Windows Server 2008 R2

Kszlt a Microsoft Magyarorszg Kft megbzsbl
A knyv nyomtatott verzija megvsrolhat a http://joskiado.hu cmen lv webruhzban.
Gl Tams
Windows Server 2008 R2

A kihvs lland
Jedlik Oktatsi Stdi Budapest, 2011
Minden jog fenntartva. A szerz s a kiad a knyv rsa sorn trekedtek arra, hogy a lert tartalom a lehet legpontosabb s napraksz legyen. Ennek ellenre elfordulhatnak hibk, vagy bizonyos informcik elavultt vlhattak. A pldkat s a mdszereket mindenki csak sajt felelssgre alkalmazhatja. Javasoljuk, hogy felhasznls eltt prblja ki s dntse el sajt, hogy megfelel-e a cljainak. A knyvben foglalt informcik felhasznlsbl fakad esetleges krokrt sem a szerz, sem a kiad nem vonhat felelssgre. A cgekkel, termkekkel, honlapokkal kapcsolatos listk, hibk s pldk kizrlag oktatsi jelleggel kerlnek bemutatsra, kedvez vagy kedveztlen kvetkeztetsek nlkl. Az oldalakon elfordul mrka- valamint kereskedelmi vdjegyek bejegyzjk tulajdonban llnak.
Gl Tams, 2011 Lektorlta: Lepenye Tams (rendszermrnk, Microsoft Magyarorszg) Petrnyi Jzsef (szakrt, Emaildetektv Kft)
Bort: Varga Tams Anyanyelvi lektor: Bonhardtn Hoffmann Ildik
Kiad: Jedlik Oktatsi Stdi Kft. 1215 Budapest, v u. 8-12. Internet: http://www.jos.hu E-mail: jos@jos.hu Felels kiad: a Jedlik Oktatsi Stdi Kft. gyvezetje
Nyomta: LAGrade Kft. Felels vezet: Szutter Lnrd
ISBN: 978-615-5012-12-9 Raktri szm: JO-0337
Ksznetnyilvnts
Csak a korbbiakat tudom ismtelni (lsd Forefront TMG knyv), azaz a 10 ves gyermek jra a voodoo knyvvel, a felesg pedig - kb. flton - a kvetkez halkan benygtt mondattal: tudtam, hogy nehz lesz, de nem gondoltam, hogy ennyire. Ekkor mr sejtettem, hogy az jjel-nappal rs kzben valsznleg elviselhetetlenl viselkedem Velk. De lesz krptls, grem. Emellett a lektorok segtsge is nagyon sokat jelentett. Szmos ktelessgk ellenre, els krsre elvllaltk a feladatot, majd zoksz nlkl, brutlisan rvid hatridre knyszertve is megtettk a ktelessgket, amit mg egyszer ksznk. s mg egy dolog a vgre: ksznm az j munkahelyemen (IQSOFT-John Bryce Oktatkzpont) a kollgknak, hogy augusztusban s szeptemberben trelmesek s megrtek voltak.
A szmtgpek hasznlhatatlanok. Csak vlaszokat adnak. Pablo Picasso
TARTALOMJEGYZK
1 2 Bevezets _______________________________________________________ 11 Rgen s ma _____________________________________________________ 13 2.1 Apr magyarzat az elejre ________________________________________ 13 2.2 Az jdonsgok dihjban s sorrendben _____________________________ 15 2.2.1 A Windows Server 2008 jdonsgai________________________________ 15 2.2.2 A Windows Server 2008 R2 jdonsgai _____________________________ 18 3 Tervezs s telepts_______________________________________________ 23 3.1 3.2 Kiadsok s felttelek __________________________________________ 23 Telepteni knny ______________________________________________ 26 A klasszikus tiszta telepts lpsei ____________________________ 26 A csendes (unattended) telepts ______________________________ 32 Egy j mdszer: a Server Migraton Tool _________________________ 39
3.2.1 3.2.2 3.3 3.3.1 4
Frissts vagy migrci? _________________________________________ 33
Felgyelet, kezels, ellenrzs _______________________________________ 49 4.1 4.2 4.3 4.4 4.5 A Server Manager ______________________________________________ 49 A Powershell 2.0 ldsai ________________________________________ 54 BPA __________________________________________________________ 59 Az RSAT ______________________________________________________ 61 WS-Management _______________________________________________ 63 Fjl- s nyomtatszolgltatsok ___________________________________ 66 FSRM_____________________________________________________ 66 ABE ______________________________________________________ 67 DFS s DFS-R jdonsgok ____________________________________ 68 VHD kezels, VHD boot ______________________________________ 73 Nyomtatszolgltatsok _____________________________________ 76
Kiszolgl alapszolgltatsok ________________________________________ 66 5.1 5.1.1 5.1.2 5.1.3 5.1.4 5.1.5 5.2 5.3
DHCP s DNS __________________________________________________ 80 NPAS_________________________________________________________ 86 Az NPS____________________________________________________ 87 Az RRAS __________________________________________________ 91
5.3.1 5.3.2
5.4 6 6.1
Windows Server Backup _________________________________________ 96 Az els szakasz: a Windows Server 2008 __________________________ 113 Read-Only tartomnyvezrlk (RODC) _________________________ 113 Az jraindthat cmtrszolgltats ___________________________ 121 Tbb tartomnyi jelsz- s kizrsi hzirend ____________________ 122 Database Mounting Tool ____________________________________ 125 Az Offline Domain Join ______________________________________ 127 AD Administrative Center ___________________________________ 130 AD lomtr ________________________________________________ 133 Kisebb mutatvnyok (MSA, AMA, DSRM PS) ____________________ 139 A smafrissts ____________________________________________ 141 A mkdsi szintek ________________________________________ 143
AD* ___________________________________________________________ 113 6.1.1 6.1.2 6.1.3 6.1.4 6.2 6.2.1 6.2.2 6.2.3 6.2.4 6.3 6.3.1 6.3.2 6.4 6.5
A msodik szakasz: az R2 ______________________________________ 127
A terep elksztse ___________________________________________ 141
Teleptsnk vgre! _____________________________________________ 149 Kedvencnk a Csoporthzirend __________________________________ 161 A Central Store ____________________________________________ 163 A rgi-j GPMC ____________________________________________ 165 Szrs, kommentek s az All Settings nzet __________________ 165 Starter GPO-k _____________________________________________ 169 Group Policy Preferences ___________________________________ 171 Tovbbi R2-es jdonsgok __________________________________ 175
6.5.1 6.5.2 6.5.3 6.5.4 6.5.5 6.5.6 7 7.1
Kiemelt szolgltatsok ____________________________________________ 178 A karantnunk, a NAP __________________________________________ 178 sszetevk _______________________________________________ 180 A kapcsoldsi lehetsgek _________________________________ 181 Mi is ez? _________________________________________________ 193 Varzsoljunk! _____________________________________________ 197 A kt zemmd ___________________________________________ 208 A BranchCache konfigurlsa ________________________________ 210 7.1.1 7.1.2 7.2 7.2.1 7.2.2 7.3 7.3.1 7.3.2
Tbb mint VPN DirectAccess ___________________________________ 193
Ami a telephelyeken fontos: BranchCache _________________________ 207
RDS + VDI _____________________________________________________ 215 8.1 8.2 8.3 8.4 8.5 8.6 8.7 Session Host _________________________________________________ 215 RemoteApp __________________________________________________ 227 Web Access __________________________________________________ 233 Connection Broker_____________________________________________ 237 VDI _________________________________________________________ 244 RemoteApp for Hyper-V _________________________________________ 258 RD Gateway __________________________________________________ 259 Mit tud, mire val s mi kell hozz? _______________________________ 270 A konzol s a virtulis gpek kezelse ____________________________ 273 Egy virtulis gp ltrehozsa ____________________________________ 278 A virtulis gp belltsai _______________________________________ 287 A Hyper-V Server R2 ___________________________________________ 293 Elnyk s htrnyok ________________________________________ 297 Az els lpsek _____________________________________________ 299 Ellenrzs s felgyelet _______________________________________ 303 Szerepkrk, komponensek teleptse __________________________ 308 Server Core + AD ____________________________________________ 310 Egyb alkalmazsok s a meghajt programok ___________________ 311
Hyper-V________________________________________________________ 270 9.1 9.2 9.3 9.4 9.5 10.1 10.2 10.3 10.4 10.5 10.6
10 A Server Core ___________________________________________________ 297
11 Zrsz ________________________________________________________ 313
BEVEZETS
1 B EVEZETS
Jelen knyv szletsnek elsdleges oka az, hogy a Microsoft Magyarorszg szervezsben lebonyoltott, hagyomnyosan rendkvl sikeres Informatika Tisztn sorozat negyedik rszben1, 2010 szn 12 - az interneten is kzvettett - eladson keresztl foglalkoztunk a Windows 7-tel, de fkpp a Windows Server 2008-cal s az R2-vel. A TechNet program akkori szakmai vezetjeknt mr akkor is - azaz az eladsok tartalmnak s sorrendjnek tervezse kzben - tudtam, hogy a letlthet prezentcik s screencast-ok sora nmagban kevs lesz, szksg lesz ksbb egy rszletesebb, papralap kivonatra is. De tudni egy dolog, megrni meg egy msik aki rt mr valaha 2 oldalnl tbbet, az tudja, hogy mirl beszlek Aztn menet kzben, a napi robot sorn mr a legnagyobb problma nem is maga az rs volt, hanem a knyv tmja. Ugyanis az utols (flig) szerveres knyvnk a szintn szp siker, kivtelesen kereskedelmi forgalomba is kerlt Rendszerfelgyelet rendszergazdknak cm m volt, amelyben a Windows Vista s az akkor legfrissebb szerver, a Windows Server 2003 R2 kerlt tertkre. Ehhez kpest mostanra kettt lptnk elre, hiszen nemcsak az risi vltozsokat hoz Windows Server 2008, hanem az utdja, a szintn sok j kpessget felvonultat a Windows Server 2008 R2 is megjelent. Az Informatika Tisztn eladsaiban s demiban csak az R2-t hasznltuk, de mg ott is muszj volt a Windows Server 2008as alapokra visszautalni, ht mg mekkora szksg van erre egy annl jval rszletesebb tartalm knyvben! Nos, gy rzem, ez nha felemsra is sikeredett, mivel van olyan fejezet, ahol teljesen sztvlasztottam (pldul a cmtrszolgltatsok), de van, ahol nem, mert nem volt annyi klnbsg, vagy ppensggel nem egymsra pltek a vltozsok. A tervezett tartalmat tekintve a dolgom nem volt nehz, mert ugye az volt a lnyeg, hogy a kezdk szmra is rthet legyen, de a haladknak is nyjtson j informcit, illetve akinek a Windows Server 2008 vagy ppen az R2 az els opercis rendszere, az is rtsen mindent, de aki esetleg a Windows Server 2003-rl jn, annak is hasznos legyen. Nem is nehz, ugye? Na nem sajnltatom magam tovbb, de azt azrt megjegyzem, hogy egy darabig a tartalomjegyzk trsa napi szint feladatnak bizonyult. A mlysget illeten - azt hiszem - ltalban tudtam tartani magam a kitztt kezd/kzphalad szinthez, br nha elgurult a gygyszer, mint pl. az AD vagy az RDS fejezetnl (ezek lettek a
1
https://technetklub.hu/blogs/informatikatisztan/archive/2010/10/14/informatikatiszt-225-n-ingyenes-szakmai-k-233-pz-233-s-kezd-233-s-halad-243-rendszergazd225-knak.aspx
~ 11 ~
WINDOWS SERVER 2008 R2

leghosszabbak s a legrszletesebbek). s szeretnm megjegyezni, hogy azrt tbbnyire valamilyen Windows Server alapismereteket feltteleztem, teht ha valahol nagyon elvesztjk a fonalat, akkor a korbban emlegetett knyvet kapjuk el btran!2 A knyv cmvlasztsa nem vletlen, kivlt rvknt felhoznm egy hajdani, pont a Windows Server 2008 debtlsakor megjelent TechNet Magazin elszavt. Ha egy matematikus vagy egy trtnelem szakos tanr a szakmja alapjait vizsglja, akkor nyugodt szvvel konstatlhatja, hogy nincsenek megrendt vltozsok. A Pitagorasz ttel mkdik ma is, s valsznleg nem fog kiderlni hirtelen, hogy valjban Caesar szrt, s Brutus hunyt el. Termszetesen a rendelkezsre ll tuds elmlytse az let brmely terletn egy vals lehetsg, de az alapok s az alapokbl ptkez tudsanyag ltalban nem vsz el, stabilan rendelkezsre ll, akr vszzadokon t is. Anlkl, hogy beleesnk az elitizmus csbt csapdjba, btran llthatom, hogy mi, informatikai szakemberek egy msik vilgban lnk. Elszr is, ez egy rettenten gyors vilg, a Moore trvny kivlan llja az vtizedek sodrt s a processzorokon kvl tbb ms terleten is igaznak tnik. De mg ennl is fontosabb hogy mifelnk gyakorlatilag a vltozs tekinthet stabil tnyeznek, j termkek, j szolgltatsok, j komponensek, j elvek, se vge, se hossza nincs az jdonsgoknak teht tnyleg jratanuljuk a szakmt, sokszor belertve ebbe az alapokat is. Viszont az sszes nehezt krlmny ellenre remlem, hogy sokak szmra jelent majd segtsget s tmutatst eme frcm elolvassa s megrtse (az elzetes, mr az ITv4 ta tart rdekldsbl ez azrt sejthet), a benne lv sok-sok, majdnem lpsrl lpsre szint lers alkalmazsa s a megszerzett tuds rutinn talaktsa. Ezrt kszlt.
A hivatkozst a 14. oldalon megtalljuk.
~ 12 ~
RGEN S MA
2 R GEN
2.1 A PR
S MA
MAGYARZAT AZ ELEJRE
A Windows Server 2008 a Microsoft hatodik genercis (6.0), hlzati kiszolgl opercis rendszere, amely RTM (Release to Manufacturing) kiadsnak dtuma 2008. februr 27. De itt s most mi nem llunk meg a 6. genercinl, hanem kicsit mg tovbb megynk, mgpedig a 6.1-es verzij Windows Server 2008 R2-re 3 , amely 2009. jlius 22-n jelent meg. Az a helyzet, hogy ltezik egy msik, vlemnyem szerint kiss tves megkzelts, amely szerint ez utbbi csupn a Windows Server 2008 javtsa - s ami a lnyeg: sokak szerint nincs is igazn komoly, szmottev klnbsg. A Microsoft az egyszer R2, azaz Release 2 rvidtssel taln kiss segt is ezen vlemny kialaktsban, m a helyzet az, hogy maximum szaktudstl el nem vaktva 4 gondolhatjuk ezt komolyan. Termszetesen nem hajtom lebecslni a Windows Server 2008-at, hiszen a stabil alapot s a kpessgek jelents rszt valban ez a termk adja az R2 al is, s a Windows Server 2003-hoz kpest risi ugrst jelentett, de az R2 mg gy is klnlegesen sokat tesz hozz a kszlethez, elssorban a funkcionalits terletn, mikzben egyttal rengeteg helyen praktikusan korriglja a 2008-as vltozatot. Taln a legknnyebben gy rtjk meg ezt a helyzetet, hogyha szembelltjuk a Vista SP1-et s a Windows 7-et. Ugyanis a Windows Server 2008 kdbzisa jelents rszben a Vista SP1-gyel 5 egyezik meg, ezrt architektrjukban s a funkcionalitsukban is sok kzs vons tallhat, s ugyanez a helyzet az R2 s a Windows 7 esetn. A knyv szempontjbl persze ez a vita magammal kiss akadmikus jelleg, hiszen az a hatrozott szndkom, hogy a Windows Server 2003-hoz kpest adjak nmi tudst az Olvas kezbe, gy aztn, ha gy vesszk, akkor egyszerre kt termket fogok bemutatni ezen oldalakon. Mindemellett azrt alapveten az R2 fell kzeltek minden tmhoz (pldul az sszes kpernykpen), mg akkor is, ha az adott rsznl nincs vagy nincs sok vltozs a Windows Server 2008-hoz kpest persze ilyen viszont igen kevs helyen van.
Soha tbbet nem emltem meg ebben a mben a teljes nevet, mivel borzaszt hossz s tbbeknek knnyen sszekeverhet pl. a Windows Server 2008-cal. Innentl ltalban R2 nven futunk, s ha esetleg majd a Windows Server 2003 R2re utalok, akkor ezt kln jelzem. 4 Hzagos ismereteim szerint tbb gazdja is van ennek a politikailag szerintem teljesen korrekt kifejezsnek (pl. Fti Marcell), de n elszr, sok-sok ve Socz Zsolttl hallottam s azta is kjes rmmel hasznlom. 5 s nem a Vista RTM-mel, ezt ne feledjk el!
3
~ 13 ~

De mi ez az R2 jelzs egyltaln? Ez a krds azrt r egy bgrt, mert gy kiderlhet az is, hogy hogyan alakult az elmlt kb. 10 vben a Windows szerverek fejlesztsi ciklusa. Ugyanis a Windows Server 2003-tl kezdve kt alapvet (de nem egyforma sly) formai dolog is vltozott a Microsoft hlzati opercis rendszer termkekkel kapcsolatban: 1. A Server sz elrecsszott (lsd Windows 2000 Server, Windows NT Server); 2. A fejlesztsi ciklus srbb lett, azaz a 4-5 ves nagyobb intervallumba beesnek a kztes vltozatok, azaz a Release 2 jel frisstsi pldnyok. Ezek lnyegesen, de tnyleg lnyegesen sokkal tbbet nyjtanak mint a szervizcsomagok (SP6). A kvetkez, mg 2006-bl, a Lurdy-hzbl7 val brn ez jl ltszik, ugyanis akkor jrtunk a Windows Server 2003 R2-nl, ami 2 vvel a Windows Server 2003 utn rkezett, s telis-tele volt jdonsggal.
2.1
BRA
M R
AKKOR MEGMONDTUK
Az ipargunkba ksbb rkezknek azrt elmondom, hogy a Longhorn kifejezs a ksbbi Windows Server 2008-at s a Vistt jellte, a Vienna pedig a jelenleg szintn mg csak kdnvvel rendelkez (br ez mr egy msik) Windows 8 Server-t jelli.
Br, tegyk hozz, hogy az XP SP2 ta ezek a klasszikus szervizcsomagok is tbbet adnak a keznkbe mint csupn egyszer javtsok sorozatt. 7 A Microsoft Magyarorszg vekig a Lurdy-hzban tartotta a nagy-nagy, sok szz rsztvevs zemelteti (IT Pro) konferencikat.
6
~ 14 ~
RGEN S MA 2.2 A Z
JDONSGOK DIHJBAN S SORRENDBEN
Ez a rsz kiss megneheztette a szerz lett, hiszen ha kt verzirl beszlnk egyszerre, akkor egyrszt komoly emlkkeres nyomozst kellett vgrehajtani (a 2008-as verzit nem nagyon zemeltetem mr sehol), a dihj meg viccesen sznalmas az jdonsgok kpzeletbeli listjt tekintve. Azrt megprblom, igaz, csak kt lpsben.
2.2.1 A W INDOWS S ERVER 2008
JDONSGAI
Teht a Windows Server 2003 R2-hz kpest a Windows Server 2008 - kis tlzssal -, gyakorlatilag minden rszletben megvltozott. A felhasznli fellettl kezdve az alapvet biztonsgi, hlzati kpessgeken keresztl a hardver kezelsig, s mg ezen tl is rezhet a gykeres vltozs. A Windows Server 2008 automatikusan tartalmazza a Vista SP1 olyan jdonsgait, mint pldul az jrart hlzatikezelsi rteg (pl. natv IPv6, natv vezetk nlkli hlzat, biztonsgi fejlesztsek); lemezkp alap telepts, kiszolgl konfigurls s visszallts; diagnosztikai, rendszerfelgyeleti, naplzsi s jelentskszt eszkzk; j biztonsgi funkcik, mint a DEP, a Bitlocker s az ASLR (vletlenszer cmterlet-kioszts); vgre teljesrtk ktirny tzfal biztonsgos alaprtelmezett belltsokkal, megfelel hardverrel a menet kzbeni csere (hot-plugging), kernel-, memriakezelsi s fjlkezelsi fejlesztsek. Ezekre az OS alapvet, kliensekre s kiszolglkra egyarnt jellemz rszletekre azrt nem trek ki most, mert egyszer mr lertuk nagyon rszletesen, hrom teljes fejezetben a Vista kapcsn, az e knyv eldjnek szmt Rendszerfelgyelet rendszergazdknak cm frcmben. Mivel rengeteget fogom mg emlegetni ezt a forrst, ideje, hogy lerjam az elrhetsgt is (fejezetenknt .pdf formtumban letlthet a linkrl, de van itt mg egy j pr rdekessg is, pl. a tmba vg rvid videk (screencastok)): http://www.microsoft.com/hun/technet/article/?id=f0c8cf69-ae4c-4b1bb333-9feeda419509
Szval most (ahogyan ebben a knyvben gyakorlatilag vgig) inkbb a szerver vltozatok komponenseire s szolgltatsaira koncentrlunk. Els nagy tmakr a rendszerfelgyelet s a rendszer komponenseinek kzponti kezel eszkze, a Server Manager, ami egy ersen integrlt MMC konzol, a kulcsfontossg teendk egy helyre koncentrlsval (szerepkrk s szolgltatsok teleptse, trlse,
~ 15 ~

konfigurlsa, ellenrzse), monitorozssal s automatizlssal s tvoli elrssel (Powershell8, WinRM).
2.2
BRA
M INDENT
EGY HELYEN
INTELLIGENSEN
A kvetkez kiemelend terlet a virtualizci, amely integrltan tallhat meg a Windows Server 2008 ta a Microsoft kiszolgl opercis rendszerekben. A Hyper-V - meglep mdon egy hypervisor, ami lehetsget nyjt olyan virtulis gpek ltrehozsra, amelyek jobban kihasznljk a rendelkezsre ll hardvert, tbb s akr teljesen eltr platform opercis rendszer futtatsra alkalmasak, illetve kpesek a virtulis s a fizikai erforrsok nll kezelsre, mindezt persze biztonsgosan. Egy jl mkd virtualizcis megolds szmos olyan zemeltetsi s technolgiai problmt megold, amelyekre a mltban csak nagyon krlmnyesen tudtunk reaglni, ha sikerlt egyltaln9. A cmtrszolgltatssal kapcsolatos vltozsok s fejlesztsek minden j Windows kiszolgl esetn a fkuszba kerlnek. Nyilvn nem vletlenl, hiszen a cmtr Egy a Vista s a Windows Server 2008 rkezse krl megjelent univerzlis parancshj s feladatorientlt technolgia, amely alkalmazsa azta is tretlen, s idelis eszkzknt hasznlhat a klnbz Microsoft szerverek (OS-ek, Exchange szerverek, stb.) felgyeletre s konfigurlsra. 9 s persze nem a klasszikus ttelre gondolok ekkor, ami ugye nagyjbl gy hangzik: Az informatikval rengeteg olyan problmt megoldunk, amelyek az informatika nlkl nem lteznnek.
8
~ 16 ~
RGEN S MA
hierarchia rugalmassga s alkalmazhatsga miatt a tz s a tzezer gpet tartalmaz hlzatok esetn egyarnt jl hasznlhat az Active Directory, mgpedig a minden szervezet szmra legfontosabb clra: a felhasznlk, a szmtgpek s egyb erforrsok trolsra s kezelsre. Persze, emellett a biztonsgi ertr megteremtse s egyb fontos kiszolgl alkalmazsok, megoldsok (Exchange, Csoporthzirend, stb.) mkdsnek tmogatsa is kritikusan fontos feladat. Kisebb s nagyobb vltozsokat egyarnt szrevehettnk a cmtrszolgltatsok terletn is a Windows Server 2008-ban. A legjobb ezekben a vltozsokban az, hogy valdi, letszag ignyeket fedtek le, illetve rgta elvrt, praktikus szolgltatsokat valstottak meg, pl. Read-Only tartomnyvezrlk (RODC), tbb tartomnyi jelsz- s kizrsi hzirend, az jraindthat cmtrszolgltats vagy ppen a rszletes auditls. De semmikpp ne feledkezznk meg a Csoporthzirenddel kapcsolatos fejlesztsekrl sem (erre egy j pda a kivl Group Policy Preferences)! Egy jabb nagyon rdekes terlet a Server Core nev n. teleptsi md (direkt nem kiadst vagy verzit rtam), ami gyakorlatilag egy olyan vltozata a Windows 2008-as szervereknek, amely majdnem teljes egszben parancssorbl fut s a loklis kezelse is csak s kizrlag a parancssori eszkzkkel trtnik. Ez az zemmd, azltal, hogy csak a szksges sszetevket s alrendszereket tartalmazza a grafikus felhasznli fellet nlkl, olyan klnsen magas rendelkezsre lls kiszolglt biztost, amelyet ritkbban kell frissteni s karbantartani. Elsre ez biztosan meghkkentnek tnik, de mkdik s nem is akrhogyan. A Windows Server 2008 rendszerben meghonostott egyik legizgalmasabb j technolgia a Microsoft soron kvetkez webkiszolglja, az Internet Information Services 7.0. Az IIS7 valjban tbb mint egy hagyomnyos webkiszolgl olyan fejlett biztonsgi funkcikkal rendelkez s knnyen felgyelhet, radsul ersen modularizlt platform, amely webalkalmazsok s -szolgltatsok fejlesztsre s megbzhat zemeltetsre szolgl. Az IIS7 egyttal tmogatja s egysgbe fogja a Windows web platform klnbz generciinak technolgiit, kztk az ASP.NET 2.0 keretrendszert, a Windows Communication Foundation webszolgltatsokat, s persze rengeteg beptett s nll Microsoft kiszolgl szerepkrt, mint pl. a tanstvnykiad szolgltatst, a Terminal Services komponenst, a Windows SharePoint Services szolgltatst, vagy akr az Exchange kiszolglkat is. A NAP, azaz a Network Access Protection valsznleg a Windows Server 2008 legnagyobb - biztonsggal kapcsolatos - dobsa volt. Ugyanis a legtbb szervezet esetn jelents igny mutatkozik egy olyan megoldsra, amely mr a fizikai hlzat szintjn elvlasztja az alkalmi csatlakozs vagy kevsb megbzhat illetve kevsb felgyelhet szmtgpeket a bels hlzatba tartoz, rtalmatlan s rtkes kliensektl s szerverektl. Erre a lthatan nehezen megoldhat helyzetre nyjthat gygyrt a NAP, azaz egy olyan szerver-kliens megolds, amely a vdett hlzatunkba
~ 17 ~

alaprtelmezs szerint mg az IP kapcsolatot sem engedi meg, s amely csak egy alapos, az zemeltetk ltal rszletesen hangolhat vizsga sikeres teljestse esetn adja meg a hozzfrst a bels hlzathoz kapcsoldni szndkoz gpeknek. Amikor az emberfia mr a btatesztels sorn szmba vette, hogy a terminlszolgltatsok terletn mennyi vltozs s jdonsg jelent meg, akkor arra gondolt, hogy a TS fejleszt csapat valsznleg roppant kreatv zemmdban mkdtt . A Windows Server 2008-nl j kpessgnek szmt a teljessg ignye nlkl - a RemoteApp, a Web Access, az Easy Printing, st, a sorba beletartozott a TS Session Broker s pldul a Terminal Services Gateway is. Ksbb rszletesen kifejtem az jdonsgokat, de elljrban csak annyit, hogy ha szemlltetni szeretnm a vltozsokat, akkor azt mondanm, hogy ez nagyjbl olyan, mintha egy Suzuki10 helyett egyik naprl a msikra egy Maserati Quattroporte-be lnnk be.
2.3
BRA
E GY
FURA JDONSG :
TS W EB A CCESS
W INDOWS S ERVER 2008
EGYIK BTJBAN
2.2.2 A W INDOWS S ERVER 2008 R2
JD ONSGAI
10
Nem bntom a Suzukit, a felesgem is egy Ignisszel jr, de muszj volt egy plda
~ 18 ~
RGEN S MA
Erteljes hardveres tmogats, olyan kpessgekkel, mint pldul a maximum 256 logikai processzor vagy a SLAT (Second Level Address Translation) tmogats 11 , illetve az energiatakarkos mkds biztostsa olyan extrkkal mint a Core Parking (a processzor magok dinamikus, hasznlatfgg ki-be kapcsolsa), valamint pl. az OS memriakezelsnek tbb mint 400 ponton trtnt korrekcija. Meg kell emlteni azt is, hogy az R2 az els olyan opercis rendszer a Microsoft palettjn, amelybl mr csak s kizrlag 64 bites vltozat kszlt. A felgyeleti eszkzk kzl elsdleges fontossg a Server Manager tovbbfejlesztse, azaz pldul a tvoli szerverek ezen eszkzn keresztli felgyelete (gy a Server Core md gpek is), msrszt a PowerShell 2.0 verzival j eszkzkkel is bvlt a paletta, amelyek mr hasznlhatak a Server Core, az IIS s az AD alatt is, hiszen az R2-tl kezdve ezeken a terleteken is van PowerShell tmogats.
Ez a megolds a CPU hasznlat optimalizlsra trekszik elssorban a virtualizcinl, radsul RAM-ot is megtakart. Gyrtnknt ms s ms egybknt a neve, az Intelnl Extended Page Tables (EPT), az AMD-nl meg Rapid Virtualization Indexing (RVI, korbbi nevn a Nested Page Tables azaz az NPT).
11
~ 19 ~
2.4
BRA
P OWER S HELL
MINDENHOL , GY AZ
AD- VEL
IS
St, ha mr itt tartunk, a Server Core alatt a .NET Framework s a tanstvnyszolgltatsok is hasznlhatak. De megjelentek a Server Manager-be integrlt BPA (Best Practice Analyzer) komponensek is, amelyek a hibafeldertsben s problmamegoldsban segtenek rengeteget az zemeltetknek. A cmtrszolgltatsok terletn tbb nagy durrans is elrhetv vlt, pl. a Recycle Bin, azaz az AD Lomtr, vagy az Offline Domain Join (a kliensek fizikai kontaktus nlkli belptetse a tartomnyba), vagy a teljes j felleten, azaz egy webszolgltatson keresztl elrhet AD Administrative Center, de nem maradhat ki az egy rgi-rgi problmra megoldst nyjt Managed Service Accounts (felgyelt szolgltats fikok) sem, s persze a Csoporthzirendbe is kerltek j technikai megoldsok.
~ 20 ~
RGEN S MA
2.5
BRA
AD AC ( MAJDNEM AC/DC,
DE AZRT NEM )
Az R2-ben mr a Hyper-V msodik genercis vltozata rhet el, tbb kulcsfontossg terleten is tovbbfejlesztettk, gy aztn lnyegesen nagyobb rendelkezsre llst s teljestmnyt biztost (pl. 64 logikai processzor tmogats a host gpen, illetve 384 db egyprocesszoros virtulis gpet is futtathatunk), mikzben izmosabb felgyeleti s egyszerstett rendszerbe lltsi eljrsokat knl, s olyan j szolgltatsokat is tartalmaz, mint a mkds kzbeni, l ttelepts (Live Migration) vagy a lemezek dinamikus hozzadsa s elvtele. A hlzati szolgltatsokkal kapcsolatos szerver technolgik vagy praktikus tovbbfejlesztseken mentek t, mint pl. a DNS vagy a DHCP szerver, az SSTP VPN, vagy ppen j megoldsok szlettek, mint az IKEv2 VPN vagy egy szenzcis technikai megvalsts jdonsg a tvoli elrs terletn, a DirectAccess. Ez utbbi egy IPv6 s IPSec alapokon nyugv, lland tvoli elrst jelent elssorban a mobil felhasznlk esetn, s gy VPN, hogy nem is az A korbbi Terminal Services nvvltozson ment keresztl, immr Remote Desktop Services a neve, s megint csak jabb megoldsokkal s eszkzkkel egszlt ki, amelyek kzl kimagaslik a Hyper-V-vel s az Active Directory-val egyttmkd VDI (Virtual Desktop Infrastructure) infrastruktra ptsnek tmogatsa, ami egy olyan kzpontostott munkalloms-szolgltat architektra, amely lehetv teszi a Windows s ms munkalloms-krnyezetek futtatst s felgyelett a kzponti kiszolgln tallhat virtulis gpeken, tbbek kztt pldul az RD Web Access felletn keresztl.
~ 21 ~
A telephelyes krnyezetek tmogatsa is gzervel zajlott, ennek folyomnya lett az egszen zsenilis megolds BranchCache kpessg s a read-only DFS-R, azaz a replikcis szolgltatsok RODC-khez passzol vltozata. Ennyi a rvid s abszolte nem teljes kpessg felvezets, de taln mr most is ltszik, hogy a kvetkez majdnem 300 oldalon lesz mirl olvasni.
~ 22 ~
TERVEZS S TELEPTS
3 T ERVEZS
3.1 K IAD SOK
S TELEPTS
S F ELTTELE K 12
Az sszes kiads tekintetben felforgat jelleg vltozs nincs, de azrt akad egy-kt rdekessg. me a lista: - Windows Server 2008 R2 Standard - Windows Server 2008 R2 Enterprise - Windows Server 2008 R2 Datacenter - Windows Web Server 2008 R2 - Windows Server 2008 R2 for Itanium-Based Systems - Windows Server 2008 R2 Foundation A klasszikus Standard, Enterprise s Datacenter mellett a Web Server is lassan szoksoss vlik. Ennl a ngy vltozatnl a Server Core teleptsi md is jr (de vagy-vagy teht nem pluszban kapunk hozz egy licencet). Az Itanium kiadsrl maximum azt kell tudni, hogy elvileg ez lesz az utols verzi ebbl a tpusbl. A Foundation kiads teljesen j, s a Small Business vltozatok 13 al lvi be a Microsoft, teht egszen kis cgeknek. Ez nagyon szpen ltszik a szp mennyisg szoftveres s hardveres korltbl is, viszont a jelentsen alacsonyabb r szimpatikusabb tnyez ebben a szegmensben, mint az elrhet szolgltatsok szles vlasztka. A 3.1-es bra megr pr mist, ergo sszefoglalnm a lnyeget egy felsorolsban: - Az X64 Sockets egyrtelmen jelzi, hogy az R2-nl csak s kizrlag 64 bites kiadsaink vannak (a Windows Server 2008-nl mg volt 32 bites is). - A foglalatok (s nem magok!) sorban maximum a Foundation rdekes, azaz a maximum 1 CPU korlt. - A memrinl szintn, br ha a virtualizci is lnyeges (s ha mg az elejnl, azaz a tervezsnl mg nem is, ksbb tuti az lesz :D), akkor az Enterprise-ig tart 32 GB-os RAM korlt adott esetben szk is lehet, persze ebben az esetben ms oka is lesz majd az Enterprise kiadsnak, lsd ksbb. - A Hot... rszeket tugorva vegyk figyelembe, hogy a Failover Cluster szolgltats az Enterprise-nl kezddik (viccesnek s kitalltnak tnhet, de lttam mr olyat, ahol ezt nem sikerlt figyelembe venni).
Mg egyszer felhvnm a figyelmet, hogy innentl ha kln nem emltem - akkor csak az R2-vel foglalkozunk, hiszen gyis minden benne van, ami a kzvetlen eldjben. 13 Ha a Small Business Server kategriban szeretnnk az R2-es verzij opercis rendszert hasznlni, akkor a SBS 2011 lesz a mi bartunk (no s persze az Exchange 2010 s mg 1-2 tovbbi dolog miatt egybknt is).
12
~ 23 ~

A Network Access Connections korltnl gondoljunk elszr a VPN-re, azaz ha pldul a kivl Forefront TMG-vel VPN szervert terveznk, s 250-nl tbb felhasznlt kell majd kiszolglnunk, akkor az Enterprise kiads a j vlaszts. Ugyanennl a tmnl maradva, ha a RADIUS klienseink szma is tbb lesz, mint 50, akkor mg egy rvnk van a magasabb kiads alkalmazsra, s persze az RD Gateway-nl is van egy hasonl korltunk, amit pp ezrt lehetsges, hogy figyelembe kell majd vennnk. Ugyanezen korltok lnyegesen szigorbbak a Foundation kiadsnl, de ht valamit valamirt.
3.1
BRA
C SAK
KARIKK S GOLY K , DE A LNYEG AZRT BE NNE VAN
Az utols eltti sor kifejezetten fontos, ha virtualizcit terveznk, s nem hajtunk bebukni a licencelsen. A Standard verzinl a Host + 1 VM azt jelenti, hogy maximum 1 virtulis gpet llthatunk munkba, de csak akkor, ha a host gpnek nincs semmilyen szerver szolgltatsa (a Hyper-V nem az ebbl a szempontbl). Teht ha pl. tartomnyvezrl vagy ppen egy NAP szerepkre van, akkor mr nem lehet pluszban leglisan egy virtulis szervernk. Az Enterprise-nl ugyanez a helyzet, csak a kplet vgeredmnye ms: a hasznland virtualizlt gpek szma a host prhuzamos hasznlata (gy rtem, valamilyen szerepkrrel a Hyper-V-n kvl) mellett maximum 4 lehet. Ha sok virtulis gpnk van, akkor egyrtelmen a Datacenter kiads lesz a nyer a korltlan virtulis gp licence-szel14, de persze ahogy itt is, a tbbi esetben is ki kell szmolni, hogy melyik a megfelel konstrukci. A Remote Desktop Admin Connections, az admin teht a felgyeleti RDP kapcsolatok maximlis szmt jelentik, ami egysgesen s sszesen 2 darab a Windows Server 2008 ta.
Vigyzat, a Datacenter kiads licenszelse - a tbbi kiadstl eltren processzorszm alapjn trtnik (a lektor megjegyzse).
14
~ 24 ~
TERVEZS S TELEPTS
Az egyb, fkpp hardveres teleptsi elfelttelek (most a clean, azaz a tiszta vagy szz teleptsrl beszlnk) hivatalos listja a kvetkez: Komponensek CPU Kvetelmnyek Minimum: 1.4 GHz (x64 processzor) Ajnlott: 2 GHz vagy gyorsabb Megjegyzs: Ha az Itanium platform a clpont, akkor az Intel Itanium 2 tpus CPU lesz a minimum kvetelmny Minimum: 512 MB RAM Ajnlott: 2 GB RAM vagy tbb Minimum: 10 GB Ajnlott: 40 GB vagy tbb Megjegyzs: Ha minimum 16 GB RAM van a rendszernkben, akkor ezt figyelembe kell venni a trhelynl is a pagefile, a hibernls vagy a memria dump fjlok miatt, teht ezek apropjn pluszban szmoljunk trhellyel Csak DVD-ROM Super VGA (800 x 600) vagy nagyobb felbonts Billentyzet, egr
3.2
BRA
RAM Trhely
Lemezmeghajt Monitor s perifrik
KVETELMNY EK LISTJA
Ennek a tblzatnak (ahogy mindegyik ilyesfajta kvetelmnylistnak) j nhny rsze egszen vicces 15 , s kiss ellentmond a htkznapi gyakorlatnak, de egy biztos, tkletesen ltalnos recept nincs, gyakorlatilag minden esetben egyedileg kell megterveznnk a hardver eszkzket - az elvrsokkal szinkronban. Mg egy fontos s ez esetben tnylegesen letszag tapasztalatra hvnm fel a figyelmet: annak ellenre, hogy jabb, tbbet tud s tbb mindenre hasznlhat az R2 verzi az eldjvel szemben, a hardverignye kevesebb vagy legalbbis megegyeznek bizonyul majd. Ez a rengeteg ponton (CPU, memria, diszk, hlzat) korriglt rendszernek ksznhet. 16 A jogtiszta hasznlat apropjn jegyezzk mg meg azt a tnyt is, hogy a Windows Server 2003-hoz kpest drasztikusan, de a Windows Server 2008-hoz kpest is jelentsen enyhlt az aktivlssal kapcsolatos kemny hozzlls a gyrt cg Viszont a minimum felttelek negliglsa egy bejelentett PSS hiba esetn nagyon is szmt, teht a tmogats elvesztsvel jr (a lektor megjegyzse). 16 s mg egy fontos dolog: mivel egy 64 bites rendszerrl van sz, minden meghajtprogramnak (driver, hogy rtsk) rendelkezni kell digitlis alrssal.
15
~ 25 ~

rszrl. Ennek egyik kvetkezmnye az, hogy a telepts utn 60 napig aktivls s termkkulcs bevitel nlkl, teljes rtk zemmdban hasznlhatjuk a szervert. Egy msik fejlemny pedig az, hogy teljesen leglisan kiterjeszthetjk ezt az zemmdot tovbbi 180, teht sszesen 240 napig. Ezutn viszont muszj lesz egy rvnyes termkkulccsal aktivlnunk, vagy ennek hjn el kell tvoltanunk az opercis rendszert. Ha errl a specilis hasznlat kiterjesztsrl tbbet szeretnnk tudni, akkor nzzk meg a rszleteket a kvetkez hivatkozson: A Windows Server 2008 prbaidejnek meghosszabbtsa http://support.microsoft.com/kb/948472
3.2 T ELEPT ENI
KNNY
s tnyleg az, mgpedig egyre knnyebb. A Vista ta az OS telepts jelentsen egyszersdtt, minimlis beavatkozst ignyel, s adott esetben nem akad meg, ha valamit nem tudunk azonnal beadni a teleptnek (pl. termkkulcs a klienseknl) illetve a komponensekkel telepts kzben nem kell foglalkoznunk. De azrt tekintsnk vgig egy komplett folyamatot, mert minimum egyszer azrt meg kell ismernie mindenkinek a lehetsgeket! Szval rendszert indtunk a DVD-vel (egy darab van jellemzen az sszes kiadssal, de ez sem jdonsg mr) vagy egy .iso fjlbl Hyper-V alatt - mint az n a pldmban vagy esetleg VHD boot-tal, amirl viszont majd ksbb lesz sz. 3.2.1 A
K L AS S ZI K U S TI S Z T A T E L EP T S L P S EI
~ 26 ~
TERVEZS S TELEPTS
3.3
BRA A
16
VE DOLGOZ RENDSZERGAZDA A
101
GOMBOS BILLENTYZET HVE
3.4
BRA
B ALRA
LENT EGY OLVASNIVAL S A MENTS FEJEZETBEN KITRGYALT
WRE
INDTSI LEHETSGE
~ 27 ~
3.5
BRA
SIMA ,
4 S ERVER C ORE ( DE
JEGYEZZK MEG JR A : VAGY - VAGY )
3.6
BRA
A Z EULA ( MAXIMUM
AZ AZ RDEKES , HOGY EZ MR EGY
SP1- ES
INTEGRLT
EULA )
~ 28 ~
TERVEZS S TELEPTS
3.7
BRA
EZ
ITT A NAGY KRDS
(95%- BAN
AZ ALS LESZ , RSZLETEK KSBB )
3.8
BRA
L EMEZKEZELS
EGYSZER EN , AZ EGYETLEN ISMERETLEN A KVETKEZ KPEN
(L OAD D RIVER )
~ 29 ~
3.9
BRA
HA
MEGHAJT PROGRAMOT KELL BEILLESZTENNK , PL . A
RAID
VEZRLHZ AKKOR ITT AZ IDEJE
3.10
BRA
M SOLS ,
KICSOMAGOLS , KONKRT TELEPTS , FRISSTS S KZBEN JRAINDTS IS LESZ , KTSZER IS GYHOGY MENJNK KVZNI
~ 30 ~
TERVEZS S TELEPTS
3.11
BRA
AZ
ADMIN JELSZ BELLTSVAL VGE IS A FOLYAMATNAK
Szemben a Windows Server 2003-mal, az admin jelsz megadsnl gyeljnk arra, hogy mr itt is (loklis gpen, tartomny nlkl is) mkdik a kemny jelszhzirend, azaz minimum 7 karakter, s a kisbet, nagybet, szm, jel ngyesbl hromnak szerepelnie kell a jelszban, valamint 42 nap mlva lejr az alaprtelmezs szerint17. A telepts tnyleg egyszer, de ezzel mg teljesen nem r vget, hiszen a jelszvltoztats s a profilunk betltse utn kvetkez lps is egy varzsls, azaz az Initial Configuration Tasks.
No s persze, ha a gpet tartomnyba lptetjk, akkor a tartomnyi jelszhzirend lesz az rvnyes az odatartoz, de az ezen a gpen belp felhasznlk esetn.
17
~ 31 ~
3.12
BRA
AZ
ALAPVARZSLS INDUL
Hasznos dolog ez a fellet, mert a legfontosabb alapbelltsokat (hlzat, gpnv, tartomnyi tagsg, Windows Update, Remote Desktop, tzfal) itt azonnal s egy helyen megtehetjk, ha viszont csak egyszer akarjuk ltni, azaz elegnk lett belle, akkor a bal als sarok fontos lesz (Do not show this window at logon).18 De ha szksges, akkor az alapbelltsok nyomtatsa, emailben elkldse vagy lementse sem okoz gondot. De ezek utn mg mindig nincs vge a varzslsnak, hiszen azonnal megkapjuk a Server Managert, ahol szintn van pr teendnk a folyamat elejn is, s persze ksbb is rengetegszer elltogatunk majd mg ide. Azonban ez mr a 4. fejezet anyaga, ergo lpjnk vissza kicsit! 3.2.2 A C S E N D ES ( U N AT T EN D ED ) T EL E P T S Akadhat olyan szituci, amikor nem tudjuk (vagy nem akarjuk) a kattintgatst mvelni telepts kzben, illetve az egyik legfontosabb okknt inkbb azt hoznm fel, amikor is rengeteg szervert kell azonos mdon teleptennk. Erre egy egyszer megolds ltalban a csendes telepts (s persze nem csak opercis rendszereknl, alkalmazsoknl is van erre opci), s van rengeteg ms megolds is, Egybirnt mind az ICT, mind a Server Manager indtskori megjelenst vagy tiltst a Csoporthzirendbl szablyozhatjuk.
18
~ 32 ~
TERVEZS S TELEPTS
amelyek lnyegesen tbb lehetsget rejtenek magukban, m egyttal sokkal bonyolultabbak is (lsd: tmeges telepts, azaz mass deployment). Visszatrve a csendes telepts lebonyoltshoz is szksg lesz j pr teendre, de ezeket szerencsre csak egyszer kell megtenni, s aztn sokszor lvezni a hasznt. Szksgnk lesz a Windows Automated Installation Kit (WAIK) legfrissebb vltozatnak letltsre 19 , ami egy ingyenes eszkz s a Microsoft Download Centerben20 talljuk meg. A WAIK egyik alapkomponensvel azaz a Windows System Image Manager-rel (WSIM) kszthetnk egy n. distribution share-t (s gy persze a hlzaton keresztli telepts lehetsghez is hozzjutunk), s a WSIM grafikus felletn, rengeteg opcival egy unattend.xml fjlt, amellyel aztn az sszes telepts eltti, alatti s utni mveletet nagyon granulrisan szablyozhatjuk, s ha ezt megtesszk akkor ezek utn a teleptsi folyamat is minimlis beavatkozst ignyel majd. Persze ez a tma, mrmint a tmeges telepts, hiperbonyolult is tud lenni (pl. tovbbi 3 s 4 bets rvidts eszkzk garmadja ll a rendelkezsnkre, WDS, MDT, Lite/Zero Touch Install - taln ezek a legfontosabb kulcsszavak), gy aztn meg sem prblom ennl jobban ebben a fejezetben kifejteni.
3.3 F RISSTS
VAGY MIGRCI ?
ltalban a rendszergazda szakmai letnek egyik komoly dilemmja ez a krds, ami radsul rendszeresen visszatr, hiszen 3-4 vente biztosan kapunk j opercis rendszereket s persze szerver alkalmazsokat (gondoljunk az Exchange vagy a TMG szerverre), s a csert mg egy jl mkd rendszerben is meg szoktuk s meg is kell lpni az idelis rendszer21 elrse apropjn (nyilvn ez sosem fog sikerlni, de azrt csak csinljuk s csinljuk s csinljuk ). Trtnetesen az a helyzet, hogy mindkt megoldsnak szmtalan elnye van, m a htrnyokkal is hasonlan llnak. Ha pldul frisstnk helyben (in-place upgrade), akkor: - A feladat lnyegesen egyszerbb, mivel az alkalmazsok, a belltsok, a krnyezet marad rgi csak ppen a rendszer komponensei frisslnek.
Vagy inkbb az MDT-re (Microsoft Deployment Toolkit). Az MDT desktop oldalrl ismers lehet, j megjegyezni, hogy ugyanazok az eszkzk mkdnek a szervereknl is. Az MDT-nek rsze a WAIK, tovbb az extra bonyolult WSIM helyett is egy bartsgosabb task sequence llthat ssze (a lektor megjegyzse). 20 http://www.microsoft.com/download/en/default.aspx
19
Az idelis rendszer - az idelis gzhoz hasonlan - mindig kitlti a rendelkezsre ll teret (a lektor megjegyzse).
21
~ 33 ~

A frissts utn - optimlis esetben - egybl mkdik minden, nem vltozik a szerver neve, sem a TCP/IP belltsok, sem semmi ms, a kliensek ugyangy ltjk, s ugyanazt biztosan meg is kapjk ettl a szervertl, mint eddig.
Ha naiv rendszergazdk vagyunk, akkor mr drzslhetjk is ssze a kezeinket, nincs krds, ez lesz a nyer! De nem biztos, mivel: - A hardver egsz egyszeren nem brja el az j OS-t, teht ugyanerre a gpre nem lehetsges feltenni. Vltoznak az idk, a hardverspirl mkdik, az eszkzk szempontjbl halott gy a frissts, meg aztn egybknt is szeretnnk j hardvert, mert ki nem ebben a szakmban? - Az opercis rendszer nem frissthet helyben, mert: o Eltr a platform (32 bit > 64 bit vagy esetleg fordtva), erre j plda 98%-ban a Windows Server 2003-rl Windows Server 2008 R2-re val tlls, hiszen az utbbibl ugye nincs is 32 bites. o Eltr a nyelv (eddig magyar volt, de okosabbak lettnk, 22 s angolt szeretnnk hasznlni). o Eltr a kiads, pldul eddig Small Business Server-t hasznltunk, de... kinttk. - A gp mr tllt pr vet, teli van szemetelve, mr az elz vltsnl is helyben frisstettnk, ergo szoftveres szempontbl is elavult, s nagyon szeretnnk tiszta lappal indulni. - Az idzts fontos, ha frisstnk, akkor azt egy adott idpontban tesszk meg, s egybl az 1-rl a 2-re jutunk. Visszavonni a vltozsokat ltalban problms vagy inkbb lehetetlen, s ha brmirt is belehal a rendszer, nincs vagy nagyon nehz a visszat. Szp kihvs. Szval mgis migrci lesz? Az j, mert: - Teljesen j hardver s szoftver krnyezetnk lesz, gyors, szp s hasznlhat lesz minden rsze a rendszernek. - Megvan a remek alkalom arra, hogy kijavthassuk az elz rendszer ptse sorn elkvetett alapszint hibkat (nvkonvenci, komponensek jratervezse s elosztsa a szerverek kzt, stb.) - Rrnk. Prhuzamosan megy majd a kt rendszer, s ha szpen nyugodtan tpakolgattunk mindent, s a bolygk is egyttllnak s ldoztunk mr egy kecskt is jflkor, akkor tbillentjk - de marad mg a rgi szerver is, azaz van visszat, mert szpen, fokozatosan fogjuk kivezetni (s akr kicsit megjtva tartalkknt jra is hasznosthatjuk).
Ez egy ersen szubjektv s politikailag teljesen inkorrekt megjegyzs, amely szellemtl az Olvas btran eltrhet, de a szerz hatrozottan hisz abban, hogy rdemes s fontos az angol nyelv vltozatokat hasznlni - legalbbis a szerver oldalon.
22
~ 34 ~
TERVEZS S TELEPTS
De azrt ez sem fenkig tejfel, mivel: - A migrci lnyegesen bonyolultabb, a komponensek s a tartalom (AD, DHCP, tanstvnyok, fjlszerver, megosztsok, nyomtatk, stb.) tvitele sorn lehetnek nehz pillanatok s/vagy rengeteg munka. - Tesztelni mindkt esetben kell, de itt taln sokkal tbbet, mivel rengeteg minden vltozni fog. - A kliensek ekkor mindig krdsesek, hogyan fognak reaglni a vltozsra, gondoskodtunk-e mindenrl, a folyamat a kliens szempontjbl teljesen transzparens-e, s csak az elnyket rzi-e majd a felhasznl? Mg lehetne ragozni, de nem teszem. Ellenben a voksomat azrt leteszem: n a migrci hve vagyok, igaz hogy melsabb, s sokkal tbb dolgot kell tudni, illetve sokkal tbb tnyezt figyelembe kell venni, de ez egy tiszta, szraz rzs a vgn, s radsul ettl csak felkszltebbek lesznk, hiszen rengeteg jdonsgot tanultunk kzben (meglehet azt is, hogy ilyet soha tbbet nem csinlunk ). De nzznk egy konkrt s viszonylag egyszer gyakorlati pldt. Rengeteg ilyennel vagy hasonlval szembeslk klnbz levelezlistkon krds formjban, s persze a htkznapokban ezt nehz aprlkosan megvlaszolni, de most fussunk neki! Lesz benne pr tma, ami ebben a knyvben ksbb jn majd logikailag, de nem baj. Sziasztok!23 Adott egy: rgi hardver, Win 2k3 3 R2 32bit, Exchange 2003 s a clgp, ami a rgit levltja: j hardver, Win 2k8 R2 64bit, Exchange 2010. Krdsem, hogyan oldhatom meg legegyszerbben, az Active Directory felhasznli, jogok, belltsok trkldjenek r, hogyan lltsam be az jat, h. ne kutyuljon be a rendszerbe, hogyan tudom, azt megtenni, h. teljesen tvegye a rgi szerver szerept? A szerz receptje szerint a sorrend illetve a teendk nagyjbl, de nem felttlenl a teljessg ignyvel24 a kvetkezek: 1. Elszr terveznk, papron, vagy Excel-ben, sszegyjtjk az eddigi s a tervezett j szerverre kerl adatokat (IP konfigurci, szerepkrk, partcik, megosztsok, stb.) 2. Tovbb gondolkodunk: a kliensek mi mindennel vannak a szerverhez ktve, pl. van-e login szkript/csoporthzirend konfig a meghajt felcsatolsokhoz, van-e Home meghajt s/vagy vndorl profil a user profilokban, belertuk-e a proxy A hardver eszkzk jellemzit s az IP, nv adatokat kiszedtem, de mst nem, ez tnyleg egy valdi, elhangzott krds. 24 A teendk listja kicsit ms s ms lehet minden rendszerben, mert ugyebr kt egyforma rendszer nincs.
23
~ 35 ~

cmt a Csoporthzirendbe, szval mindent megtettnk, hogy ezeket egyszeren trva, gond nlkl menjen majd az j rendszer is? Biztos, hogy a legfrissebb SP-vel s javtsokkal szerelt a Windows 2003-as szerver? Ha nem, korrigljuk. Lehet, hogy idbe telik s ez egy jabb kzdelem lesz, de muszj. Az Esemnynaplt lttuk mostanban? Vannak benne j hibk s figyelmeztetsek? Ha igen, elszr korrigljuk ezeket, majd 1-2x indtsuk jra a kiszolglt, s nzzk meg, hogy rendben, szablyosan mkdik-e minden, s az Esemnynapl is ezt tkrzi-e? A rgi szerver teljes s rszletes mentse, mert az rdg nem alszik. Ezutn felteleptjk az j hardverre az R2-t, j nv, TCP/IP konfig (pl. az AD telepts utn mr a DNS-nl a rgi s az j gp IP cme is rsze a TCP/IP konfignak, de eltte mg nem, s ugyanez a helyzet a WINS szervernl is), majd belptetjk a tartomnyba. Az AD elksztshez ellenrizzk le a tartomny s az erd mkdsi szintjt, s emeljk fel (ha mg nincs) a Windows 2003 natv mdba.25 Sma bvts: mieltt egy j Windows Server 2008 R2 tartomnyvezrlt bele hajtunk emelni a jelenleg mg Windows 2003-s tartomnyba, AD sma bvtst kell vgeznnk. Tudnunk kell azt, hogy a smabvts egy visszafordthatatlan folyamat, ergo ha egyszer elvgeztk, nem trhetnk vissza egy korbbi vltozatra, ezrt ezt tnyleg vatosan kell megtenni 26 . Viszont az adprep32 /forestprep parancsot (a mi esetnkben, mert ha lenne tbb domain, akkor a /domainprep jnne elbb, s egyesvel) az j OS, az R2 teleptjn kell keresni (\sources\adprep mappa), de itt is kett van, egy 32 s egy 64 bites. Valszn neknk az elbbi kell majd, s persze nyilvnvalan az ekkor mg egyetlen tartomnyvezrln - a rgin. Igaz ami igaz, egy ideje mr legalbb deaktivlhatjuk az esetlegesen tves vagy hibs bejegyzseket, de trls az nincs. A helyzet az, hogy viszont az R2ben mr van visszallts is, de csak bizonyos felttelekkel illetve krlmnyek kztt, de errl tnyleg csak majd ksbb lesz sz.
3.
4.
5. 6.
7. 8.
http://technet.microsoft.com/hu-hu/library/cc776703%28WS.10%29.aspx vatos meglps: http://emaildetektiv.hu/2007/01/20/szabalyozott-megfertozes (a lektor megjegyzse)

25 26
~ 36 ~
TERVEZS S TELEPTS
3.13
BRA
EZ
AZ ERD FELKSZLT
3.14
BRA
T ART
A SMABVTS ,
R2- RL R2- RE ( NZZK
MEG A SMA VERZIKAT ,
31 > 47)
9. A sikeres sma bvts utn (jraindts nlkl) jhet az AD telepts, DNS s GC bellts, TCP/IP vltoztats mindkt gpen az j szerver adatainak a bevezetshez.
~ 37 ~

10. Ha felment s mkdik, akkor jhet a spci, s egyedi AD FSMO (Flexibile Single Master Operations) szerepek tadsa27 az j gpnek. A netdom query fsmo paranccsal ellenrizhet. 11. DHCP kltztets a netsh-val28, egyszer import s export, s mindent tvisz, a jelenleg kiosztott cmektl kezdve a rezervcik minden adatig. A teend csak annyi, hogy a rgi lelltsa utn az j szerver adatait (mint DHCP s WINS szerver) vigyk be majd az j szkpba! 12. A WINS szerver kltztets tipikusan - egyszerbb esetekben meg fkpp - az egyik oldalon a komponens leszedst, mg a msik oldalon a teleptst jelenti, ugyanis az adatbzist majd szpen felpti a httrben jra a hlzati forgalom alapjn, konfigurlnival meg szinte semmi sincs. Ellenben nagyon fontos, hogy a kt szerverben mr az j WINS szerver IP szerepeljen, s hogy a kliensek innentl mr a DHCP-vel is ezt kapjk. 13. Felhasznli adatok s krnyezet tvezetse, azaz a tartomnyi profil rszleteinek (home mappa, vndorl profil, megosztsok, stb.) trsa. Azrt ez nem csak ennyi, eltte az j kiszolgln ki kell alaktani ugyanazt a mappastruktrt (a megfelel megosztsi s NTFS jogosultsgokkal!29), majd a megfelel tartalmat t kell msolni, radsul gy, hogy az eredeti jogosultsgok megmaradjanak (az egyszer Windows msols ebben nem segt, ehhez tbbnyire kls eszkz kell). Itt nyilvn gondolni kell arra is, hogy a msols akkor trtnjen, amikor nem dolgozik senki a fjlokkal. Ha mindez ksz, s rendben van, akkor jhet a userek AD fikjban a hivatkozsok trsa, illetve a login szkriptekben a megosztsok elrsi tjnak mdostsa. 14. Az Exchange szerver kltztetse szp, nagy feladat, de jl dokumentlt s nincs benne elvileg rdngssg, fleg ha egy rgi s egy j szerverrl van sz. 30 A lnyeg nem is a kltztets lesz, hanem egyrszt az elkszts, msrszt a folyamat vgn az Exchange Server 2003 eltvoltsa 15. Ezutn pr nap trelem, a kliensek s az j szerver folyamatos ellenrzse utn jhet a rgi tartomnyvezrln az AD eltvoltsa, majd a kilptetse a tartomnybl (van olyan eset is, amikor ez egyetlen fzis). Figyeljnk oda az eltvoltskor az admin jelsz megadsra, mert mg kellhet ez a gp! Ha viszont minden szpen megy ezek utn is, akkor vgleg trlhet az opercis
27
http://www.softwareonline.hu/art3066/fsmo+szerepkorok+athelyezese+masik+tart omanyvezerlore.html 28 http://blogs.technet.com/b/networking/archive/2008/06/27/steps-to-move-adhcp-database-from-a-windows-server-2003-or-2008-to-another-windows-server2008-machine.aspx 29 http://blogs.technet.com/b/askds/archive/2008/06/30/automatic-creation-ofuser-folders-for-home-roaming-profile-and-redirected-folders.aspx 30 http://technet.microsoft.com/en-us/library/aa998604%28EXCHG.140%29.aspx
~ 38 ~
TERVEZS S TELEPTS
rendszer is, s akr erre is kerlhet egy Windows Server 2008 R2, mivel egy DC nem DC. 16. Ha mr biztosak lesznk benne, hogy nem lesz tbbet Windows Server 2003as tartomnyvezrlnk (s jl eldugva a padlson sincs egy msik ), akkor az erd s a tartomny mkdsi szintjt tovbb emelhetjk hiszen csak ezutn fogunk tudni bizonyos j szolgltatsokat hasznlni, a friss ropogs j szervernkn s a tartomnyban, illetve az erdben. 3.3.1 E GY J M D S Z E R : A S E R VE R M I G R A TO N T O O L Ahogy jeleztem korbban, szeretek migrlni. Szinte brmit. s sokszor kell. Van abban valami felemel, amikor az j, ers s csilivili hardveren, s egy j, mg szzies ernyeket felvonultat OS-en fut tovbb minden, amit az elmlt vekben sszekalapltl. Radsul az j hardverrel tbbnyire, j s okosabb feladat ki- s eloszts jn ltre a szerverek kztt is (s itt gondoljunk btran a fizikai s a virtulis gpek kztti migrcira is, oda s vissza is), azaz ilyenkor lehet korriglni, az elmlt vek tapasztalatai alapjn kiss vagy akr gykereiben is mdostani az infrastruktrt. St, ha mr minden OK, s amikor mr minden gy mkdik, ahogyan eltervezted, akkor mg az is lehet, hogy nem kell naponta piszklni mint eltte, azaz jhet a vllveregets. Persze - mondhatni - nekem knny, hiszen maximum pr szz userig (na j, van/volt ezres is) s ltalban 25 alatti szerverrel dolgozom, ltalban minimlis szm telephellyel, s a nemzetkzi kapcsolatok meg fleg az als flrendeltsgi viszonyok (technikailag rtem ezt) sem srn htrltatnak. A "4 fldrszen, 1200 szervered s 60.000 kliensed van" viszonylatot csak az MCP vizsgkon tapasztaltam meg (na de ott aztn rendesen :D), az n krlmnyeim kztt nagyjbl s ltalban maximum 1-2 fs a tervez-, kivitelez- s monitoroz/tesztel csapat is, vagy csak jmagam. Egy sz mint szz, viszonylag sok - ebbe a kategriba tartoz - rendszertalaktst vgeztem mr, ismerem a trkkket, van j pr mdszerem s j pr eszkzm is. Azrt kell a sok trkk s a j mdszer, mert a migrci ltalban bonyolult, s tegyk a szvnkre a keznket, egyttal kiss aluldokumentlt illetve alultmogatott folyamatrl van sz. Persze van ADMT, meg netsh, meg ntdsutil, meg export/import, mostansg mr xml-be, de eddig ebben a knyvben is csak klnll, nem rendszerbe foglalt, nem azonos mdszert kvet megoldsokrl volt sz. Most viszont a Windows Server 2008 R2-ben valami egszen jjal prblkozik a Microsoft, s ez az n. Windows Server Migration Tool, s a jelszava lehetne a legyen a forrs s a cl is ugyanaz!
~ 39 ~
3.15
BRA
E GY
PIPA MINDENEKFELETT
WSMT
EGY KPESSG , ELS LPSKNT EZT KELL MAJD TELEPTENI
Vagy kicsit szaladjunk elre: ha PowerShell rajongk vagyunk, akkor hrom lps az eszkz teleptse: 1; Import-Module ServerManager, 2; AddWindowsFeature Migration, 3; rl. Alapveten mi kell ehhez az eszkzhz? Ht a j reg PowerShell-, a "rgi" szerveroldalon az 1.0-s, az R2-nl meg a 2.0-s verzival. Merthogy az egsz migrcis eszkztr, tokkal-vonval PS alap. Nos, hogyismondjam, finoman szlva sem vagyok egy PowerShell zsonglr, de a legels Exchange 2007 migrci ta azrt mr nem kell a fokhagymafzr, ha megltom a PS eltagot a parancssorban, s eme migrcis kalandok kzepette meg egszen megkedveltem. A legjobban a hibakezels, illetve a beptett segtsg mennyisgnek mrtke az, ami feldob, persze, nyilvn gy kell elcsbtani a kezdket, okos. Na s tnyleg, tegyk a szvnkre a keznket, mit nem lehet majd PowerShelllel kezelni akr most vagy akr 5 v mlva? Mr eddig is sok-sok mindent lehetett, de pl. az R2-ben mr az AD-t is, a Csoporthzirendet is (1. ImportModule grouppolicy, 2. New-GPO Proba-GPO s ksz, s mg az egeret se fogtam meg), st mg egy kicsit az amgy egszen konzervatv Forefront TMG is...
~ 40 ~
TERVEZS S TELEPTS
3.16
BRA
E NNYI
S NEM TBB
Visszatrve a fsodorba: az R2-es WSMT telepts utn a kvetkez teendnk a forrsok felksztse lesz. De mire is? A WSMT jelen pillanatban 7 klnbz (nha azrt sszefgg) konfigurcit, kpessget, szerepkrt tmogat, konkrtan ezeket: - TCP/IP konfig, DHCP szerver - AD/DNS - Fjlszerver (megosztsok, VSS, VDS, FSRM is) s BranchCache - Printszerver - Loklis felhasznlk s csoportok s milyen szervereket tmogat, azaz hogyan nz ki a verzi mtrix?
3.16
BRA
M TRIX
EZ IS
s milyen kivtelekkel, illetve aranyszablyokkal? - Windows Server 2008 Server Core nem lehet forrsa a Windows Server 2008 R2. Server Core-nak, ti. a .NET Framework csak az utbbiban ltezik. - Eltr nyelvi bellts OS-ek kztt nem mkdik.
~ 41 ~

Mindig legalbb a (loklis) Administrators csoportban kell lennnk. Ahogy mr elhangzott, PS1 kell a rgi OS-eken, PS2 az R2-n. Minden szerveren kell a .NET Framework 2.0.. Minden tovbbi nlkl varilhatunk a fizikai s a virtulis szerverek kztt, s persze fordtva is.
Most, hogy mindezt tudjuk (s j rendszergazda szoks szerint szpen tsiklunk majd felette), kezddhet az igazi munka, azaz a telepts, majd a forrsgpek regisztrlsa. Els teendknt a Windows Server 2008 R2-es szerveren csinlnunk kell egy mappt, s clszeren egy megosztst a rgi szervernek, majd indthatjuk a parancssort, de szigoran a "Run As Administrator" mdszerrel. Lpjnk be a %Windir%\System32\ServerMigrationTools mappba, s gpeljk a be a kvetkez parancsok valamelyikt: SmigDeploy.exe /package /architecture amd64 /os WS08 /path <az ltalunk legyrtott deployment mappa> SmigDeploy.exe /package /architecture amd64 /os WS03 /path <az ltalunk legyrtott deployment mappa> SmigDeploy.exe /package /architecture X86 /os WS08 /path <az ltalunk legyrtott deployment mappa> SmigDeploy.exe /package /architecture X86 /os WS03 /path <az ltalunk legyrtott deployment mappa>
3.17
BRA GY KSZLT EL A
WS03
SZERVER SZMRA A CSOMAG
Azt gondolom, nem kell tlmagyarzni, a kszlet elemei CPU-nknt s OS-enknt eltrek, gy aztn csini kis nevekkel elltott mappkat gyrt le az SmigDeploy.exe, ha jl csinljuk. Lpjnk t a forrs oldalra, s az adott szerverre msoljuk le a megfelel mappt, majd egy szintn admin parancssorbl (mr ahol van ilyen), a helyi mappba belpve, adjuk ki a kvetkez parancsot (nem elrs, valban pont s per jel van az elejn :D).
~ 42 ~
TERVEZS S TELEPTS
.\Smigdeploy.exe Ezzel ksz is van a telepts, illetve a kliensek migrcis eszkztrral elltsa, most pedig jjjn az export, azaz most mr aztn nzzk a lnyeget! A feladat szerint egy Windows Server 2003 DHCP szervernek sszes ltez adatt s belltsait akarjuk migrlni, de kombinlni akarjuk a migrcit a forrsgp komplett TCP/IP belltsainak tvitelvel (teht azonos lesz a kt gp cmzse, nyilvn egyszerre nem fognak mkdni), st a helyi fikok s csoportok (ergo nyilvn ez nem egy DC) migrlsval is. Kicsit letszag, kicsit nem (mivel a helyi user fikok szinte elhanyagolhatak egy tartomnyi gp esetn), de a prba kedvrt j lesz. A Windows Server 2003-on31 indtsuk el a Powershell-t, ha jt akarunk magunknak, akkor az Administrative Tools-ban keressk meg az j migrcis programcsoportot, s az itt lv PS-t indtsuk, ha nem, akkor elsknt be kell tltennk a kvetkez paranccsal a migrcis eszkztrt: Add-PSSnapin Microsoft.Windows.ServerManager.Migration A teljessg kedvrt lerom azt is, hogy mely utastsra van szksg akkor, ha egy szimpla parancssorbl hajtjuk a PS-t betlteni, viszont egytt a migrcis holmikkal: Powershell.exe PSConsoleFile ServerMigration.psc1 No s itt lljunk csak meg egy kicsit s szmoljunk. Hlkrtyt. Tudniillik ha trtnetesen a forrsoldalon tbb van, akkor a cloldalon is tbbnek kell lennie. Merthogy elkpzelhet, hogy azrt van tbb, mert a j reg DHCP szervernk tbb krtyhoz is "hozz volt ktve" (Bindings), azaz tbb alhlzat szmra is tolta az TCP/IP konfigokat. De most mr nzzk a konkrt export parancsot: Export-SmigServerSetting featureID DHCP User All Group IPConfig path <storepath> Verbose gy gondolom, hogy nmi magyarzat szksges, nzzk tagonknt. 1. Export-SmigServerSetting: ez maga a cmdlet, a get-help-pel kombinlva borzaszt rszletes pldkat is kapunk a szintaxisra. 2. -featureID DHCP: itt adjuk meg, hogy melyik legyen a hat tpus kzl, ha nem vagyunk tisztban az elnevezsekkel, akkor hasznljuk a GetSmigServerFeature parancsot a rszletek kidertsre.
E felett is ugyanez, csak akkor van eltrs, ha Windows Server 2008 R2-rl Windows Server 2008 R2-re migrlunk, de gy gondolom, hogy ez nem ennek a knyvnek a tmja
31
~ 43 ~

3. -Users All; -Group: ahogy mondtam, nem muszj, de mondjuk akkor igen, ha pl. valamelyik loklis user a DHCP Administrators csoport tagja. 4. -IPConfig: ez az amitl a teljes TCP/IP konfig tcsszik majd ha ez a szndkunk (de nem lesz muszj mindent beimportlni, lsd ksbb). 5. -path: lehet egy res, vagy nem res mappa is, a lnyeg, hogy kln mappba kerljn, s a msik lnyeges dolog, hogy CSAK a mappanevet kell szerepeltetni a parancsban. 6. -Verbose: rszletes infkat kapunk a mvelet eredmnyrl, szp srga sznnel + Inf: menet kzben krni fog egy jelszt is, amely minimum 6, maximum 256 karakter lehet. Ha minden jl megy, az eredmny rszleteit megkapjuk egyrszt a kpernyre (ezrt j a -Verbose), msrszt clmappnkba egy pr tz kbyte-os srvmig.mig fjl formjban. Flig htradlhetnk, s kzben ljk le a forrsszervert (ugye az IP s DHCP konfliktus miatt).
3.18 M R
GYJT ...
~ 44 ~
TERVEZS S TELEPTS
3.19 ... S
MR KSZ IS .
Ezek utn viszont nyargaljunk t a cl oldalra, azaz a Windows Server 2008 R2-hz! Ha mg az import eltt elgondolkozunk azon, hogy vajon be kell-e lptetni a tartomnyba, akkor ne gondolkodjunk tovbb, nem muszj, st gyakorlatilag nem oszt s nem szoroz, ksbb is belptethetjk. A TCP/IP belltsa sem rdekes, gyis fellrjuk. Viszont az imnt ksztett srvmig.mig fjlt egy fjlmsolssal el kell majd juttatnunk az j gpre, ezzel szmoljunk. Nos igen, mg egy dolog: feltehetjk elre a DHCP szervert is, pldul a Server Managerbl. De mondok jobbat: PS> Add-Windowsfeature DHCP. Ilyenkor nem krdez semmit (ellenttben a Server Managerrel), ami azrt is j, mert gysincs mit belltani, hiszen minden szksges adatot importlunk. De mondok mg jobbat: az Import-SmigServerSetting cmdlet a featureID DHCP paramter apropjn rzkeli, hogy nincs DHCP Server s felrakja. Persze ez egy jraindtssal jr, meg azzal, hogy jra be kell tni a parancsot, de azrt cool, nem? :) Ha viszont mr felraktuk, akkor lltsuk le, ha esetleg elindult a szerviz (ha a PS-bl tesszk fel, nem fog). Nos, nzzk meg a parancsot:
~ 45 ~

Import-SmigServerSetting -featureid DHCP User All Group IPConfig <All | Global | NIC> SourcePhysicalAddress <SourcePhysicalAddress1>,<SourcePhysicalAddress-2> TargetPhysicalAddress <DestinationPhysicalAddress-1>,<DestinationPhysicalAddress-2> Force -path <storepath> Verbose 1) Import-SmigServerSetting; featureid: ua. mint az elbb, s a help is 2) -User All; Group: ua., de gondolkozzunk, ha csak domain tag usereink vannak a helyi csoportokban, pl. az emltett DHCP Admin csoportban, akkor elg a -Group is 3) -IPConfig, na itt kezd el bonyoldni, mert ahogy emltettem, szablyozhatjuk a TCP/IP konfig "rhzs" mrtkt, ugyanis hrom kapcsol is van: a) NIC: csak nmi NIC specifikus inf (a kapcsolat-specifikus suffix, IPv4 belltsok), de ekkor kell mg kt paramter illetve nmi adat is, konkrtan a "-SourcePhysicalAddress" s a "-TargetPhysicalAddress"**, amelyek mg a forrs s cl hlkrtyk MAC cmeit adjuk meg - lehet tbbet is, vesszvel elvlasztva b) Global: a globlis TCP/IP paramterek c) All: az elz kett egytt, de ilyenkor is kellenek a forrs, illetve cl MAC cmek 4) -force: agresszv kismalac zemmd, akrhogy is, de csinlja meg, ha ez nincs, akkor egy menet kzbeni elakads esetn marad a rgi rtk 5) -path: ahol az srvmig.mig fjl van, nyilvn legyen jogosultsgunk, s itt is CSAK a mappanv kell (ez nekem egy kb. 24 rs gondolkodsba illetve kls segtsg ignylsbe kerlt, de ez volt az a szakasz, amikor legalbb belekstoltam a PowerShell alapokba ) 6) -Verbose: ua. +inf: csak szeretnm jelezni, hogy van mg j pr paramter mind az export, mind az import tekintetben, mint pl. a -whatif, a -confirm, -passsword, stb..
~ 46 ~
TERVEZS S TELEPTS
3.20
BRA
MAGYARZAT LENTEBB
Nmi kp specifikus inf: - A felhasznlkat nem migrltam (az azonos neveket, azaz a gyriakat amgy sem pakolja t). - A "path" vgre mindig kell a per jel. - Az IPv6-ot letiltotta, mivel a WS03-on nem volt. - Illetve mg az is kiolvashat az utols sorbl, hogy az jraindts ktelez. Ha minden OK (elsre gy sem lesz az32), akkor ez kiderl a srga szn szvegbl, ezek utn mehet a PS-bl a "Set-Service DHCPserver startupType automatic" plusz a "Start-Service DHCPServer", s tekintsk meg a TCP/IP konfigot, meg a DHCP szervert, naht, mkdik. Amit mg jles dolog tgondolni, az az hogy igazbl nem bntottuk meg a forrsszervert mlyen, gyhogy ha valami balul slt el, s ez kiderl mr rgtn az utlagos tesztelskor, akkor az instant rollback nem okozhat gondot Nem nzek senkit sem bnnak, csak ppen figyeljk meg pl. a Hyper-V Type clipboard text parancsnak mkdst, elszeretettel hagyja le a ktjeleket s egyb extra karaktereket, amit persze csak ksbb szr ki az ember fia.
32
~ 47 ~

- ellenttben pl. egy helyben frisstssel, ami... ...de ezt nem ragozom tovbb, mert ebbe belegondolni is fjdalmas.33 Nos, kzben azrt fllentettem egyet, amikor azt mondtam, hogy "...az imnt ksztett srvmig.mig fjlt egy fjlmsolssal el kell majd juttatnunk az j gpre...", mert ez mgsem kizrlagosan a fjl msolst jelenti. Ugyanis ez a csodakszlet rendelkezik egy "Send-SmigServerData" paranccsal is, amely kimenete a TCP 7000es port. s nyilvn van egy "Receive-SmigServerData" is, amely bemenete ugyanitt figyel. Azonos alhln s egyidejleg indtva a forrs s a cloldalon is a megfelelt, nem lesz szksg a rgimdi msolsra. Alaprtelmezs szerint 5 percig figyel, de mg ezt is mdosthatjuk a registryben, st alaprtelmezs szerint titkostott is, a jelszval titkostja a forgalmat. Nincs tbb krdsem... A WSMT naplfjlja a %windir%\Logs\SmigDeploy.log, de egy tovbbi naplfjlt ugyanitt tallhatunk ServerMigration.log nven is. De cifrzzuk kicsit, ha a forrs egy Windows Server 2008 vagy Windows Server R2, akkor a %localappdata%\SvrMig\Log mappa lesz a szmunkra kedves, ha viszont egy WS03, akkor a %userprofile%\Local Settings\Application Data\SvrMig\Log tlti be ugyanezt a szerepet. Ha viszont valamilyen rejtlyes okbl nem ezeken a lelhelyeken lesz szerencsnk, akkor a ServerMigration.log s a SmigDeploy.log a %temp% mappba kerl. Senki ne krdezze meg, hogy mi a kivlt ok, tudjuk s ksz. Szerintem ezen a terleten mg kicsit koncentrlnia kell a fejlesztknek. Nos, vgl a konklzi jn. Ugyan ez a szsszenet mg csak a TCP/IP s a DHCP migrlst rszletezte (s ezeket sem mindenre kiterjeden, hiszen sem a TCP/IP-s rsz mlysgirl, sem pl. Server Core-os implementcirl nem esett sz), a dolog az letben SOKKAL egyszerbb, mint lerva. Fleg az els procedra utn. Fleg az els 30 nerbl elkvetett hiba s ezek korrekcija utn, amikor mr rted is, hogy mit, mirt s milyen sorrendben. Nagyjbl ezrt is rtam le mindezt. Uff. Tovbbi szmos eszkz s lers a migrcis tmakrben. http://www.microsoft.com/migration
Idre nem rzkeny szolgltatsok esetn, virtulis gpnl nagyobb jelentsge lehet a frisstsi opcinak, mivel ekkor hasznlhat a pillanatfelvtel (snapshot) technolgia (a lektor megjegyzse).
33
~ 48 ~
FELGYELET, KEZELS, ELLENRZS
4 F ELGYELET ,
4.1 A S ERVER M ANAGER
KEZELS , ELLENRZS
Mivel mssal is kezdhetnnk ezt a fejezetet, mint a rendszergazdk szmra abszolte mindennapos hasznlat Server Manager-rel, ami gyakorlatilag tnyleg egy svjci bicska, s valban minden htkznapi feladatunkhoz szervesen hozztartozik. De nem volt ez mindig gy, nzznk meg egy kpet egy igen korai Server Manager-bl, mgpedig egy Windows NT 4.0-s pldnybl.
4.1
BRA
E GYKOR
ILYEN VOLT
Majd ezutn, a Windows 2000 Server-tl kezdve rkeztek a klnbz felgyeleti eszkzk s varzslk, gymint a Manage Your Server, a Configure Your Server, illetve az Add or Remove Windows Components s persze a Computer Management MMC. szintn szlva, hmmm... mindig is kiss szkeptikus voltam ezekkel a "...Your Server" varzslkkal, szerintem nagyjbl csak kozmetika volt, s nem tbb. Ennek megfelelen az "Igazi rendszergazda ilyet nem hasznl!" felkiltssal ltalban a bal als sarokban lv (a vgleges bezrst kivlt) ngyzetre kattintottam egy-egy j szerver teleptse utn. Az Add or Remove Windows Components pedig igencsak gyenglkedett akkor, ha komplex mdon szerettk volna hasznlni, azaz neknk kellett mindig, minden esetben kitallni, hogy mi mindent kell mg feltelepteni egy szolgltats hasznlathoz, nem beszlve a leszedsrl, amikor aztn tnyleg csak a sajt intelligencinkban bzhattunk, ergo biztonsgi s teljestmnyproblmk sorozatt is hozhatta egy gondatlan, csak fligmeddig elvgzett eltvolts. De ez a helyzet - szerencsre - drasztikusan megvltozott a Server Manager-rel, ami a Windows Server 2008-ban debtlt, s tnyleg teljes szemlletvltozst hozott. Pr szban arrl, hogy elssorban, akr rgtn a telepts utn mi mindenre alkalmas: 1) Az aktulis szerver szerepkrk (roles) megtekintse illetve teleptse/eltvoltsa 2) Az aktulis szerver kpessgek (features) megtekintse illetve teleptse/eltvoltsa
~ 49 ~

3) Szerverllapot felmrs (mr a kezdlapon is), kritikus hibk beazonostsa, esemnynapl, device manager, diagnosztika, s persze a "troubleshooting" szakasz 4) Mindennapos zemeltetsi feladatok (szervizek, helyi tzfal, loklis felhasznlk, stb. kezelse) 5) A Disk Management MMC + a Windows Server Backup elrse
4.2
BRA J SOK MINDEN , EGY HELYEN
Az elz listbl igazbl az 1. s 2. pont az, ami rgtn s mellbevgan jdonsg lesz egy Windows 2003-as rendszergazdnak, gyhogy kezdjk a szerepkrkkel s a kpessgekkel! A szerepkr (Role) teht egy olyan jl definilt feladat egyttes, amit a szervernk ellthat a rendszernkben. De ennl lnyegesen lvezetesebb egy mlyen tisztelt kollgm, Petrnyi Jzsef defincija: A server role az tulajdonkppen egy alap szerverfunkci. Egy ptkocka. Pldul role a File Server funkci, a Print szolgltats vagy a Terminal Service (Tvoli hozzfrs). Ezeket a szerepkrket lehet aztn felcicomzni maty szalagokkal, cskos napernykkel szerepkr szolgltatsokkal. Nzznk is rgtn nhny pldt: a File Server szerepet felturbz szerepkr szolgltats lehet mondjuk a Distributed File System szolgltats vagy a File Service Resource Manager, vagy a Single Instance Service. Az els az elosztott fjltrols kpessgvel javtja a File Server szerepkrt, a msodik kvtt,
~ 50 ~

monitorozsi lehetsget s menedzsment felletet biztost, a harmadik pedig egy helysprols trolsi forma. Kicsit olyan ez, mint a rgi npi gygyszer, a vasalma. Ahhoz, hogy kell vastartalma legyen, beleszrtunk egy rozsds szget. Aztn beleszrtunk mg nhnyat. Ha elfogytak a szgek, szrhattunk bele cskapcsot is. A vgn mr gy nzett ki az alma, mint egy sndiszn: de ekkor mr elg magas lett a vastartalma, a szgek kihzkodsa utn el lehetett fogyasztani. (Ma persze mr vastablettt esznk helyette.)
http://technetklub.hu/blogs/winserver2008r2/archive/2010/08/12/Window s Server 2008-10-sz-237-nh-225-z-az-eg-233-sz-vil-225-g.aspx Valamennyi szerepkr-szolgltats tteles felsorolsa nagyon hossz volna, de azt azrt rdemes (kpes formban) ttekintennk, hogy milyen szerepkrk llnak rendelkezsnkre, immr az R2-ben, ismers lesz azrt bven.
4.3
BRA
T IZENHT
DARAB
Van persze egy msik halmazunk is (s ez a nagyobb szm, br a role serviceekkel egytt nyilvn nem), ez pedig a kpessgek. Ezek olyan rendszerkomponensek, amelyek nmagukban ltalban nem meghatroz mdon
~ 51 ~

befolysoljk a szervernknek a rendszerben betlttt szerept, tevkenysgt. jabb idzet jn, ugyanattl a szerztl: Vgl nzzk, mit rtnk feature alatt? Ht az extra mutatvnyokat. Ezek olyan szolgltatsok, esetleg szolgltatscsoportok, melyek extra funkcionalitst biztostanak a szervernknek. Ilyen lehet pldul a Bitlocker partcititkosts, a .NET3.0 keretrendszer, a Netbios telefonknyv, azaz WINS nvfelold szolgltats, vagy a Failover Cluster, mely klnbz erforrsok magas rendelkezsre llst biztostja. http://technetklub.hu/blogs/winserver2008r2/archive/2010/08/12/Window s Server 2008-10-sz-237-nh-225-z-az-eg-233-sz-vil-225-g.aspx
4.4
BRA
42
VAN , DE CSAK A FELE FRT IDE
s akkor foglaljuk ssze, egy kicsit ismt ms tollval keskedve: Mg egyszer: mi is az a role? Alapszolgltats. Mi a role service? Kiegszt szolgltats. s a feature? Extra szolgltats. Szolgltats szolgltats htn. De nem ez volt a kiindulsi alapunk is: szolgltatsok sszelaptolva? A klnbsg a rendezettsg. A funkcionlis csoportostsok. A fenti kategrik ugyanis nem csak a fejnkben lteznek, hanem valsgosan is: a Windows
~ 52 ~

Server 2008-ban nem szolgltatsokat teleptnk a j reg Add/Remove Windows Component mdszerrel, hanem szerepeket, szerepkr szolgltatsokat, kunsztokat tesznk fel a Server Manager-bl vagy a parancssorbl. Az absztrakci egy magasabb szintjn gondolkozunk a szolgltatsainkrl. A vge fel nzznk bele egy kicsit a motortrbe. Vajon mennyire lettek sztszedve a rgi, ismers szolgltatsok s mi alapjn lett eldntve, hogy meddig szeletelnek? (Szereposzt dvny, hehe.) A vlasz: CBS, azaz Component Based Services. Ez egy j architektra, mely a Vistban jelent meg - s termszetesen a Windows Server 2008-ban. Egszen a binrisokig lesva trkpeztk fel az egyes szolgltatsok alkotelemeit, a kztk lv fggsgeket - s ezekbl alaktottk ki azokat a lego kockkat komponenseket - melyek meghatroztk, hogy mi lesz role, mi lesz role service s mi lesz feature - illetve mik lesznek mr ezen a magasabb szinten a szolgltatsi fggsgek. De azrt mg mindig nem hagyom abba ezt a rszt, ugyanis tovbblpnk az ltalnossgtl az R2 felgyeleti keretrendszert alkot elemek konkrt megvalstsi formjig.
4.5
BRA
SZNES - SZAGOS FELGYELETI KERETRENDSZER
Lthat, hogy a Server Manager igazbl csak egy, a tetn lv komponens, a httrben s a mlyben szmos egyb alkotelem mkdik azrt, hogy tnyleg multifunkcis jelleg legyen a rendszergazdk kellktra. gy aztn a kvetkez rszekben kicsit megnzzk a felptmny rszeit, meg persze a tbbi szerszmot is de csak nhny kiemelkedt.
~ 53 ~
WINDOWS SERVER 2008 R2 4.2 A P OWERSHELL 2.0

LDSAI
"Ha egyetlen mondatban kellene megfogalmaznunk, hogy mi is a PowerShell amirl ez a knyv szl -, akkor azt mondhatnnk, hogy a PowerShell egy teljesen objektumorientlt, a .NET keretrendszerre pl parancsfeldolgozs szkript krnyezet, ami gykeresen j alapokra helyezi (s fogja helyezni) a Windows opercis rendszerekkel s kiszolgl-oldali alkalmazsokkal kapcsolatos felgyeleti feladataink elvgzst. [...] Ha egy mveletsort egyetlen gpen csak egyetlen egyszer kell vgrehajtanunk, akkor a grafikus fellet a logikus vlaszts, ebben az esetben a parancssor hasznlata, vagy a megfelel szkript megrsa csupn idignyes (br szrakoztat) hobbinak tekinthet. Egszen ms a helyzet azonban, ha az adott mveleteket minden nap el kellene vgeznnk (vagy esetleg 300 gpen kell minden nap elvgeznnk). [...] Aki ltja a jvt, az tudhatja, hogy a PowerShell mindent visz. Elbb-utbb mindenkinek ugyangy meg kell tanulnia, mint annak idejn a DOS-t egyszeren nincs nlkle let a Windows-vilgban." A bevezet rsz Sos Tibor MVP kollgm els Powershell (PS) knyvnek 34 beharangozjbl szrmazik, s nehz vele vitatkozni. A PS (kdnevn Monad) soksok v fejleszts utn eleinte mg csak az Exchange 2007 kiszolglban ksznt vissza, azta viszont feltartzhatatlanul halad, s mra gyakorlatilag szinte az sszes kiszolgl szoftver mellett, az opercis rendszereknl is teljes mrtkben jelen van. Az utbbiak esetn a totlis debtls az R2-vel kvetkezett el (PowerShell 2.0), amikor is az jabb modulok a felgyeleti eszkzk, a Server Manager s pl. a cmtrszolgltatsok terletn is teret nyert (j plda erre a 2.4 bra), mghozz tbbnyire teljes eszkztrral. Nzznk egy egyszer gyakorlati pldt, a Server Managerhez kapcsoldva, s felttelezve, hogy mr elindtottuk a PS-t: Az sszes kpessg listzsa, x-szel jellve, hogy valjban mi is van fent a rendszeren: import-module servermanager Get-WindowsFeature Csak azon kpessgek listzsa, amelyek fent vannak a rendszeren: Errl a hivatkozsrl minden anyag letlthet, tbbek kztt az azta megjelent 2.0-s knyv is: http://technetklub.hu/TechCenters/TechCenterPage.aspx?id=18
34
~ 54 ~
Get-WindowsFeature|where {$_.Installed -eq "true"} |fl Krdezzk meg, hogy a .Net-framework fent van-e? Get-WindowsFeature net-framework Ha nincs, rakjuk fel: Add-WindowsFeature net-framework No s van ms is, PS2-ben immr van tvvezrls is, azaz a Remoting, amivel szenzcis dolgokat is mvelhetnk, ktfajta modell szerint is: - Egy gprl soknak: parancsok, szkriptek kldse egy gprl tbb gp fel, akr a httrben is (a kapcsolatok limitlsa lehetsges) - Sok gprl egynek: Hosting modell, pl. egy kiszolgl vs. tbb zemeltet, akr eltr jogosultsg szerint is Nos, akkor nzznk nhny egyszer pldt: A tvoli R2 gprl krdezzk le a processzeket: Invoke-Command Computername srv1 Command {get-process} Kt session kialaktsa, majd jellemzik listzsa: $sessions = New-PSSession -computername srv1, srv2 $sessions | Fl
~ 55 ~

4.6
BRA
E GY
GPRL , KETTRE
De ne lljunk meg itt, krdezzk le a c betvel kezdd processzeket a kt gprl! ICM -session $sessions -command {get-process c*}
4.7
BRA
PROCESSZ ,
AZ EGYIK ,
A MSIK GPRL
s vgl teleptsk fel prhuzamosan a Windows Backup-ot mindkt gpre, majd nzzk meg, hogy sikerlt-e! Enter-PSSession -Id 2 import-module servermanager add-windowsfeature dhcp get-windowsfeature backup Get-PSSession | Remove-PSSession Nem semmi. A PS viszont lthatan egy programozsi nyelv, ebbl kvetkezen nem mindig s nem mindenki szmra egyszer hasznlni - elkpzettsg nlkl. Ezrt a Microsoft az R2-be tbb knnytst is tett a PS elnyeit kihasznlni szndkoz rendszergazdk szmra, ezek kzl az egyik a Server Manager Remoting (az elbb trgyalt PS Remoting segtsgvel), ami az RSAT hinyossgait igyekszik kikszblni, mg egy msik segtsg az Integrated Scripting Environment (ISE), ami egy grafikus fellet segdeszkz (telepthet kpessg) a PS teljes kr kihasznlshoz. A felmrsek szerint a Windows Server 2008 megismerse utn, a felgyelet tmakrben az 1. szm krs a rendszergazdk rszrl a tvoli Server Manager
~ 56 ~

kezels volt. Teljeslt is, az R2-ben. Tudniillik, a kt fejezettel elrbb lv RSAT-tal csak a komponensek felgyelett tudtuk elltni pl. egy Windows 7-rl, magt a Server Manager-t nem tudtuk betlteni. Ennek szerencsre vge, az j RSAT rsze a Server Manager konzol is (lthat is kakukktojsknt a 4.10-es brn). s csak egyetlen dolog kell az engedlyezshez: a Server Manager nyitlapjn a Configure Server Manager Remote Management pontra kattintva az elz bra jn fel, amiben egyetlen pipval ki is adhatjuk ezt az engedlyt.
4.6
BRA
C SAK
EGYETLEN PIPA
A rads az, hogy ez a PS funkci bvls kihasznlhat lett a Windows Server Core verzijn is, hiszen az R2-tl kezdve a Core alatt is van PS tmogats s .NET Framework (lsd ksbb). St, igazbl egy rendes MMC konzol mdjra, tbb kiszolgl Server Manager-t is beletlthetjk egyetlen konzolba, de csak gy, ha elindtunk egy res MMC-t, s kln-kln betltjk, majd elmentjk, mivel a gyri Server Manager-bl prhuzamosan nem megy.
~ 57 ~
4.7
BRA
M ULTI S ERVER M ANAGER
Ahogy korbban emltettem, a msik plda, az ISE egy tnyleges mank az amatr PS hasznlknak egy GUI, azaz egy grafikus fellet formjban. gy nz ki:
~ 58 ~
4.8
BRA
T ETSZETS
MANK , N SZERETEM IS HASZNLNI
Termszetesen itt is mkdik a Remoting, azaz tvoli hasznlatra is alkalmas, ltszik is a kpen, hogy ppen tl vagyok az elz kt szerverre egyszerre trtn Windows Server Backup kpessg teleptsn, s mr nyitottam is egyszerbben egy j Remote Shell panelt. Pont ez a lnyeg az ISE hasznlatnl, az egyszersg s a grafikus fellet lehetsgeinek a kihasznlsa. Ismerkedjnk meg vele, prblgassuk, megri.
4.3 BPA
A BPA jelentse a Best Practice Analyzer, s szerencsre j rgta ltezik ez az ingyenesen letlthet eszkz a Microsoft szervereihez, eleinte csak Sharepoint-hoz s Exchange-hez, de aztn pl. az ISA, SQL, stb. kiszolglkhoz is megjelentek sorra a megfelel verzik. s most mr az opercis rendszerekhez is, hiszen az R2 ta immr nem egy kln letlthet vltozatban, hanem a Server Manager-be beptve is tallkozhatunk a BPA tudsval. Szemly szerint nagyon szeretem ezeket a segdeszkzket, mert egyrszt sokszor tudom ajnlani, ha krdeznek, mivel ha kezdk vagyunk (mindenki gy indul), akkor a tippek, illetve a konfigban per pillanat lv hibk vagy hinyossgok listzsa remek terep a tanulshoz (arrl nem is beszlve, hogy problmkat oldunk meg ).
~ 59 ~

Msrszt sokat segtenek az olyan borzasztan elbizakodott szakembereknek is, mint pldul n. Mirt is? Egyszer: ki emlkszik arra, hogy pl. az vekkel ezeltt belltott rendszerben belltottam-e 35 a hlzati krtyk ktst a DNS-ben? A BPA majd megmondja. Ki emlkszik arra, hogy vajon minden ISA Server alatti WS03 SP2-ben lelttem a Scalable Networking Pack-et a megfelel registry varilssal? Az ISA BPA majd megmondja. Honnan tudom meg, hogy bizonyos Public Foldereken nincs rkld NTFS jogosultsg (mert 342 ve egyszer tlltottam, egy rlt problmamegold jszaka sorn), s ezrt mondjuk az E2K10 migrcival baj lesz? Az Exchange BPA megmondja. satbbi, satbbi, satbbi. Szval, ha bvl a BPA kre, n rlk. Mrpedig bvl az R2 RTM kiadsban, nem is kicsit, nzzk csak meg konkrtan, melyekkel is? - Active Directory Certificate Services - Active Directory Domain Services - DNS Server - Web Server (IIS) - Remote Desktop Services De ksbb is rkeztek frisstsek a kvetkez szerepkrkhz36: - Hyper-V - NPAS - AD RMS - Application Server - File Services (DFS/DFS-R is) - DHCP - WSUS De mit is csinl a BPA? sszehasonlt. Egy idelis, optimlis konfigurcit ahhoz, amit mi kalapltunk ssze. Ezenkvl felismer mg j pr jelensget a termk mkdsvel kapcsolatban, s a kzlnivaljt hrom kategriba osztva hibk, figyelmeztetsek, vagy egyszeren csak informcis csomagok formjban s sszestve meg is jelenti. A hasznlata pofonegyszer, megkeressk a Server Managerben az adott szerepkr, pl. a DNS szerver nyitlapjt, majd elindtjuk a BPA-t a jobb oldali panelen tallhat Scan this Role paranccsal. A vizsglat utn jobb esetben rlnk, rosszabb esetben piros keresztes hibkat s srga hromszges figyelmeztetseket kapunk egy listban, magyarzattal, tippekkel, amelyek alapjn indulhat a problma megoldsa.
Valszn azrt, hogy igen, mert ez mr kiderlt volna , de pldnak j lesz. http://blogs.technet.com/b/askds/archive/2010/04/28/win2008-r2-bpaupdates-released-for-april-2010-wave.aspx
35 36
~ 60 ~
4.9
BRA
V AN
MIT JAVTANI 37
Nem rt, ha megengedjk a Windows Update-en keresztli frisstst, ugyanis ez olyan eszkz, amely tudsanyagt a Microsoft grete alapjn rendszeresen frisstik (ahogy lthatjuk is az elz oldalon) a berkez problmk s hibajelensgek, lersok apropjn. s azrt ne feledjk: a BPA csak megmutatja, meg nem oldja a problmt!
4.4 A Z RSAT
Remote Server Administration Tool a becsletes neve ennek az eszkznek, ami a Windows Server 2008-cal egytt szletett, s a korbbi Windows Server 2003 Administrative Tools Pack (Adminpak.msi) csomagot volt hivatott levltani (a Vista megjelensekor sajnos mg nem is volt ksz, ergo az Adminpak.msi-vel kellett trkkznnk, sokat), no s persze megjtani. A cl az volt, hogy a rendszergazdk ne csak a szerver konzolon vagy RDP-vel legyenek kpesek elrni a szerveren fut szerepkrk s kpessgek konfigurcis lehetsgt, hanem a sajt munkallomsukrl is, ahol valsznleg mostansg egy Windows 7 fut.38 39 Ha az utbbihoz tartoz RSAT verzit40 hasznljuk s egy R2-es kiszolglt hajtunk felgyelni, akkor a kvetkez szerepkrket (s a rszeiket is) lesznk kpesek a
37
Mieltt sz rn a hz elejt, jelzem, hogy direkt kreltam problmkat a DNS-ben
38
Persze az egyik szerverrl a msikat az RSAT-tal elrni knnyebb, hiszen be van ptve a kpessgek kz, de nyilvn nem ez a tipikus hasznlati md. 39 De nem is atipikus. Az Exchange szerver teleptsnek pldul ersen javasolt elfelttele az RSAT, ugyanis ezen kereszl lehet az AD-t is matyizni. (A lektor megjegyzse). 40 Remote Server Administration Tools for Windows 7 with Service Pack 1 (SP1): http://www.microsoft.com/download/en/details.aspx?id=7887
~ 61 ~

munkallomsrl felgyelni (a Server Manager-t mr emltettem, ezrt nincs is a listban): - Active Directory Certificate Services (AD CS) Tools - Active Directory Domain Services (AD DS) Tools - Active Directory Lightweight Directory Services (AD LDS) Tools - DHCP Server Tools - DNS Server Tools - File Services Tools - Hyper-V Tools - Remote Desktop Services Tools Kpessgek esetn pedig a kvetkez lehetsgeink vannak: - Bitlocker AD Password Recovery Viewer - Failover Clustering Tools - Group Policy Management Tools - Network Load Balancing Tools - SMTP Server Tools - Storage Explorer Tools - Storage Manager for SANs Tools - Windows System Resource Manager Tools
4.10
BRA
A Z RSAT
CSOMAG RSZEI , A PIPA KAKUKKTOJS
A letlts utn (figyeljnk oda, mert kln vltozatok vannak a Visthoz s a Windows 7-hez, st utbbi esetn az SP1-hez is, plusz x86/x64 megklnbztets is van) egy
~ 62 ~

next-next finish mdszerrel feltelepthetjk a gpnkre az RSAT-ot. De ettl hasznlni mg nem fogjuk tudni, egy msodik krben kln kell bejellni a klnbz felgyeleti komponenseket. Ehhez keressk meg a Programs and features elemet a Vezrlpulton, majd jhet a Turn Windows features on or off., s innentl mr csak vlasztanunk kell.
4.5 WS-M ANAGEMENT

A WS-Management a Microsoft s szmos ms IT-nagyvllalat (pl. IBM, Sun, Intel, AMD, Dell stb.) ltal kzsen kifejlesztett, SOAP szabvnyra pl rendszerfelgyeleti technolgia, mely lehetv teszi, hogy a felgyelt eszkzk (legyenek azok szoftverek, vagy hardverek) egysges protokollon keresztl egyarnt elrhetk s kezelhetk legyenek. A Windows Remote Management (WinRM) pedig a WS-Management szabvny Microsoft ltal megvalstott implementcija, mely tvoli szmtgpek felgyelett s menedzselst szolglja az ismert webprotokollokon (HTTP/S), tbbfle hitelestsi mdszerrel (Basic, Digest, Kerberos) s tzfalbart mdon. Mivel az adatgyjts az imnt emltett webprotokollokon keresztl zajlik, az egsz mvelet egyszer webszolgltatsknt kezelhet, valamint zkkenmentesen egyttmkdik a mr meglv webes szolgltatsokkal, pldul az IIS-sel. Br a WinRM nem fgg az IIS-tl, ha mindkt szolgltats aktv, kzs portokon (80, 443) kommuniklnak a hlzaton. A WinRM lefoglalja a /wsman URL-eltagot, gy az IIS-t zemeltet rendszergazdknak figyelnik kell r, hogy a szmtgprl publiklt egyb webes erforrsok (weblapok) ne hasznljk ezt az eltagot. A WinRM konfigurlshoz hasznljuk a winrm quickconfig parancsot, amely elindtja s automatikus indtsra teszi a WinRM-szolgltatst, ltrehozza a tzfal kivtelszablyt, valamint egy HTTP/S listener-t, amelyen figyeli a berkez krsket. Az opercis rendszeren mindezt a rendszergazdai parancssorbl (jobb gomb a parancssor ikonon s Run as administrator) indthatjuk el. A WinRM alaprtelmezs szerint a Kerberos hitelestst hasznlja a 80-as HTTP-porton, errl s tbb egyb, a szolgltatst rint paramterrl meggyzdhetnk a winrm get winrm/config/service paranccsal.
~ 63 ~
4.11
BRA
A W IN RM
SZOLGLTATS LLAPOTNAK LEKRDEZ SE
Ha sikeresen belltottuk a WinRM szolgltatst a tvoli gpen, akkor lehetsgnk lesz a WinRS-sel (Windows Remote Shell) kapcsoldni ehhez a gphez. gy brmilyen parancssori vagy szkript mveletet elvgezhetnk (figyeljk meg a kvetkez brt), mindssze a tvoli gp host nevt, IP-cmt vagy WinRM-aliast kell ismernnk. A WinRS (Windows Remote Shell) hasznlatrl bvebb informcit a parancs sgjban olvashatunk. (winrs -?)
4.12
BRA
A W IN RS- SEL
KPESEK LESZNK A TVOLI GPEN PARANCSOKAT FUTTATNI
~ 64 ~
4.13
BRA
A S ERVER M ANAGER R EMOTING
IS
W IN RM- MEL
MEGY , DE PERSZE
W INDOWS S ERVER 2003- RA
NEM FOG
SIKERLNI
E fejezet lezrsakpp jeleznm, hogy a felgyeleti eszkzk krbe termszetesen beletartoznak olyan komponensek is, mint a Feladatkezel, az Esemnynapl, a Feladattemez vagy ppen a Teljestmny figyel s mg sokan msok. Mivel ezekben az eszkzkben minimlis vagy ppen zr vltozs van, s mivel ezeket a mr emlegetett elzmny knyvben rszletesen kitrgyaltuk a Windows Vista kapcsn, ezrt a felesleges oldalszaports helyett, elg lesz a linket megosztani a kedves Olvasval: Rendszerfelgyelet rendszergazdknak http://www.microsoft.com/hun/technet/article/?id=f0c8cf69-ae4c-4b1bb333-9feeda419509
~ 65 ~
5 K ISZOLGL
5.1 F JL -
ALAPSZOLGLTATSOK
S NYOMTATSZOLGLTA T SOK
5.1.1 FSRM A File Server Resource Manager (FSRM) MMC nem 100%-osan jdonsg, st mg a Windows Server 2008-ban sem az (a Windows Server 2003 R2-bl val), de sokszor rzem gy, mintha nem is ltezne, mintha nem is tudnnak rla az zemeltetk. Pedig figyelemre mlt, radsul van R2-es jdonsgunk is, gyhogy 1-2 oldalt megr most neknk is. Ngy f rsze van: - Storage reports management: Jelentseket generl az ltalunk kivlasztott llomnyok illetve mappk hasznlatrl. Rengeteg mintt adhatunk meg a jelents kritriumaknt, pl. lehetsges llomnytpusok vagy felhasznlk vagy llomnycsoportok alapjn szrni vagy ppen a kt vagy tbb pldnyban ltez llomnyokat is kiszrhetjk, de ltezik minta a nagymret vagy a legtbbet/legkevesebbet hasznlt llomnyok listzsra, illetve akr a kvta hasznlat nyomon kvetsre is. Nagyon rszletes, tovbbi finomtsi lehetsgeink is vannak egy-egy kategrin bell. A jelentst krhetjk emailben - termszetesen idzthetjk is -, de van lehetsgnk alaprtelmezsben DHTML, vagy HTML, XML, DSV illetve sima szveg formban - menteni is. - Quota management: A mr a Windows 2000 Server ta hasznlhat (?) kvta menedzser drasztikus vltozsokon ment keresztl. Nincs tbb a csak lemezre vonatkoz korlt, akr mappnknt klnbz korltokat adhatunk meg. Nincs tbb a logika mret alapjn trtn szmols, hanem a lemezhasznlat szmt, s nem kell tbb kizrlagosan az Esemnynaplt figyelgetnnk, az FSRM pl. e-mailben is rtesthet, s kpes adott szkriptet vagy parancsokat futtatni illetve jelentseket gyrtani, ha "esemny" van. Ktfajta kvtt gyrthatunk, az n. "hard" kvtt, amely megtiltja a felhasznlknak s az alkalmazsoknak a limiten felli lemezhasznlatot, illetve a "soft" kvtt is, amely nem ilyen "kkemny", viszont rtestst ekkor is kaphatunk a tllpsrl. Kellemes lehetsg a kvta sablonok hasznlata, melyeket egyszer kell alaposan megtervezni, s mindenre kiterjeden elkszteni, s aztn ad hoc alapon alkalmazni. - File screening management: A harmadik elem ebben a csoportban a "File screening", azaz egyfajta szrsi lehetsg, ti. megtiltja bizonyos llomnytpusok (pl. .mp3, .avi, stb.) mentst az adott lemezre/mappba. Rszletesen konfigurlhat, lteznek hasznos sablonok s elre gyrtott llomnytpus csoportok, de tetszlegesen bvthet is. A kvta menedzserhez hasonlan itt is megklnbztetnk ktfajta akcitpust: az "Active" tilt, a "Passive" csak rtest s van kivtel belltsi lehetsg.
~ 66 ~
KISZOLGL ALAPSZOLGLTATSOK
5.1
BRA
KORDBAN TARTOTT
H:
MEGHAJT
Classification management: Csak az R2-ben ltezik (ellenben minden kiadsban), s rszben egyfajta megjell vagy inkbb besorol (classification) eszkzrl van, amellyel a fjlokat klnbz tulajdonsgaik alapjn kpesek lesznk logikailag csoportostani, majd mveleteket vgezni velk (File Management Tasks). Pldul egy nagy-nagy hlzati megosztsrl a rendkvl ritkn hasznlt fjljainkat elklnthetjk egy msik, lass elrs trolsi helyre, vagy az rzkeny fjlokat (mi mondjuk meg pl. kulcsszavakkal, hogy mi szmt szenzitvnek) eltvoltjuk a megosztsbl, vagy akr vzjeless is tehetnk automatikusan dokumentumokat. Ha pedig az AD Rights Management Server-rel (RMS) kombinljuk, akkor az automatikusan azonostott s osztlyozott rzkeny adataink gy is biztonsgban lesznek, ha klnbz formkban (msols, e-mail csatols) elhagyjk a szervezetnk informatikai rendszert.
5.1.2 ABE A Windows Server 2008-ban vgre a grafikus felleten is megjelent Access Based Enumeration. Ismers? Lehet, mivel volt mr ilyen a Windows 2003-ban is, anno az SP1-gyel rkezett, de csak parancssorbl rhettk el, s kiss fraszt mdon. Szval eme durva nev, de finom mdszert takar megolds clja az, hogy akinek nincs joga egy hlzati megosztshoz, az ne is lssa a tartalmt.
~ 67 ~

Ez rgta elvrt opci, st mondhatnnk teljesen termszetes igny. Persze lehetett trkkzni a mappa$-al s a testre (userre) szabott felcsatolssal, de ez fraszt s kvethetetlen megoldsnak bizonyult mr a mlt szzadban is.
5.3
BRA
A Z ABE
LEGYEN VELNK
De ennek vge, indtsuk el a sok ms szempontbl is rdekes "Share and Storage Management" MMC-t az Administrative Tools-bl, s ha varzslunk egy megosztst akkor egy adott lpsben az "Advanced" gomb alatt megtalljuk a GUI-n is ezt a lehetsget. Persze nemcsak a varzslban llthatjuk ezt be, hanem utlag is, st alaprtelmezs szerint nem is minden esetben rvnyes, azaz ha a lenti listban szerepl mdszerekkel kreltunk egy megosztst, akkor kzzel kell utlag belltani: - Az Advanced Sharing a Windows Explorer-ben - Ha a net share parancsot hasznljuk - Ha ktetek megosztsrl van sz - Az admin megosztsok esetn (ktetek vagy mappk, gymint C$ vagy ADMIN$) 5.1.3 DFS S DFS-R J DO N S G O K A DFS s a DFS-R tmakr szintn nem teljesen j, azaz a Windows Server 2003 R2ben trtntek az elskrs s igazn nagy vltozsok (pl. az MMC bvtmnyek
~ 68 ~
vltozsai, vagy eleve a teljesen j replikcis megolds, az j tmrtsi algoritmussal41). De azrt az jabb opercis rendszereknek sem kell szgyenkezni, vannak jdonsgok szp szmmal. Ezek kzl kiemelnk most egy prat, elszr olyanokat, amelyek a Windows Server 2008-cal rkeztek. Content Freshness A DFS-R tartalmaz egy j, tartalom frisst megoldst, ami megtiltja a kiszolglnak, hogy bizonyos - offline llapotban tlttt - id utn, vadul elkezdje szinkronizlni automatikusan - ha majd online llapotba kerl. Ez azrt fontos, mert a DFS-R nagyjbl ugyangy mkdik, ahogy az AD replikci, azaz ez is JET adatbzis, s multimaster replikcit hasznl, s a trls itt sem fizikai elszr, hanem logikai, azaz a jl ismert srkves mdszer, ami 60 nap utn trl csak - fizikailag is. s itt jn a problma: ha a DFS-R szerver tbb mint 60 napig nem tud repliklni, viszont utna majd egyszer csak igen, akkor a fjlok rg trlt pldnyainak a srkve jra feltnik, s persze replikldik is, adott esetben konfliktusba kerlve a meglvekkel42. A Content Freshness vdelem nem alaprtelmezett, hanem bellthat, mghozz egyesvel, minden DFS-R szerveren az albbi paranccsal. wmic.exe /namespace:\\root\microsoftdfs path DfsrMachineConfig set MaxOfflineTimeInDays=60 s amikor majd a CF l, akkor a rgi-j szerveren letilthatjuk vagy trlhetjk a kapcsolatokat, lellthatjuk a DSF-R szervizt, az idztst rvidre zrhatjuk vagy akr kikapcsolva is tarthatjuk a gpet - ergo lesz idnk korriglni. A vratlan lellsok kezelse Az NTFS fjlrendszerben bekvetkez vltozsok az esetek tbbsgben elszr memriban helyezkednek el, s csak egy kis id utn rdnak ki a merevlemezre. A DFS-R replikci adatbzisa szempontjbl viszont a vltozs mr a diszkre rs eltt bekvetkezik. A kztes idben bekvetkez brmilyen katasztrfa, legyen az vratlan szerverlells vagy szablytalan volume-dismount, a DFS-R adatbzis inkonzisztencijhoz vezethet. Mg a Windows Server 2003 R2 esetn ez a komplett DFS-R adatbzis jraptsvel s gy rengeteg idvel jrt, az j vltozat ezt az adatbzis jraptse nlkl, azaz sokkal gyorsabban intzi el. Propagation report Remote Differential Compression (RDC): http://technet.microsoft.com/en-us/library/cc781091%28WS.10%29.aspx 42 Ez az AD-nl az n. lingering object szituci.
41
~ 69 ~

A DFS Management MMC tartalmazza egy j tpus diagnosztikai jelents krst ezzel a nvvel. Ha ezt vlasztjuk, akkor egy olyan jelentst hozhatunk ltre, ami egy terjesztsi teszt (ami igen fontos dolog, fkpp az elejn) replikci llapott kveti. Replicate now Az azonnali, azaz a kijellt clterletek kztt 43 fellbrlhat idzts repliklst vgezhetjk el ezzel a paranccsal, gy, hogy egyben a kvnt svszlessget is varilhatjuk. Kedvelem ezt az opcit, a gyakorlatban igen hasznos.
5.4
BRA
C SAK
MOST , CSAK ITT
SYSVOL replikci a DFS-R segtsgvel Amikor a DFS-R megjelent a Windows Server 2003 R2-ben, akkor mr csak egyetlen krds maradt. Kidobjuk-e az FRS-t? Nos, sajnos nem dobhattuk ki ezt a kvletet, mert egy fontos dolga megmaradt, ez pedig a tartomnyvezrlk "SYSVOL" megosztsainak replikcija. De most mr, a Windows Server 2008-ban akr ezt a feladatot is truhzhatjuk a DFS-R-re, br nem ktelez. Egy biztos, az ttrst igen krlmnyesen s lpsrllpsre kell megtennnk, mert br lehet, hogy nagyon hajtjuk s tnyleg remek lenne az elnyeit kihasznlni, de azrt pl. a rgi tartomnyvezrlket (Windows 2000/2003) egsz jl ki tudnnk akasztani az j replikci mdszerrel.
43
A SYSVOL replikcinl - lsd kvetkez bekezds - nem mkdik.
~ 70 ~
Ergo az els lps a tartomnyi mkdsi szintjnek emelse, ez gyis csak akkor megy, ha mr rgi DC-ink nem lesznek. Ezutn jhet a DFS-R install minden DC-re, majd egy parancssori segdeszkzre lesz szksg, a dfsrmig.exe-re, amivel a 4 klnbz sttuszt fogjuk tugorni, pontosabban hrmat, mert alapbl a 0. szinten vagyunk44. A migrcis llapotok a kvetkezek: 0 START 1 PREPARED 2 REDIRECTED 3 ELIMINATED
5.5
BRA
ELS SZINTRE PRBLUNK FELKAPASZKODNI , DE
3 DC- BL 2
MG NEM
OK
A tovbbi szksges lpsek: - A dfsrmig /setglobalstate 1 utasts, minek hatsra egyet ugrunk, s ekzben a DFS-R kszt magnak egy msolatot a SYSVOL mapprl, majd egy msik DC DFS-R szervizvel megprbl egy kezd replikcit vgrehajtani. Ha ez sikerlt az sszes tartomnyvezrln, akkor mehetnk tovbb. Ellenrizni a "dfsrmig /getmigrationstate" paranccsal tudjuk ezt. - Most jn a dfsrmig /setglobalstate 2", ha OK, akkor erre vlaszul prhuzamosan elkezd majd mkdni a replikci, ami szintn lekrdezhet, ugyangy mint az elbb. Ami fontos, innen mg mindig visszatrhetnk az FRS-re, de ez az utols esly. - Az utols - rtelemszeren - a dfsrmig /setglobalstate 3 parancs lesz, ennek hatsra a DFS-R trli az eredeti SYSVOL-t, s az jjal megy tovbb. Ellenrizzk, s ha minden klappol, akkor majdnem kszen is vagyunk, egy Csak vatosan, mert a hasznlata minden tekintetben globlis, azaz brmelyik DCn alkalmazzuk, az az egsz tartomnyt egyformn rint vltoztatst jelent.
44
~ 71 ~

dolgunk van mg: az FRS-sel tudatni kell, hogy ennyi volt, nyugdj. Ez pldul megoldhat a szerviz lelltsval, s kzi vagy letiltott indtsra trtn belltsval45. Ha viszont teljes megoldst akarunk, akkor a stoppolt FRS mellett kitrlhetjk a JET adatbzist a %systemroot%ntfrsjet all, gy az jraindul FRS ltrehoz magnak egy teljesen j adatbzist, amibe mr nem is akarja majd a SYSVOL-t belerepliklni.
5.6
BRA
EZ
MR EGY MODERN TARTOMNY
Termszetesen a Server Core-ral is mkdik mindez, a kpen lthat BookDC2 pl. ilyen. No s mg annyit szeretnk hozzfzni mindehhez, hogy a DFS-R SYSVOL replikcit nem tudjuk olyan rszletesen konfigurlni a DFS Management MMC-ben, mint a tbbi replikcis csoportot, de ez valahol logikus is, rljnk inkbb szpen csendben a lehetsgnek ! RODC tmogats (lsd 6. fejezet) Miutn a DFS replikciba a tartomnyvezrlk SYSVOL megosztsa is belevehet, ebbl az RODC sem maradhat ki. Egy RODC esetn viszont meg kell felelni az Active Directory-ban erre vonatkoz szablynak, miszerint az RODC-rl nem szrmazhat semmifle vltozs vissza a tbbi, rhat-olvashat adatbzis DC-re, de ez nem is gond, mkdik. Az R2 fjlszerver szerepkrnek is fontos s megbecslt rsze a DFS/R, ezrt aztn ebbe a verziba is kerlt nhny jdonsg. ABE tmogats
45
Br gy vettem szre, hogy az R2-ben ezt megoldja automatikusan.
~ 72 ~
Az ABE-t az elz fejezetben mr rszleteztem, gy most elg csak annyit megjegyezni,hogy a DFS nvtereknl az R2-ben szintn engedlyezhetjk a DFS Management konzollal vagy akr a Dfsutil.exe-vel, a parancssorbl. De, mindez csak akkor mkdik majd, ha az sszes DFS szervernk Windows Server 2008 vagy R2. Csak olvashat repliklt mappk Van olyan lehetsgnk is az R2 DFS-R alatt, hogy egy replikcis csoporttagot csak olvashatnak jellnk meg, azaz gy megtilthatjuk a felhasznlknak, hogy az adott mappa tartalmt mdosthassk. Persze ezt eddig is megtehettk, de csak manulisan, az NTFS jogok konfigurlsval, de gy mg egyszerbb, igaz kicsit nagyobb terhelst kap emiatt a DFS szerver. A RODC-nek csak egy read-only SYSVOL jr RODC tmogats mr eggyel korbban is volt, m az R2-ben ez tovbb bvlt, mivel innentl a RODC SYSVOL mappja egy csak olvashat repliklt mappv alakult t. Ez az igazi megolds, mert gy nem lehet ebben a mappban sem vltozs, csak fellrl indtva. Failover cluster tmogats Az R2-es DFS-R megteremti a lehetsget arra, hogy egy failover cluster is tagja legyen egy replikcis csoportnak, azaz pl. a clusterezett fjl megosztsok ezutn repliklhatak lesznek. A korbbi verziknl ez az egyttmkds nem volt lehetsges, azaz a szolgltats nem kltztt t egy msik node-ra, ha az adott tagon futott. 5.1.4 VHD K EZ EL S , VHD B O O T Ez a szakasz viszont teljesen j megoldsokat takar, s a msodik rsz pldul elg megdbbent jdonsg is egyben. Az els nem annyira, ugyanis a VHD kezels a Disk Management MMC-ben kezddik, ahol (most csak az R2-rl van sz 46 ) innentl kapunk egy .vhd ksztsi illetve felcsatolsi lehetsget.
46
De mindez a Windows 7-re is igaz azrt.
~ 73 ~
5.7
BRA
V AN C REATE
A TTACH ,
S PERSZE
C REATE
AND
A TTACH
IS
Az .vhd ksztsnl vlaszthatunk, hogy mekkora s hogy milyen tpus legyen, ha pedig van mr egy vhd. fjlunk (mert pl. egy Hyper-V all kiszedtnk egyet), akkor csak be kell tallznunk, mris egy j ktetknt ltjuk majd. A msodik dolog viszont ennl lnyegesen bonyolultabb. Tmren: ltrehozhatunk egy multi-boot-os rendszert gy, hogy a msodik, harmadik, stb. opercis rendszer a fizikai gpnkn egy .vhd fjl formjban ltezik majd mindsszesen. Elkpeszt, nem? Nos, a kvetkez folyamat lpseiben azt mutatom meg, hogy pl. egy R2 al hogyan tesznk be egy Windows 7 OS-t. Nem annyira letszer plda, de most nem is ez a lnyeg, hanem a lehetsg. Nos, a konfigurls lpsei is gy kezddnek, mint ahogy az elz kpen ltszik ti. elszr le kell gyrtanunk egy .vhd fjlt (ez lesz az j OS diszkje, gyhogy csak okosan a mrett) valahov a gpnkre helyben, azaz a HDD-nk valamelyik partcijra. Majd ezek utn csatoljuk fel, s formzzuk meg NTFS-re, s adjunk neki egy betjelet, mondjuk a plda kedvrt a V:-t!
~ 74 ~
5.8
BRA
C SAK
EGY KLNBSG VAN , A
D ISK 1
IKONJA ZLDESKK SZN
A msodik lpscsokor arrl szl, hogy a Windows 7-es telept image-et r kell gygytani erre a .vhd fjlra, azaz ez olyan lesz, mintha egy fizikai gpnl betoltuk volna a DVD-t, s a msols fzist is megtettk volna. Az ImageX.exe-re van szksgnk (ez a WAIK rsze, ami ltszik is az elrsi tbl) illetve az install.wim-re (ez a W7 DVD-n lesz) s a kvetkez parancsra: cd /d "c:\program files\Windows AIK\tools\amd64\" imagex /apply <full path to install.wim> 1 V:\ Ez beletelik egy kis idbe, de ha ksz, akkor bootolhatv kell tennnk az j ktetnket a BCDBoot paranccsal:: cd c:\windows\system32 bcdboot v:\windows Ezutn vlasszuk le a diszket a Disk Management MMC-ben, vagy egybknt a DiskPart-ot is hasznlhatjuk erre, hiszen fel van r ksztve: diskpart select vdisk file=c:\temp\w7.vhd detach vdisk exit
~ 75 ~

Ezutn egy jraindts jn, s aztn meg fogunk dbbenni, megjelenik a boot men, s ha a Windows 7-es rszt indtjuk, akkor egy Windows 7 telepts kezddik, pontosabban folytatdik. Ha viszont ksz lesz, akkor egy teljes rtk j opercis rendszernk lesz, ami viszont csak egyetlen .vhd fjl egy msik opercis rendszerben . 5.1.5 N YO M T A T S ZO L G L TA T S O K A hlzati nyomtatk kezelse fontos s alapveten szksges gyakorlatilag minden hlzatban, pp ezrt muszj, hogy jl megismerjk s jl ki is hasznljuk a nyomtatkezelst tmogat szolgltatsokat. Nyomtatk biztonsgos s praktikus hasznlata, valamint migrcija, a printszerverek s a felgyeleti feladatok kzpontostsa, a nyomtatsi sorok korrekt kezelse, illetve a hlzati nyomtatk automatikus teleptse a Csoporthzirend segtsgvel - mind-mind megoldhat, s a mr ismert megoldsoknl szinte minden terleten vannak jdonsgok is. Nyomtattelepts a Csoporthzirendbl A Print Manager Console (PMC) teleptse (Server Manager > Print Services47 > Print Server) nlkl is installlhatunk s hasznlhatunk hlzati nyomtatkat, de amit ezzel lesznk kpesek mvelni, az egy msik kategria. Ha PMC-ben mr bepakoltunk egy hlzati nyomtatt (pl. SNMP-vel automatikusan megtallva), akkor a helyi menjben a Deploy with Group Policy pontot kivlasztva egy GPO-hoz rendelhetjk hozz, ktfle mdon: - User: ekkor azok a felhasznlk, akikre vonatkozik majd a GPO, mindig megkapjk a printert, akrmelyik tartomnyi gpen lpnek be, gyakorlatilag kveti ket az adott printer minden gpre. - Computer: az adott szmtgpeken mindig elrhet lesz a printer, brmelyik felhasznl szmra, aki belp. Aki sok printert felgyel, ezrt hls lesz, br aki sok printert felgyel most is, az tudja, hogy ez sem teljesen jdonsg, hiszen a Windows Server 2003 R2-ben ez a mdszer mr mkdtt. Igaz, sokkal krlmnyesebben, meg kellett keresnnk egy PushPrinterConnections.exe nev apr segdprogramot a PMC teleptse utn, majd az adott GPO-ba (ha a felhasznlrl volt sz, akkor a logon szkriptbe, ha a szmtgpekrl, akkor a startup szkriptbe) bele kellett tenni egy hivatkozst, illetve az adott GPO-ba ezt a fjlt bele is kellett msolni.
47
Csak jelzem, hogy a Windows Server 2008-ban hvjk gy.
~ 76 ~
5.9
BRA
A PMC
EGYTTMKDIK AZ
AD- VAL -
A LEGNAGYOBB RMNKRE
Macers volt, de mkdtt igen szpen, viszont erre az egsz knldsra ma mr nincs szksg, ha minimum egy Vista vagy Windows Server 2008 gprl van sz, ergo elg csak a hozzrendelst legyrtani, s az ezek utn a GPMC-ben megjelen printer GPO-kat a kvnt felhasznlkra/szmtgpekre rirnytani. Fontos az, hogy ehhez a mdszerhez az AD smjnak minimum Windows Server 2003 R2-es vagy Windows Server 2008-asnak kell lennie, de ez mr nem is annyira fj dolog, igazbl n is csak ktelessgbl emltettem meg. A Windows Server 2008 R2-ben ez a szerepkr j nevet kapott (Print and Document Services) s tbbek kztt kibvlt olyan nagyobb mutatvnyokkal, mint a hlzati szkennerek hasznlata (Distributed Scan Server service role, amelyhez van egy dediklt MMC is) illetve 1-2 tovbbi extrval is. A printer migrcis lehetsgek bvlse Ha sok hlzati printernk van, s gy sok-sok nyomtatsi sor s sok-sok meghajt program s esetleg kltzik a szerver, akkor a migrci valamilyen automata eszkz nlkl borzalmas rmlomm vlik. Szerencsre ehhez azrt mindig is volt valamilyen eszkz, pl. a Windows Server 2003-nl ez volt a Print Migrator 3.1-es verzija, de tovbblptnk s a Windows Server 2008-ban egy j eszkznk lett erre a feladatra, st kett is. Az egyik a PMC-bl indthat varzsl, a msik pedig egy parancssori eszkz, a Printbrm.exe.
~ 77 ~
Ezekkel minden gond nlkl lehetsges akr tbb szz, tbb ezer printer adatainak mentse s visszalltsa (csak R2), exportja s importja, belertve a nyomtatsi sorokat, a belltsokat, a print processzorokat s a portokat is, st egyb a printer driver izolcis belltsokat is migrlhatjuk, vagy pl. mentsbl vissza is tlthetjk a nyomtatsi sorok biztonsgi belltsait (az utbbi kt dolog szintn csak az R2-re vonatkozik).
5.10
BRA
MIGRCI VGN MG EXTRA DOLGOKAT IS BE LLTHATUNK
Printer driver isolation Ha sosem volt mg printer driver fagys a nyomtatszervereden, akkor ugord t ezt a rszt! De inkbb mgse ! Az R2 eltt ha egy brmilyen okbl problms nyomtat meghajt szoftver48 esetleg sztfagyott, akkor minden valsznsg szerint kiakasztotta az egsz printer spooler processzt, s gy az egsz nyomtatsi alrendszert, teht a mindenki egyrt elv szpen mkdtt. Az R2-ben viszont a drivereket akr egyesvel is elvlaszthatjuk a spooler processztl, gy cskkentve a globlis problmkat. A kivitelezs rm egyszer, a kpen lthat mdon a PMC-ben elrhet. Figyelem, az alaprtelmezs nem az izollt md!
Szerintem mindenki tudja, hogy tbbek kztt - mely nyomtatkat gyrt cg kszt fantasztikus printereket - borzalmas driverekkel
48
~ 78 ~
5.10
BRA
A KR
IZOLLHATUNK IS
Location-aware printing Taln helyzetrzkeny nyomtats-nak fordthat a legjobban ez a szolgltats, amit a lehet hogy ismernk is Windows 7-bl. De az R2-ben az alaprtelmezett bellts is ez, szval a laptop felhasznlk akr minden hlzaton, amelyhez csatlakoznak, ms s ms printert kaphatnak meg a teleptettekbl alaprtelmezettnek - s persze teljesen automatikusan. Distributed Scan Server A vgre maradt egy igen rdekes dolog, amelyet szintn szlva mg sohasem prbltam ki vagy lttam lesben, de biztos nem marad ez gy rkre. Azt viszont tudom, hogy a hlzati szkennels mindig komoly problma, ha a szkenner (mondjuk egy multifunkcis kszlk rszeknt) nem rendelkezik egy webszerverrel, amelyhez csatlakozva egy bngszbl kpesek szkennelni a felhasznlk, akkor minden gpre mindenkppen telepteni kell a gyri szoftvert, ha egyltaln van (s ha ez a) megolds a problmra. A Distributed Scan Server-rel begyjthetjk a WSD 49 (Web Services on Devices) kompatibilis hlzati szkennereket, gy aztn monitorozhatjuk ezen eszkzk llapott, illetve krelhatunk s felgyelhetnk szkennelsi mveleteket is. A lenti brbl kiderl, hogy egy szkennelsi mvelet gyakorlatilag egy szablycsokor 50 , amibl kiderl, hogy hogyan, milyen jellemzkkel (felbonts, sznmlysg, fjltpus) trtnik meg majd a mvelet, hova kzbesti a szerver a vgeredmnyt (hlzati megoszts, e-mail vagy akr egy Sharepoint site, vagy ezek kombincija), s azt is, hogy kinek vagy milyen csoportnak lesz mveletek vgrehajtshoz jogosultsga. A felhasznl csak odafrad a kompatibilis szkennerhez, hitelesti magt pl. egy smartcard-dal, vagy egyszerbb mdon az ADba, kivlasztja a megfelel mveletet s ennyi, persze ha akarja, akr fell is brlhatja a betpllt mveletek jellemzit. Az ilyen eszkzk hlzaton keresztl SOAP zenetekkel operlnak, UDP-t hasznlva, s gyakorlatilag a plug and play lmny olyan, mintha USB-sek lennnek. 50 Post-scan processes (PSP) s az AD trolja ezeket.
49
~ 79 ~
5.11 A
NARANCSSRGA FEJ LTHATAN LVEZI AZ J SZOLGLTATST
De azrt itt is szksgesek bizonyos felttelek: - A szervernek tartomnyi tagnak kell lennie - Erd szinten is kvetelmny az R2-es llapot (!) - Nyilvn kell bven hely a szkennelt anyagok feldolgozshoz (ez sok esetben csak tmeneti lesz a feldolgozs idejre, de akkor is) - Szksg van egy tanstvnyra is a szkenner szerver szmra, ami kt folyamathoz is kell: egyrszt a szkennertl a szerverig, msrszt a kliensektl a szerverig, merthogy a Windows 7-bl is hasznlhat szoftveres elrssel ez a komponens (a Scan Management alkalmazs ugyanis telepthet a Turn Windows Features On or Off segtsgvel).
5.2 DHCP
DNS
Mindkett alapszolgltats, gy mindkett htkznapi hasznlat, de persze mretes krnyezetben azrt rendesen el is lehet merlni mindkettben, gy aztn mondjuk inkbb azt, hogy htkznapi is. Ide tartozhatna mg a WINS is, de igazbl ezzel kapcsolatban annyira nincs jdonsg, hogy bele sem kerlt a cmbe. Illetve az az jdonsg, hogy ha mg mindig vannak (lesznek) rgi OS-eink s alkalmazsaink51, akkor mg mindig Illetve vegyes hlzatban Samba klienseink, szervereink. Ilyenkor kln lvezhetjk az idnknt felbukkan WINS inkonzisztencikat, illetve az idegl trlsi algoritmusokat (a lektor megjegyzse).
51
~ 80 ~
nem radrozhatjuk ki a WINS-t, de nem is kell, alig eszik valamit, s dolgozik rendesen. Kezdsknt beszljnk e fejezet kapcsn egy mlyebben trtnt vltozsrl is, az j TCP/IP stack-rl (Next Generation TCP/IP stack), amely egy alapos bvtsen esett t architekturlis, biztonsgi s hardver tmogatsi szempontbl is. A Windows Server 2008 teljesen jrart hlzati verme a jelenleg elterjedt IPv4-en kvl mr natvan tmogatta a TCP/IP6-os verzijt (IPv6) is. A 128-bites (16-bjtos) cmekkel operl IPv6 protokoll bevezetsre fknt azrt volt szksg, mert a vilgszerte mkd gpek szmnak izmos nvekedse miatt napjainkban egsz egyszeren elkezdtnk kifogyni, st gyakorlatilag kifogytunk a kioszthat IP-cmekbl. Emellett az IPv6 lehetsget adott a TCP/IP-protokollal kapcsolatos nhny technolgiai alapelv jragondolsra is.
5.12 A D UAL
STACK
Az IPv6 jval tgabb cmtartomnyok ltrehozst teszi lehetv, valamint a jelenlegi megoldsoknl knnyebben konfigurlhat, gyorsabb s biztonsgosabb adattvitelt tesz lehetv. A Visttl s a Windows Server 2008-tl kezdve a korbbi kt egymstl teljesen fggetlen protokoll-vermet (tcpip.sys s tcpip6.sys) egy gynevezett Dual IP architektra vltja fel, gy a rendszer az IPv4 s IPv6-os hlzatokat kln-kln, de mgis egyszerre tudja kezelni. Ennek ksznheten a Windows egy idben ktfajta IP-cmmel is rendelkezhet, egy 4-es, illetve egy 6-os verzijval. A Vista Dual IP architektrja egy hlzati vermen bell kezel mindent, gy tovbbra is egy szlltsi rtegre (TCP, UDP) s egy adatkapcsolati rtegre van szksg.
~ 81 ~

Az IPv6 kezelse teljes IPSec tmogatst is nyjt, gy az j formtum cmekkel is hasznlhatjuk a nylt szabvnyokbl ll kriptogrfiai keretrendszert. Az IPv6 mindezeken kvl elrhet PPP (Point-to-Point Protocol) kapcsolatok esetn is (kivve PPTP VPN hasznlatakor), s az IPv6 termszetesen tmogatja az automatikus cmkiosztst is, mind dediklt DHCP-kiszolglval, mind anlkl. Alaprtelmezs szerint mind az IPv4, mind az IPv6 protokoll telepl, valamint mindkett belltsai elrhetk a grafikus felletrl is. Ha esetleg szkriptekkel automatizlt konfigurcira van szksgnk, termszetesen a parancssoron keresztl is megvltoztathatjuk a protokollok sszes paramtert erre kivlan alkalmas az egybknt is svjci bicska netsh parancs52. Az j stack rengeteg egyb kpessget ad a keznkbe, pldul olyan j megoldsokat, mint a Receive Window Auto-Tuning, a Compound TCP vagy az ECN (Explicit Congestion Notification) tmogats. De fontos a hlzati belltsok jraindtsi knyszernek eltrlse, a szmos diagnosztikai s nyomkvetsi lehetsg, illetve az j (s fknt szerveroldali) hlzati interfszekkel kompatibilis szolgltatsok alkalmazsa (RSS, NetDMA, TCP Chimney Offload, stb.). Illetve emlkezznk meg a szintn a Vista/Windows Server 2008 prosban debtl Windows Filtering Platform-rl, ami gyakorlatilag egy j architektra az j genercis TCP/IP veremben, s amely egy API gyjtemny fejlesztk szmra, gy programozk a sajt alkalmazsaikban (pl. tzfalak, AV s diagnosztikai szoftverek) is hasznlhatnak, de a Windows Server 2008 tzfala s az IPSec is ezt hasznlja. Visszatrve a cmben emltett komponensekre s gy a lnyegre, a DHCP s a DNS egy kzs j tulajdonsga az elzek fnyben teljesen logikus IPv6 tmogats, ami teljesen egyenrtk (pl. a parancssori eszkzknl is) az IPv4 tmogats szintjvel. Ezek utn elszr essnk t a DHCP jdonsgain, s igazbl a Windows Server 2008-at kihagyva, egybl az R2-re53 ugorva: - DHCP Name Protection (a DNS-sel egyttmkdve az n. "name squatting" (azaz egy vegyes hlzatban egy nem Windows-os gp regisztrlsa egy ltez azonos nev Windows-os gp nevre) problma kikszblse - Delay configuration (a msodlagos DHCP szerverek reaglsi intervallumnak ksleltetse) - Deny, Allow filterek hasznlata (a kliensek DHCP szolgltatsbl kizrsa, illetve engedlyezse, a MAC cm alapjn, a cmre kattintva, a helyi menbl)
Az IPv6-os konfigurcis lehetsgek bvebb ismertetshez hasznljuk a netsh interface ipv6 /? parancsot. 53 Persze, a kliens oldalon a Windows 7 is tartalmazza ezen jdonsgok tmogatst.
52
~ 82 ~
5.13 A
PACK KZTT AZRT LTSZIK A LNYEG : A TILTS EGYSZER
Egyszer rezervci konfigurls - kt egrkattintssal Egy specilis eszkz54, a DHCP Server Events Tool, amely a DHCP adminoknak segt, elssorban azoknak az esemnyeknek a nyomon kvetse vlik lehetv ezzel az MMC-vel, amelyek egybknt is jdonsgok az R2-ben. Lnyeges az is, hogy ez az eszkz - egy rendes MMC bvtmnyhez hasonlan kpes tvoli DHCP szerverekhez is kapcsoldni55, illetve tbbhz is, plusz a kpen is lthat bal oldali keretben lv kategrik egy-egy bejegyzse msolhat s szrhet. Nhny j DHCP opci tmogatsa, fkpp IPv6-osok, pl. az Option 15 (User Class), vagy az Option 32 (Information Refresh Time) A DHCP Server szolgltatsfikja is vltozott a LocalService-rl a Network Service-re, gy a veszlyes privilgiumok szma is cskkent. Tovbbi rszleteket rengeteg helyen tallunk a hardening services kulcsszavakra, ami a Vistban kezdd drasztikus rendszerszolgltats vltozsokra utal.
Letlts s teleptsi informci: http://blogs.technet.com/b/teamdhcp/archive/2009/03/20/tool-to-read-dhcpserver-events-for-windows-server-2008-r2.aspx

54 55
Feltve ha adminok, vagy legalbb a Event Log Readers csoport tagjai vagyunk.
~ 83 ~
5.14 E GY
EXTRA
MMC
Kt szerver oldali vltozst emltenk meg a DNS tmakrben. Elsknt a znk httrben trtn betltse fontos elrelps, ami taln eldnti a fjlban vagy az AD-ban tartsuk a DNS znkat cm vitt is, ti. az elbbi esetben ez az j lehetsg nem ll rendelkezsre. Ha viszont a cmtrban tartjuk a zninkat, akkor a Windows 2008 s az R2 kpes lesz ezeket egy DNS restart utn a httrben, szeparlt szakaszokban, aszinkron mdban betlteni, s gy az eddigiekkel szemben kpes lesz a folyamat kzben is vlaszolni a berkez nvfeloldsi krskre, azaz nem bicsaklik bele egy esetlegesen nagymret zna egyszerre - ezrt aztn lassan trtn - betltsbe se. St, ha olyan krs/regisztrci rkezik, amely egy olyan znra vonatkozik, ami mg nincs a memriban, akkor a kliens haja magasabb prioritst kap, s a DNS szerver kiszolglja a krst. De jelzem jra: ez csak a cmtrban tartott DNS znkra igaz, a fjlban tartott znknl marad a szekvencilis feldolgozs. Egy msik szerveroldali jdonsg a feltteles tovbbtk jszer hasznlata. A DNS MMC-ben, a faszerkezetben a znatpusok kztt egy j mappt lthatunk, Conditional Forwarders nven. Itt kell felvennnk a klnbz tovbbtkat (a megszokott helyen is lehet persze), s a felvtel utn ezeket a jobb oldali keretben lthat listban rgtn lthatjuk is. Ennl taln fontosabb viszont az, hogy AD integrlt zna esetn lehetsgnk van a cmtrban trolni, s ebbl kvetkezen repliklni is a tovbbtkkal kapcsolatos adatokat 56 . A replikci tbbfle szcenriban is mkdhet, azaz minden Rnzsre nem tnik nagy kalandnak, de huszonsok tartomnyvezrl - s DNS szerver - esetn kifejezetten lds (a lektor megjegyzse).
56
~ 84 ~
tartomnyvezrl DNS szerverre (amely legalbb Windows Server 2003), vagy pldul minden DC-re a tartomnyban.
5.15 F ELTTELES
TOVBBT
Fontos mg a RODC-k apropjn a read-only DNS opci is, ami gyakorlatilag egy elsdleges tpus zna, nvfeloldsra tkletesen alkalmas, s rekordszinten frisst, ha szksges, de csak fentrl. Mindent replikl (alkalmazspartcik, domainDNSZones, ForestDNSZones, stb.), de a telephelyrl semmikppen nem rhat pldny. Mg egy rdekes jdonsgrl szmolnk be, ez pedig a WINS-hez hasonl (de azt azrt nem teljesen helyettest) megolds, a specilis GlobalNames zna, ami egy AD integrlt zna lesz. Ha egy znt ezzel a nvvel hozunk ltre a DNS-ben, akkor gy lehetnek a statikus, globlis rekordoknak NetBIOS nevei, hogy a WINS-t nem is teleptjk. De vegyk figyelembe, hogy ezzel csak azokat a tipikusan fontos gpeinket (a szervereket) jelljk, amelyek mr rendelkeznek fix IP-cmekkel, teht sz sincs dinamikus regisztrcirl, s sz sincs mretezsrl, fleg egy nagyobb, sszetett hlzatban. 57 Fontos tudni azt is, hogy amg nem engedlyezzk az sszes mrvad DNS szerveren, addig nem hasznlhat ez a zna. Az engedlyezs parancsa:
57
Ezt jl jegyezzk meg a vizsgkra kszlk (a lektor megjegyzse)!
~ 85 ~

dnscmd <ServerName> /config /enableglobalnamessupport 1 Ezek utn ahhoz, hogy az erdben lv sszes DNS-kiszolgl s gyfl szmra elrhet legyen ez a zna, replikljuk le az erd minden tartomnyvezrljre, vagyis adjuk hozz a GlobalNames znt az erdszint DNS-alkalmazspartcihoz.
5.3 NPAS
Nagy btorsgnak tnhet egy alfejezetben beszlni a Windows Server 2008-ban megjelent Network and Access Policy Server-rl, de mr most jelzem, hogy a legnagyobb s legrobusztusabb rsz, a Network Access Protection (NAP) szerkezetileg ebben a frcmben kiss ksbb jn, ezrt ide, az alapszolgltatsokhoz csak a maradk kerl. Ez se kevs azrt, mivel az NPAS igen komoly mret gyjt lett, mghozz a NAP s a NAP-hoz szksges rszszolgltatsok mellett a komplett RRAS (Routing and Remote Access Services, azaz pl. a VPN s a DUN szerverek + a route-ols), pl. a Network Policy Server (az elrsi s hozzfrsi hzirendek) s a korbbi IAS (Internet Authentication Services, azaz a Microsoft RADIUS teljesen RFC kompatibilis kiszolglja) is ide kerlt.
5.16 M INT
A J BOLTBAN ...
~ 86 ~
5.3.1 A Z NPS Haladjunk akkor szpen sorban, kezdjk az NPS-sel, azaz a specilis hzirend kiszolglnkkal (gyakorlatilag semmi kze a Csoporthzirendhez). Tbb fontos szerepe is van ennek a komponensnek, multifunkcisan hasznljuk, minimum hrom clra: 1. RADIUS (Remote Authentication Dial-In User Service) kiszolglknt kzponti hitelestst, engedlyezst s nyilvntartst (accounting) vgez a vezetk nlkli, vezetkes, VPN s DUN kapcsolatok esetben. Ha az NPS-t RADIUS kiszolglknt hasznljuk, akkor a hlzati elrst megvalst kiszolglkat (pldul Access Point-ok, VPN szerverek vagy akr egy Forefront TMG) RADIUS gyflknt konfigurlhatjuk az NPS-ben. Ezenkvl bellthatjuk azokat a hlzati hzirendeket is, amelyeket a hlzati hzirend-kiszolgl a csatlakozsi krelmek engedlyezsre hasznl. 2. RADIUS proxy: Ha az NPS-t RADIUS proxyknt szeretnnk hasznlni, akkor a kapcsolatkrelmek hzirendjn (Connection Request Policy) keresztl kell belltani, hogy az NPS mely kapcsolatkrelmeket (s hova) tovbbtsa ms RADIUS kiszolglknak. Gyakorlatilag egy kztes elemknt mkdik ilyenkor. 3. Network Access Protection (NAP) policy server: ksbb kitrgyaljuk.
5.17 H ITELESTS
TOVBBT S EGY HZIRENDBEN
~ 87 ~
Ez gy elgg frasztnak tnik, de nzznk meg egy gyakorlati pldt: a feladat az lesz, hogy a szanaszt szrt Access Point-jainkon keresztl belp laptopok RADIUSszal kapcsoldjanak a tartomnyba, meghatrozott felttelek mentn, konkrtan kizrlag a Wireless Users AD csoport tagjai tudjk hasznlni a vezetk nlkli hlzatunkat (persze brmelyik AP-n keresztl a cgnknl) a sajt tartomnyi felhasznlnevkkel s jelszavukkal belpve. Az elfelttelek: - A csatlakoz laptopokat be kell lptetni a tartomnyba - Nmi csoport konfigurlsra is szksg lesz a cmtrban, illetve ha okosan s persze kzpontilag akarjuk megoldani a kliensek belltst, akkor a Csoporthzirendet is hasznlnunk kell - Szksges az AD Certificate Services, az NPS-t igazol tanstvny hasznlathoz, s persze a kliensnek el kell fogadnia hitelesknt ennek a tanstvnynak a kiadjt58 - s persze az NPS-t is telepteni kell (5.16 bra). 1. Ha van mr NPS, akkor indtsuk el, majd a Getting Started oldalon vlasszuk a RADIUS server for 802.1x Wireless or Wired Connection menpontot. 2. A kvetkez panelen rtelemszeren vlasszuk a Secure Wireless Connections pontot!
Ez a tartomnyba tartoz gpek esetn nem lesz problma, ha pldul sajt PKI infrastruktrval rendelkeznk.
58
~ 88 ~
5.18
BRA
M INT
LTHAT , A VEZETKES KAPCSOLATOKRA IS RHZHAT EZ A MDSZER
3. Ezutn adjuk meg a RADIUS klienseinket, amelyek jelen esetben az AP-k lesznek, mivel ezeken keresztl csatlakoznak a laptopok majd a hlzathoz. DNS nv vagy IP cm kell, ha tbb is van, akkor ksbb mindet vegyk fel! Persze ezeket az APkat is konfigurlni kell majd, hiszen tudniuk kell, hogy ki az r, azaz ki a RADIUS szerver a hlzatban, s azt is, hogy mi a megosztott jelsz.
~ 89 ~
5.19
BRA
K T AP- M
IS VAN
4. Most jn a hitelestsi metdus, tipikusan ebben az esetben a PEAP-ot (Protected EAP) fogjuk vlasztani, br lehetne pl. a smartcard is egy opci, ha rendelkeznk ilyen infrastruktrval. Viszont brmit is vlasztunk konfigurlni kell, pldul a PEAP-nl az NPS szerver tanstvnyt kell megadni, az EAP tpust, illetve vlaszthatunk olyan lehetsgeket, mint az Enable Fast Reconnect. 5. Most jn azon felhasznlk kivlasztsa, akik ilyetn mdon kapcsoldhatnak, tipikusan csoportok formjban tesszk meg ezt, pl. Wireless Users. De az is elkpzelhet, hogy gpeket vagy gpcsoportokat szeretnnk itt megadni mint a hitelests alanyait, gy adott esetben a Domain Computers csoportot. 6. Itt akr vge is lehetne a mulatsgnak, de ha hajtjuk, akkor tovbb szrhetnk, de csak akkor, ha az AP-k tmogatjk az adott RADIUS attribtum hasznlatt, pl. a kpen a Home status a Filter-Id attribtumon keresztl majd a Domain Users lesz. 7. Ezutn jn a szumma kperny, s az NPS konfigurlssal kszen is vagyunk.
~ 90 ~
5.20
BRA
T OVBBI
SZRS , DE CSAK VATOSAN , AZ
AP
MEGKTHETI A KEZNKE T
Persze a teljes folyamathoz mg hozztartozik a kliens opercis rendszer WLAN kapcsolatnak belltsa (amihez pldul a Csoporthzirendet kivlan alkalmazhatjuk) Vista s Windows 7 esetn. Illetve feladat mg az AP-k megfelel konfigurlsa is, de mi most csak a szerver oldallal foglakoztunk egy tipikus esetet figyelembe vve. 5.3.2 A Z RRAS Ha visszanznk az 5.16-os brra, akkor a kvetkez kt komponens a mr jl ismert RRAS-hoz tartozik. Igazbl az itt is megjelen IPv6 kompatibilitson kvl az RRAS-ban sok jdonsg nincs, azrt a kt59 j VPN tpusrl azrt emlkezznk meg. Secure Socket Tunneling Protocol (SSTP) Sokan lesznek, akik azt mondjk majd, miutn bezemeltk ezt a szolgltatst: - Na vgre! Ezzel nem a mvelet hosszsgra, hanem inkbb e komponens szksgessgre gondoltunk. Mert az SSTP olyan lehetsg, ami jl beleillik abba a tendenciba, amely alapjn ez szemlyes vlemny - pr generci mlva csak a HTTP/S protokollokat kell majd kinyitni a tzfalakban. Na de leplezzk le vgre: az Egy, azaz az els rkezett a Windows Server 2008-ban, s a kvetkez pedig az R2-ben.
59
~ 91 ~

SSTP-vel a hagyomnyos VPN kapcsolatok helyett/mellett HTTPS-en keresztl is kpesek lesznk teljes rtk VPN kapcsolatokat kezdemnyezni. A tendencia tnyleg a HTTP/S-be bjtats, efel sodrdnak a klnbz szolgltatsok, s errl a TMG knyvben is szmos bizonytkot hoztam fel. A kapun tl - Forefront Threat Management Gateway 2010" https://technetklub.hu/content/TMGKonyv.aspx
5.21
BRA
S ZOKVNYOS SSL
CSOMAGKNT LTSZIK ( A KLS
IP
S A
TCP
HEADER TITKOSTATLAN )
Legalbb hrom f rvet tudunk felsorakoztatni a VPN over HTTPS (illetve inkbb az SSL VPN elnevezs a hivatalos) mellett a hagyomnyos tpusokkal szemben: - A specilis VPN portokat nem tudjuk, nem lehetsges minden krlmnyek kztt hasznlni, egyszeren egy sereg helyen (pl. szllodkban, publikus helyeken vagy ms cgek hlzatban) tiltjk. - Brmelyik hagyomnyos VPN tpust nzzk, a tunnelt a legtbb esetben t kell vezetni egy NAT szerveren. Ez van mikor kisebb, van viszont, hogy nagyobb (L2TP) problmt is okozhat. - A VPN kapcsolatok tipikusan egy vgpont egy csompont tpusak. Ha a kt helyszn LAN IP tartomnya megegyezik, s kzttk NAT-ot alkalmazunk, akkor szintn konfliktus lehet. Persze, az utbbi kt problmra lteznek ajnlott s mkd megoldsok, de knnyen belthatjuk, hogy egyetlen portot kinyitva, a NAT s ms hlzati nehzsgek nlkl egyszerbb lenne mkdtetni egy VPN infrastruktrt. Az SSTP viszont egy az alkalmazsi rtegben mkd protokoll, tipikusan kt program kztti kommunikcira felksztve, viszont egy hlzati kapcsolaton bell akr tbbre is (gyakorlatilag a teljes hlzatban), ergo jobban kpes kihasznlni a svszlessget. Az SSTP ugyanazon SSL httrre tmaszkodik, mint pl. az L2TP/IPSec (egyms mellet mindhrom tpus jl elfr) s ugyangy a TCP 443-as portot hasznlja, de tudnunk kell, hogy gy, ahogy az L2TP IPSec nlkl, az SSTP SSL nlkl sem ms, mint egy kicsit klnlegesebb tunneling protokoll. Htrnya kz tartozik mg az is, hogy a Site-to-Site kapcsolatokban nem vehetjk majd hasznt. Mieltt azonban lernnk vgleg, egy-kt tovbbi pozitv tulajdonsgt is tekintsk t: - Nincs szksg kln kliensre, s nincs szksg pldul extra IP cmekre.
~ 92 ~
Teljesen transzparens a felhasznl szmra, s nem kell specilis tvlasztst illetve metrikt sem hasznlnunk. Nem szmtanak akadlynak a kapcsolat kt pontja kztt mkd routerek, tzfalak, web proxy-k s NAT szerverek. Nem fgg a kapcsolat olyan extra protokolloktl, mint a PPTP GRE vagy az L2TP ESP. Kompatibilis az IPv6-tal, a NAP-pal, az RRAS-sal, akr a multifaktoros azonostssal is. Az alkalmazsi rtegbeli mkds miatt majd igazn knyelmesen szrhetjk a forgalmat egy olyan tzfallal, amely erre kpes (pl. ISA Server 2004/2006, Forefront TMG), persze ehhez a specilis, n. SSL Bridging mdszerrel kell majd kipubliklnunk.
5.22
BRA
AZ
EGYETLEN
R2- ES
VLTOZS AZ , HOGY VLASZTHATUNK TANSTVNYT
Az SSTP-t teht a Windows Server 2008 mr tartalmazza (kliens oldalon viszont elszr a Vista SP1-ben hasznlhattuk), de alaprtelmezs szerint nincs lestve. Igazbl nem kell semmi extrra gondolnunk, az RRAS-ban a szoksos mdon sszehozunk egy VPN szervert, belltjuk a portok szmt (alaprtelmezs szerint 128 van), az NPS-ben lehetsget adunk a VPN trcszs jogra (Connections to
~ 93 ~

MS RRAS hzirend > Network Policies > Access Permission), s tulajdonkppen kszen is vagyunk. Illetve majdnem, mert ami viszont fontos, az az, hogy mg az RRAS indtsa eltt rendelkeznnk kell megfelel kiszolgl tanstvnnyal, hiszen az SSTP HTTPS listener-hez ez alapfelttel. s mg egy, mg ennl is kritikusabb pont: a tanstvnykiad visszavonsi listjt (CRL) is el kell rnnk majd a tvoli kliensrl, teht pl. a tzfalunkban ki kell publiklni a root CA tbbnyire a 80-as porton elrhet CRL listjt 60 . Persze, ha publikus, kls tanstvnykiadtl szrmaz a tanstvnyunk, akkor ez az gondjuk lesz, s persze ebben az esetben biztosan mkdni is fog. IKEv2 Ez a megolds nagyon klnleges, de csak a Windows7/R2 pros esetn hasznlhat. A Microsoft implementcijban VPN Reconnect nven is fut. De jjjn egy idzet a kedvenc TCP/IP knyvnkbl (Petrnyi Jzsef - TCP/IP alapok, 2. ktet, V1.061): rdekes jtk ez a security. Idnknt olyan, mint egy nagy doboz Lego: elveszem a darabokat, s ha gy rakom ssze, akkor kvdarl, ha mskppen, akkor meg tank lesz belle. A VPN Reconnect is ilyen legs-sszedugdoss VPN protokoll. Megfogtuk az L2TP/IPSec modellt, leszedtk rla az L2TP kockt, flretettk az UDP kockt, a megmaradt IPSec blokkban meg kicserltk az IKE SA-t IKEv2-re. Ami keletkezett, azt elneveztk VPN Reconnect-nek. Most az egyszer az tnevezsnek tnyleg volt rtelme is. Ha emlksznk, rtam, hogy az IKEv2-hz kijtt ksbb egy kiegszts MOBIKE nven. Nos, ez pont a mobil kliensek kiszolglsra hivatott. Azaz olyan kliensekre, akik nagy sebessggel mozognak, mikzben toljk az iwiw-et, VPN-en keresztl belpve a cges hlzatukba. Aztn ha mozgs kzben megszakad a kapcsolatuk, tvltanak egy msik cellra - s borzasztan nem szeretnk, ha errl brmilyen mdon is tudomst szereznnek. Azaz a VPN legyen olyan kedves, oldja meg az jracsatlakozst magtl. Csak hogy ne legyen egyszer az let, MS berkekben a VPN Reconnect s az IKEv2 teljesen szinonim kifejezsek. De mi tudjunk rla, hogy az egyik egy VPN protokoll, a msik pedig egy SA!
Vagy haladunk a korral s OCSP-t hasznlunk: http://forum.jvangent.nl/blog/?p=31 (a lektor megjegyzse). 61 http://www.microsoft.com/hun/technet/article/?id=3effd5d3-139c-471a-adeba71a6885562f

60
~ 94 ~
Nhny tovbbi jellemz s elny, most mr csak egy felsorols formjban: - Az IKEv2 egy IPSec tunnel mdra pl megolds - Az IKEv2 Mobility and Multihoming Protocol (MOBIKE) hasznlatval varilja a VPN kapcsolat felhasznl oldali vgpontjt Dormant md: szakads esetn vr s vr, mindaddig vr, mg jra lesz kapcsolat az RRAS-sal - Gyorsabban mkdik s gyorsabban visszall mint a tbbi tpus - Kpes IPv4-rl IPv6-ra vltani s vissza - Az automatikus NAT-T lehetsg is rendelkezsre ll - NAP kompatibilis - SSTP fall-back, azaz ha valamirt nem sikerl IKEv2 kapcsolatot ltesteni, akkor automatikusan az SSTP-vel prblkozik
5.23
BRA
A W INDOWS 7- BEN
MR
4 VPN
TPUS KZL VLASZTHATUNK 62
A szksges kvetelmnyek: - R2 RRAS - Tanstvny
62
Az automatikus vlaszts esetn a sorrend a kvetkez: IKEv2, SSTP, L2TP, PPTP
~ 95 ~

o Figyeljnk a Common Name mezre, mivel VPN kapcsolatrl van sz, valsznleg publikus DNS nevet kell hasznlnunk, hiszen ezzel rjk majd el a bels szervert o A tanstvny Enchanced Key Usage (EKU) mezejben kt dolog szerepeljen: az IP security IKE intermediate s a szoksos Server Authentication (az IPSEc sablon dupliklsval + a Server Auth felvtelvel az EKU mezbe, ez egyszeren megoldhat) A hitelests ktfle lehet, szmtgp (Client tanstvny), vagy a felhasznl (jelsz: EAP-MSCHAPv2 s tanstvny63) alap.
5.4 W INDOWS S ERVER B ACKUP

Nos ebben az alfejezetben kivtelesen nem lesz gond a kt opercis rendszer verzi vltogatsa vagy sszehasonltsa. Ugyanis a Windows Server 2008-ban leledz beptett ment s visszallt kpessgrl inkbb nem rnk semmit, illetve csak annyit, hogy ez volt az els prblkozs egy jfajta mkds s szemllet eszkzzel, a rgi s ugyan helyenknt korltos, de azrt sokrt lehetsgekkel operl NTBackup utn. De a msodik menet mr lnyegesen jobban sikerlt, az R2ben immr egsz jl lehet hasznlni a Windows Server Backup komponenst64.
5.24
63 64
BRA
S OK - SOK
NVEKMNYES MENTS
Ez utbbi lehet termszetesen egy smartcard-on is. Persze nagyvllalati krnyezetben a System Center Data Protection Manager az ajnlott megolds.
~ 96 ~
A Windows Server Backup egy MMC bepl modulbl, a parancssori eszkzkbl s Windows PowerShell cmdlet-ekbl ll. A Windows Server biztonsgi msolattal a teljes kiszolglrl, az sszes ktetrl, adott ktetekrl, a rendszerllapotrl, illetve konkrt fjlokrl vagy mappkrl is kszthetnk biztonsgi mentst, helyben vagy tvoli mdban, illetve temezve is. Valamint az opercis rendszer nlkli helyrelltsra (rtsd > krach) alkalmas biztonsgi msolat is kszthet, csont nlkl. A biztonsgi ments segtsgvel ktetek, mappk, fjlok, bizonyos alkalmazsok s a rendszerllapot llthat helyre. A merevlemez meghibsodsa vagy egyb katasztrfa esetn pedig vgrehajthat az opercis rendszer nlkli helyrellts. (Ehhez a teljes kiszolglrl vagy az opercis rendszer fjljait tartalmaz ktetekrl kszlt biztonsgi msolat, illetve a Windows helyrelltsi krnyezet szksges - ez lltja helyre a teljes rendszert a rgi rendszerre vagy egy teljesen j diszkre). Javaslom, hogy menjnk is vgig a folyamaton, azaz egy jabb kpes beszmol kvetkezik, helyi s teljes mentssel, dediklt lemezre, s egybl rgtn temezve.
5.25
BRA
T ELJES
VAGY EGYNI , MOST TELJES
~ 97 ~

Ha egybknt a Custom opcit vlasztjuk, akkor clpontknt megkapjuk az sszes lemeznket, ,partcinkat, a System State s a Bare metal recoveryments tpusokat (ez utbbi ugye az OS nlkli visszallts esete).
5.26
BRA I DZTSNK , HETI KETT NAP NINCS , DE MAJD KSBB TRKKZNK
~ 98 ~
5.27
BRA A CLPONT EGY DEDIKLT LEMEZ , EGY KTET , VAGY EGY HLZATI MEGOSZTS LEHET , SZALAG
NEM
5.28
BRA
DEDIKLT LEMEZT MSRA NEM TUDJUK MAJD HASZNLNI A
W INDOWS
ALATT , DE NEM BAJ , J LESZ
~ 99 ~
5.29
BRA
SZUMMA TETSZETS EREDMNYT SEJTET
Feltnt, hogy a varzsl nem krdezett r arra, hogy teljes vagy nvekmnyes, vagy klnbsgi legyen? Nem ht, mert nem szksges. A teljes s nvekmnyes biztonsgi msolatokat automatikusan kezeli a Windows Backup, azaz egy teljes biztonsgi msolatknt viselked nvekmnyes biztonsgi msolatot hoz ltre. Ez azzal jr, hogy az eseti biztonsgi msolatok tetszleges eleme helyrellthat lesz majd, de a ments csupn a nvekmnyes biztonsgi msolathoz szksges helyet foglalja el. St, nem kell kzzel trlgetnnk sem, a rendelkezsre ll hely fggvnyben a rgebbi biztonsgi msolatok automatikusan trldnek. Magyarul, teljesen magra hagyhatod a mentst, s ha nagy a diszk, akkor nagyon sokig knyelmes helyzetben vagy. Nos, ezutn formzza a dediklt lemezt, s ksz is. Csinljunk most egy az idztstl eltr pldnyt, ergo vlasszuk a Backup Once opcit az Action pane keretbl.
~ 100 ~
5.30
BRA
N YOMHATUNK
EGY KORBB AN IDZTETTET VAGY EGY TELJESEN EGYEDIT
5.31
BRA J UST DO IT !
~ 101 ~
s most az trtnt, amitl a legjobban tartunk, feladta a szerver hardver (de a backup diszk nem ), de mr beszereztk az j HDD-ket, s vissza fogunk lltani mindent. A visszallts viszonylag egyszer lesz65, el kell indtanunk a telept DVD-t, majd mg a telepts eltt, a Repair your Computer opcit vlasztva a Windows Recovery Environment zemmdban, automatikusan megtallva a helyi mentst, vagy tallzva a hlzatot visszallthatjuk a szervernket csont nlkl.
5.32
BRA
A R EPAIR
YOUR COMPUTER A BARTUNK
Ehhez persze a teljes szerverrl vagy az opercis rendszer fjljait tartalmaz ktetekrl kszlt ments szksges mindig, s ha okosan csinltuk, s egy dediklt lemezen van mindez, akkor valsznleg nagyon gyors is lesz.
65
~ 102 ~
5.33
BRA
K ICSIT
CSALTAM , MERT NEKEM NEM HALT MEG , DE AZ ALS LESZ A L NYEG
5.34
BRA
M EG
IS VAN , HURR , ALUL VISZONT VLOGATHATNNK , HA LENNE TBB MENTETT PLDNY
~ 103 ~
5.35
BRA
L EGYEN
FORMZS ?
A KARUNK
DRIVEREKET P TOLNI ?
A KARUNK
ELLENRZST
(A DVANCED )?
5.36
BRA
L ESZ ,
AMI LESZ
~ 104 ~
5.37
BRA
A CSKNAK DRUKKOLO K
5.38
BRA
S RN
NEM KELL ILYEN LMNY , DE MOST SIKERESEN KORRIGLTUNK
~ 105 ~

Az 5.25 bra alatt volt egy megjegyzsem, ami kiss gnyosnak tnhet, de helytll, valban nem tudunk, csak napi idztst elvgezni. Mrmint ha csak a GUI-t kapargatjuk, mert egybknt a wbadmin s a Task Scheduler segtsgvel simn. Ezrt fontos, hogy amikor teleptjk a Server Managerben, akkor a Windows Server Backup Features alatt a Command-line Tools rszt is pakoljuk fel. Ha megvan, akkor hasznljuk ki, indtsuk el a Task Scheduler-bl (Administrative Tools) a Create Task menpontot!
5.39
BRA
N AGYON
KELLEMES ESZK Z , SOKAT SEGT
~ 106 ~
5.40
BRA
M INDEN
LNYEGES DOLGOT BELLTOTTAM
5.41
BRA
E GY
J TRIGGERT VETTE M FEL , HETI
NAPRA , NE FELEJTSK ALUL AZ ENABLED - ET !
~ 107 ~
5.42
BRA AZ AKCI A PARANCSSOROS ESZKZ FUTTATSA
Nos, itt lljunk meg egy kicsit! A parancs gy nz ki jelen esetben: wbadmin start backup -backupTarget:F: -include:E: -allCritical -quiet start backup: a wbadmin.exe indtsa backupTarget: a clhely, jelen esetben kivtelesen egy msik ktet, az F: include: milyen egyb kteteket vegyen bele a mentsbe, pl. most az E:-t allCritical: ezzel azt jelezzk, hogy legyen System State s System volume ments is, teht a teljes diszk nlkli visszallts is quiet: a httrben, mindenfle megjelens nlkl fusson
~ 108 ~
5.43
BRA JOGOSULTSG SZKSGES
Ha ezzel megvagyunk, a Task Scheduler Library alatt egy j feladatunk szletett, s teszi a dolgt szpen. Mg kt dologrl beszlni szeretnk a Windows Server Backup apropjn, spedig a Hyper-V s az Exchange Server mentsrl. Mindkett kicsit szegny ember vzzel fz megolds, teht neknk kell kicsit piszklni manulisan a rendszert, de mkdik. A Hyper-V esetn egy registry kulcsot kell hozzadnunk ahhoz, hogy a Windows Backup VSS alap virtulis gp mentst is tudjon. Ez az a kulcs, amelyet ltre kell hoznunk (figyeljnk oda, mr a WindowsServerBackup sincs felvve): HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT \CurrentVersion\WindowsServerBackup\Application Support\{66841CD46DED-4F4B-8F17-FD23F8DDC3DE} Ha ez megvan, akkor hozzunk ltre ez al egy String Value-t: Name: Application Identifier Type: REG_SZ Value: Hyper-V
~ 109 ~
Ha ez megvan, akkor mentsk le a Hyper-V gpek llomnyait (mindet) tartalmaz egsz ktetet, majd nzzk meg, hogy ezutn, a visszalltst megprblva, az Applications tpus alatt ltjuk-e a Hyper-V gpeket!
5.44
BRA
REGISZTRLT ALKALMAZSOK VISSZALLTHATAK
~ 110 ~
5.45
BRA
GY
H YPER -V
VIRTULIS GPEI IS
Sajnos kt-hrom korltunk is van e tma kapcsn 66 , az egyik, hogy a Microsoft tmogats a dinamikus lemezekkel rendelkez guest gpek esetn csak az offline llapot mentsre vonatkozik, a msik pedig az, hogy VSS-t nem tmogat OS-ek (Windows 2000, XP), illetve a Integration Services nlkli gpek (lsd: 9. fejezet) az effajta ments kzben saved state llapotba kerlnek. No s persze a virtulis gpeket egyesvel nem tudjuk visszalltani, csak az egsz ktetet, szval azrt ez kzel sem tkletes megolds. Az olvas a saved state miatt shutdown-ra gondolhat, pedig nem ez trtnik. A saved state sorn a virtulis CPU megll, a regisztereit a rendszer elmenti, a virtulis gp memriatartalmt pedig a gp a merevlemezre menti. Ezutn megtrtnik a ments, majd a ments utn a futsi llapot helyrell. A virtulis gp opercis rendszere azt rzkeli, hogy ugrs trtnik az idben pont mint a Mtrix-ban (A lektor megjegyzse)
A Windows 8 Server Developer Preview vltozatban ez az egsz mahinci nem szksges, a Hyper-V 3.0 gpeit egybl s kln-kln ltja a Windows Backup.
66
~ 111 ~

Az Exchange Server mentse mr kevsb kacifntos67, viszont az R2 + Exchange 2010 pros kell hozz (mivel az utbbi mr tartalmazza a Windows Backup al, a VSS-hez szksges bvtmnyt) s az adatbzisok mappaszint mentse.
5.46
BRA
E XCHANGE S TORE - OK
VISSZLLTS LEHETSGE
W INDOWS B ACKUP - PAL
Nos ezzel az hossz-hossz 5. fejezet vget rt, sok-sok apr s nhny nagyobb vltozst ttekintettnk, most viszont jjjenek az igazn nagyok.
67
http://technet.microsoft.com/en-us/library/dd876854.aspx
~ 112 ~
AD*
6 AD*
A cmtrszolgltatssal kapcsolatos vltozsok s fejlesztsek minden j Windows kiszolgl esetn a fkuszba kerlnek. Nyilvn nem vletlenl, hiszen a cmtr hierarchia rugalmassga s alkalmazhatsga miatt a tz s a tzezer gpet tartalmaz hlzatok esetn egyarnt jl hasznlhat az Active Directory, mgpedig a minden szervezet szmra legfontosabb clra: a felhasznlk, a szmtgpek s egyb erforrsok trolsra s kezelsre. Persze, emellett a biztonsgi ertr megteremtse s egyb fontos kiszolgl alkalmazsok, megoldsok (Exchange, Csoporthzirend, stb.) mkdsnek tmogatsa is kritikus feladat. De elszr az elnevezsek vltozsairl s a Microsoft csaldteremt szndkrl kell beszlnnk. Ugyanis az Active Directory egy gyjtnv lett, s tbb eddig klssknt nyilvntartott szerepkr is megkapta ezt az eltagot. - Active Directory Domain Services o Az eddigi, szimpla Active Directory helyett - Active Directory Lightweight Directory Services o Az ADAM, azaz az AD Application Services helyett, lsd mini cmtr - Active Directory Certificate Services o A loklis PKI infrastruktra megteremtje - Active Directory Federation Services o Azonosts kezel, tipikusan a http/s alap kliensek extranetes erforrs elrshez - Active Directory Rights Management Services o Kzponti szablyzs, informcivdelmi megolds Itt s most mi szinte csak az els ttellel, azaz a cmtrszolgltatsokkal foglalkozunk, de a Windows Server 2008 s az R2 olyan rengeteg jdonsgot hozott ezen az egy tren is, hogy muszj minimum kett s aztn mg tovbb szabdalni ezt a nagy-nagy fejezetet, gy aztn elszr kezdjk a rgivel, azaz a Windows Server 2008-cal!
6.1 A Z
ELS SZAKASZ : A
W INDOWS S ERVER 2008
6.1.1 R E A D -O N L Y T A R TO M N Y V EZ RL K (RODC) Anno megdbbent volt, hogy a Microsoft egy teljesen j tartomnyvezrl tpussal rukkol el, de mra mr megszoktuk s szeretjk, mr csak azrt is, mert valban elmondhat, hogy tnylegesen vals ignyek hoztk ltre ezt a tpust. Egy mondatban sszefoglalva, a RODC egy olyan DC, amely tartalmazza a cmtr egy pldnyt, azaz kpes az sszes tartomnyvezrl feladat elltsra, de a cmtr tartalma nem vltoztathat meg helyben. Mirt elnys ez?
~ 113 ~

Biztonsgos: mivel nincs globlis AD mdostsi lehetsg, olyan krnyezetbe is ajnlhat, ahol fizikailag nem garantlhat a biztonsg, pl. egy vdett szerverszobt nlklz telephelyre. Ha esetleg aztn az adott szervert helyben megprbljk feltrni, vagy trtnetesen eltulajdontjk, az igazn szenzitv, globlis tartomnyi adatokhoz nem lehet majd hozzfrni semmilyen mdon, hiszen helyben ezek alaprtelmezs szerint nem troldnak. Svszlessg s erforrs takarkos: mivel egy telephelyre biztonsgosan telepthet, a hitelestsi folyamatokhoz (pl. belps, helyi erforrs elrs) nincs szksg a WAN hlzatra vagy az internetre, igaz, ekkor nmi kompromisszumra knyszerlnk, lsd ksbb. Alkalmazs- s zemeltets bart: elfordulhat, hogy zleti szempontbl is fontos alkalmazsok megkvetelik a tartomnyvezrlt mintegy host gpknt, vagy legalbb a gyors elrst. Az is elkpzelhet, hogy ezt az alkalmazst ms szerver hjn az egyetlen (telephelyi) szervernkre kell feltelepteni. St, az is elfordulhat, hogy a specilis alkalmazst egy kls cg zemelteti, azaz szksge van interaktv belpsre, magas jogosultsgi szinttel. Ki az, aki szvesen ad tartomny rendszergazda jogot egy ilyen esetben a kls szervezetnek? Viszont eddig - egy DC esetn - majdnem minden esetben muszj volt, hiszen ms lehetsgnk nem llt rendelkezsre. Nos, a RODC esetn nyugodtabbak lehetnk, hiszen 1.; nem lehet mdostani a cmtr adott pldnyt helyben, s 2., tartomnyvezrl mivolta ellenre van helyi Administrator csoport, azaz lehetsges az AD-n kvli minden mst zemeltetni egy nem Domain Admin felhasznli fikkal. zemeltets mentes: nincs AD zemeltets, ergo nincs szksg magasabb szaktuds, Domain Admins jogosultsggal rendelkez szakemberre, hiszen nincs semmilyen a tartomnyhoz, erdhz kapcsold zemeltetsi feladat.
~ 114 ~
AD*
6.1
BRA
L EHET
ILYET IS
Folytassuk a RODC megismerst a megoldand technikai problmkkal, hiszen mivel teljesen j szerepkrrl van sz, a garantlt mkdshez szksg volt az ismert cmtr s cmtr tmogat megoldsok alapos s mlyrehat korrekcijra. A Read-Only cmtr adatbzis s a replikci A RODC alatt mkd cmtr adatbzis pldnynak teljesen ugyangy kell kinznie, mint egy hagyomnyos DC-nl (a jelszavakat kivve, de errl majd ksbb), mert klnben hogyan megy le a replikci, azaz hogyan lesz kompatibilis? Viszont vltozsokat nem trolhat el, s nem is repliklhat, azokat sem, amelyek esetleg szksgesek. gy aztn az sszes vltozsi krelemnek el kell jutni valahogyan egy rhat DC-ig, hogy aztn a hagyomnyos replikcival visszakerlhessen (ha akarjuk) a RODC cmtr pldnyba. Ez az a plusz kr, amely kizrja a korbbi telephelyi, sima DC esetn egyszeren bevihet, s esetlegesen az egsz erdt negatvan rint adatbzis vltozsokat. Persze pldul a telephelyi alkalmazsok tovbbra is kaphatnak egyszeren hozzfrst a cmtr helyi pldnyhoz, de csak olvassi joggal. Ha ennl tbbre van szksg, akkor pl. LDAP-on keresztl tovbbkerl a krs automatikusan a hub site (a kzponti telephely, vagy ahol egy rhat DC van) fel. Az n. unidirectional replikci kvetkezmnye az a vltozs is, hogy az rhat DC-k a replikcis folyamatban felismerik, hogy a partnerk egy ReadOnly szerepkrt tartalmaz, s ebben az esetben nem is kezdemnyezik a pull tpust, hiszen nem is jnne, nem is jhetne semmilyen vltozs a RODC
~ 115 ~

irnybl. Ez megint csak svszlessg cskkentst jelent, s egyttal a hdf DC-ket sem terheljk annyira. Ide tartozik az is, hogy ez az j, egyoldalas replikci nemcsak a cmtrszolgltatsoknl jelentkezik, hanem rtelemszeren az ugyangy hasznlhat DFS-R-nl is. A hitelestsi adatok gyorsttrazsa Alaprtelmezs szerint a RODC - kt kivteltl eltekintve - nem tartalmazza semmilyen felhasznli vagy szmtgpfik jelszavt. E kt kivtel az RODC gpfikja, illetve a specilis szerepet betlt krbtgt fik. Viszont arra van lehetsgnk, hogy brmely ms fik hitelestsi adatait gyorsttrazzuk. Mirt akarnnk ezt tenni? Egyszer: ne kelljen kimenni az adott hlzatbl, az esetlegesen lass kapcsolaton keresztl egy kzponti DC-hez mondjuk minden felhasznli belps vagy egyb hitelests esetn. De hogyan lehetsges az ilyen tpus adat eltrolsa s kiszolglsa? A RODC kpes KDC-knt (Key Distribution Center) viselkedni a telephely felhasznli s gpei fel, azaz kpes lesz tkletes s rvnyes Kerberos kulcsokat kiadni, melyeket aztn a fikok teljes kren hasznlhatnak is a hitelestsi folyamatban - a kzponti DC-k nlkl is. Viszont mr most tudnunk kell, hogy a RODC a TGT krsek alrshoz s titkostshoz a sajt krbtgt fikjt s annak jelszavt is hasznlhatja, amely nyilvn klnbzni fog egy kzponti DC ugyanerre a clra hasznlt krbtgt fikjnak hitelestsi adataitl. A folyamatban e kt forrs klnbzsge lesz a kulcs. Szval, az els alkalommal a hitelests biztosan egy kzponti DC-vel fog csak menni, mert ugye a kliens az alaprtelmezs szerint szeretn hasznlni a RODC-t, de ekkor ez mg csak tovbbtani tudja a krst. Ha ezzel a kzvettssel sikerl a hitelests, akkor a RODC el fogja krni az adott fik hitelestsi adatait. Persze, az rhat DC csak gy nem adja oda, hanem - miutn felismerte, hogy ez egy RODC krse -, az n. Password Replication Policy alapjn dnti el, hogy szabad-e ezt tennie, vagy sem. A PRP gyakorlatilag egy mini tblzat, amelybe manulisan kell felvennnk azokat a csoportokat, gp- vagy felhasznli fikokat, amelyekrl gy tljk meg, hogy a hitelestsi adataikat nyugodt szvvel merjk gyorsttrazni a RODC-n. Alapesetben ez a tblzat teljesen res, azaz minden fik s csoport szmra tiltott ez a lehetsg. Ha viszont a krdses fik szmra engedlyezve van a gyorsttrazs, akkor a kzponti DC tnyjtja a megfelel adatokat a RODC-nek, amely meg szpen letrolja ezeket, majd - most jn a helyi krbtgt fik szerepe - a sajt fikjval alrt TGT-t adja oda a kliensnek. De mi trtnik a msodik belpskor? Merthogy immr van trolt jelsz helyben is, azaz a RODC kpes lenne elltni a hitelestst kzvetlenl is, de honnan tudja, hogy ezt megteheti? Egyszer, a RODC kpes felfedezni az adott TGT-n a sajt krbtgt
~ 116 ~
AD*
fikjnak nyomt, ergo ha megtallja, akkor automatikusan nem kldi tovbb a kzponti DC fel a krst, hanem a helyben letrolt adatokkal gyorsan s problmamentesen megoldja a hitelestst.
6.2
BRA
A Z A LLOW
OSZLOPBAN VAN A LNYEG
A Password Replication Policy feltltse abszolt a mi dntsnk, mrlegelnnk kell teht, hogy mely fikok vagy csoportok azok, amelyek hitelestsi adatai lekerlhetnek a RODC-re. Ha minden a telephelyen hasznlt fikot engedlyeznk (s esetleg a tartomnyi admin fikokat is!), mindig gyors lesz a belps, viszont ha eltulajdontjk a gpet, hozzfrhetek a jelszavak, ugyangy, mint egy hagyomnyos DC esetn. Ha csak nhny szimpla felhasznli fikot engedlyeznk, akkor tbb id megy el ms fikok esetn a belpsre, viszont nincs komoly biztonsgi problma. Az admin jogok sztvlasztsa Mint ahogyan mr emltettem, a RODC-n szksges s fontos is egy helyi magas szint jogosultsg biztostsa, ami nagyjbl a loklis admin jogkrrel egyenl anlkl, hogy a cmtr objektumaira brmilyen befolysa lenne az ebbe a csoportba tartoz felhasznlknak. Egy ilyen fik csak egy tartomnyi fik lehet (clszeren az
~ 117 ~

adott telephely egy felhasznlja), s ami mg fontos, hogy ha egy msik helysznen, egy hagyomnyos tartomnyvezrln lpne be ez a felhasznl, akkor ez ugyangy nem fog sikerlni neki, mint mieltt megkapta volna ezt a lehetsget a RODC-n, mivel csak azon az egyetlen RODC-n szmt adminnak. Egy fik e csoportba trtn belehelyezse egybknt ktfle mdon trtnhet meg: 1) A parancssorbl a Dsmgmt eszkzzel 2) A RODC teleptse sorn a varzsl egyik lpseknt
6.3
BRA
A RODC
HELYI ADMIN FIKJNA K KIJELLSE , MG A TELEPTS KZBEN
Ez egy igazn praktikus lehetsg, mivel gy tnyleg adhatunk gy az alkalmazsok s a hardver terletn admin jogot, hogy a cmtrat egy pillanatig sem veszlyeztetjk. Read-Only DNS Ha DC, akkor DNS szerver is. Ezt a ttelt a RODC esetn is tudjuk rvnyesteni. A RODC DNS szerver teljes rtk, pl. kpes az sszes a DNS ltal hasznlt alkalmazspartcik repliklsra (pl. a ForestDNSZones, DomainDNSZones) vagy a kliensek maradktalan nvfeloldsi krseinek kiszolglsra. De a RODC jellegbl addan minden mvelet nem trtnhet meg. Melyek ezek? Nos, ide tartozik pl. a kliensek automatikus regisztrcija a DDNS segtsgvel, vagy sajt maga felvtele pl. egy AD integrlt znba, egy NS rekord al. gy aztn, ha egy kliens gp sajt rekordja frisstst vgezn el, akkor a RODC DNS kzli vele, hogy mely DNS szerveren teheti ezt meg, merthogy helyben sz sem lehet rla. Kzben azrt a - httrben - megksrli a megfelel DNS szerverrl lehzni a kliensre vonatkoz vltozst azrt hogy a kvetkez pillanatban mr ki tudja szolglni
~ 118 ~
AD*
egy msik krs sorn ezt a nevet/cmet. Fontos az is, hogy szerencsre ez a replikci csak az adott DNS rekordra vonatkozik, nem kell ezrt teht egy egsz znt lehzni a folyamat sorn. A RODC bevezetsnek felttelei Nem kevs slyos elem van ebben a listban, de taln az eddigiek alapjn ltszik, hogy valban mlyen bele kellett nylni a cmtr mkdsbe a RODC-k bevezetse miatt: - Legalbb egy darab rhat Windows Server 2008 DC-nek lennie kell a tartomnyban. Ez elssorban a replikcis partnersghez szksges. - Az a DC, amelyhez a RODC a hitelestsi krseket intzi majd, csak minimum egy Windows Server 2008 Server lehet, ti. a Password Replication Policy csak az j szerverrel kpes mkdni, illetve felismerni, hogy egy olyan specilis krsrl van sz, amelyet egy RODC adott ki. - A tartomny mkdsi szintje legalbb Windows Server 2003 kell hogy legyen azrt, hogy elrhetv (azaz inkbb kiknyszerthetv) vljon a biztonsgos Kerberos delegls. - Az erd mkdsi szintje tekintetben is ktelez a minimum Windows Server 2003-as szint, az n. linked-value replikci hasznlata miatt, amely nagyobb replikcis megbzhatsgot nyjt, illetve lehetv teszi, hogy ne az adott elemet tartalmaz egsz tmb replikldjon, hanem csak a tnylegesen megvltozott elem. - A Password Replication Policy hasznlatnak alapfelttele a smabvts (lsd ksbb). - Hasznlnunk kell az Adprep /rodcprep parancsot az erd szintjn, ami azrt szksges, hogy frisstsk az erd sszes DNS alkalmazspartcijt, hogy aztn az sszes RODC DNS szerver kpes legyen (immr a megfelel jogosultsggal) repliklni ezeket a rekordokat.
~ 119 ~
6.4
BRA
E GY
JABB TPUS PREPARLS
A RODC eltvoltsa Ebben a tmakrben is van nmi praktikus vltozs, azaz a RODC trlsekor kapunk segtsget ahhoz, hogy gyorsan orvosoljuk az eltulajdonts vagy valamely drasztikus vltozs okozta krokat. Egy ilyen esetben a trls eltt (a kvetkez brn jl lthat mdon) RODC ltal is trolt hitelestsi adatokat lenullzhatjuk.
6.5
BRA
E GY
JABB TPUS PREPARLS
~ 120 ~
AD*
6.1.2 A Z J RA I N D T H A T C M T RS ZO L G L T A T S A Windows Server 2008-tl kezdve a tartomnyvezrlkn a cmtr jraindthat. De mirt? s hogyan? Elssorban azrt, hogy ne kelljen jraindtani a gpet bizonyos esetekben, pldul a cmtrt rint frisstsek vagy ppen az AD karbantartsa (pl. offline defrag) apropjn68. Meg aztn amg tart az jraindts - ami ltalban, szinte fggetlenl a gp teljestmnytl rengeteg id -, ne essenek ki egyb, a tartomnyvezrln fut kritikus szolgltatsok, pl. a DHCP szerver csont nlkl mkdik majd tovbb. A cmtr szervizek lelltsa s jraindtsa brmelyik j tartomnyvezrln lehetsges, s nincs semmilyen egyb megkts sem, azaz az eddigi ltalnos helyzettel szemben sz sincs pldul arrl, hogy ez a lehetsg funkcionalitsi szint fgg lenne. Az jraindtsi opci minimlis vltozst hoz a kezelsben, s nincsenek extra opcik sem ezzel kapcsolatban, azaz tnyleg csak annyirl van sz, hogy a DCken lv Services MMC-ben megjelenik a listban az Active Directory Domain Services nev szerviz, amit a szoksos mdon lehet kezelni. Az AD ily mdon lelltott llapotra egy kln, fantzia nlkli kifejezs van, gy hvjk: "AD DS Stopped" zemmd. Igazbl taln inkbb az az rdekes, hogy ilyenkor mi trtnik a szerverrel a tartomnyban! Vagy jra lehet hasznlni a helyi felhasznl adatbzist? Na azt azrt nem . Tag marad erre az idre egyltaln a tartomnyban? Vagy tagkiszolgl? Vagy egyik sem? Nos, ha egyedl van a tartomnyban, akkor azt gondolom, logikus, hogy egyik sem. Viszont ha tbb DC is van, akkor a tartomnyi tagsga l, s tagkiszolglknt dolgozik addig is, amg jra DC nem lesz. gy teht pldul az interaktv vagy a hlzaton keresztli bejelentkezs lehetsge ebben az esetben is adott. Valamennyire akkor is igaz ez, ha nincs elrhet msik DC, mert ekkor a helyi belpshez a Directory Services Restore Mode jelszt kell hasznlnunk69. Sokig persze nem clszer azrt gy hagyni a gpet, hiszen a belptets vagy a replikci termszetesen nem mkdik, az adatbzis (Ntds.dit) offline, s a szerviz lelltsa rtelemszeren magval hz a sttsgbe ms szolgltatsokat is (DNS, KDC, FRS, stb.).
De pldul nem egy System State ments visszalltsra, ez a Microsoft ltal egyltaln nem javasolt s tmogatott megolds. 69 Tudjuk, ez az amit a teleptskor megadunk, aztn szpen elfelejtjk, hogy aztn ebbl risi gond legyen ksbb, mondjuk egy cmtr adatbzis visszalltskor .
68
~ 121 ~
6.6
BRA
C SAK
EGY SZERVIZ S MS SEMMI
6.1.3 T B B T A R TO M N Y I J EL S Z - S K I Z R S I H ZI RE N D Volt egy igazn komoly problmnk a Windows Server 2008 eltti idkben, ti. egy Windows Server 2003 tartomnyban semmilyen megoldst nem tallhatunk az egy tartomny = egy jelszhzirend ttel kikerlsre. Ha valamilyen nyomatkos okbl mgis muszj egy j jelszhzirendet definilni, akkor csak egyet lehet javasolni: egy j tartomnyt kell ltrehozni, ami persze nem tkletes megolds, taln tbb is a htrnya, mint az elnye. De megsznt ez a korlt, egy teljesen j mdszerrel (FineGrained Password Policy) krelhatunk azonos tartomnyban tbb jelszhzirendet is, st az j hzirend kiterjed a fik kizrsi (account lockout) opcikra is. Mirt fontos a tbb tartomnyi jelszhzirend? Nos, ez elgg rtelemszer, hiszen mivel a felhasznli fikok slya nem azonos, a magas jogosultsg fikokat jobban kell(ene) vdennk, ersebb jelszavakat lenne clszer megkvetelnnk azrt, hogy az emberi tnyez (hanyagsg, felletessg, feleltlensg) ltal okozott problmkat megelzzk. Emellett a norml felhasznli fikok jelszavval kapcsolatban nem minden esetben szksges kkemny restrikcikat alkalmazni, nem indokolt az tlagos felhasznlkat knozni az extra jelsz megadsi kritriumokkal.
~ 122 ~
AD*
Egy alternatv jelsz- s kizrsi hzirend ltrehozsnak lpsei hrom pontban foglalhatak ssze: 1. Ksztsk el a megfelel csoportot, s mozgassuk t a megfelel fikokat! 2. Ksztsk el az j PSO-t (Password Settings Objects), azaz az j jelszhzirendet! 3. Rendeljk hozz a PSO-t az adott csoport(ok)hoz, vagy akr egyesvel a felhasznli fik(ok)hoz! Ebbl mr kiderlhetett, hogy az j jelszhzirendeket csak fikokhoz vagy globlis biztonsgi csoportokhoz rendelhetjk. Mi lesz az OU-kkal? Nos, sajnos kzvetlenl nem rendelhet hozz egy PSO egy OU-hoz, ha maradunk ennl a hierarchinl, akkor muszj legyrtani az rnyk biztonsgi csoportokat. Ez kiss bonyoltja taln a folyamatot, de gondoljunk bele, mennyi csoportunk van viszont mr kszen, gyrilag ltrehozva (Domain Admins, Enterprise Admins, Schema Admins, Server Operators, Backup Operators, stb.)! A PSO-k ltrehozsa egybknt ktfle mdon trtnhet, ADSI Edit-tel (immr beptve: adsiedit.msc) vagy ldifde-vel. Az els mdszer els lpse a kvetkez tvonalon egy j objektum ltrehozsa itt: <domain_name>,CN=System,CN=Password Settings, CN=Password Settings Container
6.7
BRA
E GY PSO
NEM
PSO
Az ezutn kvetkez, tznl is tbb lpst tartalmaz varzsl belltsai kztt rismerhetnk a szoksos jelsz- illetve kizrsi hzirend opcikra. Idnknt kiss
~ 123 ~

bonyolultabb a mezk kitltse, pl. csak msodpercben lehetsges rtket megadni, vagy a rvnyestsi terletet csak a distinguishedName rtkkel (CN=,DC=, stb.) lehetsges kijellni. Ha a varzslt vgiglpkedtk, akkor ksz van az j hzirend, s mr rvnyre is jutott. Innentl viszont nem kell az ADSI Edit az esetleges korrekcihoz, az ADUC-ban a System\Password Settings Container alatt megtalljuk (feltve, ha engedlyeztk a View alatt a Advanced opcit), s szerkeszthetjk az alternatv hzirendeket. Hogyan? A szintn teljesen j (s szinte minden objektumnl elrhet) Attribute Editor fl segtsgvel.
6.8 E GY
KSZ
PSO
UTLAGOS KONFIGURCI JA AZ
ADUC- BL
Itt jegyeznm meg, hogy a hivatalos mdszer elgg fraszt, de sajnos az R2ben sem vltozott meg. Valsznleg pp ezrt szlettek olyan kls programok, amelyeket a Microsoft nem tmogat(hat), viszont kivlan s nagyon egyszeren mkdnek. Egyet be is linkelek: Fine Grain Password Policy Tool 1.0: http://itbloggen.se/cs/blogs/chrisse/archive/2009/01/11/fine-grainpassword-policy-tool-1-0-2300-0-rtm.aspx E rsz vgn jn a feketeleves, azaz a kritriumok s tovbbi megjegyzsek:
~ 124 ~
AD*
Elszr is az egsz folyamat csak akkor indthat el, ha az adott tartomny funkcionalitsi szintje minimum Windows Server 2008, s megtrtnt a smabvts is (kt teljesen j osztllyal kell kibvteni a smt). Ez ugye csak akkor rhet el, ha mr likvidltuk az sszes Windows 2000/2003 Server DCt. Csak a Domain Admins csoport tagjai kszthetnek s alkalmazhatnak PSOkat a fikokra vagy a csoportokra. Olvassi jogot szabadon deleglhatunk a PSO-ra, de egy viszonylag letszer pldt emltve, egy helpdesk-es kollga nem fogja tudni megvltozatni a jelszhzirendet (van, hogy ez j hrnek szmt ). Szmtgp fikokra semmilyen krlmnyek kztt nem alkalmazhatak az j jelsz- s kizrsi hzirendek. A testreszabott jelsz filterekkel mr szerencssebbek vagyunk, mert minden tovbbi kvetkezmny nlkl hasznlhatjuk ezeket tovbbra is.
6.1.4 D A TAB A S E M O U N TI N G T O O L Ismt egy teljesen j megoldsrl van sz, amely tmren abban segti az zemeltetket, hogy egyszeren azonostsuk azokat a cmtr objektumokat, amelyeket gy vagy gy, de trltnk vagy ppen megvltoztattunk. Visszalltani ugyan nem fogjuk tudni ezzel a mdszerrel 70 , de mieltt nekiesnnk a tnyleges visszalltsnak, gyorsan ttekinthetjk, hogy mit kell s mit lehet majd visszahozni. A legfontosabb viszont, hogy ezeket a pillanatfelvteleket vagy mentsi pldnyokat anlkl tudjuk megtekinteni, hogy a specilis AD Restore Mode miatt jra kellene indtani a gpet. A megvalsts lpsei ignyelnek nmi szakrtelmet s rszben parancssorbl trtnnek: 1. Indtsuk az Ntdsutil.exe-t s hasznljuk az j snapshot parancsot, amellyel kszthetnk egy mentst az AD-rl, majd ezt fel is csatolhatjuk a fjlrendszerbe. 2. Egy msik parancssori eszkz jn, a Dsamain.exe (Exchange rksg :D71), amivel az adott pldnyt LDAP szerverknt tudjuk futtatni. A szintaxisra vigyzzunk, s persze arra is, hogy a ktelezen mellkelend 4 port (LDAP, LDAP-SSL, GC, GC-SSL) mindegyike eltr legyen a szoksostl, azaz brmi lehet, csak ne a szabvny, hiszen a mkd AD pont ezeket hasznlja ppen most is.
De nemsokra azzal a mdszerrel is megismerkednk . A dsamain.exe az Exchange 5.5 rendszer Directory Service nven fut alkalmazsa volt, mely tulajdonkppen az Active Directory snek tekinthet. Itt tanulta meg az MS, hogyan kell multimaster replikcij JET adatbzisokat hatkonyan kezelni (a lektor megjegyzse)
70 71
~ 125 ~

3. Futtassuk az ldp.exe-t a szoksos mdon, de ne a szoksos porton, az LDAP port az legyen, amit az elbb megadtunk. 4. Ksz, immr online tallzhatjuk az elz AD verzit!
6.9 E GY
PILLANATFELVTEL KSZTSE , MOUNTOLSA S KILIST ZSA
5. Ha vgeztnk, a Dsamain.exe ablakban lltsuk le az AD mentett pldnyt a CTRL+C-vel! 6. Az ntdsutil-t gy is konfigurlhatjuk, hogy rendszeres idkznknt megtegye az automatikus pillanatfelvtel ksztst, gy aztn valban brmikor belenzhetnk majd a rgebbi pldnyokba is.
~ 126 ~
AD*
6.10 K T AD
PLDNY EGYSZERRE ELRHET AZ LDP . EXE - VEL , S LTSZIK A KLNBSG IS , MIVEL A PILLANATFELVTEL KSZTSE UTN TNEVEZTEM AZ EGYIK CSOPORTOT
Egyetlen fontos dolog maradt mg ezzel az jdonsggal kapcsolatban, amire nagyon oda kell figyelnnk, s ez pedig a biztonsg. Alapesetben csak a Domain / Enterprise Admin csoport tagjai tekinthetik meg a pillanatfelvteleket, de sajna brmelyik erdbl! Azaz ha valaki tmsolja a fjlrendszerbl a pillanatfelvtelt egy msik erdbe, ahol trtnetesen Domain Admin, akkor minden tovbbi nlkl belenzhet a mi cmtrunkba. Ezrt ezen pldnyok biztonsgrl felttlenl rdemes valamilyen egyb mdszerrel kln is gondoskodni.
6.2 A
MSODIK SZAKASZ : AZ
R2
Nem fogyott el a munci az R2-re sem, jabb s jabb ltvnyos s kevsb ltvnyos, de praktikus megoldsokat kaptunk a keznkbe a cmtr szolgltatsok terletn. 6.2.1 A Z O FFL I N E D O M AI N J O I N Kzdttl mr ADS-sel, WDS-sel, Ghost-tal, newsid-dal, sysprep-pel (a lista szabadon bvthet) a tartomnyi belptets apropjn? Szeretted volna azt, hogy a kliens OS (akr fizikai, akr virtulis gpekrl beszlnk) a legels indts utn mr tartomnyi tag legyen, mgpedig gy, hogy a DC a kzelben sincs, amikor belptetted? Akit ezen lehetsgek egyszer, praktikus megoldsa nem villanyoz fel, az ne olvassa tovbb . A tbbieknek viszont szeretnm elrulni, hogy a Windows Server 2008 R2-vel, valamint a Windows 7 klienssel (de csak ezzel a kettvel) ez menni fog. Eddig gy tudtuk, hogy a tartomnyba lptets megkveteli egy megbzhat kapcsolat kialaktst a kliens OS s a tartomny, azaz a tartomnyt ebben az esetben
~ 127 ~

reprezentl, a cmtr egy pldnyt hordoz tartomnyvezrl kztt. A belptets sorn egy el nem hagyhat, instant vltozs trtnik a cmtr llapotban, illetve termszetesen a msik oldalon a kliensben is, ami nem ment eddig egy aktv hlzati kapcsolat nlkl - ami lehet akr persze egy VPN is72, de valaminek muszj lennie... Nos, az R2-ben mr nem, mind a DC, mind a kliens llapott mdosthatjuk hlzati forgalom nlkl is, illetve teljesen eltr idpillanatban is. Radsul viszonylag egyszeren. Nzzk a szksges lpseket! Most (mg) nem egy tmeges teleptsi feladatrl van sz, hanem mondjuk arrl, hogy nlam van otthon a kliens gp, s holnap viszem be a cghez (vagy a kzponti irodban van, de a telephelyi domainben lesz a helye majd kt nap mlva). 1. A folyamat azon rszt, amely a gpfik elksztshez kell, elvgezhetjk egy R2-es DC-n vagy akr egy msik gpen is, amelyen egy Windows 7 vagy egy R2 van, s ami egyben jelenleg is a tartomny rsze. Akrhogy is, ez a gp lesz az n. "belptet" gp, amelyen a spci parancssori eszkzt, a djoin.exe-t hasznlva a kvetkez utastst kell begpelni: djoin /provision /domain /machine /savefile akarmi.txt
6.11
BRA
S IMN
MEGY A FELVTEL A TARTOMNYBA 73
Termszetesen olyan jogosultsggal kell rendelkeznnk, amely lehetv teszi egyrszt, hogy belphessnk erre az R2-re adminknt, msrszt, hogy belptethessnk gpeket a tartomnyba. Ezt a jogkrt persze egyrszt deleglhatjuk, msrszt ellenrizhetjk s korriglhatjuk a Csoporthzirendben, a kvetkez helyen: Computer Configuration > Windows Nekem pl. szmtalanszor kellett mr azzal a mdszerrel lnem, hogy VPN-en keresztl belptetem a gpet, majd a domain profil kialaktshoz lockolom a klienst (a logoff nem j, mert megszakad a VPN kapcsolat), s ezek utn mr be tudok a domain userrel lpni, s gy legkzelebb mr van egy cache-elt hitelestsi csomagom, ergo tudom hasznlni a domain userrel a gpet - anlkl, hogy fizikailag eljutottam volna a kb. 85 km-re lv tartomnyhoz . 73 Mondjuk ha valaki csinlt mr RODC-t, akkor tudja, hogy ez ott mr egy varzsl formjban is mkdik, meg aztn a GUID alapjn, ltalban a brand gpeknl eddig is lehetett felvenni gpfikot, viszont belptetni azrt egyik esetben sem.
72
~ 128 ~
AD*
Settings > Security Settings > Local Policies > User Rights Assignment > Add workstations to domain. 2. Az akarmi.txt-t valahogyan el kell juttatnunk arra a Windows 7 gpre, amelyet ezzel a mdszerrel be akarunk lptetni.
6.12
BRA
AZ
AKTULIS AKARMI . TXT ( BASE 64 KDOLS )
3. Hasznljuk a kvetkez parancsot a leend kliensen: djoin /requestODJ /loadfile akarmi.txt /windowspath %SystemRoot% /localos
6.13
BRA
DJOIN . EXE HASZNLATA A KLIENSEN
4. Ezek utn amikor a Windows 7 bekerl fizikailag is a tartomnyi hlzatba, akkor mr nincs ms dolgunk, csak elindtani, s rgvest hasznlhat is lesz, a tartomnyi felhasznlk szmra is. A djoin.exe egy bonyolult "szerkezet", nhny opcit/paramtert az eddigieken kvl is rdemesnek tallhatunk egy kis magyarzatra. - /machineou: a cl szervezeti egysg helye, okos dolog, hiszen az alaprtelmezett Computers trolra nem hat a GP, gy viszont egyrszt rgvest
~ 129 ~

a helyre kerl a gpfik, msrszt az els belpskor magra hzhatja a szksges csoporthzirend opcikat is.74 /dcname: megmondhatjuk, hogy melyik DC-n szlessen meg a fik, ha nem mondjuk meg, akkor a szoksos mdon a DC Locator processz dnt. /downlevel: ha a cl DC a WS08R2-nl korbbi OS-t tartalmaz. /reuse: egy ltez fik jrahasznostsa, a fik jelszava egyttal trldik. /nosearch: nincs a fiknevekkel kapcsolatos konfliktus detektls, amit megadunk, az "ltre lesz hozva", ellenben kell hozz a /dcname paramter.
Amennyiben viszont a tmeges telepts a cl pl. a WSIM (Windows System Image Manager) hasznlatval, s a clunk az, hogy a csendes telepts rsze legyen az offline belptets, akkor az Unattend.xml-be kell belevinni a szksges inft, mghozz egy j szekciba, merthogy a W7/WS08R2 szmra hasznlhat Unattend.xml termszetesen erre fel van ksztve: <Component> <Component name=Microsoft-Windows-UnattendedJoin> <Identification> <Provisioning> <AccountData>Base64Encoded Blob</AccountData> </Provisioning> </Identification> </Component> 6.2.2 AD A DM I N I S T RA TI V E C E N T E R Egy j, multi-domain/forest cmtr kezel s lekrdez felletrl esik most egy kevs sz. Termszetesen ez is Powershell alap, s a rengeteget alkalmazott AD Users and Computer MMC-re hasonlt taln a legjobban, de a gyakorlat azt mutatja, hogy inkbb prhuzamosan hasznljuk a klasszikus eszkzzel egytt.
Ilyet (azaz a belptetett gp alaprtelmezett helynek tirnytst) mr eddig is csinlhattunk a redircmp paranccsal, de gy sszektve az ODJ-vel mg jobb.
74
~ 130 ~
AD*
6.14
BRA
H ASONLSGOK
S KLNBSGEK
No s az is fontos, hogy ez az eszkz az R2-ben jelent meg elszr, br az is igaz, hogy a hatst kiterjeszthetjk. Ugyanis a szolgltats msik alapja az Active Directory Web Services, azaz a cmtr elrse egy webszolgltatson keresztl, de rgtn jelzem, hogy mg gondolatban se keverjk be ide az IIS-t, kivtelesen75 ez a rsz teljesen nllan mkdik, a TCP 9389-es porton. s ez az a pont, ahol az elbb emltett kiterjesztshez kapcsoldunk, ugyanis Active Directory Management Gateway Services 76 nven letlthet s feltelepthet korbbi opercis rendszerekre is (Windows Server 2003 s 2008), s gy egy R2-rl kpesek lesznk elrni a rgebbi tartomnyokat s erdket is.
Itt most arra gondolok, hogy az Exchange-tl kezdve az RDS-ig minden webes szolgltats IIS virtulis mappkon keresztl mkdik. 76 http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=2852
75
~ 131 ~
6.15
BRA
AD
AD LDS
ELRS EGYFORMN IS LEHETSGES AZ
ADWS- SEL
Persze ezeken az ADAC-ot futtatni nem fogjuk tudni, de kliensknt mkdni kpesek lesznek. De ez hatrozottan egy olyan tulajdonsg, amelyet az ADUC-szel soha nem tudtunk megoldani, azaz a tbb tartomny s erd objektumainak egyetlen helyrl trtn kezelst. Emellett a szrs s keress terletn igen komoly fejlesztsek trtntek, valamint a nzetek elmentse is lehetv vlt. De pr htrnyrl is szlnk, mert azrt gy korrekt: - Nem bvthet a klasszikus mdon , pl. az acctinfo.dll vagy acctinfo2.dll bvtmnyekre clzok - Nincs drag & drop - Nincs RSOP Planning / Logging tmogats - NTDS Settings sincs
~ 132 ~
AD*
6.16
BRA GY NZ KI AZ
ADAC
FELLETE , CSILIVILI , S PPEN KT ERDM IS VAN BENNE
6.2.3 AD L O M T R Az AD Recycle Bin csodlatos dolog, mivel egy olyan problmt old meg, amire nincs egybknt rendes megolds: a humn erforrs problmt , ami lland s llandan megjulni kpes. Ezzel szemben az AD RB lehetv teszi brmilyen trlt AD objektum online, azonnali s teljes kr visszalltst. Az AD RB jval tbbet r, mint az eddigi mdszerek, mivel: - A srkvezst (s a reanimcit) elfelejthetjk - Nem szksges egy trls miatt az offline AD llapot - Nemcsak egy rszleges visszalltst tudunk megtenni Szval az nem meglepets, hogy a statisztikk szerint a humn erforrs ltal elkvetett hibk adjk a cmtrproblmk jelents rszt (is). Ezek kzl magasra kiemelkedik a trls, mint visszavonhatatlan mvelet. Valban visszavonhatatlan, mert br ha rendelkeznk megfelel mentssel (jabb humn erforrs krds :D), megoldhatjuk a problmt, van Directory Services Restore Mode, van ntdsutil, van autoritatv mdszer s egyb trkkk is, amellyel visszahozhatak a trlt objektumok, de ez mindenkppen mkdskiesssel jr, s nem is vlhat be mindig hiszen tbb kls tnyeztl is fgg a sikeressge.
~ 133 ~
6.17
BRA
AZ
EVOLCIS FOLYAMAT ,
FL =
MKDSI SZINT
A Windows Server 2008-ban mr volt prblkozs a grafikus felleten a nem szndkos trls visszaszortsra is, pl. ha egy OU ltrehozsakor bekapcsolva hagytuk az jdonsgnak szmt "Protect contanier from accidental deletion" opcit, akkor csak krlmnyesen, a szoksos egyszer trls helyett minimum 3-4 plusz kattintssal s csak a specilis nzetet bekapcsolva lehetett visszalltani a szimpla trls lehetsgt. De ez csak kiegszt, elkerl megolds, s pl. a mr meglv objektumoknl vagy a user fikoknl nincs is ilyen, illetve pl. a szkriptbl trls ellen sem vd. Sz volt viszont korbban arrl, hogy elbb-utbb lesz vltozs ezen a tren is, s jelentem az R2-vel eljtt ez a vltozs, s - kitnen mkdik. Nzzk meg lpsrl lpsre, hogy hogyan, illetve elszr azt, hogy mi van a httrben, valamint azt, hogy mely kritriumok teljeslse utn lesz lehetsg egy objektum online visszalltsra az AD Lomtrbl!
6.18
BRA
E LEDDIG
GY MENT
A mkds vltozsait legjobban az elz s a kvetkez brval tudom szemlltetni, plusz azzal az infkteggel, ami ezutn jn. Az alaplls az, hogy eddig egy cmtr objektum trls szintn nem teljesen vgleges (fizikai) trlst jelentett rgtn az ltalunk felszabadultan elvgzett, megerst "Yes" gomb utn, hanem egy "srkv" (tombstone) talakulst illetve mg jobb, ha gy kpzeljk el, hogy az objektum
~ 134 ~
AD*
dalolva befekszik a marha nagy srk al, de mg a felsznen :), eltemetve viszont mg nem lesz. Ez egytt jr pl. a "Deleted Objects" trolba bekerlssel, illetve tbbek kztt pl. az objektum "isDeleted" attribtumnak "TRUE"-re billensvel (merthogy nehogy mg egyszer trlni tudjuk az ltalunk nem kedvelt user fikjt :D), azonban a szimpla visszalltsra mgsincs ilyenkor md - csak mentsbl, s csak a DSRM-ben. Ez azrt van gy, mivel az adott objektumhoz tartoz DN (distinguished name, tudjuk, OU=,DC=, stb.) meggyalzsra kerlt (az RDN + a "\0ADEL: " lett a helyes kis DNjbl), a legtbb n. non-link-valued attribtum lenullzdott, a link-valued attribtumok (pl. egy user csoporttagsga) pedig tnyleg fizikai trlsre kerlt.
6.19
BRA
V AN
VLTOZS BVEN
A "srkvem mr van, de mg csak alatta fekszem..." llapot alapesetben 180 napig volt lvezhet. Ezalatt is kaptunk azrt egy apr visszalltsi lehetsget a keznkbe, pratlan kpzavarral n ezt a "a zombi, aki kibjt a srk all" nvvel illetnm, amgy "tombstone reanimation" a becsletes neve, ami egyrszt alapesetben szintn egy offline mvelet (illetve a Sysinternals segdprogramja 77 rvn nem is), msrszt a fentiek miatt nem is lehet teljesen sikeres eljrs, ergo tnyleg csak a mentsbl visszatlts lehet korrekt. Viszont ha bkn hagytuk az objektumot, akkor jhetett vgre az automatikus, vgleges fizikai trls, azaz a srk elporladt (ami vgeredmnyben j, mert azrt az AD a srkre 41 db klnbz attribtumot szorgosan felfirklt, teht megtartott), az objektum meg a fld al kerlt, a vgleges helyre. Uff. Nos, ebbe a folyamatba kerlt be az R2-ben a Lomtr, kzvetlenl a "srkves" llapot el, ahogyan az elz brbl ez szpen ki is derl. A vltozs pedig abban
77
AdRestore 1.1.: http://technet.microsoft.com/en-us/sysinternals/bb963906
~ 135 ~

jelentkezik, hogy linked- s non-linked value attribtumok csak logikai trlsre kerlnek az R2-ben. Kvetkez krds: meddig? Egyszer, ha mr bekapcsoltuk a Lomtrat, akkor alapesetben ez az rtk is 180 nap. Ha viszont megnzzk az msDSdeletedObjectLifetime attribtumot, akkor azt ltjuk, hogy az rtke 0 :). De higgyk el, ez 180 napot jelent, mivel - ugyangy mint a tombstoneLifetime-nl - ha 0, akkor az valjban 180 nap. De ha brmelyiket megvltoztatjuk, akkor onnantl az az rtk szmt, s - termszetesen - nem is hatnak egymsra tbb. Egyszer? Mg egy dolog. Ha majd bekapcsoljuk, akkor a korbbi sszes trlt objektum (amelyek az aktulis srkvek alatt fekszenek) eltnik a "Deleted Objects" kontnerbl, de nem-nem, kedves optimista Olvas, nem az j csilivili Lomtrba kerlnek be, hanem egyszeriben kdd vlnak, azaz ekkor mr csak az autoritatv restore segthet rajtuk. Nademostmraztn kapcsoljuk be ezt a dzsuvs Lomtrat, ennyi felvezets utn mr tnyleg megrdemeljk :). Merthogy alaprtelmezs szerint az R2 cmtrban a Lomtr letiltott. Ktfle mdon kapcsolhatjuk be: vagy az AD Powershellt (Administrative Tools) adminknt indtva, vagy az ldp.exe-vel. De mg eltte van kt fontos teendnk: egyrszt t kell kapcsolni az erd/tartomny mkdsi szintjt a legfrissebbre, azaz az R2-esre (errl mg rengeteg sz lesz ezutn). A msik teend: az ellptets eltt termszetesen preparlnunk kell a smt (errl is beszlnk mg). Amit mg fontos tudni, hogy - jelen lls szerint - ha egyszer bekapcsoljuk a Lomtrat, akkor vissza nem fogjuk tudni kapcsolni. Ez, akrhogyan is gondolkozom, nekem ez nem tnik problmnak, de a "...jhet mg a kutyra thenger" elv alapjn rdemes megjegyezni ezt is. s akkor kezddhet a kpes beszmol.
6.20
BRA
A Z AD PS
PARANCSSOR JVAL HATKONYABB , MINT AZ LDP . EXE
Az AD RB engedlyezs parancsa pl. a netlogon.priv tartomnyban a kvetkez:
~ 136 ~
AD*
Enable-ADOptionalFeature Identity CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=netlogon,DC=priv Scope ForestOrConfigurationSet Target netlogon.priv Jelzem, hogy a sortrsek ellenre ez egy darab parancs, s a kimenete az elz kpen lthat.
6.21 V ISZONT
AZ LDP - VEL LTVNYOSABBAN ELLENRIZHET , HOGY TNYLEG BEKAPCSOLTUK - E
~ 137 ~
6.22
BRA
V ALAMINT
AZ IS LTSZIK , HOGY GJAKAB - UNK JELENLEG TRLT LLAPOTBAN LELEDZIK , A MEGFELELEN ELGG CSOFFADT
DN- JE
ENNEK
6.23
BRA
DE
MR KSZ IS A VISS ZALLTS ( GJAKAB 2- VEL ) S A
AD L OMTR
IKONT ???
PS- SEL . U GYE :D)
NEM AZT KPZELT K , HOGY KAPUNK EGY
6.24
BRA
A Z OU
TRLS BONYOLULTABB VLT , S LTHATAN FEL VAN KSZTVE A
L OMTRAS
IDKRE
~ 138 ~
AD*
Mg nhny tudnival s ajnls: - Group Policy, Exchange objektumokra nem tmogatott ez a mdszer (de a reanimation + restore sem) - Van viszont direkt trls is o Get-ADObject Filter {<suitable filter>} IncludeDeletedObjects | Remove-ADObject - Szmtsunk a DIT, azaz az AD adatbzis nvekedsre, kb. 10-15%-kal - Termszetesen AD LDS-ben is mkdik, csak kicsit mshogy kell bekapcsolni, s ha minden pldny WS08 R2-on fut (s persze smabvts is kell itt is, LDIFDE > MS-ADAM-Upgrade-2.LDF) De mint ahogy az elz kpeken lthat, a visszalltshoz is szintn az AD PS-re vagy az ldp.exe-re van szksg. n az elbbit javaslom, egyszerbb. s az let is az lesz, ha uralmunk al hajtjuk az AD lomtrat. Hajr! 6.2.4 K I S E B B M U T A T V N YO K (MSA, AMA, DSRM PS) A Managed Service Accounts (MSA) Mit tesznk, ha egy alkalmazsnak vagy egy kiszolgl szoftvernek egy dediklt felhasznli fikra van szksge? Ht ltrehozunk egyet, rgen ez nagy divat volt (egy Exchange 5.5-nl pldul ktelez volt, de ma is megmaradt ez az ajnls, pl. a Forefront Identity Manager-nl). Viszont egy ilyen fiktv fikra nem figyel senki, ergo vagy azt mondjuk, hogy pl. a jelszhzirend nem fog vonatkozni r, vagy kzzel variljuk a jelszavt, pl. 42 naponknt. Az els biztonsgi szempontbl nincs rendben, a msodikat pedig gyis el fogjuk felejteni, s akkor majd nem indul az alkalmazs, s pont akkor fogunk majd nyaralni, s stb. s stb., szval ez szintn nem megolds. De az MSA megoldja. Ez egy teljesen j objektum osztlyt jelent a cmtrban, s gyakorlatilag az adott szmtgpfik gyermeknek szmt. s ami a legfontosabb: a jelszava nem fgg sem a szimpla, sem a FGPP jelszhzirendtl, hanem a gpfik jelszavval prhuzamosan vltozik, alaprtelmezs szerint 30 naponta, de ez szablyozhat, na mivel? Ht a Csoporthzirenddel! Egybknt 240 karakteres jelszavakkal dolgozik, s muszj, akkor a ResetADServiceAccountPassword cmdlet-tel nullzhat. A fik ltrehozsa a New-ADServiceAccount Name {MSA name} Path {directory path} Hozzrendelse a szerverhez: Add-ADServiceAccount Identity {FQDN} -ServiceAccount {MSA}
~ 139 ~
Teleptse a helyi szerveren: Install-ADServiceAccount Identity {MSA} Ezutn mr csak a fikot hasznl alkalmazs belltsra kell sort kertennk. De azrt itt is vannak korltok: - Egy MSA = egy szerver, ergo nem megoszthat pl. egy a tartomnyban, vagy pldul akkor, ha az alkalmazs egy klaszterben tbb node-on is mkdik - Csak Windows 7 vagy Windows Server 2008 R2 esetn hasznlhat - A teljes SPN kezels csak az R2-es tartomny mkdsi szinttl elrhet, de az egyszerbb SPN mveletek, mint pl. a delegls ms adminok szmra azrt mr korbban is Authentication Mechanism Assurance (AMA) A magyarzat tmren: egy multifaktoros 78 bejelentkezssel tbb jogunk lehet pldul egy fjlmegosztson. Tekintsnk bele egy kicsit az alkalmazsnak a folyamatba: - Az admin csoportokat linkel a smartcard hzirendek alapjn - Ha egy specilis OID van a user SmartCard-jn akkor, amikor belp, kap egy msik SID-et - gy aztn vltozik az Access token, s gy ms biztonsgi csoportba kerl - Hozzfr ersebb jogokkal is az adott megosztshoz - DE ha a smartcard nlkl lp be (pl. egy usernv/jelsz prossal), akkor nem Felttelek: - Csak R2 erd mkdsi szint s csak Kerberos hitelests - A szksges szkriptek (set-IssuancePolicyToGroupLink.ps1, IssuancePolicy.ps1) letlthetek. 79
get-
Directory Services Restore Mode Password Reset Messzirl kezdjk. Minden DC-n az ellptets kzben (lsd 6. bra) megadunk egy jelszt azrt, hogy a helyi felhasznli adatbzis hjn is legyen azrt egy-egy admin jelszavunk, pldul a cmtr visszalltshoz, amikor is gysem megy a cmtr mivel ha menne, nem tudnnk visszalltani. Olyan hitelests megolds, amikor tbb mdszert hasznlunk egyszerre, pl. egy felhasznli nv + jelsz, plusz egy OTP (One Time Password) vagy SecureID hardveres eszkz hatjegy szmkdja, vagy pl. egy smartcardon lv tanstvny + a PIN kd. 79 http://technet.microsoft.com/en-us/library/dd378897%28WS.10%29.aspx
78
~ 140 ~
AD*
Amikor nem megy a cmtr, az a Directory Services Restore zemmd (F8 a boot folyamat kzben, majd a menpont). Szval ez egy kritikus dolog, mert ugyan mi adjuk meg ezt a jelszt, de ez nem azonos az esetleg nap mint nap hasznlt Administrator fik jelszavval. Nem bizony. Ezt a jelszt aztn a sajt rdeknkben rendszeresen vltoztatjuk, a jelszhzirend hat is r, de kzben szpen elfeledkeznk a DSRM jelszrl. vek mlva, mikor sszedl a cmtr az adott gpen, s vissza szeretnnk lltani, akkor jn a pnik, elfelejtettk a teleptskor megadott jelszt, ergo nem tudunk belpni a DSRM mdba, ergo nincs visszallts, pedig kecskt is ldoztunk jflkor egy echte nmet nemesacl trrel. De hiba. A megoldsra tbb mdszer is van. Soroljuk fel: - Nem felejtjk el (de nem rom le hogy lerjuk, mert jelszt nem runk le sose ) - Amikor mg megy a cmtr az ntdsutil-lal, admin jogosultsggal megvltoztatjuk ezt a jelszt - Amikor mg megy a cmtr, egy j ntdsutil kapcsolval szinkronizljuk egy tetszleges tartomnyi felhasznlhoz (nyilvn nem Gizikjhez a titkrsgrl) Megktsek (restrikcik): - Csak Windows Server 2008 s R2 esetn - EGYSZERI mvelet, amely azonnal tmsolja a jelszt - Nem tartomnyi, csak helyi (az ntdsutil blokkol klnben) A parancs pedig konkrtan gy nz ki: ntdsutil "Set DSRM Password" "Sync from domain account <suitable user> " q q
6.3 A
T EREP ELKSZT S E
6.3.1 A S M A F RI S S T S Egy j Windows szerver vltozattal tipikusan egytt jr a cmtrszolgltats vltozsa, a klnbz kisebb-nagyobb jdonsgok megjelense is. Ezek - ahogy lttuk az elz oldalakon - ltalban knyelmes s kellemes vltozsok, de ez elkszts, a tartomny s/vagy az erd felksztse a legtbb esetben azrt nmi terhet is jelenthet (mg ha ltalban deset is). Ha msrt nem, akkor azrt mivel egy alapos ttekintst s mrlegelst kvetel meg az zemeltetktl, mivel a smafrissts egyik klnlegessge abban rejlik, hogy visszafordthatatlan, visszavonhatatlan folyamat, azaz igencsak krltekinten kell eljrnunk a vltoztatsokkal, fkpp nagyobb s/vagy bonyolultabb krnyezetben. Az
~ 141 ~

R2 apropjn teht az OS frisstsi tudnivalk utn a smafrisstsrl is felttlenl meg kell emlkeznnk. Kztudoms, hogy mieltt egy j verzij opercis rendszert tartalmaz tartomnyvezrlt akarunk telepteni egy elz verzij AD krnyezetbe, a smt mindig frisstennk kell. Ennek oka az j szolgltatsok s tulajdonsgok megjelense, amelyek j s jfajta bejegyzseket jelentenek a cmtradatbzisban, teht a smban, azaz a cmtrban trolhat objektumok definciinak trhzban is gondoskodnunk kell a bvtsrl. Nincs ez msknt a Windows 2008 s a Windows 2000/2003 tartomnyok esetn sem. Szerencsre viszont a frisstst nem kzzel kell elvgeznnk, ehhez rendelkezsre ll egy gyri segdprogram, az Adprep.exe (ami a telept DVD-n megtallhat, mind a kt platformra). A frisstshez egy specilis jogokat ad csoporttagsg is szksges, konkrtan a Schema Admins biztonsgi csoport (amely csak a forest root domainben van) tagjv kell tennnk a bvtst vgz felhasznli fikot, ha mg nem az. Tovbbi tudnivalk pontokba szedve: 1. Mieltt elkezdjk a sma frisstst, minimum Windows 2000 natv szinten kell lennie a Windows 2003 tartomnyunknak (a mkdsi szintekrl ksbb mg bven lesz sz). 2. Ha az adott gp lesz az els j DC az erdben, akkor elzetesen az erdt is preparlni kell az adprep /forestprep paranccsal. Ekkor a sma frisstst a Schema Master egyedi szerepkrrel elltott DC-n kell elvgeznnk, ami annyira egyedi, hogy sszesen egyetlen egy ilyen gpnk lehet csak az egsz erdben ez az n. forest root DC. 3. Ha ez a gp lesz az els j DC a tartomnyban (de az erd mr el van ksztve), s a tartomny Windows 2003 mkdsi szinten van, akkor az adprep /domainprep parancsot kell hasznlnunk az Infrastructure Master FSMO szerepkrt birtokl DC-n a tartomny elksztshez. 4. Ha gond nlkl lemegy minden parancs, s gy az erd s a tartomny preparls, akkor nem lesz r szksgnk, de egybknt j ha tudjuk, hogy az Adprep debug naplfjlok helye megvltozott, immr a kvetkez helyen talljuk: %systemroot%\debug\adprep E rsz vgre kerlt extra informci, amellyel mg nem tallkozhattunk, akrhny ve tjk-verjk a smt. Az a specilis helyzet llt el ugyanis, hogy a Windows 2008 egyik nagy dobsaknt szmon tartott teljesen j tpus tartomnyvezrl, a RODC mkdik az erd Windows Server 2003-as szintjn is (igaz egy kisebb szpsghibval, lsd e cikk legvgn). Ha teht a Windows 2003-as tartomnyunkban szeretnnk RODC-ket csatasorba lltani, akkor van mg egy
~ 142 ~
AD*
teendnk az Adprep-pel, mivel preparlnunk kell a Windows 2003-as mkdsi szinten lv erdt azrt is, hogy a RODC repliklhassa a DNS alkalmazspartcikat. Viszont ehhez nem kell a Schema Master gp, az erd brmelyik tartomnyvezrljrl elindthatjuk az Adprep /rodcprep parancsot, de ehhez is szksges az Enterprise Admins csoporttagsg. Tovbbi tudnivalk a RODC alkalmazsval kapcsolatban: - Ha gy tervezzk, hogy a RODC-nk egyben GC (globlis katalgus kiszolgl) is lesz, akkor az erd minden egyes tartomnyban kivtel nlkl futtatnunk kell az Adprep / domainprep parancsot, akr van ezekben j kiads DC, akr nincs. Ennek a kritriumnak az oka az, hogy gy a RODC kpes lesz repliklni a globlis katalgus adatokat minden tartomnybl, s gy - s csak gy - teljes rtk GC-nek szmt majd. - Az els Windows 2008/R2 DC egy meglv Windows 2003/2008 tartomnyban semmikppen nem lehet RODC, ezt a szerepet csak egy msodik j DC birtokolhatja, mivel az els ahhoz kell, hogy a RODC ezen keresztl rje el a tartomnyt, s be tudja indtani a specilis replikcit, a jelszszinkront s egyebeket (rszleteket lsd a RODC fejezetben). 6.3.2 A M K D S I S ZI N T EK A kvetkez lpsben a szintn specilis, mkdsi szintekrl lesz sz (a migrcinl mr ezt s a smabvtst is emltettk egy kicsit), azrt mert az ezzel kapcsolatos teendk is minimum lehetsges, de sok esetben ktelez elemei lesznek az R2 bevezetsnek. A most kvetkez ttekintssel teht ezen a terhen szeretnk kicsit knnyteni, sorba lltva a lehetsges forgatknyveket. Ktelessgem szlni arrl is, hogy a smafrisstshez hasonlan a mkdsi szinten vltoztatsa is visszavonhatatlan folyamat (ltalban, lsd kvetkez keret), teht csak vatosan! A visszavonhatatlansg tnye egszen az R2-ig igaz is volt, de itt mr nem, tnyleg visszafel is lphetnk a mkdsi szinttel. Persze bizonyos korltokkal: 1. Csak egy szinttel vissza (Windows 2008) 2.; felttelezve, hogy nem engedlyeztnk olyan jdonsgokat, amelyeket blokkolna a visszallts (Ha igen: Disable-ADOptionalFeatures), 3; A Recycle Bin viszont NEM letilthat (azaz ha mr megengedtk, nincs visszat). Valamint nincs grafikus fellet a visszalltshoz, ergo marad a Powershell, mgpedig a Set-ADDomainMode, Set-ADForestMode cmdlet-ek. Nos, most is, mint mindig, szt kell vlasztanunk a tmt kt rszre, a tartomnyok s az erd szintjre. Elszr koncentrljunk a tartomnyok mkdsi szintjvel kapcsolatos okossgokra! Az sszes mkdsi szint listja, szp sorban: - Windows 2000 mixed (a Windows Server 2003-ban ez az alaprtelmezett)
~ 143 ~

Windows 2000 natv Windows Server 2003 interim80 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
R2 tartomny mkdsi szintek A legfontosabb: az R2 els zemmd kivtelvel a tbbi felllsban kpes lesz tartomnyvezrlknt dolgozni. Teht az R2 DC egy Windows 2000 mixed md tartomnyban semmikpp, viszont efelett a Windows 2000/2003/2008 tartomnyvezrlkkel is biztosan egyet fog rteni. Windows 2000 natv md tartomnyok Tartomnyvezrl lehet: W2K, W2K3, WS08, R2 Berakhatunk teht egy ilyen tartomnyba is R2 DC-ket, de a tisztn WS08/R2 jdonsgok viszont a tartomny ezen llapotban nem hasznlhatak, hiszen ezen j technolgik alapfelttele a natv WS08-as tartomnyi zemmd. A W2K natv md tartomnyok viszont a kvetkez pluszokat adhatjk az elz (a Windows 2000 mixed) mdhoz kpest: - Az univerzlis csoportok biztonsgi s terjesztsi csoportokknt is hasznlhatak. - Csoportok ltalnos egymsba gyazhatsga. - Biztonsgi s terjesztsi csoportok kztti konverzi. - SID history: A felhasznl rgi, ms tartomnyban hasznlt SID-jt tartalmazza, melyre tipikusan egy migrci utn lesz szksg.
Windows Server 2003 md tartomnyok Tartomnyvezrl lehet: W2K3, WS08, R2 Ebben az zemmdban a Windows 2000 DC-k mr nem, a Windows Server 2003-ak viszont csont nlkl hasznlhatak egytt a Windows Server 2008 tartomnyvezrlkkel. A j pr Windows Server 2008 s R2 jdonsg viszont szintn nem mkdik majd ilyen krlmnyek kztt. A W2K3 natv md tartomnyok pldul a kvetkez lehetsgeket biztostjk (az els ngy rklt a Windows 2000 mixed mdbl, de azrt bertam): - A Netdom.exe-vel tnevezhetjk a tartomnyvezrlt - A Users s a Computers trolk (azaz nem OU-k) tirnytsa
Csak ha NT4-rl jttnk kzvetlenl a Windows 2003-ra, mert ilyen egybknt semmilyen ms esetben nem fordulhat el, teht pl. Windows 2000-rl Windows 2003-ra sem.
80
~ 144 ~
AD*
Kpes frissteni a gpek illetve felhasznlk viszonylatban a LastLogonTime attribtumot, s repliklni a LastLogonTimeStamp-et a tartomnyon bell (mg ha kiss nehzkesen is, azaz nem tlsgosan nagy pontossggal). Az Authorization Manager a hzirendjeit trolhatja az AD-ban Rendelkezsre ll a Kerberos Secure Delegation az alkalmazsok szmra a Kerberos hitelests kiknyszertsre
Windows Server 2008 md tartomnyok Tartomnyvezrl lehet: WS08, R2 Ha itt tartunk, akkor az azt fogja jelenteni, hogy minimum Windows Server 2008 DCink vannak (vagy elszrtuk, de nagyon 81). Ez a szint azrt fontos, mert az ebben a knyvben is emltett Windows 2008-as cmtrszolgltats jdonsgok ekkor mr elrhetek, teljes mellszlessggel. A Windows Server 2008 md tartomnyok teht pldul (a lista nem teljes!) a kvetkez extrkat adjk az elz mdhoz kpest. - DFS-R replikci a SYSVOL megoszts szmra (kifejezetten kellemes dolog, hiszen ekkor bevethet a DFS-R rszeknt az RDC algoritmus, amivel knnyedn magas tmrtsi hatsfokot is elrhetnk, mr csak azrt is, mert az RDC a klnbsgi replikcis mdszert preferlja) - Kerberos AES 128/256 tmogats - Last Interactive Logon Information, amely megmutatja a felhasznl legutols sikeres interaktv belpsnek idpontjt, az ehhez hasznlt munkallomst illetve a sikertelen belpsek szmt is - Fine-Grained Password Policies, azaz alternatv jelszhzirend Az R2-vel kapcsolatos tartomnyi zemmdnl kicsit varilok, mivel itt sztszedem olyan szintekre is, amelynl mg nincs teljes tkapcsols, csak egy j szerver, vagy aztn az els tartomnyvezrl: - Egy vagy tbb R2 tagkiszolgl o Offline Domain Join o Managed Service Accounts - Egy vagy tbb R2 tartomnyvezrl o Active Directory Administrative Center o PowerShell for Active Directory Module o Best Practices Analyzer o DSRM Password Sync - R2 tartomny mkdsi szint o Authentication Mechanism Assurance o Kibvtett MSA-SPN management A tartomnyok utn az erdk mkdsi szintjnek WINDOWS SERVER 2008-as szintre emelsvel folytatjuk. A lnyeg az, hogy mivel az erd a tartomnyok felett
81
Ez egybknt nem megy, van m ellenrzs.
~ 145 ~

lv fogalom, ezrt sokkal vatosabban kell bnnunk az erd mkdsi szintjnek vltoztatsval. R2 erd mkdsi szintek Elszr a lista, ez mr csak t elembl ll: - Windows 2000 (ez az alaprtelmezett a Windows Server 2003/2008 esetn) - Windows Server 2003 interim - Windows Server 2003 natv (az alaprtelmezett az R2 esetn) - Windows Server 2008 - Windows Server 2008 R2 Az tbl a msodik kivtelvel82 hasznlhatunk R2 tartomnyvezrl(ke)t. Nzzk t az idk kezdettl, hogy mi minden pluszt lehetett korbban elrni egy-egy erd mkdsi szint emelssel! Windows 2000 natv md erd Tartomnyvezrl lehet: W2K, W2K3, WS08, R2 Az akkor mg jnak szmt s eld nlkli cmtrszolgltats sszes alaprtelmezett tulajdonsgt hasznlhattuk. Windows 2003 natv md erd Tartomnyvezrl lehet: W2K3, WS08, R2 Nhny jdonsg (termszetesen nem az sszes): - Cross Forest Trust, azaz erdk kztti bizalmi kapcsolat kialaktsa, magyarul kt erd sszektse, pl. kt cg sszeolvadsa apropjn. Ktirny, tranzitv az erdk sszes tartomnya kztt, de nem az egyik erdhz ugyangy kapcsold harmadik erd fel. - Tartomny tnevezs - Link valued replication, azaz az finomtott replikci, amely svszlessg takarkos, s lehetv teszi, hogy ne az adott elemet tartalmaz egsz tmb replikldjon, hanem csak a tnylegesen megvltozott elem. - Sma elemek inaktivlsa, azaz olyan osztlyok s attribtumok forgalombl kivonsa, amelyek srltek vagy mr nem szksgesek. A trls nem jrhat t tovbbra sem, de legalbb a takarts megoldhat, st nagy szksg esetn akr visszakaphatjuk a szemetet is, ti. az inaktivls visszavonsa, a deaktivls is mkdik. - A RODC hasznlata Windows Server 2008 md erd Tartomnyvezrl lehet: WS08, R2 Ugye az Interim md csak egyetlen, nagyon specilis esetben jhet ltre, gy nem jtszik itt sem.
82
~ 146 ~
AD*
Kicsit megdbbent, de a tartomnyi szint szmtalan jdonsgval nagyjbl el is fogyott a puskapor, azaz erdszinten nincs semmilyen extra jdonsg. Egyetlen dolgot azrt meg kell emlteni, ami miatt valsznleg rdemes is lesz megemelni az erd mkdsi szintjt, ha ez lehetsges. A dolog a RODC-val kapcsolatos, de messzirl futunk neki. Nhny alkalmazsnl megszokott dolognak szmt, hogy a cmtrban trol szenzitv adatokat (jelszavak, jogosultsgok, titkostott kulcsok, stb.). Ezzel nincs is gond, st praktikusnak is tekinthetjk ezt a mdszert, a tartomnyvezrlkre amgyis fokozottan oda kell figyelnnk, s ht valban ritkn tnik el egy-egy DC a szerverszobbl / terembl. Viszont ha bekerl majd a kpbe egy-egy RODC - ismerve a tulajdonsgait: csak olvashat, jelszavakat nem trol, Server Core-ra is felmegy, stb. - a telephely egy stt sarkba lerakva, akkor azrt kicsit mgis aggdhatunk. Ugyanis egy cmtrpldny azrt lesz azon a gpen is, szval ha trtnetesen ellopjk, azrt kibnyszhat lesz belle ez-az. Nos, erre tallta ki a Microsoft igen okosan az n. RODC Filtered Attribute Set (RODC FAS) hasznlatnak lehetsgt, amely azt jelenti, hogy a Windows Server 2008 Schema Master DC-n pl. az ldfide-vel vagy az ADSIEdit-tel megnvelhetjk az adott attribtum tulajdonsgai kztt a searchFlags rtket (pl. 0-rl 640-re = CONFIDENTIAL / RODC_FILTERED, lsd kp, br ott mg hexban van). gy aztn ha a tartomnyvezrl beleakad ebbe az rtkbe, akkor ezt az attribtumot nem fogja repliklni a RODC krsre. Mrmint a Windows Server 2008 GC DC-k, merthogy egy Windows Server 2003 GC DC tovbbra is megenged lesz83 s csont nlkl hagyja magt megerszakolni. Ha viszont az erdnkben mr nincs s nem is lehet effajta rgi DC, akkor a problmt - kicsit kzvetve ugyan, de - letudtuk. St, a Windows Server 2008-ban mr gyrilag meg van jellve ily mdon egy pr attribtum, elssorban a Credential Roaming (azaz ha tbb gpen bejelentkezve akarunk azonos tanstvnyt s kulcskszletet hasznlni) s a Bitlocker miatt, konkrtan ezek: - ms-PKI-DPAPIMasterKeys - ms-PKI-AccountCredentials - ms-PKI-RoamingTimeStamp - ms-FVE-KeyPackage - ms-FVE-RecoveryGuid - ms-FVE-RecoveryInformation - ms-FVE-RecoveryPassword - ms-FVE-VolumeGuid Kiprbltam anno ezt is, hiba piszkljuk meg az emltett flag-et a Windows Server 2003 Schema Master-en - nem rti.
83
~ 147 ~

- ms-TPM-OwnerInformation Annyi mg lnyeges, hogy a jelszavak repliklsval ellenttben itt nincs vlasztsi lehetsg egyesvel. Akrhny RODC-vel rendelkeznk, a megjellt attribtumok egyikre sem fognak replikldni. Vagy mindre fognak, ha nem jelljk meg.
6.25
BRA
MEG VARILT
E MPLOYEE -N UMBER
ATTRIBTUMON S ZPEN LTSZIK A VLTOZS
Ha mr itt tartunk, azrt emltsk meg, hogy a FAS mellett/helyett van mg egy lehetsgnk, ez pedig a vdeni kvnt attribtum searchFlags rtknek feljavtsa a CONFIDENTIAL szintre (ennek 128 a decimlis rtke, ez az elz esetben ugye automatikusan benne van a 640-ben, ltszik is az elz kpen). Ezt a Windows Server 2003 SP1 ta lehetsges mvelni, van is hozz egy fraszt KB cikk84 is. Gyakorlatilag e vltoztats az Authenticated Users csoport Read jogt veszi le (ergo egy akrmilyen jttment RODC-jt is), csakhogy - lltlag - az a gond lehet ezzel, hogy az emltett alkalmazsok esetleg nem veszik majd ezt jnven.
84
http://support.microsoft.com/kb/922836
~ 148 ~
AD*
R2 md erd Tartomnyvezrl lehet: R2 A Windows Server 2008-hoz hasonlan megint csak a puskapor teljes mrtk elfogysrl van sz (nzzk csak meg az R2 tartomnyi szintnl, hogy mennyi lehetsg van!), mivel egyetlen jdonsgunk van ezen a szinten, de az mondjuk nagyon szimpatikus: ez a mr megismert Recycle Bin.
6.26
BRA I TT A VGE , FUSS EL VLE !
6.4 T ELEPT SNK
VGRE !
Most egy kpes beszmol kezddik az AD teleptsrl, azrt, mert menet kzben sokkal knnyebb lesz elmagyarzni az jdonsgokat. Most rgtn hadd jegyezzem meg, hogy lpsrl lpsre bemutatok mindent, azonban nem magyarzom el, hogy a nvkonvenci mirt lnyeges, vagy azt, hogy pl. mi az a globlis katalgus, meg a DNS szerver, de azrt, mert mindezt mr lertuk egyszer (Rendszerfelgyelet rendszergazdknak cm knyv), s mr 2x belinkeltem. Viszont azrt arrl beszljnk, hogy az AD telepts s eltvolts mindig is a dcpromo.exe-vel kezddtt s vgzdtt! De a Windows Server 2008 ta mr nem felttlenl, illetve egyltaln nem. Kds, ugye? Direkt csinlom . Szval ha most a dcpromo-t futtatjuk, akkor elszr felteszi az AD-hoz szksges binris llomnyokat, majd elkezdi a teleptst. De ha nem gy akarjuk, van ms md is, emlkezznk vissza, a Server Manager-ben is van AD DS szerepkr. De ha ezt teleptjk, az nem azt jelenti majd, hogy mris tartomnyvezrl lett a gpnk, csak annyit, hogy a binris llomnyok fent vannak, jhet a dcpromo.
~ 149 ~

s ha egy visszalptetsrl van sz? Nos ezt viszont kt lpsben muszj elvgeznnk: 1.; dcpromo > eltvolts ; majd 2.; Server Manager uninstall AD DS85. Ennyi bevezets elg lesz, jjjn a lnyeg!
6.27
BRA
K EZDDIK , A PA ,
KEZDDIK !
Az alapszint instrukcikbl mr itt kapunk egy csokrot: - Legyen minimum 2 DC-d (Egy DC nem DC, mr jeleztem korbban) - A DNS szerver muszjfaktor (majd feltesszk menet kzben) - 2 lpcss telepts (pr sorral nzznk vissza) - Tovbbi elemek is felkerlnek automatikusan a rendszerre, pl. a DFS/R (ez ugye 2 db dolog), illetve a File Replication szolgltats, plusz a .Net Framework 3.51. Ha felrtnk a telepts els lpcsfokra, akkor indthatjuk a dcpromo-t, az innovci azonban csodlatos, a Server Manager szumma kpernyjrl egy kk szn linkkel is, azaz nem muszj a Start/Run szakaszban gpelgetnnk .
Hny, de hny olyan egykori tartomnyvezrlt lttam mr, ahol ez az utbbi lps nem trtnt meg!
85
~ 150 ~
AD*
6.28
BRA
E DDIG
KIRLY
6.29
BRA
LTALBAN
SZKSG IS VAN AZ
A DVANCED
MDRA , S KLNBEN IS
~ 151 ~
6.30
BRA
K OMOLY
FIGYELMEZTETS
Itt azrt kevs a kpalrs, ezrt kicsit kifejtem. A Windows Server 2008-tl kezdve a gyri tartomnyvezrli hzirendben (ami teht egybl mkdni fog) j pr a hlzati biztonsggal kapcsolatos opci engedlyezett vlt86. Ezek kzl itt egyrl van sz, amely hatsa viszont a Windows 2000 eltti klienseket kizrja a tartomnyba belps lehetsgtl (rtelemszeren akkor is, ha eddig mkdtek, teht nemcsak a belptetssel, a belpssel is gond lesz), de pl. egy NT tartomny s az R2-es tartomny kztti megbzhatsgi (trust) kapcsolatoknak is vge. Radsul kls, nem tartomnytagknt mkd eszkzkkel (pl. NAS-ok, egyb SAMBA SMB kliensek, vagy ms, IP alapon elrhet hlzati trolk) is lehetnek elrsi problmk, st mg a Vista SP1 eltti szoftveres komponenseket is emlt ez a figyelmeztet zenet. A megolds a lbjegyzetben lv KB cikkben benne van, ha muszj, akkor gyengtennk kell ezeken a biztonsgi opcikon.
86
~ 152 ~
AD*
6.31
BRA
M EGLV
VAGY J , EZ ITT A KRDS ?
JAT KRELOK , CSAK AZRT VAN MS A KPEN , HOGY LEHESSEN
LTNI A TBBI OPCIT IS .
6.32
BRA
TARTOMNY TELJES
DNS
NEVNEK KIVLASZTSA FONTOS , AZ AJNLS SZERINT N E HASZNLJUNK PUBLIKUS
VGZDST ( BR EZ IS MEGOLDHAT ), DE A . LOCAL , A . PRIV , STB . RENDBEN VAN
~ 153 ~
6.33
BRA
KOMPATIBILITS OKN EGY
N ET BIOS
NV IS KELL , EZT ALAPBL CSONKOLSSAL KPZI A TELEPT
6.34
BRA
E RD
MKDSI SZI NTEK , DE EZT MR KIBESZLT K , J TELEPTS , ERGO I NTERIM NINCS
~ 154 ~
AD*
6.35
BRA
UA.
A TARTOMNYNL ( MIVEL AZ ERD
2003- AS
LESZ , EZRT CSAK
LEHETSG VAN )
6.36
BRA
A KISLNY
~ 155 ~

jra lljunk meg, muszj magyarzni kicsit. A kpen hrom opci van, de kett szrke. A globlis katalgus azrt, mert mivel ez az els DC, azaz a forest root DC, muszj, hogy globlis katalgus legyen. A RODC meg azrt, mert az els (j) DC nem lehet RODC, kell neki eltte egy msik, ami a replikcis partnere lesz. A DNS rendben van, az kell. Egybknt, ha RODC teleptst vgznk, akkor egy kicsit ms lesz innentl a telept, de errl mr volt sz korbban. Szaladjunk csak elre, mert rgtn jn ezutn egy ellenrzs s egy figyelmeztets, amit ha rtnk, akkor nem fogunk izzad kzzel rgtn bepnikolni. Arrl van sz, hogy a DNS zna ellenrzsekor a telept sikt, hogy nem tud deleglst vgezni, mert nem tallja a netlogon.priv zna autoritatv szl znjt. Persze hogy nem tallja, mivel nincs ilyen , ez csak akkor lenne fontos zenet, ha egy olyan tartomnyt krelunk, amely a DNS nv (s gy a znanv) alapjn egy msik tartomny al kerlne, pl. cegled.netlogon.priv. De mg ekkor sem lenne katasztrfa, mert tovbb engedne, csak jelezn hogy akkor csinld meg kzzel a szl znban utlag a deleglst, s menni fog. Szval hagyjuk ezt figyelmen kvl s menjnk tovbb!
6.37
BRA
DNS
ZNA DELEGLSI PROB LMA , VAGY NEM PROBLMA
~ 156 ~
AD*
6.38
BRA
R UTIN
FELADAT ,
95%- BAN
J AZ ALAPRTELMEZETT HELY
6.39
BRA
EZ
EGY BERFONTOS LPS , VISZONT KIBESZLTK MR
~ 157 ~
6.40
BRA
SZUMMA S AZ
E XPORT
SETTINGS , AMI MAJD A CSENDES
AD
TELEPTSHEZ KELL ( LSD
10.
FEJEZET )
6.41
BRA
AZ
IGAZI MUNKA MOST KEZDDIK , DE EZ MR NEM A MI SARUNK
~ 158 ~
AD*
A sikeres ellptets s az ignyelt automatikus jraindts utn (bal als sarok) a bejelentkez kpernyn mr csak s kizrlag a tartomnyba lphetnk be, a helyi felhasznli adatbzisba mr nem, viszont az eddigi Administrator jelszt kell hasznlnunk. No s ha eltvoltunk? Tegyk meg most. Egy msodik DC eltvoltsrl lesz sz, ami egy 2008 R2-es DC, s az elsdleges is az.
6.42
BRA
N EMSOKRA
VGE LESZ
6.43
BRA
M IVEL
EZ EGY
GC,
RGTN JELZI IS , HOGY AZ , DE HA LD , LEGYEN KVR !
~ 159 ~
6.44
BRA
E ZT
CSAK AKKOR , HA TNYLEG EZ AZ UTOLS
DC,
KLNBEN NAGY BAJ LESZ
6.45
BRA
M IVEL
JRA LESZ HELYI FELHASZNLI ADATBZIS , HELYI
A DMIN
JELSZ IS KELL
~ 160 ~
AD*
6.46
BRA
JRA
SZUMMA , JRA EXPORT OPCI AZ ELTVOLTSI VLASZFJLHOZ
A legeslegvgn hadd mondjak el egy fontos dolgot: az sszes panelen mkdik a CTRL+C, ergo ha pl. egy hibba futunk vele, knny lesz kimsolni s a kedvenc keresnkbe berni.
6.5 K ED VENC NK
C SOPORT HZIREND
Rengeteg alkalommal kapok olyan - akr egszen sszetett - szakmai krdseket amelyekre egyetlen szval, azaz brutlis egyszersggel tudok vlaszolni: Csoporthzirend. Felettbb idegest szoksom ez, viszont ltalban nem trflok, a tapasztalatom alapjn tnyleg szmos problmt megoldhatunk a hzirend opcikkal, s sok-sok idt s energit meg tudunk sprolni az energikus Csoporthzirend hasznlattal. Legfontosabb elnyei az egy helyrl trtn, kzponti kezels s a hatkr, azaz akr az sszes szmtgpre s felhasznlra rvnyesthet belltsok. A kzpontosts mellett egy msik lnyeges rv (csnya szval) az implementlhatsg, azaz kpesek vagyunk-e fjdalmas tszervezs nlkl rhzni a szervezetnkre egy komplex, de azrt igny esetn egyediv is tehet bellts gyjtemnyt? Szerencsre igen, ennek tbb biztostka is van, pldul a cmtrszolgltatshoz hangolt mkds, s a kzsen hasznlt hierarchia.
~ 161 ~

gy aztn akr t, akr tezer gprl vagy felhasznlrl van sz, ha van tartomnyunk (legyen ), telephelynk, stb., a Csoporthzirend adu szknt a keznkben van, csak fel kell fordtani. Hasznlhatjuk sokflekppen, tfog megoldsknt vagy kiegszt eszkzknt, a fkusz lehet az opercis rendszer vagy a rendszerkomponensek vagy ppen az egyb kiszolgl termkek, de gyrthatunk egyedi sablonokat, azaz testreszabott belltscsomagokat is. No s persze ne feledkezznk meg a munkallomsok s a felhasznlk krnyezetnek kialaktsrl, illetve bizonyos opcik kiknyszertsrl s/vagy elrejtsrl hiszen ez az a terlet, ahol az idvel s az energival valsznleg a legtbbet tudunk sprolni .
6.47
BRA
EZ
A LEGJOBB KPEM A
C SOPORTHZIRENDRL
A Csoporthzirend evolcija a Windows 2000 Server / Professional prossal kezddtt (ami eltte volt, arrl inkbb hallgassunk). E kt OS viszonyban kb. 630 bellts llt a rendelkezsnkre, ami megdbbenten nagy mennyisgnek bizonyult akkoriban. Azta viszont minden OS vltskor illetve szinte minden szervizcsomag esetn nvekeds volt tapasztalhat, amely kvetkezik egyrszt az egyre okosabb opcik kitlsbl, msrszt a szaporod j komponensek lehetsgeinek lefedsbl. Ma egy Windows 7 s egy R2 esetn a tartomnyban hasznlhat hzirend belltsok szma 3300 krli, szval btran mondhatjuk, hogy elgg aprlkosan szablyozhat. A fejlds folyamatos kijelents kzhelynek szmt ugyan, de azrt igaz. Gondolkodjunk logikusan: a Csoporthzirend a kliensekben megtallhat komponensek s szolgltatsok lehetsgeinek a szablyzst jelenti. Ha jabb s
~ 162 ~
AD*
jabb elemek jelennek meg egy jabb opercis rendszerben, ezeket clszer, majdhogynem ktelez lekvetni a hzirend opcik kztt is. Ez pontosan gy volt eddig is, st egy-egy OS szervizcsomagja vagy akr egy-egy j Office verzi kapcsn is. Ez mindenfle szempontbl irdatlanul, ttekinthetetlenl sok, de szerencsre a bvl opcikon kvl - j ideje elszr - j pr kellemes s knyelmes vltozst is tapasztalhatunk a mkdssel, a kezelssel, illetve a felgyelettel kapcsolatban egyarnt. Nzzk ezeket most sorban! 6.5.1 A C EN T R AL S TO R E Messzirl kell elkezdennk, mivel a Central Store kialaktsnak az egyik elzmnye a Windows Server 2008-ban s a Vistban debtlt j hzirend sablon formtum, az .admx s a hozz passzol nyelvi sablonok, azaz az .adml fjlok megjelense. A hagyomnyos, mr az NT-kben is megtallhat .adm formtum sablonok finoman szlva szmtalan hinyossggal kzdenek, ezek egyike a SYSVOL mappa tlterhelse. Azaz ha tartomnyban ltrehozunk egy j csoporthzirend objektumot, akkor, ha esik, ha fj, a GPO mappjba az alaprtelmezett .adm fjlok, azaz az Administrative Templates szakasz sablonjai automatikusan bemsoldnak. Ez sszesen 4-5 fjlt jelent, a Windows Server 2003 SP2 esetn, kb. 4 Mbyte mretben, teljesen res llapotban. Gondoljunk bele, tbbtz esetleg mg tbb GPO esetn (akkor is, ha egyetlen belltst tesznk meg) szmolnunk kell az jabb 4 Mbyte-tal. Replikci, telephelyek, alacsony svszlessg, mondjam tovbb? Pazarls, az biztos. Nevet is adtak ennek a jelensgnek, ez az n. SYSVOL Bloat. Nos a Visttl kezdden a gyri sablonok sszmrete nem, a registry alap mkds szintn nem, ellenben a sablon formtuma s mennyisge megvltozott. 132 darab (ez a szm a Windows 7-nl mr jval magasabb) XML alap, tartalmban a nyelvi elnevezsektl teljesen elvlasztott .admx fjlunk van a Windows\PolicyDefinitions mappban minden egyes kliensen illetve a szervereken is. Plusz ugyanebben a mappban lehetnek mg tovbbi mappk is, a nyelvi fjloknak (.adml), amelyekbl rtelemszeren szintn 132 db van. Ezek elnevezse nem tetszleges, a mappa neve ktelezen csak az adott nyelvre egyrtelmen utal rvidtett vltozat lehet, pl. En-US, hu-HU, stb.. Nos, el is rkeztnk vgre a lnyeghez, ha vesszk a btorsgot, s ezt az egsz szerkezetet (a PolicyDefinitions mappt) bemsoljuk a tartomnyunk PDC FSMO-val rendelkez DC-jre, a SYSVOL mappba, akkor nincs sablon tbbszrzs, nincs pazarls, kisebb a replikcis forgalom, mindenki rl. Konkrtan a kvetkez helyre kell msolnunk ezt a nevezetes mappt: SYSVOL\sajat.domain\Policies
~ 163 ~

A msolsba vegyk be a tartomnyunkban lv sszes nyelv legfrissebb kliens s szerver sajt .adml llomnyait is az emltett mappkon keresztl. Ha majd frissteni kell, akkor pedig csak fellrjuk s ksz. Innentl kezdve az jabb OS-ek automatikusan szreveszik majd, hogy van kzponti trol, s nem is hasznljk majd a helyben letett sablonfjlokat egyltaln.
6.48
BRA
V AN C ENTRAL S TORE - UNK ( A
KP EGYBKNT MG EGY
W INDOWS 2003- AS
TARTOMNYBAN KSZLT )
A Central Store kialaktshoz a kzi msols is mkdik s tmogatott87, de ha ez brmilyen elkpzelhetetlen okbl nem megy, van hozz egy segdeszkz is (Central Store Creator Utility), amely egy Group Policy MVP kollga blogjrl letlthet88. Egyetlen megjegyzst fznk mg hozz a sablonvltozshoz. Ha ugyanis rendelkeznk sajt .adm sablonokkal, amelyeket szeretnnk a jvben is hasznlni, s nem vagyunk XML guruk, akkor neknk talltk ki az ADMX Migrator segdprogramot, amirl anno jmagam is rtam egy TechNet cikket89.
87 88
http://www.gpoguy.com/FreeTools/FreeToolsLibrary/tabid/67/agentType/View/Prop ertyID/88/Default.aspx 89 http://technetklub.hu/blogs/windowsvista/archive/2010/08/18/admx-migrationtool.aspx
~ 164 ~
AD*
6.5.2 A R GI - J GPMC A lassan t ve publikus Vistban mr megtallhattuk a Group Policy Management Console nevezet MMC-t, azaz mr csak az igazn rgi motorosok emlkeznek arra, amikor mg kln le kellett tlteni s telepteni minden gpre ezt a csomagot, ha a nagyon egyszer alaprtelmezett GP Object Editor (gpedit.msc) nem bizonyult elgnek (nem bizonyult). Ma mr viszont integrlt, az R2-ben elsdlegesen teht ezt a keretprogramot hasznljuk, igaz itt is telepteni kell a Server Manager-rel a modularits elveinek megfelelen (leszmtva a forest root DC-t, amelyre mindig felkerl automatikusan). Kliens oldalon ellenben kicsit cifrbb a helyzet, mert a Vista mg tartalmazta, a Vista SP1-bl azta viszont kikerlt. Ellenben az RSAT minden esetben tartalmazza, teht ha a rendszergazda a sajt gpre ezt a csomagot felrakja, akkor az sszes tbbi felgyeleti eszkz mellett az j GPMC-t is hasznlhatja.
6.49
BRA
A GPMC
6.5.3 S Z R S , K O M M EN TEK S A Z A L L S ET TI N G S N Z E T Nos teht, melyek azok az elnyk, amelyek miatt megri ilyen bonyolult mdon elkszteni s krbejrni a GPMC hasznlatt? Pldul a keress vagy inkbb szrs. Sok ve s sok mindenre hasznlom a Csoporthzirendet, de azrt van, hogy egy ismers opcit percekig keresek feldltan, de az idevg MCP tanfolyamokon a kezdeti Csoporthzirend kbulat utn - a hallgatk els s teljesen logikus krdse is mindig ezzel kapcsolatos.
~ 165 ~

No s ez persze egyre s egyre rosszabb, mivel az opcik szma folyamatosan n. Mg akkor is, ha a szerkezet most mr nagyon rszletes, azaz egy-egy csoporthzirend objektumban, az Administrative Templates-en bell a System s a Windows Components alatt sok s rtelmesen elnevezett gra bomlik a tartalom. De ez nem elg, j prszor elfordul, hogy egy-egy komponenssel kapcsolatos belltsok eltr helyeken is megtallhatak, s pont amiatt az egyetlen ms helyen megtallhat plusz bellts miatt nem mkdik a jl kitallt felhasznl knz elkpzelsnk .
6.50
BRA
S ZRS ,
NAGYON ALAPOSAN
Szval, ha minden egyes opcit szeretnk ltni, ami pldul a firewall-lal kapcsolatos, akkor az j GMPC-ben r tudunk keresni erre (az Administrative Templates szakaszon bell), azaz kiszrhetjk ezeket az opcikat egy egyni nzetbe (jobb gomb: Filter Options). Ilyenkor csak azok a trolk ltszanak a bal oldali keretben, amelyek azokat az opcikat tartalmazzk, melyben szerepel a keresett sz (illetve az All Settings alatt megtalljuk az sszeset, egy listban).
~ 166 ~
AD*
6.51
BRA
SZRS EREDMNYE A BAL OLDALI KERETBEN
A Filtering panelt (legels kp) jobban megvizsglva tallhatunk j pr rdekessget. Szkthetjk a keresst az igazi, azaz a menedzselhet opcikra, vagy mondhatjuk azt is, hogy csak azok a belltsok rdekelnek bennnket, amelyekhez mr korbban hozznyltunk, de szrsi opci lehet a felhasznli megjegyzsek meglte is (errl majd ksbb). Ha kulcsszt runk be, akkor nemcsak az adott bellts szvegben, hanem a gyri magyarzatok, illetve a felhasznli megjegyzsekben is kereshetnk (ezek miatt ltszik annyifle tallat a msodik kpen a firewall szra). Radsul tovbb szkthetnk egy terjedelmes listbl az opercis rendszer, a szervizcsomag vagy akr a klnbz komponensek kivlasztsval. Szval a Windows 2000 ta vrjuk a keress/szrs lehetsgt a Csoporthzirendben, rengeteg ideje nlklzzk mr ezt a lehetsget, de most vgre megkaptuk radsul elgg kimert mdon. A keress, szrs, rendezs tmakrhez tartozik mg kt jdonsg is. Az egyik a korbban mr emltett felhasznli megjegyzsek bevitelnek lehetsge. Minden egyes opcihoz szabadon fzhetnk hozz megjegyzseket, ami elsre nem tnik valami nagyon fontos lehetsgnek, pedig az. Ha pldul tbben hangoljuk a Csoporthzirendet, akkor ha lelkiismeretesen vgezzk ezt, azaz kommenteznk rendesen, akkor mindig tudni fogjuk, hogy ki s mirt lltotta be az adott opcit. De tegyk a szvnkre a keznket: ha csak egyedl konfigurlunk, akkor is emlksznk
~ 167 ~

arra, hogy egy februri kds pntek estn, hrom vvel ezeltt mirt lltottuk be ezt vagy azt? n nem szoktam, ezrt aztn nha vad fejtrsbe kezdek ami gy taln nem lesz szksges.90 Egybknt az Administrative Templates szakaszon kvl mg egyetlen helyen hasznlhatjuk ezt a lehetsget, az adott hzirend objektum tulajdonsgai kztt, ami szintn hasznos lehet egy-egy nagyobb szervezetben. Arrl mr ne is beszljnk, hogy az elbbi kommentek .cmtx, az utbbi pedig .cmt formtumban (Notepad-del szerkesztheten) megtallhatak az adott GPO mappjban, a SYSVOL-on bell!
6.52
BRA
K NNY
ELIGAZODNI A
GPO- K
KZTT IS
Egy msik lehetsg az sszes ltez opci egyetlen listba zsfolsa (All Settings). Ez szintn egy Administrative Templates hatkr mvelet, kln a gpek, illetve kln a felhasznlk esetn. Ilyenkor a gpek esetn 1648, a felhasznlknl pedig 1454 db opcit a jobb oldali keretben lthatunk, alapesetben ABC sorrendben, de van lehetsg rendezni az opci llapota, az esetleges kommentek vagy az elrsi tvonal szerint. Radsul nem egy passzv listt kapunk, hanem brmelyik elemre kattintva rgvest szerkeszthetjk is az opcit (korbban elfelejtettem jelezni, hogy ez a szrs esetn is ugyangy van). A kzs emlkezst segtheti a Microsoft Desktop Optimization Pack Advanced Group Policy Management eszkze, amely mg jvhagysi folyamatokat is tartalmaz egy-egy GPO vltozshoz (a lektor megjegyzse). http://technet.microsoft.com/en-us/library/ee532079.aspx
90
~ 168 ~
AD*
6.53
BRA
A LL S ETTINGS
NZET , KOMMENTEK SZERINT RENDEZVE , S EGY FONTOS MEGJEGYZS AZ ADOT T BELLTSON
Az Explain text, azaz a gyri magyarz szveg kibvtse is ehhez a tmhoz tartozik mg, sok-sok helyen jrartk, rtelmesebb s hasznlhatbb tettk ezeket a magyarz szvegeket, ergo rdemes idnknt megnzni. s egy megjegyzs: ha valamivel ezekben nem rtnk egyet, hibt tallunk benne, vagy jobbat tudunk rni, akkor a Group Policy Team szvesen fogadja az alternatvkat a gptext@microsoft.com e-mail cmen. 6.5.4 S T A RT E R GPO- K Kpzeljk el, hogy szksgnk van 5 darab GPO-ra, amelyben egyenknt 100-100 opcit fogunk belltani! A 100-bl 50 ugyanaz lesz (mert mondjuk ezek a cges alapkvetelmnyek), a maradk 50-nek viszont teljesen eltrnek kell lennie. Mit csinlunk? Rgta vannak mr sablonjaink (lsd: Security Templates MMC) a Csoporthzirendhez, de ezek tipikusan biztonsgi sablonok, az Administrative Templates szakaszra nem vonatkoznak, neknk pedig kifejezetten a gpek s a
~ 169 ~

felhasznlk krnyezetvel s a komponensekkel kapcsolatos konkrt belltsokra lenne szksgnk Nos, a Windows Server 2008-tl kezdve hasznlhatjuk erre a clra az n. Starter GPO-kat. Ezek is egyfajta sablonok, amelyeket neknk kell elzetesen, s egyszer elkszteni (a rendszerrel egy darab sem rkezik, ez is egy eltrs a biztonsgi sablonokkal sszehasonltva). Az j GPMC-ben kln menpontot kapott a Starter GPO szakasz, s ha elvndorolunk ide, akkor els lpsben engedlyeznnk kell a Starter GPO mappa ltrehozst (Create Starter GPOs Folder gomb, a SYSVOL-on bell ugyangy ltrejnnek majd a GUID-dal jellt mappk ehhez is). Ezutn vagy hasznljuk az alaphelyzet szerint itt szerepl91 8 darab GPO kzl az egyiket, vagy elkezdhetjk ltrehozni az els sablont, amelyben lthatan nincs is ms, mint a kt Administrative Templates szakasz (azrt ne becsljk le ezt a jelenleg tbb mint 3000 opcit tartalmaz rszt ). Ha megtesszk a szksges alapbelltsokat, s bezrjuk az j sablonunkat, akkor egy j GPO ksztse eltt akr vlaszthatunk is ezen sablonok kzl kiindulpontknt egyet, s mris lesz mondjuk - a plda szerinti helyzetben - 50 belltsunk.
6.54
BRA
A S TARTER GPO
FELHASZNLSA
Szeretnm a figyelmet felhvni a piros keretben szerepl kt nyomgombra. Szerepk fontos, mivel a hordozhatsgot szolglja, azaz ha egy Starter GPO-t elmentnk .cab formtumba, akkor egy msik rendszerben is elrhetv tudjuk tenni a Load
91
A Windows Server 2008-ban ne keressk ezeket, mert ez egy R2-es jdonsg.
~ 170 ~
AD*
Cabinet paranccsal. Ezek ismeretben szimpla gy lesz felszerelni magunkat nhny hasznos Starter GPO-val. 6.5.5 G RO U P P O L I C Y P R EF E R EN C ES 2006 szn a Microsoft megvsrolta a Desktop Standard nev cget, melynek volt egy remek alkalmazsa ami lehet, hogy nhny Olvasnak mg ismers: ez volt a PolicyMaker. Nos, ezt az alkalmazst jelentsen trtk s testre szabtk, majd teljesen beptettk a Windows Server 2008-ba (s az RSAT-ba is), s Group Policy Preferences nven fut azta is. Annyira fontos s annyira ms, hogy a GPO-kban egy teljesen kln fgat kapott. Mg akkor is gy van ez, ha sszesen kb. 90-100 opcit tartalmaz csak (de ez igazbl sokkal tbb, mert egy-egy ponton akr 30-40 dolgot is llthatunk), teht mennyisg szempontjbl nem sszemrhet a hagyomnyos hzirendekkel. De ms szempontbl sem sszemrhet, ugyanis a hatsa nem ktelez a felhasznlkra nzve, hanem csak ajnlsnak szmt, azaz a felhasznl, ha akarja, megvltoztathatja az ltalunk elre definilt belltst. Termszetesen ugyangy kzpontilag hangoljuk, s ugyangy frisslhet is (a kliensen 90-120 percenknt), radsul kln-kln van itt is gp/felhasznl hatkr (br a hasonlsg az opcik tpusa s rtelme kztt azrt jval kisebb, mint az alap hzirendeknl). Amit mg meg kell jegyeznnk, hogy ha egy hagyomnyos hzirend opci s egy Preferences opci sszeakad, akkor mindig a hagyomnyos nyer, de ez logikus is.
6.55
BRA
P OLICIES
P REFERENCES 2 X
IS EGY - EGY
GPO- N
BELL
A GPP rengeteg olyan kellemes lehetsget ad a rendszergazdk kezbe, amely eddig kimaradt a hagyomnyos hzirendekbl, beszljnk teht ttelesen ezekrl, elszr a szmtgpekre vonatkoz opcik kzl a Windows Settings krben: - Environment szakasz: Ltrehozhatunk, mdosthatunk, kicserlhetnk s trlhetnk krnyezeti vltozkat. - Files s Folders: Ltrehozhatunk, mdosthatunk, frissthetnk s trlhetnk fjlokat s mappkat! Mindkt szakaszban szmos lehetsg van a ltrehozs
~ 171 ~

utn a mappk s fjlok tulajdonsgainak megvltoztatsra is, valamint pl. trls esetn is vlogathatunk a lehetsgekbl. INI Files: Ltrehozhatunk, mdosthatunk, kicserlhetnk s trlhetnk .ini fjlokat, nmi befolyssal a szerkezetre is. Registry: Szintn minden alapmvelet elvgezhet a registry esetn is, sokfle rtk tpust rintve szemben a rgi sablonok fapados lehetsgeivel. St, elindthatunk egy varzslt is, mellyel csatlakozhatunk a tvoli gphez, gy lesben tudunk a registry rtkein vltoztatni (ehhez persze a tvoli gpen futnia kell a Remote Registry szerviznek, a Vistn ez mr nem alaprtelmezett).
6.56
BRA
M KDIK
A KLIENSHEZ KAPCSOLD LES REGISTRY VARZSL
Network Shares: Ltrehozhatunk hlzati megosztsokat is, minden egyes a klasszikus mdon is elrhet jellemzjvel egytt, st az Access-based Enumeration (magyarul: csak azt ltja a felhasznl, amihez van jogosultsga) opcik is elrhetek. Shortcuts: szintn elrhet minden alapmvelet a parancsikonokkal kapcsolatban is.
Van folytats is mg a gpek hzirendjnl, s ez a Control Panel kr, ahol a kvetkez szakaszok tallhatak meg.
~ 172 ~
AD*
Data Sources: Ltrehozhatunk, mdosthatunk, frissthetnk s trlhetnk DSN-eket s adatforrsokat is konfigurlhatjuk, ugyangy mint az ODBC panelen a Vezrlpultban. Devices: engedlyezhetnk vagy tilthatunk eszkzmeghajtkat a class ID-jk alapjn, nagyjbl hasonlan, mint az eredeti (Vista) hzirendben. Folder Options: kicsit ms, mint fent, a fjltpusok, a fjl-sszerendelsek krt szlesthetjk vagy szkthetjk. Local Users and Groups: minden (!), amit egybknt tudunk mvelni a helyi felhasznlkkal s/vagy a csoportokkal. Persze elszr ltre kell hozni ezeket, br az Administrator s a Guest felhasznlkat alaprtelmezs szerint is tudjuk kezelni gy. Network Options: Hihetetlen, de igaz: innen indulva kpesek lesznk minden rszletre kiterjed VPN s DUN kapcsolatokat ltrehozni a kliensen. Mindenre gondoltak, eldnthetjk, hogy egy vagy az sszes felhasznlnl jelenik majd meg a kapcsolat, elrhetek a trcszsi, a hitelestsi s egyb opcik is. Ha van mr azon a gpen VPN kapcsolatunk, amelyiken konfigurljuk a GPP-t, azt pldul importlhatjuk, elkpeszt Power Options: Itt gyrthatunk opcikat s smkat az energiaellts opcikrben (csak Windows XP esetn). Printers: TCP/IP s loklis (!) nyomtatkat hozhatunk ltre. LPT/USB/COM portokat, IP cmet s minden ms nyomtat tulajdonsgot is konfigurlhatunk itt. Scheduled Tasks: Ltrehozhatunk, mdosthatunk, frissthetnk s trlhetnk idztett feladatokat. Services: A rendszerszolgltatsokat illeten is szmos lehetsgnk van, igaz, ez nem sokban klnbzik a szimpla hzirend esetn ismers opciktl.
~ 173 ~
6.57
BRA
K IBONTOTT GPP
GAK S EGY MOST KONFIGURLT
VPN
KAPCSOLAT
Ezek mellett a felhasznlkra is van egy-egy Windows Settings s egy Control Panel szakasz, de ennek (nhny esetben szintn szenzcis) rszleteitl mr megkmlem a kedves Olvast, nzzk meg nszorgalombl, megri. Attl viszont nem kmlek meg senkit, hogy bemutassak mg egy fontos komponenst, az n. Target Editor-t, amelyet minden belltsnl megtallunk (a Common flrl rhet el > Item level targeting fl > Targeting gomb), s amellyel egyszeren s ltvnyosan szkthetjk a belltott opcink hatkrt. A kvetkez kphez rtelmetlen feltteleket szedtem ssze, a lnyeg nem is ez, hanem a soksznsg, mg legalbb hromszor ennyi lehetsg van, amit nagyon egyszeren sszepakolhatunk egy kzs felttelrendszerr (szval nem kell a WMI-vel knldnunk). Ami lemaradt a kprl, pedig klnsen fontos, az a csoportokra illetve az egyni felhasznlkra trtn szrs lehetsge.
~ 174 ~
AD*
6.58
BRA
S ZERFELETT
GRANULRIS S IDITA FELTTELEK
CSOPORTBA SZEDVE
Mr csak egyetlen fontos krds maradt htra a GPP-vel kapcsolatban: mely klienseken fog mkdni alaprtelmezs szerint, s mi lesz a tbbivel? A vlasz nem olyan rossz, mint amire szmthatnnk: Windows 2008-on csont nlkl, a Vista RTM, XPSP2 s Windows Server 2003 SP1/SP2 esetn egy letlthet n. Client-Side Extension (CSE) segtsgvel mkdik a GPP. A Vista SP1 ta viszont gyrilag beptett a kliens. 6.5.6 T O V B B I R2- ES J D O N S G O K Nhny dolog megjult, tbb mint 300 92 opci bekerlt (IE8, Bitlocker/ToGo, Power, Taskbar, Security, WLAN, PKI, NAP, NRPT, AppLocker, DNSSec, DirectAccess, Biometric Framework), s lett 1-2 komoly s fontos jdonsg is, de azrt mindezt csak egy szk felsorols formjban fogom most ismertetni: - Windows PowerShell Cmdlets for Group Policy o Ahogyan nagyon sok egyb terleten, a csoporthzirendben is megjelent a PowerShell szkriptek segtsgvel trtn menedzsment lehetsge. GPO-k ltrehozsa, trlse, mentse, tnevezse, valamint
92
Ez a plusz 300 benne van az ltalam korbban emlegetett 3300-ban.
~ 175 ~

a direkt rs s olvass a GPO-kban, Logon / logoff, startup / shutdown PS szkriptek mind-mind egyszer feladatt vlt. Group Policy Preferences o A Windows Server 2008-ban bemutatkoz GPP (Group Policy Preferences) szolgltatsai ismt bvltek nhny elemmel, ezeket sem fogjuk kihagyni az ttekintsbl. System Starter Group Policy Objects o Belltsokkal feltlttt 8 darab Starter GPO, bevlt Microsoft ajnlsok alapjn GPP o Tbb kisebb javts a Targeting-en, nmi UI rncfelvarrs s rengeteg j lehetsg a Windows 7-hez (energiaellts, Inmediate Task, IE8, stb.) AppLocker o Taln ez a funkci az R2-es verzi legnagyobb Csoporthzirend jdonsga, ami a jl ismert s bonyolultsga miatt kevs alkalommal hasznlt Software Restrictions Policy j vltozata (az SRP azrt tovbbra is megvan), amely Windows 7 s Windows Server 2008 R2 alatt, az alkalmazsok egyszer, kzponti tiltsval/engedlyezsvel knnyti majd meg az letnket.
~ 176 ~
AD*
6.59
BRA
PIROS PONTOSOK TELJESEN JAK
s most, hogy vgre elrtnk a Csoporthzirend szekci vgre, klnsebb kommentek nlkl megosztank 1-2 zemeltetsi tancsot, mert tancs az aztn tnyleg kell ehhez az eszkzhz: - Mindenkppen teszteld le a belltsok hatst! - Elszr a GPO-kat csinld meg, s csak eztn kerljenek be a kliensek a hatkrkbe! - A GPO gyrts/szerkeszts ugyanarrl az OS verzirl trtnjen! - A j cl a kevs GPO, sok s logikailag sszefgg belltssal! - vatosan a knyszerts s a blokkols lehetsgekkel! - Az adminoknak mindig tilts (Deny) legyen a vgrehajtson! - Hasznld btran a parancssort s a GPMC extrkat! - Kommentls, dokumentls, ments! - Prbld meg a felhasznlk tudomsra hozni a mirt magyarzatt! 93
93
Opcionlis
~ 177 ~
7 K IEMELT
SZOLGLTATSOK
Mrmint gy rtem, hogy az ltalam kiemelt szolgltatsok . Ezek azok a nagyobb komponensek, melyeket nehz beskatulyzni, mert tbb szerepkrrel s szolgltatssal is egytt dolgoznak. Viszont kzs jellemzjk, hogy ingyenesen elrhetek, azaz az opercis rendszer rszei, s az is, hogy igencsak innovatv megolds mind, valamint mg az is, hogy a bevezetsk vagy a mkdsk megrtse nem egyszer feladat deht neknk muszj szeretni a kihvsokat.
7.1 A
KARANT NU NK , A
NAP
A NAP, azaz a Network Access Protection valsznleg a Windows Server 2008 legnagyobb biztonsggal kapcsolatos dobsa. A legtbb szervezet esetn ugyanis jelents igny mutatkozik egy olyan megoldsra, amely mr a fizikai hlzat szintjn elvlasztja az alkalmi csatlakozs vagy kevsb megbzhat, illetve kevsb felgyelhet szmtgpeket a bels hlzatba tartoz kliensektl s szerverektl. Tartomnyi krnyezetben ugyan van nhny eszkznk a biztonsgi hatrok fellltsra, a kzponti felgyeletre s a renitens gpek mresre tantsra, de sok esetben mg ez is kevsnek bizonyul, vagy ppen nem alkalmazhat. Viszont a fizikai vagy a tvoli hozzfrs szintjn egyltaln nem rendelkeznk ezekkel az eszkzkkel, ugyanakkor nagyon sok esetben nem tagadhatjuk meg teljesen a hozzfrst a hlzatra szksgszeren jogosan kapcsold (nem tartomnyi) gpektl sem. Erre a lthatan nehezen megoldhat helyzetre nyjthat gygyrt a NAP, azaz egy olyan szerverkliens megolds, amely a vdett hlzatunkban alaprtelmezs szerint mg az IP-kapcsolatot sem engedi meg, s amely csak egy alapos, az zemeltetk ltal rszletesen hangolhat vizsga sikeres teljestse esetn adja meg a hozzfrst a bels hlzathoz kapcsoldni szndkoz gpeknek. De a NAP nemcsak az ellenrzst oldja meg, hanem az elutastott gpek lelhelynek, azaz a karantnnak a vezrlst s az automatikus llapotjavtshoz szksges folyamatokat is kpes kzben tartani. A NAP clja teht tmren az, hogy a routerek, switchek, a vezetk nlkli hozzfrsi pontok, a szoftveres s az appliance (hardverbe ptett clszoftver, pldul egy Forefront TMG) rendszerek segtsgvel rvnyestse a vgpontokon a biztonsgi elvrsainkat. Mindezt gy ri el, hogy lekrdezi a hlzatra csatlakoz eszkzk egszsgi llapott (bekapcsolt tzfal, Windows Update kliens, vrus/spyware-irt llapota, st kls gyrttl szrmaz sablonok94, stb.), majd ezt sszehasonltja az ltalunk elre definilt szablycsomaggal, s az eredmny alapjn dnt a hlzati hozzfrs engedlyezsrl. Ha a folyamat negatv eredmnnyel zrul, a Mra (2011) rengeteg kls gyrt is tmogatja, szzas nagysgrendben (http://www.microsoft.com/en-us/server-cloud/windows-server/network-accessprotection-nap.aspx).
94
~ 178 ~
KIEMELT SZOLGLTATSOK
kapcsoldni szndkoz kliens nem jut be a vdett hlzatba, hanem lehetsget kap biztonsgi llapotnak szintre hozsra, azaz csatlakozhat a publikus szegmensen mkd patikaszerverekhez 95 , pl. egy WSUS-hoz/SCCM-hez vagy a vrusirt- szignatrkat trol szerverhez, majd a szksges korrekci utn (ami lehet automatikus is, lsd auto-remediation 96 ) vgrehajthat egy jabb kapcsoldsi ksrletet, s ha egszsges, akkor beengedjk a hlzatba97.
7.1
BRA
AZ
SSZES KAPCSOLDSI KZEG
A korrektsg kedvrt emltsk meg a NAP egyetlen elzmnynek tekinthet mr a Windows Server 2003-ban s az ISA 2004/2006 kiszolglkban is jelenlv VPN-karantn megoldst, de csak azrt, hogy kiderljn: mlysgben s hasznlhatsgban egyarnt nagyon klnbzik a NAP-tl. A legjobb plda erre a belptet kzeg, ugyanis a VPN karantn rtelemszeren csak a VPN kapcsolatok esetn volt hasznlhat, mg a NAP a vezetkes, a vezetk nlkli s a RAS/VPN kapcsolatok esetn is, illetve a kapcsolds tpusa alapjn a DHCP, IPSec- vagy ppen az RDP kliensekre is alkalmazhat.
Fti Marcell szenzcis elnevezse. Magyarul bekapcsolja a kikapcsolt tzfalat. 97 Ha sokig nem viselkedik rendesen, akkor viszont a karantnbl is kikerlhet (mivel konfigurlhat az itt tlthet idtartam), azaz meg is szakthat a kapcsolat.
95 96
~ 179 ~

Fontos azt is tudni, hogy az els NAP kiszolgl a Windows Server 2008 volt, kliensoldalon viszont a Vista mr tartalmazza a megfelel sszetevket, de egy j ideje mr elrhet az XP SP2-re telepthet NAP kliens is, de sokkal logikusabb (ms okokbl is nyilvn) XP SP3 hasznlata, mivel ez is gyrilag tartalmazza a NAP kliens alkalmazst. Ha van a gpnkn NAP kliens, s mkdik a NAP infrastruktra is, akkor viszont az ellenrzse folyamatos, teht dinamikusan vltozhat a szmtgpnk elhelyezse, azaz ha a feltteleket nem teljesti a gpnk, egybl a karantnban tallhatja magt. Ezek utn tisztzzunk egy-kt ismeretlen fogalmat, illetve tovbbi elemet, amelyek a NAP hierarchia rszei a kliensoldalon: - System Health Agent (SHA): Feladata a kliens rendszer alkalmassgnak ellenrzse, majd ennek az informcinak a jelentse. - Enforcement Client: A kliens kapcsoldsi metdust jelli. Minden hlzati hozzfrsi tpushoz (lsd ksbb) egy-egy kln NAP EC ll a rendelkezsre. Ha pldul a klienseink a DHCP-vel kapcsoldnnak a NAP kiszolglhoz, akkor ezt kell engedlyeznnk. - NAP gynk: Az EC-k s az SHA kztti informcicsere bonyoltja. s persze ne felejtsk: ha nincs gynk a gpen, vagy ha nem mkdik, vagy nincs elindtva egy NAP EC sem, akkor nem a karantnban vannak a gpek, hanem nincs semmilyen kontroll s mindent szabad98!
7.2
BRA
K OMPONENSHEGYEK
7.1.1 S S ZE T E V K
98
De ne ijedjnk meg: Csoporthzirend!
~ 180 ~
Ha szndkunkban ll a NAP bevezetse, akkor szmoljunk azzal is, hogy tbb kiszolgl-szerepkr is felkerl majd a kiszolglnkra, illetve j pr kls szerepkrt ssze is kell konfigurlnunk a NAP-pal. Nzzk az sszes kapcsold elem listjt: - Network Policy Server (NPS): Mr volt rla sz korbban, gyakorlatilag a Microsoft legjabb RADIUS szerver implementcija 99 . Az NPS taln a legfontosabb eszkznk, mivel gyakorlatilag minden fogad komponenssel tartja kapcsolatot, s a kezben van a dnts a beengedsrl, vagy az elutastsrl. Ezenkvl a Connection s a Network Policy gyjtkben lv szablyok segtsgvel: o Kzpontilag kpesek lesznk felgyelni a vezetk nlkli hozzfrsi pontokat, a VPN szervereket, a dial-up szervereket s pldul a 802.1x szabvnnyal dolgoz hlzati eszkzket is. o Az egszsgi llapot elrsok SHV (System Health Validator) ellenrz csomagok formjban kerlhetnek fel az NPS szerverre. o A kliensek egszsgi llapott felmr s az eredmnyt trol csomagok (Statements of Health SoH) is kzbesthetek az NPS-en keresztl. o A korltlan s a korltozott hozzfrsek kritriumait is lerhatjuk (Health Policy), s persze a NAP EC-knek megfelelen tbb szablyzat is ltezhet. - Health Registration Authority (HRA): Egy olyan NAP komponensrl van sz, amely csak az IPSec tpus kapcsoldskor (lsd ksbb) szksges. A kliens egy a megfelelt llapott bizonyt tanstvnyt kaphat ettl a kiszolgltl az SoH krs kikldse utn, s ezzel pti majd fel az IPSec kapcsolatot. - Host Credential Authorization Protocol: A Cisco hasonl (NAC, Network Admission Control) rendszere fel kapcsolatot teremt komponens. - RRAS: Szintn felkerl a szerverre ez a rgi j ismers is, amely a sokfle kapcsoldsi lehetsgrt, illetve hlzati technolgirt felel (VPN, DUP, LANto-LAN, LAN-to- WAN, NAT stb.) , de a NAP-hoz csak kzvetve kapcsoldik. - IIS7 + PKI infrastruktra. Szintn ktelez elemek, mr a telept varzslban is konfigurlhatunk egy sajt CA-t (persze ha mr ltezik, akkor hasznlni is tudja a megfelel szervertanstvnyt). - s vgl, de egyltaln nem utolssorban az Active Directory, ami az elrt egszsgi informcik lelhelye lesz. s most jjjenek a rszben mr emlegetett kapcsoldsi lehetsgek, amelybl t ll rendelkezsre, azaz ezek azok a kzegek amelyekbl kapcsoldva egy kliens llapott a NAP kpes vizsglni, majd dnteni a sorsrl. 7.1.2 A
99
K AP C S O L D S I L EH E T S G EK
Az NPS-t persze hasznlhatjuk RADIUS kliensknt is, s ezen a terleten is, pl. egy telephelyes, tbb NAP kiszolgls infrastruktrban.
~ 181 ~

1. DHCP kiszolgln keresztli kapcsolds Nem tkletes mdszer 100 , hiszen arrl van sz, hogy elutasts esetn egy nem kifogstalanul megfelel IP konfigurcit fog kapni a kliens - de ha a felhasznl fogja magt s belltja (bellthatja?) statikusra a TCP/IP jellemzket, mr ki is kerlte a NAP-ot. Mivel a kommunikcihoz egy rtelmes IP cmre azrt szksg van, gy csak egy specilis DHCP User Class konfigurci rszeknt pl. egy rossz default gateway-t kaphat elutasts esetn a kliens.
7.3
BRA
A NAP DHCP
SZKOPNKNT ENGEDLYEZHET
2. 802.1x Vezetkes (Wired) s vezetk nlkli (Wireless) kapcsoldsok Korrektebb megolds, mint az elz, vezetkes s vezetk nlkli eszkzk segtsgvel, viszont ezekkel a hardver eszkzkkel szemben elvrs, hogy a hozzjuk fordul kliens egszsgi llapott kpesek legyenek fogadni s tovbbkldeni az NPS fel. Negatv vlasz esetn viszont a hardver eszkz tipikusan egy a bels hltl eltr, attl fggetlentett VLAN-ba irnytja majd a gpeket. De persze gondoskodunk kell arrl, hogy a patikaszerverekkel is legyen kapcsolata ennek a VLAN-nak.101
Viszont a DHCP mindig kznl van, s ha erre is hasznljuk, akkor mr ez is hatalmas elrelpsnek szmt. 101 Nehezti ezt a szitucit, hogy vagy a hlzatos kollgkkal kell egyeztetni (nem mindig sikeres az ilyen kezdemnyezs), vagy magunknak kell rteni ezekhez az eszkzkhz (a lektor megjegyzse).
100
~ 182 ~
7.4
BRA
S ZMTALAN VLAN
3. VPN alap hlzati hozzfrs
7.5
BRA
K T
TZ ( FAL ) KZTT
A NAP VPN tmogatsa szemben a korbbi VPN karantn megoldssal szleskr, s knnyen konfigurlhat, s nehezebben kikerlhet. Knnyedn elrhatjuk az egszsgi llapotot, amit a kapcsold kliensen lv gynk folyamatosan figyel. Tipikusan a kapcsold gp egy tartomnyi gp lesz, gy az automatikus javts sem lehet problma, s a kapcsolds ideje alatt folyamatosan ellenrzs alatt marad a kliens. Az j fejleszts VPN tunnel protokollok mind NAP kompatibilisek, de a kvetkez rszben ismertetsre kerl DirectAccess elrs esetn is folyamatosan ellenrzs alatt maradhat a kapcsold munkalloms. s persze ne feledjk, ha pl. egy
~ 183 ~

Forefront TMG 2010 adja a VPN szerver funkcit, akkor sem csorbul a NAP kompatibilits! 4. RDP over HTTPS (Remote Desktop Gateway) Egy ksbbi fejezetben alaposan ki fogom fejteni az egyik kedvenc tmakrm, a TS/RDS rszeknt megjelen Remote Desktop Gateway feladatait, de most csak annyit, hogy az RDP kapcsolatok HTTPS tunnelbe bjtatsa, illetve a kapcsolatfgg biztonsgi szablyok alkalmazsa mellett, a kvlrl, a kliensektl rkez NAP krseket is kpes tovbbtani. Viszont a NAP ebben az egy kapcsoldsi terletben nem kpes a karantn kezelsre. Teht megvizsglhatjuk a kapcsold gp egszsgi llapott, azonban ha az nem teljesti az elrt feltteleket, akkor itt nem ltesl karantn hlzat, ahonnan kpes megjavtani magt a gp - viszont a tilts kivlan mkdik. 5. HRA: IPSec alap vdett hlzati forgalom Taln a legbiztosabb vdelmet ez a megolds kpes nyjtani a nem megfelelen konfigurlt gpekkel szemben. A megfelel rendszer felptshez alkalmaznunk kell a domain izolci fogalmt, melynek lnyege, hogy a bels hlzatban fut szenzitv informcikat tartalmaz kiszolglnkhoz IPSec alap szablyokat hozunk ltre. Az IPSec alkalmazsval nem csupn a hlzati forgalom titkostst s az adatintegrits vdelmt nyerjk, de egyttal azt is szablyozhatjuk, hogy csak azok a kliensek legyenek kpesek kommuniklni a kiszolgli rendszerrel, akik teljestik az elrt egszsgllapot felttelrendszert. Az IPSec alap kommunikcis csatorna kiptsnek els lpse a kt fl klcsns hitelestse. A hagyomnyos IPSec esetben a hitelestshez alkalmazhat a megosztott titok (preshared key), a Kerberos alap jegyrendszer s a megbzhat, CA ltal kibocstott tanstvny. A NAP esetben viszont kicsit tekertek a fejlesztk az alap logikn. Itt mindkt flnek egy specilis OID (Object Identifier) mezvel elltott tanstvny sablonbl killtott tanstvnyra van szksge, amit nem ignyelhetnek kzvetlenl. Ilyen tanstvnyt a Health Registration Authority (HRA) Windows Server 2008-as szerepkrt ellt kiszolgl llt ki az elrt egszsgi llapotot teljest gpek szmra. Ha egy gp nem teljesti az elrt feltteleket, akkor nem kaphat ilyen tanstvnyt, ha pedig korbban teljestette azt, de valamilyen oknl fogva menet kzben attl eltrt, akkor a korbban kibocstott tanstvnyt a kliensen fut nap gynk eldobja, ezzel megszakad a vdett kiszolglval felptett IPSec csatorna.
~ 184 ~
7.6
BRA
E GY
SIKERES KAPCSOLDS TANSTVNY S AZ
IPS EC
SEGTSGVEL
Vgl cmszavakban nzzk meg, hogy mi trtnik egy mkd NAP rendszerben, amikor a kliens DHCP-vel szeretne kapcsoldni. 1. A kliensnk a szoksos mdon IP-belltsokat kr a DHCP-kiszolgltl. Ha a kliens rendelkezik az SoH-val, akkor ezt a DHCP-krelem mr tartalmazza. A DHCP-szerver az SoH-t tovbbtja az NPS kiszolglnknak, az pedig kiderti, hogy rvnyes-e. 1.1. A eset: Ha igen, a DHCP-kiszolgl elltja a klienst a komplett IPkonfigurcival, a kliens pedig korltlan hozzfrst kap a hlzathoz, s vge a folyamatnak. 1.2. B eset: Ha nem, akkor a DHCP olyan IP-paramtereket ad t a kliensnek, amelyek csak a korltozott hlzathoz biztostanak hozzfrst (lsd korbban). 2. Ha a kliensnek nincs SoH-ja, akkor nem megfelel, s ugyanaz trtnik, mint az elz pont B esetben, s jhet a kvetkez pont. 3. A kliens NAP gynke frisstsi krelmet kld a nyitott vagy elrhet hlzaton lv patikaszervernek. 4. A patikaszerver elltja a klienst a megfelel javtsokkal, s a kliens SoH-ja is aktualizldik. 5. Ismtelt krelem indul a DHCP-szerver fel, amely viszont mr tartalmazza az j SoH-t azaz kezddhet ellrl a vizsglat, az idelis 1.1 pont fel haladva.
~ 185 ~
7.7
BRA
E GY NAP
KLIENS S AZ
EC- K ,
BEKAPCSOLT
DHCP EC- VEL
De nzzk meg - gyorstott zemmdban - azt is, hogy hogyan konfigurlunk be egy IPSec EC-vel mkd NAP-ot! A feladat kicsit elrugaszkodik a knyv alaptmjtl, de legalbb egy relis cl: egy VPN szerverknt (is) mkd Forefront TMG vagy UAG szerveren keresztl mkdjn a NAP, a tartomnyi - tipikusan hordozhat - gpeink szmra, amikor nem a bels hlzatban vannak. 1. lltsuk be a tanstvnykiadnkat (Certificate Authority) gy, hogy kpes legyen egy megfelel egszsgi tanstvnyt kiadni a NAP kliens krse esetn! a) Ehhez egy Workstation Authentication tanstvny kell majd, teht msoljunk le egy ilyen sablont a CA Certificates Templates konzolban (Windows Server 2003 Server, Enterprise Edition tpus). b) A neve lnyegtelen, ellenben az Extension > Application Policies > Edit alatt vegyk fel a System Health Authentication policy-t, mivel ennek az OID-ja azonostja majd a tanstvnyt egy NAP egszsgi tanstvnyknt. c) Engedlyezzk a sablont (Certificate Templates > New > Certificate Templates to Issue), majd a CA gykern adjunk meg minden jogot a leend NAP szervernk szmtgp fikjnak (lsd kvetkez kp). Erre azrt van szksg, hogy a NAP kiszolgl kpes legyen kiadni egy tanstvnyt az egszsges kliens nevben. d) Egy bonyolult parancs jn: Certutil setreg policy\EditFlags +EDITF_ATTRIBUTEENDDATE ez azrt kell hogy a HRA szmra a leend krsben specifiklhat legyen az rvnyessgi peridus. e) Ezek utn a CA jraindtsa ktelez.
~ 186 ~
f) A leend NAP szerveren krjnk egy Computer tpus tanstvnyt a kiszolglnak (elvileg itt mr ltni fogjuk a NAP klienseknek szl sablont is, de nem ez kell most).
7.8
BRA
A NAP
SZERVER JOGAI ERSEK LESZNEK ITT
2. A NAP szerepkr teleptse a kvetkez lps, azaz rakjuk fel az NPS es a Health Registration Authority komponenseket. A telepts kzben vlasszuk ki a CA szervernket, mint Existing Remote CA-t, majd az elbb elksztett tanstvnyt is. 3. Indtsuk el az NPS-t, majd a fkpernyrl a Configure NAP pontot! Ha IPSec alapon szeretnnk a NAP-ot, akkor vlasszuk a kvetkez kpen is szerepl IPSec with HRA metdust. 4. A RADIUS kliens(eke)t meghatroz lpsen simn tugorhatunk, mivel a mi esetnkben a helyi HRA lesz majd a RADIUS kliens. A kvetkez, Machine Groups ablakban a felhasznli rvnyessgi krt adjuk meg. Ha nem adunk meg semmit, akkor minden felhasznlra rvnyes lesz ez a hzirend.
~ 187 ~
7.9
BRA GY INDUL A
NAP
VARZSL
5. Ezutn egy SHV megadsa kvetkezik. Ha nem teleptettnk egy klst (pl. a Forefront vrusirthoz is van ilyen), akkor marad a gyri a Windows SHV (mindjrt rnznk a belltsaira). Itt lthatunk mg egy fontos opcit is, ami az auto-remediation-ra, azaz az automatikus gygytsra vonatkozik. Ha ezt megengedjk, akkor pl. a kikapcsolt MIcrosoft Update kliens vagy a tzfal bekapcsolja majd magt a kliensen. 6. Ezek utn jn az sszegzs s ez a rsz kszen is van, viszont az egsz mvelet mg egyltaln nem, ezrt ugorjunk t a Network Access Protection pontra s keressk meg a Windows SHV belltsait (7.10 bra). Nos, itt fogjuk a csatlakozsi feltteleket belltani! Az brn is lthat, hogy n csak annyit kveteltem meg most, hogy a Microsoft Update kliens legyen mindig bekapcsolva.
~ 188 ~
7.10
BRA
AZ
ELVRT FELTTEL BE LLTSA
7. Ezzel vgeztnk is az NPS-ben, ergo indtsuk el a HRA-t az Administrative Tools-bl. Itt viszonylag kevs dolgunk lesz, a bal oldali keretbl vlasszuk ki a Certification Authority-t, s jelljk ki a CA szervernket az Add paranccsal. Ha ezzel megvagyunk, akkor vlasszuk ki ugyanitt a CA tulajdonsgait, s lltsuk be a kvetkez kp alapjn a Use enterprise certification authority alatt ktszer a korbban elksztett egszsgi tanstvnyunk sablonjt. s ezzel vgeztnk is a HRA-val.
~ 189 ~
7.11
BRA
A HRA
BELLTSA
8. Jjjn viszont a Csoporthzirend, definiljunk egy kln GPO-t, majd lltsuk be a kvetkez opcikat: a) Hatrozzuk meg az EC tpust (IPSec Relying Party, lsd a kvetkez kpet)! b) Jelljnk meg egy URL-t, amelyen a NAP szervernk elrhet kvlrl is (a pldban erre szksgnk lesz), mint egy megbzhat HRA (7.13 bra)! c) lltsuk be, hogy a NAP szolgltats minden rintett kliensen automatikusan induljon (Security Settings > System Services)! d) lltsuk be azt is, hogy a Security Center (Administrative Templates > Windows Components > Security Center) mindig legyen bekapcsolva (ez egy tartomnyban alaprtelmezs szerint ki van kapcsolva)!
~ 190 ~
7.12
BRA AZ
IPS EC EC
BEKAPCSOLSA A
C SOPORTHZIRENDBEN
7.13
BRA
A Z E XTERNAL
KAPCSOLAT KO NFIGURLSA
~ 191 ~

9. Most mr csak egy dolog van htra, engedlyezzk pl. a VPN szervert is betlt Forefront TMG-n vagy UAG-on a NAP hasznlatt, illetve a laptopokon futtassunk egy gpupdate /force parancsot mg a bels hlzaton, hogy a Csoporthzirend belltsokhoz hozzjussanak. 10. Stljunk el a kliensre, ami kzben mr kikerlt a hlzatbl s most kvlrl prbl egy VPN-nel (vagy ppen DirectAccess-szel, lsd kvetkez fejezet) kapcsoldni. Ha ez sikerl neki, akkor kt dologbl is ltszik hogy a NAP mkdik: a) Kapcsoljuk ki a prba miatt Microsoft Update klienst kzzel! A NAP elszr zen egy buborkban a Tlcn, hogy problma van, de a remediation azonnal visszakapcsolja. b) Gpeljk be a certutil viewstore my parancsot! Ekkor megtekinthetjk az ppen ltez egszsgi tanstvnyunkat.
7.14
BRA
AZ
EGSZSGI TANSTVNY
sszegezzk mg egyszer! Amikor a kliens a kls hlzatbl csatlakozik, a NAP ellenrzs is megtrtnik s ha be van kapcsolva (a pldm szerint) a Microsoft Update, akkor megkapja a kliens a spci tanstvnyt s mkdik az IPSec csatorna kiptse. Ha nem, akkor pedig a remediation llapottl fggen vagy automatikusan bekapcsoldik a Microsoft Update, vagy nem lesz addig kapcsolat, amg kzzel nem korriglunk. Ha nincs
~ 192 ~
kapcsolat, akkor azrt nincs mert az emltett tanstvnyt ilyenkor nem kapja meg a kliens. Korrekt. Vgl ennyi kattintgats utn, mieltt dmonizlnnk a NAP-ot, tisztzzuk azrt azt, hogy mire nem lesz j? - NEM vd a felhasznli tmadsok ellen - NEM VPN karantn - NEM ISA/TMG kiszolgl - NEM kell felttlenl hozz specilis hardver - s persze NEM kell hozz kln licenc sem
7.2 T BB
MINT
VPN D IRECT A CCESS
A 2007-es RSA konferencin beszlt Bill Gates elszr arrl a vzirl, hogy VPN vagy brmilyen ms tvelrsi mdszer nlkl is el kellene tudnunk rni biztonsgosan a bels hlzatunk erforrsait, instant mdon, azaz brmilyen manulis teend nlkl, gyakorlatilag teljesen automatikusan. Ez remekl hangzott az elkpzels szintjn, hiszen akr rendszergazda vagyok, akr felhasznl, ezzel az elrssel csak a problma van. A VPN bonyolult (is tud lenni, fkpp, ha szimpla felhasznlk vagyunk), ha komolyan vesszk, kell a Smartcard\PKI, sokszor egy automatikus default gateway tirnytssal is jr (a split tunnel-t nem szeretik ltalban a cges krnyezetben), vannak olyan hlzatok (pl. hotelek vagy egyb szigor cges hlzatok), ahonnan nem hasznlhat, vagy csak PPTP, s sorolhatnm mg a problmkat. Summa summarum: nem igazi az lmny. 7.2.1 M I I S E Z ? A DirectAccess azaz a Windows Server 2008 R2-vel s a Windows 7-tel megvalstott kzvetlen elrs viszont az. Mivel jmagam pldul rendkvl sokat vagyok tvol az irodtl, a tvoli elrs az els pillanattl kezdve fontos volt. Anno minden gpemhez beszereztem a smartcard olvast (a Dell Tablet PC-hez nem volt egyszer), mindenhol hasznltam a CMAK-kal csomagolt IT Connection Manager-t az sszes kritriummal egytt (a rszletek nem publikusak). Mkdik, de mindez csak knlds a DA-hoz kpest. Ugyanis most mr semmit nem kell trcszni, semmit nem kell elindtani (kritriumok persze ugyangy lehetnek, pldul megkvetelhet a smartcard hasznlat), csak indtom a bngszt, s berom az intranetes szerver nevt vagy pl. a fjlszervert a Start/Run-ba. Nincs hossz ellenrzs, terjedelmes karantn vizsglat, csak egy internet kapcsolat kell. Radsul, mivel mr a belps eltt led, a cges krnyezetben ktelez frisstsek s hzirendek letltse sem csak a VPN kapcsolat utn indulhat, hanem ettl fggetlenl, azaz brmikor, ha van a gpnek net elrse. Persze nem arrl van sz,
~ 193 ~

hogy az sszes "internetes" forgalom "befel" megy (de ezt is lehet, ha szksges), a norml forgalom tovbbra is az ISP-nken keresztl zajlik, csak az a klnbsg, hogy mivel rgvest kapcsolatban lehetnk pl. a cgnk Perimeter hlzatban lv DA szerveren keresztl a bels WSUS/SCE-vel/SCCM-mel, stb., nem kell ehhez megvrni a klasszikus VPN csatlakozst. Ez j az zemeltetknek, s vgl is j nekem is mint felhasznlnak.
7.16
BRA
E GY ( MAJDNEM )
TELJES
DA
INFRASTRUKTRA
Mindeme "csoda" alapja tbb hlzati technolgia egyttes alkalmazsa, gymint IPSec (hitelests s titkosts) illetve az IPv6 a ktirny kapcsolat felptshez, idelis esetben tkletes point-to-point security kialaktsa a NAT, a NAT-T s az egyb NAT problmk nlkl. Viszont ha mg nincs teljes IPv6 infrastruktrnk102, akkor az ISATAP-ra, a Teredo-ra, a 6to4-re is szksgnk lehet az IPv4/v6 talaktshoz szerver illetve kliens oldalon103. Kis segtsg ezek rtelmezshez: - Teredo: NAT Traversal - IPv4 tunneling: mindegyik talakts IPv6 belecsatornzsa IPv4-be. o ISATAP: az IPv4 cmek egy linken bell vannak (pl. bels hlzat) o 6to4: publikus IPv4 cmekhez, brhol, nincs NAT o Teredo: az IPv4 cmek privt cmek, brhol, NAT-T - Split DNS s a DA hasznlat "kvetse": Name Resolution Policy Table Alaprtelmezs szerint a Vista, WS08, Windows 7, WS08 R2 OS-ekben natv mdon implementlva van, a hlzati hardver eszkzk persze mg kln krdst kpeznek. 103 Vagy egy NAT-PT (RFC 2766) kpes Layer2/3 hlzati eszkz, azaz switch vagy router (mivel az R2 ezt nem nyjtja) vagy egy Forefront UAG 2010, ami szintn kpes a teljes talaktst elvgezni.
102
~ 194 ~
Az NRPT-hez mg egy mondat, mivel ez rdekes jdonsg, amely a Windows 7ben debtl. Az NRPT elsdleges clja az, hogy szeparlni tudjuk a kliens oldalon a Internet/Intranet forgalmat, teht abban az esetben, ha a kliens az interneten lg, az els DNS inf keress helye a NRPT lesz - s ha egy DA-n keresztli, bels hlzati nv/cm elrsrl van sz, akkor ott kell lennie ebben a tblban a mi megfelel DNS szervernknek (Csoporthzirend > Name Resolution Policy), s mr indulhat is a titkostott DNS lekrdezs vagy mehet titkosts nlkl is - pl. az l DA kapcsolaton keresztl. Plusz itt van mg neknk egy j, a Microsoft ltal fejlesztett protokoll, az IPHTTPS. Csak a Windows 7 illetve az R2 esetn, a proxy vagy tzfal mgtt elhelyezett hostok kpesek az IPv6 csomagokat IPv4 alap HTTPS session-okbe "gymszlni". Ezzel persze akadhatnak teljestmny gondok, ppen ezrt ez csak a tartalk forgatknyv, arra az esetre, ha a kliens szimpla IPv6 alapon (illetve a fentebb emltett talaktsi megoldsokkal) nem tud kapcsoldni. No s persze a klnbz hitelestsi protokollok is szksgesek, ezek kzl jelen pillanatban elssorban a smartcard, azaz egy multifaktoros hitelests a lehetsg. A gpnek rtelemszeren tartomnyi tagnak kell lennie, illetve j tudni azt is, hogy az zemeltetk megszabhatjk a bels erforrsok elrst, azaz adhatnak elvileg korltlan hozzfrst, vagy csak bizonyos szerverek/gpek elrst, nagyjbl ahogyan pl. egy Remote Desktop Gateway-nl. E rvid ttekints utn mg egy dologba gondoljunk bele: azok a klienseink, akik hasznljk a DA-t, azon kvl, hogy a bels hlzatba csont nlkl belelthatnak, egymssal is kommuniklhatnak majd, amelyet elssorban a klnbz P2P alkalmazsokkal fognak tudni igazn sszehozni, de a lista szlesthet. Ezek kztt vannak/lesznek olyanok, amelyeknl nincs szksg plusz lpsekre a biztonsgos kommunikcihoz, a tbbi esetben (pl. Remote Assistance, Remote Desktop, File/Printer Sharing, stb.) viszont - neknk zemeltetknek - gyakorlatilag IPSec transzport szablyokkal kell majd engedlyeznnk alkalmazsonknt kln-kln vagy ppen mindent megengedve, vagy adott esetben tiltani a kapcsolds lehetsgt. Mindjrt konfigurlunk, de eltte tekintsk t egy elkpzelt104 DirectAccess krnyezet sszes szoftveres elemt s a velk szemben tmasztott elvrsokat: - EDGE gp
Azrt nem csak elkpzelt, nlam virtulis krnyezetben mkdik is , viszont a teljes lers s a step-by-step dokumentum letlthet a netrl: http://www.microsoft.com/download/en/details.aspx?id=24144
104
~ 195 ~

o Egy dediklt, tartomnyba lptetett R2-es DirectAccess kiszolgl (nem DC) kt hlzati krtyval (intranet/internet), st a klsn kt statikus, publikus s szomszdos IPv4 cmmel o A DirectAccess egy kpessg, a Server Managerben a Features alatt talljuk o IIS, a CRL elrs miatt (az IP-HTTPS-hez) o Kt darab klnbz tanstvny, egy az IP-HTTPS-hez a DA gp nevvel (privt kulcsokat is tartalmaznia kell), s egy msik, azaz a Root CA tanstvnya DC1 gp o AD (st ha smartcard-ot akarunk hasznlni, akkor csak R2-es AD jhet szba), s egy AD biztonsgi csoport a DA-t hasznlni hajt kliens gpfikok szmra o Csoporthzirend, de nem kell majd vele bbeldni, csak maximum az ellenrzs sorn o DNS, DHCP szerepkrk o PKI infrastruktra 105 (AD CS), EKU-s106 kiszolgl tanstvny sablon, autoenrollment, illetve egy korrekt CRL publikls, amely az EDGE szerverre irnyul, s elrhet a DA kliensekrl is o Tzfal szablyok, az ICMPv6 forgalom apropjn o Az ISATAP eltvoltsa a DNS global block query list-bl APP1 gp o IIS7, ami lehet a DA szerveren is, vagy ms kintrl elrhet kiszolgln, a lnyeg, hogy a DA kliensek szmra biztostani kell az n. "Network Location Server" szerepet, amely segtsgvel kiderl, hogy a DA kliens az intraneten vagy az interneten van ppen o Ennek a oldalnak is SSL-lel kel mkdnie, teht ide is kell egy szerver tanstvny. CLIENT1 gp o Csak Windows 7 Enterprise vagy Ultimate kiads o Csak a tartomnyi fikkal rendelkez Windows 7 kliensek hasznlhatjk a DA-t, teht be kell lptetni o rtelemszeren minden bels erforrs elrst le kell tesztelni mg akkor, amg bels hlzatban van, illetve a vgs DA kiszolgl konfig utn a Csoporthzirend vltozsokat magra kell, hogy hzza
Igazbl elg a sajt tanstvnykiad, mivel lland lesz a bels hlzati elrs, me egy jabb elny . 106 Enhanced Key Usage, azaz a kiterjesztett kulcshasznlati informcik.
105
~ 196 ~
7.17
BRA
KRNYEZET
Az brn szerepel mg kt tovbbi gp is, de ezek elssorban a virtulis tesztkrnyezet miatt vannak beptve, a valsgban nem szksgesek. - INET1 gp o Egy internetes szolgltatt szimbolizl, publikus IP-vel rendelkezik, DHCP s DNS kiszolgl is van rajta, abban a szituciban segt, amikor a laptopunkkal egy nyilvnos helyen neteznk - NAT1 gp o Ez egy Windows 7, ami gyakorlatilag a NAT kiszolgl, s az otthoni egyszer ADSL routert helyettesti, amely mgtt lnk a laptopunkkal, ha hazartnk a munkbl A teljes elkpzels szerint hrom darab hlzatunk van: - Az Internet (131.107.0.0/24) - Az otthoni hlzat (Homenet; 192.168.137.0/24) NAT-tal kapcsoldva a nethez - Bels hlzat (Corpnet; (10.0.0.0/24) a DA ltal elvlasztva107 7.2.2 V A R ZS O L J U N K ! A cl az, hogy a kliens brmelyik hlzatban is van, lland s automatikus kapcsolatot tartson a bels hlzat teljes vagy rszleges elrsvel. Ha minden elfelttelt megteremtettnk, akkor varzsoljunk egy j nagyot a DirectAccess Most a DA szerver vgs elhelyezsvel, azaz pl. a tzfalakkal kapcsolatos felllssal nem foglalkozunk, a TMG knyvben lertam az sszes lehetsget, st mi tbb, a megoldsokat is (a linket lsd az 5.3.2 fejezetben).
107
~ 197 ~

szerveren, azaz indtsuk el az Administrative Tools-bl a DirectAccess Management MMC-t!
7.18
BRA
LPS KELL ( A FELBONTS KICSI , NEM AZ BRA NAGY )
~ 198 ~
7.19
BRA
AZ
ELS LPS EGYSZER , ADJUK MEG A
DA
KLIENSEK CSOPORTJT
7.20
BRA
I TT
MR VAN EZ - AZ , RSZLETEK KVETKEZNEK
~ 199 ~
Kt f rsz van ebben az ablakban, egyrszt a kls s a bels interfszt kell megadni (ha valamit nem jl lltottunk be a TCP/IP-ben, azonnal sikt), illetve itt rhatjuk el ktelez smartcard hasznlatot. Ha a Certificate Components-re vagy Next-re megynk, akkor pedig a kt tanstvny betallzsa a kvetkez lps.
7.21
BRA
V LASSZ R OOT CA
TANSTVNYT
Ha megvan, jhet a Step 3, azaz az Infrastructure Server Setup.
~ 200 ~
7.14
BRA AZ
NLS
SZERVER BELLTSA S ELLENRZSE
7.22
BRA
GPEKET BERJA AUTOM ATIKUSAN , AZ OPCIK KZL NEKNK KELL VLASZTANI
~ 201 ~

Ezen a lpsen bell van mg kt fontos ablak, egyrszt a DNS s Domain Controller gpek megadsa s a local names nvfelolds (azaz a korbban emltett NRPT) krli belltsok:
7.23
BRA
HA
SZKSGES , EGY - EGY
DNS
SUFFIX - SZET RRNYTHATUNK A BELS
DNS
SZERVERRE
3 lehetsgnk van, az els a szigor, azaz csak s kizrlag az NRPT-t hasznlja (magyarul csak azok a DNS infk lnek, amelyek helyben, s ebben szerepelnek), a msodik a Fall back, azaz elsdleges a megszokott DNS elrsnk (pl. otthon az ISP) s msodlagos az NRPT, vagy akkor is l ez a lehetsg, ha nem elrhet a szoksos. A harmadik is Fall back a helyire, de csak akkor, ha brmilyen DNS feloldsi hiba van. Mg egy kicsit maradunk a harmadik lpsnl s a kvetkez, Management ablakban megadhatjuk a klienseinket felgyel (pl. egy SCCM vagy egy WSUS) szerverek elrst. Ezutn mr csak egy lps marad, az elrhet bels hlzati erforrsok kivlasztsa, az a fajta szelekci, amikor korltozzuk a bels hlzat erforrsainak elrst, amit egy end-to-end hitelests kiknyszertsvel tehetnk meg, illetve AD biztonsgi csoportok formjban tovbb szkthetjk az elrst, majd azrt engedhetnk a gyepln egy kicsit, az IPSec kapcsolatok biztonsgi belltsainak mdostsval.
~ 202 ~
7.24
BRA
S ZERENCSRE
ELG AZ
IP V 4
CM , MAJD KORRIGLJA
7.25
BRA
R ESTRIKCI !
~ 203 ~
Ha ksz, akkor nincs tbb ablak, de teend azrt mg igen, mentsk el a konfigot a Save gombbal (szpen jelzi, hogy hol van ez a konfig fjl), majd nyomjuk meg a Finish-t is! Erre kapunk egy sszegz ablakot, majd ha az Apply-t hasznljuk, akkor vgzi el az rdemi munkt, azaz elkszti a 2 db, az sszes belltsunkat s adatainkat tartalmaz Csoporthzirend objektumot teht neknk ezzel nem kell foglalkozni.
7.26
BRA
D OLGOZIK
SZPEN
Gyakorlatilag ezzel vgeztnk is, a sikerrl kpernykpek formjban nehz beszmolni, demzni sem volt knny sosem, hiszen csak annyi trtnik, hogy mindig mkdik, brmelyik hlzaton is tallhat a gpnk. Ezutn nmi utmunka marad mr csak, mint pl. a DC s az APP szerver IPv6-os infinak frisstse (net stop/start iphlpsvc), illetve a kliens gpen egy gpupdate. A kliens mkdsrl mg annyit, hogy ugye, ahogy mr errl sz volt, 3 kls tranzicis IPv6 protokollunk, amelyek automatikusan jutnak lehetsghez az adott hlzat mkdsi jellemzitl fggen, teht: - Ha kimegynk a bels hlbl, s egy olyan hlzatba kapcsoldunk majd, ahol pl. publikus IP cmnk lesz, akkor els krben jn a 6to4, ha esetleg ez valamirt nem mkdik (pl. egy proxy, stb.), akkor a Teredo. Azt, hogy melyik interfsz l, az ipconfig paranccsal kivlan lehet ltni.
~ 204 ~
7.27
BRA
AZ
IPCONFIG MINDENT E LRUL , MOST PPEN AZ I NTERNET HLBAN VAGYUNK , VAN MG LEHETSG
6 TO 4- GYEL ,
DE LTSZIK , HOGY
Ha egy NAT-olt hlzatban vagyunk, pl. otthon, akkor a 6to4 egybl nem lesz megfelel, a Teredo viszont igen, de ez sem 100%, proxy vagy hlzati eszkz szintn akadlyozhatja. Ekkor jn az IPHTTPS, ami viszont a tapasztalatom szerint nem lesedik automatikusan, teht neknk kell kzzel tiltani - a Teredo-t, a kvetkez paranccsal: netsh interface teredo set state disabled 108. Ha jl van konfigurlva a DA, s a kliens is rendben van tanstvnyilag is (pl. CRL elrs), akkor az ipconfigbl jl ltszik, hogy sikerl beizztani az IPHTTPS interfszt, ami aztn tzfalon, proxy mindenen thast majd.
Azt, hogy ppen milyen protokollok s milyen forgalmi adatokkal mkdnek a DA szerveren, illetve hogy a DNS felolds rendben van-e, azt a DirectAccess Management MMC-bl a Monitoring pont all tudjuk ellenrizni.
Az engedlyezs s a tilts kztt kicsit kevs a logikai sszefggs : netsh interface teredo set state enterpriseclient
108
~ 205 ~
7.28
BRA
NU,
MI MEGY PPEN ? ( A SRGK INAKTIVITST JELLNEK , A ZLD MKDST .)
Mg egy utols knnyts (nehz befejezni ezt az alfejezetet), mivel van egy problma mg: a kliensen elg nehz ltni, hogy most ppen mkdik vagy nem mkdik a kapcsolat. Gyrilag nincs semmilyen segdeszkz az opercis rendszerben erre, a felhasznl pedig nem fog ipconfig-ot betgetni, de ha mgis, rteni nem fogja . Ezrt ksztette a Microsoft a DirectAccess Connectivity Assistant-ot, ami letlthet109, s bezemelhet, a Tlcn egy ikon formjban fog vizulis jelzst adni a DA kliens llapotrl. Kapunk egy teleptt a kliensre, de ez mg kevs lesz, a mellkelt Csoporthzirend sablonok segtsgvel be is kell konfigurlnunk pr opcit, pl. azt, hogy mi a cme az NLS szervernknek, amivel a segdeszkz ellenrzse mkdni fog, vagy pl. az NPRT kliensoldali hasznlatt is szablyozhatjuk egy kicsit. Illetve viszonylag egyszeren tudjuk majd hibakeressre is hasznlni, lsd a kvetkez kpet.
Itt mindent megtallunk majd ehhez, pl. a rszletes Deployment Guide-ot is: http://technet.microsoft.com/en-us/library/ff384241.aspx
109
~ 206 ~
7.29
BRA I TT S MOST BAJ VAN , NZZK MEG A NAPLFJLT IZIBE .
7.30
BRA
K SZ
IS VAN ,
TUDS
ELLEN NINCS OR VOSSG .
7.3 A MI
A TELEPHELYEKEN FONTOS :
B RANCH C ACHE
Tmren sszefoglalva: egy rgi problmra egy j megolds. A problma az, hogy a telephelyeken lv szmtgpekrl a kzponti erforrsok (fjlszerver, webszerver, alkalmazsok, stb.) elrse s futtatsa nehzkes, s gy a felhasznlk munkavgzse csorbul. Persze a WAN kapcsolat fejlesztse, a svszlessg emelse gygyr lehetne a fjdalmunkra, na de ez ersen kltsgfgg tma, vagy akr fizikailag is megvalsthatatlan. De van megoldsunk az R2-ben (s csak abban), Windows 7 kliensekkel, a HTTP/S, a BITS (tipikusan Windows Update) s az SMB (fjlszerverek elrse) protokolloknl s ez a BranchCache. Ami radsul transzparens a felhasznlk szmra, rtkes svszlessget szabadt fel, plusz SSL tmogatssal is br, teht biztonsgos is egyben. Csupa j hr, nem?
~ 207 ~
Azonnal jelezni kell, hogy kt f tpus is rendelkezsre ll, azaz ktfajta forgatknyv ltezik a telephely elltottsga alapjn: 1. Nincs szerver, viszont kevs felhasznl van elosztott (Distributed cache) 2. Van szerver s sok felhasznl van kzponti (Hosted cache) 7.3.1 A K T ZE M M D Az els esetben (maximum 100 gpig ajnlott) teht csak kliensek (a BranchCache szempontjbl csak Windows 7) alkotjk a telephelyi hlzatot, teht a kzponti BranchCache szerver segtsgvel megszerzett gyorsttrazott anyagok trolsa ezeken a klienseken trtnik majd meg, kln-kln. A BranchCache engedlyezse pedig a Csoporthzirenden keresztl megy, s helyben a netsh-val fogjuk tudni piszklni a loklis paramtereket.
7.31
BRA
E LOSZTOTT
ZEMMD
A folyamat a kvetkez mdon nz ki, lpsenknt: 1. A kliens a kzpontban lv, mr BC-vel mkd intranet szerverrl le akar tlteni egy fjlt. 2. Elsre nem kapja meg, csak egy a hitelestsi / engedlyezsi procedra zajlik le, illetve egy content metadata csomagot kap csak a kezbe. 3. Ezzel a csomaggal s a WS-Discovery protokoll segtsgvel krbekrdezi a szomszdjait, hogy esetleg valamelyik letlttte-e mr a fjlt s esetleg trolja is jelen pillanatban. De nem, mi most az elsk elsje lesznk, teht a kzvlemnykutats eredmnye most mg zr lesz. 4. gy aztn a kliensnek le kell tltenie a fjlt, teljes valjban, viszont immr a sajt, erre a clra fenntartott gyorsttrba teszi bele. 5. Ezutn, hogy hogy nem, a msodik kliensnek is szksge lesz erre a fjlra (mert ez pl. a fizetsi jegyzk egy Excelben). Ugyangy felszalad a kzpontba, a hitelests s az engedlyezsi eljrs ugyanaz lesz, s ugyangy megkapja a
~ 208 ~
content metadata csomagot is, benne a fjl blokkjai alapjn kiszmolt hashekkel egytt. 6. Ezutn viszont a WS-Discovery-vel sszeftyl az egyes klienssel, az egyes jelzi, hogy tallt, sllyedt, a msodik kliens pedig szpen elkri tle a fjlt, de ez a transzfer mr titkostva, a fenti szervertl kapott hash-ekbl kombinlt kulccsal trtnik meg. 7. A kettes kliens megprblja visszafejteni a fjlt, azaz az imnt, helyben megszerzett fjl blokkjaibl kiszmolt hash-eket sszehasonltja a fentrl kapott hash-ekkel, s ha rendben van, akkor mr meg is gyzdtt arrl, hogy a tartalom vltozatlan, teht felhasznlhat. Ha viszont vltozott, akkor sem szksges az egszet leszedni jbl, hanem csak a megvltozott blokkokat (a hash-ekbl minden kiderl), ergo gy is sokkal gyorsabb lesz. A msodik esetben, amikor is egy R2-es szerveren - akr tbb ms szerepkr mellett a BranchCache kpessg is fut, kicsit sszetettebb az zembe helyezs, viszont tbb elnye is van: - 7/24-ben elrhet, mivel ltalban nem kapcsoljuk ki a szervert - Valsznleg jval nagyobb trterletet engedlyezhetnk - Valsznleg jval nagyobb hlzati teljestmnnyel szolglja ki a klienseket
7.32
BRA
K ZPONTI
ZEMMD
1. Ugyanaz, mint az elbb, a kliens felkszik a kzpontba, s a hitelests / engedlyezs utn megkapja a szoksos csomagot. 2. A kliens keresi a fjlt a helyi hln a hash-ekkel operlva, s ha ez az els prblkozs, akkor fentrl tlt. 3. Rgtn ezutn a kliens egy SSL kapcsolatot pt ki a lenti BC szerverrel, s felajnlja neki a fjlra jellemz azonost csomagot vizsglatra. 4. A lenti BC szerver elfogadja ezt, s gyorsan megmondja a file blokk informci alapjn, hogy mi van meg belle, s az esetleges hinyz/megvltozott blokkokat elkri. Ha semmi nincs meg a fjlbl, akkor az egszet elkri.
~ 209 ~

5. Ha ezutn egy msik kliens akar egy fjlt, akkor a fenti szerverhez megy jra a szoksos kezd lpsekkel, s megkapja a szoksos azonostt is. 6. Ezt a telephelyen hasznlva a Hosted Cache szervernk ktelessgnek rzi, hogy titkostsa a szoksos mdon, a szoksos mretre jellemz hash-ekkel, majd visszakldje a kliensnek. 7. A kliens visszafejti, sszehasonltja a fentrl kapott adatokkal, s boldogan konstatlja, hogy a telephelyi BC-tl is megkaphatja az ezek szerint vltozatlan tartalm fjlt, el is kri, s hasznlja, hurr. 7.3.2 A B RA N C H C AC H E K O N FI GU R L S A A szolgltats konfigurlsa sokkal kevsb bonyolult, mint az elmlet, viszont rtelemszeren eltr egymstl a kt forgatknyv, plusz lesz majd kzs teend a kzpontban is. Kezdjk elszr egy ttekintssel, azaz az els lpsekhez nzzk t ezt a tblzatot! Szerepkr Helyszn BITS alkalmazs szerver, Kzpont pl. WSUS Webszerver Kzpont Fjlszerver Hosted cache szerver Kliens
7.33
Kzpont Telephely Telephely

BRA
Mit is kell telepteni? BranchCache kpessg (Server Manager) BranchCache kpessg (Server Manager) BranchCache rsz szerepkr a File Services szerepkrn bell BranchCache kpessg (Server Manager) s hosted cache kijells Nincs telepts, csak engedlyezs
H OGY
NE CSAK KAPKODJU K A FEJNKET
s akkor kezdjnk el sorban haladni, az eleje egyszer, csak a Server Manager kell hozz, a negyedik sorhoz viszont mr kell segtsg: Netsh BranchCache set service mode=HOSTEDSERVER Ahogy a tblzatban is szerepel, a Windows 7-ben mr alaprtelmezs szerint benne van a BC kliens, csak engedlyezni kell, itt pl. az els mdszerhez: Netsh BranchCache set service mode=distributed A kvetkez parancs viszont brmelyik esetben hasznlhat, mgpedig az sszes llapotinf lekrdezsre: NetSh BranchCache show status all
~ 210 ~
A kvetkez kpen hasznltam is ezt a parancsot, s jl lthat, hogy ez egy Hosted Cache kliens a telephelyen, megvan a helyi BC szerver cme is, maximum 5%-ot hasznlhat a lemezbl, s az is, hogy mr most is van kb. 3,3 MB a cache-ben, plusz alul a belltott jellemzk szummja is megtekinthet.110
7.34
BRA
N ET S H B RANCH C ACHE
SHOW STATUS ALL
De ha sokkal okosabbak vagyunk (s ha van tartomny 111 ), akkor a Csoporthzirendbl rdemes mindezt belltani, mivel gy egyszerbb.
A netsh branchcache reset is jl jhet, ezzel egy reset-et adhatunk a BC kliensnek. 111 De a Helyi hzirendbl is elrhet, ha esetleg utljuk a parancssort.
110
~ 211 ~
7.35
BRA
OPCI A
C SOPORTHZIRENDBEN
Illetve a bekapcsolson kvl tovbbi belltsokat is lthatunk az adott GPO-ban, pl. a mkdsi tpust vagy a cache cljaira lefoglalt hely mrett innen is be tudjuk lltani, de persze a netsh-val is lehet majd, helyben mindent. A telephelyi szervernl azrt nem csak ennyi a mulatsg, egyrszt a netsh-val a mretet s egyebeket lltsuk be, de sz volt arrl is, hogy SSL-lel kapcsoldik a kliensekhez, nos ez nem megy egy tanstvny nlkl, amit egyrszt be kell szerezni pldul a kzpontban lv CA szervertl (semmi extra, sima szerver tanstvny), de akr egy nalrtat is hasznlhatunk. Viszont aztn hozz is kell rendelni a BranchCache szolgltatshoz, na ehhez viszont nincs GUI, ezrt trkkzni kell, mghozz - milyen meglep - a netsh-val. Az els lps az, hogy meg kell szereznnk az adott tanstvny SHA-1 hash-t, azaz a thumbprint-jt, ami egy j hossz szmsor. Ha megnyitjuk az adott .cer fjlt, akkor a Details fln legalul megtalljuk.
~ 212 ~
7.36
BRA
TANSTVNY JTK KE ZDDIK
Ha ez megvan, kimsolhatjuk egy text fjlba, szedjk ki belle a szkzket, s illesszk be a kvetkez parancsba az SHA-1_Hash sztring helyre: netsh http add sslcert ipport=0.0.0.0:443 certhash=SHA-1_Hash appid={d673f5ee-a714-454d-8de2-492e4c1bd8f8} Ezzel aztn jl hozzrendeljk a tanstvnyt a BranchCache szolgltatshoz, ami nem tl bartsgos mvelet, de legalbb csak egyszer kell megtenni. A kvetkez paranccsal viszont ellenrizhetjk, hogy jl kopipsztelnk-e? netsh http show sslcert Szval gy vagy gy, de vgre belttk a klienseket s a lenti szervert, s dolgoznak is, de mi a helyzet a kzpontban? A sima teleptsek utn van mg dolgunk? Van bizony.
~ 213 ~

Emlksznk a content metadata infra s a hash-ekre? Akkor arra is, hogy ezek felttlenl s egyttal szmtalan esetben szksgesek a norml BranchCache mkds sorn, brmelyik forgatknyvben ? Ezzel mg nem is lenne akkora baj, de a gond ott van, hogy a hash-eket az R2 online csinlja, ami derekasan lasstja a folyamatot a szerveroldalon, radsul pl. egy webszervernl elsre sosem csinlja meg, csak a msodik krsre. De szerencsre segthetnk neki, mghozz ktfle mdon is: 1. Parancssorbl, manulisan generlva hasznljuk a kvetkez parancsot, megosztsonknt: hashgen f E:\Test_share 2. Csoporthzirendbl: Computer Configuration > Administrative Templates > Network > Lanman Server > Hash Publication for BranchCache > Allow hash publication only for shared folders on which BranchCache is enabled112 s akkor zrskppen az alfejezet s egyben a fejezet vgn, egy kis BranchCache FAQ-kal kedveskednk a Nyjas Olvasnak: - Mikor lesz Vistra, XP-re, NT4-re kliens?113 o Nem lesz. - Mekkora a cache-be kerlsi limit rtke? o 64 Kbyte. - Milyen titkostst hasznl? o Specilis sablonon alapul AES128-at. - Ha nincs WAN, mkdik? o Nem. Kell a kapcsolat pl. a hitelests / engedlyezs s a content metadata adatok miatt a kzponti szerverrel. - Meddig marad a cache-ban a tartalom? o A belltott limit elrsig vagy a netsh branchcache flush parancs manulis kiadsig. - Server Core-on fut? o Igen, st nagyon igen! - WSUS-sal rdemes kombinlni? o Nagyon is. - Milyen egyb integrcit kpzelhetnk el? o Pl. SharePoint-tal vagy ppen a DirectAccess-szel.
Ehhez elfelejtettem egy dolgot: az adott megoszts tulajdonsgainl, a Caching gomb alatt kztt engedhetjk/tilthatjuk a BranchCache-t. 113 Viszont ne felejtsk: a Vistnl mr van BITS PeerCaching, az is valami, st.
112
~ 214 ~
RDS + VDI
8 RDS + VDI
Anno amikor a Windows Server 2008-at teszteltem, teljesen megdbbentem, hogy a terminlszolgltatsok terleten mennyi vltozs s jdonsg jelent meg mr a bta verzikban is114, akkor arra gondoltam, hogy a TS fejleszt csapat durvn kreatv munkt vgez. A vlemnyem nem vltozott ksbb sem, azaz az R2-re ugyanez elmondhat, csak brjuk kvetni az jdonsgokat. Most megprbljuk.
8.1
BRA
KOMPLEXITS BIZONYT KA
De mieltt elkezdenk radozni a rsz szerepkrkrl, muszj megemlteni, hogy az tnevez kommand hls tevkenysge miatt kialakulhat bennnk nmi zavar. Az elmlt tizenvalahny vben s gy a Windows Server 2008-ban mg Terminal Serverknt (TS) emlegettk ezt a szerepkrt, de a nv az R2-ben megvltozott, mostantl az RD, azaz a Remote Desktop az eltag, teht a helyes rvidts az RDS (Remote Desktop Services). Illetve mg annyit elljrban, hogy itt sem vlasztom kett a kt opercis rendszert, hanem megprblom az R2 apropjn megkzelteni a tmt, ugyan a fejlesztsek miatt van j pr klnbsg az R2 elnyre, de egyttal a vltozsok nvekmnyesek, azaz minden benne van az R2-ben, ami korbban is elrhet volt.
8.1 S ESSION H OST
114
s aztn persze meg is maradt a vglegesben - mert nem mindig van m ez gy.
~ 215 ~

Azrt is ezzel kezdem, mert ez a kpessg a klasszikus, a Windows Server 2008 eltti terminlszerver. Azaz az, amikor mg tnyleg csak egy tvoli szerverre trtn belpsi lehetsget jelentett az RDP protokoll segtsgvel, s a felhasznlk szempontjbl pedig egy kzponti helyen, a kiszolgl desktop krnyezetben trtn alkalmazsfuttatst. Az RDSH teht tbb - maximum a licenszeink szmnak megfelel mennyisg bejv kapcsolatot fogad el, s egy-egy felhasznl rszre egy-egy session-t foglal le, amelybl persze a felhasznl semmit nem lt, csak azt, hogy neki van egy szmtgpe, alkalmazsokkal. Ennek a lehetsgnek a megteremtshez hrom rendszerszolgltatst hasznl az opercis rendszer: - Remote Desktop Services (az interaktv belepshez) - Remote Desktop Configuration (rendszer konfigurci, a SYSTEM biztonsgi kontextusban, teht igen magasan) - Remote Desktop Services UserMode Port Redirector (eszkz tirnytsok biztostsa) A Windows Server 2008 eltt, ha szerettk volna pl. egy konfigurci vltoztats miatt lelltani vagy jraindtani az akkor mg Terminal Server nven hvott szolgltatst, akkor csak az egsz gp jraindts volt a megolds. Ma mr ez nem gy van, a szervizeket akr VBScript-tel, akr PowerShell-lel, akr a konzolon a Services MMC-ben kzzel is megtehetjk. Ha szeretnnk egy RDSH szervert telepteni, a Server Manager-ben kell kezdennk, figyelembe vve azt az klszablyt, hogy pldul tartomnyvezrlkre 115 nem teleptnk RDS szervert, illetve igazbl semmi ms nagy szerepkrrel nem kombinljuk az RDS-t, fkpp azrt, mert ezt a szervert tnyleg interaktv mdon fogjk a felhasznlk hasznlni. s persze termszetesen alaposan meg kell terveznnk az adott szerver hardveres konfigurcijt is, hiszen adott esetben, magas felhasznlszmmal s sok alkalmazssal extrm terhelsnek is ki lesz tve ez a gp116.
115 116
Biztonsgi s praktikus (zemeltetsi) okokbl sem. A mretezshez egy komoly segtsg, a Remote Desktop Load Simulation Tools: http://www.microsoft.com/download/en/details.aspx?id=2218
~ 216 ~
RDS + VDI
8.2
BRA ME AZ SSZES NAGY
RDS
ALKOTELEM , DE NEKNK MG CSAK AZ
RDSH
KELL
Ez egy olyan telept varzsl, amely tovbbi jelzseket is ad, illetve tovbbi krdseket is feltesz, pldul az alkalmazs-kompatibilitssal kapcsolatban jelzi, hogy akkor teleptsk ezt a komponenst, ha mg nem pakoltuk tele a szervert alkalmazsokkal, mivel (s ez persze korbban is gy volt) az RDSH eltti alkalmazsok kicsit mskpp, vagy ppen sehogy sem fognak mkdni a terminlszolgltatsok hasznlatakor. A kvetkez lpsben pedig az NLA (Network Level Authentication) alkalmazsa a krds. Az NLA tovbbi biztonsgot s szerver erforrs takarkoskodst jelent, s arrl van sz, hogy a felhasznl a terminlkapcsolat indtsakor nem a szerver desktopjt, azaz a logon kpernyt kapja, hanem csak egy autentikcis ablakot. Teht csak s kizrlag akkor eshetnk r teljes svszlessggel a szerverre, ha biztosan van a belpshez jogosultsgunk. Arrl nem is beszlve, hogy egyfajta DoS (Denial-of-Service) ksrletet is kivdnk ezzel, a helytelen belpsi ksrletek elkerlsvel, amivel meg a szerver hardvert kmljk meg a plusz terhelstl. A NLA csak a RDC 6.x kliens felett mkdik, s a CredSSP-t hasznlja (Credential Security Provider CredSSP) a korai hitelestsre, ergo: - Csak a CredSSP tmogatssal rendelkez opercis rendszerek hasznlhatjk az NLA-t (Windows 7, Vista SP1 vagy ksbbi, XP SP3).
~ 217 ~

Az NLA nem elrhet a Vista RTM vagy az XP SP2 szmra, mivel a CredSSP tmogats mindkt esetben a kvetkez szervizcsomaggal rkezik. Nem kell azrt ezt itt vglegesen eldntennk, termszetesen ksbb is lesz lehetsg vltoztatni ezen a belltson.
8.3
BRA
NLA
VAGY NEM
Ezutn mg egy szerencsre ksbbre is halaszthat - krds is lesz, mgpedig a licenszelsrl. Lpjnk ezen is tl, s akkor mr csak az RDSH felhasznli krt kell kivlasztanunk, megfelel alapossggal (persze ezen is vltoztathatunk ksbb). Viszont ami most jn, az teljesen j elem, ugyanis az RDSH szmos, a felhasznli lmnyt alaposan nvel szolgltatssal is rendelkezik, ezek kzl itt hrmat rgtn ki- vagy bekapcsolhatunk, de ksbb lesz mg tbb is.
~ 218 ~
RDS + VDI
8.4
BRA
A UX
AZ EGEKBEN IS LEHET
A harmadik sok esetben tnyleg fontos lehet a felhasznlk szmra, ti. az olyan megjelentsbeli extrk, mint a Windows Flip, a 3-D ablak kezels vagy a az ablakok tltsz kerete, melyek mind rszei a tvoli Aero Glass lehetsgnek. Ha viszont az Audio and Video Playback vagy a Desktop Composition lmnyt bekattintjuk akkor ne csodlkozzunk, hogy a Desktop Experience kpessg is felkerlt automatikusan rendszernkbe (Desktop Themes, Windows Media Player, stb.). Tbb dolgunk nincs, egy jraindts utn immr birtokba is vehetjk az RDSH-t, azaz egybl lett is egy terminlszervernk. Vizsgljuk is meg, zibe, a Remote Desktop Session Host Configuration elemet elindtva (Administrative Tools \ Remote Desktop Services)!
~ 219 ~
8.5
BRA
A Z RDSH- BAN
TBB VAN , MINT ELSRE GONDOLNNK
A Connections szakaszban az RDP kapcsolatok kzs jellemzit tudjuk konfigurlni. Ha kicsit jobban megnzzk, lthat, hogy ez mr a 7.1-es RDP-t jelenti, ami az R2 SP1-es verzi. Ha 6.1-et ltunk itt, akkor a Windows Server 2008-at hasznljuk, ha a 7.0-t, akkor az R2 RTM kiadst. Egybknt, ha az ezt megelz teleptsi procedrt nem csinltuk meg, akkor is elrhet itt a belltsok egy rsze, hiszen az admin md RDP-t is kezelni kell, ami viszont minden Windows Server-ben elrhet (mg ha nincs is engedlyezve alaprtelmezs szerint). Ugyanez igaz az RDS programcsoportbl elrhet Remote Desktop Services Manager-re, ami kifejezetten az aktv RDP kapcsolatok kezelje, azaz itt nzhetjk meg az aktulis munkamenet listt, itt vlaszthatjuk le vagy lptethetjk ki a felhasznlkat, vagy zenhetnk nekik vagy ppen tvehetjk a kpernyjket s stb. Az RDP-Tcp tulajdonsgok kzl nhny jdonsgot s/vagy fontosat kiemelnk. Kezdjk a General fl tartalmval!
~ 220 ~
RDS + VDI
8.6
BRA
B IZTONSG
MINDENEKFELETT
Az elsdleges biztonsgi belltsokat itt talljuk (alul a mr emlegetett NLA). A Security layer alatt vlaszthatunk szerver hitelestsi megoldst, RDP, SSL (TLS 1.0) vagy ppen a megegyezses (Negotitate). Az utbbi az alaprtelmezs, ami abbl indul, hogy mindkt oldal a TLS-t hasznlja majd. Ha nem, akkor attl fgg, hogy lesz-e kapcsolds, hogy a kliensben a kvetkez kpen lthat bellts hogy ll.
~ 221 ~
8.7
BRA
MI
LEGYEN , HA NINCS
TLS?
Ez alatt llthatjuk a minimlis titkostsi szintet a szerver s a kliens kztt, s vgl a Certificate: mezben, kicsit eldugva generlhatunk egy nalr tanstvnyt, vagy kivlaszthatjuk azt, amellyel a kiszolgl azonostja majd magt a kliens fel. Visszatrve a 8.6 bra tbbi flre, mg egyet emelnk ki (a tbbi vagy ismert, vagy valsznleg sosem kell hozznylni), ez pedig a Client Settings. Ezen bell a felhasznlink lmnyfokozst vgezhetjk el, azaz egyrszt a profilban megjelen felhasznli krnyezet grafikai jellemzit szablyozhatjuk (sznmlysg 117 , tbb monitoros krnyezet, audio/vide lejtszs), msrszt az eszkz tirnytsokat (lemezek, printerek, vglap, PnP eszkzk, stb.) engedhetjk vagy tilthatjuk globlisan s a kliens belltsait fellrva.
Ha pl. levesszk a 32 bits per pixel rtket kisebbre, akkor kikapcsoljuk az Aerot, ez nha - pldul csekly svszlessg esetn - igen sokat segt.
117
~ 222 ~
RDS + VDI
8.8
BRA
A Z UX
FEJEZET FOLYTATDIK
Ha vgeztnk az RDP-Tcp fleivel, s ezek utn viszont az Edit Settings rszbe kattintunk, mindig ugyanaz a panel jn majd fel, igaz, tbb fle is van, kicsit trkks, de ez ilyen. A tartalma azrt vigasztal, ugyanis rgtn az els fln (General) egyrszt a felhasznlk munkamenet korltozsait (felhvnm a figyelmet az egyetlen hasznlt session-re utal opcira: Restrict each user to a single session), msrszt a belpsi mdokat tudjuk szablyozni, s pl. karbantarts esetn jl tudjuk hasznlni a Drain zemmdot118, a msodik vagy a harmadik lehetsg vlasztsval.
Ilyenkor ugyanis j RDP kapcsolatokat nem fogad el a szervernk, de a meglvk maradhatnak s akr jra is csatlakozhatnak, ha megszakad a kapcsolat.
118
~ 223 ~
8.9
BRA
TELJESTMNY OPCIK
A msodik fl, a licenszels tmakrhz tartozik, ugyanis itt adhatjuk meg a mr elzetesen felkonfigurlt licensz kiszolglnk nevt, a licenszek tpust, s mindezt egszen egyszer mdon. Ha ezt nem tesszk meg, akkor 120 napig a Tlcn felbukkan buborkok formjban folyamatosan kapjuk majd a felszltst erre. Csak a tisztnlts kedvrt: nem itt konfigurljuk s rvnyestjk a megvsrolt licenszeinket, itt csak egy hivatkozst adunk meg a megfelel szerverre s a tpusra (persze knnyen lehet, hogy nmaga lesz a clpont). A licensz kiszolgl belltsa, aktivlsa s a licenszek rvnyestse egy kln alkalmazsban trtnik, ez szpen ltszik is a 8.2 kpen. Az RD Connection Broker rsz mr sokkal izgalmasabb, igaz, most mg nem tartunk ott, hogy ezzel is foglakozzunk, most csak annyit, hogy egy RDSH sokfle mdon kapcsoldhat egy RDCB-hez, vagy lehet egy VDI krnyezet rsze is (lsd ksbb), st egy RDS farm tagja is, amelyben az NLB segtsgvel pp magas rendelkezsre llst mvel. Szval, jval tbb m az RDSH, mint ami az eldje, azaz egy klasszikus TS volt, de tnyleg nem tartunk mg itt, be is fejezem. Ami viszont ide tartozik, az az IP virtualizci, merthogy ilyet is tud a mi RDSH-nk. Van, amikor arra van szksg, hogy az adott session pldul egy (rosszul megrt) alkalmazs ignye miatt kivtel nlkl mindig ugyanazt az IP cmet kapja. Ez eddig
~ 224 ~
RDS + VDI
orosz rulett volt, mert vagy gy volt, vagy nem, most mr viszont bellthat akr minden egyes felhasznlnak egy dediklt, egyedi IP cm.
8.10
BRA
A RCUK
NINCS , DE EGYEDI
IP
CMK VAN !
Ezt persze csak akkor tehetjk meg, ha van egy DHCP szervernk, meg tisztzni kell azt is, hogy melyik interfsz hlzatn hajtunk ilyesmit csinlni, s persze biztos, ami biztos alapon fallback van (a gp eredeti IP-je), de ennyi, a DHCP-ben pldul semmi extrt nem kell konfigurlni, megy magtl. Ja s el ne felejtsem, 2 db Csoporthzirend opci is rendelkezsre ll, az egyikkel ki-be kapcsolhatjuk az IP virtualizcit, a msikkal meg pl. letilthatjuk a belpst, ha nem kap pl. az adott alkalmazs a DHCP-tl cmet. Van itt mg valami, ami viszont a GUI-n nem ltszik, de azrt ltezik, st alaprtelmezs. gy hvjk, hogy DFSS (Dynamic Fair Share Scheduling), vagy rviden FairShare. Ez egy CPU idzt megolds a terminl felhasznlk szmra, mondhatni egy proaktv igazsgoszt. Merthogy elvileg s eddig egy user egy munkamenetben119 simn kisajtthatta a processzort, de ennek vge, a munkamenetek slyozsra kerlnek, a kernel scheduler leosztja a lapokat, mindegyik munkamenet kap egy szeletet a CPU-bl egy adott idintervallumra, s ha ezt elri, akkor a kvetkez menet kezdetig knyszerpihenre kerl. Rend a lelke mindennek.
119
Annyira rnm a session-t, csak ht ez egy magyar nyelv knyv.
~ 225 ~

Ha mr itt tartunk, s sz van a folyamatok erforrs kihasznlsrl, akkor nzznk utna a Windows Server Resource Manager + RDS tmakrnek (pldul a Windows Server 2008 apropjn, mert ugye ott nincs mg FairShare). http://technet.microsoft.com/en-us/library/cc742814.aspx s mg valami, ami szintn ide tartozik. Ez az Easy Print, ami kt f rszbl ll, az n. RD Easy Print meghajt programbl s a hozz tartoz Csoporthzirend opcikbl. Az Easy Print tmogats az RDP 6.1 kliens ta ltezik. No ez az a pont amikor meguntam a kliensek kln-kln emlegetst, innentl az albbi tblra fogok hivatkozni, a kvetkez kpen meg egy mdszert ltunk arra, hogy kidertsk, hogy milyen klienssel is rendelkeznk.
8.11
BRA
A 7.1- ES (W7/R2 SP1)
LEMARADT , DE GYIS CSAK EGY DOLOG LENNE BENNE : A
R EMOTE F X
8.12
BRA INDTSUNK EGY MSTSC - T , S KATT AZ
A BOUT - RA
AZ ABLAKVEZRL GOMBON
~ 226 ~
RDS + VDI
Szval az Easy Print brmilyen RDP kapcsolat esetn (RemoteApp, Web Access is) lehetv teszi, hogy a kliens a sajt - brmilyen tpus - nyomtatjt minden tovbbi bellts s egyni meghajt program telepts nlkl hasznlhassa. Aki kszkdtt mr a 20 Ft-os printerek 64 bites, szerverre passzol drivervel, vagy akinl az ervel belehegesztett, elvileg univerzlis driver nap mint nap kk hallba meneklt, az nagyon fogja ezt a lehetsget rtkelni. A technolgia mlyebb rszleteitl megkmlnm itt az olvast120, de a kulcsszavak az XPS formtum, a GDI konverzi s a .NET Framework, br az utbbi mr nem lnyeges a W7/R2 pros esetn (eltte viszont az Easy Print sikertelen mkdsnek az oka 90%-ban a hinya vagy a rossz verzija volt). Azt viszont mg j ha tudjuk, hogy a rendelkezsre ll Csoporthzirend opcik a finomhangolst segtik, ugyanis ezekkel tudjuk elszr is engedlyezni ezt az opcit elsdleges mdszerknt, illetve vatossgbl azt is megszabhatjuk, hogy csak a kliensen lv alaprtelmezett printert hasznlhassuk automatikusan. Nos, miutn egszen jl kivgeztk az RDSH-t, haladjunk tovbb mg jabb s mg izgalmasabb terletekre!
8.2 R EMOT E A PP
A RemoteApp komponenssel knnyedn s ltvnyosan megoldhatjuk a terminlkliensek alkalmazs elltst s hasznlatt. A klasszikus fellls szerint a vkony kliensrl - szemmel is lthat mdon - egy RDP kapcsolatot kell kiptennk, majd az adott kapcsolaton (ablakon) bell futtatjk a felhasznlk a szmukra engedlyezett alkalmazsokat. Ezzel viszont van egy komoly problma. Egyrszt nincs szksg arra, hogy az egsz szerver desktopot (Asztal, Start men, stb.) is lssk, mivel tipikusan az alkalmazsok miatt hasznlunk egy RDS szervert, s nem a krnyezet miatt. Msrszt biztonsgi s erforrs okok miatt is jobb lenne, ha nem kellene betlteni mindent a munkamenetbe. Harmadrszt rengeteg dolgot tiltania kell az zemeltetknek, ha olyan krnyezetet akarnak, ami sokig brni fogja ugye tudjuk, hogy a felhasznlk iszony kreatvak is tudnak lenni a problmagyrtsban persze, nem a megoldsban . Szval egy egyszerbb, biztonsgosabb s zembiztosabb mdszerre lenne szksg. Nos, ez a RemoteApp.
De azrt egy remek olvasnival hzi feladatot adok: http://blogs.msdn.com/b/rds/archive/2009/09/28/using-remote-desktop-easyprint-in-windows-7-and-windows-server-2008-r2.aspx

120
~ 227 ~
8.13
BRA
A R EMOTE A PP M ANAGER
Az j mdszer szerint az zemeltet egy a RemoteApp Manager-ben vgzett elkszts utn (tbb publiklsi mdszer kzl vlasztva) parancsikon(ok)at helyez el a felhasznl gpn (a Windows 7-ben mg egyszerbb), amelyekre kattintva az alkalmazs egy RDP kapcsolatot kezdemnyez a httrben. Ennek hatsra elindul a kiszolgln az adott program, amit a felhasznl gy vesz szre, hogy az alkalmazs rgvest megjelenik a gpn, tkletes helyi programnak lczva magt. Ha a gp/felhasznl szmra tbb RDS alkalmazst publiklunk ezzel a mdszerrel, akkor a mr l RDP kapcsolaton testvriesen megosztoznak majd az alkalmazsok, teht nem a kapcsolatok szma n. Nem tudom, hogy ezt hogyan tudjuk elkpzelni, amg nem ltjuk, mindenesetre rengeteg screencast-tal rendelkeznk a TechNetKlub TV-n tbbek kztt e tmban is121. Nzzk meg most dihjban, az zemeltet oldalrl a teendket (felttelezve, hogy a publikland programok teleptsn mr tl vagyunk), de szgezzk le mg az elejn, hogy a RemoteApp miatt jra t kell futnunk a 8.11 brt: 1) A RemoteApp Manager konfigurlsa.
https://technetklub.hu/tv/Default.aspx?auth=0&sid=21ec0497-3159-4f96ae7b-352a48dd1692
121
~ 228 ~
RDS + VDI
2) Az adott program terminl programm "avatsa" varzslval (elredefinilt listt kapunk, amelyet persze tetszs szerint bvthetnk). 3) Az adott program terminl programknt val mkdsnek engedlyezse. 4) Egy .rdp vagy .msi csomag elksztse a kijellt alkalmazs(ok)bl szintn varzslval, pr egyszer lpsben. 5) A csomagok publiklsa a felhasznlk szmra (parancsikonok kiszrsa, megosztott mappa, .msi telepts a Csoporthzirenddel, vagy ms disztribcis szoftverrel, stb.).
8.14
BRA
A R EMOTE A PP M ANAGER
Az els ponthoz a munkt kezdjk a RemoteApp Managerben, s clszeren a bal fels sarokban, az RDSH Server Settings alatti Change hivatkozsra kattintva. Ezzel megint egy trkks bellt panelt kapunk, hiszen a flek majdnem az egsz RemoteApp Manager konfigurlst elrhetv teszik , de nem baj, haladjunk! Az RDSH Server fln alapdolgokat lltunk be, leszmtva taln az Access to unlisted programs rszt, ahol egsz egyszeren megtilthat,hogy a felhasznl szmra nem engedlyezett, de publiklt alkalmazsok lthatv vljanak, pl. a Web Access alatt. Az RD Gateway fl alatti belltsok csak akkor szksgesek, ha valban az RD Gateway-on keresztl rkeznek a kliensek, s akkor ennek a belltsait (nv, hitelests, stb.) bele kell hegeszteni az alkalmazs .rdp, vagy .msi fjljba. A Digital
~ 229 ~

Signatures fl alatt kpesek lesznk alrni az alkalmazsokat a szerver tanstvnyval, ez pl. az SSO-nl (Single-Sign On, egyszeri/egyszer bejelentkezs) vagy az eszkztirnytsoknl nagyon fontos lesz.
8.15
BRA
K SBB
MAJD KIDERL , HOGY MIRT IS NEM AZ
RDSH
TANSTVNYT HASZN LOM ...
A Common s a Custom Settings alatt a kliensek mkdst kzvetlenl befolysol belltsokat tehetnk meg, az elsnl kattintgatva vlasztva, a msodiknl pedig gyakorlatilag direktben kopizva szerkesztgetnk. Ez utbbi borzasztan fontos lesz, ha olyan belltst hajtunk tenni, ami nincs kivezetve sehol sem a grafikus felletre, de mgis szksg lenne r. Alkalmazsi pldkat egyrszt vehetnk egy .rdp fjlbl, amit akr egy Notepad-dal is megnyithatunk, de ez a lista122 is nagyon kellemes. No, most mr hozz is kezdhetnk a 2. ponthoz, azaz egy RemoteApp alkalmazs publiklshoz: Action Pane > Add RemoteApp Program.
122
http://technet.microsoft.com/en-us/library/ff393699%28WS.10%29.aspx
~ 230 ~
RDS + VDI
8.16
BRA
V LASSZUNK
ALKALMAZS T !
Ha megvan az alkalmazs, akkor a Properties alatt extra opcikat is bellthatunk, pl. azt, hogy majd elrhessk-e a Web Access-bl is, meg azt, hogy legyen-e valamely parancssori argumentuma, vagy s ez nagyon fontos is lehet a User Assigment alatt szkthetjk a jogosultsgi krt. Ha ezt megtesszk, akkor a felhasznl tnyleg csak azt ltja, amit szabad. Ha vgigverekedtk magunkat a varzsln, akkor a lenti listban viszontlthatjuk az imnt engedlyezett alkalmazsunkat s a r jellemz rszleteket. Innen rgvest indthatjuk is a publiklst (helyi men > Create .rdp File, vagy Create Windows Installer Package). A klnbsg a kett kztt: a) .rdp fjl: egyszeren msolhat, de nincs fjltrsts s egy fokkal komplikltabb sztszrni b) .msi fjl: alaprtelmezsben mkdik a trsts, s akr egy Csoporthzirenddel is kiszrhatjuk, bellthat hogy hova kerljn (Desktop, Start men), viszont gy vagy gy, de telepteni kell Ha eldntttk, akkor mg ezt is testre szabhatjuk (szerver cm, RDG, tanstvny), s mg egyebeket is tallunk az .msi-nl, s aztn kszen is vagyunk. Innentl mr csak el kell juttatni valahogyan a kliensre, s mkdik is.
~ 231 ~
8.17
BRA
K APCSOLDIK ...
8.17
BRA
... S
MR FUT IS , S CSAK A
T ASK M ANAGERBL
DERL KI , HOGY NEM IS HELYBEN
~ 232 ~
RDS + VDI
s akkor most, hogy megvolt a RemoteApp alapozs, bvtsk ki az lmnyt egy msfajta publiklsi mdszerrel s az ezen alapul kliensoldali extrkkal!
8.3 W EB A CCESS
A recept: vgy egy IIS-t, tegyl bele rlap alap hitelestst, tanstvnyt, s mondd meg az RDSH-nak, hogy igen, akarjuk a RemoteApp-okat a bngszbl is elrni, s ksz a Web Access. Gyakorlatilag mg ennl is egyszerbb az implementci, ugyanis azzal, hogy felteleptjk a komponensek kzl (8.2 bra) a Web Access-t, az els kett feladatot meg is oldottuk. A kezd konfigurlsnl mg arra kell gyelnnk, hogy a RemoteApp Manager-ben a jobb fels sarokban kizldljn a pipa (Distribution with RD Web Access), amit gy rhetnk el, hogy az RDSH szerveren a TS Web Access Computers helyi biztonsgi csoportba berakjuk az RDWA szerepet betlt szmtgp fikjt (ami egy msik gp is lehet, mert lehet, hogy szeparlunk, azaz elvlasztjuk a kt komponenst egymstl). Ezek utn az alkalmazsoknak kell megengednnk, hogy ltszdjanak a WA alatt, majd az RDWA gpen egy klasszikus szerver tanstvnyt kell belepakolni az IIS al, s kszen is vagyunk. Ami mg htravan, az az RDWA rgygytsa az RDSH-ra, amit az RDWA gpen a Remote Desktop Web Access Configuration ikonon keresztl tudunk belltani. Ez elindtja a bngszt az RDWeb oldallal, s gy a belps s a Configuration pont kivlasztsa utn rjuk be az RDSH szervernk nevt (lsd ksbb, kicsit elreszaladva a 8.26 brn).
~ 233 ~
8.18
BRA
A Z RDWEB
PORTLUNK KVLRL ...
8.19
BRA
...
S BELLRL .
~ 234 ~
RDS + VDI
De azrt rtsnk meg egy pr dolgot: - Az RDWA nllan, nmagban nem nyjt kapcsolatot, egyszerbb esetben egy darab RDSH, komplexebb krnyezetben egy RDSH farm vagy egy RD Connection Broker kell hozz. - rlap alap hitelestssel dolgozik, ami tbbek kztt SSO-t is kpes nyjtani, de csak a RemoteApp esetn, s ehhez mr a Connection Broker s egy kzs tanstvny kell, valamint egy megfelel verzij RDP kliens (7.0 vagy jabb). - Kzponti publikcis zemmdban is tud dolgozni, ha van a kapcsolati lncban egy az RDWA-t irnyt Connection Broker, ami a tbb RDSH szervert, VDI kapcsolatot s a feed elrst is megoldja, s ilyenkor az RDWA lesz az, ahol minden lehetsget egyben ltunk (ksbb ehhez majd lesz inf s kp is). Ha jl megnzzk a 8.18-as brt, s esetleg azt, amit mi sszehoztunk a lers alapjn, akkor rgvest szrevehetjk, hogy n mr nmikpp testreszabtam a portlt, igaz, csak a kls oldalt, de akkor is. Nos ez is egsz jl megoldhat, de elszr is essen sz a magyartsrl: a szoksos mdon kell a nyelvi csomagot felpakolni a szerverre, azaz be kell szerezni a csomagot, majd a Control Panel / Regional Settings alatt hozz kell adnunk, majd tvltani erre, s akkor az RDWEB is magyarul lesz. De a portl feliratait is trhatjuk a sajt elnevezseinkre, amit n mveltem, azt pldul a %windir%\Web\RDWeb\Pages\en-US mappban lv login.aspx-ben (n az angolt hasznlom, ha magyartottunk, akkor a hu-HU mappban tallzgassunk). De megszabhatjuk azt is, hogy a belpsi rlapon melyik profil legyen az alaprtelmezett (pl. mindig a privt, ez clszer, mert klnben lesz felugr figyelmeztet panel az alkalmazsok indtsakor), vagy hogy ne is legyen vlaszts, vagy ppen eltntethet a portlon bell a Remote Desktop tab (a Configuration amgy is csak az adminoknl jelenik meg), s egyebek. Ezek nem hivatalos, ajnlott mdszerek, hanem tipikusan .aspx fjlok trogatsa, de mkdik, az tuti.123 Vagy pldul az Integrated hitelests is elrhet (s gy az rlapra sem lesz szksg), ugyanis egy tartomnyon bell a tartomnyi felhasznlnv/jelsz prossal automatikusan a bngsz (az IE biztosan) a httrben hitelest majd, ami elssorban a felhasznlnak kellemes, mert nincs gpelgets. Viszont ehhez sajna nem elg az IIS virtulis mappjban kattintgatni, szintn trkkzni kell (s OS limit is van, pl. az XP-vel nem is jrhat ez az t), de szintn megtallhat a megfelel lers a felhben. Van viszont egy hivatalos, tmogatott, ellenben csak a Windows 7-re alkalmazhat extra lehetsgnk is, mgpedig a Control Panelba ptve. Ezt gy hvjk, hogy RemoteApp and Desktop Connections. A lnyege, az hogy ha csatlakozunk az
123
Nem is adok hivatkozsokat, de brki megtallja.
~ 235 ~

RDWA szerverhez egy feed124 bersval, akkor egy az egyben letlti a Start menbe az sszes RemoteApp-ot, ergo nincs .rdp s .msi terts, egybl megvagyunk, a felhasznl szmra mindez meg teljesen transzparens.
8.20
BRA
O LVASSUK
LE A PLDT !
124
n nem tudom, hogy ez magyarul hogy van, de nem is akarom tudni :D
~ 236 ~
RDS + VDI
8.21
BRA
B EVITTK
A FEED - ET , ERGO NZZK MEG A
S TART
MENT
Ha valaki rti a mechanizmust s nagyvllalati szemllete van, akkor rgtn meg fogja magban krdezni: s tbb RDWA szervert hasznlhatunk? Ht persze, st a felhasznl ebbl sem fog szrevenni semmit a webes felleten, de ez mr a kvetkez alfejezet tmja, megrkeztnk a sorban kvetkez elemhez, ami a Connection Broker.
8.4 C ONNECT ION B ROKER

Ez itt krem a Knan, s az RDCB a Fnk. Ide fut be minden krs, s innen fut ki minden utasts, kezeli a szl RDSH gpeket, az RDSH farmokat, az RDWA gpet, mindkt tpus virtulis gpet az RDVH komponensen keresztl, s mg folytathatnm - de egybknt mindez mr a 8.1-es bra hatg kk nylsorozatbl is kiderl. Az viszont nem, hogy az RDCB gyakorlatilag kt rendszerszolgltatsbl ll: - Connection Broker (tssdis) o Minden RDS s RDVH kapcsolathoz o Minden session informcit trol > a sztkapcsolt session folytatsa > CB - Centralized Publishing (tscpubrpc) o RemoteApp s Desktop Management Service o A szemlyes virtulis gpekhez is ez kell majd
~ 237 ~

s a legszebb, hogy nem is nagyon bonyolult sszerakni br lehet, hogy ez nagyon btor kijelents. Mr sokszor emlegettem (s persze a VDI-nl is visszatrek majd hozz, mivel tnyleg nem lehet kikerlni egyetlen RDS sszetev apropjn sem), de az pts sorn fogjuk megismerni igazn. Kezdjnk is hozz! A feladat az, hogy alapszinten belltsuk az RDCB-t, illetve a kt darab RDSH szervernket plusz az egyetlen RDWA-t csatasorba lltsuk. Nos, indtsuk el ehhez a Remote Desktop Connection Manager-t!
8.22
BRA
M OST
MG GY NZ KI
Elsre nem valami szp ltvny, kzpen a sok piros kereszt s srga hromszg, s minimlis zld pipa, de javtunk folyamatosan. Pldul a Status rszben a Display name alatt a Windows 7-es leend RemoteApp programcsoportot s a leend portlt egyszerbben is elnevezhetjk, mint ahogy korbban tettk. Ugyanitt az RDWA szervernket is bevehetjk a buliba (ez ugyanaz, mint az RDSH-nl a biztonsgi csoportba pakols).
~ 238 ~
RDS + VDI
8.23
BRA
K EZDJK
A NEVEKNL S AZ AZONOSTKNL
Egybknt, rgtn itt s most gyalogoljunk el a kt darab RDSH szervernkre125, s ott viszont a TSWA helyi csoportokba tegyk bele az RDWA gp helyett az RDCB-t, mivel innentl nem lesz direkt kapcsolat az RDSH-k s az RDWA kztt, hanem csak a RDCB-n keresztl. Ezutn haladva lefel egy msik gyjtpanelbe jutunk, ha pl. az RD Gateway linkre kattintunk. Ebben elszr is a Redirection Settings fl kszn vissza, de ez mg nem kell neknk, viszont a msodikon az RD Gateway kiszolglnkat konfigurlhatjuk, persze ilyen sincs mg neknk, viszont a harmadik flnl a tanstvny belltsa ltalban elvrt igny.
A msodikrl mg nem volt sz, de a konfigurls ugyanaz, kivve, hogy nyilvn ms alkalmazsokat publikltunk rajta.
125
~ 239 ~
8.23
BRA
K EZDJK
A NEVEKNL S AZ AZONOSTKNL
Mint lthat az RDCB-nek van sajtja, st, stljunk el jra a kt RDSH-hoz, s ott is ezt a tanstvnyt ljk be clszeren, pl. az SSO miatt (erre utaltam a 8.15-es brnl). A Licensing Settings magrt beszl, viszont az sszes RDSH s RDWA szervernk alapbelltsa innentl ez lesz. Ha visszatrtnk az alap MMC-hez, akkor mr sokkal jobban nz ki szngyileg, persze a VDI belltsok hinya miatt mg ersen piroslik. No s akkor rendeljk hozz szp sorban a kt RDSH szervert az RDCB-hez, a bal oldali keretben a RemoteApp Source pont all, a jobb gombos menbl!
~ 240 ~
RDS + VDI
8.24
BRA
G YLNEK
AZ
RDSH
SZERVEREK
8.25
BRA
SIKER FEL HALADUNK
~ 241 ~
Mg egy dolog hinyzik, az RDWA rhangolsa az RDCB-re, amit jra az RDWA gpen vgezznk el, mgpedig az ismers mdszerrel: Remote Desktop Web Access Configuration > Configuration > az RDSH szerver helyett megadhatjuk az RDCB cmt. Ha el is fogadja, akkor biztosan jl dolgoztunk.
8.26
BRA
JABB
ELRELPS ( A PORTL NVBL MR KIDERL VALAMI )
Ezutn a kliensben tallzzuk be az RDWeb oldalt, a siker teljes ragyogsa miatt. Ha megnzzk a kvetkez kpet, akkor a korbbi portlhoz kpest van pr j ikon, pl. az Office 2010-es alkalmazsok. Nos, erre is j a kt RDSH, a pldban az egyikrl publikltam az Excel 2003-at, a msikrl meg a 2010-es verzikat126. Radsul a felhasznl nem is veszi szre a klnbz forrsokat, persze mirt is venn szre, nem ez a dolga, s amgy is termszetes, hogy ilyen szint problmkat megoldunk. Sima gy.
Az mr csak hab a tortn, hogy van a rendszeremben 2007-es Office is, plusz az egyik csald App-V-vel, pontosabban App-V for RDS-sel van elksztve.
126
~ 242 ~
RDS + VDI
8.27
BRA
N YERTNK
8.28
BRA
S ASSZEMMEL
SZREVEHETJK AZ ABLAKOK FEJLCT : AZ EGYIK
RDSH,
A MSIK
RDSH2.
~ 243 ~
8.29
BRA
E GY
UTOLS KP : A
R EMOTE A PP W7 CP- BE
INTEGRLT RSZE , IMMR AZ
RDCB- N
KERESZTL
8.5 VDI
Tovbb szrnyalunk. Az R2 eltt nem volt lehetsg arra, hogy a Virtual Desktop Infrastructure (VDI) egy kls gyrt megoldsa nlkl mkdhessen a rendszereinkben. Most mr van, ergo ideje megismerkedni vele, de egybknt is ajnlom a felfedezst - annak is, aki nem akarja, vagy nem tudja bevezetni -, mert a tma nagyon rdekes s izgalmas, s mkdik, szpen. Ebben a fejezetben egy egypldnyos RD Virtualization Host krnyezetet ptek fel, de mr most megjegyzem, hogy a tbb RDVH-s rendszer kialaktsa is hasonl mdon trtnik, br ebben az esetben clszer lesz olyan felgyeleti eszkzt vlasztanunk, mint pldul az SCVMM (System Center Virtual Machine Manager)127. De mi is az a VDI?
http://www.microsoft.com/en-us/server-cloud/system-center/virtual-machinemanager.aspx
127
~ 244 ~
RDS + VDI
A vlasz egyszeren, teljesen a sajt szavaimmal: egy olyan krnyezet, ahol a felhasznlk a fizikai gpek helyett/mellett virtulis gpeken (is, vagy csak) dolgoznak, teljesen htkznapi mdon, s mindezt az RDS infrastruktrn keresztl rik el. Persze gy, ahogy brmikor mskor, ha a virtualizci bejn a kpbe, mr varilhatunk is egybl (s ez az, ami imho a plusz izgalmat hozza egy szakembernek 128), gy termszetesen itt is, mert rgtn ktfle gptpus is ltezik: 1) Minden felhasznlnak van egy sajt, nevestett, szemlyes virtulis gpe (Personal Virtual Desktop), amely csak az v, eteti, akr rendszergazda jogosultsgot is kaphat rajta, s persze a vltozsokat mentjk is a .vhd fjlba. 2) Noname, kzs gpek, amelyek egy n. pool-ban vrakoznak arra, hogy valaki ltalnos clokra s nem mentve a vltozsokat (azaz minden vltozs trldik, vagyis inkbb az eredeti llapot visszardik) hasznlja ezeket a gpeket, s tipikusan nem is emelt szint joggal.
8.30
BRA
A VDI
MKDSE , ELGG EGYSZERSTVE
Mszakilag azrt persze ennl lnyegesen bonyolultabb a dolog, s ami a fontos, nem is egyetlen sszetevn mlik, hanem egy sszjtkon. s van egy j elem is, ez szintn szlva az n esetemben nem volt ez mindig gy, 6-7 ve mg egyltaln nem gyztt meg a virtualizci, s abban a mondsban talltam rmet, hogy ...szerver az, amit nem brok felemelni , de ht ez mr rgen elmlt, ma mr elkpzelhetetlen az az let, amikor mg nem volt Hyper-V, s az a fajta hihetetlen rugalmassg, amit a virtualizci ad hozz a lehetsgeinkhez.
128
~ 245 ~

az RD Virtualization Host rsz-szerepkr, de a korrekt mkdshez szksg van az RDWA-ra, klnsen nagy szksg van az RDCB-re s az RDSH-ra, no s persze a Hyper-V-re. s akkor mg a cmtrszolgltatsrl nem is beszltnk. De merljnk el a rszletekben kicsit, teht szksgnk lesz a kvetkez alkotelemekre: - Egy publikcis felletre, ami az RDWA lesz, azaz a felhasznl a Web Access felleten ltni fogja a sajt virtulis gpt szimbolizl ikont, vagy a pool-t szimbolizl msik ikont. - Egy kapcsolat kezel eszkzre (RDCB), ami tirnytja a krst a megfelel virtulis gp fel. - Egy Redirector-ra (ez az RDSH egyik zemmdja is lehet) hogy el tudja kldeni a felhasznltl rkez krst az RDCB-nek. Ez a kt szerep a Microsoft ajnlsa szerint ugyanaz a gp, teht egy RDSH + RDCB lesz a lelke a folyamatnak. - Egy VM gynkre, ami preparlja (elindtja, felbreszti, lelltja, stb.) az RDVH szerepkrt futtat gpen a virtulis gpeket. - A Hyper-V-re (egytt az RDVH-val), mint a virtulis gpeket zemeltet eszkzre. - Az AD DS-re a szemlyes virtulis gpek felhasznli fikokhoz trtn hozzrendelsre s trolsra 129 , mert gy a felhasznl SID-je alapjn trtnhet meg az RDWA-ban a megfelel szemlyes virtulis gp ikonknt trtn megmutatsa. Egy felhasznl szemszgbl a htkznapi hasznlat viszont nem tl bonyolult, a bngszjbl a Web Access felleten kattint a szemlyes gpre, vagy a pool-ra (csak egy ikonja lesz a pool-nak, hiszen elvileg teljesen mindegy, hogy melyiket kapja meg innen), a gp elindul, belp, mint egybknt s ltja a desktopot, s elkezd dolgozni. Ilyenkor viszont a kvetkez folyamatok trtnnek a httrben (felttelezve, hogy most a pool-t hasznlja, s egy j kapcsolatot indt): 1) Teht a felhasznl a VM pool ikonra kattint, erre az ikon mgtti RDP fjl megnyitsval az msts.dll azonnal a Redirector-hoz fordul. 2) A Redirector azon nyomban tovbbkldi a krst az RDCB-nek. 3) Az RDCB kiderti (az msts.dll-tl kapott infktegbl), hogy a felhasznl egy virtulis gphez akar kapcsoldni, s hogy ez egy a kzs pool-ban lv gp. gy aztn az RDCB aktivlja a VM bvtmnyt, megnzi a kapcsolatokat tartalmaz adatbzist, mgpedig azrt, hogy kiderljn, hogy ez egy teljesen j munkamenet lesz, vagy esetleg egy sztkapcsolt. 4) Ha j kapcsolat lesz, s ha megtallja a Hyper-V-t futtat gpet, akkor az RDCB kapcsolatba lp az RDVH-val, s megtudakolja, hogy megy-e a gp?
129
Emiatt nem szksges smt bvteni.
~ 246 ~
RDS + VDI
5) Az RDVH megrugdossa a poolban lv egyik virtulis gpet, felkelti, ha alszik, stb., majd kiderti az IP cmt. 6) Ezt a cmet elkldi az RDCB-nek, ami tovbbkldi a Redirector-nak, ami pedig ezt elkldi a felhasznl fizikai gpnek. 7) A felhasznl gpe szpen csndben kilp a Redirector fel men eddigi RDP kapcsolatbl, s tugrik a virtulis gpre a kapott IP alapjn. Nos, ilyen egyszer ez. De mg nincs vge. Ha viszont arrl van sz, hogy egy sztkapcsolt llapotbl indul a felhasznl, akkor a folyamat a harmadik lpsig azonos, ott viszont elvlik az eddig megismerttl. Mivel az az RDVH gpen lv VM gynk folyamatosan jelzi az RDCBnek a virtulis gpek llapotinfjt, ezrt az RDCB tudni fogja, hogy nem egy j, hanem egy sztkapcsolt esetrl van sz, ezrt rgtn rjn, hogy nem kell a pool-t bngsznie, nem vlaszthat tetszlegesen, hanem csak azt a gpet akarjuk, amelyikkel eddig is megvolt a kapcsolat. gy a VM gynk csak finoman rugdossa meg a gpet, hogy kidertse, hogy bevethet-e, s ha igen, akkor mris mehet az IP cm a szoksos mdon a felhasznl gphez. Most viszont beszljnk a konkrt sszetevkrl, illetve mivel mr van egy kirlyul mkd RDS infrastruktrnk, csak az j elemekrl! Igazbl egy gpen fogunk sokat dolgozni, aztn pedig az RDCB-n vglegestjk a konfigot (tudjuk, zldtnk jbl), majd leteszteljk. Szval az RDS rendszer mell kell egy Hyper-V gp is, clszeren ugyanabban a tartomnyban, s minimum kt virtulis gp (csak hogy lssuk a klnbsget a kt tpus kztt, de nekem azrt most is 6 darab lesz a pldban), s persze mind kliens lesz, mivel ezek desktopjt akarjuk a felhasznlnak odaadni. Vegyk gy, hogy a Hyper-V s a virtulis gpek teleptse s belptetse a tartomnyba mr megoldott feladat s az RDVH komponens is (8.2 bra), mivel ez elgg next-next-finish 130 mvelet, kpet sem rdemel. Ezutn viszont van dolog bven, elszr is preparlnunk kell az sszes virtulis gpet, amelyeket rabigba fogunk majd, s mindezt majdnem teljesen fggetlenl attl, hogy melyik VDI tpusba tartoznak majd. A preparls a kvetkez mveleteket tartalmazza: - A Remote Desktop engedlyezse s a megfelel felhasznli csoport hozzadsa Remote Desktop Users csoporthoz - Az RPC (Remote Procedure Call) engedlyezse A RemoteFx kpessg ehhez a megoldshoz nem kvetelmny, de termszetesen jl jn (de ez csak az R2 SP1-gyel rkezik), lsd kvetkez fejezet.
130
~ 247 ~

Tzfal kivtelszablyok az RDS s a Remote Service Management miatt RDP protokoll engedlyek belltsa az RDVH szmra RDS szerviz restartja (XP esetn a gp restartja) Szerencsre van segtsgnk ehhez, mgpedig egy a Microsofttl szrmaz Powershell (na mgis, mi ms? ) szkript formjban, mgpedig itt: http://gallery.technet.microsoft.com/ScriptCenter/bd2e02d0-efe7-4f8984e5-7ad70f9a7bf0 Ha megvan a szkript, mentsk el az ajnls szerint, aztn a virtulis gpenknt kln-kln kiadand PS parancsok jnnek, elszr is: Set-ExecutionPolicy remotesigned force Majd: Configure-VirtualMachine.ps1 -RDVHost tartomny_neve\Hyper-V_gep_neve RDUsers tartomny_neve\csoport_neve Plusz van mg kt darab rdekes feladatunk is: a virtulis gpeink nevnek a Hyper-V konzolon ugyangy kell kinzni, mint a gpen bell, teht FQDN nvvel. Nem gy szoktuk, de egyszeren csak nevezzk t. Illetve, s ezt viszont csak a pool gpekkel kapcsolatos feladat: ha mindent belltottunk, felteleptettnk, stb. a virtulis gpeken, akkor minden pool tagnak kivlasztott gpen ksztsnk egy pillanatkpet (snapshot), s nevezzk el, ktelezen erre a nvre: RDV_Rollback. Ugyanis ez lesz a kvnt, indt llapot, s erre fogja az adott pool gpet visszalltani minden alkalommal a Hyper-V, ha kilp a felhasznl. gy valsul majd meg a ments s vltoztats nlkli llapot, ami ugye a pool-ban tartzkod gpek egyik fontos tulajdonsga.131 Ha ez mind rendben van, akkor jhet az RD Connection Broker konfigurlsa, immr kpes beszmol formjban. De nem is, elszr kezdjk mgis az RDSH-val, s a mr ismert Edit Settings-bl brmelyik rszre kattintva keressk meg az RD Connection Broker flet, s vlaszuk a Change Settings-et!
De clszer gondoskodni a vndorl profilokrl vagy pl. a mappa tirnytsrl, klnben a nevestett felhasznlknak rdekes lmnyei lesznek mondjuk egy, a pool gpen elksztett dokumentumrl .
131
~ 248 ~
RDS + VDI
8.31
BRA
L EGYEN
EZ EGY
VM
REDIRECTION
RDSH,
S NE FELEJTSK EL A
CB
NEVT MEGADNI
Ezutn az RDCB-ben startoljunk a legfels sorban, azaz vlasszuk a Configure hivatkozst az RD Connection Broker is not configured... szveg mellett!
~ 249 ~
8.32
BRA
SZERVERT KR , MEGKAPJA .
8.33
BRA
E LSZR
ADJUK MEG AZ
RDVH
GPNK NEVT , HA ELFOGADJA , AZ FL SIKER
~ 250 ~
RDS + VDI
s igazbl a kvetkez kt ablak is kimaradhat, ha mr korbban belltottuk az RDSH-ban a Redirector-t, s mg rgebben a Web Access szervernket. Ezutn az sszegzs jn, majd nincs vge, az alkalmazs mg csak most jn, ellenriz mindent, s a vgn 3 zld pipt kell kapnunk. Ha gy trtnt, akkor viszont mehet a varzsls tovbb, az ablak aljn mr lthat, hogy a szemlyes virtulis gpek hozzrendelse innen is indthat.
8.34
BRA
E DDIG OK,
DE FOLYTATJUK
~ 251 ~
8.35
BRA
G IPSZ J
MEGKAPJA LETE ELS VIRTULIS GPT , S HA LTJUK AZ SSZESET , JL DOLGOZTUNK EDDIG
8.35
BRA
K ZBEN G JAKAB
IS KAP EGYET , DE MR EGY
W INDOWS 8- AT
~ 252 ~
RDS + VDI
8.36
BRA
G JAKAB
SZEMLYES
W INDOWS 8- AS
GPE LTSZIK AZ
AD- BAN
IS
8.37
BRA
SZEMLYHEZ RENDELT GPEKNEK VAN MG
1-2
EXTRA TULAJDONSGA IS
~ 253 ~

Mr csak egyetlen dolgunk maradt, a pool elksztse, azt pl. a bal oldali keretbl, az RD Virtualization Host Servers pont helyi menjbl indthatjuk. j kpek jnnek.
8.37
BRA
H ALADUNK
A POOL FEL
~ 254 ~
RDS + VDI
8.38
BRA
K T W INDOWS 7
S EGY
W INDOWS 8
LESZ POOL TAG ( LESBEN AZONOS LEGYE N )
8.39
BRA
B RMILYEN
NV S AZONOST MEGFELEL
~ 255 ~
8.39
BRA
F ELLLT
N ETLOGON
VIRTULIS GPPARK
8.40
BRA
O LL ,
MINDEN
Z LD !
~ 256 ~
RDS + VDI
8.41
BRA
KT UTOLS IKONRT ROBOTOLTUNK EDDIG
8.42
BRA
G JAKAB
SAJT
W INDOWS 8- A
MEGRKEZETT
~ 257 ~
WINDOWS SERVER 2008 R2 8.6 R EMOT E A PP

FOR
H YPER -V
Mg egy megoldsrl illik beszlni, ha mr az RDS-VDI tmakrnl vagyunk. Mg a VDI egy komplett desktop-ot ad a felhasznl kezbe, a RemoteApp for Hyper-V (innentl RAH) csak az alkalmazst. Azaz a felhasznl egy (vagy tbb) RemoteApp ikont kap, amit a sajt fizikai gprl indt, viszont az alkalmazs egy virtulis gpen fut. Ebbl persze a felhasznl semmit nem vesz szre, nem is kell, ne zavarjuk ssze! Ha ismerjk a Windows 7 egyik kellemes jdonsgt, az XP Mode-ot, akkor rteni fogjuk, hogy a RAH mkdsi elve ugyanaz132, csak egy tvoli gpen s Hyper-V alatt. Ugyanis az XP Mode az egy alkalmazs kiajnls, helyi desktop virtualizcival, mg a RAH szintn alkalmazs kiajnls, csak ppen tvoli desktop virtualizcival. Van mg egy komoly oka a RAH hasznlatnak, s az az alkalmazs kompatibilits. Ugyanis az a gp, amirl majd indtjuk az alkalmazst, csak Windows 7 lehet, de a clgp akr egy XP is, IE6-tal s ms skvletekkel amelyekre sajnos mg mindig szksg van. Ha a RAH-ot hajtjuk, a kvetkez elfeltteleknek kell megfelelni: - A virtulis gp csak XP SP3 vagy Vista SP1 vagy Windows 7 (Enterprise vagy Ultimate) lehet. - A guest gpekre egy frisstst fel kell tennnk (csak XP133 s Vista134 esetn), s nmi registry varilsra is szksg lesz. - A kliensen az RDC 7 az alapfelttel, s a RemoteApp alapjul szolgl .rdp fjlt kicsit korriglnunk kell. - Csoporthzirenddel clszer lesz a munkamenet sztkapcsolsi belltsokat is konfigurlni, ezen a helyen: o Computer Configuration | Policies | Administrative Templates | Windows Components | Remote Desktop Services | Remote Desktop Session Host | Session Time Limits | Set the time for disconnected sessions. Ezutn jhetnek a konkrt teendk, mgpedig most egy XP SP3 esetn, s egy Notepad-ot fogunk elsknt futtatni errl az OS-rl. St, ugyanaz a hotfix teszi lehetv ezt a mkdst! Ha ezt a hotfixet egy Windows Virtual PC-n fut Vist-ra tesszk fel, akkor a helyi gpnkn egyszerre lehet IE7 s IE8/9 (a lektor megjegyzse). 133 http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=4465
132 134
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=10007
~ 258 ~
RDS + VDI
Teleptsk fel a frisstst! Registry: HKLM/Software/Microsoft/Windows Server/TsAppAllowList/fDisabledAllowList = 1
NT/CurrentVersion/Terminal
Lpjnk t a Windows 7-es kliensre, majd indtsunk el egy mstsc.exe-t, mentsk el az .rdp fjlt, pl. RemoteNotepad nven, majd zrjuk be. Nyissuk meg pl. Notepad-dal az .rdp fjlt, s javtsunk bele: o remoteapplicationmode:i:1 o alternate shell:s:rdpinit.exe Majd adjuk a vgre a kvetkez sorokat: o RemoteApplicationName:s:Remote Notepad o RemoteApplicationProgram:s:%windir%/system32/notepad.exe o DisableRemoteAppCapsCheck:i:1 o Prompt for Credentials on Client:i:1
8.43
BRA
E GY
KLASSZIKUS
N OTEPAD
IE7 W INDOWS 7- RL
Ez gy szpen megy is, egy dolgot ne felejtsnk el: a kliensre csatlakozunk, s nem szerverre, azaz sszesen egyetlen egy RDP kapcsolat ll rendelkezsre.
8.7 RD G AT EWAY
Mltatlanul a vgre kerlt ez az sszetev, de csak azrt, mert taln a kedves Olvas is szrevette, hogy fokozatosan ptkockrl, ptkockra raktam ssze egy
~ 259 ~

komplex RDS + VDI rendszert, s eddig az RDGW nem igazn frt bele a kpbe. Azrt nem, mivel erre az sszetevre tipikusan akkor van szksgnk, ha nemcsak a bels hln, hanem kvlrl is szeretnnk elrni az RDS+VDI infrastruktrnkat. Ekkor viszont nagyon jl jn. Ugyanis az RD Gateway nagyon tzfalbart megolds. Lehetv teszi a tvoli felhasznlknak, hogy a bels hlzati RDS szerver(ek)hez val kapcsoldst HTTPSen keresztl (RDP over HTTPS) valstsk meg. Persze mindezt nmagban, azaz pl. VPN nlkl, a tvoli felhasznlnak csak egy RDP kliensre lesz szksge a biztonsgos kapcsoldshoz. Mert ht aki prblt mr vadidegen helyekrl, szllodkbl, stb. kapcsoldni a szervereihez, annak biztosan ugyangy klbe szorult mr a lbujja, mint nekem szokott, amikor az RDP tiltsval tallkozom. De ha megy HTTPS-ben, ht hadd menjen, ljen a megbonthatatlan tzfalbartsg! Szerveroldalon ehhez szksges egy minimum Windows Server 2008 (de az R2-vel most is sokkal jobban jrunk) kiszolgl, ami akr a tzfal is lehet (a TMG-vel is remekl kpes egyttmkdni), de nem muszj, lehet a DMZ-ben is s lehet a privt hlzatban is. gy vagy gy, a lnyeg, hogy a tvoli kliensnek ehhez a szerverhez kell kapcsoldni SSL-el, hogy aztn ez a szerver vgezze a konverzit a klasszikus, bels, csak az RDP-vel operl RDS szerver(ek) fel. De mg egyszer hangslyozom: nem VPN vagy DirectAccess helyett hasznljuk, a hatsa kizrlag az RDP/HTTPS forgalomra irnyul. De nemcsak a RDP/HTTPS konverzit teszi hozz az RD Gateway a lehetsgeinkhez, hanem azrt pluszban hozzfrs-szablyzst illetve erforrs-elrst is kpes elltni. Nzzk teht a ktfel oszl szablyozs lehetsgeit kicsit rszletesebben: - Kapcsolat engedlyez hzirendeket (RD CAP = Connection Authorization Policies) gyrthatunk a RD Gateway Manager MMC-ben - vagy akr mr a komponensek teleptse kzben -, melyekkel felhasznlknak, csoportoknak adhatunk kapcsoldsi lehetsget a RD Gateway-hez. Mindehhez a helyi felhasznli adatbzisbl vagy az AD-bl is vehetnk fikokat, illetve ezek hinyban akr teljesen sajt kszts fikokkal is kpes megoldani. Olyan CAP hzirendet is kszthetnk, melyben azokat a bels hlzati erforrsokat (gpeket) jelljk meg, melyeknek adunk hozzfrst, de a klnbz eszkzk (meghajtk, vglap, nyomtatk, stb.) tirnytst is elvgezhetjk a CAP hzirendekbl. - Kszthetnk erforrs engedlyez hzirendeket is (RD RAP = Resource Authorization Policy), amelyekkel szablyozhat, hogy a hlzaton bell mely gpeket (szmtgp csoportokat) rhetik el tvoli felhasznlk (akik szintn szelektlhatak itt is). Szintn lehetsges a meglv helyi vagy AD csoportok,
~ 260 ~
RDS + VDI
vagy a helyben, az RD Gateway Managerrel ltrehozott csoportok hasznlata, vagy akr gy is bellthatjuk, hogy ne legyen semmilyen korltozs. 1-2 tovbbi extrt is feljegyezhetnk a neve mell: - Az R2-es verzi mr NAP integrcival is rendelkezik. - lland belpsi zeneteket, illetve admin s/vagy rendszer (instant) zeneteket is publiklhatunk. - A kls biztonsgos eszkztirnyts is megvalsthat (R2 RDSH s RDP7 esetn).
8.44
BRA
A Z RD G ATEWAY
SZEREP TELEPTSHEZ KTELEZ ELEMEK
A teleptse sorn az els fontos krds a tanstvny hasznlat lesz, ami lehet nalrt, bels s kls tanstvnykiadtl szrmaz, s el is odzhatjuk a krdst, de a lnyeg, hogy legyen tanstvny (az nalrtat azrt hagyjuk ki, ha lehet). A telept felajnlja az azonnali hzirend gyrtst is, de ezt egyelre hagyjuk ki! Illetve mg egy szerepkrhz ragaszkodik, mgpedig az NPS teleptshez, no vajon mirt is? Nos, a NAP tmogats miatt. Ha felment, akkor keressk fel az RD Connection Manager-t, s kezdjk el nzegetni!
~ 261 ~
8.45
BRA
A Z RD G ATEWAY M ANAGER
Kezdjk a globlis belltsokkal, a gpnk tulajdonsgai kztt. Az els hrom fln a kapcsolatok szmnak korltozst, majd a tanstvnyunk belltst, illetve a NAP belltsokat (ahol pldul a RD CAP-jaink kzpontilag is megtallhatak lennnek) talljuk. Azutn mivel a rendelkezsre lls ebben az esetben is fontos - az esetleges RDGW farm tagsgi belltsait kapjuk meg. Az Auditing alatt a naplzs rszletessgt llthatjuk be, mg az SSL Bridging-nl az ISA vagy TMG, vagy ms publikl eszkzzel trtn kapcsolds szablyzsa lthat. Ha hasznljuk, kt eset lehetsges: - HTTPS-HTTPS: Annak ellenre, hogy pl. a TMG terminlja majd a HTTPS kapcsolatot (azrt, hogy az sszes szrsi kpessgt be tudja vetni), azrt legyen a TMG s az RDGW kztt is SSL csatorna. - HTTPS-HTTP: Ne legyen kt SSL tunnel (az els ugye a kls user gpe s a TMG kls lba kztt van), a TMG s a RDGW kztt elg neknk a HTTP is.
~ 262 ~
RDS + VDI
8.46
BRA
NAP
VAGY NEM , HA IGEN HELYI VAGY TVOLI ?
8.47
BRA
VISZONY A TZFALHOZ
~ 263 ~
Egyetlen dolog maradt a globlis belltsoknl, mgpedig egy R2-es jdonsg, az zenetek, amelyeket majd csatlakoz felhasznlk kapnak meg. Van ideiglenes rendszer zenet, s van lland belpsi zenet, s kemnykedhetnk is, azaz olyan felhasznlk szmra letilthatjuk az sszes kapcsoldsi lehetsget, akiknek az RDP kliensei nem kpesek ezeket az zeneteket fogadni (lsd kzvetkez tblzat).
8.48
BRA
A B IZTONSGI
MTRIX
AZ
RD G ATEWAY
KAPCSN KLN RDEKES LESZ
s akkor hozzuk vgre ltre a hzirendeket, mert ez a lnyeg, a bal oldali keret faszerkezetben ltjuk is mr ezek trolit, persze jelenleg mg resek. Ha mondjuk a CAP-pal kezdjk, akkor ltszik, hogy az NPS szerveren lv CAP-ok is hasznlhatak lennnek, de mi inkbb helyit ksztnk most, s a varzslval. Ebben az a j, hogy egybl meg is adhatjuk, hogy a CAP mellett legyen egy RAP-unk is, vlasszuk most ezt, s akkor egy menetben tl lesznk rajta. Adjunk egy nevet elszr a CAP-nak135, majd jjjn az els restrikcis panel! Itt a legals csoport az rdekes, azaz a gpek domain tagsga szerint is szelektlhatunk a kliensek kzl. n pldul csak s kizrlag a DirectAccess laptopoknak engedtem meg, hogy belpjenek az RDGW-n keresztl (s ezeken a gpeken is csak a Domain Users csoport tagjai).
Tetszleges mennyisg CAP s RAP hzirendnk lehet, lesz majd sorrend is, az elnevezsnl ezt esetleg vegyk szmba.
135
~ 264 ~
RDS + VDI
8.49
BRA
H ITELESTS ,
FELHASZNLI CSOPORT , GP CSOPORT
8.50
BRA
MEGHAJTK S A
P NP
ESZKZK TILTSA
~ 265 ~
Az als kpen - az eddigi sszes eszkztirnytsos belltssal szemben - itt s most a tiltsokat kell bepiplnunk. A kicsit klnll Only allow client... ngyzet az RDP 7.0 vagy jabb hasznlatt teszi ktelezv. A kvetkez panelen a nyugalmi llapot (idle) s a munkamenetek idtllpsi belltsait lthatjuk, de ez most rdektelen. Ha ez mind megvan, jn a szumma kperny, majd trjnk t az RD RAP gyrtsra. jra csoporto(ka)t kell kijellnnk, de ezek mr nem a kapcsoldshoz, hanem az erforrsok elrshez lesznek majd szksgesek. Ezutn azokat az adott gpeket, gpcsoportokat jelljk majd ki (tipikusan a szerverek), amelyekhez a korbban megadott felhasznlk hozzfrhetnek az RDP kapcsolat sorn. Azaz ha az RDGW-n keresztl jnnek, akkor brmelyik szervert nem rhetik majd el, csak s kizrlag a kijellteteket. Hrom varici van: 1) AD csoport 2) Az RDGW-n kattintgatunk ssze egy csoportot, vagy vlasztunk egy mr legyrtottat 3) Nincs erforrs-hozzfrs korltozs, legalbbis az elrhet gpek szerint nem csinlunk ilyet
8.51
BRA
H OVA
ENGEDJK BE ?
~ 266 ~
RDS + VDI
Ha a kzpst vlasztjuk, akkor neknk kell a gpek, vagy pl. egy RDSH farm esetn a farm nevt (is!) megadni, de az is lehet, hogy szlssges esetben IP cmeket kell berni a listba.
8.52
BRA
V IGYTEK
DC- T
IS !
Most mr tnyleg csak egy elem van htra a varzslbl, mgpedig a TCP port szkts vagy ppen a brmilyen port megadsnak a lehetsge. Ezutn ismt szumma, majd vgeztnk, immr rendelkeznk hozzfrsi s erforrs hzirend szablyokkal is. s ne felejtsk el, amg ezeket nem gyrtjuk le, addig nincs tmen forgalom az RDGW-n, azaz ha csak felteleptjk, s az RDSH vagy a RDCB szervereken megjelljk, hogy hasznlja pl. a RemoteApp a Gateway-t, de nem csinlunk CAP/RAP objektumokat, addig coki! Az RDGW szerveren vgeztnk, most jhet az RDSH / RDCB szervereken a Gateway konfigurls, majd stljunk el a kliensre, merthogy ezt is fel kell ksztennk! No nem nagyon (s persze tartomnyi krnyezetben Csoporthzirend is van), de azt azrt meg kell mondanunk a Windows 7-nek pldul, hogy van m RDGW szerver is. A kvetkez kpen az is ltszik, hogy hol.
~ 267 ~
8.53
BRA
B EJN
A KPBE AZ
RDGW...
8.54
BRA
... S
MR HITELESTNK IS LTALA .
~ 268 ~
RDS + VDI
Szval a kliensnk RDP kapcsolatban a legutols fln kell megadnunk, hogy hogyan, milyen jellemzkkel hajtunk az RDGW-n keresztl kapcsoldni. Felhvnm a figyelmet a legals ngyzetre (Use my RD Gateway credentials for the remote computer), amellyel az SSO, azaz az egyszeri/egyszer belps ldsos hatsa al kerlhetnk. Ez gynyren ltszik a msodik kpen, mikor is megmutatja neknk a hitelest ablak, hogy ezekkel az adatokkal elszr az RDGW-re, majd aztn a clszerverre fogunk belpni. Ha ehhez minden felttelt megteremtettnk, akkor mkdni is fog, ahogyan ez a kvetkez kpen ltszik is az RD Gateway Manager Monitoring menpontja alatt.
8.55
BRA
A2
DARAB TMEN KAPCSOL AT ADATAI
Nem hiszem el, hogy vge ennek a fejezetnek, pedig mgis. De egy kicsit azrt rokon rsz kvetkezik, hiszen a VDI vagy RAH miatt mr gyis rintettk, s egybknt itt a fejezet vgn jl el is rulom, hogy az RDS is egyfajta virtualizci, mgpedig az n. prezentci virtualizci.
~ 269 ~
9 H YPER -V
Egy korbbi lbjegyzetben mr megemltettem a virtualizcival kapcsolatos pozitv irnyba trtn vlemnyvltozsomat, de az igazsghoz hozztartozik, hogy annak ellenre, hogy vgigtgettem - a Virtual PC-tl kezdve, a Virtual Serveren t, a HyperV-n keresztl az SCVMM-ig -, az elmlt sok-sok v rengeteg termkt, mgis ez az a tmakr, amit inkbb csak hasznlok, mint rtek. Illetve ez azrt nyilvn kiss tlzs, de a mlyvzben azrt nha kapldzok kicsit. Szval, aki ettl a fejezettl azt vrja, hogy a Hyper-V mkdsnek legmlyebb bugyraiban turklva, a sarki zldsges szmra is tkletesen rthetre fordtom a lnyeget (mint remlhetleg ltalban), az lehet, hogy csaldni fog. Inkbb a gyakorlati dolgokra szeretnk fkuszlni, azaz leginkbb az zemeltetsre, persze azrt lesz elmlet is bven, s kivtelesen - s persze engedllyel136 nagyobb tuds szakemberektl is lopok nha ebben a fejezetben.
9.1 M IT
TUD , MIRE VAL S MI KELL HOZZ ?
Egy biztos, akr tervez rendszermrnkk vagyunk, akr kreatv fejlesztk, akr kzmves rendszergazdk, akr IT vezetk, e tma mellett elmenni nem lehet s nem is rdemes. Ha tbb opercis rendszert, tbb alkalmazst, tbb gpet akarunk mkdtetni s mindezt flexibilisen, idt s erforrst sprolva, s meglehetsen nagy szabadsggal, akkor a virtualizci tkletes alternatva. Radsul tbb terletre is tnylunk, mivel a virtualizci a Microsoft egy halom megoldsban is jelen van. Ebben a fejezetben a szerver-virtualizcirl (Hyper-V) fogunk megemlkezni, de a tma kapcsn gondolhatunk az alkalmazs-virtualizcira (pl. App-V), a desktopvirtualizcira (Med-V), vagy akr az elz rszben emlegetett RDS-re is. A Hyper-V egy teljesen 64 bites, mikrokerneles hypervisor-alap virtualizcis megolds, amely a Windows Server 2008-ban indult el (az RTM-hez kpest nmi ksssel, ha emlksznk) az 1.0-s verzival. Az R2-ben mr 2.0-s vltozat van, tbb komoly jdonsggal, s mg mieltt a 3.0-s verzit a Windows 8 Server137-ben elrnnk, az R2 SP1 is lktt a funkcionalitson egy kicsit, vagy nem is kicsit.
Br gy tennnek msok is, de sajnos nem tesznek gy, nincs erklcs a neten, nekem pldul kilomteres online hivatkozsi jegyzkem lehetne, de csak 10 mteres van . 137 A knyv irsakor mg bta, st mg az sem (n. Developer Preview), gyhogy a nv is csak kdnv, ksbb brmi ms is lehet.
136
~ 270 ~
HYPER-V
Viszont a virtualizcival kapcsolatban ltalban sok a homlyos kifejezs is, s kicsit mshogy is kell gondolnunk a gpekre, a hardverre vagy az alkalmazsokra, pp ezrt oszlassuk el kicsit a kdt pr defincival138: - Hypervisor: A hypervisor egy vkony szoftverrteg 139 , ami kzvetlenl a hardver s a rajta fut opercis rendszerek kztt foglal helyet. A feladata, hogy elklntett futtatsi krnyezeteket biztostson az sszes opercis rendszer szmra (ezek lesznek a partcik). Minden partci csak a sajt hardver erforrsaival rendelkezik (memria, eszkzk s a CPU adott idszeletei). A hypervisor ellenrzi s koordinlja a partcik hozzfrst a tnyleges hardverhez. - Partci (Partition): ez a hypervisor ltal biztostott elklnts alapegysge; egy fizikai cmtartomnybl s egy vagy tbb virtulis processzorbl pl fel. A partcihoz meghatrozott hardver erforrsok rendelhetk s az erforrsok elrshez szksges jogosultsgok is.
9.1
BRA
A H YPER -V
FELPTSE
Szl partci (Parent partition): Az a partci, amelyben dolgozva a gyerek partcikat ltrehozzuk s felgyeljk. Ha nagyon le akarnnk egyszersteni, akkor azt mondhatnnk hogy ez a host gp, de azrt nem, mivel a szl partci is egy virtulis gp. Gyerek partci (Child partition): A szlbl ltrehozott brmely tovbbi partci. A gyerek partci gyakorlatilag egy virtulisan definilt hardver.
A sztr eredeti verzija Somogyi Csaba cikkbl szrmazik: http://www.microsoft.com/hun/technet/article/?id=2014e837-c995-4025-895e1d4ca578fb69&media=printer

138 139
A hypervisor mrete kicsi: AMD platformon 519KB, Intelen 536 KB.
~ 271 ~

ltalunk megszabott mret RAM, adott mennyisg CPU idszelet s virtulis eszkzk sszessge, s maga a definci egy darab XML llomny. Vendg opercis rendszer (guest): A gyerek partciban fut opercis rendszer szoftver. A vendg rendszer lehet teljes kiptettsg (pl. brmely Windows rendszer), vagy akr egy specilis cl kernel is. A hypervisor kzmbs a vendg rendszer irnt, csak az erforrsokat adja szmra. Eszkz emulci (Device emulation): Olyan eszkz virtualizcis megolds, ahol a virtualizlt hardver nem klnbztethet meg a tnyleges fizikai hardvertl (1:1-es megfelels). Szintetikus eszkzk (Synthetic devices): Olyan virtulis eszkzk, amelyeknek nincs kzvetlen fizikai megfeleljk. Az ilyen eszkzk a VMBus segtsgvel kommuniklhatnak akr ms partciban lv fizikai eszkzkkel is. Worker processz: Ebbl egy darab minden mkd virtulis gphez ltrejn a gazda opercis rendszeren. Ez a processz kapcsolja ssze a virtulis hardver elemeit, mintha egy virtulis alaplapba rakosgatnnk az alkatrszeket. Ezen fell kapcsolatot pt fel a gazda gp s a virtulis gp kztt, biztostva, hogy a gazdagprl irnytani tudjuk a virtulis gp mkdst. Az irnyts WMI parancsokon keresztl trtnik, a megjelentst pedig az RDP protokoll segti. A Worker processz tartja a kapcsolatot minden szereplvel, figyeli a hardver konfigurci vltozst, gy ha menet kzben tkonfigurljuk azt, akkor azokat igyekszik rvnyre juttatni a hypervisor-on keresztl.
Mi mindenre van szksgnk Hyper-V mkdshez? Nem sok ttelbl ll a lista: - Egy 64 bites CPU-ra. Mr a Windows Server 2008 esetn is csak a 64 bites vltozatnl hasznlhattuk a Hyper-V-t, az R2-nl pedig nincs is ugye ms. - Windows Server 2008 / R2 Standard, Enterprise, Datacenter - A CPU-nl a hardveres virtualizci tmogats (Intel VT/AMD-V) - Engedlyezett s bekapcsolt, hardveres Data Execution Protection (DEP) (Intel XD bit / AMD NX bit) s amit nyjt, technikai szemmel, felsorolsszeren s persze az R2-vel szmolva: - 32 s 64 bites virtulis gpek prhuzamos mkdse - Egy- s tbb processzoros (magos) virtulis gpek hasznlata - 64 processzormag (akr 8x8 mag), SLAT s CPU Core Parking tmogats - 1 TB fizikai memriatmogats - Maximum 384 futtathat virtulis gp s maximum 512 virtulis processzor - 256 TB lemezterlet LUN-onknt - Pass-through140 lemeztmogats 256 TB LUN-ig - 16 node-os frt, maximum 1024 virtulis gppel - Cluster Shared Volumes (CSV) hasznlat, Quick s Live Migration tmogats Ez az a helyzet, amikor egy fizikai diszket dediklva adunk oda egy virtulis gpnek, ami a leggyorsabb diszk sebessget jelenti.
140
~ 272 ~
HYPER-V
Multipath IO tmogats Virtulis hlzati kapcsol (switch) hasznlata, 10 GBitE tmogats Virtulis gpek pillanatnyi llapotnak mentse (snapshot), s visszalltsa MMC 3.0 felgyeleti eszkz, WMI interfsz (szkriptels, felgyelet)
s most koncentrljunk egy kicsit a szerver-virtualizcira s nem felsorolsszeren az elnykre, azaz pontosan milyen helyzetekben lehet hasznos a Hyper-V neknk?141 - Szerverkonszolidci: a szerver hardverek a legritkbb esetben vannak folyamatosan kiterhelve a lehetsgeik hatrig. Minden szolgltats mskor s eltr mennyisg szmtsi teljestmnyt illetve erforrsokat ignyel. rdemes ezeket a klnfle szolgltatsokat minl kevesebb fizikai vasra kzpontostani, s azok sklzhatsgt s rendelkezsre llst biztostani. - A szolgltatsok folyamatos mkdsnek biztostsa: a cl itt igencsak egyszer: szeretnnk minimalizlni mind a tervezett, mind a be nem tervezett rendszerlellsok idejt. Minl kevesebbszer lljon le a rendszer, de ha le is ll, gyorsan helyre tudjuk azt lltani! Virtualizcival mindez knnyen megvalsthat, hiszen mind a frtzsre, mind a virtulis lemezek s gpek replikcijra s mozgatsra is szmtalan megolds ll rendelkezsnkre, amihez egszen knyelmes rendszerfelgyeleti megoldsok is elrhetek mr. - Dinamikus adatkzpont: lehetsgnk van arra is, hogy az egy vasra konszolidlt opercis rendszerek, illetve szolgltatsok kztt rugalmasan mozgathassuk az erforrsokat, pldul a rendelkezsre ll memrit, illetve a szmtsi kapacitst. Ha tbb szervernk van, igny szerint msolhatjuk, mozgathatjuk kztk a virtualizlt gpeinket is. - Fejlesztsi s tesztkrnyezet: knnyen pthetnk olyan virtulis tesztkrnyezeteket, amelyekkel brmilyen tesztelsi clokat megvalsthatunk. Ezek a virtulis krnyezetek nem kell, hogy kln fizikai szerverekre kerljenek elfrhetnek a mr hasznlatban lv szervereken is, s mivel csak a teszt idejre van rjuk szksg, gy erforrsignyk is csak ideiglenes. A virtualizcinak ksznheten tkletesen izollhatjuk ezeket a tesztrendszereket a valdiaktl (egy hardveren bell is!), de ha pont ennek az ellenkezjre van szksgnk (pldul egy migrci tesztelsekor szeretnnk elrni az aktulis rendszert is), az is knnyen megvalsthat. Nos, ennyi a bevezetshez szksges adat s elmlet utn nzzk meg a Hyper-V kezelsre mindennaposan hasznlt eszkznket, a Hyper-V Manager-t!
9.2 A
KONZOL S A VIRTULI S GPEK KEZELSE
141
A kvetkez ngy bekezds Budai Pter mve, egy rgi-rgi Technet Magazinbl.
~ 273 ~

Ha Hyper-V-t szeretnnk hasznlni, s megfelel a gpnk a kvetelmnyeknek, akkor szoksosan a Server Manager-ben kezdnk, mivel a Hyper-V egy szerepkr. A telepts nem bonyolult, rsz-szerepkr vagy egyb kpessg nem kell hozz, magnyos farkas. Ugyan a hlzati interfszre vonatkozan kapunk egy krdst, de ezt bven rrnk elhalasztani.
9.2
BRA
EZ
GY NEM
OK ( RTELEMSZEREN
VIRTULIS GPRE NEM RAKHA TOK
H YPER -V- T )
A szerepkr a teljes GUI-s kiszolglra trtn teleptsekor a kezelshez szksges eszkz, a Hyper-V Manager egybl felkerl, viszont Server Core vagy a Hyper-V Server esetn nem, s nem is lehet. De tvolbl igen, mindhrom szerver zemmd esetn s erre 2 megoldsunk is van, tipikusan mindkett tartomnyban egyszeren elrhet, munkacsoportos krnyezetben mr kevsb, mivel a jogosultsgok deleglsa kiss krlmnyes142: 1) A Server Manager-ben a kpessgek kztt tallunk egy Hyper-V Tools-t, gy ha az egyik szerverrl a msikra szeretnnk a kezelst megoldani, akkor ezt kell telepteni s hasznlni.
http://blogs.technet.com/b/jhoward/archive/2008/03/28/part-1-hyper-vremote-management-you-do-not-have-the-requested-permission-to-complete-thistask-contact-the-administrator-of-the-authorization-policy-for-the-computercomputername.aspx
142
~ 274 ~
HYPER-V
2) s erre a clra szolgl az RSAT csomag pl. egy Windows 7-en, amelynek szintn van egy Hyper-V Tools MMC-je. No s persze mretesebb krnyezetben, tbb Hyper-V szervert felgyelve s irnytva, kzpontostott feladatokat elltva az SCVMM-nek nem lesz prja.
9.3
BRA
A H YPER -V M ANAGERBEN
IS LEHETNE TBB KISZOLGLNK IS , A BAL OLDALI KERETBEN
A Hyper-V Manager-rel a szl partci opercis rendszerbl kezelhetjk a gyermek partcikat (a guest-eket, azaz a virtulis gpeket). Itt hozhatjuk ltre ezeket, itt trlhetjk, llthatjuk be a jellemziket. A kzps, dominns keretben a virtulis gpeket s pillanatnyi llapotukat, a memria s CPU fogyasztst, stb. ltjuk. A teendk a jobb oldali keretben jelennek meg, egyrszt fell a komplett Hyper-V-re vonatkozan, msrszt alul az adott virtulis gp viszonylatban. Az els leselkeds utn nzznk be a globlis tulajdonsgok kz, ezt az adott HyperV szerver helyi menjben a Hyper-V Settings-et kivlasztva rhetjk el.
~ 275 ~
9.4
BRA
K EZDJK
ITT
Az elejn a kiszolglra vonatkoz belltsok jnnek szembe, pl. a leend virtulis gpek .vhd fjljainak s konfigurcis fjljainak alaprtelmezett helyt tudjuk mdostani, illetve a NUMA Spanning (Non-Uniform Memory Architecture 143 ) engedlyezse is itt tallhat. Aztn pedig kisebb jelentsg belltsok jnnek, mint pl. a billenty kombincik hasznlatnak krlmnyei vagy az egrkurzor elengedse144 (ha nincs integrcis komponens teleptve). Ellenben egy ezeknl lnyegesen fontosabb rszt is clszer mg a virtulis gpek ltrehozsa eltt konfigurlni,mgpedig a virtulis hlzatokat. Az n. virtulis Bizonyos (igen komoly) kiszolgl hardver esetn Hyper-V alatt egy virtulis gpnek meg lehet adni, hogy mely NUMA node-on mkdjn. Ti a NUMA egy olyan spci memria architektra, amely a multiprocesszoros rendszerekben hasznlatos, s a CPU-knak sajt, a kzs rendszer memritl elklntett memria terlete is lehet. 144 Ezt annyira nem neveznm aprsgnak, egy rosszul konfigurlt egrkurzor kpes az rletbe kergetni az admint (a lektor megjegyzse).
143
~ 276 ~
HYPER-V
switchek konfigurcija szintn az adott Hyper-V szerver helyi menjben tallhat (Virtual Network Manager). Itt hrom, egymstl teljesen eltr virtulis hlzat tpus ll rendelkezsnkre, amelyek egyik kzs jellemz viszont az lesz, hogy akr tbbet is ltrehozhatunk bellk (lsd kvetkez kp).
9.5
BRA
MEGFELEL HLZATI B ELLTS A KULCS MINDENHEZ
Private: kizrlag a virtulis gpeink kztti hlzati kapcsolatok kialaktsra nyjt lehetsget, se a szl fel, sem egy kls kapcsolat fel nem lehetsges kapcsoldni. gy lehet pldul kellemesen szeparlni egymstl akr teljesen ugyanolyan IP konfigurcival tesztrendszereket (persze ha nincs szksg kls kapcsolatra). Internal: Az adott Hyper-V szerver gpei s a szl opercis rendszer, valamint az ugyanazon a fizikai szerveren fut virtulis gpeink kztti hlzati kapcsolat kialaktsra szolgl. External: Ezen a virtulis switch-en keresztl csatlakoztathatjuk a virtulis gpeinket a rendszernk nem virtualizlt rszbe. Az ilyen tpusnl a virtulis hlzathoz ktelez hozzrendelni fizikai gp egyik hlzati krtyjt.
~ 277 ~

o Az Allow management operating system to share this network adapter bepiplsa azt teszi lehetv, hogy ugyanazon a hlzati krtyn lsson ki a szl partci s a virtulis gpek is. Teht, ha pl. egyetlen egy hlzati krtynk van, akkor ha ezt az opcit levesszk, akkor csak a virtulis gpek ltjk majd ezt a hlzati krtyt, a host OS nem, teht pl. a felgyelet kiss krlmnyes lesz 145. pp ezrt legyen tbb hlzati interfsznk egy Hyper-V esetn, mivel az ajnls pont azt mondja, hogy dedikljunk a virtulis gpeknek kls interfszt a fizikai hlzat fel, s ne kapcsoljuk be ezt az opcit. o Amennyiben nem lehetsges a fizikai hlzati interfsz szintjn elvlasztani egymstl a fizikai gp s a virtulis gpek hlzatt, akkor hasznljunk tbb VLAN-t, s adjuk meg annak az azonostjt (VLAN ID), amelyet a fizikai OS elrsre szeretnnk hasznlni. o Tbb ilyen kls hlzatot is ltrehozhatunk, de egy adaptert, kizrlag egyetlen external virtulis hlzathoz rendelhetnk hozz. A hlzati belltsok legaljn (s csak az R2-ben) lthat a vlaszthat MAC Address tartomny (MAC Address Range), amelybl majd a virtulis gpeink szmra kerlnek - dinamikusan - kiosztsra a cmek.146 Van mg 1-2 menpont az adott Hyper-V kiszolgl helyi menjben, de ezek vagy ksbb lesznek majd igazn aktulisak (Edit/Inspect Disk), vagy magtl rtetdek (pl. Remove Server vagy a View). gyhogy haladjunk tovbb, s nzzk meg, hogy hogyan hozhatunk ltre egy virtulis gpet!
9.3 E GY
VIRTULIS GP LT REHOZSA
Legalbb hromfle mdon juthatunk j virtulis gp birtokba: 1. Teleptnk egy teljesen j virtulis gpet, egy teljesen j virtulis lemezzel, a szoksos OS teleptsi mdszerrel 2. Rendelkeznk egy msik Hyper-V all kiexportlt gppel (amelyhez egy konfigurcis fjl s egy vagy tbb diszk is tartozik), s ezt beimportljuk 3. Rendelkeznk egy sysprep-elt lemezkppel, s ebbl (ha okosan akarjuk csinlni) egy differencilis lemezzel hozunk ltre telepts nlkl egy vagy akr tbb j virtulis gpet
Az ilyen krnyezetet headless krnyezetnek nevezzk. Szerverekbe beptett rendszerfelgyeleti krtyval mkdtethet (a lektor megjegyzse). 146 Tbb Hyper-V host esetn (SCVMM nlkl) tfedsek lehetnek. Azonos MAC cm gpek nem kommuniklhatnak egymssal, tbb host esetn, de SCVMM hinyban neknk kell gondoskodnunk a MAC cmek hostokon tvel egyedisgrl (a lektor megjegyzse).
145
~ 278 ~
HYPER-V
Nzzk sorban! Az egyes mdszer a legegyszerbb, de pl. sok gp esetn nagyon fraszt, s semmilyen knnyebbsget nem hordoz magban. E mdszer szerint egy j virtulis gpet s egy vagy tbb j virtulis diszket fogunk ltrehozni, s aztn megkezdjk az OS teleptst. A folyamatot az adott Hyper-V szerver helyi menjben, a New pontra kattintva kezdemnyezhetjk (itt az j virtulis gp mellett akr egy j virtulis diszket, vagy ppen egy virtulis floppy is ltrehozhat egybknt).
9.6
BRA
N EVEZZK
S HELYEZZK EL A GPNKET
Ezutn jnnek sorban a hardveres jellemzk, RAM, hlzat, diszk, stb., viszont a CPU konfigurcit az j virtulis gp varzslban nem mdosthatjuk, alaprtelmezetten egyet kap a gpnk, de ahogy minden mst, amit eddig belltottunk, termszetesen ezt is megvltoztathatjuk majd a varzsl befejezse utn.
~ 279 ~
9.7
BRA
A RAM
HOZZRENDELSE
9.8
BRA
SWITCHEK
~ 280 ~
HYPER-V
9.9
BRA
L EMEZKEZELS
9.10
BRA
A DJUK
MEG A TELEPT MDIT , MAJD A
F INISH - RE
KATTINTVA VGEZTNK IS
~ 281 ~

A lemezek kivlasztsnl (9.9 bra) lljunk meg egy kicsit, mivel itt tbb lehetsgnk van: j .vhd-t hozunk ltre, vagy egy ltezt hasznlunk (mert mr korbban csak a diszket ltrehoztuk), vagy egyelre lemez nlkl hozzuk ltre a virtulis gpet. Most mi az alapesetet vlasztjuk, mert teljesen szz lesz a gp, de pl. semmi akadlya nincs annak, hogy a ksbbiekben tovbbi diszkeket is csatlakoztathassunk. A kvetkez ablakban (9.10 bra) a telept mdia megadsa a feladat. Ez lehet egyrszt egy ksbb eldntend dolog, msrszt lehet egy fizikai CD/DVD meghajt, vagy lehet egy .iso fjl is (n ezt vlasztottam). Szlssges esetben tolhatjuk egy floppyrl is a teleptt, illetve PXE boot-tal egy hlzati teleptst is megvalsthatunk147. Nos, ez volt az els mdszer, s ha elindtjuk a virtulis gpet, elindul egy normlis, htkznapi opercis rendszer telepts. A msodikhoz viszont merljnk el kicsit az export/import lehetsgekben. Ezt a virtulis gpek msik fizikai Hyper-V szerverre, msik diszkre trtn thelyezsre, esetleg egy adott llapot hosszabb tv lementsre (archivls) hasznlhatjuk. Vegyk figyelembe, hogy csak s kizrlag lelltott llapot gpet tudunk exportlni! Viszont ekkor mr egyszer lesz, a virtulis gpen jobb gomb s Export, majd adjuk meg a clhelyet, s a virtulis gp diszk mrettl fggen pr perc alatt kszen is vagyunk (minden virtulis gp llapotsornak az utols eleme a Status, ebben ltjuk az export szzalkos llapott). Az importnl azrt mr van tbb lehetsgnk is. Ehhez megint csak a Hyper-V szerver helyi menjben keressk meg az Import Virtual Machine menpontot!
147
De csak egy Legacy tpus hlzati adapterrel (a lektor megjegyzse).
~ 282 ~
HYPER-V
9.11
BRA
MAPPT KELL BELNI
Ha betallztuk a mappt, akkor el kell dntennk, hogy ez egy egyszeri import lesz-e vagy esetleg egyfajta sablonknt akarjuk hasznlni a korbban kiexportlt gpet. A csak s kizrlag az R2 alatt megjelen Duplicate all files opci kivlasztsa esetn (s persze a Copy the virtual machine (create a new unique ID) hasznlata mellett) lehetsgnk nylik egy korbban exportlt gp tbbszri importlsra. Ezen j opci segtsgvel egy elre definilt, konfigurlt, elksztett s exportlt virtulis gpet (master image) tbbszr is felhasznlhatunk, gy egy j kiszolgl nhny percen bell a rendelkezsnkre llhat. Ha nem ezt a lehetsget vlasztjuk, akkor az import folyamat az echte exportlt fjlokat hasznlja fel a virtulis gpnkhz, s ezt a vhd-t fogja elindtani, teht ezt az exportot sszesen egyszer tudtuk beimportlni. Az exportnl elvileg minden jellemznek s tulajdonsgnak passzolnia kell az export s az import Hyper-V gpek tekintetben. Termszetesen egy az eredeti gpbe becsatolt, de az j helyen nem ltez .iso fjl, vagy egy eltr nev hlzati switch esetn nem fog meghisulni az export, viszont egy figyelmeztet hibazenetet kapunk errl. Sajnos a konkrt hibt nem rja bele a Hyper-V ebbe az zenetbe, viszont az Esemnynaplban, az Applications s Services Logs\Microsoft\Windows naplk kztt a Hyper-V-VMMS naplfjlban konkrtan meg fogjuk tallni, hogy mi fj neki. A harmadik mdszer kicsit hasonlt a kettes vghez, s ugyangy azt a clt szolglja, hogy egyszerbb legyen sok gpet ltrehozni. Egy korbban ltrehozott (s rsvdett tett) sysprep-elt .vhd fjlt fogunk hasznlni, radsul helytakarkos
~ 283 ~

mdon, teht mint klnbsgi (differencing) diszket. gy aztn ha 10 gpet akarunk ltrehozni, akkor 11 db .vhd fjlunk lesz: 1 nagy mret szllemez (ez a sysprep-elt image) s 10 db klnbsgi lemez (valsznleg egszen kicsik). Ezzel a mdszerrel rengeteg helyet sprolunk meg, igaz, mivel ingyenebd nincs, ez kiss a sebessg rovsra megy majd, illetve hossztvon a differencilis lemezre gyjttt vltozsok mrete mgiscsak meghaladhatja a dinamikus/fix mret lemezek mrett.
9.12
BRA
V LASSZUK
AZ J
HDD- T
Ezt viszont az j gp varzslban nem tudjuk bevinni (9.9), ezrt ilyenkor vlasszuk nyugodtan a dnts elhalasztst (Attach a virtual disk later)! gy akkor lesz csak lemeznk, ha mr ksz a gp, de mg res. Vlasszuk ki teht a kivlasztott virtulis gp tulajdonsgait (helyi men > Settings), majd keressk meg az IDE Controller 0 pontot.
~ 284 ~
HYPER-V
9.13
BRA
L EGYEN
~ 285 ~
9.14
BRA
LEMEZTPUSOK : A FIX GYORSABB LESZ , DE VALSZNLEG PAZARL , A DINAMIKUS KNYELMES S KISEBB HELYFOGLALS , DE LASSBB , A DIFFERENCILIST MEG LSD AZ ELZ OLDALON
9.15
BRA A KLNBSGI LEMEZ ELNEVEZSE S ELHELYEZSE
~ 286 ~
HYPER-V
9.16
BRA
KORBBAN ELKSZTETT SYSPREP - ELT SZL DISZK HELYE S NEVE , MAJD
F INISH
Ezutn, azaz a gp elindtsa utn a sysprep-et kvet els indts mindig egy rvid uttelepts, amely utn viszont kapunk egy mr ksz opercis rendszert. Amit innentl a virtulis gpben vltoztatunk, az csak a sajt diszkjben trtnik meg. Nos, ezzel a harmadik mdszernek is a vgre rtnk, gy aztn ideje, hogy megnzzk alaposabban azt, amibe mr belecsptnk: a virtulis gpek tulajdonsgait s belltsi lehetsgeit.
9.4 A
VIRTULIS G P BELL TSAI 148
A virtulis gp tulajdonsglapjn (helyi men > Settings) mdosthatjuk a kivlasztott gp hardver s management paramtereit. A Hardware szakasz rszletei: - Add Hardware: Itt adhatunk j hardvert a gpnkhz (SCSI controller, Network adapter, Legacy Network adapter, R2 SP1 utn RemoteFX 3D Video Adapter is149) - BIOS: boot sorrend, Num Lock sttusz Ez az alfejezet jelents rszben tmaszkodott Liszk Gbor a technetklub.hu-n megjelent cikkre: https://technetklub.hu/blogs/virtualizacio/archive/2010/08/11/hyper-v-r2adminisztr-225-ci-243-i-hyper-v-manager.aspx 149 https://technetklub.hu/blogs/virtualizacio/archive/2010/12/09/remotefx-awindows-server-2008-r2-sp1-ben.aspx
148
~ 287 ~

Memory: mdosthatjuk a memria mrett, de menet kzben nem, R2 SP1tl viszont kihasznlhatjuk a dinamikus memria lehetsget150. Processor: mdosthatjuk a virtulis processzorok szmt (kikapcsolt llapotban), szablyozhatjuk az erforrs-hasznlatot (bekapcsolt llapotban is), processzor kompatibilitsi mdot llthatunk. IDE Controller: lemezeket, ill. DVD meghajtt (nem lemezt, azaz pl. egy .iso fjlt) csatlakoztathatunk a gpnkhz, de csak kikapcsolt llapotban. SCSI Controller: tovbbi diszkeket (maximum 64 db) csatlakoztathatunk a virtulis gpnkhz. SCSI meghajtrl nem lesz kpes bootolni a gpnk, viszont - szemben a virtulis IDE eszkzkkel menet kzben is hozzadhatjuk az ilyen tpust!
9.17
BRA
A MI
SZEM - SZJNAK INGERE
Network Adapter: mdosthatjuk a hlzati kapcsolatokat, j virtulis adaptereket rendelhetnk a szervernkhz s krtynknt megadhatjuk, hogy azokat melyik virtulis switch-nkbe csatlakoztatjuk (a korbban definilt
https://technetklub.hu/blogs/virtualizacio/archive/2010/12/09/hyper-vdinamikus-mem-243-ria-alapok.aspx
150
~ 288 ~
HYPER-V
virtulis hlzatok kzl vlaszthatunk s ha mr egyszer felvettk a gp lelltott llapotban az interfszt, akkor akr menet kzben is vltoztathatjuk a krtykon a virtulis hlzatokat). DVD Drive: megadhatjuk a mdit, ugyangy, ahogy az j virtulis gp varzslban. COM: ms kiszolglkkal trtn, virtulis COM porton keresztli kommunikcit engedlyezhetnk a virtulis gp szmra (Named pipe). Diskette Drive: virtulis floppy-t (*.vfd) csatlakoztathatunk a gpnkhz.
A Management szakasz: - Name: a gpnk Hyper-V Manager-ben megjelentend nevt mdosthatjuk. - Integration Services: itt talljuk az integrcis szolgltatsok (Integration Services, lsd ksbb) kapcsolit. Eldnthetjk, hogy ezek kzl melyeket szolgltassa a host gp a virtulis gpnk szmra (ksbb kifejtem). - Snapshot File Location: megvltoztathatjuk a pillanatfelvtel fjlok (lsd ksbb) helyt. - Automatic Start Action: a fizikai gp indulshoz a hozzrendelt automatikus virtulis gp indtsi mveletet hatrozhatjuk meg. - Automatic Stop Action: a fizikai gp lellsakor megtrtn automatikus virtulis gp lelltsi mveletet hatrozhatjuk meg. 151 A virtulis diszkek kezelse A hardveres szakaszban pl. az IDE Controller rsznl lthattunk pr, a lemezekkel kapcsolatos mveletet, s ugye a New parancs s a differencilis diszkek apropjn mr amgy is jrtunk itt. De fontos azt is tudnunk, hogy az Inspect lehetsget vlasztva egy ltez .vhd tulajdonsgait ellenrizhetjk. Az Edit disk alatt viszont tovbbi, esetenknt igen hasznos mveletek is elrhetek: - Compact: A fizikai httrtron elhelyezked .vhd fjl mrete nem cskken automatikusan, amikor adatot trlnk a virtulis lemezrl,viszont a Compact parancs hatsra igen. - Convert: Dinamikusan nvekv .vhd-bl fix mret virtulis lemezt kszthetnk. A mvelet sorn az eredeti diszknk tartalmrl msolat kszl egy ltalunk meghatrozott mret j, fix .vhd-ba. - Expand: Fix-, illetve dinamikusan nvekv mret .vhd mrett nvelhetjk, egszen 2TB-ig. - Merge: Csak a differencilis lemezek hasznlata esetn jelenik meg, ugyanis van lehetsgnk arra, hogy sszeolvasszuk a szl s a vltozsokat tartalmaz .vhd fjlt.
Az utbbi kt opcival llthat be nmi prblgats utn , hogy a megfelel sorrendben induljanak el a gpek, legalbbis egy hoston bell (a lektor megjegyzse).
151
~ 289 ~
9.18
BRA
E GY
LEMEZVIZSGLAT F LTON
Snapshot (pillanatfelvtel) A pillanatfelvtel remek lehetsg, ami kivlan hasznlhat, s ez az egyik dolog a sokbl, ami a fizikai gpekhez kpest a virtulis gpeknl a magas szint rugalmassgot adja a keznkbe. Merthogy a pillanatfelvtel hasznlatval egy adott virtulis gp lemeznek, konfigurcijnak s az aktulis memriatartalom tartalmnak llapott rgzthetjk, s erre az llapotra brmikor visszallhatunk. Pldul egy OS-nl egy sszetett konfigurls eltt llok, s lehet, hogy visszatrnk a mostani llapothoz, mert ez csak egy teszt. Ksztek egy pillanatfelvtelt pr msodperc alatt, sztkonfigurlom a gpet, majd ha gy hajtom akkor, visszallok teljesen az elz llapotra, szintn pr msodperc alatt. De ez ekkor az igazi, ha olyan vltozst tervezek vgrehajtani, ami egybknt visszafordthatatlan lenne (nyilvn egy olyan mvelet esetn, amelynek eredmnye pldul a cmtrban troldik, kevsb operlhatunk).
~ 290 ~
HYPER-V
9.19
BRA
PILLANATFELVTEL MV ELETEK
No s persze egy gprl szmos pillanatfelvtelnk is lehet 152 , amelyeket egy faszerkezetbe rendezve talljuk meg az adott gp neve alatt, a klnbz idpontokkal elnevezve (persze tnevezhet, s rtelmes, az llapotra utal nevekkel clszer is ezt megtenni, mert a kosz gyorsan kialakul). A fbl lehetsgnk nylik trlni egyetlen pillanatfelvtelt (Delete Snapshot), de trlhetjk egyszerre az egsz ft is, ill. a kijellt snapshot alatti snapshot-okat (Delete Snapshot Subtree...). Termszetesen, ha a Delete Snapshot Subtree... lehetsget a legfels felvtel kijellse mellett vlasztjuk, akkor az sszes rgztett llapotot trljk. Ami mg fontos, hogy a pillanatfelvtel exportlhat is, viszont nem kszthetnk pillanatfelvtelt olyan gprl, melyhez akr csak egy pass-through diszket is csatlakoztattunk. Az integrcis komponensrl
A pillanatfelvtel llomnyok helyt az egyes virtulis gpek tulajdonsglapjn llthatjuk be. A snapshot llomny kiterjesztse az .avhd.
152
~ 291 ~

Nmi Hyper-V rutin utn egyszer csak az ember elgondolkodik arrl, hogy ugyan hogy tudom n szablyosan lelltani (shutdown) a virtulis gp eszkztrnak menjbl a virtulis gpet, mikor ezt a parancsot abszolte kintrl adom ki? Vagy hogy tudom menteni a komplett virtulis gpet, szintn kvlrl? Nos erre s mg sok ms krdsre az integrcis komponens a vlasz.
9.20
BRA
AZ 5
EXTRA LEHETSG
A fejezet elejn emltett Firnyt, azaz a Worker processz ezeken az integrcis komponenseken keresztl tartja a kapcsolatot pldul a szintetikus eszkzkkel (VMBus) s a tbbi virtulis gppel (VSP-VSC), valamint feldolgozza a gazdagprl rkez felgyeleti utastsokat (WMI), s lekpezi az RDP kapcsolatokat153, illetve 1-2 tovbbi, szmunkra is lthat extra lehetsget nyjt (lsd: korbbi pldk).
153
Ezrt lthat mr a boot folyamat is, RDP-n keresztl.
~ 292 ~
HYPER-V
9.21
BRA
AZ
INTEGRCIS KOMPON ENS TELEPTSE GY INDUL
Az integrcis komponens ltalban nem kerl bele automatikusan154 a virtulis gpbe, hanem neknk kell - clszeren a virtulis gp els hasznlatakor - felrakni (9.21 bra), vagy ha pldul egy ms verzij Hyper-V-rl importltunk egy gpet, akkor pedig frissteni.
9.5 A H YPER -V S ERVER R2

Ez a termk mindenfle szempontbl klnleges. 2007 novemberben a barcelonai TechEd konferencin jelentette be a Microsoft a Hyper-V nevet, a termk klnbz verziit, illetve azt, hogy lesz egy nll Microsoft Hyper-V Server nev termk is, ami aztn 11 hnappal ksbb meg is jelent. A Windows 2008-as vltozatban mg voltak jogos hinyossgok (lsd a tblzat els oszlopt), az R2-re ezek nagyon szpen kisimultak. Szval a Hyper-V Server R2 gyakorlatilag egy Windows Server 2008 R2 Enterprise kiads, de mivel ingyenes, s mivel nincs benne Windows Server licensz, ezrt a nvben sincs benne a Windows kifejezs. Radsul az Enterprise nv csak a Hyper-V-re utal, ugyanis nincs is benne semmilyen ms szerepkr, csak a Hyper-V. De hogy lehet Windows Server licensz nlkl benne a Hyper-V? Ht gy, hogy GUI nlkl mkdik, azaz parancssoros, mint a Server Core (lsd: kvetkez fejezet). gy aztn
Van azrt kivtel is, az R2-nl s a Windows 7-ben gyrilag van, s azt vettem szre, hogy pl. a Windows 8 Developer Preview-ban benne volt egybl az R2-es HyperV-hez val csomag.
154
~ 293 ~

egy msik - egyni - megkzelts szerint ez egy olyan Server Core, amiben csak a Hyper-V van. Remlem, mr jl ssze is zavartam mindenkit . 155 De tudom fokozni: szerepkr csak 1 van, de kpessg azrt akad pr: WoW64, .Net Framework, Failover Cluster (a CSV is), MultipathIO156. Mi ezekben a kzs? Mind kellhetnek a Hyper-V-hez, egy-egy komolyabb, nagyvllalati forgatknyvben, magas rendelkezsre llssal, rendes storage-dzsal, stb. Kezdjk rteni? Kapunk ingyen157 egy teljesrtk virtualizcis megoldst, nmagban alacsony teljestmnyignnyel, biztonsgos mkdssel158 s nagyvllalati clokra is hasznlhatjuk. Okos. Mr csak azrt is igaz az utbbi jellemz (nagyvllalati), mivel pl. a CPU tmogats csak 8 CPU-ra (foglalat) korltozdik, s 64 magra. RAM tekintetben 1 TB a tmogats fels hatra (mrmint a fizikai gp esetn). Azrt ez nem tipikusan a Noname Kft hardver krnyezete.
9.21
BRA
AZ
SSZEHASONLTS SEM HTRNYOS A
H YPER -V 2008 R2 S ERVER - RE
NZVE
A Hyper-V Servernek van egy tulajdonsga, ami nincs meg a rendes szerverekben: tmogatott mdon indthat egy pendrive-rl. Tovbb van egy olyan kpessge, amely viszont nincs meg a Server Core-ban: a RemoteFX (lsd ksbb) bekapcsolhat rajta, ha SP1 szinten van. 156 De azrt van BitLocker, Backup s 1-2 kisebb kpessg is de mind a Hyper-V miatt. 157 Ugye azt azrt rtjk (s a kvetkez tblzbatl ki is derl), hogy csak a szl OS van ingyen, a guest OS-eket termszetesen el kell ltnunk majd rvnyes licenszekkel 158 Fogjuk majd ltni szzalkok formjban is a Server Core-nal, hogy a parancssoros vltozatok patch-elsi ignye jval kisebb.
155
~ 294 ~
HYPER-V
A Hyper-V Server 2008 R2 hardveres ignyei teljesen megegyeznek a GUI-s vltozat ignyeivel. Semmi tovbbi extra, st, a parancssoros mkdsbl fakadan jval kevesebbel is beri. Ha megvan a telept (1,5 GB), s el is indtjuk, akkor annyira egyszer a dolgunk, hogy szra sem rdemes. A kezels az mr egy msik tszta, de itt jn az igazi hasonlsg a Server Core-ral, azaz ugyangy egy parancssoros menrendszernk van, mint ott, s csak kicsit eltr lehetsgekkel (nzzk meg a kvetkez fejezet kpeit, csak a Failover Clustering Feature a klnbsg), mg az indtsa is az sconfig paranccsal trtnik (mrmint az R2-ben, mert a Windows Server 2008-ban mg a hvconfig volt a megfelel parancs). A felgyelethez itt sem kell csak s kizrlag a parancssort hasznlni, a tvoli WinRM, MMC, RDP hozzfrs megoldott 159 , csak engedlyezni kell. s persze tartomny tagja, a Csoporthzirend alanya egyarnt lehet, s persze a System Center csald felgyeleti hatkrbe is beletartozhat.
9.22
BRA GY INDUL A TELEPT
Igazbl a fejezetek sorrendje kicsit zavarba hoz lehet, de az ide tartoz hogyanokat mind megtalljuk majd a kvetkez fejezetben, a Server Core kapcsn (mivel azt korbban rtam meg).
159
~ 295 ~
9.23
BRA
VLASZTK ( AZ SCONFIG PARANCS )
9.24
BRA
H A F AILOVER C LUSTER
KPESSGET AKARSZ , NYOMD MEG
2X
AZ
1- EST
~ 296 ~
A SERVER CORE
10 A S ERVER C ORE
A Windows 2008 csald a szoksos Standard, Enterprise s egyb kiadsok mellett egy klnleges n. teleptsi vltozatot is tartalmazott, amelynek a neve Server Core. A klnlegessge elssorban abbl ll, hogy 95%-ban parancssorbl mkdik, azaz egyltaln nincs GUI. Elsre ez biztosan meghkkentnek tnik, de mkdik s nem is akrhogyan.
10.1 E LNYK
S HT RNYOK
Nzzk sorban milyen elnyei vannak egy ilyen kiszolgl verzinak: - A erforrsok szempontbl lnyegesen gyengbb gpen is jl mkdik. A korbbi tesztjeim sorn kiderlt hogy pl. egy virtulis gpben 80 MB RAM-mal mr egy knyelmesen felszerelt tagkiszolgl is mkdtethet, 128 MB memrival pedig egy full extrs tartomnyvezrl is tkletesen jl teljest. Ha igazi vasrl van sz, hasonl a helyzet, br ilyenkor egy kicsit tbb er kell. De nem sokkal, az ajnls szerint 512 MB RAM 160 elg a teljes funkcionalitshoz. Ide tartozik a lemezhely igny is, ami az alaptelepts utn a pagefile nlkl valban nem tbb, mint 4 GB (s ebben benne van a kb. 2 GB-nyi, kompatibilitsi okokbl fenntartott Windows\Winsxs mappa tartalma is, ami egybknt a teljes rendszernl a duplja ennek). s persze ne felejtsk el, hogy alapesetben olyan 30 krli automatikusan indul rendszer rendszerszolgltats van! Ez (is) komoly klnbsg az erforrs hasznlatot tekintve. - Szmos kiszolgl feladatkrt kpes elltni a Server Core (errl ksbb), de lnyegesen kevesebbet, mint pl. egy tipikus teljes161 szerver. Ezenkvl nem lehet akrmit rtelepteni, azaz lteznek a bels s a 3rd party programok terletn is kemny korltok. A kevesebb jobb elv alapjn ez nyilvn sok forgatknyvben fontos lesz, hiszen itt szintn nem kevs zemeltetsi idt takarthatunk meg. - Becslsek szerint kb. 60%-kal kevesebbet kell a biztonsgi s egyb javtsokkal trdnnk, ha nincs GUI, s nincs az ehhez szorosan ktd rengeteg alkalmazs. Ez nyilvn azt is jelenti, hogy kevesebbet kell ezzel a kiszolglval foglalkozni a bezemels utn (ott lehet hagyni a sarokban), s egyltaln nincs annyi jraindts sem. - A telepts utni indt konfigurls (pl. TCP/IP, gpnv megvltoztatsa, stb.) tipikusan a parancssorbl trtnik, de ezutn minimum hromfle mdszerrel vagyunk kpesek tvolbl is felgyelni, zemeltetni a Server Core-t. A teleptshez viszont mindenkppen 512 MB RAM kell, a telept motorja ennyit megkvn. 161 Nem szeretem ezt a kifejezst, szerintem a Server Core is sok szempontbl teljes, de a hivatalos angol full-t kvetem azrt.
160
~ 297 ~

Hasznlhatjuk az MMC-t, az RDP-t s a WS-Management kpessget, azaz a WinRM/WinRS prost, ami gyakorlatilag tvoli parancssorknt mkdik. Teht nem kell hallra rmlni a szerver konzolon a fekete httr eltt villog fehr kurzortl, ltezik mdszer a mindennapok feladatainak elvgzsre pl. a rendszergazda gprl. Ngy R2 kiadsban (ST, EE, DC, Web) is megtallhat, s egyformn hasznlhat x86/x64 krnyezetben is (ez nyilvn csak a Windows Server 2008-ra igaz, mivel az R2, mint tudjuk, csak az x64 platformon rhet el).
10.1
BRA I TT DL EL MINDEN
A teljessg s a tisztnlts kedvrt tekintsk t a htrnyokat is, mert azrt az sejthet, hogy a felsorolt elnyk szmos kompromisszummal is jrnak! - Tnyleg nincs GUI. Nincs Explorer, MMC, CLR, shell, IE, Media Player, Windows Mail, Paint s Calculator, RDP kliens, stb. El kell gondolkodnunk azon, hogy hogyan lehet DNS znt telepteni parancssorbl? Hogyan lehet szintn innen felhasznlt felvenni az AD-ba? Hogy csinlunk egy kivtelszablyt a tzfalban, hogyan hitelestnk egy DHCP szervert az AD segtsgvel, ha nincs GUI? Mg sok ilyen krdst fel fogunk tenni magunknak a hasznlat sorn, de a vlasz vgl mindig az, hogy lehet, csak kicsit (ritkn nagyon) bonyolultabb.
~ 298 ~
A SERVER CORE
Ami elny, az egyben htrny is, azaz kevesebb komponens s alkalmazs mkdik a Server Core kiszolglkon. 10 f szerepkr162 van, amelyet teljes kren ellt(hat): DHCP, DNS, File Services (DFS/R s a tbbi is persze), Active Directory, Active Directory Lightweight Directory Services, Active Directory Certificate Services, Print and Document Services, Remote Desktop Services (de csak az RDVH a VDI-hoz), Web Server (IIS) s a Hyper-V. Ezek mellett azrt van egy kellemes listnk a kpessgekrl is: o BranchCache o Bitlocker Drive Encryption o Failover Clustering o Multipath IO o Network Load Balancing o NFS Server, Subsystem for UNIX-based Applications o Removable Storage Management o Quality Windows Audio Video Experience (Qwave) o SNMP o Telnet Client o Windows Server Backup o WINS o WoW64 Support
Nmi htrny mutatkozik a telepts, pontosabban a frissts s migrci krnykn is, azaz hrom fontos rszletet kell kiemelni: 1. Nem lehetsges egy korbbi Windows szerver verzirl frissteni. 2. Nem jrhat t a teljes verzikrl trtn frissts sem. 3. A Server Core-t szintn nem lehet egy teljes kiadsra frissteni. Ezekbl rtelemszeren az kvetkezik, hogy a Server Core telepts csak tiszta (clean) telepts lehet. Hogy szptsem a kpet, jelzem, hogy egy komoly elny viszont ltszik a teleptsnl, ugyanis villmgyors, kb. 8-10 perc, s ksz is vagyunk. Mg egy fontos dolog: a csendes telepts megvalsthat, a Server Core kpes egy Unattend.xml alapjn teleplni, azaz testre szabhatjuk (kperny felbonts, RDP engedlyezse, stb.) s automatizlhatjuk a teleptst ugyangy, mint a teljes verzinl (pl. Windows System Image Manager-rel).
10.2 A Z
ELS LPSEK
Itt nem lesz kln R2-es fejezet, hanem itt s ksbb is csak az R2-rl beszlek, illetve... de majd megltjuk .
162
~ 299 ~

A teleptsben semmi extra nincs, azt viszont mg egyszer s elzetesen kell rgzteni, hogy vagy-vagy, teht licenszelsi szempontbl vagy egy teljes verzit teleptnk, vagy a Server Core-t.
10.2
BRA
A S ERVER C ORE - BL
ENNYI LTSZIK A BELPS UTN
Ha kszen vagyunk, az jfajta egsz kpernys belpsi kpernyt lthatjuk. Tudnunk kell, hogy itt is egyetlen mkd felhasznli fik van csak (ez az Administrator, persze van mg egy, a Guest, de szoks szerint letiltva), s szoksosan ennek sincs mg jelszava. Ha megadjuk ezt, s gy belpnk, akkor az elz kpen lthat ltvny trul a szemnk el. Ha viszont fogjuk, s becsukjuk az X-szel a parancssor ablakot, akkor csak az egyszn httr marad . De ne pnikoljunk be, hasznljuk a CTRL+ALT+DEL-t, s ekkor azrt nmi vigasz gyannt kaphatunk nmi grafikus felletet, ahol a jelszvltoztatson kvl ki is lphetnk vagy lezrhatjuk a gpet, illetve elindthatjuk a Task Manager-t is. Ha pedig van Task Manager, akkor futtathatunk egy jabb parancssort.
~ 300 ~
A SERVER CORE
10.3
BRA
MINI
S TART
MEN ( MAJDNEM UGYANAZ , MINT A TELJESNL )
Egybknt csak a teljessg kedvrt: a jelszvltoztatshoz a net user administrator * parancs is megfelel. De vajon mi a kvetkez lps? Eltalltuk: a TCP/IP bekonfigurlsa. Persze ha van DHCP, s megfelel neknk, akkor nincs problma, de kiszolglknl ez nem gy szoks, gyhogy jhet a manulis bellts, de elszr tjkozdjunk: netsh interface ipv4 show interfaces Ez azrt is klnsen fontos most, mert az eredmnybl tbb adatot is hasznostani fogunk a ksbbiekben, pl. az adott hlzati kapcsolat pontos nevt s a sorszmt. Ezutn jhet a tnyleges konfigurls: netsh interface ipv4 set address name=2 source=static address=x.x.x.x mask=x.x.x.x gateway=x.x.x.x A name utni sorszm a hlzati kapcsolat sorszma az elbbi listbl az Idx oszlop all. Persze, vissza is llthatjuk brmikor a DHCP-t: netsh interface ipv4 set address name=2 source=dhcp A DNS kiszolgl belltsa kulcsfontossg feladat:
~ 301 ~
netsh interface ipv4 add dnsserver name=2 address=x.x.x.x index=1 Mivel tbb DNS szerver is felvehet, az index adja meg a hasznland DNS szerverek sorrendjt. A telepts kzben a szoksos vletlenszeren kivlasztott, hiperrthetetlen nevet kapja a gp, ebbe a folyamatba kzben nem avatkozhatunk bele, utlag viszont igen, mgpedig az ismers netdom paranccsal: netdom renamecomputer GepMostaniNeve /newname:GepUjNeve Felmerlhet a krds: hogyan dertjk ki a gp jelenlegi nevt? Nos, a legeslegels alkalommal utna kellett nznem nekem is163, de aztn kiderlt, hogy a hostname parancs mkdik itt is, st a set c s a systeminfo is. Aktivlni szeretnnk a szervert? me: Cscript c:\windows\system32\slmgr.vbs -ato Ha kiadjuk, kb. 1-2 percig nem trtnik az gvilgon semmi lthat, majd ezutn diszkrten kzli egy apr panelen, hogy sikerlt. Egybknt az aktivls llapotnak kidertshez a kvetkez parancsra lesz szksg: Cscript c:\windows\system32\slmgr.vbs -xpr Mint szinte minden lpsnl, itt is van lehetsg tvoli vgrehajtsra, egy msik gprl: Cscript c:\windows\system32\slmgr.vbs gpneve\administrator jelsz -ato Ha nem a Server Core lesz a tartomnyunk alapkve, hanem egy ltezbe szeretnnk belptetni, akkor mg az elejn clszer gondoskodni errl, mivel a felgyelet (pl. WinRM) is felttele ennek, vagy ha nem, akkor is sokkal egyszerbb a megolds (pl. MMC). Ehhez gpeljk be a kvetkezt parancsot: netdom join gpnv /domain:domain_nv /userd:user_neve /passwordd:* Ennyi. Egy jraindts, azaz rpke pr msodperc utn a gp a tartomny tagja. A user_neve termszetesen egy olyan felhasznli fik, amelynek van megfelel
Sok mindennek utna kellett nznem, mg 2007-ben a Server Core tesztels alatt, de ennek azta is ltom a hasznt, mivel rengeteg parancsot megismertem s megtanultam hasznlni.
163
~ 302 ~
A SERVER CORE
jogosultsga a gpet a tartomnyba belptetni, a passwordd* pedig nem elrs, a csillag hatsra kri be a jelszt. Termszetesen a Domain Admins csoport automatikusan tagja lesz a helyi Administrators csoportnak a tartomnyba lptets utn, de ha mgis szksgnk lesz egy tartomnyi felhasznl helyi admin csoportba helyezsre, hasznljuk ezt a parancsot: Net localgroup administrators /add domain_neve\user_neve
10.3 E LLENRZS
S FELGYE LET
Mint ahogyan mr emltettem, a felgyelet ellthat tvolbl hrom klnbz mdszerrel is, s igazbl clszer is ez, hiszen helyi eszkz viszonylag kevs van. A hrom mdszer kzl az egyik az RDP kapcsolat, amelyet elszr engedlyezni kell a kiszolgln: cscript C:\Windows\System32\Scregedit.wsf /ar 0 De van itt egy kis trkk is, mert ez az engedlyezs az RDP 6.0-s kliensekre vonatkozik csak (Visttl kezdve alapbl ez van, az XPSP2-re letlthet, XPSP3-ban benne van), ha rgebbi RDP kliensrl hajtjuk kezelni, akkor: cscript C:\Windows\System32\Scregedit.wsf/cs 0 Ezutn csont nlkl mkdik, ami azrt is j, mert pl. a vglapon keresztl is letmadhatjuk a Server Core-t a megfelel ktegelt vagy egyszeri parancsokkal. Egy msik mdszer az MMC-n keresztli elrs, amely azonos tartomnyban, megfelel jogosultsggal semmi extra tudst nem ignyel.
~ 303 ~
10.4
BRA
EZ
S ERVER C ORE C OMPUTER M ANAGEMENT MMC- JE
EGY MSIK GPRL
NINCS KLNBSG
A kprl az is kiderl, hogy az jfajta mg a Vistban bevezetett Event Viewer, Task Scheduler vagy Performance Monitor kpessgeket korltozs nlkl hasznlhatjuk a Server Core esetn is. Ha viszont nem azonos tartomnyban vagyunk a kiszolglval, akkor elsknt szksg lesz erre a parancsra ahhoz, hogy ne egy Access Denied sorozatba fussunk bele: Net use * \\szerver_neve\c$ /u:user_neve A harmadik mdszerhez a Windows Remote Management / Windows Remote Shell hasznlathoz viszont clszer azonos tartomnyban lenni a Server Core kiszolglval, hiszen ekkor knnyedn hasznlhatjuk pl. a Kerberos-t a hitelestsre, ami egyttal az alaprtelmezs is. A kvetkez paranccsal indthatjuk a szerver oldalon a szolgltats belltst: WinRM quickconfig Ezzel a paranccsal elindtjuk s automatikus indtsra tesszk a WinRM szolgltatst, belltjuk a HTTP listener-t a WS-Management protokoll zeneteinek fogadsra s kldsre, valamint ltrehozunk egy tzfal kivtel szablyt (TCP 3190)
~ 304 ~
A SERVER CORE
a WinRM szolgltats rszre. s ennyi! Ellenrzs gyannt gyzdjnk meg az alaprtelmezett hitelests tpusrl: winrm get winrm/config/service Pldaknt nzznk meg nhny tovbbi parancsot! A Server Core rendszerpartcija tartalmnak listzshoz a kvetkez utastst adjuk ki egy msik gprl: winrs -r:http://szerver_neve dir c:\ A kiszolgl jraindtshoz pedig gpeljk be ezt: winrs -r:http:// szerver_neve shutdown -r /t 0 s ha a kedves Olvas lelkiismeretesen kvette eddig az instrukciimat, akkor most elmondanm, hogy ez mind, amit eddig csinltunk, nem is szksges .
10.5
BRA
M EN
A PARANCSSORBAN , TISZTRA MINT A
DOS- OS
IDKBEN
Pontosabban ha csak Windows Server 2008 ll rendelkezsre, akkor igen, ha R2, akkor nem. Illetve igen, persze hogy be kell konfigurlni a TCP/IP-t s a tbbit, de
~ 305 ~

nem gy, hanem sokkal egyszerbben. gyhogy ismerjk meg az R2-es sconfig parancsot!164 Szval itt a menben mindent bellthatunk amit eddig csinltunk, illetve mg sokkal tbbet is, csak ppen teljesen egyszeren. Nem fogunk mindenhov benzni, mert minden pont teljesen logikus, de javasolnm, hogy mivel a felgyelet tmakrben vagyunk (s mivel mint az elz kpen lthat, minden mst mr amgy is belltottam), nzznk be legalbb a 4. pontba!
10.6
BRA
M EN
A PARANCSSORBAN , TISZTRA MINT A
DOS- OS
IDKBEN
Ha vgigmegynk az almenn (lesz kzben jraindts is), akkor minden eddigi felgyelet megoldst megengedhetnk, st mivel van Powershell is, ezrt a Server Manager Remoting-ot is beizzthatjuk, lsd kvetkez kp.
s van ennl mg bartibb, majdnem teljesen GUI-s megolds is, gy hvjk, hogy Core Configurator, de ez mr annyira egyszer, hogy semmilyen kihvs nincs benne : http://coreconfig.codeplex.com/
164
~ 306 ~
A SERVER CORE
10.7
BRA
C SAK 10
ROLE S
17
FEATURE
DEHT EZ A
S ERVER C ORE
Ha a Server Manager megvan165, akkor mr szinte minden megvan, de azrt nem minden. Nmi kzimunka mg kell egyes eszkzkhz, mg a tartomnyban is. Ennek oka a beptett tzfal (amit kikapcsolni nem rdemes, mert pl. a WinRM ekkor nem mkdik), amelyen engedlyeznnk kell tovbbi szablyokat az MMC konzolok mkdshez. A legfontosabbak: Disk Management (a Virtual Disk Service-nek futnia kell a Core-on, ez a Service gbl ellenrizhet) Netsh advfirewall firewall set rule group="Remote Volume Management" new enable=yes Device Manager Ez egy klnleges eset, ugyanis nem a tzfal, hanem a helyi hzirend miatt nem rhet el tvolrl, brmi mst is mond a hibazenet. Computer Configuration\Administrative Templates\System\Device Installation\Allow remote access to the PnP interface
165
Ne feledjk, a tartomnyba mr belptettem a Server Core gpet!
~ 307 ~
A hzirendet szablyozhatjuk tartomnyi szinten is, illetve egy loklis hzirendobjektum szerkesztvel csatlakozhatunk tvolrl a Core gphez, s elegend a loklis hzirend mdostsa. A mvelet elvgzse utn viszont jraindts szksges. Sajnos mg a Server Manager Remoting-gal sem tudunk sem szerepkrket, sem kpessgeket telepteni vagy eltvoltani tvolbl. Ez a Server Core verzi esetben jelent nagyobb problmt, de erre mindjrt rtrnk. Visszatrve a felgyelet tmakr elejre, meg kell emlteni mg egy-kt helyben is hasznlhat eszkzt is. Ide tartozik kt Control Panel elem, amelyek megmaradtak a Server Core-ban is. 1. Az id/dtum belltsa: timedate.cpl. 2. A Terleti belltsok: intl.cpl 3. iSCSI bellts: iscsicpl
10.4 S ZEREPKRK ,
KOMPONENSEK T ELEPT SE
Fontos krds, hogy hogyan tudunk alkalmazsokat s komponenseket telepteni, illetve hogy melyek llnak rendelkezsnkre akr rgvest a telepts utn, azaz melyeket kell gyakorlatilag csak lesteni. A fontossguk szerint kt rszre szedett listt a cikk elejn mr lthattuk, most viszont az is kiderl, hogy a parancs gyakorlatilag ugyanaz mindkt csoportnl, azaz hasznljuk a Powershell-t s az ismers parancsokat! powershell import-module servermanager Get-WindowsFeature
~ 308 ~
A SERVER CORE
10.8
BRA AZ
IIS 7.5
RENGETEG MODULJA MIATT NEM FRT KI EGY KPERNYRE MINDEN
A parancsok utn a megfelel szerepkr vagy komponens neve jn, a klnbsg maximum annyi, hogy a komolyabb szerepkrk nevei hosszabbak, pl. DNS-ServerCore-Role vagy File-Server-Core-Role s gy tovbb. A kvetkez kpen szpen ltszik, hogy ez egy friss Server Core, egyedl a ments komponenst teleptettem fel kzzel, illetve a WoW64 gyrilag felment, mikzben konfigoltam a sconfig-gal.
~ 309 ~
10.9
BRA
G ET -W INDOWS F EATURE | WHERE {$_.I NSTALLED - EQ " TRUE "} | FT
s akkor mg egy dolog, amit tisztznunk kell: nincs klnbsg a Server Core s a teljes rendszer binris llomnyai kztt, nincsenek Server Core specifikus .dll-ek s egyebek. Minden ugyanolyan, illetve teljesen ugyanaz csak egy halom dolog nincs beptve.
10.5 S ERVER C ORE + AD

Van viszont egy komoly elem, amely kvl esik a Powershell hatkrn, s egyni trdst ignyel. Az Active Directory teleptsrl van sz, amely nem tl egyszer mvelet, tbb elkszletre is szksg van hozz. Elszr is, tnyleg kell a fix IP, ezenkvl a tbbi elkszletre (pl. smabvts) is sort kell kertennk. Ha rnznk a 10.7 brra, akkor mondhatjuk, hogy naht, de a PS tudja! De nem, ez ugyanaz, mint a Server Manager-nl, azaz a binrisokat felrakja, de csak ennyi a dolga. s miutn nem elrhet a grafikus fellet dcpromo, muszj az unattend mdszert vlasztani (amirl mr volt sz). Szval ssze kell kalaplnunk egy szvegfjlt, amely az ismert mdon vezrelni fogja a teleptst, parancssori indtssal. Egy plda egy szkre szabott, de teleptsre tkletesen alkalmas szvegfjlra166: [DCInstall] AutoConfigDNS = Yes CriticalReplicationOnly = Yes DomainNetBiosName = xxx A szvegfjlba felvehet paramterekrl a vonatkoz Windows Server 2008-as dokumentumbl tjkozdhatunk (http://support.microsoft.com/kb/947034).
166
~ 310 ~
A SERVER CORE
ReplicaDomainDNSName = xxx.yyy ReplicaOrNewDomain = Replica ReplicationSourceDC = zzz.xxx.yyy SafeModeAdminPassword = UserDomain = xxx.yyy UserName = Administrator Password = 167 Ezutn mr csak egyetlen tovbbi teendnk akad, az indt parancs kiadsa: Dcpromo /unattend:fjlneve.txt Ha ksz, akkor a szoksos jraindts utn egy tkletesen mkd 168 tartomnyvezrlnk fut a Server Core-on (amit szintn egy msik GUI-s gprl fogunk majd felgyelni, az eddig megismert eszkzkkel).
10.10
BRA
DC
TELEPTS PARANCSSOR BL
10.6 E GYB
167
ALKALMAZSOK S A MEGHAJT PROGRA MOK
Egy megjegyzs egy rdekes jelensgrl: ha brmilyen okbl elrontjuk elsre a teleptst, akkor a szvegfjlba jra be kell vinni a jelszavakat, mert egy hasznlat utn akr sikeres volt, akr nem trldnek, biztonsgi okokbl. 168 Az itthoni rendszerben (ami igen ers, sok szerveres krnyezet) a Windows Server 2008 btatesztelsem alatt 2 teljes htig futott egy Server Core FSMO DC-knt, s tkletesen mkdtt, pedig itthon tnyleg tkilences rendelkezsre llst kell nyjtanom.
~ 311 ~

Nem sok egyb alkalmazsunk van az eddig emltetteken kvl, de ezek kzl ami fontos, azt a kvetkez tblzat sszefoglalja.
10.11
BRA
AZ
ESZKZTR
Vgl legyen sz egy szintn kritikus terletrl, azaz a driverek teleptsrl, br a tapasztalatom szerint a hardverek felismersvel s illesztsvel abszolt nincs gond. De ha mgis, akkor a kvetkez mdszer szerint jrjunk el: 1. Msoljuk be a meghajt programot egy mappba! 2. Pnputil -i -a mappa_neve\<driver>.inf 3. jraindts (nem mindig szksges). A jelenlegi meghajt programok listzshoz a kvetkez rgi ismers parancsra lesz szksg (a szkz a driver eltt szndkos): sc query type= driver Nos, ezzel vgre is rtnk a Server Core fejezetnek, lenne rtelme mg j pr rszt megemlteni, mert ltalban igen rdekes dolgokrl van sz, de inkbb prbljuk ki, s prbljuk kihasznlni az elnyeit is, szemlyes vlemnyem szerint megri a kicsit tbb knlds.
~ 312 ~
ZRSZ
11 Z RSZ
Mindig kimarad pr dolog, olyan nincs, hogy mindent le tud rni az ember fia. Pedig csak 200 oldalra terveztem ezt a knyvet, s mi lett belle? De azrt gy is van hinyrzetem. Nagyon j lett volna rni mg az IIS-rl, a WDS-rl, a telephelyekkel kapcsolatban tovbbi megoldsokrl, vagy akr a hibakeress s a problmamegolds j eszkzeirl, de a magas rendelkezsre llsi komponensek tern is lett volna mg mit mondani (pl. Hyper-V + Failover Cluster), s mg bizonyra tovbbi ms terleteken is. Egyetlen vigaszt tudok csak nyjtani, mgpedig a technetklub.hu oldalt, ahol a rgebbi s az j anyagaink, az eladsok, konferencik, szakmai napok, stb. vgtermkei tmakrk szerint megtallhatak, s nagyon sok esetben akr screencastok formjban is megtekinthetek (az elz bekezds felsorolt hinyossgai kzl pldul biztosan mindrl van anyagunk). ljnk ezzel a lehetsggel, mert rdemes! Ksznm a trelmet.
Cegld, 2011. oktber
Gl Tams v-tagal@microsoft.com IT zemeltetsi szakrt Microsoft Magyarorszg http://www.technetklub.hu tamas.gal@iqjb.hu informatikai vezet, vezet oktat IQSOFT-John Bryce Oktatkzpont http://www.iqjb.hu
~ 313 ~

Windows Server 2008 R2 - A Kihivas Allando

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Windows Server 2008 R2 - A Kihivas Allando

Uploaded by

Copyright:

Available Formats

Kszlt a Microsoft Magyarorszg Kft megbzsbl

A knyv nyomtatott verzija megvsrolhat a http://joskiado.hu cmen lv webruhzban.

Jedlik Oktatsi Stdi Budapest, 2011

Nyomta: LAGrade Kft. Felels vezet: Szutter Lnrd

ISBN: 978-615-5012-12-9 Raktri szm: JO-0337

A szmtgpek hasznlhatatlanok. Csak vlaszokat adnak. Pablo Picasso

3.2.1 3.2.2 3.3 3.3.1 4

Frissts vagy migrci? _________________________________________ 33

DHCP s DNS __________________________________________________ 80 NPAS_________________________________________________________ 86 Az NPS____________________________________________________ 87 Az RRAS __________________________________________________ 91

A msodik szakasz: az R2 ______________________________________ 127

A terep elksztse ___________________________________________ 141

6.5.1 6.5.2 6.5.3 6.5.4 6.5.5 6.5.6 7 7.1

Tbb mint VPN DirectAccess ___________________________________ 193

Ami a telephelyeken fontos: BranchCache _________________________ 207

10 A Server Core ___________________________________________________ 297

11 Zrsz ________________________________________________________ 313

WINDOWS SERVER 2008 R2

A hivatkozst a 14. oldalon megtalljuk.

WINDOWS SERVER 2008 R2

2.2.1 A W INDOWS S ERVER 2008

WINDOWS SERVER 2008 R2

WINDOWS SERVER 2008 R2

W INDOWS S ERVER 2008

2.2.2 A W INDOWS S ERVER 2008 R2

WINDOWS SERVER 2008 R2

WINDOWS SERVER 2008 R2

WINDOWS SERVER 2008 R2

KARIKK S GOLY K , DE A LNYEG AZRT BE NNE VAN

Lemezmeghajt Monitor s perifrik

WINDOWS SERVER 2008 R2

3.2 T ELEPT ENI

GOMBOS BILLENTYZET HVE

LENT EGY OLVASNIVAL S A MENTS FEJEZETBEN KITRGYALT

WINDOWS SERVER 2008 R2

JEGYEZZK MEG JR A : VAGY - VAGY )

AZ AZ RDEKES , HOGY EZ MR EGY

ITT A NAGY KRDS

AZ ALS LESZ , RSZLETEK KSBB )

EGYSZER EN , AZ EGYETLEN ISMERETLEN A KVETKEZ KPEN

WINDOWS SERVER 2008 R2

MEGHAJT PROGRAMOT KELL BEILLESZTENNK , PL . A

VEZRLHZ AKKOR ITT AZ IDEJE

ADMIN JELSZ BELLTSVAL VGE IS A FOLYAMATNAK

WINDOWS SERVER 2008 R2

WINDOWS SERVER 2008 R2

WINDOWS SERVER 2008 R2

http://technet.microsoft.com/hu-hu/library/cc776703%28WS.10%29.aspx vatos meglps: http://emaildetektiv.hu/2007/01/20/szabalyozott-megfertozes (a lektor megjegyzse)

R2- RL R2- RE ( NZZK

MEG A SMA VERZIKAT ,

WINDOWS SERVER 2008 R2

WINDOWS SERVER 2008 R2

EGY KPESSG , ELS LPSKNT EZT KELL MAJD TELEPTENI

WINDOWS SERVER 2008 R2

SZERVER SZMRA A CSOMAG

WINDOWS SERVER 2008 R2

WINDOWS SERVER 2008 R2

WINDOWS SERVER 2008 R2

FELGYELET, KEZELS, ELLENRZS

WINDOWS SERVER 2008 R2

BRA J SOK MINDEN , EGY HELYEN

FELGYELET, KEZELS, ELLENRZS

WINDOWS SERVER 2008 R2

VAN , DE CSAK A FELE FRT IDE

DHCP s DNS ______________________ 80 NPAS_ 86 Az NPS 87 Az RRAS ______________________ 91