radsul helytakarkos
~ 283 ~
9.12
BRA
V LASSZUK
AZ J
HDD- T
Ezt viszont az j gp varzslban nem tudjuk bevinni (9.9), ezrt ilyenkor vlasszuk nyugodtan a dnts elhalasztst (Attach a virtual disk later)! gy akkor lesz csak lemeznk, ha mr ksz a gp, de mg res. Vlasszuk ki teht a kivlasztott virtulis gp tulajdonsgait (helyi men > Settings), majd keressk meg az IDE Controller 0 pontot.
~ 284 ~
HYPER-V
9.13
BRA
L EGYEN
~ 285 ~
9.14
BRA
LEMEZTPUSOK : A FIX GYORSABB LESZ , DE VALSZNLEG PAZA RL , A DINAMIKUS KNYELMES S KISEBB HELYFOGLALS , DE LASSBB , A DIFFERENCILIST MEG LSD AZ ELZ OLDALO N
9.15
~ 286 ~
HYPER-V
9.16
BRA
F INISH
Ezutn, azaz a gp elindtsa utn a sysprep-et kvet els indts mindig egy rvid uttelepts, amely utn viszont kapunk egy mr ksz opercis rendszert. Amit innentl a virtulis gpben vltoztatunk, az csak a sajt diszkjben trtnik meg. Nos, ezzel a harmadik mdszernek is a vgre rtnk, gy aztn ideje, hogy megnzzk alaposabban azt, amibe mr belecsptnk: a virtulis gpek tulajdonsgait s belltsi lehetsgeit.
9.4 A
A virtulis gp tulajdonsglapjn (helyi men > Settings) mdosthatjuk a kivlasztott gp hardver s management paramtereit. A Hardware szakasz rszletei: - Add Hardware: Itt adhatunk j hardvert a gpnkhz (SCSI controller, Network adapter, Legacy Network adapter, R2 SP1 utn RemoteFX 3D Video Adapter is149) - BIOS: boot sorrend, Num Lock sttusz Ez az alfejezet jelents rszben tmaszkodott Liszk Gbor a technetklub.hu-n megjelent cikkre: https://technetklub.hu/blogs/virtualizacio/archive/2010/08/11/hyper-v-r2adminisztr-225-ci-243-i-hyper-v-manager.aspx 149 https://technetklub.hu/blogs/virtualizacio/archive/2010/12/09/remotefx-awindows-server-2008-r2-sp1-ben.aspx
148
~ 287 ~
9.17
BRA
A MI
Network Adapter: mdosthatjuk a hlzati kapcsolatokat, j virtulis adaptereket rendelhetnk a szervernkhz s krtynknt megadhatjuk, hogy azokat melyik virtulis switch-nkbe csatlakoztatjuk (a korbban definilt
https://technetklub.hu/blogs/virtualizacio/archive/2010/12/09/hyper-vdinamikus-mem-243-ria-alapok.aspx
150
~ 288 ~
HYPER-V
virtulis hlzatok kzl vlaszthatunk s ha mr egyszer felvettk a gp lelltott llapotban az interfszt, akkor akr menet kzben is vltoztathatjuk a krtykon a virtulis hlzatokat). DVD Drive: megadhatjuk a mdit, ugyangy, ahogy az j virtulis gp varzslban. COM: ms kiszolglkkal trtn, virtulis COM porton keresztli kommunikcit engedlyezhetnk a virtulis gp szmra (Named pipe). Diskette Drive: virtulis floppy-t (*.vfd) csatlakoztathatunk a gpnkhz.
A Management szakasz: - Name: a gpnk Hyper-V Manager-ben megjelentend nevt mdosthatjuk. - Integration Services: itt talljuk az integrcis szolgltatsok (Integration Services, lsd ksbb) kapcsolit. Eldnthetjk, hogy ezek kzl melyeket szolgltassa a host gp a virtulis gpnk szmra (ksbb kifejtem). - Snapshot File Location: megvltoztathatjuk a pillanatfelvtel fjlok (lsd ksbb) helyt. - Automatic Start Action: a fizikai gp indulshoz a hozzrendelt automatikus virtulis gp indtsi mveletet hatrozhatjuk meg. - Automatic Stop Action: a fizikai gp lellsakor megtrtn automatikus virtulis gp lelltsi mveletet hatrozhatjuk meg. 151 A virtulis diszkek kezelse A hardveres szakaszban pl. az IDE Controller rsznl lthattunk pr, a lemezekkel kapcsolatos mveletet, s ugye a New parancs s a differencilis diszkek apropjn mr amgy is jrtunk itt. De fontos azt is tudnunk, hogy az Inspect lehetsget vlasztva egy ltez .vhd tulajdonsgait ellenrizhetjk. Az Edit disk alatt viszont tovbbi, esetenknt igen hasznos mveletek is elrhetek: - Compact: A fizikai httrtron elhelyezked .vhd fjl mrete nem cskken automatikusan, amikor adatot trlnk a virtulis lemezrl,viszont a Compact parancs hatsra igen. - Convert: Dinamikusan nvekv .vhd-bl fix mret virtulis lemezt kszthetnk. A mvelet sorn az eredeti diszknk tartalmrl msolat kszl egy ltalunk meghatrozott mret j, fix .vhd-ba. - Expand: Fix-, illetve dinamikusan nvekv mret .vhd mrett nvelhetjk, egszen 2TB-ig. - Merge: Csak a differencilis lemezek hasznlata esetn jelenik meg, ugyanis van lehetsgnk arra, hogy sszeolvasszuk a szl s a vltozsokat tartalmaz .vhd fjlt.
Az utbbi kt opcival llthat be nmi prblgats utn , hogy a megfelel sorrendben induljanak el a gpek, legalbbis egy hoston bell (a lektor megjegyzse).
151
~ 289 ~
9.18
BRA
E GY
LEMEZVIZSGLAT F LTON
Snapshot (pillanatfelvtel) A pillanatfelvtel remek lehetsg, ami kivlan hasznlhat, s ez az egyik dolog a sokbl, ami a fizikai gpekhez kpest a virtulis gpeknl a magas szint rugalmassgot adja a keznkbe. Merthogy a pillanatfelvtel hasznlatval egy adott virtulis gp lemeznek, konfigurcijnak s az aktulis memriatartalom tartalmnak llapott rgzthetjk, s erre az llapotra brmikor visszallhatunk. Pldul egy OS-nl egy sszetett konfigurls eltt llok, s lehet, hogy visszatrnk a mostani llapothoz, mert ez csak egy teszt. Ksztek egy pillanatfelvtelt pr msodperc alatt, sztkonfigurlom a gpet, majd ha gy hajtom akkor, visszallok teljesen az elz llapotra, szintn pr msodperc alatt. De ez ekkor az igazi, ha olyan vltozst tervezek vgrehajtani, ami egybknt visszafordthatatlan lenne (nyilvn egy olyan mvelet esetn, amelynek eredmnye pldul a cmtrban troldik, kevsb operlhatunk).
~ 290 ~
HYPER-V
9.19
BRA
PILLANATFELVTEL MV ELETEK
No s persze egy gprl szmos pillanatfelvtelnk is lehet 152 , amelyeket egy faszerkezetbe rendezve talljuk meg az adott gp neve alatt, a klnbz idpontokkal elnevezve (persze tnevezhet, s rtelmes, az llapotra utal nevekkel clszer is ezt megtenni, mert a kosz gyorsan kialakul). A fbl lehetsgnk nylik trlni egyetlen pillanatfelvtelt (Delete Snapshot), de trlhetjk egyszerre az egsz ft is, ill. a kijellt snapshot alatti snapshot-okat (Delete Snapshot Subtree...). Termszetesen, ha a Delete Snapshot Subtree... lehetsget a legfels felvtel kijellse mellett vlasztjuk, akkor az sszes rgztett llapotot trljk. Ami mg fontos, hogy a pillanatfelvtel exportlhat is, viszont nem kszthetnk pillanatfelvtelt olyan gprl, melyhez akr csak egy pass-through diszket is csatlakoztattunk. Az integrcis komponensrl
A pillanatfelvtel llomnyok helyt az egyes virtulis gpek tulajdonsglapjn llthatjuk be. A snapshot llomny kiterjesztse az .avhd.
152
~ 291 ~
9.20
BRA
AZ 5
EXTRA LEHETSG
A fejezet elejn emltett Firnyt, azaz a Worker processz ezeken az integrcis komponenseken keresztl tartja a kapcsolatot pldul a szintetikus eszkzkkel (VMBus) s a tbbi virtulis gppel (VSP-VSC), valamint feldolgozza a gazdagprl rkez felgyeleti utastsokat (WMI), s lekpezi az RDP kapcsolatokat153, illetve 1-2 tovbbi, szmunkra is lthat extra lehetsget nyjt (lsd: korbbi pldk).
153
~ 292 ~
HYPER-V
9.21
BRA
AZ
Az integrcis komponens ltalban nem kerl bele automatikusan154 a virtulis gpbe, hanem neknk kell - clszeren a virtulis gp els hasznlatakor - felrakni (9.21 bra), vagy ha pldul egy ms verzij Hyper-V-rl importltunk egy gpet, akkor pedig frissteni.
Van azrt kivtel is, az R2-nl s a Windows 7-ben gyrilag van, s azt vettem szre, hogy pl. a Windows 8 Developer Preview-ban benne volt egybl az R2-es HyperV-hez val csomag.
154
~ 293 ~
9.21
BRA
AZ
NZVE
A Hyper-V Servernek van egy tulajdonsga, ami nincs meg a rendes szerverekben: tmogatott mdon indthat egy pendrive-rl. Tovbb van egy olyan kpessge, amely viszont nincs meg a Server Core-ban: a RemoteFX (lsd ksbb) bekapcsolhat rajta, ha SP1 szinten van. 156 De azrt van BitLocker, Backup s 1-2 kisebb kpessg is de mind a Hyper-V miatt. 157 Ugye azt azrt rtjk (s a kvetkez tblzbatl ki is derl), hogy csak a szl OS van ingyen, a guest OS-eket termszetesen el kell ltnunk majd rvnyes licenszekkel 158 Fogjuk majd ltni szzalkok formjban is a Server Core-nal, hogy a parancssoros vltozatok patch-elsi ignye jval kisebb.
155
~ 294 ~
HYPER-V
A Hyper-V Server 2008 R2 hardveres ignyei teljesen megegyeznek a GUI-s vltozat ignyeivel. Semmi tovbbi extra, st, a parancssoros mkdsbl fakadan jval kevesebbel is beri. Ha megvan a telept (1,5 GB), s el is indtjuk, akkor annyira egyszer a dolgunk, hogy szra sem rdemes. A kezels az mr egy msik tszta, de itt jn az igazi hasonlsg a Server Core-ral, azaz ugyangy egy parancssoros menrendszernk van, mint ott, s csak kicsit eltr lehetsgekkel (nzzk meg a kvetkez fejezet kpeit, csak a Failover Clustering Feature a klnbsg), mg az indtsa is az sconfig paranccsal trtnik (mrmint az R2-ben, mert a Windows Server 2008-ban mg a hvconfig volt a megfelel parancs). A felgyelethez itt sem kell csak s kizrlag a parancssort hasznlni, a tvoli WinRM, MMC, RDP hozzfrs megoldott 159 , csak engedlyezni kell. s persze tartomny tagja, a Csoporthzirend alanya egyarnt lehet, s persze a System Center csald felgyeleti hatkrbe is beletartozhat.
9.22
Igazbl a fejezetek sorrendje kicsit zavarba hoz lehet, de az ide tartoz hogyanokat mind megtalljuk majd a kvetkez fejezetben, a Server Core kapcsn (mivel azt korbban rtam meg).
159
~ 295 ~
9.23
BRA
9.24
BRA
H A F AILOVER C LUSTER
2X
AZ
1- EST
~ 296 ~
A SERVER CORE
10 A S ERVER C ORE
A Windows 2008 csald a szoksos Standard, Enterprise s egyb kiadsok mellett egy klnleges n. teleptsi vltozatot is tartalmazott, amelynek a neve Server Core. A klnlegessge elssorban abbl ll, hogy 95%-ban parancssorbl mkdik, azaz egyltaln nincs GUI. Elsre ez biztosan meghkkentnek tnik, de mkdik s nem is akrhogyan.
10.1 E LNYK
S HT RNYOK
Nzzk sorban milyen elnyei vannak egy ilyen kiszolgl verzinak: - A erforrsok szempontbl lnyegesen gyengbb gpen is jl mkdik. A korbbi tesztjeim sorn kiderlt hogy pl. egy virtulis gpben 80 MB RAM-mal mr egy knyelmesen felszerelt tagkiszolgl is mkdtethet, 128 MB memrival pedig egy full extrs tartomnyvezrl is tkletesen jl teljest. Ha igazi vasrl van sz, hasonl a helyzet, br ilyenkor egy kicsit tbb er kell. De nem sokkal, az ajnls szerint 512 MB RAM 160 elg a teljes funkcionalitshoz. Ide tartozik a lemezhely igny is, ami az alaptelepts utn a pagefile nlkl valban nem tbb, mint 4 GB (s ebben benne van a kb. 2 GB-nyi, kompatibilitsi okokbl fenntartott Windows\Winsxs mappa tartalma is, ami egybknt a teljes rendszernl a duplja ennek). s persze ne felejtsk el, hogy alapesetben olyan 30 krli automatikusan indul rendszer rendszerszolgltats van! Ez (is) komoly klnbsg az erforrs hasznlatot tekintve. - Szmos kiszolgl feladatkrt kpes elltni a Server Core (errl ksbb), de lnyegesen kevesebbet, mint pl. egy tipikus teljes161 szerver. Ezenkvl nem lehet akrmit rtelepteni, azaz lteznek a bels s a 3rd party programok terletn is kemny korltok. A kevesebb jobb elv alapjn ez nyilvn sok forgatknyvben fontos lesz, hiszen itt szintn nem kevs zemeltetsi idt takarthatunk meg. - Becslsek szerint kb. 60%-kal kevesebbet kell a biztonsgi s egyb javtsokkal trdnnk, ha nincs GUI, s nincs az ehhez szorosan ktd rengeteg alkalmazs. Ez nyilvn azt is jelenti, hogy kevesebbet kell ezzel a kiszolglval foglalkozni a bezemels utn (ott lehet hagyni a sarokban), s egyltaln nincs annyi jraindts sem. - A telepts utni indt konfigurls (pl. TCP/IP, gpnv megvltoztatsa, stb.) tipikusan a parancssorbl trtnik, de ezutn minimum hromfle mdszerrel vagyunk kpesek tvolbl is felgyelni, zemeltetni a Server Core-t. A teleptshez viszont mindenkppen 512 MB RAM kell, a telept motorja ennyit megkvn. 161 Nem szeretem ezt a kifejezst, szerintem a Server Core is sok szempontbl teljes, de a hivatalos angol full-t kvetem azrt.
160
~ 297 ~
10.1
BRA I TT DL EL MINDEN
A teljessg s a tisztnlts kedvrt tekintsk t a htrnyokat is, mert azrt az sejthet, hogy a felsorolt elnyk szmos kompromisszummal is jrnak! - Tnyleg nincs GUI. Nincs Explorer, MMC, CLR, shell, IE, Media Player, Windows Mail, Paint s Calculator, RDP kliens, stb. El kell gondolkodnunk azon, hogy hogyan lehet DNS znt telepteni parancssorbl? Hogyan lehet szintn innen felhasznlt felvenni az AD-ba? Hogy csinlunk egy kivtelszablyt a tzfalban, hogyan hitelestnk egy DHCP szervert az AD segtsgvel, ha nincs GUI? Mg sok ilyen krdst fel fogunk tenni magunknak a hasznlat sorn, de a vlasz vgl mindig az, hogy lehet, csak kicsit (ritkn nagyon) bonyolultabb.
~ 298 ~
A SERVER CORE
Ami elny, az egyben htrny is, azaz kevesebb komponens s alkalmazs mkdik a Server Core kiszolglkon. 10 f szerepkr162 van, amelyet teljes kren ellt(hat): DHCP, DNS, File Services (DFS/R s a tbbi is persze), Active Directory, Active Directory Lightweight Directory Services, Active Directory Certificate Services, Print and Document Services, Remote Desktop Services (de csak az RDVH a VDI-hoz), Web Server (IIS) s a Hyper-V. Ezek mellett azrt van egy kellemes listnk a kpessgekrl is: o BranchCache o Bitlocker Drive Encryption o Failover Clustering o Multipath IO o Network Load Balancing o NFS Server, Subsystem for UNIX-based Applications o Removable Storage Management o Quality Windows Audio Video Experience (Qwave) o SNMP o Telnet Client o Windows Server Backup o WINS o WoW64 Support
Nmi htrny mutatkozik a telepts, pontosabban a frissts s migrci krnykn is, azaz hrom fontos rszletet kell kiemelni: 1. Nem lehetsges egy korbbi Windows szerver verzirl frissteni. 2. Nem jrhat t a teljes verzikrl trtn frissts sem. 3. A Server Core-t szintn nem lehet egy teljes kiadsra frissteni. Ezekbl rtelemszeren az kvetkezik, hogy a Server Core telepts csak tiszta (clean) telepts lehet. Hogy szptsem a kpet, jelzem, hogy egy komoly elny viszont ltszik a teleptsnl, ugyanis villmgyors, kb. 8-10 perc, s ksz is vagyunk. Mg egy fontos dolog: a csendes telepts megvalsthat, a Server Core kpes egy Unattend.xml alapjn teleplni, azaz testre szabhatjuk (kperny felbonts, RDP engedlyezse, stb.) s automatizlhatjuk a teleptst ugyangy, mint a teljes verzinl (pl. Windows System Image Manager-rel).
10.2 A Z
E LS LPSEK
Itt nem lesz kln R2-es fejezet, hanem itt s ksbb is csak az R2-rl beszlek, illetve... de majd megltjuk .
162
~ 299 ~
10.2
BRA
A S ERVER C ORE - BL
Ha kszen vagyunk, az jfajta egsz kpernys belpsi kpernyt lthatjuk. Tudnunk kell, hogy itt is egyetlen mkd felhasznli fik van csak (ez az Administrator, persze van mg egy, a Guest, de szoks szerint letiltva), s szoksosan ennek sincs mg jelszava. Ha megadjuk ezt, s gy belpnk, akkor az elz kpen lthat ltvny trul a szemnk el. Ha viszont fogjuk, s becsukjuk az X-szel a parancssor ablakot, akkor csak az egyszn httr marad . De ne pnikoljunk be, hasznljuk a CTRL+ALT+DEL-t, s ekkor azrt nmi vigasz gyannt kaphatunk nmi grafikus felletet, ahol a jelszvltoztatson kvl ki is lphetnk vagy lezrhatjuk a gpet, illetve elindthatjuk a Task Manager-t is. Ha pedig van Task Manager, akkor futtathatunk egy jabb parancssort.
~ 300 ~
A SERVER CORE
10.3
BRA
MINI
S TART
Egybknt csak a teljessg kedvrt: a jelszvltoztatshoz a net user administrator * parancs is megfelel. De vajon mi a kvetkez lps? Eltalltuk: a TCP/IP bekonfigurlsa. Persze ha van DHCP, s megfelel neknk, akkor nincs problma, de kiszolglknl ez nem gy szoks, gyhogy jhet a manulis bellts, de elszr tjkozdjunk: netsh interface ipv4 show interfaces Ez azrt is klnsen fontos most, mert az eredmnybl tbb adatot is hasznostani fogunk a ksbbiekben, pl. az adott hlzati kapcsolat pontos nevt s a sorszmt. Ezutn jhet a tnyleges konfigurls: netsh interface ipv4 set address name=2 source=static address=x.x.x.x mask=x.x.x.x gateway=x.x.x.x A name utni sorszm a hlzati kapcsolat sorszma az elbbi listbl az Idx oszlop all. Persze, vissza is llthatjuk brmikor a DHCP-t: netsh interface ipv4 set address name=2 source=dhcp A DNS kiszolgl belltsa kulcsfontossg feladat:
~ 301 ~
netsh interface ipv4 add dnsserver name=2 address=x.x.x.x index=1 Mivel tbb DNS szerver is felvehet, az index adja meg a hasznland DNS szerverek sorrendjt. A telepts kzben a szoksos vletlenszeren kivlasztott, hiperrthetetlen nevet kapja a gp, ebbe a folyamatba kzben nem avatkozhatunk bele, utlag viszont igen, mgpedig az ismers netdom paranccsal: netdom renamecomputer GepMostaniNeve /newname:GepUjNeve Felmerlhet a krds: hogyan dertjk ki a gp jelenlegi nevt? Nos, a legeslegels alkalommal utna kellett nznem nekem is163, de aztn kiderlt, hogy a hostname parancs mkdik itt is, st a set c s a systeminfo is. Aktivlni szeretnnk a szervert? me: Cscript c:\windows\system32\slmgr.vbs -ato Ha kiadjuk, kb. 1-2 percig nem trtnik az gvilgon semmi lthat, majd ezutn diszkrten kzli egy apr panelen, hogy sikerlt. Egybknt az aktivls llapotnak kidertshez a kvetkez parancsra lesz szksg: Cscript c:\windows\system32\slmgr.vbs -xpr Mint szinte minden lpsnl, itt is van lehetsg tvoli vgrehajtsra, egy msik gprl: Cscript c:\windows\system32\slmgr.vbs gpneve\administrator jelsz -ato Ha nem a Server Core lesz a tartomnyunk alapkve, hanem egy ltezbe szeretnnk belptetni, akkor mg az elejn clszer gondoskodni errl, mivel a felgyelet (pl. WinRM) is felttele ennek, vagy ha nem, akkor is sokkal egyszerbb a megolds (pl. MMC). Ehhez gpeljk be a kvetkezt parancsot: netdom join gpnv /domain:domain_nv /userd:user_neve /passwordd:* Ennyi. Egy jraindts, azaz rpke pr msodperc utn a gp a tartomny tagja. A user_neve termszetesen egy olyan felhasznli fik, amelynek van megfelel
Sok mindennek utna kellett nznem, mg 2007-ben a Server Core tesztels alatt, de ennek azta is ltom a hasznt, mivel rengeteg parancsot megismertem s megtanultam hasznlni.
163
~ 302 ~
A SERVER CORE
jogosultsga a gpet a tartomnyba belptetni, a passwordd* pedig nem elrs, a csillag hatsra kri be a jelszt. Termszetesen a Domain Admins csoport automatikusan tagja lesz a helyi Administrators csoportnak a tartomnyba lptets utn, de ha mgis szksgnk lesz egy tartomnyi felhasznl helyi admin csoportba helyezsre, hasznljuk ezt a parancsot: Net localgroup administrators /add domain_neve\user_neve
10.3 E LLENRZS
S FELGYE LET
Mint ahogyan mr emltettem, a felgyelet ellthat tvolbl hrom klnbz mdszerrel is, s igazbl clszer is ez, hiszen helyi eszkz viszonylag kevs van. A hrom mdszer kzl az egyik az RDP kapcsolat, amelyet elszr engedlyezni kell a kiszolgln: cscript C:\Windows\System32\Scregedit.wsf /ar 0 De van itt egy kis trkk is, mert ez az engedlyezs az RDP 6.0-s kliensekre vonatkozik csak (Visttl kezdve alapbl ez van, az XPSP2-re letlthet, XPSP3-ban benne van), ha rgebbi RDP kliensrl hajtjuk kezelni, akkor: cscript C:\Windows\System32\Scregedit.wsf/cs 0 Ezutn csont nlkl mkdik, ami azrt is j, mert pl. a vglapon keresztl is letmadhatjuk a Server Core-t a megfelel ktegelt vagy egyszeri parancsokkal. Egy msik mdszer az MMC-n keresztli elrs, amely azonos tartomnyban, megfelel jogosultsggal semmi extra tudst nem ignyel.
~ 303 ~
10.4
BRA
EZ
NINCS KLNBSG
A kprl az is kiderl, hogy az jfajta mg a Vistban bevezetett Event Viewer, Task Scheduler vagy Performance Monitor kpessgeket korltozs nlkl hasznlhatjuk a Server Core esetn is. Ha viszont nem azonos tartomnyban vagyunk a kiszolglval, akkor elsknt szksg lesz erre a parancsra ahhoz, hogy ne egy Access Denied sorozatba fussunk bele: Net use * \\szerver_neve\c$ /u:user_neve A harmadik mdszerhez a Windows Remote Management / Windows Remote Shell hasznlathoz viszont clszer azonos tartomnyban lenni a Server Core kiszolglval, hiszen ekkor knnyedn hasznlhatjuk pl. a Kerberos-t a hitelestsre, ami egyttal az alaprtelmezs is. A kvetkez paranccsal indthatjuk a szerver oldalon a szolgltats belltst: WinRM quickconfig Ezzel a paranccsal elindtjuk s automatikus indtsra tesszk a WinRM szolgltatst, belltjuk a HTTP listener-t a WS-Management protokoll zeneteinek fogadsra s kldsre, valamint ltrehozunk egy tzfal kivtel szablyt (TCP 3190)
~ 304 ~
A SERVER CORE
a WinRM szolgltats rszre. s ennyi! Ellenrzs gyannt gyzdjnk meg az alaprtelmezett hitelests tpusrl: winrm get winrm/config/service Pldaknt nzznk meg nhny tovbbi parancsot! A Server Core rendszerpartcija tartalmnak listzshoz a kvetkez utastst adjuk ki egy msik gprl: winrs -r:http://szerver_neve dir c:\ A kiszolgl jraindtshoz pedig gpeljk be ezt: winrs -r:http:// szerver_neve shutdown -r /t 0 s ha a kedves Olvas lelkiismeretesen kvette eddig az instrukciimat, akkor most elmondanm, hogy ez mind, amit eddig csinltunk, nem is szksges .
10.5
BRA
M EN
DOS- OS
IDKBEN
Pontosabban ha csak Windows Server 2008 ll rendelkezsre, akkor igen, ha R2, akkor nem. Illetve igen, persze hogy be kell konfigurlni a TCP/IP-t s a tbbit, de
~ 305 ~
10.6
BRA
M EN
DOS- OS
IDKBEN
Ha vgigmegynk az almenn (lesz kzben jraindts is), akkor minden eddigi felgyelet megoldst megengedhetnk, st mivel van Powershell is, ezrt a Server Manager Remoting-ot is beizzthatjuk, lsd kvetkez kp.
s van ennl mg bartibb, majdnem teljesen GUI-s megolds is, gy hvjk, hogy Core Configurator, de ez mr annyira egyszer, hogy semmilyen kihvs nincs benne : http://coreconfig.codeplex.com/
164
~ 306 ~
A SERVER CORE
10.7
BRA
C SAK 10
ROLE S
17
FEATURE
DEHT EZ A
S ERVER C ORE
Ha a Server Manager megvan165, akkor mr szinte minden megvan, de azrt nem minden. Nmi kzimunka mg kell egyes eszkzkhz, mg a tartomnyban is. Ennek oka a beptett tzfal (amit kikapcsolni nem rdemes, mert pl. a WinRM ekkor nem mkdik), amelyen engedlyeznnk kell tovbbi szablyokat az MMC konzolok mkdshez. A legfontosabbak: Disk Management (a Virtual Disk Service-nek futnia kell a Core-on, ez a Service gbl ellenrizhet) Netsh advfirewall firewall set rule group="Remote Volume Management" new enable=yes Device Manager Ez egy klnleges eset, ugyanis nem a tzfal, hanem a helyi hzirend miatt nem rhet el tvolrl, brmi mst is mond a hibazenet. Computer Configuration\Administrative Templates\System\Device Installation\Allow remote access to the PnP interface
165
~ 307 ~
A hzirendet szablyozhatjuk tartomnyi szinten is, illetve egy loklis hzirendobjektum szerkesztvel csatlakozhatunk tvolrl a Core gphez, s elegend a loklis hzirend mdostsa. A mvelet elvgzse utn viszont jraindts szksges. Sajnos mg a Server Manager Remoting-gal sem tudunk sem szerepkrket, sem kpessgeket telepteni vagy eltvoltani tvolbl. Ez a Server Core verzi esetben jelent nagyobb problmt, de erre mindjrt rtrnk. Visszatrve a felgyelet tmakr elejre, meg kell emlteni mg egy-kt helyben is hasznlhat eszkzt is. Ide tartozik kt Control Panel elem, amelyek megmaradtak a Server Core-ban is. 1. Az id/dtum belltsa: timedate.cpl. 2. A Terleti belltsok: intl.cpl 3. iSCSI bellts: iscsicpl
10.4 S ZEREPKRK ,
KOMPONENSEK T ELEPT SE
Fontos krds, hogy hogyan tudunk alkalmazsokat s komponenseket telepteni, illetve hogy melyek llnak rendelkezsnkre akr rgvest a telepts utn, azaz melyeket kell gyakorlatilag csak lesteni. A fontossguk szerint kt rszre szedett listt a cikk elejn mr lthattuk, most viszont az is kiderl, hogy a parancs gyakorlatilag ugyanaz mindkt csoportnl, azaz hasznljuk a Powershell-t s az ismers parancsokat! powershell import-module servermanager Get-WindowsFeature
~ 308 ~
A SERVER CORE
10.8
BRA AZ
IIS 7.5
A parancsok utn a megfelel szerepkr vagy komponens neve jn, a klnbsg maximum annyi, hogy a komolyabb szerepkrk nevei hosszabbak, pl. DNS-ServerCore-Role vagy File-Server-Core-Role s gy tovbb. A kvetkez kpen szpen ltszik, hogy ez egy friss Server Core, egyedl a ments komponenst teleptettem fel kzzel, illetve a WoW64 gyrilag felment, mikzben konfigoltam a sconfig-gal.
~ 309 ~
10.9
BRA
s akkor mg egy dolog, amit tisztznunk kell: nincs klnbsg a Server Core s a teljes rendszer binris llomnyai kztt, nincsenek Server Core specifikus .dll-ek s egyebek. Minden ugyanolyan, illetve teljesen ugyanaz csak egy halom dolog nincs beptve.
~ 310 ~
A SERVER CORE
ReplicaDomainDNSName = xxx.yyy ReplicaOrNewDomain = Replica ReplicationSourceDC = zzz.xxx.yyy SafeModeAdminPassword = UserDomain = xxx.yyy UserName = Administrator Password = 167 Ezutn mr csak egyetlen tovbbi teendnk akad, az indt parancs kiadsa: Dcpromo /unattend:fjlneve.txt Ha ksz, akkor a szoksos jraindts utn egy tkletesen mkd 168 tartomnyvezrlnk fut a Server Core-on (amit szintn egy msik GUI-s gprl fogunk majd felgyelni, az eddig megismert eszkzkkel).
10.10
BRA
DC
TELEPTS PARANCSSOR BL
10.6 E GYB
167
Egy megjegyzs egy rdekes jelensgrl: ha brmilyen okbl elrontjuk elsre a teleptst, akkor a szvegfjlba jra be kell vinni a jelszavakat, mert egy hasznlat utn akr sikeres volt, akr nem trldnek, biztonsgi okokbl. 168 Az itthoni rendszerben (ami igen ers, sok szerveres krnyezet) a Windows Server 2008 btatesztelsem alatt 2 teljes htig futott egy Server Core FSMO DC-knt, s tkletesen mkdtt, pedig itthon tnyleg tkilences rendelkezsre llst kell nyjtanom.
~ 311 ~
10.11
BRA
AZ
ESZKZTR
Vgl legyen sz egy szintn kritikus terletrl, azaz a driverek teleptsrl, br a tapasztalatom szerint a hardverek felismersvel s illesztsvel abszolt nincs gond. De ha mgis, akkor a kvetkez mdszer szerint jrjunk el: 1. Msoljuk be a meghajt programot egy mappba! 2. Pnputil -i -a mappa_neve\<driver>.inf 3. jraindts (nem mindig szksges). A jelenlegi meghajt programok listzshoz a kvetkez rgi ismers parancsra lesz szksg (a szkz a driver eltt szndkos): sc query type= driver Nos, ezzel vgre is rtnk a Server Core fejezetnek, lenne rtelme mg j pr rszt megemlteni, mert ltalban igen rdekes dolgokrl van sz, de inkbb prbljuk ki, s prbljuk kihasznlni az elnyeit is, szemlyes vlemnyem szerint megri a kicsit tbb knlds.
~ 312 ~
ZRSZ
11 Z RSZ
Mindig kimarad pr dolog, olyan nincs, hogy mindent le tud rni az ember fia. Pedig csak 200 oldalra terveztem ezt a knyvet, s mi lett belle? De azrt gy is van hinyrzetem. Nagyon j lett volna rni mg az IIS-rl, a WDS-rl, a telephelyekkel kapcsolatban tovbbi megoldsokrl, vagy akr a hibakeress s a problmamegolds j eszkzeirl, de a magas rendelkezsre llsi komponensek tern is lett volna mg mit mondani (pl. Hyper-V + Failover Cluster), s mg bizonyra tovbbi ms terleteken is. Egyetlen vigaszt tudok csak nyjtani, mgpedig a technetklub.hu oldalt, ahol a rgebbi s az j anyagaink, az eladsok, konferencik, szakmai napok, stb. vgtermkei tmakrk szerint megtallhatak, s nagyon sok esetben akr screencastok formjban is megtekinthetek (az elz bekezds felsorolt hinyossgai kzl pldul biztosan mindrl van anyagunk). ljnk ezzel a lehetsggel, mert rdemes! Ksznm a trelmet.
Gl Tams v-tagal@microsoft.com IT zemeltetsi szakrt Microsoft Magyarorszg http://www.technetklub.hu tamas.gal@iqjb.hu informatikai vezet, vezet oktat IQSOFT-John Bryce Oktatkzpont http://www.iqjb.hu
~ 313 ~