Professional Documents
Culture Documents
Rendszerfelugyelet Rendszergazdaknak PDF
Rendszerfelugyelet Rendszergazdaknak PDF
Rendszerfelgyelet
rendszergazdknak
Gl Tams
Szab Levente
Szernyi Lszl
Rendszerfelgyelet
rendszergazdknak
2007
Rendszerfelgyelet rendszergazdknak
Gl Tams Szab Levente Szernyi Lszl
A Microsoft, Active Directory, IntelliMirror, MS-DOS, Windows, .NET, Windows
Server 2003, Windows Vista, Windows XP, Windows 2000, Windows 2000 Server,
Windows NT, Windows NT Server, Windows 98, Windows ME, Office 2003,
Office 2007 nevek a Microsoft Corporation (Redmond, USA) bejegyzett vdjegyei.
Minden egyb, a knyvben elfordul mrka- s termknv a megfelel jogtulajdonos vdjegye.
ISBN 978-963-9131-98-9
Minden jog fenntartva. Jelen knyvet, illetve annak rszeit a kiad engedlye nlkl tilos reproduklni, adatrgzt rendszerben trolni, brmilyen
formban vagy eszkzzel elektronikus ton vagy ms mdon kzlni.
Tartalomjegyzk
Elsz
xi
A kapcsold tananyag
xii
xiii
xiii
Ksznetnyilvnts
xiv
I. rsz: Az gyfl
1. Alapismeretek
gyfloldal bevezets
Mikor s mirt nincs szksg kiszolglra?
A Windows Vista teleptse
A Vista vltozatai
Hardverigny
Teleptsi mdszerek s elkszletek
Fikok, fjlok s belltsok tvitele
A telepts folyamata
A Vista aktivlsa
Komponensek hozzadsa, illetve elvtele
Az alkalmazs kompatibilits eszkzei
A rendszerismeret alapjai
A Rendszer panel rszletei
Fik specifikus mappk s megosztsok
A felgyeleti konzol: az MMC-program
A Computer Management konzol ttekintse
A felgyeleti eszkzk (Administrative Tools)
gyflgp belptetse tartomnyba
Hlzat a Windows Vistban
A hlzati s megosztsi kzpont
A hlzati profilok
A TCP/IP-protokoll
j protokollok s szolgltatsok a Vistban
3
4
5
6
7
8
9
11
13
15
20
22
22
24
29
29
30
34
36
36
40
42
46
Tartalomjegyzk
2. Diagnosztika s felgyelet
ltalnos felgyeleti ttekints
Performance Information and Tools
Diagnosztikai segdprogramok
Halad felgyeleti eszkzk
Az Esemnynapl (Event Viewer)
A Feladattemez
A megbzhatsg s a teljestmny figyelse:
Reliability and Performance Monitor
Rendszerszint diagnosztikai eszkzk
A tvoli asztal
A tvsegtsg
A Windows-tvfelgyelet (WinRM) s a tvoli hj (WinRS)
A helyi hzirend
Szerkezeti, mkdsbeli vltozsok
Felhasznlkra s csoportokra rvnyesthet hzirendek
Gyakorlati pldk
3. Az gyfelek biztonsga
55
55
58
61
61
68
72
75
81
83
85
87
89
91
92
97
97
Az erforrs-kezels alapjai
98
A hitelests
A jogosultsgok
A fjlrendszer-jogosultsgok
A hlzati megosztsok jogosultsgai
A megosztott nyomtatk jogosultsgai
A felhasznli engedlyek
99
113
116
122
126
126
129
131
Vdekezs a mlyben
A szolgltatsok megerstse: Service hardening
Vltozsok a felhasznl fikok s csoportok kezelsben
A felhasznli fikok felgyelete (UAC)
Mandatory Integrity Control (MIC)
A biztonsgi rendszer sszetevi
A Security Center
Az Internet Explorer 7 biztonsgi jtsai
A Windows Defender
vi
55
131
138
140
142
151
153
154
155
161
Tartalomjegyzk
163
166
168
174
175
176
178
179
180
183
4. Kiszolgl a hlzatban
Windows Server 2003 R2
185
186
188
191
191
193
199
201
201
217
226
228
228
231
233
240
242
252
257
258
259
260
261
262
263
vii
Tartalomjegyzk
5. Tartomnyi krnyezet
Mire j a cmtr?
Az Active Directory-cmtrszolgltats alapjai
Az Active Directory alkotelemei
Cmtrpartcik
Az egyedi fkiszolgl-mveletek (FSMO)
A sma
A globlis katalgus szerepkr
A mkdsi (funkcionalitsi) szintek
Fizikai trols
Kezels s eszkzk
A DNS-szolgltats
A nvfelolds menete
A DNS-gyorsttr (DNS Resolver Cache)
A DNS-zna
A nvkiszolglk tpusai
Milyen rekordokat tartalmaz egy zna?
Az SRV-rekordok formtuma
A DNS-kiszolgl belltsnak lpsei
Az Active Directory teleptse
A telepts felttelei
Mi trtnik a telepts kzben?
Hibalehetsgek
Tipikus cmtrobjektumok
A szervezeti egysg
A fikok tpusai
Megosztott mappk s nyomtatk
A cmtr mentse s visszalltsa
A System State ments
A cmtr visszalltsa
A csoporthzirend
A helyi hzirend s a csoporthzirend
Mire hasznljuk?
Hogyan mkdik a csoporthzirend?
A Group Policy Management Console
A replikci s a telephelyek
A replikci
A replikcis topolgia
A telephelyek
Telephelyek tervezse
viii
275
276
279
280
282
283
285
286
287
289
290
294
295
297
298
300
301
303
304
309
309
310
312
312
313
314
317
319
319
320
322
323
324
326
330
331
332
333
335
337
Tartalomjegyzk
6. Hibakeress s elhrts
339
340
341
342
348
354
356
357
360
367
Adataink biztonsga
372
Az NTBackup
A visszallts
375
380
Kls eszkzk
Sysinternals segdprogramok
382
382
391
392
392
393
394
395
396
A gpek lelltsa
397
Trgymutat
399
A szerzkrl
415
ix
Elsz
Rendhagy s sok szempontbl hinyptl knyvet tart a kezben az Olvas.
Mr a cm is sokat elrul: ez a knyv kifejezetten rendszergazdknak kszlt,
s minden tmt a rendszergazda szemvel fejtnk ki benne. Tartalmt tekintve kezd s halad rendszergazdknak is btran ajnlhat megtallhat benne a Windows-alap rendszerek ismerethez s felgyelethez elengedhetetlenl szksges alapozs, de kzben folyamatosan megragadjuk az alkalmat arra, hogy benzznk a motorhztet al.
Mindebbl az is kvetkezik, hogy tlagos felhasznlkat rdekl funkcikrl gyakorlatilag nem esik sz ebben a knyvben arrl ezernyit lehet mr
fellelni a knyvesboltok polcain. Mi most kifejezetten arra fkuszlunk, hogy
a vilgszerte millik ltal hasznlt Windows opercis rendszerek mkdst
s felptst mlysgben ismertessk, s megmutassuk, hogyan lehet segtsgkkel akr kis-, akr nagyobb vllalatnl egy informatikai rendszert megtervezni, megpteni s felgyelni.
A knyv felptse kveti a vllalatok informatikai evolcijt is az els
rszben kifejezetten az gyfloldallal foglalkozunk csak: megmutatjuk, hogy a
kizrlag gyfl opercis rendszerekbl ll, nhny gpes hlzat mkdtetshez milyen kpessgek megismersre lesz szksgnk, hogyan lehet ezt
a krnyezetet hatkonyan zemeltetni s felgyelni. Kln kiemelt figyelmet
szentelnk a biztonsgnak, aminek kapcsn jelents vltozsok trtntek a
Windows Vista megjelensvel.
A msodik rszben egy kiszolglval bvtjk elkpzelt vllalatunk informatikai rendszert, s megnzzk, milyen elnyk jrnak ezzel mind a vllalat, mind a rendszergazda szmra s egyltaln mikor rdemes kiszolglt
alkalmazni. Ha mr van kiszolglnk, a kvetkez fejldsi lehetsg a cmtr bezemelse, majd a csoporthzirend alkalmazsa ezzel is egy kln fejezetnk foglalkozik. Mindezek utn mivel elbb-utbb gyis minden elromlik s tnkremegy utols fejezetnkben rszletesen foglalkozunk a hibakeresssel s elhrtssal is.
Elsz
A kapcsold tananyag
Knyvnk mindssze egyetlen (de jelents) alkoteleme egy lnyegesen nagyobb tananyagnak, amelynek kidolgozsval az elsdleges clunk az, hogy a
lehet legknnyebb tegyk minden rendszergazda szmra a szakma alapos
elsajttst, s egyben rszletesen megismerhessk a legjabb eszkzket is
a Windows Vistt s a Windows Server 2003 R2-t.
A tananyag kr Informatika Tisztn nvvel egy eladssorozatot is szerveztnk, ennek 2007 szn lezajlott 12 eladsval kzel 5000 informatikusnak mutattuk meg a rendszerfelgyelet legfontosabb s legrdekesebb jdonsgait. Az esemnysorozat sikerre val tekintettel 2008-ban vrhat annak
folytatsa is j tananyagokkal, eladsokkal, helysznekkel bvtve. A jelenleg elrhet s a jvben jelentkez tananyagok, esemnyinformcik a
www.microsoft.hu/it oldalon tallhatak.
Ellenttben az informatikai szakknyvek tbbsgvel, ebbl a knyvbl
gyakorlatilag teljesen hinyoznak a kattintgats, mindent lpsenknt bemutat lersok, helyettk sokkal ltvnyosabb s hasznlhatbb formban, rvid
videkat (mi csak screencastoknak hvjuk ket) ksztettnk el ezek mind
megtallhatak knyvnk DVD-mellkletn. Ezeken a videkon keresztl rszletesen, lben mutatjuk be a rendszerek kpessgeinek gyakorlati hasznlatt. Hatalmas mennyisg anyagrl van itt sz: messze tbb kpessget mutatunk meg bennk, mint amennyit az egy napos eladsokon lehetsgnk volt.
A knyv szvege s a videk egymsra plnek, s jl kiegsztik egymst.
Ezzel a megoldssal a knyvben sokkal tbbet tudunk foglalkozni a rendszerek mlysgeivel, httervel, hogy tnyleg alapos tuds birtokba lehessen
kerlni ltala. Ms rszrl a videk segtsgvel hihetetlenl gyorsan s knyelmesen lehet haladni a rendszer megismersben, akr a knyv hasznlata nlkl is majd a szmunkra rdekesebb funkciknak brmikor rszletesebben utnaolvashatunk.
Ahhoz azonban, hogy gyakorlati tapasztalatra is szert tegynk, ez mg
mindig kevs. ppen ezrt a DVD-mellkletre felkerlt a Windows Vista s a
Windows Server 2003 R2 virtulis krnyezetben hasznlhat vltozata, gy
brmikor lehetsg van a knyvben s a videkban tallhat kpessgek kiprblsra mghozz a virtualizcinak ksznheten mindezt a nlkl is
megtehetjk, hogy emiatt egy kln szmtgpet kellene tesztclokra kineveznnk. A virtulis gpek hasznlatrl knyvnk vgn, egy kln lers
formjban tallhat tovbbi informci.
xii
xiii
Elsz
Ksznetnyilvnts
Ezton szeretnk ksznetet mondani mindazoknak, akik lehetv tettk,
hogy ez a knyv s a kapcsold tananyag j minsgben elkszljn, s minl
tbb mindenkihez eljuthasson. Az albbi lista jl tkrzi, hogy a j munkhoz
a sok idn s az alapossgon kvl hatkony csapatmunkra is szksg van.
Termszetesen, mint ahogy minden szoftver garantltan hibs, ez a lista is
bizonyosan hinyos.
Ksznjk a segtsget:
Gl Tamsnak (Microsoft, MVP) a tananyag koncepcijrt, elksztsrt, a szmtalan eladsrt, a screencastokrt, a knyv lektorlsrt s a Windows Vista fejezetek vglegestsrt. Sem a knyvben,
sem a tananyagban nincs olyan pont, amin ne lenne felfedezhet a hatsod s szakmai maximalizmusod.
Az IQSOFT-John Bryce, a NetAcademia s a SZMALK hivatalos Microsoft oktatkzpontoknak, amirt rszt vettek a tananyag s a kapcsold tanfolyamok megvalstsban.
xiv
Keszei Balzsnak az Informatika Tisztn programsorozat koncepcijnak kidolgozsval s megvalstsval kapcsolatos hatalmas kzs munkrt.
Ksznetnyilvnts
xv
I. RSZ
Az gyfl
Knyvnk els az gyfloldallal foglalkoz rsze hrom jl elklnthet
fejezetbl ll.
Alapismeretek
3. oldal
Az els fejezet az j opercis rendszer bevezetsi, teleptsi tudnivalirl, s az ltalnos rendszerttekintsrl szl. A fejezet rszeknt rszletesen beszmolunk a Windows Vista rklt illetve teljesen j hlzati kpessgeirl.
Diagnosztika s felgyelet
55. oldal
A msodik fejezet kzponti tmja a rendszergazdk egyik legfontosabb mkdsi terlete, a rendszerfelgyelet. Ennek megfelelen ebben a rszben szmos, az zemeltetshez nlklzhetetlen, integrlt
felgyeleti eszkz kpessgeit ismertetjk, a fejezet zrsaknt pedig a
Helyi hzirendrl nyjtunk egy alapos ttekintst.
Az gyfelek biztonsga
97. oldal
Az els rsz legvaskosabb fejezete az informatikai biztonsggal foglalkozik. Rszletesen s mlyrehatan ismertetjk a Windows gyfl opercis rendszerekben alkalmazott biztonsgi technolgikat s megoldsokat az alapoktl kezdve. Termszetesen a fejezet dnt hnyadban a Vista jelents mennyisg j biztonsgi szolgltatsairl, illetve
komponenseirl lesz sz.
ELS FEJEZET
Alapismeretek
A fejezet tartalma:
gyfloldal bevezets ........................................................................................ 3
A Windows Vista teleptse .................................................................................. 5
A rendszerismeret alapjai................................................................................... 22
Hlzat a Windows Vistban ............................................................................. 36
gyfloldal bevezets
A Windows Vista a Microsoft gyfloldali opercisrendszer csaldjnak hatodik tagja. Technikailag tekinthetjk teht csak egy kvetkez rendes csaldtagnak a sorozatban. Nmi httrinformci s gyakorlati tapasztalat birtokban azonban kiderl, hogy valjban jelents a klnbsg az e sorozatba
tartoz korbbi opercis rendszerek s a Vista kztt. Kztudoms pldul
az a tny, hogy a Windows Vista nemcsak a legfrissebb, hanem a leghosszabb
ideig fejlesztett opercis rendszer is a Microsoft jelenlegi palettjn. A Windows XP 2001. oktberi debtlsa s a Vista 2006. novemberi, (illetve 2007.
janur 31., a brki ltal megvsrolhat pldnyokat tekintve) megjelense
kztt tbb mint t v telt el, ami az gyfl opercis rendszereknl hagyomnyosan nagyjbl kt ciklust jelent vagy egy nagyon alaposat.
Az 1.1. brn a fels sor a klasszikus Windows-gyfelek, mg az als az NT-alapokra ptett
opercis rendszerek listja. A kt sorozat 2001-ben, a Windows XP-ben egyeslt, gy a Vistban sincs mr jelen ez a fajta megklnbztets.
Alapismeretek
Alapismeretek
A Vista vltozatai
A Microsoft, annak rdekben, hogy a lehet legnagyobb felhasznli kr
szmra elrhetv tegye a Vistt, sszesen hat vltozatban ksztette el az
j opercis rendszert, melyek sora az alapfunkcionalits, otthoni felhasznlsra alkalmas kiadstl egszen a professzionlis, nagyvllalati krnyezetekhez megfelel rendszerekig terjed. A Windows Vista vltozatai a kvetkezkpp alakulnak:
Starter Gyengbb hardverkrnyezetekhez optimalizlt, kis teljestmnyigny vltozat, a fejld (zsiai, dl-amerikai, illetve afrikai) orszgok szmra mshol nem is vsrolhat meg.
Home Premium A Vista otthoni, de emelt szint krnyezetben javasolt vltozata, a teljes Aero grafikus felhasznli fellet mellett a
tblaszmtgpek komponenseit, illetve tbb multimdis szolgltatst is tartalmaz, melyeknek ksznheten pldul teljes rtk hzi
Media Center PC varzsolhat a szmtgpbl.
Hardverigny
Mg a Windows XP mr egy 300 MHz-es Pentium kategrij processzorral,
illetve 64-128 MB memrival is beri (a rendszer hasznlhat sebessggel
trtn futtatshoz persze ennl azrt ersebb hardver szksges), a Vista
mr alapesetben is tbb erforrst kvetel. A Windows Vista hardverignye:
Minimum
Ajnlott
Premium Ready
CPU
800 MHz
1 GHz
1 GHz
RAM
512 MB
512 MB
1 GB
GPU
SVGA
DirectX
Aero kpes
Video RAM
HDD szabad hely
128 MB
15 GB
15 GB
15 GB
Alapismeretek
A Premium Ready jelzs konfigurcik az sszes Vista-funkcit tmogatjk, vagyis ilyen gp vsrlsakor biztosak lehetnk benne, hogy
egyetlen extrrl sem kell lemondanunk, a PC maradktalanul kpes
kiszolglni a Vista ignyeit.
CD lemezekrl extra esetben (pl. MSDN vagy a TechNet elfizets rszeknt), az .iso fjlokat letltve s CD lemezre kirva.
USB-eszkzkrl ehhez preparlni kell az adott eszkzt, s a szmtgp BIOS-val szemben is vannak klnbz elvrsok.
A specilis, elssorban vllalati krnyezetben hasznlt automatizlt, illetve tmeges teleptses mdszerekrl az albbi cmen olvashatunk tbbet: http://technet.microsoft.com/enus/desktopdeployment/default.aspx vagy http://tinyurl.com/3255p6
Home
Premium
XP Professional
XP Home
XP Media Center
Business
Ultimate
XP Tablet PC
X
X
XP Professional x64
Windows 2000
Professional
Alapismeretek
1.2. bra: A Windows Easy Transfer sok esetben megfelel eszkz lehet az adatok tvitelre
Elsdleges clterlete a Windows XP, azonban kpes a Windows 2000 Professional-rl is adatokat thzni, viszont ebben az esetben a klnbz program s rendszer belltsok tvitelrl le kell mondanunk. A pontos hasznlathoz fontos tudni azt is, hogy az alkalmazsok belltsa csak akkor trtnhet meg az j gpen, ha mr felteleptettk ezeket, teht az eszkz az
adott komponens teleptst nem, de a belltst kpes elvgezni.
A hasznlata nem tlsgosan bonyolult, ennek ellenre jl varilhat lehetsgekkel rendelkezik. A rgi gpen (pl. egy XP-n) is teleptennk kell, de
ha elrik egymst hlzatban a gpek, akkor mg a Vistn a varzsl egyik
lpsben magt a teleptt is bemsolhatjuk egy megosztsba, teht nem
szksges a DVD a hasznlathoz (persze CD-re, pendrive-ra is kirja, ha
kell). Az j gpen a varzsl utols lpsben mg egy kulcsot is kapunk,
amely a jelsz feladatt tlti be. Ha a Vistn vgeztnk, akkor az XP-n elin10
A telepts folyamata
A Windows Vista teljesen megjult teleptsi mechanizmussal rkezik, mely
szmos elnnyel rendelkezik a korbbiakhoz kpest:
A teleptcsomag teljesen nyelvfggetlen, ami azt jelenti, hogy a frisstsek s bvtmnyek teleptshez tbb nem kell, hogy egy adott
nyelvi vltozattal rendelkezznk, valamint szabadon hozzadhatk, elvehetk a klnbz nyelvi csomagok (akr a telepts utn is pl. a
Windows Update segtsgvel).
Alapismeretek
1.3. bra: Ntt a telepts kzben hasznlhat a lemezeket, partcikat rint opcik szma
A Vista teleptse alapjaiban elr az XP-tl. Maga a teleptprogram egy specilis grafikus fellettel rendelkez elteleptsi krnyezetben fut, ahol a telepts lehetsge mellett szmos helyrelltsi s diagnosztikai eszkz pldul
integrlt memriateszt is rendelkezsnkre ll.
A teleptsi forrsok kre is ntt, mostantl akr USB-eszkzrl is telepthetjk a rendszert. A telepts elkezdshez szksges alapvet eszkzmeghajtk (pl. SATA/RAID-vezrlk) betltse is lehetsgess vlt optikai lemezrl vagy szintn ms USB-eszkzkrl (knyelmesen, a telepts egy adott
pontjn a httrtrol tallzsval), azaz az F6 billenty + a ktelez floppylemez pros immr a mlt a Vista esetn.
12
A Vista aktivlsa
Akr tiszta teleptst, akr rgebbi rendszerrl trtn frisstst vgznk, a teleptprogram bekri az adott Vista pldnyhoz tartoz product key-t (termkazonost kulcsot), telepts utn pedig aktivlnunk kell az opercis rendszert.
A korbbi verzikkal ellenttben a teleptskor nem ktelez termkkulcsot megadni (ha nem
adunk meg kulcsot, akkor brmelyik Vista kiads teleptst krhetjk), az rvnyes kulcs bevitelre (s a termk aktivlsra) harminc nap haladkot kaphatunk.
13
Alapismeretek
stt, ahol ezt ellenrizve megerstik, hogy a telepts jogszer volt. Ha valaki az aktivls befejezse utn megprblja az opercis rendszert ugyanazzal a termkkulccsal egy msik szmtgpre telepteni, a Microsoft adatbzisban trolt azonost jelzi, hogy ez a termkazonost kulcs mr hozz van
rendelve egy adott hardvercsoporthoz (szmtgphez), s az aktivls sikertelen lesz. A teleptsi azonost csak a termk aktivlsa cljbl szksges.
Ha a szmtgpnek van internetkapcsolata, az aktivlst mindenkppen
ennek felhasznlsval clszer elvgezni. A varzsl lehetv teszi a telefonos aktivlst is, de ebben az esetben az 50 szmjegybl ll teleptsi azonostt a telefon gombjainak segtsgvel kell megadnunk, s a vlaszul kapott
42 jegy aktivl kd begpelse is fraszt lehet.
Ms a helyzet azonban, ha olyan szmtgprl van sz, amelyet a Vista
elteleptett vltozatval egytt OEM (Original Equipment Manufacturer)
gyrttl vsroltunk. Tovbb bonyoltja a helyzetet, hogy a legnagyobb OEM
gyrtkra a tbbiektl klnbz szablyok vonatkoznak:
14
A legnagyobb multinacionlis szmtgpgyrtkat a Microsoft felhatalmazta arra, hogy a System Locked Preinstallation- (SLP a m. gyri
eltelepts) technolgia segtsgvel teleptsk, s aktivlt llapotban
szlltsk az opercis rendszert. A merevlemezre elteleptett (vagy a
helyrellt DVD-k segtsgvel felmsolt) Vista a BIOS-t tartalmaz
memriamodulban trolt egyedi informci alapjn ellenrzi a szmtgp tpust, gy nincs szksg kln aktivlsra. Ha ilyen szmtgpet vsrolunk, a gp dobozra r van ugyan ragasztva az eredetisget
igazol matrica a Vista termkkulcsval, de az opercis rendszer nem
ezzel a kulccsal van teleptve s aktivlva, mivel a gyrt egyetlen
kulcs segtsgvel teleptheti s aktivlhatja a gpekhez szlltott szszes Vista pldnyt. Ha a gphez tartoz helyrellt DVD segtsgvel
teleptjk jra a gpet, akkor nincs szksg aktivlsra (st mg termkkulcsot sem kell megadnunk!), egszen addig, amg a gpben az
eredeti alaplap (illetve BIOS) van.
Games (Jtkok) Kilenc klnbz jtkot tallunk ebben a kategriban, s alapesetben mindegyik teleptve van.
15
Alapismeretek
16
Internet Information Services Az gyflbe ptett web- s alkalmazskiszolgl j, 7.0-s vltozatt is hasznlhatjuk. Alapesetben
sem a klnbz (ugyanis a 6.0-s IIS-hez tartozak is rendelkezsre
llnak) felgyeleti eszkzk, sem a web-, vagy az FTP-szerver nincs teleptve. Fontos tudni, hogy az gyflgpen fut IIS elssorban a tesztelk, programozk szmra fontos s praktikus, ms esetekben az IIS
szolgltatsai clszeren a kiszolglkon hasznljuk. Ha viszont meg-
Microsoft Message Queue (MSMQ) Server [Microsoft zenetvrlista- (MSMQ-) kiszolgl] A gpnkbl MSMQ-kiszolglt faraghatunk e komponens teleptsvel, amely az alkalmazsok kztti garantlt
zenetkldst valstja meg, azaz a fogad alkalmazs inaktv llapota
esetn eltrolja a kldemnyt, s kzbesti annak elindulsakor. Csak specilis esetekben szksges.
RIP Listener (RIP-figyel) Ez a komponens a RIPv1 (Routing Information Protocol 1) tvonalvlasztsi protokollt hasznl routerektl rkez tvonal frisstseket figyeli.
Alapismeretek
18
Simple TCPIP services (i.e. echo, daytime etc.) (Egyszer TCP/IPszolgltatsok) A korbbi opercis rendszerekbl ismers komponens,
nhny alap TCP/IP- szolgltatst (echo, daytime, quote, chargen, discard) hasznlhatunk, ha teleptjk.
Tablet PC Optional Components (Tblaszmtgp vlaszthat szszetevi) Mivel praktikus okokbl nincs kln opercis rendszer vltozat a tblaszmtgpekre (a Windows XP-nl mg volt), ezrt a kifejezetten az ilyen tpus hardveren hasznlhat funkcik e vlaszthat
komponensen keresztl rhetek el. Alapesetben ezek a szolgltatsok
teleptve vannak, de szksg esetn egyszeren eltvolthatak.
Telnet Client (Telnetgyfl) Szintn biztonsgi okokbl az eddig integrlt, parancssori telnetgyfl immr nem rhet el az alaprtelmezett
telepts rszeknt, a hasznlathoz kln krnnk kell a teleptst.
Windows DFS Replication Service (Windows DFS-replikcis szolgltats) Olyan fjlreplikcis szolgltatsrl van sz, amely tmogatja a
szmtgpek kztti gyors s praktikus fjlszinkronizcit. Tbb j,
innovatv megolds mellett a korbban emltett Remote Differential
Compression komponenst is tartalmazza.
Windows Fax and Scan (Windows faxol s kpolvas) Egy elzetesen teleptett modemen keresztl vagy egy hlzati faxszerverhez csatlakozva engedlyezi a faxolst kzvetlenl az opercis rendszerbl.
Emellett a lapolvask hasznlatt is egyszerbb teszi, azaz a teleptse utn ltrehoz egy kzponti helyet, ahol lehetv vlik a beolvasott
anyagok trolsa, s rtelemszeren egyttmkdik pl. a Photo
Gallery alkalmazssal is pldul a kpolvasst tekintve.
19
Alapismeretek
20
Az egyik az n. Programkompatibilitsi segd (Program Compatibility Assistant, PCA), azaz a Vista automatikus szolgltatsa, amely akkor fut, ha egy
rgebbi, kompatibilitsi problmkkal rendelkez programot szlel. Miutn
viszont egy rgebbi programot mr futtatott a Vista alatt, a segdeszkz rtestst kld, ha problma merl fel, s felajnlja, hogy a program kvetkez
futtatsakor kijavtja azt. Ha a kompatibilitsi problma slyos, a Programkompatibilitsi segd figyelmeztetst kldhet, vagy akr le is llthatja a
programot. A Programkompatibilits segd egybknt (pl. vllalati krnyezetben) a csoporthzirend segtsgvel ki/be kapcsolhat.
A msik megolds, a Programkompatibilits varzsl (Program Compatibility Wizard), amely manulisan indthat s belltsaiban mr ismers lehet a Windows XP-t hasznlok szmra, viszont nmikpp kiegszlt j opcikkal is. Ez az eszkz szintn hasznlhat az esetleges problms alkalmazsok
megkeressre, majd program kompatibilitsi belltsok mdostsra.
21
Alapismeretek
A rendszerismere alapjai
A rendszergazdk s a halad ismeretekkel rendelkez felhasznlk szmra
egy j opercis rendszerben sosem a klcsn az igazn a fontos, hanem sokkal
inkbb a belbecs. A kulcskrdsek elssorban a kezelsre, a felgyeletre, az
esetleges problmk forrsnak megtekintsre s megoldsra vonatkoznak.
A Windows Vistban szmtalan szolgltats s technolgia adott az zemeltetk feladatainak knnyebb ttele, illetve praktikus kiszolglsa terletn,
amelyek kzl persze nhny mr ismers lesz a Windows XP-bl. De bizton llthatjuk, hogy rengeteg j vagy teljesen jrart eszkz s szolgltats hasznlatt is el kell sajttanunk, ha a feladataink kz fog tartozni a Vista opercis
rendszerrel mkd szmtgpek felgyelete. Els lpsben kezdjk a sort a
tbbnyire mr ismers alapvet felgyeleti eszkzkkel s ismeretekkel, amelyeket a msodik fejezetben ki fogunk egszteni a halad megoldsokkal is.
A rendszerismeret alapjai
Device Manager (Eszkzkezel) segtsgvel mdosthatjuk a klnfle hardvereszkzk belltsait s frissthetjk a hozzjuk tartoz
illesztprogramokat. (A Device Managert elrhetjk a devmgmt.msc
parancs begpelsvel is.)
Remote settings (Tvoli belltsok) itt mdosthatjuk a Tvoli asztal (Remote Desktop) belltsait, vagyis engedlyezhetjk, illetve tilthatjuk a terminlszolgltatsokhoz val kapcsoldst, s itt adhatjuk
meg a tvoli segtsgnyjtsra vonatkoz belltsokat is.
23
Alapismeretek
System protection (Rendszervdelem) Innen rhetjk el a visszalltsi pontok (Restore points) automatikus ltrehozsra vonatkoz belltsokat (a visszalltsi pontok kezelsvel kapcsolatos tudnivalk a
Ments s visszallts szakaszban rszletesen foglalkozunk).
Advanced system settings (Specilis rendszerbelltsok) Itt rhetjk el a Vista rendszerteljestmnnyel kapcsolatos specilis belltsait,
amelyek segtsgvel engedlyezhetjk, illetve tilthatjuk bizonyos kpi
elemek s specilis effektusok (ttnsek, ttetszsg stb.) hasznlatt. Ugyanitt talljuk meg a felhasznlk profiljaival s a rendszerindtssal kapcsolatos belltsokat, s a virtulis memria belltsi lehetsgeit is.
24
A rendszerismeret alapjai
Documents and Settings mappt is, de j ha tudjuk, hogy ez csak egy szimbolikus hivatkozs (n. junction point, azaz az NTFS specilis megoldsa a hivatkozsra) a Users mappra, azaz tartalma nincs is.
Sokkal bartsgosabban fest a profilmappa, ha kikapcsoljuk (illetve nem kapcsoljuk be) a rejtett elemek megjelentst. Ebben az esetben a mappban tizenegy almappa jelenik meg, amelyek mindegyike a klnfle tpushoz tartoz felhasznli adatok trolsra szolgl.
25
Alapismeretek
A mappk nmelyikvel mr a Windows XP-ben is tallkozhattunk [Documents (Dokumentumok), Favorites (Kedvencek), Music (Zene), Pictures (Kpek),
Videos (Videk)], csak a nevk vltozott kiss, s az elrendezsk vlt logikusabb (a kpek, zenk stb. mr nem a Documents mappn bell vannak).
A tbbi mappa teljesen j, a felhasznlk ezekben trolhatjk pldul az internetrl letlttt fjljaikat, nvjegyeiket vagy keresseiket.
Az ablak bal oldaln a Links (Kedvenc hivatkozsok) mappa tartalma jelenik meg, ide rdemes felvenni a gyakran hasznlt helyek hivatkozsait, gy
azok mindig kznl vannak, vagyis nagyon gyorsan s knnyen elrhetk.
A szoksos mappk mellett a felhasznli profil szmos rejtett elemet is
tartalmaz: tallhatunk itt nhny registryfjlt az AppData mappt, s a Windows XP-vel val kompatibilits miatt tbb rejtett hivatkozst is.
Kzs profilok
A felhasznlk nll profilmappi mellett kt kzs profilt is tallhatunk a
Users mappban:
26
A rendszerismeret alapjai
Alapismeretek
A szemlyes mappk thelyezse nagyon egyszer: az thelyezend mappa tulajdonsgpaneljnek Location (Hely) lapjn kell mdostanunk az tvonalat. A Dokumentumok mappt pldul gy helyezhetjk t, hogy a C:\Users\GipszJ\
Documents tvonalban a C helyre egyszeren berjuk a megfelel meghajt betjelt. Ezutn a Vista rkrdez az j mappa ltrehozsra, (ha mg nem ltezett), majd arra is, hogy a fjlokat is t szeretnnk-e helyezni a rgi helyrl az jra. Nehz olyasmit elkpzelni, ami a kt prhuzamos mappa indokul szolglhatna, gy termszetesen mindig helyezzk t a tartalmat is.
Ha egyszerre tbb (esetleg valamennyi) adatmappt t szeretnnk helyezni, akkor clszerbb ms mdszert vlasztani. Hozzuk ltre a felhasznli
mappkat trol j mappt (pldul D:\Users\GipszJ), majd jelljk ki az
thelyezend mappkat s az egr jobb gombjval hzzuk (ne msoljunk, hanem inkbb mozgassunk) t ket az j helyre. A mvelet kzben a Vista mdostani fogja a megfelel hivatkozsokat is.
A mappk thelyezse utn clszer mg egy mveletet elvgezni: nem rt,
ha mdostjuk a Vista keresmotorjnak indexelsre vonatkoz belltsait,
vagyis az j helyet is hozzadjuk az indexelend mappk listjhoz. A lista
alaprtelmezs szerint tartalmazza az eredeti profilmappt, de az thelyezskor ez nem vltozik meg automatikusan. (Az indexelsre vonatkoz belltsokat tbbek kztt a Control Panel (Vezrlpult) Performance Information and
Tools (Teljestmnyadatok s -eszkzk) programjnak felletrl rhetjk el.)
Kzel sem ennyire egyszer s problmamentes a teljes Users mappa msik ktetre helyezse
(ebben az esetben teht mr az j profilok is itt keletkeznnek). Erre a feladatra nem kapunk
beptett eszkzt, s mivel a Users mappa hivatkozsai szmtalan helyen szerepelnek a registryben, a kzi thelyezs is meglehetsen remnytelen feladatnak tnik. A hivatalos eljrs
csak a telepts kzben mkdik: a felgyelet nlkli unattended telepts vlaszfjljban tetszs szerint bellthat a Users mappa helye. Sajnos azonban mg ebben az esetben is szmolhatunk nhny mellkhatssal (pldul nem minden frissts hajland teleplni ilyen rendszerre),
ebben az esetben ltre kell hoznunk a rendszerkteten egy C:\Users nev szimbolikus hivatkozst
(az mklink nev parancssori eszkz segtsgvel), ami a Users mappa j helyre mutat.
28
A rendszerismeret alapjai
29
Alapismeretek
30
A rendszerismeret alapjai
iSCSI Initiator Ez a modul a hlzaton vagy akr az interneten keresztl elrhet tvoli szmtgpek httrtrolinak (vagy nll httrtrolk) csatlakozst s felgyelett teszi lehetv.
31
Alapismeretek
32
Print Management (Nyomtatkezels) A Print Management konzolban az sszes helyileg teleptett nyomtatt, a hozzjuk tartoz eszkzilleszt-programokat, a nyomtatportok llapott, valamint a rendelkezsre ll nyomtatsi sablonokat (pl. paprfajtk) kezelhetjk.
Reliability and Performance Monitor (Megbzhatsg- s teljestmnyfigyel) A Windows XP-ben is megtallhat teljestmnydiagnosztikai alkalmazs meglehetsen kibvtett vltozatt talljuk ebben
a konzolban. Szinte minden rendszerkomponens teljestmnyt klnkln figyelemmel ksrhetjk, naplzhatjuk, st akr idztett mrst
is vgezhetnk. A mrs befejeztvel lehetsgnk van egy elre definilt temezett feladat elindtsra. A konzol msik feladata a rendszer stabilitsnak nyomon kvetse, melyet az eszkz egy grafikonon
vizulisan is brzol. A rendszerstabilitsi napl elemzsvel a rendszergazda visszamenleg rteslhet olyan esemnyekrl, melyek egyegy alkalmazs vagy akr a teljes rendszer lellst, hibs mkdst
okoztk. A napl segtsgvel nem csak a hibkat, hanem az olyan
esemnyeket is figyelemmel ksrhetjk, mint az alkalmazsok, eszkzmeghajtk teleptse/trlse. A kvetkez fejezetben rszletesen sz
esik majd errl a komponensrl.
Services (Szolgltatsok) Szolgltatsnak nevezzk azokat a rendszerfolyamatokat, melyek a httrben futva az opercis rendszer indtstl a lelltsig olyan alapvet funkcikat ltnak el, mint pldul
a hlzati, a biztonsgi, vagy a multimdis alrendszer mkdtetse.
Ez a konzol a szolgltatsok felgyelett ltja el, azaz itt llthatjuk be,
A rendszerismeret alapjai
hogy az egyes integrlt rendszer-, illetve az utlag akr kls szoftverek ltal teleptett szimpla szolgltatsok hogyan induljanak, milyen szolgltatsfikkal mkdjenek, mi trtnjen velk, ha valamilyen hiba kvetkeztben lellnak, illetve megnzhetjk az adott szolgltats fggsgi viszonyait is. A harmadik fejezetben visszatrnk a
rendszerszolgltatsokra, elssorban a biztonsgra fkuszlva.
System Configuration (Rendszerkonfigurci) E rendszerbellt alkalmazs segtsgvel a Windows indulsnak krlmnyeit vltoztathatjuk meg. Hibakeress alkalmval lehetsgnk van diagnosztikai indtsi mdot vlasztani, ahol csak a Windows mkdshez legszksgesebb sszetevk tltdnek be, konfigurlhatjuk a rendszerbetlt specilis belltsait, valamint egyetlen helyrl indthatunk olyan tovbbi felgyeleti eszkzket, mint az esemnynapl, a rendszervisszallts, a
feladatkezel, vagy a Belltsszerkeszt (Registry Editor).
Alapismeretek
hatjuk, hogy a szably melyik profilban ljen, milyen programra vonatkozzon, az alkalmazs milyen protokollokon s portokon keresztl,
mely IP-cmrl mely IP-cm fel kommuniklhat. Az j tzfal konzolban kapcsolatbiztonsgi szablyokat is felllthatunk kt gp hlzatban trtn sszekttetshez, melyekhez ignybe vehetjk az integrlt
IPSec (hlzati forgalom titkost) szolgltatsait. A harmadik fejezet
vgn rszletesen sz esik majd errl a komponensrl is.
Az sszes szmtgp egyenrang, valamennyi, a hlzati mkdssel kapcsolatos szolgltatst brmelyik erre alkalmas szmtgp biztosthatja.
A szmtgpek s a felhasznli fikok valamennyi belltst (a jogosultsgok kiosztst is) kln-kln kell megadnunk minden egyes
szmtgp s felhasznli fik esetben.
34
A rendszerismeret alapjai
A tartomnyhoz tartoz szmtgpeken (a tartomnyvezrlket kivve) van ugyan helyi felhasznli adatbzis is, de a gpekre a tartomnyban kzpontilag ltrehozott felhasznli fikok hasznlatval is
be lehet jelentkezni (helyi fik nlkl), s a helyi felhasznli jogosultsgok kiosztsakor is hasznlhatk a tartomnyi csoportok s felhasznli fikok (clszeren a helyi csoportok tagjai kz val felvtellel).
Hogy a szmtgpet tartomnyba lptethessk, be kell lltanunk a TCP/IPparamtereket (klns tekintettel a DNS-kiszolglra), szksgnk van egy
helyi rendszergazda fik jelszavra s a csatlakozs sorn meg kell adnunk egy
olyan tartomnyi felhasznl (rendszergazda) nevt s jelszavt is, akinek az
Active Directory cmtrban joga van a megfelel szmtgpfik ltrehozshoz.
35
Alapismeretek
A Tlca jobb szln a jobb gombbal a hlzat ikonra kattintva megjelenik a menben.
36
Network Discovery (Hlzat feldertse) Lehetv teszi, hogy a Vista automatikusan rzkelje a hlzatra kttt szmtgpek jelenltt,
s az azokon megosztott erforrsokat, ezzel felgyorstva az azokhoz
trtn kapcsoldst. Egyttal a mi gpnk lthatsgt is engedlyezhetjk vagy tilthatjuk itt.
Printer sharing (Nyomtat megosztsa) A helyi nyomtatk hlzaton keresztl trtn megosztsval a tvoli szmtgpekrl is lehetv vlik a nyomtats a sajt nyomtatnkra. A teleptett nyomtatk
megosztst s a felhasznlk jogosultsgait nyomtatnknt be kell lltani, ez a kapcsol csak a nyomtatsi szolgltats globlis megosztst szablyozza.
37
Alapismeretek
Media Sharing (Mdiafjlok megosztsa) A mdiatartalom megosztsa teljesen j funkci a Vistban. A rendszer kpes a Windows Media
Player lejtszsi listjt a hlzat tbbi szmtgpe illetve olyan
specilisan mdialejtszsra (is) alkalmas eszkzk fel, mint az Xbox
360 jtkkonzol, vagy klnbz Media Center extenderek (bvtmnyek) megosztani, gy a zenei s videfjlokat nem kell minden szmtgpen trolni. A lejtszsi lista teljes egszben, vagy rszlegesen
is megoszthat. A mdiamegoszts rszletes konfigurcijt a Windows
Media Player belltsai kztt tallhatjuk.
38
Ltrehozhatunk egyszer internetes kapcsolatot, melyhez hasznlhatunk telefonos, szlessv kbeles, illetve vezetk nlkli elrst is.
Az elkszlt hlzati kapcsolatokat a Connect to a network (Csatlakozs a hlzathoz) hivatkozsra kattintva lthatjuk majd, ahonnan szintn egy apr,
de hasznos jdonsg miatt csoportostva az sszes ltez kapcsolat elrhet.
A kapcsolatok a Windows Vista jratervezett, informatv varzslinak ksznheten knnyen bellthatk, de ha mgis elakadunk, rgtn megoldsi
javaslatokat is kapunk a rendszertl. A kapcsolds esetleges sikertelensge
esetn az automatikus hlzat-diagnosztika is elrhet, mely a leggyakoribb
konfigurcis hibkat nllan kpes kijavtani. A Manage network connections (Hlzati kapcsolatok kezelse), illetve Manage wireless networks (Vezetk
nlkli kapcsolatok kezelse) hivatkozsok mgtt a Windows hlzati interfszeit, illetve a belltott vezetk nlkli hlzatok tulajdonsgait konfigurlhatjuk. A Diagnose and repair (Diagnosztizls s javts) paranccsal pedig a korbban emltett automata hlzati diagnosztika eszkzt indthatjuk el.
A hlzati s megosztsi kzpont (Network and Sharing Center)
Ebben a screencastban a Network and Sharing Center sszes lehetsges belltst s szolgltatst megtekinthetjk.
Fjlnv: I-1-3aNetwork-and-Sharing-Center.avi
39
Alapismeretek
A hlzati profilok
A Windows Vista a megnvelt biztonsg, illetve a knnyebb felgyelet rdekben gynevezett hlzati profilokat klnbztet meg, attl fggen, hogy a
szmtgp milyen krnyezetben mkdik. Hrom gyrilag definilt hlzati
profil ltezik: tartomnyi, privt, illetve publikus.
A hlzati profilok tulajdonkppen olyan belltscsomagok, melyek tartalmazzk a kapcsolathoz hasznlt interfsz tpust, az alaprtelmezett tjr MAC-cmt, s egyb kapcsolatspecifikus adatokat, valamint tartomnyi
hlzat esetn a hitelest kiszolgl adatait. A profil a hlzathoz trtn els kapcsoldskor jn ltre.
40
Domain (tartomnyi profil) Ha a szmtgp tagja egy Windows-tartomnynak, a hlzati kapcsolat profilja automatikusan domain lesz,
fggetlenl attl, hogy a gp ppen csatlakoztatva van-e, vagy sem.
Private (Privt) A szemlyes profil olyan tipikusan otthoni munkacsoportos hlzatot jell, melyben lazbb biztonsgi szablyok rvnyesek.
Az aktulis profil ahogy a klnbz hlzatok kztt mozgunk termszetesen vltozhat. Ezeket a vltozsokat a Vistban a Network Location Awareness (NLA hlzati szint hitelests) szolgltats detektlja, majd ennek
megfelelen gondoskodik a profilvltsrl s az j biztonsgi szablyok alkalmazsrl.
41
Alapismeretek
A hlzati profil vltsa rendkvl rvid id, elvileg mintegy 0,2 msodperc alatt vgbemegy,
gy a kt profil kzt lebeg gpet r tmadsok gyakorlatilag kikszblhetk.
Privt
Nyilvnos
Windows tzfal
Bekapcsolva
Bekapcsolva
Bekapcsolva
Hlzatfelderts
Csoporthzirend
alapjn
Bekapcsolva
Letiltva
Fjl- s nyomtatmegoszts
Csoporthzirend
alapjn
Letiltva
Letiltva
A TCP/IP-protokoll
A TCP/IP (Transmission Control Protocol/Internet Protocol) protokollkszletre pl szinte minden hlzattal kapcsolatos mvelet, nem csak a Windows,
de egyb opercis rendszerek s hlzati eszkzk esetn is. Mivel az internet szabvnyos protokolljrl van sz, napjainkban a TCP/IP a legelterjedtebb hlzati protokoll, ennek megfelelen nem is javallott mst hasznlni,
hacsak erre nincs kifejezetten szksg valamilyen specilis alkalmazs vagy
szolgltats zemeltetse miatt.
A TCP/IP hlzati alrendszer szerves rsze a Windows opercis rendszernek, teleptskor automatikusan felkerl s nem is tvolthat el, mindssze a mkdse tilthat le. A Windows TCP/IP-konfigurcijnak megvltoztatsakor nem kell jraindtani a rendszert, mindssze a hlzati kapcsolat szakad meg egy pillanatra, majd az sszekttets automatikusan jra ltrejn, immr az j belltsokkal.
42
Egy egyszer esetben, hardveres szempontbl gyakorlatilag elg csak kt gpet sszekapcsolnunk, s mris hlzatrl beszlhetnk, de a fizikai (vagy
vezetk nlkli) sszekttetsen kvl mi szksges mg egy mkd Windows-hlzat bezemelshez?
IP-cm Az IP (Internet Protocol) cm egyedi, 4 bjt hosszsg, ngyszer hrom szmjegyre tagolt azonost, mellyel minden aktv hlzati
interfszt s TCP/IP-protokollt hasznl szmtgp rendelkezik. Az
opercis rendszer az IP-cmek alapjn azonostja be az egyes szmtgpeket, gy a tvoli erforrsok elrse mindig IP-cm alapjn trtnik
a httrben mg akkor is, ha a felsznen gpnv szerint hivatkozunk azokra.
Az IP-cm privt vagy publikus tpus lehet, a kett kztti klnbsg jelents, mivel a privt IP-cmekkel belltott gpek gyakorlatilag zr lehetsggel rendelkeznek az internetre kapcsolva, mivel semmilyen
tvlaszt nem engedi ki a privt IP-tartomnybl rkez hlzati csomagokat. Ez adja egyben a biztonsgossgukat is, ezrt egy akrmilyen
bels hlzatban csak a privt cmtartomnyokbl vlasztunk vagy kapunk IP-cmet, s a tzfalunk s/vagy az tvlasztnk rendelkezik olyan,
msodik hlzati interfsszel, amely elrheti az internetet s amelynek
ennek megfelelen publikus IP-cme van, s amely egyttal az n. hlzati cmfordtst (Network Address Translation, NAT) is elvgzi majd.
Az IP-cmeket a hlzatban megadhatjuk kzzel (statikus IP) vagy
az erre a clra szolgl automatikus cmkiosztst (Dynamic Host Configuration Protocol, DHCP) vgz kiszolgltl kapjuk. Ha egyik lehetsggel sem lnk, a Windows automatikusan kioszt magnak egy privt IP-cmet, amely mindig a 169.254.0.1 169.254.255.254 tartomnybl rkezik. Az ilyen cmzsi mdszert APIPA-nk (Automatic Private
IP Adressing) nevezzk.
43
Alapismeretek
44
45
Alapismeretek
A TCP/IP-belltsok
Ez a screencast a TCP/IP alap s halad sznt belltsrl szl, pontrl pontra megmagyarzva a paramterek s opcik jelentst.
Fjlnv: I-1-3bTCPIP.avi
sszehasonltskppen, egy 128-bites cmterlet a fldfelszn minden ngyzetmtern 655 570 793
348 866 943 898 599 (6,5 x 1023) cm ltrehozst teszi lehetv. Az IPv6 cmzsrl informcikat a
kvetkez helyen tallhatunk (magyarul): http://www.microsoft.com/technet/prodtechnol/windowsserver2003/hu/library/ServerHelp/22c4b4c0-0276-4190-b5a0-b3f3d83ad048.mspx?mfr=true
vagy http://tinyurl.com/34f47o.
A Windows Vistban a korbbi kt egymstl teljesen fggetlen protokollvermet (tcpip.sys s tcpip6.sys), egy gynevezett Dual IP architektra vltja,
gy a rendszer az IPv4 s IPv6-os hlzatokat kln-kln, de mgis egyszerre tudja kezelni. Ennek ksznheten a Windows egy idben ktfajta IPcmmel is rendelkezhet, egy 4-es, illetve egy 6-os verzijval. A Vista Dual IP
architektrja egy hlzati vermen bell kezel mindent, gy tovbbra is egy
szlltsi rtegre (TCP, UDP) s egy adatkapcsolati rtegre van szksg.
46
47
Alapismeretek
ponse zenetet kld vissza a krdez flnek, s a nv IP-cmm fordtsa vgbemegy. A NetBT azonban csak IPv4 esetn mkdik, a 6-os verzij TCP/IPprotokoll nem tmogatja a NetBIOS nevek hasznlatt, valamint e megolds
komoly htrnya az is, hogy szrt (broadcast) zenetekkel mkdik, azaz
rengeteg felesleges csomaggal terheli a hlzatot. Ez utbbit cskkenti az n
WINS-kiszolgl, illetve kiszolglk hinyban az n. lmhosts fjl, ami a
hosts fjlhoz hasonl elven mkdik, st ugyanabban a mappban is tallhat
minden Windows opercis rendszer esetn.
Szpen lthat teht, hogy a korrekt nvfelolds biztostsa, azaz a gpek
egyms kztti alapszint elrse komoly gond lehet erre szakosodott kiszolglk nlkl, egy kicsi, vagy ideiglenesen sszelltott hlzatban. Ezt a problmakrt orvosoland megszletett a Link-Local Multicast Name Resolution
protokoll, mely nllan, NetBT, s akr DNS-kiszolgl nlkl is kpes a helyi
hlzat gpeinek nvfeloldsra. Az LLMNR zenetek a DNS-hez hasonl
struktrt alkalmaznak, azzal a klnbsggel, hogy a nvfeloldst kr csomagok egysgesen az 5355-s UDP-portra tovbbtdnak, s a vlaszok is szintn
errl a portrl indulnak. Az LLMNR nvfeloldsi gyorsttr, mely minden Vista-rendszer szmtgpen megtallhat, a DNS-gyorsttrtl elklntve kerl rgztsre, gy a klnbz hlzatok kzti vltsnl ez nem okozhat zavart,
valamint az zemben lv DNS-kiszolgl esetleges kiessekor az LLMNR
zkkenmentesen tveszi a DNS szerept s a szmtgpek a tovbbiakban
peer-to-peer alapon prblkoznak a nvfeloldssal.
49
Alapismeretek
A PNRP 2.0 frissts Windows XP-hez a kvetkez cmrl tlthet le: http://www.microsoft.com/downloads/details.aspx?FamilyID=55219164-ec71-4a32-a648-4ed2582ebc7cA.
50
A hlzati trkp
A Windows Vista egyik jdonsgaknt a hlzati trkp egy sematikus brn
grafikusan is brzolja a szmtgp-hlzat elemeit. A trkpen lthat eszkzk ikonjra mutatva tovbbi informcik jelennek meg az adott objektumrl, rkattintva pedig azok alaprtelmezett mveleteit rhetjk el (szmtgp esetn a megosztott erforrsok tallzsa, tvlasztknl pl. a konfigurcis lap megjelentse). Mindez egy teljesen j specilis protokoll, az LLTD
(Link-Layer Topology Discovery) segtsgvel teljeslhet. Az LLTD egy, az
adatkapcsolati rtegen mkd hlzatfeldertsi technolgia, mely a hlzaton sztkldtt krdsekre rkezett vlaszok alapjn kpes feltrkpezni a
hlzat jellegt, az arra csatlakoztatott eszkzket s szmtgpeket. Emellett a QoS (Quality-of-Service) szolgltatsban is segthet, mivel kpes kezelni
a hlzati svszlessggel, illetve az gyflgpek egszsgi llapotval kapcsolatos krseket.
51
Alapismeretek
Szerencsre az LLTD-frissts (LLDT Responder) Windows XP-hez is elrhet, gy a korbbi opercis rendszert hasznl szmtgpek is ltszani fognak
a trkpen (klnben csak az egyb eszkzk listban jelennnek meg, a
trkp aljn egy vzszintes sorban). A Universal Plug&Play (UPnP) protokollt
alkalmaz eszkzk pedig mindenfle szksges konfigurls nlkl szintn
lthatak a trkpen.
Az LLTD biztonsgi okokbl alaprtelmezsknt csak munkacsoportos hlzatban rhet el, tartomnyi krnyezetben nem. Ha mgis szksgnk lenne
a trkpre, a csoporthzirenden keresztl engedlyezhetjk annak mkdst
(Computer Configuration/Administrative Templates/Network/ Link-Layer
Topology Discovery). Kt lehetsgnk is lesz, egyrszt megengedhetjk, hogy
a gpek lssk a tbbi eszkzt, azaz kpesek legyenek hlzati trkpet generlni (Turn on Mapper I/O (LLTDIO) driver), msrszt azt is megengedhetjk/tilthatjuk, hogy az adott gpet lssk-e ms gpekrl, azaz szerepeljnk-e
ms gpeken ksztett hlzati trkpeken (Turn on Responder (RSPNDR)
driver). Radsul mindkt esetben finomthatjuk is a belltst, mivel hlzati profil alapjn is szelektlhatjuk az LLTD hatkrt.
52
53
MSODIK FEJEZET
Diagnosztika s felgyelet
A fejezet tartalma:
ltalnos felgyeleti ttekints ................................................................................ 55
Halad felgyeleti eszkzk ...................................................................................... 61
A helyi hzirend.......................................................................................................... 87
Diagnosztika s felgyelet
56
Adjust indexing options (Indexelsi belltsok mdostsa) itt llthatjuk be a Vista keres szolgltatshoz tartoz indexels klnfle
paramtereit, pldul kivlaszthatjuk az indexelsbe bevont mappkat
stb. Ezzel kapcsolatban meg kell emltennk, hogy a Vista keressi alrendszere teljesen talakult, azaz miutn a Windows Desktop Search
egy fejlett vltozata beplt az opercis rendszerbe alapos keressi filozfiavlts trtnt: nemcsak minden fjl indexelhet s kereshet, de
minden lista is, pl. Start men, az Explorer nzetek s a Vezrlpult is.
57
Diagnosztika s felgyelet
Advanced tools (Specilis eszkzk) a lap hivatkozsainak segtsgvel egy helyrl indthatunk el szmos hasznos eszkzt, amelyek tovbbi segtsget adhatnak a szmtgp teljestmnyvel kapcsolatos
finomhangolshoz.
Diagnosztikai segdprogramok
A System Information eszkz (Rendszerinformci, msinfo32.exe) a szmtgp hardverkonfigurcijrl, a szmtgp egysgeirl s szoftvereirl, pldul az illesztprogramokrl jelent meg informcikat. Az eszkz a megjelentett adatokat a Windows Management Instrumentation- (WMI-) technolgia segtsgvel gyjti ssze. Az eszkz bal oldali tbljban a kategrik (s
azokon bell az egyes eszkzk) felsorolsa, jobb oldali tblban pedig a kivlasztott eszkz adatainak rszletezse jelenik meg.
2.4. bra: A System Information felletn csak a konfigurcis adatok megjelentsre van
lehetsg, a belltsokat itt nem mdosthatjuk
58
A System Information eszkz ltal megjelentett adathalmaz bvthet, vagyis a szmtgpre teleptett programoktl fggen az itt szereplkn kvl tovbbi kategrikat is tallhatunk a listban. Alaprtelmezs szerint a kvetkez kategrik jelennek meg:
Components (sszetevk) ebben a szakaszban a szmtgp klnfle komponenseire (pldul lemezmeghajtk, hangeszkzk, modemek
stb.) vonatkoz adatok jelennek meg.
Amennyiben egy konkrt adatot szeretnnk megkeresni, hasznlhatjuk az ablak als rszn tallhat Find what (Keresend szveg) mezt.
A System Configuration alkalmazs (Rendszerkonfigurci, msconfig.exe)
olyan specilis eszkz, amely a Windows-rendszer indtst megakadlyoz
problmk azonostst segti. Az eszkz segtsgvel bellthatjuk, hogy a
rendszer indtsa bizonyos szolgltatsok s automatikusan indul programok nlkl trtnjen.
A kvetkezkben rviden ttekintjk a System Configuration alkalmazs
egyes lapjait s a lehetsges belltsokat.
General (ltalnos) ezen a lapon a szmtgp indtsi mdjt (a kvetkez rendszerindtsra vonatkozan) vlaszthatjuk ki. A szoksos
indts mellett lehetsg van a hibakeressi zemmdban s a rendszergazda ltal kivlasztott szolgltatsokkal s illesztprogramokkal
trtn indtsra is.
59
Diagnosztika s felgyelet
60
Services (Szolgltatsok) a listban a rendszerindts sorn betlttt valamennyi szolgltatst megtallhatjuk, azok jelenlegi llapotval egytt [Running (Fut) vagy Stopped (Lelltva)]. Lehetsgnk van
az egyes szolgltatsok engedlyezsre, illetve tiltsra is (a kvetkez rendszerindtsra vonatkozan).
Startup (Indts) a listban a rendszerindts rszeknt automatikusan elindul alkalmazsokat tallhatjuk meg. Ha egy alkalmazst a
kvetkez indtskor nem szeretnnk elindtani, egyszeren trlhetjk a mellette lv jellngyzetet.
Tools (Eszkzk) ttekint listt jelent meg a futtathat diagnosztikai, s egyb specilis eszkzkrl (Computer Management (Szmtgp-kezels), TaskManager (Feladatkezel), EventViewer (Esemnynapl), regedit stb.).
Diagnosztika s felgyelet
62
63
Diagnosztika s felgyelet
Esemnynapl egyni nzetek
Ez a screencast az esemnyek testreszabott szrst megvalst megoldsrl szl, rintve az
n. Cross-Log Queries megoldst, azaz a keresztbehivatkozst a szrfeltteleknl.
Fjlnv: I-2-2cCustom-Views.avi
64
Forwarded Events (Tovbbtott esemnyek) A Vista esemnynaplja nemcsak a helyi gprl, de a hlzat segtsgvel elrhet tovbbi
szmtgpek napljbl is kpes informcikat lekrdezni. Ehhez a
Subscriptions (Csatlakozs ms szmtgphez) bejegyzs alatt fel kell
iratkoznunk a tvoli gp esemnynapljnak figyelsre. A clirnyos
informcigyjts rdekben termszetesen itt is megadhatunk szrsi
feltteleket, pldul napltpust, esemnytpust, idpontot, az esemny
forrsul szolgl rendszerkomponenst, esemnyazonostt, rtkhatrokat s klnbz kulcsszavakat. A tvoli gpek naplbejegyzsei
alaprtelmezsknt a Forwarded Events gyjtmappba kerlnek,
gpnv szerint rendszerezve, m a clmappt a feliratkozskor szabadon megadhatjuk. A gpek kzti kommunikci folyhat standard
HTTP, de akr titkostott HTTPS-protokollon is, de megadhatunk
egyni TCP-portot is. A svszlessggel trtn takarkoskods rdekben lehetsgnk van optimalizlni az adattovbbtst, vagy akr
prioritst is adni a kapcsolatnak.
Az Event Subscription technikai felttele, hogy minden naplkld gpen elrhet s bellthat legyen a WinRM-szolgltats (a WS-Management rszeknt), illetve a fogad gpen szksg lesz a WS-Eventing protokollra is.
WS-Eventing Szintn webszolgltats-alap protokoll, mely az esemnyek szlltsrt felel. A Windows Vista szintn alaprtelmezsknt tartalmazza, a Communication Foundation gy a Microsoft
.NET-keretrendszer rszeknt azonban Windows XP-hez is elrhet.
65
Diagnosztika s felgyelet
A WinRM konfigurlshoz hasznljuk winrm quickconfig parancsot, amely elindtja s automatikus indtsra teszi a WinRM-szolgltatst, ltrehozza a tzfal kivtelszablyt, valamint egy
listenert, amelyen figyeli a berkez krsket. A Vistn mindezt a rendszergazdai parancssorbl (jobb gomb a parancssor ikonon s Run as administrator) indthatjuk el. A WinRM-rl
tovbbi rszleteket tallunk e fejezet utols eltti szakaszban.
Analytic and Debug Logs (Elemzsi s hibakeressi napl) A halad hibakeresst szolgl, rszletes nyomkvetsre hasznlhat naplk
alaprtelmezsknt nem ltszanak az Esemnynaplban, azaz igny
szerint neknk kell engedlyeznnk. Ezt megtehetjk a View (Nzet)
men Show Analytic and Debug logs (elemzsi s hibakeressi naplk
megjelentse) parancsval. Ha bekapcsoljuk ezt a nzetet, szmos j
napltpus tnik fel a Microsoft fknyvtron bell, melyek pldul
programfejlesztskor s Windows-szolgltatsok hibakeressnl nyjthatnak segtsget. Tudnunk kell azt is, hogy ezzel a paranccsal mg
nem indul el ezen specilis naplk feltltse, ehhez egyesvel kell az
eddig rejtett naplfjlokon engedlyezni a mkdsket. Lthat teht,
hogy a hasznlatuk csak tbb lpcsben rhet el, s ez nem vletlen:
ez a fajta intenzvebb naplzs jelents mennyisg erforrst is elvonhat a rendszer tbbi rsztl.
Az esemnynapl legnagyobb szerkezeti jtsa, hogy immr a nylt szabvnyokra tmaszkod XML-formtumra tmaszkodik a bejegyzsek megjelentsnl s exportlsnl is. A strukturlt XML-fjlok akr sajt fejleszts
alkalmazsbl is lekrdezhetek, gy szorosabb egyttmkds s kompatibilits rhet el.
Bizonyos esetekben szksges lehet a naplfjlok archivlsa is, erre az esemnynapl tbb lehetsget is knl. Egyrszt lehetsges a naplk automatikus
mentse, gy a korbbi bejegyzsek nem rdnak fell, valamint akr exportlhatjuk is az aktulis naplt klnbz formtumokba. Az exportlt llomny
minden adatot tartalmaz az esemnnyel kapcsolatban, a fbb paramtereken tl
a bejegyzs szveges lersval egyetemben minden bekerl a fjlba. A naplk
mentshez az az j, XML-alap .evtx formtum fjlokon kvl tovbbra is
hasznlhatjuk a szveges .txt s pontosvesszvel tagolt .csv llomnyokat is. Az
esemnynaplk archivlsi s mentsi belltsait az egyes naplk jobbkattintssal elrhet helyi menjben tallhatjuk. J tudni, hogy egy rgi, elz opercis
rendszerekbl szrmaz, mentett esemnynapl fjlt (.evt) is megnyithatunk a
Vistban, majd akr el is menthetjk, illetve konvertlhatjuk.
66
67
Diagnosztika s felgyelet
A Feladattemez
Az esemnynaplhoz hasonlan a Felgyeleti eszkzk (Administrative Tools)
kztt tallhatjuk a rendszergazdk msodik legfontosabb szerszmt, a Feladattemezt (Task Scheduler). Br mr a korbbi Windowsok is lehetv
tettk idztett feladatok futtatst, a Vista feladattemezje mellett akr el
is bjhatnnak, az j opercis rendszerben ugyanis egy rendkvl kifinomult
eszkzt kapunk kzhez. Tbb j idztsi opci, komplex felttelrendszerek
llnak rendelkezsnkre, valamint szkriptekkel teljes egszben automatizlhat a modul.
A feladattemez megjelense nagyban hasonlt az esemnynaplra, jobb
oldalt a feladatkategrikat lthatjuk fastruktrban melyek szintn kln-kln tartalmazzk a Windows beptett rendszerfeladatait kzpen az
gynevezett Task dashboardon (Lerssv) a soron kvetkez s a legutbb lefutott folyamatok sorakoznak, mg jobbra a mr szoksos feladatsv hzdik.
A bal oldali knyvtrszerkezetben az n. Task Library (Feladattemez
knyvtr) ponton bell a Microsoft\Windows mappkban gyrilag elre definilt folyamatokat tallhatunk, melyek az opercis rendszer klnbz nkarbantart s automatikus diagnosztikai eszkzeit mkdtetik (pldul
temezett tredezettsgmentests vagy rendszer-visszalltsi pontok ksztse). Ezek a bejegyzsek alaprtelmezsknt nem ltszanak, a View (Nzet)
men Show Hidden Tasks (Rejtett feladatok megjelentse) parancsval jelenthetjk meg ket. Lehetsg szerint ne lltsuk el, vagy tiltsuk le ezeket a
feladatokat, de vizsgljuk meg btran a szerkezetket, hiszen egyfajta pldatrknt is szolglhatnak.
68
A testreszabott, ltalunk ksztett idztett feladatok ltrehozsa sorn szmtalan j lehetsg s paramter ll rendelkezsnkre. A megjult varzslnak kt vltozata is van, egy egyszerbb Create Basic Task (Alapfeladat ltrehozsa) nev, mely nhny alapvet paramter megadsval felgyorstja s
megknnyti az temezs elksztst, valamint az egyszeren csak Create
New Task (Feladat ltrehozsa) nvre keresztelt, ahol egszen elkpeszt
rszletessggel adhatunk meg minden szksges opcit, illetve felttelt.
Az j feladattemezben az esemnynapl bejegyzseihez is trsthatunk
gyorsan s egyszeren feladatot, amely gyakorlatilag egy Basic-tpus feladat
lesz. Ha pldul rteslni szeretnnk egy bizonyos esemny bekvetkeztrl,
nem szksges folyamatosan a naplkat bjnunk, egyszeren bellthatunk
egy zenet-megjelentst (vagy e-mail kldst) az esemnynapl mkdshez ktve. Ezt az egyszersg jegyben akr az esemnynaplban is megtehetjk, ehhez csupn a kijellt naplbejegyzsre kell kattintanunk a jobb
gombbal, majd kivlasztanunk az Attach Task To This Event (Feladat csatolsa az esemnyhez) parancsot. Ilyenkor eleve rgzl az adott esemny azonostja, kategrija s forrsa, gy aztn ms dolgunk nem is lesz a varzslban csak eldnteni, hogy valamely program indtst krjk, vagy egy zenetablak megjelentst a kpernyn, vagy a megfelel SMTP-konfigurci
birtokban az emltett e-mail klds is knnyedn kivitelezhet.
69
Diagnosztika s felgyelet
2.12. bra: Egy, az Esemnynapl bejegyzsn alapul Basic Task zent neknk
70
71
Diagnosztika s felgyelet
72
zolja a mlt trtnseit t klnbz sorban, a hiba vagy jelensg besorolstl fggen. A grafikon 24 rnknt frissl s egy-egy ellenrzpontnl rvid sszefoglalst olvashatunk az aznapi bejegyzsekrl. A rendszerstabilitst
egy 10-es skla szerint osztlyozza a szolgltats, melynek minden napi aktulis rtke megtekinthet visszamenleg is.
73
Diagnosztika s felgyelet
A Performance Monitorban ltrehozott kollektorok a feladattemez szolgltatssal egyttmkdve futnak majd s gy kollektorokhoz riasztsokat is
trsthatunk, pldul, ha egy megfigyelt teljestmnyszmll egy megadott
hatrrtk fl (vagy al) kerl, elre meghatrozott mveletet hajthatunk
vgre. A kollektorok egymsba is gyazhatk, gy az imnt emltett mvelet
akr egy msik mrs indtsa is lehet. A mrsi eredmnyeket vals idben klnbz paramterek szerint elhelyezett s elnevezett fjlba menthetjk, megadhatjuk a mintavtelezsek gyakorisgt, valamint az sszegyjttt
adatok maximlis szmt is. Az elkszlt fjlokon kvl termszetesen a Performance Monitorban kzvetlenl is kvethetjk a mrsi eredmnyeket, a
generlt jelentsek pedig a Reports (Jelentsek) nev mappba kerlnek.
Reliability s Performance Monitor
Ez a kt screencast a Reliability s Performance Monitor ttekintsrl, valamint ennek az szszetett MMC-nek az els, teljesen j komponensrl szl.
Fjlnv: I-2-2fRPM01.avi, I-2-2fRPM02.avi
74
75
Diagnosztika s felgyelet
Memria- s lemezellenrzs
A fjlrendszer ellenrzshez hasznlatos CheckDisk (chkdsk.exe) mr rgta
rsze a rendszernek, a Vista ebbl a segdeszkzbl is egy j verzit kapott,
mely valamelyest rszletesebb informcikkal ltja el az adminisztrtorokat.
A chkdsk futtathat offline s online mdban is, mg elbbi esetben egy msik
szmtgp rendszerlemezt vizsgljuk, utbbiban a rendszer sajt maga
alatt prbl rendet tenni az esetlegesen megsrlt fjlrendszerben. Ha a
chkdsk-t csak vizsglati mdban, paramter nlkl futtatjuk, nem szksges
jraindtani a rendszert, ekkor azonban nem kpes javtsokat vgezni a lemezen. Ha a segdprogramot a /F (fix) kapcsolval indtjuk a Windows kvetkez jraindtsa kzben zajlik le a vizsglat s a feltrt hibk, (indexadatbzis- s tartalomjegyzk-srlsek) javtsa.
Rendszerindtsi hibk
Arra az esetre, ha a Windows valamilyen oknl fogva nem indulna, a telept lemez tartalmaz egy Startup Repair Tool (Indtsi javtsi eszkzk) nev bvtmnyt, mely kpes a leggyakoribb konfigurcis hibk, illetve srlt rendszerbetlt fjlok javtsra. Az eszkzt a Windows telept menjbl rhetjk el.
76
Cskkentett md
A korbbi rendszerekhez hasonlan a Windows Vista is indthat gynevezett
Safe Mode-ban, azaz cskkentett mdban, ahol csak a futshoz legszksgesebb rendszersszetevk s eszkzmeghajtk tltdnek be. Cskkentett mdban elvgezhetjk az esetleges hibs illesztprogramok eltvoltst, vagy a
rendszer helyrelltst a System Restore alkalmazssal. Ha hlzati funkcikra is szksgnk van, rendelkezsre ll a hlzatos cskkentett md [Safe
Mode with networking (Cskkentett md hlzattal)], illetve vgs esetben
ha pldul a Windows Explorer srlt meg a parancssoros zemmd (Safe
Mode with Command Prompt (Cskkentett md parancssorral), ekkor nem jelenik meg az ablakkezel, csupn egy parancsrtelmezt kapunk. A cskkentett md belltsait a Windows indtsa eltt kzvetlenl lettt F8 billentyvel rhetjk el a rendszerindt menbl.
77
Diagnosztika s felgyelet
Hlzati diagnosztika
Az els fejezetben a Network and Sharing Center (Hlzati s megosztsi kzpont) ismertetsnl mr nhny sz erejig kitrtnk a Vista integrlt hlzati diagnosztikai eszkzre. A szolgltats a httrben fut s ha valamilyen
problmt szlel a hlzati konfigurciban, vagy az adattvitelben, automatikusan megvizsglja az sszekttetst s a rendelkezsre ll lehetsgek szerint megoldsi javaslatokat ad. A hlzati diagnosztika eszkz kpes az olyan
leggyakoribb konfigurcis hibkat nllan megoldani, mint pldul rossz tjr-cm megadsa, IP-cm tkzs, st akr a biztonsgi hzirend korltozsaira is felhvja figyelmnket, ha ppen az akadlyozn a hlzat mkdst.
78
Hibajelentsek
Mg Windows XP alatt, ha egy program vagy szolgltats hibba tkztt s
lellt (lefagyott) akkor nem sok visszajelzst kaptunk a rendszertl, arrl pedig kifejezetten keveset, hogy mgis mi okozhatta a problmt. A Windows
Vistban viszont egy tovbbfejlesztett hibajelent mechanizmus kerlt beptsre. Az j Error Reporting (Problmajelentsek) szolgltats nemcsak rszletes jelentst kld a Microsoftnak az esemnyrl, hanem a korbbinl jval
intelligensebb mdon, helyben rtelmezi a hibt, majd megoldsi javaslatokat
79
Diagnosztika s felgyelet
A hibajelent szolgltats mkdse tbbflekppen konfigurlhat. Ha egyegy programunk bizalmas informcikkal dolgozik, felvehetjk azt egy kivtellistra, gy a Windows az ezzel a programmal kapcsolatos hibkrl csak
alapvet informcikat kld el a Microsofthoz, vagy termszetesen akr teljesen ki is kapcsolhat a hibajelents.
80
A tvoli asztal
Hlzatunk szmtgpeit nemcsak eljk lelve helyben, hanem tvolrl is
elrhetjk akr az interneten keresztl is. A tvoli gp teljes Asztalt magunk el varzsolhatjuk, illetve az egrrel s a billentyzettel is teljeskren
vezrelhetjk. Ehhez a Remote Desktop Connection (Tvoli asztal) alkalmazsra van szksg, amely gyfelt egyszeren elindthatunk s sajt gpnkn pldul a Start / Run / mstsc.exe paranccsal.
A tvvezrelni kvnt gphez trtn kapcsoldshoz a tvoli gpen a
Terminal Services (Terminlszolgltatsok) szolgltats elindtsa, valamint
a 3389-es TCP port megnyitsa szksges, illetve engedlyezni is kell magt
az RDP-t a rendszertulajdonsgok kztt (Control Panel\System and Maintenance\System\Remote settings), s megadni azokat a felhasznlkat, akik
szmra engedlyezett a tvoli hasznlat.
Ezutn a tvoli gp IP cmt/nevt kell megadnunk, illetve esetlegesen az
egyb paramtereket belltunk a megjelentsre, a helyi erforrsok felcsatolsra (pl. hang, mappk, nyomtatk stb.), az automatikusan elindul alkalmazsokra vagy ppen a sebessg optimalizlsra vonatkozan. Ha mindent
belltottunk, clszer az adott konfigurcit .rdp formtumban elmenteni,
majd jhet a kapcsolds.
81
Diagnosztika s felgyelet
Licenszelsi okokbl mivel a Windows gyfl opercis rendszerek egy idben egy felhasznl interaktv bejelentkezst teszik lehetv ha egy tvoli
asztal kapcsolattal rcsatlakozunk egy gyflszmtgpre, a helyileg bejelentkezett felhasznl asztala zroldik (egy szerver opercis rendszer, pl. a
a Windows Server 2003 esetn viszont 2 paralell +1 konzol tpus RDP kapcsolatunk is lehet egyszerre).
A Windows Vista a Remote Desktop Protocol 6.0-s verzijt tartalmazza,
amelynek jdonsgai a korbbi verzikhoz kpest a kvetkezek:
82
USB-csatlakozs, Plug&Play szabvnyt tmogat eszkzk felcsatlakoztatsa, azaz, hogy a tvoli gpen is elrhetv vljanak mindezt
akr mr kapcsolat kzben is.
Kisebb erforrsigny az j gyfl csak a kperny aktulis vltozsait tovbbtja, gy cskkenti a szmtgp s a hlzat terhelst.
A Terminal Services Gateway (vagy RDP over HTTPS) tmogatsa biztonsgos, HTTPS-kapcsolaton s tzfalakon keresztli kapcsolds lehetsge. Azaz a mi oldalunkon (ha mondjuk egy szllodban ldglnk a
laptopunkkal) egszen a hlzatunk tzfalig (amelyen tipikusan fut majd
a TS Gateway kiszolgl) nincs szksg az RDP-protokollra, a kapcsolat a
mindenhol megengedett HTTPS-porton pl fel s bonyoldik.
A tvsegtsg
Ha a felhasznlknak problmjuk akad a szmtgp kezelsvel, esetleg
programhibba tkznek s a rendszergazda nincs a helysznen, a tvoli segtsgnyjts remek megoldst knl. A tvsegtsg szintn az imnt trgyalt
RDP-t hasznlja, a kapcsolat jellege szinte teljesen meg is egyezik, azzal a
klnbsggel, hogy ekkor a tvoli gp eltt l felhasznl s a hlzatrl felcsatlakozott segtsgnyjt is ltja a kpernyn zajl esemnyeket. A segtsg
a rendszergazda ltal nyjthat, de a felhasznl sajt maga is krheti, a
meghvott fl viszont mindkt esetben csak akkor csatlakozhat fel a rendszerre, ha azt a helyi, a gp eltt l felhasznl jvhagyja.
A meghvs tbbfle ton trtnhet, egyrszt a Windows Remote Assistance
(Tvsegtsg) segdprogram ltal generlt e-mailben vagy fjlban mely a
kapcsoldshoz szksges elrsi tvonalat, paramtereket tartalmazza, vagy
a Windows Live Messenger azonnali zenetkld szolgltatson keresztl, illetve akr a Windows Sgjbl is.
A helyi felhasznl teljes mrtkben kontrolllhatja a kapcsolatot, bellthatja, hogy a meghv mennyi ideig legyen rvnyes,
az asztal kpe milyen rszletessggel kerljn tvitelre (ez kis
svszlessg esetn lehet szksges), valamint brmikor megszakthatja a kapcsolatot az Esc
billenty letsvel.
A Windows Vista j Remote
Assistance (Tvsegtsg) szolgltatsa tbb biztonsgi jdonsgot is
tartalmaz:
83
Diagnosztika s felgyelet
Pause (Sznet) opci, arra az esetre, ha szemlyes adatokat kell megjelenteni a kpernyn. Ekkor a tvoli segtsgnyjt nem ltja az asztalt,
de a kapcsolat l.
84
A Remote Assistance (Tvsegtsg) szolgltats belltsait a rendszertulajdonsgok (System Properties) vezrlpultelem bal oldali svjban tallhat
Remote Settings (Tvoli belltsok) hivatkozsra kattintva rhetjk el.
A tvsegtsg (Remote Assistance), s a tvoli asztal (Remote Deskop)
Ez a kt elads a hasonl elven mkd, de teljesen klnbz clokbl hasznlt tvfelgyeleti eszkzk belltsairl s mkdsrl szl.
Fjlnv: I-2-2gRA-RD.avi
A Windows-tvfelgyelet (WinRM) s
a tvoli hj (WinRS)
Az esemnynapl kapcsn pr sz erejig mr kitrtnk a webalap rendszerfelgyeleti szolgltatsra, a WS-Managementre. A Windows Remote Management (WinRM) a WS-Management szabvny Microsoft ltal megvalstott implementcija, mely tvoli szmtgpek felgyelett s menedzselst
szolglja webprotokollokon keresztli kommunikcija rvn mindezt tzfalbart mdon teszi lehetv.
A Windows Remote Management (Tvsegtsg) komponens rsze a Windows
Hardware Management szolgltatsnak, mellyel teljeskren irnythatjuk
helybl vagy tvolbl a szmtgpeket. A szolgltats implementlja a WSManagement-protokollt, hardveres diagnosztikt s ellenrzst tesz lehetv,
emellett a kiszolgl szoftveres tvvezrlsre is alkalmas a parancssorbl.
A csatlakozs tzfalbart mdon, biztonsgos krlmnyek kztt trtnhet meg, HTTP, illetve HTTPS-protokollokon s tbbfle hitelestsi mdszert
(Basic, Digest, Kerberos) is alkalmazhatunk.
A Windows Vista tartalmazza a WinRM szolgltatst, de annak hasznlathoz elszr lesteni kell. A tvoli parancssoros elrshez szksges automatikus
bellts a kvetkez paranccsal trtnik: winrm quickconfig. Ezzel elindtjuk s
automatikus indtsra lltjuk a WinRM-szolgltatst, belltunk egy gynevezett HTTP listener-t a WS-Management-protokoll zeneteinek fogadsra.
A WinRM alaprtelmezs szerint a Kerberos hitelestst hasznlja a 80-as
HTTP-porton, errl s tbb egyb, a szolgltatst rint paramterrl
meggyzdhetnk a winrm get winrm/config/service paranccsal.
85
Diagnosztika s felgyelet
Ha sikeresen belltottuk a WinRM szolgltatst a tvoli gpen, akkor lehetsgnk lesz a WinRS-sel (Windows Remote Shell) kapcsoldni ehhez a gphez. gy brmilyen parancssori vagy szkriptmveletet elvgezhetnk a (figyeljk meg a kvetkez brt), mindssze annak host nevt, IP-cmt, vagy
WinRM-aliast kell ismernnk. A WinRS (Windows Remote Shell) hasznlatrl bvebb informcit a parancs sgjban olvashatunk. (winrs -?)
Br a WS-Management eredetileg csak a Vista s a Windows Server 2003 R2 opercis rendszerek beptett kpessge, nemrgen elrhetv vlt egy frissts (azaz az 1.1-es verzi) Windows XP SP2-hz s az R2 bvts nlkli Windows Server 2003-hoz is (http://www.microsoft.com/downloads/details.aspx?familyid=845289ca-16cc-4c73-8934-dd46b5ed1d33&displaylang=en), mely a korbbi opercis rendszerekkel is elrhetv teszi a tvoli kezelst. Ezt a
frisstst egybknt clszer a Windows Server 2003 R2-es gpekre is feltenni.
86
A helyi hzirend
Tvoli parancssoros felgyelet WinRM/WinRS segtsgvel
Ebben az eladsban tbb klnbz opercis rendszert felhasznlva behangoljuk a
WinRM mkdst, s a WinRS segtsgvel ki is prbljuk a parancssoros tvvezrlst.
Fjlnv: I-2-2hWinRM-WinRS.avi
A helyi hzirend
Windows opercis rendszerek esetn a hzirend kiemelkeden fontos technolginak szmt, az zemeltetk s a cgek/szervezetek szmra is ltfontossg az ltala nyjtott biztonsg s stabilits. A hzirend gyakorlatilag olyan
szablygyjtemny, amelyet a felhasznlk s a szmtgpek belltsra,
felgyeletre hasznlunk. Egy korrekt mdon felgyelt rendszerben a hzirendek hatsainak nincs prja, ugyanis akr egyetlen helyrl, a legelemibb
rszleteket tekintve is befolysolhatjuk az egsz infrastruktrnk mkdst.
A segtsgvel tbbek kztt kzpontilag konfigurlhatjuk a jelsz- s kizrsi
hzirendet, az NTFS-mappk jogosultsgait, az audit s esemnynapl belltsokat, a logon/loggoff/startup/shutdown szkripteket, a mappa tirnytst, s pldul a kihasznlhatjuk a szoftvertelepts vagy a kzponti nyomtattelepts elnyeit s ez csak egy nagyon szk felsorols. Vllalati krnyezetben, a Windows Server 2003 + Windows XP SP2 esetn az elrhet belltsok szma kb. 1800, mg a Vista gyflgpek esetn ez az rtk 2400 krli
(sszehasonltsul a Windows NT 4.0-ban mindsszesen 76 ilyen opci volt).
A statisztikk szerint a tartomnnyal rendelkez vllalati rendszerek esetn a csoporthzirend
hasznlata kb. 90%-os, kis- s kzpvllalati krnyezetben pedig 60%-nl is nagyobb mrtk.
Br a hzirendeket tipikusan nagy- s kzepes vllalati krnyezetben alkalmazzuk, egszen kis szervezetek, specilis feladat szmtgpek (pl. internet
kvz, kzs hasznlat oktatsi gpek stb.), vagy akr szl gpek esetn is
jl hasznlhat a klnfle biztonsgi szablyok s megszortsok bevezetsre s fenntartsra (pl. az Eszkzkezel (Device Manager) vagy a Feladatkezel (Task Manager) tiltsra, vagy a letlttt futtathat llomnyok elindtsra, az Internet Explorer vagy ppen a tiltott alkalmazsok futtatsra).
A hzirendekbl kt f tpust klnbztetnk meg, az egyik a csak az adott
szmtgpre s az adott szmtgp felhasznlira (helyi hzirend), mg a msik egy szervezeti egysg, tartomny, telephely hatrain bell, akr az sszes
gpre s felhasznlra vonatkozhat, fggetlenl attl, hogy ki lp be az adott
gpen, illetve attl is, hogy a felhasznl mely gpen lp be pl. a tartomnyba.
87
Diagnosztika s felgyelet
Br a Windows NT-k vilgban is volt lehetsgnk egyszer hzirendek ltrehozsra (System Policy), igazbl a Windows 2000 ta hasznlhatjuk a helyi hzirendeket a mai mdszerrel (br a Vistval szmos vltozs rkezett erre a terletre is, lsd ksbb). A helyi hzirend kezelshez az n. Group Policy Object
Editort (Csoporthzirendobjektum-szerkeszt) alkalmazzuk, amelyet klnfle
mdon is el tudunk indtani. Egyrszt a gpedit.msc paranccsal pl. a Start menbl, vagy egy res MMC-konzol elindtsval s a Group Policy Object Editor bvtmny kivlasztsval. Ezek mellett az Administrative Tools (Felgyeleti eszkzk) programcsoportban is tallhatunk egy idevg elemet, az n. Local Security
Policyt (Helyi biztonsgi hzirend) (secpol.msc), amely egy szkebb halmaza az
sszes hzirend opcinak, s amely mint ahogyan a nevbl is kiderl , elssorban a biztonsgi belltsokra koncentrl.
A hzirendek mkdse a Windows regisztrcis adatbzisn alapul, az elzetes belltsaink alapjn ennek tetovlst vgzi el az adott felhasznl
vagy szmtgp belpsekor az opercis rendszer. A hzirend-belltsok egyegy gynevezett csoporthzirend-objektumban (Group Policy Objects GPO) ta-
88
A helyi hzirend
Diagnosztika s felgyelet
2.
3.
Az sszes j sablont megtalljuk az j helyn a %windir%\PolicyDefinitions mappban, a nyelvfgg rszeket pedig ugyanit egy <orszgkd> mappban, .adml formtumban.
90
A helyi hzirend
Felhasznlkra s csoportokra
rvnyesthet hzirendek
Azok, akik mr hasznltk valaha egy-egy gp helyi hzirendjt a klnbz
korltozsok bevezetsre, nagyon jl tudjk, hogy akr a gprl, akr a felhasznlkrl volt sz, csak egyfajta hzirend objektumot volt lehetsges ltrehozni. gy aztn a ltrehoz (ltalban admin jogosultsg) felhasznl
ugyangy a hzirend rvnye al esett, ami ha pl. korltoztuk a rendszereszkzkhz trtn hozzfrst, alaposan visszathetett. Termszetesen gy
nem volt lehetsgnk arra sem, hogy a rendszer tovbbi felhasznlit klnfle mdon korltozzuk, st az elbb emltett ltrehoz admin felhasznl
mentessgt is csak spci s rugalmatlan trkkkkel lehetett megoldani.
A Windows Vistban ez a helyzet is megvltozott, a rendszer sszes felhasznljhoz akr kln-kln is tudunk sajt hzirendet rendelni, gy az
egyes fikok ms s ms belltsokkal mkdhetnek , illetve kt csoportot
is (Administrators s Non-Administrators) is megklnbztethetnk a hzirend-belltsokkal. A felhasznlk VAGY az Admin VAGY a nem-Admin hzirendet kapjk, mindkettt viszont rtelemszeren nem lehetsges rvnyesteni ugyanazon felhasznli fikon.
Ennek megfelelen a hzirendobjektumok feldolgozsi sorrendje is mdosult. Elsknt a felhasznl csoportjra vonatkoz belltsok jutnak rvnyre,
majd kvetkeznek a felhasznlszint belltsok. Ezek utn (mellett) a szmtgpre vonatkoz hzirend is rvnyesl (amelybl rtelemszeren tovbbra is
csak egyetlen egy lehet), vgl ha rendelkeznk kiszolglrl mkdtetett
tartomnyi hzirenddel akkor ez az objektum kerl feldolgozsra. A ksbb
alkalmazott hzirendek mindig magasabb rendek az elzeknl, gy egy helyi
hzirend sohasem rhat fell egy a tartomnybl, a tartomnyvezrlkrl rkez belltst, st, egy tartomnyban a Vista-gyfelek esetn a helyi hzirend rvenyeslse akr teljes egszben le is tilthat (Exclude processing of
all local GPOs) a Csoporthzirenddel.
Felhasznlszint csoporthzirend-objektum ltrehozshoz egy res
MMC-konzolt kell nyitnunk az mmc.exe paranccsal, majd a File (Fjl) men
Add/Remove Snap-in (Bepl modul hozzadsa/eltvoltsa) menpontjra kattintva nyissuk meg a rendszeren elrhet MMC bepl modulok listjt. Vlasszuk a Group Policy Object Editor (Csoporthzirendobjektum-szerkeszt) modult, majd az Add -> (Hozzads) gomb megnyomsa utn tallzzuk be a kvnt felhasznli fikot. Az gy belltott konzolnzetet el is menthetjk egy .msc fjlba (pl. a felhasznl nevvel), gy a ksbbiekben mr nem
kell ezt a mveletsort elvgeznnk.
91
Diagnosztika s felgyelet
Gyakorlati pldk
A helyi hzirendben is sok-sok opci ll rendelkezsnkre a szmtgp s a
felhasznli profilok mkdsnek testreszabshoz, persze tisztban kell lennnk azzal a tnnyel, hogy az elrhet opcik szma nagysgrenddel alacsonyabb a helyi hzirendek esetben mint a tartomnyi krnyezetben. Ennek az
lltsnak viszont nmikpp ellentmond a Windows Vista, amelyben a helyi
gp hatkrben alkalmazhat lehetsgek szma is drasztikusan megntt.
92
A helyi hzirend
Windows Defender
A szolgltats engedlyezse/tiltsa
Eszkzteleptsek ellenrzse
93
Diagnosztika s felgyelet
Energiaellts
Az sszes ltez energiaelltsi bellts helyet kapott a Vista hzirendekben,
s persze van lehetsg egyni smk ltrehozsra is. Ez nem kevs anyagi
megtakartst jelenthet a cgek, szervezetek szmra. rdekessg a megoldsban, hogy a be nem lpett felhasznlk szmra is van szably.
94
A helyi hzirend
A hzirenden keresztl tilthatv vlik az USB-meghajtk, a CD-RW, DVDRW s egyb eltvolthat mdia hasznlata. rsi s olvassi hozzfrstpusok kzl vlaszthatunk s szmtgpre, illetve felhasznlra is korltozhatunk.
Nyomtatkkal kapcsolatos lehetsgek
Szintn teljesen j opci az adott nyomtat hzirendbl trtn automatikus
teleptse, illetve eltvoltsa gpeknek, illetve felhasznlknak. Arra is van
lehetsgnk, hogy a megbzhat felhasznlk szmra delegljuk a nyomtatk teleptst, illetve engedlyezznk vagy tiltsuk a megbzhat / nem megbzhat illesztprogram rendszerbe illesztst.
95
HARMADIK FEJEZET
Az gyfelek biztonsga
A fejezet tartalma:
Biztonsg: ltalnos bevezet ............................................................................ 97
Az erforrs-kezels alapjai ............................................................................... 98
Windows XP Service Pack 2 biztonsgi vltozsok ........................................ 129
jdonsgok a Vista biztonsgi rendszerben .................................................. 131
A biztonsgi rendszer sszetevi...................................................................... 153
Ments s visszallts ..................................................................................... 174
Az gyfelek biztonsga
Az erforrs-kezels alapjai
A felhasznlk (s a szmtgpek) hozzfrst az adatokhoz s egyltaln a
rendszer egszhez gynevezett hitelestsi (autentikcis) folyamatokkal biztostjuk. Akr szl gprl van sz, akr hlzatrl, minden felhasznlnak clszeren olyan egyedi azonostja van, melynek segtsgvel egyrtelmen azonosthatv is vlik. A hitelestst mely sorn megbizonyosodunk majd a bejelentkez fl identitsrl az autorizci, vagyis az engedlyek megadsa
kvetheti, amely alapja egy elzetes s eltrolt engedly meghatrozsa.
98
Az erforrs-kezels alapjai
Engedlyezs
A hitelests
A hitelests folyamata felttelezi a hitelest jelenltt is, amely a szmtgpes krnyezettl fggen tbbfle lehet, mi most hrom alappldt emelnnk ki:
1. Hitelests helyben, azaz interaktv belpssel az adott szmtgpen. Ekkor a felhasznlnak rendelkeznie kell az adott gpen rvnyes belpsi lehetsggel, azaz, a gp sajt felhasznli adatbzisban valamilyen mdon szerepelnie kell a fikjnak. Ekkor teht az
adott gp a hitelest, s csak felhasznli fikokat tud hitelesteni.
2. Hlzati hitelests. Elssorban munkacsoportos krnyezetben hasznlatos, amikor egy msik a hlzaton jelen lev szmtgpre jelentkeznk be (ezt mindig megelzi a helyi gpre trtn belps). Ennek
oka lehet egy megosztott mappa, vagy egy nyomtat elrse. Sok esetben a msik gpre nem ugyanazzal a felhasznlnvvel s jelszval lpnk be, mint helyben, hiszen ilyenkor a msik gp felhasznli adatbzisa a dominns, teht eltrek lehetnek a hitelest adatok. Ekkor
teht a msik gpet tekinthetjk a hitelestnek, amely szintn csak
felhasznli fikokat tud hitelesteni.
99
Az gyfelek biztonsga
A hitelests fszerepli
A rejtlyes cm mgtt nmikpp puritn tartalom ll, azaz ebben a fejezetben a Windows Vista felhasznli fikjairl s csoportjairl lesz sz.
Ha nem tartomnyrl beszlnk, hanem nll vagy munkacsoportos krnyezetrl, akkor a felhasznli fik (user account) az adott gp kizrlag
csak helyben hasznlhat felhasznljt szemlyesti meg. A fik objektum
trolja a felhasznl alapadatait (nevt, csoporttagsgt, ikonjt stb.), s a
legfbb feladat az, hogy a rendszer erforrsaihoz hozzfrsi jogosultsgokat
definiljunk szmra, illetve hogy a felhasznlk tevkenysge (pl. belps,
fjlhozzfrs stb.) nevestve jelenjen meg a naplfjlokban. Emellett termszetesen az eltr munkakrnyezet, illetve az egyedi belltsok elrse is clunk lehet, a klnbz felhasznli fikok ltrehozsa apropjn.
100
Az erforrs-kezels alapjai
A helyi szmtgp viszonylatban a fikok, a jelszavaikkal, a csoportokkal s az egyb, pl. biztonsgi jellemzkkel egytt egy specilis, n. helyi biztonsgi adatbzisban troldnak (Security Account Manager) s amely gyakorlatilag a rendszerler adatbzis egyik gban tallhat meg, de ami egyttal a Windows\System32\Config\SAM fjl tartalma is.
Mg mieltt nekiesnnk a regedit.exe-nek, illetve az emltett fjlnak, tudnunk kell, hogy kicsit
nehezen vizsglhatjuk meg ezeket mg teljes kr rendszergazda jogosultsggal is, hiszen a
registry ezen ghoz (HKLM\SAM) csak a SYSTEM felhasznlnak van jogosultsga, akinek viszont nincs interaktv belpsi lehetsge a gpen. A SAM fjl pedig az opercis rendszer mkdse alatt szmunkra nem nyithat meg.
mappkat megosztani;
Az gyfelek biztonsga
a jogosultsgok megtekintse;
fjlok ltrehozsa, vltoztatsa s trlse a sajt Dokumentumok mappban, illetve a sajt, megosztott mappkban;
3. Guest (Vendg) fiktpus: A Guests (Vendgek) csoportba tartoz fikok megszemlyesti nagyon minimlis jogosultsgokkal rendelkeznek, mlyen a standard felhasznlk jogosultsgi szintje alatt. Ideiglenes jelleggel s/vagy nagyon korltozott hozzfrs cljbl hasznljuk.
J plda erre, hogy az azonos nev Guest (Vendg) fik tulajdonosa
mg a sajt jelszavt sem hozhatja ltre, a Users (Felhasznlk) csoportnak sem tagja, s alapesetben ez a fik le is van tiltva.
102
Az erforrs-kezels alapjai
A felhasznli fikok kezelse tbbfle helyen is trtnhet a Vistban. Az ltalnos opcikat a Control Panel (Vezrlpult) / User Accounts (Felhasznli
fikok) alatt talljuk. nll vagy munkacsoportos krnyezetben itt hozhatunk ltre j fikokat, trlhetjk, tnevezhetjk ezeket, megvltoztathatjuk
a tpusukat s a jelszavakat, vagy akr megfelel jogosultsggal ms helyi
felhasznlk belltsait is korriglhatjuk. Kapunk lehetsget a profilunk, a
hlzati jelszavaink (lsd egy ksbbi alfejezetben) vagy a fjlok titkostshoz szksges tanstvnyok kezelsre is. Ha viszont a gpnk nem nll,
hanem tagja egy tartomnynak, akkor itt jval kevesebb lehetsget tallunk
a helyi felhasznli fikok kezelsre.
A halad s egyben a klasszikus belltsokat innen munkacsoportos krnyezetben nem rjk el, ellenben a megfelel MMC-konzol segtsgvel mr
igen, mghozz az els fejezetben mr ismertetett Computer Management
MMC rszeknt (Local Users and Groups Helyi felhasznlk s csoportok).
Ezen a felleten mr tbb lehetsgnk is lesz, pldul a Users (Felhasznlk) szakaszon bell, az alaprtelmezs szerint egyformn letiltott Administrator (Rendszergazda) es Guest (Vendg) fikok mellett meg fogjuk tallni a
teleptskor ltalunk ltrehozott fikunkat is. E fik tulajdonsglapja krlbell ugyangy nz ki, mint a kvetkez kpen.
103
Az gyfelek biztonsga
A Vista klnbz vltozatai alig trnek el a felhasznli fikok s a csoportok kezelst illeten, klnbsg maximum az esetleges tartomnyi tagsg miatt a felsznen, azaz a grafikus felleten addhat. Mivel csak a Business, az Enterprise, illetve az Ultimate vltozatot lptethetjk be tartomnyba, ezrt a szvegben emltett klnbsg is csak ezeknl a vltozatoknl fellelhet. J tudni viszont, hogy a Vista Home Basic, illetve a Home Premium vltozata alatt a
Local Users and Groups MMC konzol nem elrhet.
Itt a nv s a lers mellett a fik jelszavra vonatkoz belltsokat is lthatunk, ezek a kvetkezek:
104
Az erforrs-kezels alapjai
nll gp vagy munkacsoport esetn az utbbi opcikat (a jelszra vonatkozakat is belertve) tipikusan egyltaln nem hasznljuk, ezek elssorban tartomnyi krnyezetben alkalmazott belltsok. Igaz, ebben az esetben viszont nem a helyi gpeken, hanem kzpontostva, a
cmtrban trolt felhasznli fik belltsainak szablyozzuk ezeket a lehetsgeket.
105
Az gyfelek biztonsga
A Windows opercis rendszerek tartalmaznak egy sereg beptett, a telepts utn mr elrhet csoportot, ezek fajtit a kvetkez felsorolsban mutatjuk be (a Vista-specifikus csoportokrl, illetve az elssorban biztonsgi
okokbl trtnt felhasznli s csoportvltozsokrl egy ksbbi alfejezetben
nyjtunk majd egy rszletes ttekintst).
Administrators (Rendszergazdk): A rendszergazdk csoportja, elvileg majdnem az sszes mvelet s feladatkr birtokosa az opercis
rendszerben.
Backup Operators (Biztonsgimsolat-felelsk): E csoport tagjai biztonsgi mentseket s visszalltsokat vgezhetnek el, azaz ebbl a
clbl a ktetetek sszes objektumhoz hozzfrnek.
Network Configuration Operators (Hlzat-belltsi felelsk): A hlzati szolgltatsok kzl bizonyos egybknt rendszergazdai mveletek (TCP/IP -konfigurls, hlzati kapcsolatok engedlyezse, DNS-cache
rtse, RAS-kapcsolatok legyrtsa, trlse stb.) elltsra is kpesek
lesznek e csoport tagjai.
Users (Felhasznlk): A mr tbbszr emltett csoport tagjai az tlagos, standard tpus felhasznli fikok. Minden j fik alaprtelmezett tartzkodsi helye is ez a csoport.
Ha alaposan megvizsgljuk az opercis rendszert pldakppen az adhat jogosultsgok s engedlyek kapcsn, akkor tovbbi, sok esetben nagyon ritkn
hasznlt, specilis csoportokra is rbukkanhatunk.
Ezek a csoportok nem lthatak a Local Users and Groups (Helyi felhasznlk s csoportok) MMC-ben, s a tagsgi viszonyaikat sem llthatjuk be a
felhasznli felletrl (az opercis rendszer vgzi ezt el helyettnk), viszont
szksg esetn adhatunk ki szmukra fjlokra s mappkra jogosultsgokat,
illetve kaphatnak egyb engedlyeket is. Ezeket a jogosultsg- vagy engedlyhozzrendelseket viszont ltalban nem neknk kell manulisan megtennnk, a gyri alapbelltsok tartalmazzk e csoportok hozzrendelst a
szksges erforrsokhoz, objektumokhoz, illetve folyamatokhoz. Tekintsk
meg e csoportok listjt is, egy-egy rvid jellemzssel ksrve a felsorolst:
106
Az erforrs-kezels alapjai
Az gyfelek biztonsga
Anonymous Logon (Nvtelen bejelentkezs): E csoport tagjai szerny lehetsgekkel vannak felvrtezve, mivel olyan felhasznlkrl van sz,
akik nem azonostottk magukat nvvel s jelszval. Ilyen felhasznl
viszonylag kevs van, ide tartozik pl. az n. null sessionn keresztli elrs (pl. a gpek kommunikcija esetn az IPC$ megoszts hasznlata,
lsd ksbb). Helyi alkalmazsa alaprtelmezs szerint viszont tiltott.
Batch (Kteg): Azon felhasznlk, akik a nlkl indthatnak el parancsfjlokat, hogy interaktvan bejelentkeznnek (pl. egy program futtatsnak idztse).
Creator Owner (Ltrehoz tulajdonos), Creator Group (Ltrehoz csoport): Az erforrsok alaprtelmezett jogosultsgi listjban rendszeresen tallkozhatunk e fikkal, illetve csoporttal, amelyek az adott objektum tulajdonost jellik, azaz azt a felhasznlt, aki ltrehozta az erforrst. A Creator Group hasznlata a Windows opercis rendszerekben
nem jellemz, elssorban a POSIX kompatibilits miatt szksgesek.
Interactive (Interaktv): Azon felhasznlk a tagjai ennek a csoportnak, akik kpesek manulisan (a felhasznlnv/jelsz prossal) belpni az opercis rendszerbe, belertve a Remote Desktop (Tvoli asztal)
szolgltatst hasznlkat is.
A hitelests protokolljai
A hitelestst tbbfle protokoll segtsgvel bonyolthatjuk le, ezek klnbsge elssorban a hitelests sorn hasznlt jelszavak trolsi mdszerben, kisebb szm esetben a tovbbtsuk mdszerben jelentkezik. Az elgg elterjedt hiedelemmel ellenttben a Windows opercis rendszerek nem troljk el
a jelszavakat, pontosabban nem a jelszavakat troljk el, hanem az ezekbl
108
Az erforrs-kezels alapjai
A jelszavak trolsi mdszere teht kulcsfontossg a hitelests szempontjbl. A rgebbi hitelestsi megoldsok mellzsnek oka pontosan az, ami ltalban a legfbb kritrium is ezekkel a mdszerekkel szemben: mennyi ideig
kpesek ellenllni a feltrs ksrletnek. Mivel a feltrshez szksges szoftverek kdjban matematikai mveletek dominlnak, ahogy n az ezekhez
szksges hardverelemek (CPU, RAM stb.) teljestmnye, gy cskkenhet a
trsre fordtott id. Mikor tekinthetnk egy mdszert tnyleg biztonsgosnak? Erre kivtelesen van ltalnos rvny szably: ha a vdett adatok
megszerzshez szksges id (nagysgrendekkel) tbb, mint amennyi ideig
biztonsgban szeretnnk tudni az adott adatokat.
A kvetkez lista elemei kzl nhny mr nincs, vagy alig van hasznlatban, de esetleg a kompatibilits miatt szksgesek lehetnek.
109
Az gyfelek biztonsga
NTLMv1 (NT LAN Manager v1) Krds-vlasz (Challenge/Response) elven mkd autentikcis protokoll. Az NTLM hasznlatakor a
hitelestst kr gyfl egy vletlenszeren generlt 8-bjtos kihvst
(challenge) kap a kiszolgltl, melyet aztn a felhasznl jelszavval
titkost s visszakld, nmikpp feltuprozva, sszesen 2 24 bjtban.
Az NTLMv1 protokollt tipikusan a Windows NT 4 SP4 eltti rendszerekben alkalmaztk, s ma mr szintn nem nyjt elgsges vdelmet,
hiszen amellett, hogy egyrszt az MD4 (Message Digest 4) algoritmust
hasznlja az NT hash elksztshez (ami anno elg ers titkostsnak
szmtott), az imnti ismers, az LM hash is ugyangy rsze lesz a vlasznak, s gy nem jutunk sokra vele.
Egyes hash-algoritmusok lehetv teszik, hogy paramterezzk ket, azaz a kimenetket kicsit
megvltoztathatjuk, amelyet szsnak (salted) is hvnak. Ez a mdszer lehetv teszi, hogy a
hash mindig egy kicsit msmilyen legyen, ezzel is neheztve az ellops lehetsgt. A korbban
emltett 8-bjtos kihvs pontosan errl szl, de ez csak a kezdet. Ma az egyik legjobb sszr a HMAC algoritmus (Hash Message Authentication Code), melyet gy terveztek, hogy a
meglv s bevlt algoritmusokkal vltoztats nlkl egyttmkdjn. gy jhet ltre a HMACMD5, amely nevbl kitallhat, hogy a HMAC egy komoly preparlst vgez az adatokon, s
ennek az eredmnyt juttatja el az eredeti MD5 algoritmushoz.
110
Az erforrs-kezels alapjai
A Kerberos V5 nlklzhetetlen szolgltatsa a kulcsszolgltat kzpont (Key Distribution Center KDC), mely Active Directory cmtrszolgltats rszeknt minden tartomnyvezrln fut. A KDC felel a
jegyek kldsekor hasznlt titkostkulcsok generlsrt s folyamatos zemeltetsrt. A KDC az sszes tovbbi a tartomnyvezrlkn
fut biztonsgi szolgltatssal integrlva van, illetve az AD adatbzist, (illetve a globlis kalatgust is) hasznlja sajt adatbzisaknt.
A Kerberos V5 hitelestsi folyamata egyszerstve a kvetkezkppen mkdik (termszetesen az egsz hitelestsi folyamat lthatatlan
a felhasznl szmra):
1. Az gyflgpen belpni szndkoz felhasznl jelsz s/vagy intelligens krtya hasznlatval hitelesti magt a szintn a tartomnyvezrlkn fut sszetev, a hitelestsszolgltat (Authentication Service AS) fel.
2. Az AS leellenrzi a felhasznlt az AD segtsgvel, majd felveszi a kapcsolatot a KDC-vel az j kulcs legyrtsa rdekben.
3. A KDC egy egyedi (session) kulcsot biztost az gyflnek. Az AS
ezt egy specilis jeggyel (Ticket Granting Ticket TGT) egytt
kldi el a felhasznlnak. A TGT azrt is fontos (az gyfl el is
trolja), mert a tovbbi jegyeket is ezzel lehet majd krni, immr
anlkl, hogy a jelszra/felhasznlnvre szksg lenne. Ez a
kedvezmny persze nem tart rkk, alapbellts szerint mindsszesen csak 10 rig.
4. Az gyfl a nla lv TGT felhasznlsval jegyet kr s kap a
harmadik fontos kiszolgloldali komponenstl, a Ticket Granting Service-tl (TGS).
111
Az gyfelek biztonsga
5. Vgl az gyfl ezt a jegyet mutatja be a krt hlzati szolgltatsnak (azaz az NTLM-mel ellenttben nem utazik minden alkalommal a jelsz kivonat a hlzaton!), pl. jelen esetben a tartomnyi belpst kontrolll tartomnyvezrlnek, s kap engedlyt a tartomnyi belpsre. Ha ezek utn az adott 10 rn bell valamilyen ms szolgltats esetn jra igazolnia kell magt,
akkor a letrolt TGT-vel megint kr egy szolgltatsjegyet, s
aztn csendben ezt bemutatja a kr fel.
A Kerberos V5-szolgltats minden tartomnyvezrln, a Kerberos-gyfl pedig minden munkallomson alaprtelmezsknt teleptve van, s aktv. Minden tartomnyvezrl kulcsszolgltatknt mkdik, az gyfelek hitelestskor DNS-lekrdezssel keresik meg a legkzelebbi
tartomnyvezrlt. A bejelentkezs sorn ez a megtallt tartomnyvezrl szolgl kulcsszolgltatknt a felhasznl szmra. Ha az elsdleges kulcsszolgltat elrhetetlenn vlik, a
rendszer j kulcsszolgltatt keres a hitelests vgrehajtshoz. Ha egyetlen kulcsszolgltat
sem elrhet, a belps meghisul.
112
Az erforrs-kezels alapjai
A multifaktoros hitelests lnyegesen biztonsgosabb belpst tesz lehetv, hiszen a felhasznlt nemcsak jelszava, vagy kdja azonostja mely
esetleg kitallhat, vagy ms egyszer mdon megszerezhet hanem a fizikailag birtokolt eszkz is. Ilyenkor teht nemcsak tudunk valamit (a jelszt), hanem a van valamink elv is rvnyesl.
Az intelligens krtya (SmartCard) hasznlata esetn a felhasznlnak a
krtya PIN-kdjt kell csak ismernie, s a bejelentkezskor szksges a krtya is. A PIN-kd lehet egyszer is (pl. 4 karakter), de ez nem gond, mivel
nem megy t a hlzaton, hanem a Crypto API-n egyenesen thaladva a krtyhoz tartoz Crypto Service Provider segtsgvel lejut az eszkzbe. Ez az
tvonal elgg biztonsgos, gyakorlatilag lehallgathatatlannak tekinthet.
Radsul a krtyk ltalban rendelkeznek nmegsemmist szolgltatssal, vagyis X darab
sikertelen bejelentkezs utn hasznlhatatlann vlnak, illetve le is jrhatnak, azaz Y idej
inaktivits utn szintn nem hasznlhatak.
A Windows vilgban a kiszolgl s gyfl oldali opercis rendszerek s alkalmazsok (Active Directory cmtr, ISA Server, Vista stb.) tbbflekppen tmogatjk a multifaktoros hitelestsi tpusokat is, van, amelyiket teljesen integrltan (pl. az intelligens krtyk), s van, amelyeket csak kzvett, tovbbt kzegknt, egy-egy kls, kln telepthet alkalmazs fel (pl. RSA SecurID).
A jogosultsgok
A jogosultsgok definiljk a hozzfrs tpust egy erforrshoz, vagy mskpp fogalmazva, a sikeres hitelests utn a jogosultsgok alapjn hatrozhatjuk meg, hogy pldul a felhasznl vagy a szmtgp az adott objektumokkal milyen mveleteket vgezhet. Teht az engedlyezs (autorizci) folyamatnak az alapjt jelentik. A jogosultsgokat mindig az objektumokon
rvnyestjk, melyek listjt az albbi felsorolsban foglaltuk ssze (a kvetkez alfejezetekben pedig rszletezzk is ezeket):
mappamegosztsok a hlzat felhasznli szmra (a helyi felhasznlknak is lehetsges, csak kevs rtelme van);
113
Az gyfelek biztonsga
Az azonosts (pl. a rendszerbe val belps) utn a felhasznl egy testre szabott n. access tokent kap, ami tartalmazza jogosultsgait, csoporttagsgt stb.
A klnbz szolgltatst nyjt eszkzk ksbb ezt az access tokent ellenrzik, majd ennek tartalma alapjn dntik el, hogy a felhasznl hozzfrhet-e
egy erforrshoz (megosztott fjlhoz, szmtgphez stb.), vagy sem. Az egy-egy
objektumhoz rendelt hozzfrseket gynevezett hozzfrsi listkban (Access
Control List ACL) rgztik. Az opercis rendszer az ACL-ek alapjn engedlyezi vagy tagadja meg a hozzfrst az objektumokhoz, az ACL-ek pedig gynevezett Security Identifierek (SID) segtsgvel azonostjk a felhasznlt
vagy a szmtgpet. Az egyedi SID-eket a hitelest informcikat trol kiszolgl generlja, azaz pldul a helyi gp, vagy ppen a tartomnyvezrl.
A Security Identifierek felptse a kvetkezkpp alakul: (pldul: S-1-512-7623811015-3361044348-030300820-1013, rszeit egy tblzatban foglaljuk ssze).
S
12-7623811015-3361044348030300820
1013
Ahogyan mr emltettk, a Windowsban tbb elre definilt felhasznli-, szolgltatsfik, illetve felhasznli csoport is ltezik, ezek SID-jei minden esetben
llandak, gy a gyakorlottabb rendszergazdk akr a nv lthatsga nlkl is
azonosthatjk ezeket (pldul esemnynaplkban, hibakeres szoftverekben).
A legfontosabb kzismert (ms nven: well-known) SID-ek a kvetkezk:
S-1-5-18
LocalSystem szolgltatsfik
S-1-5-19
LocalService szolgltatsfik
S-1-5-20
NetworkService szolgltatsfik
114
Az erforrs-kezels alapjai
A SID-ek lekrdezsre hasznlhatjuk az integrlt whoami parancsot, tbbfle paramterrel is, pl. a whoami/user az aktulis felhasznl SID-jt mutatja
meg. Az objektumok ACL-jeit s minden egyb jogosultsggal kapcsolatos informcijt az n. Security Descriptor trolja. Egy objektum Security Descriptorja a kvetkez elemeket foglalja magba:
tulajdonos SID-je;
hozzfrsi listk:
DACL (Discretionary Access Control List): a felhasznlk s csoportok konkrt jogosultsgi szintjeit hatrozza meg, azaz, hogy
ki, mit tehet meg pl. az adott fjllal.
115
Az gyfelek biztonsga
A fjlrendszer-jogosultsgok
A Windows opercis rendszerek tipikus fjlrendszere, az NTFS esetn a jogosultsgokat tbb klnbz szempont szerint csoportosthatjuk, ezek egyike
a mvelet tpusa, melyekre a kvetkez pldk hozhatak fel:
Az erforrs-kezels alapjai
gosultsgait tekinthetjk s vltoztathatjuk meg, de ttekinthetbb s kezelhetbb listt kapunk az sszes biztonsgi belltssal egytt, ha az Advanced
(Specilis) gombra kattintunk. Nzznk egy konkrt pldt, azaz egy mappa
jogosultsgi listjt
117
Az gyfelek biztonsga
Egy msik megfontoland, s szintn ratlan szably az, hogy az tlthatsg s az egyszerbb kezels miatt nem fjloknak, hanem a fjlokat trol mappknak osztunk engedlyeket. Az rkldst
viszont a legritkbb esetben kapcsoljuk ki, inkbb tervezzk meg alaposan a hatst. Szintn csak
indokolt esetben hasznlatos az explicit tilt (Deny) jogosultsg, ltalban bven elegend, ha az
adott csoport/felhasznl implicit tiltst kap, azaz nem szerepel a jogosultsgi listban.
Ha viszont nem ragadunk le a Permissions (Engedlyek) els jogosultsgi ablaknl, akkor tbb rdekes s fontos lehetsgre is rbukkanhatunk ezen az
ablakon bell, nzzk meg ezek rszleteit is:
Permissions fl / Edit (Szerkeszts) A jogosultsgok rszletes belltsra, valamint pldul az rklds megvltoztatsra is lehetsgnk nylik. Kt opcink van itt:
118
Az erforrs-kezels alapjai
Replace all existing inheritable permission on all descendants with inheritable permissions from this object (A meglv rklhet engedlyek lecserlse az ezen objektumtl rklhet engedlyekre az sszes gyerekobjektumon) azaz az adott szinten lv jogosultsgok lefel (almappkba s fjlokra) trtn
erszakos kiknyszertse.
Ha errl a pontrl visszalpnk egyet, akkor elnaviglhatunk az Auditing (Naplzs) flre is, ahol az adott mappa vagy fjl hozzfrsnek
naplzst llthatjuk be. Nhny tudnival ehhez a lehetsghez:
A fjlrendszer hozzfrseinek naplzshoz nem elg itt belltani a paramtereket, globlisan is engedlyezni kell ezt a lehetsget. Ezt a helyi vagy a csoporthzirendben tehetjk meg, a
Audit Policy (Naplrend) opcik kztt az Audit object access
(Objektum-hozzfrs naplzsa) belltsval.
Itt megvizsglhatjuk, illetve megfelel jogosultsggal mdosthatjuk az adott objektum tulajdonosi viszonyait, lvn minden
egyes erforrsnak (a hlzati megosztsok kivtelvel) ltezik
tulajdonosa is. Ha pldul a felhasznl ltrehoz egy mappt,
akkor automatikusan vlik a tulajdonoss.
rdekes jellemz, hogy annak ellenre, hogy a tulajdonosi viszonnyal nem felttlenl jr egytt a legmagasabb jogosultsg,
(ha van egyltaln brmilyen is), viszont a jogokat gond nlkl
kioszthatja msoknak.
Rendszerfelgyeleti szempontbl lnyeges dolog, hogy a tulajdonos sz nlkli jogosultsgosztogatsi lehetsgt fkezve, a rendszergazdacsoport tagjai rendelkeznek a Take Ownership (Sajt tulajdonba vtel) jogosultsggal. Ez akkor is gy van, ha a tulajdonos letilt bennnket. Ez azrt fontos, mert nha mikor mint zemeltetk nem szerepelnk a jogosultsgi listban s nem vagyunk tulajdonosok sem ezzel a joggal felvrtezve, a sajt tulajdonbavtel
lesz a mentsvrunk a fjl biztonsgi belltsainak megvltoztatsra.
119
Az gyfelek biztonsga
A kvetkez fl, az Effective Permission (Hatlyos engedlyek) egy kifejezetten hasznos eszkz, amellyel egy a rendszerben lv tetszleges
felhasznl vagy csoport konkrt s aktulis jogosultsgait kilistzhatjuk, az adott mappra vonatkozan. Ezzel pillanatok alatt kiderlhet,
hogy az esetlegesen jl sszekuszlt csoport-, illetve egynileg kapott
jogosultsgok halmaznak mi a vgeredmnye.
120
Az erforrs-kezels alapjai
121
Az gyfelek biztonsga
122
Az erforrs-kezels alapjai
ltalban szksges s elvrt lps a megosztsokhoz jogosultsgokat is kiosztani. Ez esetben mindenkppen hitelestenie is kell magt az gyflgp
felhasznljnak. A mappamegosztsoknl alapveten csak hrom jogosultsgi szint ltezik, amelyek az engedlyek szintje szempontjbl gyakorlatilag
teljesen megegyeznek az NTFS ugyanilyen nev jogosultsgaival:
Modify (mdosts),
Fontos tudni azt is, hogy a helyi fjlrendszeren (NTFS) rvnyes s a hlzati
megosztsnl megadott jogosultsgok kzl prhuzamossg esetn mindig a szigorbb, (ms szval a klnbz jogosultsgok metszete), lesz az rvnyes, teht ha az egyik ponton csak olvasst, a msikon pedig rst is engedlyeznk az objektumhoz, akkor csak olvassra frhetnk majd hozz.
Szemlltessk ezt egy plda segtsgvel: a gtamas felhasznl tagja a
Users, illetve a HaladoUsers csoportnak is. A D:\Temp mapphoz emiatt aztn tbbfle NTFS-jogosultsga is van, illetve mivel ez egy megosztott mappa
is egyben, s ms gprl is el kell rnie, megosztsi joggal is rendelkezik a
csoporttagsga rvn.
Felhasznl/
csoport
NTFS jogok
Megoszts jogok
gtamas
Full Control
Read
Users
Modify
HaladoUsers
Modify
Read
sszegzs
Full Control
Read
rvnyes jog
Read
123
Az gyfelek biztonsga
A megosztsokat a grafikus felhasznli felleten kvl parancssorbl is kezelhetjk a net parancs use paramterrel trtn hasznlatval. Az aktulis
hlzati megosztsok listjhoz csak egyszeren, egyb kapcsolk nlkl adjuk ki a net use utastst.
Specilis megosztsok
A Windows opercis rendszerekben hagyomnyosan s alaprtelmezs szerint lteznek specilis megosztsok is, elssorban a rendszergazdk munkjnak knnytse, illetve a szmtgpek s alkalmazsok egyszerbb kommunikcija okbl. Ezeket Default Administrative Shares-nek (alaprtelmezett felgyeleti megosztsoknak) hvjuk, s a mr tbbszr emltett Computer
Management MMC-ben tekinthetjk meg ezek listjt, de a net share parancs
is kpes ugyanerre.
124
Az erforrs-kezels alapjai
Erforrs-megoszts
Ebben a screencastban a Windows Vistval kivitelezhet erforrs-megosztsrl, azaz a fjl- s
nyomtatkiszolglknti mkds lehetsgeit mutatjuk be.
Fjlnv: I-3-1bEroforras-megosztas.avi
125
Az gyfelek biztonsga
Rszletek
Print (Nyomtats)
dokumentumok nyomtatsa;
sajt dokumentumok nyomtatsi jellemzinek bellts;
sajt dokumentumok nyomtatsnak meglltsa,
jraindtsa s trlse.
Manage Printers
(Nyomtatkezels)
a nyomtat megosztsa;
a nyomtat tulajdonsgainak megvltoztatsa;
a nyomtat eltvoltsa;
a nyomtatsi jogosultsgok megvltoztatsa;
a nyomtat lelltsa s jraindtsa.
Manage Documents
(Dokumentumok
kezelse)
A felhasznli engedlyek
Ha szeretnnk tisztban lenni az erforrs-kezels tmakrrel, akkor vilgosan kell ltnunk, hogy a hitelestst kvet engedlyezs folyamata (autorizci) nemcsak a sokkal inkbb a szemnk eltt lv fjl-, megoszts-, vagy pl. a
nyomtatsi jogosultsgokra vonatkozhat, hanem az egsz szmtgpet rint
engedlyekre is. A klnbsg ppen a hatkr, azaz az engedlyek trgya k-
126
Az erforrs-kezels alapjai
Ezutn navigljunk el a Security Settings\Local Policies\User Rights Assignment (Biztonsgi belltsok\Helyi hzirend\Felhasznli jogok kiosztsa)
pontra, ahol az sszes opcit egy tetszets, csoportostott listban, az MMCkonzol jobboldali keretben lthatjuk.
127
Az gyfelek biztonsga
Deny Allow Log On Through Terminal Services (Terminlszolgltatsok hasznlatval trtn bejelentkezs tiltsa)
Ezeknek az opciknak mindig van teht engedlyez vltozata is, azaz ktfajta mdon is tudjuk finomhangolni a hozzjuk tartoz lehetsget. Alaprtelmezs szerint pl. a helyi belps engedlyezve van a helyi Guest fiknak, illetve az Administrators, Backup Operators, s Users csoportoknak. Ha valamely felhasznltl szeretnnk elvenni a helyi belps jogt annak ellenre,
hogy pl. a Users csoport tagjaknt ez jr neki , akkor a tilt opci al felvehetjk, konkrtan nevestve a fikjt. Mivel az tilts ersebb lehetsg, a
felhasznl nem fog tudni belpni az opercis rendszerbe.
Ezen engedlyek kiosztsa teht a gyri belltson alapul, de akr mi magunk is vltoztathatunk ezen a helyzeten, illetve a rendszer nmikpp egy automatizmussal is sznesti lehetsgeket. Egy plda: ha hlzati megosztsokat engedlyezzk a Network and Sharing Centerben (Hlzati s megosztsi kzpont),
s egyttal a jelszval vdett hozzfrst kikapcsoljuk (lehetleg ne tegynk ilyet,
ez csak egy plda), akkor a Guest fik kikerl a korbban emltett Deny Allow
Log On Locally (Helyi bejelentkezs megtagadsa) engedly opcibl.
Az engedlyek listja terjedelmes (kb. 45 db), rtelmk s felhasznlsi
terleteik gyakran mly ismereteket ignyelnek magrl az opercis rendszerrl. Ennek a knyvnek nem szndka az engedlyek egyenknti alapos
bemutatsa, annyit viszont mindenkppen clszer megjegyezni, hogy ha
brmelyik opcit megnyitjuk, akkor az Explain (Magyarzat) fln egy-egy
frappns rtelmezst kaphatunk az adott engedly jelentsrl, illetve az
esetleges verzi fggsgekrl is.
128
129
Az gyfelek biztonsga
130
Vdekezs a mlyben
Ebben a rszben a Windows Vista olyan felszn alatti, gyakran ltalunk nem
is befolysolhat, bellthat komponenseinek s szolgltatsainak az ttekintst ksreljk meg, amelyek majdnem 100%-osan jdonsgnak szmtanak. gy gondoljuk, hogy fggetlenl attl, hogy a napi szint zemeltetsben nem tallkozunk konkrtan ezekkel a megoldsokkal hanem ltalban
csak maximum az elnyeiket lvezzk , tjkozottnak kell lennnk a biztonsgos mkds megteremtsnek minden rszletvel. Ennek megfelelen a jelen fejezetbe a programkd, a kernel, a rendszerfjlok, s a memria vdelmvel, srthetetlensgvel s mkdsi specialitsaival kapcsolatos tudnivalkat szerkesztettk ssze.
131
Az gyfelek biztonsga
A Windows Vista 64-bites tmogatsa az x64-es rendszerek esetben rtend, Itaniumra kszlt
vltozatot a Microsoft nem adott ki. A 64-bites opercis rendszerekrl rszletesebb informcit
a kvetkez TechNet Magazin cikkbl rhetnk el: http://download.microsoft.com/download/
a/1/a/a1ac3b96-011e-4cca-9dba-78973187567d/26-29.pdf vagy http://tinyurl.com/2q22jz
132
x64
x86
A Vista rendszervdelem
A Vista Windows Resource Protection (WRP) megoldst sokszor a korbbi
Windows File Protection (WFP) megoldssal azonostjk. A WFP a Windows
2000-rel s egy hasonl megolds, a System File Protection (SFP) pedig a
Windows Millennium Editionel lett bevezetve. Mindkett hasonlt a WRP-re
de szignifikns eltrsek vannak a megvalstsban.
A WFP csak fjlokat figyel, mg a WRP a kritikus fjlokat, mappkat s a
regisztrcis adatbzis bejegyzseit is vdi. A WFP/SFP csak a vdett rendszerfjlokat rint mdostsokat figyeli. Amennyiben ezek a vltozsok nem
hitelestettek, a WFP/SFP visszacserli a mdosult llomnyokat egy korbbi
megbzhat mentsbl. A leggyakoribb figyelmeztets, amit a WFP korbban
adott, egy felhasznli figyelmeztets, vagy egy esemnynapl-bejegyzs volt.
A WRP tovbb ersti a rendszererforrsok vdelmt, kiterjesztve a vdelmet
a regisztrcis adatbzisra s rendszermappkra is. A Vista esetben a Rendszergazdk (Administrators) csoport tagjai sem mdosthatjk a rendszererforrsokat. Alaprtelmezs szerint csak a Windows Trusted Installer security
principal jogosult mdostsokra a Windows Module Installer szolgltatson keresztl. Ezt hasznlja a Windows Installer, a hotfix.exe, s az update.exe is.
A rendszergazdknak azonban jogukban ll mdostani s tulajdonba
venni a vdett rendszererforrsokat is, s teljes jogot adniuk maguknak, gy
mdostani vagy trlni is rendszer szmra kritikus llomnyokat. A WFPvel ellenttben a WRP viszont nem lltja helyre automatikusan a vdett llomnyokat megbzhat mentsbl, csak jraindts sorn lltja vissza a
rendszer indulshoz szksges llapotot.
133
Az gyfelek biztonsga
Ahhoz, hogy a WRP visszalltsa az sszes vdett erforrst (ami hasznos lehet egy hibakeress
sorn) futtassuk a kvetkez parancsot: sfc /scan now. A vdett fjlok eredeti llapotnak
visszalltshoz szksges lehet a Vista teleptmdia is.
134
Windows Filtering Platform (Windows szrplatform) olyan hlzati mveletek engedlyezse, mint a csomagelemzs, pldul harmadik fltl szrmaz tzfal mkdsnek tmogatshoz.
visszatrsi verem;
Az ASLR viszonylag ksn, a Beta 2-es verziban kerlt be elszr a rendszerbe, de hatkony
vdelemnek bizonyult, gy vgl szerves rszv vlt a Windows memriakezelsnek. Nem lehet kikapcsolni, de engedlyezni sem kell a httrben szrevtlenl teszi a dolgt.
Az gyfelek biztonsga
Hardveres DEP A legtbb ma kaphat processzor (az sszes 64bites CPU, valamint egyes 32-bites Intel s AMD processzorok is) mr
rendelkezik ezzel a kpessggel. Az erre alkalmas processzorok a memria kezelsekor belsleg hasznlt lapoztbla-bejegyzsek utols bitjt NX (No eXecute) mutatknt rtelmezik: 0 esetn a hivatkozott terleten lehetsges, 1 rtknl tilos a kd futtatsa. (Megjegyzend,
hogy az NX az eredeti AMD-s elnevezs, az Intel terminolgijban XD
bitrl eXecute Disable beszlnk.)
Akr hardveres, akr szoftveres DEP-rl van sz, a rendszer nem javtja ki pldul a puffer-tlcsordulsos srlkenysgeket, s nem akadlyozza meg memriaterletek fellrst. Amikor azonban a vezrls adatterletre kerlne,
akkor vagy hardveres kivtel generldik, vagy a kivtelgenerlst az opercis
rendszer szoftveres ton vgzi el, mely sorn az rt kdok leflelhetk.
A DEP belltsait Windows XP, illetve Windows Server 2003 esetben a
rendszerbetlts indtsrt felels boot.ini konfigurcis fjlban hatrozhatjuk meg, mely a rendszerpartci gykrknyvtrban foglal helyet. Az opercis rendszer bejegyzsnek vgn tallhat /noexecute kapcsolnak ngy llsa van: AlwaysOn, AlwaysOff, OptIn s OptOut.
136
OptIn A DEP csak a Windows sajt futtathat llomnyaira vonatkozik. Ez az alaprtelmezett bellts.
3.16. bra: Akciban a DEP, a lista szerepli pedig a kivtelek a hatsa all
137
Az gyfelek biztonsga
Nhny sz a szolgltatsfikokrl
A szolgltatsfikok elre definilt hozzfrsi lehetsgek a Windows beptett szolgltatsainak futtatshoz. A Windows Vista hrom ilyen fikkal
rendelkezik (miknt a korbbi opercis rendszerek is).
A legersebb n. LocalSystem fik nem rendelkezik jelszval, mgis teljes hozzfrse van a rendszer egszhez, magban foglalja a beptett
Administrators (Rendszergazdk) csoport jogosultsgi krt is, hlzati krnyezetben pedig ez a szolgltats testesti meg magt a szmtgpet, teht
a hlzati hitelests is ezen a fikon keresztl trtnhet.
A szolgltatsok korbban szinte kivtel nlkl a LocalSystem fik hasznlatval futottak, gy sokszor szksgtelen jogosultsgokat kaptak, ami az elbb
lertakat figyelembe vve komoly biztonsgi agglyokat vethet fel. A Windows
Vistban az XP-hez kpest a szolgltatsok tredke fut helyi rendszerfikkal,
a tbbsgk tkerlt a cskkentett jogosultsgokkal rendelkez LocalService,
illetve NetworkService fikokba.
Viszont a szolgltats mkdshez nha azrt elengedhetetlenl szksges, hogy rendszerjogosultsgokat lvezzen, ezrt a Microsoft programozi
egy trkkt vetettek be: ezeket a szolgltatsokat egyszeren kettvgtk,
s a kdnak csak a privilegizlt mveleteket vgz rsze fut a LocalSystem fik
138
all, a tbbi tovbbra is a LocalService hatkrben marad. A biztonsg tovbbi fokozsa rdekben a megosztott szolgltatsok kt rsze kztti kapcsolathoz hitelests szksges.
Emellett a szolgltatsok a felhasznlkhoz hasonlan sajt egyedi biztonsgi azonostt kaptak, melyek az albbi formtumban troldnak:
S-1-80-<a szerviz logikai nevnek SHA-1 hash-e>.
Szintn a felhasznlkhoz hasonlan az egyes szolgltatsoknak is csak adott
mveletekhez van jogosultsguk. Ezeket a privilgiumokat a Registry trolja,
a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services kulcs
alatt, a RequiredPrivileges rtkben. A szolgltatsfikokhoz termszetesen
ACL is tartozik, gy minden egyes szolgltatsnak gondosan kijellt munkaterlete van, melyen kvl nem tevkenykedhet, gy mg ha egy esetleges vrustmads sorn a krtev kd t is venn az irnytst a szolgltats fltt,
akkor sem okozhat helyrehozhatatlan krt. A szolgltatsok szmra biztostott privilgiumok megfelelen kordban tartjk a folyamatokat, korltozzk
a fjlrendszer s a registry hasznlatt, valamint a Windows tzfal ltal a
hlzati kommunikcit is.
Hogy egy gyors pldval demonstrljuk az j szolgltatskorltozs jelentsgt, tekintsnk kicsit vissza az idben, 2003 augusztusra, amikor a
Blaster/Sasser fregvrus globlis problmkat okozott a Windows vehemens
tmadsval. A Blaster a rendszer egyik alapvet szolgltatst, a Remote
Procedure Call (RPC tvoli eljrshvs) kertette hatalmba, s a Windows
folytonos jraindtsval okozott fejfjst a felhasznlknak. A freg ma mr
szinte semmilyen krt nem tudna okozni, mert a Windows Vistban az RPCszolgltats is tesett a fenti vltozsokon gy:
nem befolysolhat ms szolgltatsokat, s nem mdosthatja azok belltsait (pldul antivrus szoftverekt).
A szolgltatsok biztonsgi konfigurlsa a Windows teleptse sorn automatikusan megtrtnik, azonban csak a rendszer sajt beptett sszetevire
rvnyes, a kls s utlag teleptett szolgltatsokra nem.
Service Hardening
A rendszerszolgltatsok megerstse fontos pont a Vista biztonsgossgval kapcsolatban.
Ebben a mini eladsban ezzel kapcsolatban mutatunk be rszleteket.
Fjlnv: I-3-3aService-Hardening.avi
139
Az gyfelek biztonsga
Ide tartozik mg az az jdonsg is, hogy amennyiben egy j fikot hozunk ltre a rendszerben,
az alaprtelmezsknt korltozott felhasznli jogosultsgokat kap.
140
Performance log / Performance monitor users: a nevbl addan a Performance Monitor hasznlathoz kaphatnak (nem teljes kr) jogosultsgot az e csoportba bekerl felhasznlk.
141
Az gyfelek biztonsga
A Windows Vista kpes a hlzatban, valamint a weboldalakon hasznlt jelszavaink trolsra. Ezt mr a Windows XP-vel is megvalsthattuk, de sokkal kevsb komfortosan. A Vistval knnyedn elkszthetjk a felhasznlk szmra pldul az intranetes szolgltatsok hasznlathoz szksges
belpsi hitelest adatokat, s elmenthetjk ezeket.
Szksg szerint az esetleg tvesen bevitt hitelestsi informcikat is trlhetjk, illetve teljes jdonsgknt a jelszavainkat el is menthetjk .crd kiterjesztssel. A jelszavak trolsnak s belltsainak elrshez navigljunk el
a Control Panel / User Accounts / Manage your network passwords pontra.
142
3. Egy szigor vllalati hlzatban is elfordulhat az, hogy egy gyflgpen jogosultsgkezelsi szempontbl rosszul megrt, de ktelezen
hasznlt alkalmazs miatt muszj a felhasznlkat szksgtelenl
magas szint jogosultsggal elltni, amely ltalban gy zajlik, hogy a
rendszergazda a helyi Administrators (Rendszergazdk) vagy a korbban emltett, szintn tlsgosan ers Kiemelt felhasznlk (Power
Users) csoportba beemeli a felhasznlt.
Ezen helyzetek kivlt oka egyrszt a tudatlansg, viszont msrszt a knyelem, amely ugyan szintn fontos szempont, de tudnunk kell azt is, hogy a
rendszergazda-jogosultsg teljes hozzfrst ad az opercis rendszerhez s a
szmtgp minden komponenshez, lehetv tve olyan mdostsokat, amelyek a rendszert mkdskptelenn tehetik, vagy krt tehetnek ms felhasznlk adataiban. St, az vatlan hasznlattal a kvlrl rkez krtevk,
vrusok, frgek, spyware-ek sem tkznek tl sok akadlyba hiszen, amint
bejutnak a gpre, rgtn rendszergazda-jogosultsgot szerezhetnek. Valamint, zemeltetknt azt a tnyt is clszer ismernnk, hogy a rendszereket
rint biztonsgi incidensek kzel 70%-a a bels hlzat felhasznlitl szrmazik. Ezek ismeretben bizonyra el fogunk gondolkozni azon, hogy megri-e
az emelt szint jogosultsgi vakmer hasznlata.
A Vistban viszont nem kell sokat ezen gondolkoznunk, alaprtelmezs
szerint ksz helyzet el vagyunk lltva, amely taln kevsb knyelmes, viszont annl hasznosabb. A ksz helyzet szlltja az n. User Account Control
(UAC, Felhasznli fikok felgyelete), amely egy sszetett megolds, ez a kvetkez alfejezetek kzl tbb is ennek a technolginak a rszletezsvel foglalkozik majd.
Ha pldul a mindennapos hasznlat kzben adunk hozz felhasznlkat,
akkor azok immr csak a standard felhasznli jogokkal brnak majd. Ha a
teleptskor elsknt ltrejv fikot nzzk, az termszetesen tovbbra is
rendszergazda-jogosultsg lesz, de neki is mind minden a helyi rendszergazdacsoportba tartoz fiknak cskkentett, standard felhasznl szint
krnyezetet tlt be a Windows, a rendszermdostshoz szksges jogokat kln kell krnie.
Egy sz mint szz, alapesetben a jogosultsgok tlz kiosztsa miatt kevesebbet kell aggdnunk, de mi a helyzet akkor, ha mgis szksg van rendszergazdaknt mkdtetni a gpet. Mert ugyan az is fontos s kiss taln fordtott eljel (de nem veszlyes) vltozs, hogy szmos olyan funkci vagy bellts kerlt be a standard felhasznlk jogosultsgi krbe, amelyekre korbban nem volt lehetsg, (ezt ksbb bvebben is kifejtjk), de azrt mg
mindig maradt rengeteg, amelyhez ennl tbb jogosultsg szksges.
143
Az gyfelek biztonsga
Ha olyan mveletre kerl sor, amikor valban hozz kell nylni bizonyos
rendszerbelltsokhoz, vagy olyan vdett mappkba kell programot telepteni,
mint a \Windows vagy a \Program Files, a Vista interaktivitsra kszteti a
felhasznlt, azaz egy gynevezett elevl promptot, jogosultsg-jvhagy
krdst kld a felhasznlnak. Azaz a standard felhasznlnak kln engedlyeznie kell, mikor a rendszergazda jogaival lni szeretne. Ez lehetsget biztost a felhasznlnak, hogy eldntse, egy alkalmazs lhet-e ezekkel a jogokkal.
Ez egyben azt is jelenti, hogy a felhasznl minden esetben informcit kap arrl, milyen alkalmazsok indulnak el, amelyek rendszergazdai joggal futnak.
A technikai magyarzat lnyege, hogy amikor egy felhasznl bejelentkezik,
az UAC kt biztonsgi tokent hoz ltre. Egy norml felhasznli tokent s egy
olyan tokent, amely tartalmazza a rendszergazda jogokat. Az elindtott folyamat akkor nem kapja meg az utbbi jogokat, ha a felhasznl a folyamat indulsakor nem engedlyezi az UAC felletn keresztl. A ltrejtt norml felhasznli tokenben az albbi klnbsgeket fedezhetjk fel szemben a rendszergazdai tokennel (az ismeretlen fogalmakra ksbb visszatrnk):
Az UAC klnfle helyzeteknek megfelelen tbbfajta engedlyez ablakot jelenthet meg. Ha az alkalmazs, vagy annak kiadja a biztonsgi hzirend
szerint blokkolva van, egy piros fejlccel rendelkez figyelmeztet ablak jelenik meg, a program futtatsa pedig nem lehetsges. Kkes-zldes szn ablakot lthatunk, ha a jogosultsgi szint emelst a Windows egyik beptett
komponense kri. Kls programok esetn szrke sznkd UAC-promptot
kapunk, ha az llomny rendelkezik digitlis alrssal, gy az valsznleg
megbzhat forrsbl szrmazik, figyelemfelkeltbb, srga sznt pedig, ha
nem tallhat alrs ez esetben csak akkor futtassuk az alkalmazst, ha
ismerjk szrmazsi helyt s teljesen megbzunk abban.
A User Account Control rszletes belltsa a helyi biztonsgi hzirendbl
trtnhet. A finombelltsok kztt megadhatjuk pldul, hogy a figyelmeztet krds rendszergazda-jogosultsg felhasznl esetn csak egy igen/nem
vlasztsi lehetsgbl, vagy akr teljesen egy figyelmezets nlkl trtnjen,
vagy pldul azt is, hogy egy standard felhasznl esetn egyltaln ne legyen lehetsg a nv/jelsz pros megadsra, hanem csak az elutastsra.
144
Trtnetesen mg azt is bellthatjuk, hogy az UAC a krdablak megjelentsekor tkapcsoljon-e az gynevezett Secure Desktop mdba. A hzirendbl
(s a Control Panel / User Accounts pont all) akr ki is kapcsolhatjuk az
UAC-t, de ez termszetesen nem ajnlott.
A Secure Desktop a felhasznl munkafolyamatban, de elszeparlt asztalknt jn ltre, radsul csak a rendszer ltal rhat, gy a biztonsgi asztalt
semmilyen kls, a felhasznl asztaln fut folyamattal nem lehet befolysolni. Ez szinte tkletesen megbzhatv teszi a Secure Desktopon megjelentett ablakokat, vagyis biztosak lehetnk benne, hogy maga a rendszer s
nem pedig egy vrus kldte a megtveszt zenetet.
145
Az gyfelek biztonsga
146
ActiveX-vezrlk teleptse.
Windows-frisstsek teleptse.
A feladattemez megnyitsa.
A korltozott jogkrben dolgoz felhasznlk alaprtelmezsknt az UAC felgyelete alatt dolgoznak, mely esetkben a fenti felsorolsban szerepl mveleteknl nem egy egyszer engedlyez ablakot jelent meg, hanem egy rendszergazda jogosultsg felhasznl hitelest adatait kri be (de ahogyan
korbban emltettk ez a mkds a biztonsgi hzirendbl megvltoztathat). Anlkl, hogy az UAC-cal tallkoznnak, a standard jog felhasznlk
az albbi mveleteket vgezhetik el (szintn nem teljes a lista):
VPN-kapcsolatok konfigurlsa.
Idznavlts.
147
Az gyfelek biztonsga
Alap hlzati konfigurcik elvgzshez a felhasznlt elegend hozzadni a Network Configurations Operators csoporthoz. Ennek a csoportnak joga van az IP-cmek megvltoztatshoz, DNS-cache rtshez
stb., vagyis a nlkl vgezhetk el ezek a feladatok, hogy a felhasznl
az Administrators (Rendszergazda) csoporttagsgra lenne szksgk.
Az UAC-fjlrendszer s regisztrcis adatbzis virtualizcija s a beptett alkalmazs kompatibilitsi smk segtsgvel sok rendszergazdai jogokat ignyl alkalmazs futtatst teszi lehetv, szmos
problmn segt (a rszleteket lsd a kvetkez alfejezetben).
Az UAC tervezsekor fellltott programozsi irnyelvek kimondjk, hogy a felhasznlnak mindig elre tudnia kell rla, ha a mvelet jogosultsgi szintemelst
kvetel. Ezt a gombokon s hivatkozsok mellett elhelyezett kis pajzsok ( ) jelzik, egyrtelmv tve, mely mveletekhez szksges emelt szint hozzfrs.
A fikvltozsok s a User Account Control (UAC)
Ebben az eladsban a Vista felhasznli fikjaival s csoportjaival, illetve a taln legfontosabb a biztonsgot rint vltozssal, az UAC-lal kapcsolatos rszleteket trjuk fel.
Fjlnv: I-3-3bFiokok-es-UAC.avi
Fjl- s registryvirtualizci
A User Account Control egy msik fontos feladata a szoftverkrnyezet virtualizlsa azon alkalmazsok szmra, melyek nem lettek felksztve a tbbfelhasznls rendszerekre, vagy nem kezelik jl a jogosultsgokat. Egyelre
meglehetsen sok olyan program ltezik, amely vagy nem veszi figyelembe,
hogy tbbfelhasznls krnyezetben mkdik, vagy egyszeren nem is hajland futni, csak s kizrlag rendszergazdai jogosultsgokkal. Az UAC ezrt
detektlja az alkalmazs fjlrendszerbe s a registrybe val rsi krseit, s
ennek megfelelen minden felhasznli fikban egyni virtulis krnyezetet (gynevezett homokozt) hoz ltre a programnak.
A rendszergazda-jogosultsgot megkvetel programok gy tulajdonkppen azt hiszik, hogy tudnak rni a pl. a\Windows, vagy a \Program Files
mappkba, esetleg a rendszerler adatbzis kritikus rszeibe is, m valjban egy, a szmukra ltrehozott virtulis valsgban mkdnek immron
gond nlkl. A virtualizlt mappkat a vdett rendszerknyvtrak tallzsakor megjelen Compatibility Files gombra kattintva nyithatjuk meg, ezek fizikai helye a felhasznl profilknyvtrban tallhat az albbi tvonalon:
\Users\<felhasznlnv>\AppData\Local\VirtualStore.
A regisztrcis adatbzist rint rsi mveletek pedig a HKCU\Software\Classes\VirtualStore kulcs al kerlnek.
148
\Users\%AllUsersProfile% \ProgramData
HKLM\Software
Vista alkalmazsok.
Kernelmd alkalmazsok.
149
Az gyfelek biztonsga
150
Az gyfelek biztonsga
SID
Hex rtk
Hasznlati pldk
Low
S-1-16-4096
1000
Vdett md Internet
Explorer
Medium
S-1-16-8192
2000
Hitelestett felhasznlk/
Nem elevlt
High
S-1-16-12288
3000
Rendszergazdk/
Elevlt jogok
System
S-1-16-16384
4000
Helyi rendszer
152
Az NTFS fjlrendszer-jogosultsgokhoz hasonlan bizonyos korltok kztt az integritsszinteket is az icacls paranccsal kezelhetjk. Kt korltozs ltezik: az objektumokat nem helyezhetjk t a System, illetve az Untrusted szintekre. Az integritsszintek vltoztatshoz hasznljuk a /setintegritylevel kapcsolt, azonban bnjunk vatosan ezzel az eszkzzel s csak szksg
esetn mdostsuk ezt az objektumtulajdonsgot!
153
Az gyfelek biztonsga
A Security Center
A Windows Vistba beptett Security Center (Biztonsgi kzpont) sokban
hasonlt a korbbi verzihoz, azonban el is tr attl. A tzfal, az Automatikus
frisstsek gyfl s a vrusirt llapotnak lland vizsglata megmaradt,
viszont bekerlt a monitorozand komponensek kz az immr integrlt
Windows Defender (lsd ksbb) a frisstsi opcival egytt.
Az UAC mkdse szintn nyomon kvethet a Security Centerben, valamint egy teljesen j szakasszal is bvltek a lehetsgeink, azaz az Internet
Explorer legfontosabb biztonsgi belltsait is ellenrzi a rendszer, s jelzst
is kapunk, ha ezek llapotban negatv vltozs kvetkezik be (a megfigyelt
paramterekrl tovbbi rszleteket olvashatunk kicsit ksbb, a Biztonsgi
belltsok automatikus felgyelete szakaszban).
154
Phishing filter
155
Az gyfelek biztonsga
Napjaink egyik legelterjedtebb online bnzsi formja, az gynevezett adathalszat, a phishing. Ennek az a lnyege, hogy pldul olyan pnzgyi szolgltatsnak lczott webhelyre csaljk a felhasznlt, mely klsre szinte pontosan
megegyezik egy-egy bank vagy pnzintzet honlapjval. Itt aztn a felhasznltl
olyan szemlyes adatokat krnek be, melyek felhasznlsval hozzfrhetnek
bankszmljhoz s egyb szemlyes rtkeihez. A phishing elleni vdelem kzponti szerepet kapott az Internet Explorer 7-ben, a bngsz els indtsakor
mris lehetsgnk van a szr bekapcsolsra s a belltsok testreszabsra.
Az IE7 phishing filtere rendszeresen frissl online adatbzison s egy intelligens
szrn alapul, mely tipikus jellemzk utn kutatva megvizsglja a weblap eredetisgt s megbzhatsgt. Ha e vizsglat sorn nem tallja megfelelnek az
adott oldalt, akkor ezt szembetnen jelzi a felhasznlnak.
Vdett md
Az elz rszben ismertetett User Account Control nemcsak a figyelmeztet
ablakok kldsvel prblja kordban tartani a felhasznlkat, de neki ksznhetjk, hogy az Internet Explorer 7 kpes gynevezett vdett mdban
(Protected mode) futni de csak a Vistn, az XP-re teleptett IE7 nem ismeri
ezt a fajta mkdst.
Ha a vdett md engedlyezve van, az IE7 nagyon alacsony integritsi szinten
(Low IL) dolgozik, amely szmos biztonsgi korltot jelent a mkdsben. Ezek
kzl az egyik az, hogy a rendszer biztonsgi alapbelltsainak megvltoztatsa
vagy egy emelt szint jogosultsg nlkl egy website nem kpes semmilyen mdon egy alkalmazst telepteni a bngszn keresztl. Ez azrt van, mert az alacsony integritsi szintnek ksznheten a bngsz a fjlrendszerbe, illetve a
registrybe nem rhat automatikusan. Mivel a klnbz integritsi szinten lv
processzek kztti kommunikci szintn ersen limitlva van, a knyszeren
hasonlan alacsony szinten mkd ActiveX-vezrlk s az extra eszkztrak
sem kpesek hozzfrni semmilyen fontos rendszerelemhez.
Ezen kvl a Vista egy specilis virtulis mappt is elkszt az IE7 szmra, az olyan fjlok trolshoz, amelyeket a bngsz menetkzben egybknt a szmra tiltott helyekre mentene el. Ez a mappa szoksos gyorsttron bell helyezkedik el (Temporary Internet Files\Low), s ide s csak ide
kpes egy alacsony integritsi szinttel rendelkez folyamat rni. Gyakorlatilag ez a korbban ismertetett fjl- s registryvirtualizci elve alapjn mkdik, csendben a httrben, sikeresen megtvesztve bvtmnyeket, vagy a
brmit, amely az IE7 alatt tevkenykedik.
A teljessg kedvrt emltsk meg, hogy a rendszerler adatbzist rint
rsi prblkozsok ugyanezzel a mdszerrel, ugyangy vgzik, egy szintn
elklntett terleten (HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\{a_user_SIDje}\Software).
156
De mi trtnik, ha az IE7 mgis ki akarja olvasni ezt az elklntett, virtualizlt tartalmat, azaz pl. egy rendszergazda szeretne egy ActiveX-vezrlt telepteni? Egy n. broker processz beavatkozik, azaz megerstst kr a folytats eltt, s jn az ismers UAC-prompt s a felhasznli interaktivits.
A sznfalak mgtt a Vista tovbbi mappkat is ltrehoz a vdett md
mkds kiszolglsa cljbl, azaz a bngsz rendszeres hasznlatval a
kvetkez, szintn csak alacsony integritsi szinten lv mappkat tlthetjk
meg fjlokkal, a szoksos bngsz mappk helyett:
Temp: %LocalAppData%\Temp\Low
Cookies: %AppData%\Microsoft\Windows\Cookies\Low
History: %LocalAppData%\Microsoft\Windows\History\Low
A vdett md alaprtelmezs szerint be van kapcsolva az Internet, Helyi intranet (Local intranet) s Tiltott helyek (Restricted sites) znkban (a Megbzhat helyek (Trusted sites) znban teht nem), a bekapcsolt llapotot pedig
egy, az llapotsorban lthat ikon jelzi.
A vdett md alaprtelmezsknt aktv, kikapcsolsa hacsak nem abszolt megbzhat helyen, pldul cges intraneten bngsznk nem ajnlott, mr csak azrt sem, mert ekkor az
IE automatikusan a kzepes integritsi szintre kapaszkodik fel.
157
Az gyfelek biztonsga
Tanstvny-ellenrzs
Az rvnytelen tanstvnnyal rendelkez oldalak megltogatsakor eddig is
kaptunk figyelmeztetst, most azonban olyan hangslyos lett a biztonsgi riaszts, hogy az a kezd felhasznlk figyelmt sem kerlheti el. A megbzhat, ers titkostst hasznl oldalak cme mellett egy lakat ikon jelzi a biztonsgos kapcsolatot, a veszlyesnek minstett oldalak cmsora pedig pirosra
vltozik. Az rvnytelen, vagy lejrt rvnyessgi idvel rendelkez tanstvnyt hasznl weblapok tovbbra is megtekinthetk, eltte azonban a felhasznlnak nyugtznia kell, hogy megrtette a kockzati tnyezket s sajt
felelssgre lp be az oldalra.
158
3.26. bra: A zna biztonsgi opcik kztt kiemelve ltjuk az igazn fontosakat
159
Az gyfelek biztonsga
Ha a manulis mdszer mellett dntnk, segtsgnkre lehet, hogy az Internet Explorer piros sznnel megjelli szmunkra a veszlyesnek tlt belltsokat. A znabelltsok kztt olyan jdonsgokat tallunk, mint a felbukkan szkriptelt ablakok tiltsa, a sttuszsor weboldal ltali frisstsnek letiltsa, valamint immr minden egyes ablaknak ktelez jelleggel ltszik a
cm- (URL) s llapotsora. Ezekre a korltozsokra szintn az egyre terjed
adathalsz-tmadsok kivdse miatt van szksg.
160
A Windows Defender
A Microsoft eredetileg a Windows XP-hez kezdte fejleszteni Microsoft AntiSpyware nven kmprogram s trjai-figyel alkalmazst, melynek vgleges verzija a Windows Defender nevet kapta, s vgl a Windows Vistba is
be lett ptve.
A szolgltatsknt fut Defender alaprtelmezsknt engedlyezve van, s
az automatikus, temezett gyorskeress is be van kapcsolva. Az alkalmazs
krtev-adatbzisa az internetrl a Windows Update szolgltats segtsgvel folyamatosan frissl, de a defincis fjlok igny szerint akr manulisan
is letlthetk s telepthetk.
A Windows Defender XP-re telepthet vltozata a kvetkez webcmrl tlthet le: http://
www.microsoft.com/windowsdefender.
A legfrissebb szignatra fjlok pedig a kvetkez Microsoft tudsbziscikken keresztl rhetk
el: http://support.microsoft.com/?kbid=923159)
161
Az gyfelek biztonsga
A Windows Defender az id nagy rszben a httrben, a felhasznl megzavarsa nlkl fut, jelenltre csak akkor figyelhetnk fel, ha valamilyen beavatkozs szksges ekkor a tlca rtestsi terletrl egy buborkzenetet jelent meg, melyben ismerteti a teendket.
162
rendszerkonfigurci vltozsa;
Windows-bvtmnyek teleptse.
163
Az gyfelek biztonsga
164
165
Az gyfelek biztonsga
A BitLocker hasznlathoz specilis mdon kell particionlni a merevlemezt: a rendszerkteten kvl szksg van egy legalbb 1,5 GB mret, aktv, NTFS fjlrendszert hasznl partcira is, melyen a rendszerindt fjlok kapnak helyet ez a ktet nem kerl titkostsra.
A szmtgp BIOS-nak tmogatnia kell az USB-szabvny eszkzkrl val olvasst s rst mg az opercis rendszer betltdse eltti
fzisban.
A BitLocker hromfle mdon alkalmazhat, a kvetkezkben nvekv biztonsgi sorrendben bemutatjuk a titkostsi eljrs lehetsges konfigurciit.
166
Mivel a BitLocker technolgia elssorban a vllalati felhasznlkat clozza, a meghajttitkostst csak a Windows Vista Enterprise s Ultimate vltozatai tmogatjk. Ha rendelkezsre ll a
megfelel konfigurci, a szolgltatst a Control Panel/Security/BitLocker Drive Encryption
menpont alatt kapcsolhatjuk be.
167
Az gyfelek biztonsga
169
Az gyfelek biztonsga
170
A szably hatkrt egyes programokra korltozhatjuk, de egy listbl kivlaszthatunk Windows-szolgltatsokat is. Ha protokoll s port
szerint szrnk, megadhatjuk a protokoll tpust, (illetve szmt), a kapcsolathoz hasznlt helyi s tvoli portok szmt. Ugyangy a helyi, illetve
tvoli IP-cmeket, st akr a hlzati
interfszt is megszabhatjuk, melyek a
kapcsolatban rszt vehetnek, majd
azt kell meghatroznunk, hogy a szably engedlyezze vagy blokkolja az
imnt belltott paramterek szerinti
kapcsolatokat. Ebben a lpsben bellthatjuk, hogy a kapcsolat csak akkor
legyen engedlyezett, ha az titkostott, teht biztonsgos.
Kvetkez lpsknt azokat a hlzati profilokat kell kivlasztanunk, melyekben a tzfalszably l, vgl egy nevet s egy rvid lerst (opcionlis)
kell csatolnunk a szablyhoz. Ugyanezzel a varzslval dolgozunk, amikor
kimen forgalom szablyozst lltjuk be az Outbound Rules (Kimen szablyok) szekciban.
A Windows tzfal mivel MMC konzolbl vezrelhet tvoli szmtgprl felcsatlakozva is
kezelhet, valamint a netsh parancssori eszkzzel is lekrdezhetjk s megvltoztathatjuk a
belltsokat. A tzfal halad belltsainak parancssorbl trtn kezelshez hasznljuk a
netsh advfirewall utastscsoportot.
Az gyfelek biztonsga
172
Az IPSec parancssorbl is kezelhet, ehhez a mr ismert netsh eszkzt alkalmazhatjuk. A netsh IPSec kontextusba val belpshez hasznljuk a netsh -c
ipsec parancsot.
A tzfal MMC-konzol Monitoring (Figyels) trolban megtekinthetjk az
aktulisan aktv s mkd szablyokat, tzfal- s kapcsolatbiztonsg szerint
kln csoportostva. A Security Associations (Biztonsgi trstsok) bejegyzs
alatt az aktv kapcsolatbiztonsgi (IPSec) belltsok kerlnek listzsra.
A kt (valjban csak egy) Windows Vista tzfal
Ebben az eladsban sor kerl a Windows Vistban integrlt tzfal mindkt arcnak bemutatsra, a halad lehetsgeket rszletesen kielemezve.
Fjlnv: I-3-4dWindows-Firewall.avi
173
Az gyfelek biztonsga
Ments s visszallts
A korbbi Windows-verzikkal ellenttben a Vista mentsvel s visszalltsval kapcsolatos feladatokat mr nem az NTBackup-program, hanem a hangzatos nev Backup and Restore Center (A biztonsgi ments s visszallts
kzpontja), illetve az innen elindthat Backup Status and Configuration (Biztonsgi ments llapota s konfigurcija, sdclt.exe) felletrl vgezhetjk el.
174
Ments s visszallts
Restore points (Visszalltsi pontok) a rendszerfjlok s a rendszerkonfigurci mentsre hasznlhat, segtsgvel az opercis
rendszer egy korbbi llapotra trhetnk vissza (a felhasznlk adataira a visszallts nem vonatkozik).
Previous Versions (Elz verzik) a szolgltats elssorban a felhasznlk fjljainak mentsre s visszalltsra hasznlhat, a mentsek
automatikusan trtnnek, a visszalltsi mveleteket pedig maguk a felhasznlk kezdemnyezhetik. (A szolgltats az rnykmsolatokon alapul, amelynek rszletes ismertetse a negyedik fejezetben tallhat.)
Complete PC backup (A teljes szmtgp mentse) a teljes szmtgp lemezkp alap mentse, ami tartalmazza valamennyi ktet valamennyi adatt, vagyis az sszes rendszerfjlt s -belltst, illetve a
felhasznlk fjljait is.
rhat DVD- s CD-lemezek. (A program szksg esetn krni fogja tovbbi res lemezek behelyezst is.)
Az gyfelek biztonsga
A System Restore-szolgltats
A System Restore (Rendszer-visszallts) szolgltats segtsgvel restore
pointokat (visszalltsi pontok) hozhatunk ltre, amelyek lehetv teszik a
rendszer helyrelltst sikertelen frisstsek, szoftver- vagy hardvertelepts, illetve ms vltoztatsok utn. A kvetkezkben ttekintjk a visszalltsi pontokkal kapcsolatos tudnivalkat s belltsi lehetsgeket.
A visszalltsi pont tulajdonkppen a szmtgp egy adott ktetnek (pontosabban a kteten lv rendszer- s programfjloknak, illetve a regisztrcis
adatbzisnak) lemezre mentett pillanatfelvtele, amelynek segtsgvel visszallthat a pillanatfelvtel idpontjnak rendszerkonfigurcija. A System
Restore-szolgltats alaprtelmezs szerint napi temezssel automatikusan
kszti el a helyrelltsi pontokat. A System Restore az adatok mentst ktetenknt vgzi, vagyis a szolgltats az egyes ktetekre engedlyezhet, illetve tilthat. Alaprtelmezs szerint a Vista maximlisan az adott ktet terletnek 15%-t hasznlja a visszalltsi pontok trolsra (a minimlisan
szksges terlet 300 MB), s a szolgltats a rendszert tartalmaz ktet esetben engedlyezve van.
A System Restore-szolgltats ltal mentett adatok az adott ktet System Volume Information
nev mappjban troldnak. Minden egyes visszalltsi pont kln almappba kerl, amelynek neve tartalmaz egy 32 karakter hossz egyedi azonostt (GUID). NTFS-kteteken a mappa
nem rhet el a felhasznlk szmra (mg a rendszergazdknak sem); alaprtelmezs szerint
egyedl a System fik kap jogot a mappa elrsre. Ha szeretnnk tudni, hogy mennyi helyet
foglalnak a System Restore ltal mentett adatok, egy rendszergazda jogosultsggal fut parancssorban adjuk ki a kvetkez parancsot: vssadmin list shadowstorage.
176
Ments s visszallts
Program teleptse megfelel teleptprogram esetn a teleptst megelzen visszalltsi pont kszl. A visszalltsi pont segtsgvel problma esetn helyrellthatjuk a szmtgp teleptst megelz llapott.
3.39. bra: Alaprtelmezs szerint a System Restore csak a rendszert tartalmaz ktet
vltozsait figyeli
Visszalltsi mvelet visszalltsi pont kszl minden visszalltsi pontra trtn visszatrs eltt is, gy knnyen visszavonhatjuk az
elhibzott mveletek hatst.
Alrs nlkli eszkzmeghajt teleptse visszalltsi pont kszl az alratlan, illetve nem minstett eszkzmeghajtk teleptse
eltt. (A minstett meghajtk korbbi llapotnak visszalltsa a
Device Manager (Eszkzkezel) Driver Rollback (Az eszkzmeghajt
visszalltsa) mveletvel lehetsges.)
177
Az gyfelek biztonsga
Problmt okozhat, ha a Windows Vista-rendszer mellett Windows XP is teleptve van a szmtgpen. Ebben az esetben a Windows XP indtsakor a Vista ltal mentett valamennyi visszalltsi
pont (az rnykmsolatokkal egytt) megsemmisl. A jelensgnek oka az, hogy mivel a Windows
XP nem ismeri a Vista ltal ltrehozott visszalltsi pontok formtumt, azt felttelezi, hogy
azok srltek, gy egyszeren trli ket, majd ltrehozza a sajt visszalltsi pontjait.
A Previous Versions-szolgltats
A Previous Versions (Elz verzik) szolgltats a srlt, illetve vletlenl
mdostott vagy trlt fjlok egyszer, a felhasznlk ltal kezelhet visszalltsi lehetsgt biztostja. Egy fjl vagy mappa elz verzija szrmazhat a
Vista beptett mentszoftvervel ltrehozott mentsi fjlbl, vagy rnykmsolatbl, amelyek a visszalltsi pontok rszeknt alaprtelmezs szerint
naponta egyszer kerlnek mentsre (csak vltozs esetn).
Ments s visszallts
Az rnykmsolatokat a rendszer a visszalltsi pont rszeknt, az ott megadott paramtereknek megfelelen menti. Ha a System Restore szolgltats
engedlyezve van (a szolgltats alaprtelmezs szerint csak a rendszert tartalmaz ktetet vdi), akkor a ktet megvltozott fjljairl naponta egy rnykmsolat kszl (termszetesen a nem mdostott fjlokrl nem). Ha tbb
ktetet is szeretnnk vdeni az rnykmsolatok segtsgvel, azokon is engedlyeznnk kell a System Restore-szolgltatst.
Az rnykmsolatok hasznlatval kapcsolatban mindenkppen figyelembe kell vennnk az albbi szempontokat:
rnykmsolat csak a fjlok, illetve mappk megvltoztatsakor kszlnek. Ha egy adott fjl mr hossz id ta vltozatlan, akkor elkpzelhet, hogy egyltaln nem lesznek rnykmsolatai (br ebben az
esetben nincs is szksg rjuk).
A rendelkezsre ll elz verzik megtekintshez kattintsunk a fjlra, illetve mappra az egr jobb gombjval, s vlasszuk a Restore Previous Versions
(Korbbi verzik visszalltsa) menpontot.
Az elz verzik (Previous Versions) hasznlata
Ebben a demban bemutatjuk a Vistba immr alaprtelmezsben integrlt Previous Versions
szolgltats igencsak kellemes elnyeit.
Fjlnv: I-3-5aPrevious-Versions.avi
179
Az gyfelek biztonsga
Complete PC Backup
A teljes szmtgp mentse azt jelenti, hogy a szmtgp kijellt kteteirl
(a rendszerktetrl mindenkppen) lemezkp (disk image) alap msolatot
ksztnk. A lemezkp tartalmazza az adott ktet valamennyi adatt, a rendszerfjlokat s belltsokat, valamint a felhasznlk fjljait is. A mentsi fjl
(vagyis a lemezkp) mrete nagyjbl meg fog egyezni az sszes elmentett
adat eredeti mretvel.
A lemezkpek formtuma a Virtual PC (s a Virtual Server) ltal is hasznlt .vhd (virtual hard disk) formtum, vagyis azok akr egy virtulis gp al
is becsatolhatk.
Mieltt a mentst elvgeznnk, clszer megkeresni s kijavtani a ktet
esetleges hibit (chkdsk), s tredezettsgmentesteni a ktetet. Ha a mentst
msodik merevlemezre szeretnnk elvgezni, NTFS fjlrendszerrel kell megformznunk azt (tmrtett ktetre nem helyezhetjk a mentsi fjlt).
180
Ments s visszallts
181
II. RSZ
A kiszolgl
A msodik rszben a jelenleg aktulis hlzati kiszolgl opercis rendszer, a
Windows Server 2003 R2 kpessgeit ismertetjk, szintn hrom fejezetben.
Kiszolgl a hlzatban
Windows Server 2003 R2
185. oldal
Tartomnyi krnyezet
275. oldal
Hibakeress s -elhrts
339. oldal
A knyv befejez fejezete igazi unikumnak szmt. A hibakeress kapcsn ismertetjk a Windows opercis rendszerek alapszint mkdst, a rendszerindtstl kezdve, a Recovery Console-on keresztl egszen a kk hallig. A fejezet tovbbi rszeiben pedig a Windows hlzatokban elfordul problmk megoldshoz hasznlhat, beptett illetve kls eszkzkrl esik sz.
NEGYEDIK FEJEZET
Kiszolgl a hlzatban
Windows Server 2003 R2
A fejezet tartalma:
Kiszolgl alkalmazsa: elnyk, alapismeretek ............................................ 186
Elkszletek s telepts ................................................................................ 191
A kiszolglk alapszolgltatsai ...................................................................... 201
Hlzati szolgltatsok .................................................................................... 228
Egyb kiszolglkomponensek ......................................................................... 257
A Windows Server 2003 hasznlatval szmos j, jl hasznlhat szolgltats,
s termszetesen szmos megoldand feladat jelenik meg a hlzat s a rendszergazda letben. Br az gyflgpek felgyelete kzben megszerzett ismeretek jelents rsze a kiszolglk zemeltetshez is jl felhasznlhat, rengeteg
j kihvssal is szembe kell nznnk: a kiszolgl szmtgp mind a hardver,
mind pedig az opercis rendszer szintjn jelents jdonsgokat nyjt.
A kvetkezkben megismerkednk a kiszolglk teleptsnek, valamint
az alapszolgltatsok belltsnak s felgyeletnek legfontosabb elemeivel.
Az albbi tmakrket fogjuk megtrgyalni:
A kiszolglk alapfunkcii megismerkednk a Windows kiszolglk alapszolgltatsaival, a fjlok trolsnak s megosztsnak klnfle mdszereivel. Bemutatjuk a Windows Server 2003 R2 verzijban megjelen, a fjl- s nyomtatmegosztssal kapcsolatos legfontosabb jdonsgokat.
Egyb kiszolgloldali sszetevk ebben a rszben rviden ismertetnk nhny tovbbi szolgltatst, majd megismerkednk a Windows
alkalmazskiszolgl platformjval s kt erre pl alkalmazssal is.
186
Kzponti felgyelet kiszolgl (vagy kiszolglk) hasznlatval megvalsthat a teljes hlzat kzponti felgyelete (leginkbb akkor, ha az
Active Directory szolgltatsait is ignybe vesszk). A kzponti felgyelet alapjt kpez csoporthzirend segtsgvel a kiszolglk s gyflgpek belltsait nem egyesvel, hanem a kiszolgln ltrehozott bellts-gyjtemnyek hasznlatval, kzpontilag adhatjuk meg. Ez a megkzelts lehetv teszi azt, hogy valamennyi szmtgp s felhasznl
biztosan megkapja a neki jr belltsokat vagyis az gyflgpek teljesen egysgesen, pontosan a rendszergazda ltal meghatrozott mdon
mkdhetnek , s jelentsen megknnyti a sok szmtgpet, illetve
felhasznlt rint vltoztatsok kezelst is. A kzponti felgyelet rszeknt olyan clszoftvereket is hasznlhatunk (pldul System Center
Esentials 2007 (SCE), System Center Operations Manager 2007
(SCOM), Windows Server Update Services (WSUS), amelyek lehetv
teszik, hogy gyakorlatilag minden, a hlzatot, illetve a szmtgpeket
rint felgyeleti mveletet kzpontilag vgezhessnk el, s a rendszer
mkdst befolysol valamennyi jelents esemnyrl mr a bekvetkezsvel egy idben (st sok esetben elre is) rtesljnk.
187
A kiszolgl feladatai
Hogy valban szksg van-e kiszolgl beszerzsre s zembe lltsra, az
attl is fgg, hogy milyen szolgltatsokat ignyel a hlzat s a felhasznlk.
Ezek kzl bizonyos feladatokat az gyflgpek maguk is ellthatnak, de a
fent felsorolt elnyk miatt, nagyobb ignybevtel, vagy kritikus fontossg
funkci esetn mr mindenkppen rdemes megfontolni a kiszolgl alkalmazst. A kvetkezkben ttekintjk a tipikus kiszolgli feladatokat, s szt
ejtnk arrl is, hogy milyen esetben lehet ezek egy rszt gyflgpre bzni.
188
Fjl-, s nyomtatmegoszts a fjlok s nyomtatk megosztsa a kiszolgl szmtgpek klasszikus funkcija. Ez a funkci ltszlag azonos mdon megvalsthat gyflgpeken is, azonban intenzvebb, biztonsgos s folyamatos hasznlatra ez a megolds mr nem alkalmas,
radsul szmos kiegszt funkci csak kiszolgl opercis rendszer
esetn rhet el. Nagyjbl azt mondhatjuk, hogy az gyflgpek ltal
biztostott fjl- s nyomtatmegoszts az egyetlen szobnyi cgmretig
hasznlhat, mr csak azrt is, mert az gyfelek megosztsaihoz egy
idben maximum tz felhasznl csatlakozhat. A kiszolglk fjl- s
nyomtatmegosztsai elvileg korltlan szm felhasznl kiszolglsra
kpesek, intenzv hasznlat esetn is biztosthatjk a megfelel teljestmnyt, a folyamatos hozzfrst s az adatbiztonsgot, a kiegszt szolgltatsok (rnykmsolatok, elosztott fjlrendszer, mappa alap kvtzs, fjlszrs stb.) pedig sok felhasznl esetn is biztostjk a hatkony
zemeltets feltteleit.
tats teljestmnyt terhelselosztst vgz frt (Network Load Balancing, NLBS) hasznlatval szeretnnk megnvelni. A hlzati terhelselosztst vgz frtk legfeljebb 32 darab Windows-kiszolgl egyestsvel biztostjk a TCP- s UDP-alap szolgltatsok s alkalmazsok mretezhetsgt. A hlzati terhelseloszts segtsgvel pldul
a web- s ftp-kiszolglk, a tvoli elrst biztost VPN-kiszolglk, s
a terminlszolgltatsok teljestmnyt nvelhetjk.
190
Ignyelt szolgltatsok egyltaln nem mindegy, hogy a rendelkezsre ll teljestmnyt milyen szolgltatsok megvalstsra fordtjuk,
bizonyos esetekben a klnfle funkcikat nem ajnlott (esetleg nem is
lehetsges) egyetlen kiszolgln elhelyezni. A vllalat SBS-kiszolglja
(Small Business Server) nem lehet pldul terminlkiszolgl; ha erre a
szolgltatsra is szksgnk van, mindenkppen egy msodik kiszolglt kell zembe lltanunk. Br elvileg lehetsges, de biztonsgi jelleg
problmkat okozhat az, ha a tzfalszoftver (ISA Server) a bels hlzat
ltal ignyelt szolgltatsokkal (tartomnyvezrl, bels DNS-kiszolgl,
Exchange stb.) egy szmtgpen osztozik, mivel ebben az esetben knyszeren nvelnnk kell a tzfalat futtat szmtgp tmadhat fellett (br ez a kifel nz interfszre termszetesen nem vonatkozik). Megfelel hardver esetn azonban ezek a problmk a klnbz virtualizcis technolgik (pldul az ingyenesen hasznlhat Virtual Server
2005) segtsgvel is kezelhetek.
Elkszletek s telepts
Elkszletek s telepts
A kvetkezkben megismerkednk a Windows-kiszolglk klnfle vltozataival, ttekintjk, hogy milyen szempontokat kell figyelembe vennnk a kiszolgl teleptse eltt, s mely krdsekre kell vlaszt tallnunk, mieltt a
teleptlemezt a meghajtba helyezzk. Tulajdonkppen ez a telepts nehezebb rsze; a ksbbi esetleges problmk nagy rsze a tervezsre, (illetve
annak hinyra) vezethet vissza. Megfelel elkszts utn a teleptprogram futtatsa tulajdonkppen mr semmifle problmt nem okozhat.
Windows Server 2003 Datacenter Edition R2 Ez a vltozat biztostja a legmagasabb szint mretezhetsget s rendelkezsre llst,
kritikus zleti megoldsokhoz, nagy mennyisg real-time tranzakcihoz, szerverkonszolidcihoz hasznlhat. A Datacenter Edition 32bites s 64-bites vltozatban is ltezik. A 32-bites vltozatban minimum 8, maximum 32 processzor s 128 GB RAM hasznlhat, a 64bites vltozat pedig maximlisan 2 TB memria s 64 processzor kezelsre kpes. A Datacenter Edition persze nem kaphat akrmelyik
boltban (st nmagban sehol sem), a Microsoft ezt a vltozatot csak
specilis, tbbnyire igen nagy teljestmny, testreszabott hardverkonfigurci rszeknt rtkesti.
Windows Server 2003 Enterprise Edition R2 Kzepes s nagyvllalati krnyezetben kpes a hlzati infrastruktrhoz tartoz valamennyi fontos szolgltats biztostsra, kivlan hasznlhat vllalati alkalmazsok, s elektronikus kereskedelmi rendszerek httereknt. A 32-bites vltozat 64 GB, a 64-bites pedig 2 TB RAM kezelsre
kpes, s mindkt vltozat 18 processzoron hasznlhat.
191
Windows Server 2003 Standard Edition R2 Kisvllalati s telephelyi krnyezetben kpes az alapvet hlzati s alkalmazsszolgltatsok biztostsra. A Standard vltozat maximum 4 processzor hasznlatt tmogatja, s 4 GB a hasznlhat RAM fels hatra.
Windows Server Web Edition Dediklt webkiszolgl, feladata weboldalak, webalkalmazsok s webszolgltatsok htternek biztostsa.
A kiszolgl kifejezetten webes alkalmazsokhoz van optimalizlva, tartalmazza az ehhez szksges alapvet felgyeleti s biztonsgi funkcikat.
Egy- s ktprocesszoros gpekre telepthet, s 2 GB RAM kezelsre kpes (egyb korltozsokkal is tallkozhatunk hasznlatakor).
192
Microsoft Exchange Server 2003 SP2, Standard Edition csoportmunka, internetes levelezs.
Remote Web Workplace (Tvoli webes munkahely) a legfontosabb szolgltatsok interneten keresztl trtn elrse.
Windows Small Business Server 2003 Premium Edition A Premium Edition minden korltozsa megegyezik a Standard vltozatval, de dobozban a fentieken kvl a kvetkez komponenseket is
megtallhatjuk:
Elkszletek s telepts
~ 2 v
Windows
Server
2003
Windows
Server
2003
R2
Windows
Server
2008
Windows
Server
2008 R2
Vienna
Vienna
Server
A telepts elkszletei
A kiszolgl teleptsnek megkezdse eltt (klnsen, ha egy kisvllalat els
kiszolgljrl van sz) rengeteg krlmnyt kell figyelembe vennnk, hogy j
dntseket hozhassunk, s a bezemelt szmtgp bevlthassa a hozz fztt
remnyeket. Nagyon fontos, hogy minden lnyeges krlmnyt tisztzzunk elre,
vagyis mg a telepts megkezdse eltt. Alapos tervezssel egy rugalmas s tlthat, knnyen kezelhet s a cg ksbbi, akr nem tervezett ignyeinek is
megfelel rendszert hozhatunk ltre. A kvetkezkben felsoroljuk azokat az alapvet szempontokat, amelyek az elkszts sorn figyelmet rdemelnek.
193
Minimlis kvetelmny
Processzor
RAM
256 MB
Merevlemez
Optikai meghajt
Kperny
Egyebek
Hlzati csatol
194
Tbb processzor a processzorok szmnak nvelsvel ltalban jelents teljestmnynvekeds rhet el, mivel ebben az esetben az erre
felksztett programok tbb processzor egyidej hasznlatval prhuzamosthatjk mkdsket, illetve az egyes alkalmazsok is tbb processzoridt kaphatnak.
Elkszletek s telepts
Elzetes hibafelderts
A minimlis hardverkvetelmnyek betartsn kvl nmi figyelmet kell fordtanunk hardvereszkzeink, illetve alkalmazsaink kompatibilitsra is. A hardvereszkzk elzetes vizsglatra a Hardware Compatibility List (Windowshardverkompatibilitsi lista) weboldalt (http://www.microsoft.com/hcl), illetve a
teleptlemezen tallhat hcl.txt fjlt is hasznlhatjuk. Termszetesen, mg a
kompatibilis eszkzk esetben is gondoskodnunk kell a legfrissebb meghajtprogramok beszerzsrl, illetve esetleg a szmtgp BIOS-nak frisstsrl is.
Ha a szmtgpen mr van valamifle Windows opercis rendszer, akkor alkalmazsaink s a meghajtprogramok kompatibilits-vizsglatt a teleptprogram nyitkpernyjrl indthat kompatibilits-vizsgl program
segtsgvel is elvgezhetjk. A program segtsgvel automatikus vizsglatot
indthatunk, amelynek eredmnyeknt listt kapunk a problms alkalmazsokrl, illetve meghajtprogramokrl.
A programot elindthatjuk a teleptprogram futtatsa nlkl is, ha a teleptlemez \i386 mappjban kiadjuk a winnt32 /checkupgradeonly parancsot.
Aktv internetkapcsolat esetn a telepts, vagy a kompatibilits-vizsglat
kzben is frissthetjk a rendszerben tallhat meghajtprogramokat, st a teleptprogram ltal hasznlt rendszerllomnyokat is.
195
196
Elkszletek s telepts
Lemezparticionls s fjlrendszer
Mg a telepts megkezdse eltt tervezzk meg a ltrehozand partcik mrett s a hasznland fjlrendszert. Kiszolglnk teljestmnyt jelentsen
megnvelheti, ha az opercis rendszert s az adatokat kln lemezmeghajtn (vagy legalbb kln partcin) troljuk. Tbb lemezegysg hasznlatval
az idignyes rsi/olvassi mveletek prhuzamosan hajthatak vgre. Szintn teljestmnynvel hats, s az adatok elvesztsnek eslyt is cskkenti, ha a tbb lemezt tartalmaz kiszolglk esetben hibatr kteteket hozunk ltre (tkrztt s RAID-5 ktetek) dinamikus lemezekkel. Szoftveres
RAID-5 ktetek ltrehozhatk az opercis rendszer Lemezkezels eszkzvel, de vlaszthatunk hardveres megoldst is.
A rendszert tartalmaz partci mrete termszetesen ersen fgg a hasznland szolgltatsok mennyisgtl, de ezen nem nagyon rdemes takarkoskodni. 10 GB-nl kisebb rendszerpartcit csak komoly knyszert eszkzk hatsnak engedve hozzunk ltre, de a 15-20 GB sem tlzs, ha azt szeretnnk, hogy ne kelljen zavarba jnnnk egy-egy kiegszt komponens,
vagy javtcsomag teleptsekor, elfrjen a lapozfjl stb. Szintn clszer
elre tgondolni azt, hogy fogunk-e hasznlni olyan komponenst, amelyhez
nll partcira van szksg. Ilyen lehet pldul (nagyon sok vrhat objektum esetn) a cmtr, vagy pldul a WSUS-kiszolgl.
A rendszer szmra kivlasztott partci formzst mindenkppen NTFS
fjlrendszer hasznlatval vgezzk el, st ersen ajnlott az sszes tbbi
partcit is ilyen mdon formzni. Az NTFS fjlrendszer hasznlata szmos
elnnyel jr, ezek kzl csak a legfontosabbakat soroljuk fel:
Az NTFS ltal biztostott jogosultsgi rendszer a megosztsok hasznlatakor is elnys, mivel segtsgvel nemcsak mappk, hanem egyedi fjlok szintjn is szablyozhat a hozzfrs.
NTFS fjlrendszer esetn mkdik a lemezmveletek helyrelltsi naplzsa, amelynek segtsgvel a fjlrendszer kpes az adatok ramsznet,
vagy ms rendszerproblmk utni helyrelltsra, gy nem kell ers izgalmi llapotban jraindtanunk a kiszolglt egy vratlan lells utn.
Hlzati paramterek
Gondolkodjuk el elre (s lehetleg rjuk is fel az eredmnyt) a klnfle hlzati paramtereken. Mi legyen pldul a szmtgp, vagy a tartomny neve?
Mivel a TCP/IP-protokollkszlet ktelez elem a Windows Server 2003 esetn
is, nem rt, ha elre tisztzzuk, hogy mely hlzati interfsz milyen mdszerrel fog IP-cmet kapni. Ha statikus belltst hasznlunk (ez a klnbz kiszolgl komponensek miatt sok esetben ktelez), akkor mi legyen az IP-cm,
az alaprtelmezett tjr (ha szksges egyltaln), mi a DNS- vagy WINS
kiszolgl(k) cme a vlasztott nvfelolds tpustl fggen stb. Felttlenl
clszer elre tisztzni a fentieket, mivel gpnk mr a telepts kzben (de
legksbb az els bejelentkezskor) hasznlni fogja ezeket az adatokat, gy
sok mlhat a megadott rtkeken.
198
Elkszletek s telepts
Ha a telept lefutott
A telept sikeres lefutsa esetn azonban mg nem vagyunk kszen: ellenriznnk kell a hardver s szoftvereszkzk megfelel mkdst. Teszteljnk mindent! Kezdjk a Device Managerrel (Eszkzkezel), bizonyosodjunk meg rla,
hogy a Windows valban helyesen felismerte s teleptette a szmtgpben lv
hardvereszkzk meghajtprogramjait, klns tekintettel a hlzati csatolkra.
Nzzk t az Event Viewer (Esemnynapl) klnfle bejegyzseit! Ha
mr ebben a szakaszban sorozatos hibkat tallunk, akkor annak mindenkppen utna kell nzni.
Ha frisstett kiszolglrl van sz, akkor prbljuk meg elindtani valamennyi rklt alkalmazst, amit az j gpen is hasznlni szeretnnk!
Vizsgljuk meg rszletesen a hlzati kapcsolatot! Elrhet minden, aminek elrhetnek kell lenni? Van nvfelolds (ha kellene lennie)? Az gyfelekrl elrhet a kiszolgl? A hlzaton kvlrl elrhet minden, aminek elrhetnek kell lennie? Esetleg olyasmi is elrhet, ami inkbb nem kne?
Ha minden rendben van, akkor a kiszolgl teleptsnek els rszvel kszen vagyunk. Azrt csak az els rsszel, mert amit kaptunk, az mg csak egy
res vz, a tovbbiakban ki kell vlasztanunk, s fel kell teleptennk azokat
a szolgltatsokat, amelyekre a vllalatnak s a felhasznlknak (s persze a
rendszergazdnak) szksge van.
199
200
A kiszolglk alapszolgltatsai
A kiszolglk alapszolgltatsai
Ebben a szakaszban megismerkednk a kiszolgl szmtgpek klasszikus
funkciival: a fjlok s nyomtatk megosztsval. Elsknt ttekintjk a lemezkezelshez kapcsold fogalmakat, megismerkednk az alap- s dinamikus lemezekkel, a tkrztt, cskozott, s RAID-5 ktetekkel, a GUID partcis
tblval, az NTFS-tmrtssel s a hagyomnyos lemezkvtkkal.
Ezutn kvetkeznek a fjlok trolshoz, kezelshez kapcsold kiegszt
szolgltatsok: a Removeable Storage (Cserlhet trol), a Remote Storage
(Tvtrol) s a Storage Area Network (Trolhlzatok).
Szt ejtnk a fjlok megosztshoz kapcsold alapszolgltatsokrl, a
Shadow Copies-rl (rnykmsolat) s a Distributed File System-rl (Elosztott fjlrendszer). Vgl kvetkezhetnek az R2 verziban megjelen jdonsgok: a File Server Resource Manager, FSRM (Fjlkiszolgli erforrs-kezel),
s a Print Management Console, PMC (Nyomtatskezel).
Fjlkiszolgl szolgltatsok
Mieltt hozzltnnk a fjlkiszolglk alapszolgltatsaink ismertetshez,
felttlenl tisztznunk kell, hogy az gyflgpeken elrhet megosztott mappk szolgltatsai kzel sem azonosak a kiszolgl ltal megvalsthat fjlmegosztssal. A fjlkiszolgl egyrszt a szolgltatsok s felgyeleti lehetsgek szintjn is jelents tbblettel rendelkezik, msrszt a kiszolgl szmtgp jellemzen nagy CPU-teljestmnnyel, sok memrival, lemezterlettel
s hlzati svszlessggel rendelkezik, vagyis kpes sok egyidej krs kiszolglst is megfelel sebessggel elvgezni.
A fjlkiszolglk alapszolgltatsai
Ebben a screencastban ttekintjk a fjlkiszolglk kezelshez kapcsold legfontosabb eszkzk hasznlatt.
Fjlnv: II-1-1afajlszerver-alapok.avi
201
202
Egyszer ktet (Simple volume) az egyszer ktetek egyetlen dinamikus lemezen helyezkednek el. llhatnak a lemez egy meghatrozott terletbl, illetve a lemez tbb klnll terlett is sszekapcsolhatjuk egyetlen dinamikus ktett. Ha a ktet nem rendszer- vagy
rendszerindt ktet, akkor az egyszer ktet a lemezen bell tetszs
szerint bvthet. Lehetsg van msik lemezre kiterjed bvtsre is,
m ebben az esetben a bvtssel egytt az egyszer ktet tnyl ktett alakul. Az egyszer ktetek nem hibatrk.
A kiszolglk alapszolgltatsai
RAID-5 ktet (Redundant Array of Inexpensive Disks, olcs merevlemezek redundns tmbje) RAID-5 ktet esetn a trolt hasznos adat s a
helyrelltshoz szksges paritsadatok hrom, vagy tbb fizikai lemezen elosztva troldnak. Ha valamelyik fizikai lemez meghibsodik, a
203
Hardveres RAID-megoldsok
Hardveres RAID esetn a redundns adatok ltrehozst s a srlt adatok javtst egy nll, intelligens lemezvezrl vgzi. A hardveres megoldsok legfbb elnye, hogy teljes mrtkben mentestik az opercis rendszert a lemezkezels feladataitl, st az opercis rendszer egyltaln nem is tud a vals, fizikai lemezkonfigurcirl, a Lemezkezelben ltalban csak egy kznsges
alaplemezt tallunk. Az opercis rendszer szintjn megjelen fizikai lemez tulajdonkppen mr csak a RAID-vezrl ltal ltrehozott logikai lemez, a valsgos fizikai elrendezst a vezrlkrtya eltakarja az opercis rendszer ell.
Ebben az esetben a Lemezkezelben egyltaln nem clszer mg dinamikus
lemezek ltrehozsa sem, a lemezekkel kapcsolatos valamennyi belltst a vezrlkrtya szoftveres belltfelletn kell megadnunk. Hardveres RAIDmegoldsok olyan rendszerekben is hasznlhatk, amelyek szoftveresen nem
tmogatjk ezek hasznlatt (pldul Windows XP).
A hardveres RAID-eszkzk ltalban sajt BIOS-vezrlprogrammal, s
nll konfigurcis programmal rendelkeznek. A logikai lemezek ltrehozst s a klnfle belltsok megadst (cskozs, tkrzs, RAID-5 stb.)
ezekkel a programokkal vgezhetjk el.
A hardveres RAID-megolds tovbbi nagy elnye, hogy a tmb valamelyik
merevlemeznek meghibsodsa esetn a csere akr a szmtgp lelltsa
nlkl is elvgezhet (Hot Swap), gy a klnfle karbantartsi mveletek
nem okoznak kiesst.
Ha a Windowst RAID-vezrlvel felszerelt szmtgpre teleptjk, specilis
eszkzmeghajt-illesztprogramra lehet szksg ahhoz, hogy az opercis rendszer elrje a szmtgpben lv lemezeket. A meghajtprogramot a Windows
teleptsnek elejn, az F6 billenty megnyomsa utn telepthetjk, mghozz
kizrlag hajlkonylemezrl. Bizonyos RAID-vezrlk illesztprogramjt a
Windows beptetten tartalmazza, ha ilyet hasznlunk, akkor a fenti problma
nem jelentkezik.
204
A kiszolglk alapszolgltatsai
GPT-lemezek
A GPT (GUID Partition Table, globlisan egyedi azonostk partcis tblja) az
EFI (Extensible Firmware Interface, bvthet bels vezrlprogram-fellet)
csatol ltal az Itanium-alap szmtgpeken hasznlt lemezparticionlsi
sma. A GPT szmos elnys tulajdonsggal rendelkezik az MBR-en alapul
particionlssal szemben, az ilyen lemezeken pldul lemezenknt akr 128
partcit is ltrehozhatunk, s ezek mindegyike akr 18 exabjt (azaz 18 milli
GB) mret is lehet. A jobb hibatrs rdekben a partcis tbla kt pldnyban troldik, de az MBR-particionls lemezektl eltren nem particionlatlan vagy rejtett szektorokban, hanem magukban a partcikban.
A GPT-lemezek a Windows valamennyi 64-bites vltozatban hasznlhatk. A GPT-lemezek a Lemezkezels programban is az MBR-lemezektl jl
megklnbztethet mdon, GPT-lemezekknt jelennek meg.
A Cserlhet trol a felgyelete alatt ll sszes adathordozt adathordozkszletekbe rendezi. A Cserlhet trol MMC segtsgvel az adathordozk
thelyezhetk egyik adathordoz-kszletbl a msikba, gy biztosthatjuk, hogy
az egyes alkalmazsok ltal ignyelt adattrol-kapacits rendelkezsre lljon.
A kiszolglk alapszolgltatsai
Trolhlzatok tmogatsa
A trolhlzatok (Storage Area Network, SAN), a tnyleges trolsi kapacitst biztost lemezmeghajt-alrendszerekbl, a kztk lv specilis hlzatbl, s a szmtgpek kapcsoldst lehetv tev elemekbl llnak. A merevlemezeket tartalmaz alrendszerek kztt igen gyors hlzati kapcsolat
van, a kiszolglk szmra pedig elmletben a teljes trolkapacits egyetlen
darabban elrhet. Jl megtervezett hlzat esetn a sebessg s a j kapacits-kihasznls mellett elny lehet a megnvekedett biztonsg is, mivel a trolhlzat egyes elemei akr fldrajzilag is elklnthetek egymstl, gy
megfelel redundancia esetn elre nem lthat katasztrfa bekvetkeztekor
is garantlhatja az adatok biztonsgt.
A kiszolglk s a troleszkzk kztti kapcsolat ltalban az SCSI vagy a
Fibre Channel (szlcsatorna) interfszeken alapul, de mindkettnek ltezik
TCP/IP-felletet hasznl vltozata is. Az iSCSI csatolfellet segtsgvel az
SCSI-parancsok TCP/IP-hlzaton vihetk t, gy lehetv vlik a nagy kiterjeds SAN-hlzatok ltrehozsa. A trolhlzat kiptse ltalban viszonylag nagy kltsggel jr, de a hagyomnyos megoldsokhoz kpest rugalmasabban hasznlhat, nagyobb kihasznltsggal zemelhet s jobban bvthet.
A SAN sajt lemezvezrlvel rendelkezik, ami eltakarja a lemezek fizikai
paramtereit, gy azok a kiszolglk szmra logikai egysgekknt (Logical
Unit Number, LUN) rhetk el. A logikai egysgek tulajdonkppen a trolsi
alrendszerek egyes rszeire mutat hivatkozsok. Egy logikai egysg llhat
egy teljes lemezbl, egy lemezrszbl, egy teljes lemeztmbbl vagy a lemeztmb egy rszbl. A Trolhlzati trkezel (Storage Manager for SANs) a
trolhlzat szlcsatorns s iSCSI rendszer lemezmeghajt-alrendszereihez tartoz logikai egysgek ltrehozsra s kezelsre szolgl.
207
A kvetkez lers a hagyomnyos, R2 eltti kvtarendszerre vonatkozik. Az R2-ben megjelent mappa alap kvtzs (amelyet ksbb szintn bemutatunk) lnyegesen jobban s rugalmasabban hasznlhat. Az R2-ben megmaradt azonban a rgi kvtarendszer is.
Miutn egy kteten engedlyezzk a kvtahasznlatot, a rendszer folyamatosan nyomon kveti az elfoglalt terlet nagysgt, s a belltott hatrrtkek
elrsekor naplzza az esemnyt, illetve a belltsoktl fggen az adott felhasznl szmra megakadlyozza a tovbbi helyfoglalst.
A kiszolglk alapszolgltatsai
lthat belltlapon megadott rtkek minden felhasznlra egysgesen vonatkoznak, de a Quota Entries (Kvtabejegyzsek) gomb megnyomsval megjelenthet listban mr egyedileg mdosthatjuk a felhasznlkra vonatkoz hatrrtkeket, s ellenrizhetjk az aktulis terletfoglalst.
Megadhatjuk azt is, hogy a felhasznlk tllphessk a belltott kvtt.
Ennek akkor van rtelme, ha nem akarjuk ugyan korltozni a lemezhasznlatot, de szeretnnk folyamatosan figyelemmel ksrni az egyes felhasznlk
ltal elfoglalt terletet.
4.7. bra: Minden fjl a tulajdonos kvtjt terheli, de a rendszergazdnak tbbnyire nincs
flnivalja
Fontos hangslyozni, hogy a korltozs az egy adott felhasznl ltal a kvtval vdett kteten trolt fjlok sszestett mretre vonatkozik, fggetlenl
attl, hogy a fjlok melyik mappban vannak. A fjl annak a felhasznlnak
a kvtjt terheli, aki a fjl tulajdonosa, vagyis aki ltrehozta azt a kteten
(pldul tmozgatta oda egy msik ktetrl). Egy fjl tulajdonost a fjlhoz
tartoz tulajdonsglap Biztonsg (Security) lapjn, a Specilis (Advanced)
gomb megnyomsval jelenthetjk meg.
Az NTFS-tmrts hasznlatval a felhasznlk nem kerlhetik el kvtjuk tllpst, mivel a tmrtett fjlokat a rendszer a tmrtetlen mretk
alapjn szmtja be az sszestsbe.
209
Vletlenl trlt fjlok visszalltsa A trlt fjlok korbbi vltozatai megnyithatk s jra elmenthetk.
Fjlok klnbz vltozatainak sszehasonltsa A tlszerkesztett fjlok korbbi vltozatai kzl a felhasznlk kivlaszthatjk azt
az llapotot, amikor a fjl mg megfelel volt.
210
A kiszolglk alapszolgltatsai
211
A kivlasztott ktetre engedlyezhetjk, illetve tilthatjuk az rnykmsolatok ltrehozst, a Kszts most (Create Now) gombra kattintva pedig nem
ksztnk msolatokat, csak azt lltjuk be, hogy mostantl a vltozsokrl
(ha vannak vltozsok) jra kszljn egy rnykmsolat-pldny. Lehetsg
van a mr meglv msolatok trlsre is.
A Belltsok (Settings) gombra kattintva megadhatjuk a kivlasztott ktetre
vonatkoz mretkorltozsokat, s tllthatjuk az alaprtelmezett temezst.
212
A kiszolglk alapszolgltatsai
Rgebbi gyflrendszerek esetn az rnykmsolat szolgltats hasznlathoz szksg van a megfelel gyflszoftver teleptsre is, de a Windows XP
s Windows Vista rendszerekben a szoftver gyrilag benne van. Ha mgis
szksg lenne az gyflprogramra, a teleptt a kiszolgl %SYSTEMROOT%
\system32\clients\twclient mappjban tallhatjuk meg.
Az rnykmsolatok gyfloldali nzett a megosztott mapphoz tartoz
Tulajdonsgok (Properties) panel Elz verzik (Previous Versions) lapjn rhetik el a felhasznlk.
Itt a megjelen dtum s id alapjn kivlaszthat a mappa elrhet rnykmsolatai kzl a megfelel, amellyel a kvetkez mveletek vgezhetk el:
View (Megtekints) a msolat egy kln ablakban nylik meg, gy megtekinthet annak tartalma, s sszehasonlthat a jelenlegi llapottal.
Restore (Visszallts) a gomb megnyomsa utn a kivlasztott msolat fellrja a mappa jelenlegi vltozatt.
213
214
A kiszolglk alapszolgltatsai
215
Ha a tvoli telephelyek s a kzpontban lv kiszolglk kztt biztonsgos s nagyon kis svszlessget ignyl fjlreplikcira van szksg.
216
A kiszolglk alapszolgltatsai
Ez teht azt jelenti, hogy a replikci nem a teljes fjlok, hanem a viszonylag kismret chunkok szintjn trtnik, vagyis az RDC tulajdonkppen nem a
fjlokat, hanem csak a vltozst repliklja. St az RDC mg arra is kpes, hogy
ha tbb fjlon bell vannak azonos tredkek (pldul egy kiss mdostott s
ms nven elmentett fjl esetn), akkor a vltozatlan tredkeket a teljesen j
fjlok ltrehozshoz is felhasznlja. A nagy fjlok mdostsai (pldul egy
Outlook postafikfjl (pst) esetn) ltalban csak nhny tredket rintenek,
vagyis ilyen mdon igen jelents svszlessg megtakarts rhet el.
A Microsoft mrsei szerint pldul egy 3,5 MB-os PowerPoint-bemutat
egyik cmsornak megvltoztatsa utni replikci a teljes fjl msolsval jr 3,5 MB forgalom helyett mindssze 16 kB hlzati forgalmat eredmnyezett.
A DFS-R tartomnyvezrlk esetn nem vltja ki a fjlreplikcis szolgltatst
(File Replication Service, FRS), hanem vele prhuzamosan mkdik.
File Screening Management (Fjlszrskezels) az egyes mappkban trolhat fjltpusokat (a fjlok neve, illetve kiterjesztse alapjn)
korltoz szablyokat adhatunk meg.
Storage Reports Management (Trolsi jelentsek kezelse) rszletes jelentseket kaphatunk az llomnyokrl, a lemezhasznlatrl, a
foglaltsgrl stb.
217
Kvtakezels
A Windows Server 2003 R2 verzijnak egyik jdonsga a mappa alap kvtzs lehetsge. Az j kvtarendszerrel az egyes mappk mrett korltozhatjuk a benne lv fjlok tulajdonostl fggetlenl.
A trterlet limitlsa teht ebben az esetben nem ktetenknt s felhasznlnknt, hanem az egyes mappk szintjn trtnik. Minden mapphoz hozzrendelhetnk egy limitet, ami a mappba helyezhet fjlok (s almappk)
sszestett mretnek fels korltja lesz.
A hatrrtkeknek kt tpust adhatjuk meg: a szigor (Hard) kvta tnyleges korltozst jelent, mg az enyhe (Soft) hatrrtk az elfoglalhat terlet
tnyleges limitlsa nlkl aktivlja a hatrrtkhez rendelt esemnyeket,
vagyis a terlethasznlat megfigyelsre alkalmas.
A kvtarendszer szorosan egyttmkdik az NTFS fjlrendszerrel, gy
termszetesen csak NTFS-kteteken hasznlhat.
218
A kiszolglk alapszolgltatsai
Hard kvta esetn a hatrrtk elrsekor az I/O-mveletek szintjn akadlyozza meg a tovbbi helyfoglalst, vagyis a kvta tllpse a legkisebb mrtkben sem lehetsges. A kvta nem a fjlok logikai mrett, hanem minden
esetben az adott mappn belli tnyleges lemezfoglalst veszi alapul, vagyis
a klnfle specilis llomnyok (tmrtett fjlok, hard linkek, felcsatolt
mappk) beszmtsa is ennek alapjn trtnik.
Minden egyes hatrrtk esetn, a hatrrtk szzalkaknt adhatjuk
meg azokat a foglaltsgi szinteket, amelyek elrsekor a bellthat tevkenysgek valamelyikt el szeretnnk vgezni. Az esemnyekhez kapcsolhat
tevkenysgek a kvetkezk lehetnek:
E-mail kldse a rendszergazdnak, illetve az esemnyt kivlt felhasznlknak. A felhasznlk esetben a rendszergazda adhatja meg
az elkldend levl szvegt is.
A sablonos mdszer hasznlata azrt is ajnlott, mert a sablon mdostsakor lehetsgnk van arra, hogy ezt a mdostst utlag rvnyestsk a sablon alapjn ltrehozott kvtkra is. Mdosthatjuk csak azokat a kvtkat,
amelyek teljesen megfelelnek az eredeti sablonnak (vagyis amelyikben nincsenek egyedi mdostsok), de hozzigazthatjuk az sszes kvtt sablonjnak vltozsaihoz. Ha gy dntnk, akkor a sablonban megadott belltsokkal fellrhatunk minden egyedileg megadott kvtatulajdonsgot (nem csak
azokat, amelyeket a sablonban mdostottunk).
A mappk korltjt rugalmas (vagyis hatrrtk elrshez rendelt parancs ltal ideiglenesen megnvelt) korltknt is megadhatjuk, gy az rintett
felhasznlk e-mailben rtestst kaphatnak a tllpsrl, s azonnal nekilthatnak a szksgtelen fjlok trlsnek.
220
A kiszolglk alapszolgltatsai
Bellthatjuk azt is, hogy a rendszer ne korltozza ugyan egy mappa mrett,
de kldjn rtestst egy megadott e-mail cmre, ha a mret elr egy meghatrozott rtket. Nem clszer pldul a klnfle szolgltatsokhoz tartoz
ideiglenes mappk mrett korltozni (mert esetleg egy csendes htvgn
emiatt lellhat az adott szolgltats), de fontos lehet, hogy a rendszergazda
azonnal tudomst szerezzen rla, ha a mappa mrete a szoksos s elfogadhat rtk fl emelkedik.
Az j kvtarendszer termszetesen nemcsak a rgi helyett, hanem mellette is hasznlhat, akr ugyanarra a trterletre is rvnyeslhet mindkt
korltozsi szemllet.
221
222
A kiszolglk alapszolgltatsai
A fjlszrs segtsgvel a rendszergazda biztosthatja pldul, hogy a felhasznlk a kiszolgln trolt, s rendszeresen szalagra mentett szemlyes mappikat ne hasznlhassk klnfle mozifilmek s mp3 fjlok trolsra, gy megakadlyozhatja a trterlet s a mentsi kapacits szksgtelen ignybevtelt.
Megadhatunk olyan szrsi belltsokat is, hogy a rendszer ne tiltsa le
pldul a vgrehajthat fjlok megosztott mappkba msolst, de az ilyen
esemnyekrl a rendszergazda kapjon e-mail rtestst a msolst vgz felhasznl s a megfigyelt fjl adataival.
Trolsi jelentsek
A trolsi jelentsek segtsgvel rszletesen figyelemmel ksrhetjk a fjlkiszolgl merevlemezein trolt adatokat. A legtbb jelents paramterezhet (a
paramterek termszetesen tpusonknt klnbzk), gy egyedileg hatrozhatjuk meg, hogy pontosan mit tartalmazzon az adott jelents. Bellthatjuk pldul, hogy mely ktetekrl vagy mappkrl kszljn a jelents, illetve megadhatunk klnfle feltteleket a jelentsbe kerl bejegyzsekre vonatkozan.
A jelentsek temezetten, illetve igny szerint azonnal is elllthatk a
megadott belltsok alapjn. Fggetlenl az elllts mdjtl, a rendszer a
megadott formtumban (HTML, XML, CSV, vagy egyszer szveg) mentst is
kszt az egyes jelentsekrl. A mentett jelentseket alaprtelmezs szerint a
%SYSTEMDRIVE%\StorageReports\ mappa almappiban tallhatjuk meg,
de a trolmappa az FSRM belltlapjn megvltoztathat. A fjlok nevbl
megllapthat a jelents tpusa s a kszts pontos dtuma is.
224
A kiszolglk alapszolgltatsai
Nagymret fjlok (Large Files) a jelents segtsgvel azonosthatjuk azokat a fjlokat, amelyek nagyobbak a paramterknt megadott mretnl.
Fjlok fjlcsoport szerint (Files by File Group) a jelents a paramterknt megadott fjlcsoportokhoz tartoz fjlokat tartalmazza. A kivlaszthat fjlcsoportok megegyeznek a fjlszrs szakaszban megadott
csoportokkal.
225
Legrgebben hasznlt fjlok (Least Recently Accessed Files) a jelents a paramterknt megadott idtartamnl rgebben hasznlt fjlokat sorolja fel.
Legutbb hasznlt fjlok (Most Recently Accessed Files) az elz jelents ellentte, vagyis azok a fjlok szerepelnek benne, amiket a megadott idpont ta valaki megnyitott.
Kvtahasznlat (Quota Usage) a jelents azokat a kvtkat tartalmazza, amelyek kihasznltsga magasabb a megadott szzalknl. A jelents
csak a Fjlkiszolgli erforrs-kezel ktetei s mappi szmra ltrehozott kvtkat tartalmazza, a hagyomnyos NTFS-kvtkat nem.
226
A kiszolglk alapszolgltatsai
A Nyomtatskezel konzol hasznlata
Ebben a screencastban a Windows Server 2003 R2 nyomtatkkal kapcsolatos j s szleskren
hasznlhat komponenst, a Nyomtatskezel konzolt prbljuk ki.
Fjlnv: II-1-1dPMC.avi
227
A program futtatst a szmtgphez, illetve felhasznlhoz tartoz bejelentkezsi parancsfjlbl kezdemnyezhetjk, clszer ezt is megadni a
nyomtatbelltst tartalmaz csoporthzirend objektumban. Windows Vista
gyflgp esetn a program futtatsra mr nincsen szksg (termszetesen
a leend ksbbi rendszerek esetn sem fog kelleni).
Hlzati szolgltatsok
A kvetkezkben a Windows Server 2003 klnfle hlzati szolgltatsaival
fogunk megismerkedni. Egy rvid ismtls utn ttekintjk a hlzathoz
csatlakoz szmtgpek TCP-IP konfigurcijnak kzponti megadsra alkalmas DHCP-szolgltatst, majd rviden ismertetjk a korbbi Windows
rendszerekben hasznlt nvfeloldsi mdszert, a WINS-szolgltatst.
Ezutn kvetkezik a Windows-hlzatok tvoli elrst, s klnfle tvlasztsi szolgltatsokat biztost RRAS-szolgltats, vgl pedig a Windows
felhasznli felletnek tovbbtsra kpes Terminlszolgltatsok (Terminal Services) ismertetse.
228
Hlzati szolgltatsok
zat 224 2, vagyis tbb mint 16 milli llomst tartalmazhat. (Azrt kell
mindkt szmbl kettt levonnunk, mert a csupa nullbl ll azonost
az adott hlzatot, illetve llomst jelenti, a csupa egyesbl ll cm pedig a szrt (broadcast) zenetek szmra van fenntartva.)
Publikus cmek
A publikus cmmel rendelkez hlzati csompontok kzvetlenl bekapcsoldhatnak az internet vrkeringsbe, semmifle kzvettre nincsen szksgk. Az interneten csak olyan adatcsomagok kzlekedhetnek, amelyek feladja
s cmzettje is publikus cmmel rendelkezik, mivel a forgalomirnyt eszkzk (routerek) csak az ilyen csomagokat tovbbtjk. Ebbl mindjrt kvetkezik is a publikus cmekkel kapcsolatos egyik problma: minden publikus cmnek a teljes internetre nzve egyedinek kell lennie, vagyis a publikus cmek
ersen szks erforrsnak tekinthetk.
Publikus IP-cmet teht akkor hasznlunk, ha:
229
Kevsb biztonsgos, mivel az, hogy kzvetlen internetelrsre ad lehetsget, egyben azt is jelenti, hogy fordtva, az internetrl is kzvetlenl elrhet a publikus cmmel rendelkez szmtgp. Ez a fellls
pedig csak olyan gpek esetben engedhet meg, amelyek erre teljes
mrtkben fel vannak ksztve, klnben igen gyorsan meg fogjuk tapasztalni az internetes vilg sszetettsgt.
Privt cmek
A cmtr egy rsze olyan llomsok szmra van fenntartva, amelyek nem
csatlakoznak kzvetlenl az internetre, vagyis ezeket a cmeket brmely vllalat vagy szervezet szabadon felhasznlhatja a bels hlzatn tallhat llomsok azonostsra. Hrom cmtartomny tartozik ebbe a kategriba:
A 172.16.0.0-tl a 172.31.0.0-ig terjed cmtartomny, vagyis 16 egyms utni B-osztly hlzat valamennyi cme.
A privt cmek hasznlata szmos elnnyel jr, pldul ebben az esetben nincs
szksg semmifle regisztrcira, gyakorlatilag brmennyi IP-cmet kioszthatunk sajt beltsunk szerint. Termszetesen a privt cmek hasznlata kltsggel sem jr, radsul biztonsgosabb is a publikus cmeknl, mivel az ilyen
cmet hasznl llomsok nem rhetek el az internet fell kzvetlenl.
Ha a privt cmeket hasznl hlzatbl mgis ki szeretnnk ltni az internetre, szksgnk van egy olyan eszkzre, ami a privt cmeket az interneten is tovbbthat publikus cmekk alaktja. Vllalatok esetben a szolgltat ltalban biztost nhny publikus IP-cmet, a bels, privt cmek kiosz230
Hlzati szolgltatsok
tst s a cmfordtst pedig a vllalaton bell kell megoldani. Ez a legegyszerbb esetben azt jelenti, hogy szksg van egy kiszolgl szmtgpre,
amely minimlisan kt hlzati csatolval rendelkezik (idelis esetben ez egy
tzfal, amin egyetlen ms kiszolglszolgltats sem fut). Az egyik csatol
megkaphatja a szolgltattl brelt publikus cmet, a msik pedig a bels hlzatnak megfelel, privt cmmel fog rendelkezni. Az internetre kzvetlenl
teht csak ez az egy gp csatlakozik, a tbbiek pedig az szolgltatsait vehetik ignybe brmifle internetes adatforgalomhoz.
nincs DHCP-kiszolgl,
231
DHCP dinamikus
A DHCP (Dynamic Host Configuration Protocol) protokoll alkalmazsval a
szmtgp bekapcsolsakor a TCP/IP-protokoll belltsa dinamikusan s
automatikusan trtnik. A DHCP-kiszolgl megfelel belltsa esetn a
szmtgpek (s egyb eszkzk) hozzjuthatnak IP-cmkhz, az alhlzati
maszkhoz, s az alaprtelmezett tjrval, DNS-kiszolglval s WINS-kiszolglval kapcsolatos belltsi informcikhoz.
Kzepes s nagyobb hlzatok esetn a szmtgpek tbbsge szmra a
dinamikus DHCP cmhozzrendels lehet a legjobb megolds. A Windows
opercis rendszerrel mkd szmtgpek alaprtelmezs szerint DHCPgyfelek, vagyis az gyflgpeken semmifle belltsra nincs szksg. Ezt a
megoldst clszer hasznlni, ha:
van DHCP-kiszolgl,
DHCP fenntartott
A fenntartott cmeket s egyb paramtereket a DHCP-kiszolgl osztja ki, de
olyan mdon, hogy az adott lloms minden esetben egy meghatrozott IPcmet kapjon. Akkor hasznljuk ezt a mdszert, ha:
232
van DHCP-kiszolgl,
Hlzati szolgltatsok
A DHCP-kiszolgl
A DHCP egy TCP/IP szolgltatprotokoll, amely az llomsok szmra kioszthat IP-cmek brleti konstrukciban trtn hozzrendelst teszi lehetv, s ms paramtereket is eloszt az ezt ignyl hlzati gyfelek szmra.
A DHCP biztonsgos, zembiztos s egyszer TCP/IP hlzati konfigurcit
tesz lehetv, segtsgvel elkerlhetjk a cmtkzseket, s jelentsen egyszersthetjk az IP-cmek kiosztsval kapcsolatos adminisztrcit. A DHCP
gyfl/kiszolgl modellt hasznl, amelyben a DHCP-kiszolgl vgzi a hlzatban hasznlt IP-cmek nyilvntartst s kiosztst, a DHCP-protokollt
tmogat gyfelek pedig hlzati bejelentkezsk rszeknt meghatrozott
idtartamra IP-cmet brelhetnek, s egyedi TCP/IP konfigurcit kaphatnak
a DHCP-kiszolgltl.
A DHCP-kiszolgl belltsai
Ebben a screencastban a Windows Server 2003 DHCP-szolgltatsnak teleptsvel s rszletes belltsaival ismerkedhetnk meg.
Fjlnv: II-1-2aDHCP-kiszolgalo.avi
rdekes krds, hogy vajon hogyan mkdhet egy olyan TCP/IP-alap szolgltats, amelynek az a kiindul llapota, hogy az egyik rsztvev llomsnak egyltaln nincsen rvnyes IP-cme, s a tbbi paramter sincs belltva. A DHCPgyflnek radsul nyilvnvalan semmifle elkpzelse nem lehet arrl, hogy
kitl is kellene cmet krnie, nem tudhatja pldul a DHCP-kiszolgl IP-cmt.
Nos, a DHCP szrt zenetekkel (broadcast) mkdik, mivel az gyfl egyetlen
dolgot tud biztosan, mgpedig azt, hogy a 255.255.255.255 broadcast cmre kldtt csomagot mindenki (gy, ha van ilyen egyltaln, akkor a DHCP-kiszolgl
is) meg fogja kapni. Miutn bekapcsolunk egy DHCP-cmkrsre belltott gpet,
az els hlzati mvelet egy ilyen csomag kikldse lesz. A cmkrs teljes folyamata ngy lpsbl ll, vagyis ngy hlzati csomagra van szksg:
DHCP Offer (ajnlat) ezt a csomagot a DHCP Discover zenetre vlaszul a kiszolgl kldi vissza, mg mindig broadcast cmzssel, vagyis
az gyflnek az zenetekben szerepl azonostszmok segtsgvel el
kell dntenie, hogy a vlasz valban az krsre rkezett-e. A csomag
tartalmazza a felajnlott IP-cmet s a hozz tartoz egyb paramtereket, vagyis szabad fordtsban ezt jelenti: Ez j lesz?
233
DHCP Request (krs) ezutn az gyfl mg mindig broadcast zenetet kld, ami azt jelenti: Rendben, jhet. Taln flslegesnek tnhet
ez a plusz kr a folyamatban, hiszen az gyfl akr mindenfle visszabeszls nlkl bellthatn a kapott paramtereket. A pontos egyeztetsre tulajdonkppen csak akkor van szksg, ha tbb DHCP-kiszolgl
is zemel a hlzatban.
DHCP Ack (visszaigazols) az utols zenet a visszaigazols, az gyfl az ebben szerepl IP-cmet s opcikat fogja belltani. Szintn ebben az zenetben szerepel, hogy mikor fog lejrni a cmbrlet, vagyis az
zenet tartalma ennyi: OK, nyolc napig a tid ez a cm.
234
tvlaszt (Router) a paramter segtsgvel az gyfeleken belltand alaprtelmezett tjrt (default gateway) hatrozhatjuk meg. Az
alaprtelmezett tjr egy olyan cm, amelyre az gyfl azokat a csomagokat kldi el, amelyeket maga nem tud kzvetlenl kzbesteni
(vagyis nincsenek a sajt alhlzatban). Az ilyen csomagok tovbbtsa az alaprtelmezett tjrknt megadott lloms feladata.
DNS-tartomnynv (DNS Domain Name) a DHCP-gyfelek nvfeloldsi folyamata sorn hasznlhat DNS-tartomnynv.
Hlzati szolgltatsok
sorn minden egyes fizikai alhlzat szmra ltre kell hoznunk egy
hatkrt, ennek klnfle tulajdonsgait belltva hatrozhatjuk meg
az adott hatkrbl IP-cmet brl gyfeleknek tnylegesen elkldend
paramtereket. A hatkrk ltrehozsakor a kvetkez tulajdonsgokat kell belltanunk:
A hatkrn bell azokbl az IP-cmekbl kell kizrsi tartomnyt ltrehoznunk, amelyeket a DHCP-kiszolglnak nem
szabad felajnlania az gyfelek rszre. A kizrt IP-cmek termszetesen hasznlhatk a hlzaton, de ezeket kzzel kell belltanunk azokon az llomsokon, amelyek nem veszik ignybe a
DHCP-szolgltatst. Statikus IP-cmet kell hasznlnunk pldul
magn a DHCP-kiszolgln, a DNS-kiszolgln, a tartomnyvezrlkn, a hlzati nyomtatkon stb. Ezeket a cmeket felttlenl zrjuk ki a DHCP-kiszolgl ltal kioszthat cmek kzl.
235
Hogy megtudhassuk egy csatol MAC-cmt, szerencsre nem kell felttlenl odamennnk a krdses szmtgphez. Ha megpingeljk az adott gpet, akkor annak MAC-cme bekerl az ARPprotokoll (Address Resolution Protocol) helyi gyorsttrba (s kerek kt percig ott is marad),
gy kirathat az arp a parancs segtsgvel. Sajnos, azonban ez a mdszer csak az els routerig
mkdik, mivel az tvlasztk csereberlik az Ethernet keretekben tallhat MAC-cmeket.
236
Hlzati szolgltatsok
Ha j fenntartott cmet szeretnnk definilni a kiszolgln, akkor ellenriznnk kell, hogy az adott cmre van-e mr rvnyes
brlet, ugyanis a fenntarts ltrehozsa nmagban nem szabadtja fel a mr kiadott IP-cmet. Ha a cm mr hasznlatban van,
akkor vagy ki kell vrnunk a brleti id lejrtt, vagy az gyflgpen ki kell adnunk az ipconfig /release parancsot. Hiba hozzuk ltre a fenntartst, az adott gyfl csak akkor kapja azt meg
tnylegesen, ha maga kri, a DHCP-kiszolgl nem fogja kezdemnyezni semmifle cm kiadst. j cm krshez az gyflgpen az ipconfig /renew parancsot kell kiadnunk.
A fenti listban mr tallkozhattunk a DHCP-kiszolgl ltal elkldtt paramtereket meghatroz DHCP-opcik megadsval, azonban ezeket nem
csak a hatkrben, hanem sszesen ngy klnbz szinten is megadhatjuk:
237
a fenntartott cmeket,
238
Hlzati szolgltatsok
A belltsosztlyok
A belltsosztlyok tovbbi lehetsget knlnak, arra, hogy egy hatkr
gyfeleit csoportokba rendezzk, s az egyes csoportok szmra klnbz
bellts-kszleteket hatrozzunk meg.
A belltsosztlyok a kvetkez kt tpusba sorolhatk:
Szllti osztlyok (Vendor Classes) A szllti osztlyok segtsgvel azonos szllti tpussal (opercis rendszerrel) rendelkez gyfelekhez rendelhetk specilis belltsok.
239
W2K-gyfl
W2K-gyfl
gyfl2
gyfl2
A konfig (szllti)
B konfig (felhasznli)
DHCP-kiszolgl
DHCP-kiszolgl
C konfig (felhasznli)
gyfl3
gyfl3
Az LMHOSTS-fjl s a WINS-kiszolgl
A Windows opercis rendszerek korbbi verzii (Windows 2000 eltt) a NetBIOS-neveket hasznljk a hlzaton elrhet szmtgpek s egyb megosztott erforrsok azonostsra. Ezekben a rendszerekben a NetBIOS-nevek
hasznlata a hlzati szolgltatsok elrsnek alapfelttele.
A WINS-kiszolgl teleptse s belltsa
Ebben a screencastban a NetBIOS-nvfelolds biztostsra kpes WINS-kiszolgl teleptsvel
s belltsaival ismerkednk meg.
Fjlnv: II-1-2bWINS-kiszolgalo.avi
A NetBIOS-nvtr egyetlen szintbl ll, ami azt jelenti, hogy a nvtrben tallhat valamennyi nvnek egyedinek kell lennie, a NetBIOS-nevek pedig maximlisan 16 karakter hosszak lehetnek. A NetBIOS munkamenetek minden
esetben kt nvvel azonostott erforrs kztt jnnek ltre, de kt erforrs
kztt egy idben csak egyetlen NetBIOS-munkamenet lehet. A tovbbi fjl-,
vagy nyomtatmegosztsi kapcsolatok ugyanazon a munkameneten osztoznak.
A NetBIOS-neveket hasznl erforrsok azonostsa szrt (broadcast)
zenetek hasznlatval lehetsges, gy meglehetsen nagy hlzati forgalommal jr. A hlzati forgalom cskkentshez valamilyen mdon trolnunk
kell a nevek s cmek sszerendelst, s ezt az adatbzist elrhetv kell
tennnk a hlzaton. A NetBIOS-nevek s IP-cmek sszerendelsnek nyilvntartsra a Windows-rendszerekben kt mdszer ll rendelkezsre:
240
LMHOSTS-fjl hasznlata
Hlzati szolgltatsok
Az LMHOSTS a %SYSTEMROOT%\System32\Drivers\Etc mappban tallhat, illetve nem tallhat, mivel a mintaknt kapott fjl neve lmhosts.sam. A fjlt
a megfelel mdostsok utn a megfelel tnevezssel kell lestennk. A fjlban megadhatunk egy msik (tetszleges nev) kzpontilag trolt lmhosts fjlt
is, gy megvalsthat a teljes hlzat szmra egyetlen, kzpontilag karbantartott lmhosts fjl hasznlata is. Az lmhosts-fjl azonban mg ebben az esetben is kzi feltltst ignyel, vagyis csak egszen kis hlzatokban ajnlhat.
Teljesen alkalmatlan pldul a DHCP-szolgltatssal val egyttmkdsre,
minden szmtgpen statikus IP-belltsokat kell hasznlnunk.
A WINS-kiszolgl a hlzaton hasznlt szmtgpekhez s csoportokhoz
tartoz NetBIOS-nevek s IP-cmek sszerendelseinek regisztrlshoz s lekrdezshez biztost dinamikusan felpthet, elosztott adatbzist. A WINSkiszolgl teljesen automatikusan pti fel a nvszolgltats biztost adatbzist, s lehetsg van a kiszolglk kztti replikcira is, gy gyakorlatilag
brmilyen mret rendszerben hasznlhat. A kzponti adatbzis jelentsen
cskkenti a NetBIOS-nevek hasznlatval egytt jr szrt zenetek szmt,
s a dinamikusan frissl adatbzis miatt nem ignyel statikus IP-cmeket.
A WINS-kiszolgl teht kezeli a WINS-gyfelek nvregisztrcis krelmeit, regisztrlja neveiket s IP-cmeiket, s vlaszol az gyfelek ltal benyjtott NetBIOS-nvkrdsekre, vagyis visszakldi a lekrdezett nvhez
tartoz IP-cmet, amennyiben az szerepel az adatbzisban.
A WINS-kiszolgl felgyeletvel a legtbb esetben nincsen sok gond, a telepts utn a szolgltats gyakorlatilag teljesen automatikusan mkdik. Tiszta
Windows Server 2003 tartomnyokban tulajdonkppen nincsen r szksg, mivel itt a nvfelolds alaprtelmezs szerint a DNS-szolgltatson alapul, de
tartalk mdszerknt azrt alkalmanknt j szolglatot tehet, s bizonyos specilis alkalmazsok is megkvetelhetik a NetBIOS-nvfelolds hasznlatt.
241
Az RRAS-infrastruktra
A Routing and Remote Access Server (RRAS, tvlaszts s tvelrs) kpes
biztostani azt, hogy kls eszkzkrl (internet, msik hlzat, mobil eszkzk stb.) csatlakozhassunk a vllalat hlzathoz. A kapcsolds analg telefonvonal, ISDN, ADSL, vagy az interneten keresztl megvalstott VPN-kapcsolat segtsgvel is lehetsges. A tvoli felhasznlk ppen gy dolgozhatnak, mintha szmtgpk fizikailag csatlakozna a hlzatra. A tvelrs
kapcsolatok szmra engedlyezett minden olyan szolgltats, amely a LANkapcsolattal rendelkez felhasznlk szmra szoksosan elrhet (pldul
fjl- s nyomtatmegoszts, levelezs stb.), s az erforrsok kezelsre a helyi hlzatokban megszokott eszkzk hasznlhatk.
Az RRAS tovbbi fontos szolgltatsa, hogy szoftveres tvlasztknt, illetve tjr-kiszolglknt kpes mkdni, gy lehetsget nyjt a kls s
bels hlzatok rugalmas sszekapcsolsra. Az internet hasznlatval megvalstott kapcsolatok biztonsgt a PPTP, L2TP s IPSec protokollok tmogatsa biztostja. A kvetkezkben megismerkednk a RRAS klnfle kpessgeivel s az alkalmazott protokollok mkdsvel.
tvlaszts s tvelrs (RRAS) s a virtulis magnhlzatok
Ebben a screencastban felteleptjk s belltjuk a Windows Server 2003 RRAS-komponenst,
majd VPN-kiszolglt ptnk s aztn az gyflrl ki is prbljuk.
Fjlnv: II-1-2cRRAS-infrastruktura.avi
Az RRAS kpessgei
Az RRAS a kvetkez szolgltatsokat nyjthatja a hlzat szmra:
242
Tvoli elrs (Remote access) Az RRAS hasznlatval a felhasznlk tvolrl kapcsoldhatnak a vllalati hlzathoz betrcszs kapcsolaton (dial-up connection), illetve VPN (virtulis magnhlzat) hasznlatval az interneten keresztl.
Hlzati szolgltatsok
DHCPkiszolgl
Network Access
Server azaz pl. az
RRAS
Wireless
Network
Tartomnyvezrl
VPN
gyfl
IAS Server
(RADIUS)
Dial-up
gyfl
Fikiroda
szoftveres
VPN
Fikiroda
hardveres
VPN
243
Tvelrsi hzirendek
Hiba lestettk azonban a kiszolglt, a tvoli gyfelek kapcsoldsa mg mindig nem lehetsges, mivel a tvelrsi hzirendek (Remote Connection Policies)
alaprtelmezs szerint semmifle kapcsolatot nem engednek meg. A kapcsolatok
engedlyezsvel egytt azonban clszer mindjrt ttekinteni a lehetsges belltsokat, s az ppen elgsges szintre korltozni a kapcsolds lehetsgt.
Clszer pldul megadni azt a tartomnyi, vagy helyi csoportot, amelynek engedlyezni szeretnnk a tvoli hozzfrst.
244
Hlzati szolgltatsok
Ha tbb tvelrs-kiszolglt zemeltetnk, akkor clszer lehet a kzs hzirendek hasznlata. A Windows Internetes hitelestsi szolgltatsa (Internet
Authentication Service, IAS) RADIUS-kiszolglknt hasznlhat, gy kzpontostott kapcsolat-hitelestst s -engedlyezst tesz lehetv a telefonos s VPN
tvelrs, az tvlasztk kztti kapcsolatok, valamint a vezetknlkli hlzatok hozzfrsi pontjai (WLAN Acces Points) szmra. A RADIUS a Remote
Authentication Dial-In User Service protokoll rvidtse.
Ha a tvelrs-kiszolglt RADIUS-hitelests hasznlatra lltjuk be, akkor a rajta trolt tvelrsi hzirendek helyett a rendszer az IAS-kiszolgln
tallhat hzirendeket fogja hasznlni.
245
RRAS-belltsok a cmtrban
A tvoli elrssel kapcsolatos paramterek egy rszt a hozzfrsi hzirend
mellett, a felhasznlk oldalrl a cmtrban (Active Directory) is meghatrozhatjuk. A tartomnyi felhasznlk tulajdonsglapjnak Dial-in (Behvs)
fln meghatrozhatjuk, hogy az adott felhasznlnak legyen-e lehetsge a
tvoli kapcsoldsra, illetve megadhatjuk azt is, hogy a jogosultsg szablyozst a tvelrsi hzirendre bzzuk. Ugyanitt llthatjuk be az adott felhasznlhoz hozzrendelend statikus IP-cmet, s a csatlakoz szmtgp
tvlasztsi tbljt (routing table) is kiegszthetjk az itt megadott bejegyzsekkel. Engedlyezhetjk a betrcszs kapcsolaton keresztl rkez felhasznlk visszahvst (ekkor a cg fizeti a telefonszmlt), illetve megadhatjuk azt a telefonszmot, amelyrl az adott felhasznl szmra engedlyezzk a csatlakozst.
246
Hlzati szolgltatsok
A csomag rszeknt rengeteg informci automatikusan eljuthat az gyflhez, st olyan belltsokat is megtehetnk, amelyekre a kzi kapcsoldsnl egyltaln nincs lehetsg.
Egyedi feliratokat krhetnk a csatlakozskor megjelen ablakba, sgfjlt
s klnfle telefonszmokat kldhetnk az gyfeleknek, megadhatjuk a kapcsoldskor belltand TCP/IP paramtereket, elrhatunk biztonsgi belltsokat, a kapcsolds klnbz fzisaiban szkripteket indthatunk stb.
247
A varzsl segtsgvel ltrehozott, testre szabott teleptcsomagot (ez tulajdonkppen egy exe fjl) az gyfeleknek eljuttatva (pldul egy webes letlts formjban), a felhasznlknak nem kell megadniuk a csatlakozshoz
szksges klnfle paramtereket, mivel ezeket a csomag mr tartalmazza,
s elvgzi az gyflgp szksges belltsait.
Alaprtelmezs szerint a csomagkszt varzsl nincs felteleptve, de ezt
knnyen ptolhatjuk az Add or Remove Programs (Programok hozzadsa
vagy trlse) eszkz segtsgvel. A telept a Windows komponensek kztt
lv Management and Monitoring Tools (Kezelsi s figyelsi eszkzk) csoportbl indthat.
Telefonos kapcsolds
A telefonos kapcsolds azt jelenti, hogy a tvoli gyfl valamifle kapcsolt vonalon megvalsul telekommunikcis szolgltats (pldul analg telefonvonal,
ISDN-vonal, vagy X.25 rendszer) segtsgvel korltozott ideig fennll kapcsolatot ltest a tvelrs-kiszolgln lv valamelyik fizikai porttal. Tipikus plda
ilyen kapcsolatra, az analg telefonvonalra modemmel kapcsold gyfl, aki a
tvelrs-kiszolgl egyik fizikai portjhoz tartoz telefonszmot hv.
Az analg telefonvonalon vagy ISDN-kapcsolaton keresztl megvalsul
hlzati kapcsolat az gyfl s a kiszolgl kztti kzvetlen fizikai kapcsolatot jelenti, gy nincs felttlenl szksg az tvitt adatok titkostsra.
VPN-kapcsolatok
A virtulis magnhlzat (Virtual Private Network, VPN) a helyi hlzat
olyan kiterjesztse, amely megosztott vagy nyilvnos hlzatokon (pldul az
interneten) keresztli titkostott kapcsolatokat tartalmaz. VPN-kapcsolat
hasznlatval gy kldhetnk adatokat kt szmtgp kztt megosztott
vagy nyilvnos hlzaton keresztl, mintha a kt gp kzvetlen kapcsolatban
lenne egymssal. A VPN-kapcsolatot kipt szmtgp, gyakorlatilag a bels
hlzat rsze lesz (a hlzaton belli privt IP-cmet kap akkor is, ha az interneten keresztl csatlakozik), s hozzfrhet minden olyan szolgltatshoz
(pldul fjlmegosztsok, DNS-kiszolgl, cmtr stb.), amelyek a vllalat
tbbi szmtgpe szmra elrhetek.
A kzvetlen kapcsolat emullsa rdekben az tvitt adatokhoz hozzfzdik egy fejlc (ezt a mveletet nevezzk begyazsnak), amely a vgpont megosztott vagy nyilvnos hlzaton keresztl trtn elrshez szksges tvonalra (ezt nevezzk VPN-alagtnak) vonatkoz informcikat tartalmazza.
A VPN-kapcsolatokon tvitt adatok biztonsgi szempontok miatt minden esetben titkostva vannak, gy a titkost kulcsok nlkl az esetlegesen elfogott
csomagok megfejthetetlenek.
248
Hlzati szolgltatsok
A mobil, illetve az otthon dolgoz felhasznlk VPN-kapcsolatok segtsgvel nyilvnos hlzatokon keresztl tudnak tvelrs kapcsolatot ltesteni
vllalatuk tvelrsi-kiszolgljval. A felhasznl szempontjbl a VPN-kapcsolat kzvetlen kapcsolatknt jelenik meg a szmtgpe (a VPN-gyfl) s a
VPN-kiszolgl virtulis portjai (s gy a bels hlzat) kztt. VPN-kapcsolatok hasznlata esetn az egyidej hozzfrsek szmt csak a kiszolgl erforrsai korltozzk (meg persze a vllalat internetkapcsolatnak svszlessge).
A megosztott vagy nyilvnos hlzat pontos infrastruktrja lnyegtelen,
mert az adatok logikailag egy lland sszekttets kapcsolaton keresztl
kzlekednek.
VPNkiszolgl
VPN-alagt
Bjtat protokollok
s adatok
PPP-kapcsolat
VPN-gyfl
Tartomnyvezrl
Hitelests
DHCPkiszolgl
Az tviv
hlzat
IP s DNS-kiszolgl
hozzrendels
249
A fizikai kapcsolatot jelent telefonos hlzattal szemben, a virtulis magnhlzat mindig logikai, kzvetett kapcsolat a virtulis magnhlzati gyfl s a kiszolgl virtulis portja kztt, gy VPN-kapcsolatok esetn a biztonsgos tvitelhez az adatok titkostsra van szksg.
VPN-protokollok
A PPP (Point-to-Point Protocol) olyan szabvnyos protokollkszlet, amely lehetv teszi a tvelrst biztost klnfle szoftverek egyttmkdst. A PPP
hasznlatra kpes szoftverek kpesek minden olyan hlzathoz csatlakozni,
amely szabvnyos PPP-kiszolgln keresztl rhet el.
A PPP tbb LAN-protokoll becsomagolsra is kpes, gy hlzati protokollknt a TCP/IP s az IPX is hasznlhat. Vlaszthatunk tbb klnfle hitelestsi mdszer kzl, adataink pedig tmrtett s titkostott formban is
tvihetk. A PPP az alapja az RRAS ltal a biztonsgos VPN-kapcsolatok ltrehozshoz hasznlt PPTP s L2TP protokolloknak.
250
PPTP (Point-to-Point Tunneling Protocol, pontpont alagtprotokoll) a PPTP a PPP (Point-to-Point Protocol) kiterjesztseknt meghatrozhat alagtprotokoll. A PPTP-protokoll hasznlatt a Windows
9x-tl kezdve valamennyi Windows opercis rendszer tmogatja (br a
rgebbi rendszerek esetn kln kell letlteni s telepteni). A PPTPprotokoll begyazza (vagyis hozzfzi a sajt fejlct) s titkostja az
tviend PPP-keretet az MPPE (Microsoft Point-to-Point Encryption,
128-bites RC4) titkosts hasznlatval az MS-CHAP, az MS-CHAP v2
vagy az EAP-TLS hitelestsi eljrsbl generlt titkost kulcsok segtsgvel. Az EAP-TLS hitelestsi eljrs a SmartCard-alap hitelestst is lehetv teszi. A PPTP-protokoll egyszeren NAT-olhat (ez
akkor lehet fontos, ha pldul az RRAS mgl szeretnnk kifel VPNkapcsolatot ltrehozni), bezemelse egyszer, hasznlata pedig megfelel biztonsgot nyjt.
L2TP (Layer Two Tunneling Protocol, msodik rtegbeli alagtprotokoll) az L2TP szintn a PPP-keretek begyazsra kpes, de ebben
az esetben a titkostsi szolgltatsok a hlzati adatok biztonsgos tvitelre szolgl IPSec-protokollon alapulnak. Az L2TP s az IPSec kombincija L2TP/IPSec-protokollknt ismert. A VPN-gyflnek s a kiszolglnak is tmogatnia kell az L2TP s az IPSec-protokollt, vagyis az
L2TP hasznlata Windows 2000 s 2003 Server kiszolglk s Windows
2000/XP/Vista gyfelek szmra lehetsges. Az IPSec tanstvny alap
hitelestst hasznl, gy az L2TP alkalmazshoz teljes PKI-infrastruktrra, vagyis tanstvnykiad szolgltatsra (esetleg a jval kevsb
Hlzati szolgltatsok
biztonsgos elre megosztott kulcson (pre-shared key) alapul hitelestsre) van szksg, ezrt bezemelse lnyegesen bonyolultabb, viszont a
tanstvny alap hitelests hasznlatval fokozottan biztonsgos. Tovbbi nehzsget jelenthet az, hogy a IPSec nem NAT-olhat (mivel a
NAT-kiszolgl mdostja a csomagok fejlceit, amit az IPSec integritsvdelme nem enged meg), csak a NAT-Traversal technolgia hasznlatval. A NAT-T mkdse azon alapul, hogy a VPN-forgalom UDP-csomagok kpben utazik, ezek fejlceit a NAT-kiszolgl mr minden tovbbi nlkl mdosthatja.
VPN-karantn
A VPN-kapcsolatok hasznlatnak szmos elnye mellett van egy slyos htrnya is. A felhasznlk szmra nagyon j, hogy brhonnan, egyszeren s
biztonsgosan elrik a vllalat hlzatt, a rendszergazda szmra viszont a
brhonnan kifejezs komoly fejtrst okozhat. A brhonnan ugyanis jelentheti
pldul kedves kollgnk otthoni szmtgpt is, amin a gyerekek sokat szoktak ugyan internetezni, de frisstve esetleg a mlt vezredben volt utoljra. Hogyan engedhetnk be a hlzatba egy olyan gpet, amin esetleg nincs tzfal,
nincs rendszeresen frisstett vruskeres, nincsenek javtcsomagok s csoporthzirend, viszont ezekbl kvetkezen nyilvn van rajta sok egyb rdekessg?
A VPN-karantn arra j, hogy elvrsainkat konkrt formban kzljk a
csatlakozni kvn szmtgpekkel, ha pedig nem teljestik a feltteleket,
akkor rvid ton megszakthatjuk velk a kapcsolatot. Csatlakozs utn
minden szmtgp a karantnban kezdi plyafutst, vagyis egy ersen korltoz hzirend (IP-szrk s munkamenet idztk) belltsai rvnyeslnek r. Pldul csak annyit rhet el a hlzatbl, ami a klnfle frisstsek
s egyb, a megfelel llapot elrshez szksges elemek letltshez szksges. Ekzben lefut rajta egy teljesen egyedileg sszellthat ellenrz
szkript, ami megvizsglja tetszleges programok, registry-kulcsok, fjlok
megltt, megfelel eredmny esetn feloldja a karantn korltozsait s a
szoksos tvelrsi hzirendet rvnyesti kapcsolatra. A VPN-karantn ltrehozshoz szksges eszkzk a Windows Server 2003 Resource Kit Tools
csomagban (http://tinyurl.com/6p6cy) tallhatk.
A csomagbl ngy fjlra lesz szksgnk: Rqs.exe (Remote Quarantine Server), Rqc.exe (Remote
Quarantine Client), Rqs_setup.bat (a Remote Access Quarantine Agent szolgltats teleptje (a
kiszolgln) s RqsMsg.dll (Remote Access Quarantine Agent Message). A csomag teleptse utn
clszer frissteni az RQS.exe-t a http://tinyurl.com/dc2u7 cmrl letlthet pldnnyal.
251
Terminlkiszolgl hasznlatval, a nagy adatmennyisggel dolgoz alkalmazsokat is futtathatjuk korltozott svszlessget biztost krnyezetben (telefonvonal vagy megosztott WAN-kapcsolat), mivel gy az adatok helyett csak
azok kpernyn megjelen kpt kell tvinnnk a hlzaton. A Terminlszolgltatsok (Terminal Services) hasznlata nem ignyel tl nagy svszlessget
(akr egy betrcszs kapcsolaton keresztl is hasznlhat), mivel a kpernykpek helyett a kpek ltrehozshoz hasznlt ablakrajzol parancsokat (GDI,
Graphical Device Interface) viszi t a Remote Desktop Protocol (RDP).
A terminlszolgltatsok kt klnbz zemmdban futtathat, br a klnbsg csak a licencfelttelekben van, az alkalmazott technolgia mindkt
esetben azonos:
252
Tvoli asztal (Remote Desktop) a tvoli asztal a terminlszolgltatsok tvfelgyeleti zemmdja, leginkbb arra szolgl, hogy a rendszergazdnak ne kelljen a hideg s huzatos szerverszobban ldglnie akkor sem, ha egszen komoly mttet kell elvgezni a kiszolgln. A szolgltats hasznlathoz nincs szksg teleptsre, egyszeren a Rendszer
(System) tulajdonsgpanel Tvoli hasznlat (Remote) lapjn engedlyezhetjk a tvoli asztalhoz val kapcsoldst. Ebben az esetben a Windows
Server 2003 kt prhuzamos tvoli munkamenet fogadsra hajland, illetve csatlakozhatunk a konzol munkamenethez is (akr a gp eltt lve,
Hlzati szolgltatsok
akr tvolrl). A konzol munkamenethez azonban egy idben csak egyetlen felhasznl csatlakozhat, ha ezt egy tvoli munkamenet foglalja el,
akkor loklisan mr nem lehet a gpre bejelentkezni. Ez a szolgltats
gyflrendszerek esetben is hasznlhat (Windows XP s Vista), de ott
mindssze egyetlen kapcsolatra van lehetsg (a helyi munkamenettel
egytt), vagyis sajnos nem tudunk a felhasznl megzavarsa nlkl, vele prhuzamosan bejelentkezni az gyflgpekre.
Terminlkiszolgl (Terminal Server) a terminlkiszolgl zemmd csak kiszolgl opercis rendszereken hasznlhat, de ebben az
esetben a kapcsolatok szmt csak a megvsrolt gyfllicencek szma, s a szmtgp erforrsai korltozzk. A licenc kiszolgl bezemelsre s az gyfllicencek megvsrlsra 120 nap trelmi idt
kapunk. A Terminlszolgltatsok aktivlshoz a Terminal Server
komponenst kell felteleptennk a Programok teleptse s trlse (Add
or Remove Programs) varzsl segtsgvel.
4.32. bra: Az RDC 6.0 telepthet a Windows Server 2003-ra, s Windows XP-re is
A Terminlszolgltatsokhoz a Remote Desktop Users (Tvoli asztal felhasznli) biztonsgi csoport tagjai csatlakozhatnak, illetve tartomnyvezrl esetn figyelembe kell vennnk azt is, hogy alaprtelmezs szerint sem a Users,
sem pedig a Remote Desktop Users (Asztal tvoli felhasznli) csoport tagjai253
254
Fjlrendszer Az gyfl meghajti (a hlzati meghajtk is) elrhetk a kiszolgli munkamenetbl. Az engedly egyszerre az sszes meghajtra vonatkozik, radsul alaprtelmezs szerint a kiszolgli munkamenetben Everyone > Full Control jogosultsggal jelennek meg az
gyflgp meghajti, gy az tirnyts hasznlathoz nmi vatossg
szksges.
Vglap Lehetsg van (csak RDP 6.0 esetn) a vglap megosztsnak engedlyezsre s tiltsra, vagyis ilyen mdon nagyon egyszeren
cserlhetnk szvegeket s kpeket a helyi gp s tvoli munkamenet
kztt. Fjlok tvitele viszont nem lehetsges a vglap hasznlatval.
Hlzati szolgltatsok
Portok Az gyfl soros portjai elrhetv tehetk a kiszolgli munkamenetbl, gy a kiszolgln fut szoftverek hozzfrhetnek az gyfl
bizonyos hardvereszkzeihez.
Windows billentykombincik Az gyfl a Windows billentykombincikat (Alt-Tab, Ctrl-Esc stb.) alaprtelmezs szerint tovbbtja a tvoli munkamenetnek. A Ctrl-Alt-Del billentykombincit azonban biztonsgi okokbl mindig az gyfl dolgozza fel, a kiszolgln a
Ctrl-Alt-End megnyomsval rhetjk el ugyanazt a hatst. Az tirnyts mkdik Windows 2000 terminlkiszolgl esetn is, de csak
NT-alap gyfl opercis rendszerrel (Windows 9x-el nem).
Idzna Az RDC-gyfl kpes az idznra vonatkoz adatok automatikus tadsra, illetve a felhasznlk manulisan is bellthatjk a
megfelel idznt. gy a klnbz idznban lv felhasznlk
egyetlen kiszolglt hasznlhatnak.
255
256
Egyb kiszolglkomponensek
bngsz
TS
over RDP (3389 / TCP)
IIS +
RDWC
Terminal
Server
Egyb kiszolglkomponensek
A kvetkezkben a Windows Server 2003 tovbbi kiszolgl-komponensnek
(SMTP s POP3 kiszolgl, Tanstvnyszolgltatsok, Internet Information
Services, Windows SharePoint Services s Streaming Media Server) egszen
rvid, csak a legfontosabb funkcik felsorolsra szortkoz lersa kvetkezik.
Utols tmnk, a Windows Server Update Services (WSUS) esetben azonban
mr a rszletekbe is belemegynk, mert br a szoftver nem rsze az alapteleptsnek, de a kis s kzepes vllalatok esetben egy patch management rendszer
kzpontjaknt nagyon jl hasznlhat, s teljesen komplex megoldst nyjt.
257
258
POP3-kiszolgl a levelezprogramok a POP3-szolgltats segtsgvel tlthetik le a felhasznlk postaldiban lv leveleket az gyflgpekre. A levelezprogram elkldi a felhasznl hitelest adatait a
POP3-kiszolglnak, az pedig tadja a megfelel postaldban lv zeneteket. A POP3 szolgltats kpes az Active Directory-integrlt hitelests hasznlatra, vagyis a tartomnyi felhasznlk (miutn ltrehoztuk a felhasznlhoz tartoz postafikot), a megszokott felhasznlnevk
s jelszavuk hasznlatval rhetik el zeneteiket. A sikeres letlts utn
az zenetek trldnek a kiszolgl ltal trolt postaldbl (hacsak az
gyflprogram nem rendelkezik mskpp). A POP3-kiszolgl felgyeleti
fellete az Administrative Tools -> POP3 Service menpont segtsgvel
rhet el. Itt adhatjuk meg a kiszolgl ltal kezelt e-mail tartomnyok
nevt, s itt hozhatjuk ltre az egyes felhasznlk postaldit. A POP3-
Egyb kiszolglkomponensek
szolgltats teleptsvel az SMTP-szolgltats is automatikusan telepl, hogy a levlklds is lehetv vljon a POP3-gyfelek szmra, a
POP3 Manager felletn megadott e-mail tartomnyok pedig automatikusan bekerlnek az SMTP-szolgltatsba is.
A vllalati hitelests szolgltat ltal kiadott tanstvnyok segtsgvel ltrehozhatak digitlis alrsok, lehetv vlik a webes adatforgalom biztonsgoss ttele a Secure Socket Layer (SSL), vagy a Transport Layer Security
(TLS) hasznlatval, az Active Directory alap tartomnyba val bejelentkezshez pedig Smart Card is hasznlhat.
259
A tanstvnyszolgltats teleptst az Add or Remove Programs eszkz segtsgvel vgezhetjk el, felgyelethez pedig az Administrative Tools -> Certification Authority menpont segtsgvel elindthat MMC-konzol hasznlhat.
A felhasznlk tanstvnyaikat egy webes felleten, vagy a Tanstvnyok (Certificates) nev MMC-modul segtsgvel ignyelhetik a CA-tl, illetve lehetsg van arra is, hogy a klnfle alkalmazsok szrevtlenl ignyeljenek tanstvnyt a felhasznl szmra.
260
Web- s alkalmazskiszolgl a HTML alap tartalmak szolgltatshoz. A webkiszolgl lehetv teszi tbb egymstl teljesen fggetlen webhely zemeltetst. A hozz tartoz felgyeleti konzol segtsgvel bellthatjuk a biztonsgi paramtereket, illetve monitorozhatjuk, felgyelhetjk az egyes webhelyeket. Szmos ms kiszolgl komponens is ignybe veszi a webkiszolgl szolgltatsait, erre pl pldul a Windows SharePoint Services s a WSUS is.
Egyb kiszolglkomponensek
NNTP-kiszolgl (Network News Transfer Protocol) a hrcsoportok ltrehozst s elrst teszi lehetv.
SMTP-kiszolgl (Simple Mail Transfer Protocol) az elektronikus levelek kldsre, illetve tovbbtsra hasznlhat.
261
A SharePoint webhelyeken a felhasznlk ltrehozhatnak dokumentumtrakat, webnaplkat, vitafrumokat, kzztehetnek naptrakat s feladatlistkat. A SharePoint helyek webkijelzkbl s ms ASP.NET alap komponensekbl plnek fel, a kijelzk elhelyezsvel s tulajdonsgaik belltsval a
rendszergazdk s felhasznlk teljes alkalmazsokat kszthetnek el egy-egy
oldalon. A Windows SharePoint Services szmos elre gyrtott webkijelzt is
tartalmaz, a jvben pedig jabbak is fognak kszlni.
A Windows Share Point Services teleptse s belltsai
Ebben a screencastben felteleptjk, belltjuk s kiprbljuk a Windows Share Point Services
csoportmunka alkalmazst.
Fjlnv: II-1-3bWSS.avi
A SharePoint felleten ltrehozhat dokumentumtrak hasznlatval a felhasznlk egy kzponti helyen hozhatnak ltre, oszthatnak meg s tekinthetnek t dokumentumokat. A dokumentumtrak tbb fjltpust, illetve alknyvtrakat is tartalmazhatnak. Ha a felhasznl megnyit egy dokumentumtrat, a benne lv fjlok webes hivatkozsknt jelennek meg, s az ilyen
mdon trolt informcik kzvetlenl elrhetk a klnfle Office-alkalmazsokbl. A hivatkozsra kattintva az adott dokumentum az Internet Explorer
ablakban, vagy a SharePoint Services szolgltatssal kompatibilis alkalmazs ablakban, (pldul Word 2003, 2007) nylik meg.
Az Outlook segtsgvel megtekinthetk a SharePoint helyeken trolt
naptrak s partnerlistk, illetve lehetsget nyjt dokumentumszerkesztsre s rtekezletszervezsre szolgl helyek ltrehozsra.
262
Egyb kiszolglkomponensek
Kisebb hlzatok (nagyjbl 1000 szmtgpig, m a tmogats fels hatra elvileg 20.000 szmtgp) esetn a WSUS (Windows Server Update Services) lehet a tkletes vlaszts, mivel nll, komplex s ingyenes megoldst
jelent. Termszetesen ms eszkzk is kpesek a feladat elltsra (pldul a
Microsoft System Center Configuration Manager, vagy System Center Edition
termke), de ezek nagy, illetve kzpvllalati felhasznlsra tervezett szoftverek, kis hlzatok esetn hasznlatuk tlsgosan kltsges lenne. Egybknt
mindkt emltett rendszerfelgyeleti szoftvercsomag tartalmazza a WSUS-t, s
ezt hasznlja a javtcsomagok kezelshez.
Az nll WSUS-csomag a Microsoft webhelyrl szabadon letlthet, s ingyenesen hasznlhat (http://go.microsoft.com/fwlink/?linkid=89379). A kzelmltban jelent meg a WSUS 3.0 vgleges vltozata, amely eldjvel ellenttben mr nem webes, hanem MMC-alap felgyeleti eszkz segtsgvel
konfigurlhat, hasznlata pedig tbb szempontbl is knyelmesebb s hatkonyabb vlt.
Termszetesen akr azt is megtehetnnk, hogy az egyes szmtgpekre
(Windows 2000 SP2, XP, Vista) teleptett AU (Automatic Updates, Automatikus frisstsek) gyflszoftver segtsgvel minden gp kzvetlenl a Microsoft Update (MU) kiszolglkrl tltgeti le kln-kln a frisstseket, de ez
a megolds csak az otthoni felhasznlk ignyeinek felel meg.
Ilyen mdon ugyanis, ha hlzatunk pldul tven gpbl ll, a szksgesnl tvenszer nagyobb adatmennyisget kell letltennk, ami jelentsen
megterheli a vllalat internetkapcsolatt (s esetleg a bankszmljt is).
263
Tovbbi problmt jelent az is, hogy nincs md a javtsok esetleges mellkhatsainak elzetes feldertsre, s a problma megoldsra, mivel a javtcsomagok ellenrzs nlkl kerlnek fel a vllalat valamennyi szmtgpre.
A WSUS-kiszolgl tulajdonkppen a MU-kiszolglk, s a gpeinken fut
AU-gyfl kz kerl; egyetlen pldnyban letlti, s trolja az gyflgpek
sszes szksges javtcsomagjt, amelyeket gy az AU-gyfelek mr nem az
internetrl, hanem tle kapnak meg s teleptenek (de csak akkor, ha a rendszergazda erre engedlyt ad).
A teljes rendszer teht hrom komponensbl ll (br ebbl csak kett tartozik a mi fennhatsgunk al):
A hlzatunkban Windows 2000/2003 kiszolglra teleptett WSUSkiszolgl ezekrl tlti le a csomagokat, majd trolja ket.
Az gyflgpeken (vagy kiszolglkon) fut AU-gyfelek az engedlyezett javtsokat letltik a WSUS-kiszolglrl, s teleptik azokat.
A WSUS teleptse
Hogy a WSUS-t telepthessk, kiszolglnknak a kvetkez feltteleket kell
teljestenie:
264
Egyb kiszolglkomponensek
Minimlisan 20 GB szabad trolkapacits a javtcsomagok trolshoz. A szksges lemezterlet ersen fgg az gyflgpek nyelvi verziinak szmtl, mivel minden nyelvhez kln csomagokat kell letlteni s
trolni. A minimlisan ajnlott 20 GB, angol s magyar nyelv Windows
2000, XP s Vista gyfelekkel nagyjbl elegend lehet.
2 GB szabad terlet a rendszer adatbzisnak trolshoz. Az adatbzis lehet az SQL Server 2005 SP1 brmelyik kiadsa, illetve maga a telept is tartalmazza a WMSDE adatbzis-kezelt.
265
A WSUS-kiszolgl belltsai
Amint a 4.37. bra mutatja, a WSUS-kiszolgl a belltott temezsnek
megfelelen letlti s eltrolja azoknak a termkeknek a frisstseit, amelyeket a rendszergazda kivlasztott.
Bellthat automatikus engedlyezs is, ami a megadott felttelek teljeslse esetn a megadott csoportok szmra tovbbi beavatkozs nlkl engedlyezi a terjesztst, de ezt a lehetsget csak a ktelez vatossg figyelembevtelvel rdemes hasznlni. A tesztgpeinkre pldul minden tovbbi
nlkl automatikusan rszabadthatjuk valamennyi javtcsomagot (ppen
ezrt vannak), a tbbi gp esetben pedig az eredmny ismeretben mr kzzel vgezhetjk el a jvhagys belltst. Bellthat az is, hogy a kevsb
kritikus komponensek (pldul az Office) valamennyi javtsa automatikusan
telepljn minden gpre. A kvetkezkben ttekintjk a WSUS-kiszolgl
legfontosabb belltsi lehetsgeit, s megismerkednk az egyes paramterek jelentsvel:
266
Update Source and Proxy Server (Frissts forrsa s proxykiszolgl) itt kell kivlasztanunk azt a kiszolglt, amelyrl a WSUS le
fogja tlteni a frisstseket. Kisvllalati krnyezetben ltalban nincs
szksg tbb WSUS hasznlatra, de lehetsgnk van a csomagok
forrsaknt msik kiszolglt is megadni, gy tbb WSUS-pldny
hasznlata esetn is csak egyszer kell kzvetlenl a Microsofttl letlteni frisstseket. Ha proxykiszolgln (pldul ISA Server) rjk el az
internetet, akkor ugyanitt kell megadnunk a kiszolgl nevt, portsz-
Egyb kiszolglkomponensek
mt, s a kapcsoldshoz szksges felhasznli adatokat (termszetesen csak akkor, ha a proxy hitelestst is ignyel), hogy a WSUS elrhesse a Microsoft Update kiszolglkat.
Kiszolgloldal
2. Teszt?
Igen
A
frisstsek
tesztelse
Nem
3. A csomagok engedlyezse
Products and Classifications (Termkek s besorolsok) itt adhatjuk meg azokat a termkeket, amelyeket A WSUS segtsgvel szeretnnk frissteni, illetve itt kell kivlasztanunk a letltend csomagok tpust (biztonsgi frissts, javtcsomag stb.). A WSUS gyakorlatilag
minden Microsoft termk frisstseinek kezelsre kpes, csak a legfontosabbak: a Windows 2000, XP, Vista valamennyi vltozata, a Windows
Server 2003 klnfle kiadsai, Office, Exchange Server, SQL Server,
ISA Server, Windows Defender stb.
hogy az alaprtelmezett viselkeds megfelel lenne. Ez ugyanis valamennyi nyelv (kztk pldul az arab, knai s japn) csomagjainak letltst jelenti.
268
Automatic Approvals (Automatikus jvhagysok) a letlttt frisstsek teleptsnek engedlyezse automatikusan is elvgezhet. A mdszer (a 3.0-s vltozatban) ersen hasonlt pldul az Outlook levlkezel szablyaihoz: a frissts besorolsa (biztonsgi frissts, javtcsomag stb.), illetve a frisstend termk (Office, Windows Vista stb.) alapjn kivlogatott csomagokat a kivlasztott csoportok szmra automatikusan engedlyezhetjk. A WSUS s az AU-gyfelek sajt frisstsei
alaprtelmezs szerint automatikusan teleptsre kerlnek.
Egyb kiszolglkomponensek
Server Cleanup Wizard (Kiszolgl karbantartsa varzsl) a varzsl segtsgvel eltvolthatjuk a kiszolglrl a zavar elemeket: a
klnfle okok miatt lejrt szavatossg, mr nem hasznlt frisstseket, illetve a csatlakozsra kptelen (pldul mr rgen leselejtezett)
szmtgpeket.
E-mail Notifications (rtests e-mailben) itt llthatjuk be a klnfle esemnyekhez (pldul j frisstsek letltse) kapcsold e-mail
rtestsekre vonatkoz paramtereket.
Personalization (Szemlyre szabs) Az adatok megjelentsre vonatkoz klnfle paramtereket adhatunk meg itt.
269
Ezzel vgre is rtnk a kiszolgl legfontosabb belltsainak, a szinkronizci (vagyis a javtcsomagok letltse) utn mr csak a tesztels s a frisstcsomagok jvhagysa van htra.
Frisstsek jvhagysa
A Software Update Services szolgltatst futtat kiszolgl szinkronizlsa
alkalmval letlttt frisstsek nem vlnak automatikusan hozzfrhetv
azoknak a szmtgpeknek, amelyek a kiszolgln lv frisstsek fogadsra vannak belltva. Erre csak akkor kerl sor, ha a rendszergazda jvhagyja a frisstseket. gy a rendszergazdnak mdja nylik r, hogy a csomagok
teleptse eltt elvgezze a szksges teszteket.
gyfloldal
1. AU-gyfl figyeli a
WSUS-t: frissts
rkezett!
2. Admin lpett be?
Igen
Nem
Az admin kapja
az zenetet, s
ideiglenesen
negliglhatja a
teleptst
Igen
jraindts
5. Az AU-gyfl
vrja a kvetkez
ellenrzst.
270
Egyb kiszolglkomponensek
A WSUS-gyfelek belltsai
A letlttt frisstcsomagok ngy klnfle llapotban lehetnek, ezek kzl
vlaszthatunk a jvhagys sorn:
Approved for Remove (Eltvoltsra jvhagyva) az adott csomag trldik az gyflgpekrl (csak akkor vlaszthat, ha a frissts tmogatja).
Not Approved (Jv nem hagyott) minden frissts ebben az llapotban rkezik.
A frisstsek jvhagyst elvgezhetjk kzzel (egyenknt vagy csoportosan), illetve a korbbiak szerint bellthat a letlttt frisstsek automatikus jvhagysa is. A jvhagyssal egytt szksg esetn megadhatunk egy hatridt is,
ameddig az adott frisstsnek mindenkppen teleplnie kell az gyflgpeken.
A kiszolgl belltsai s a csomagok jvhagysa utn mr csak az gyfeleknek kell megmondanunk, hogy j WSUS-kiszolgl kerlt a hlzatba, legyenek szvesek ezentl ezt hasznlni a Microsoft Update-kiszolglk helyett.
Az AU-gyfelet a Windows 2000 SP2-tl kezdve brmelyik opercis rendszer futtathatja (termszetesen a kiszolglk is). A Windows 2000 SP2, s a
Windows XP RTM (vagyis javtcsomag nlkli) vltozata azonban nem tartalmazza az gyflszoftvert, ezekre kzzel (vagy csoporthzirenddel) kell teleptennk a Microsofttl letlthet csomagot.
Az gyflszoftver felhasznli felletn (Vezrlpult Automatikus frisstsek) csak egyetlen belltsi lehetsget kapunk, minden mst csak a megfelel csoporthzirend-opcik segtsgvel (vagy esetleg kzvetlen registry mdostssal) adhatunk meg. A WSUS 3.0 esetn sszesen 15 csoporthzirend-opci
segtsgvel hatrozhatjuk meg az gyfelek viselkedst, a kvetkezkben ezek
kzl tekintjk t a legfontosabbakat:
Configure Automatic Updates (Az automatikus frissts konfigurlsa) az opci azt hatrozza meg, hogy az AU-gyfelek hogyan kapjk
meg s teleptsk a frisstseket. Ez az opci rhet el a felhasznli felleten keresztl is, de ott ms bellts nlkl termszetesen csak a
Microsoft Update kiszolglkrl val letltsekre vonatkozik. Ngy lehetsg kzl vlaszthatunk:
271
Notify for download and notify for install (rtestsen a frisstsek letltse eltt, s rtestsen jra a telepts megkezdse eltt) ebben az esetben a letlts, s a telepts is kzzel indtand az gyflgpen.
272
Auto download and scheduled for install (Tltse le a frisstseket automatikusan, s az albb megadott temezs szerint teleptse ket) a letlts s a telepts is automatikusan trtnik,
az idztst a panel aljn llthatjuk be. Ha ebben az idpontban
a gp ppen kikapcsolt llapotban van, akkor a frissts letltse
s teleptse a kvetkez bejelentkezs utn fog megtrtnni.
Egyb kiszolglkomponensek
Automatic Updates detection frequency (Automatikus frisstsek keressi gyakorisga) Az AU-gyfl az itt megadott idkznknt keres j
frisstseket a WSUS-kiszolgln. Az alaprtelmezs 22 ra, ami nagyon j
vlaszts, mivel gy azokra a szmtgpekre is sor kerl elbb-utbb,
amelyek csak egy meghatrozott napszakban vannak bekapcsolva.
Re-prompt for restart with scheduled installations (jbli rkrdezs az jraindtsra temezett teleptseknl) Ha a felhasznl nem
indtotta jra a gpet az els figyelmeztets utn, a tovbbi figyelmeztetsek kztt az itt belltott vrakozsi id lesz rvnyes (alaprtelmezs szerint 5 perc).
273
Reschedule Automatic Updates scheduled installations (Automatikus frisstsek temezett frisstseinek ttemezse) Az opci rtke 160-ig (percben) llthat, a szmtgp bekapcsolsa utn ennyivel fog megkezddni a hinyz javtcsomagok letltse s teleptse.
A WSUS-belltsok terjesztsre hrom klnbz megolds kzl vlaszthatunk (a csoporthzirend hasznlatnak rszleteirl a kvetkez fejezetben
lesz sz):
A leend WSUS-gyfelek szmtgpfikjainak kln szervezeti egysgeket (Organizational Unit, OU) ksztnk, s kln GPO-kkal csak
ezekhez rendeljk hozz a WSUS belltsait.
Nem ksztnk kln OU-t, hanem az WSUS GPO-kat a meglev szervezeti egysgek kzl rendeljk hozz a megfelelkhz.
Jelentsek
A WSUS-kiszolgl jelentseinek segtsgvel mindenre kiterjed informcit
kaphatunk a rendszer mkdsrl, lekrdezhetjk az egyes gyflgpek
vagy frisstsek llapott, a szinkronizcival kapcsolatos esemnyeket, illetve sszefoglal jelentst krhetnk a kiszolgl valamennyi belltsrl is.
Nagyon ltvnyos s rszletes jelentst kszthetnk az elzetesen megadhat szmos belltsi, szrsi paramternek megfelelen, az eredmnyt pedig
akr Excel-, vagy pdf-formtumban is elmenthetjk, illetve termszetesen a
kzvetlen nyomtatsra is lehetsg van.
274
TDIK FEJEZET
Tartomnyi krnyezet
A fejezet tartalma:
Mire j a cmtr? ............................................................................................... 276
Az Active Directory-cmtrszolgltats alapjai .............................................. 279
A DNS-szolgltats ........................................................................................... 294
Az Active Directory teleptse .......................................................................... 309
Tipikus cmtrobjektumok ............................................................................... 312
A cmtr mentse s visszalltsa .................................................................. 319
A csoporthzirend ............................................................................................. 322
A replikci s a telephelyek ............................................................................ 331
A tartomny koncepci s az ehhez kapcsold Active Directory cmtrszolgltats a legtbb szervezet esetn az informatikai rendszer legfontosabb alkoteleme. A cmtr trolja a hlzat valamennyi objektumnak s szmos
erforrsnak adatait, s ezeket egysges, jl kezelhet formban elrhetv
teszi a felhasznlk s a rendszergazdk szmra, gy biztostja a hlzat
hasznlathoz s felgyelethez szksges infrastruktrt.
Ebben a fejezetben teht az Active Directory, s a hozz kapcsold szolgltatsok, felgyeleti eszkzk hasznlatval kapcsolatos tudnivalkrl lesz
sz. A kvetkez tmakrkkel fogunk foglalkozni:
Mire j a cmtr? ttekintjk milyen szolgltatsokat nyjt a cmtr, s milyen gyakorlati haszonnal jr bevezetse a felhasznlk s a
rendszergazdk szmra.
Tartomnyi krnyezet
A cmtr mentse s visszalltsa Mire idig jutunk, mr meglehetsen sok munknk fekszik a cmtrstruktra kialaktsban, gy
gondoskodnunk kell a rendszeres mentsrl.
Mire j a cmtr?
Ha definilni szeretnnk a cmtr fogalmt, akkor egyszeren mondhatjuk
gy: a cmtr egy olyan adatbzis, ami kpes a hlzat valamennyi erforrsnak azonostsra, s hierarchikus rendszerben val trolsra. Kiegszthetjk a defincit mg azzal is, hogy az azonosts s trols mellett a hlzat fizikai felptst s protokolljait tlthatv teszi, gy a hlzat erre feljogostott felhasznli elrhetik a hlzat erforrsait anlkl, hogy tudnk,
hol tallhatak azok valjban, vagy hogyan kapcsoldnak egymshoz fizikailag. Ez a meghatrozs persze nemcsak a Windows Server 2003 cmtrszolgltatsra az Active Directoryra, hanem brmilyen ms cmtrra is igaz.
Ez eddig rendben is van, de vajon mgis mire j a cmtr a gyakorlatban,
mennyiben teszi knnyebb a felhasznlk s az zemeltetk lett? Mit fog
ltni (s hasznlni) a cmtrbl a gpe eltt l felhasznl, s mit a rendszergazda, akinek a bevezetstl kezdve ezzel az jabb technolgival is nap
mint nap birkznia kell?
276
Mire j a cmtr?
Nos, a felhasznl azt fogja tapasztalni, hogy a korbbinl sokkal ritkbban ltja a rendszergazdt, a gpe magtl tud mindent, a munkakrnyezete szpen szrevtlenl, de folyamatosan alkalmazkodik az ignyeihez. Ha j
programot kell hasznlnia, akkor az feltelepl a gpre, az Asztaln pedig
megjelennek az j parancsikonok. Ha j gpet kap, vagy tmenetileg t kell
lnie egy kollga gphez, akkor nemcsak hogy minden tovbbi nlkl be tud
jelentkezni a megszokott felhasznlnevvel s jelszavval, de a dokumentumai, parancsikonjai, levelei s nyomtati is mind a helykn lesznek.
A felhasznlk teht szabadon (de ellenrztten) vndorolhatnak a gpek
kztt, a megszokott krnyezetk rnykknt kveti ket. A rendszergazda viszont majdnem mindent elintzhet a sajt szobjban, a sajt gpe eltt lve.
Kis tlzssal azt mondhatjuk, hogy egy jl felptett tartomnyi hlzatban a
rendszergazda csak akkor ltja a felhasznlk gpeit, ha csavarhzt is kell
magval vinnie, minden ms problma megoldhat tvolrl is. St, tvolrl s
csoportosan, vagyis a klnbz belltsokat nem kell egyesvel megadni a
gpeken, minden mvelet a gpek elre definilt csoportjaira vonatkozhat. gy
lehetsgess vlik az, hogy a biztonsgi belltsok s a jogosultsgok kiosztsa
mindentt egyformn s kvetkezetesen rvnyesljn, vagyis felhasznlk jogosultsgai (sajt szmtgpkn s a hlzaton is) pontosan megfeleljenek
annak az elvnek, hogy mindenki csak annyi jogosultsggal rendelkezzen, amennyire felttlenl szksge van egy adott feladat elltshoz.
A cmtr teht megadja a rendszergazda szmra azt a lehetsget, hogy a
kzpontilag elrhat belltsok s korltozsok rvn garantlhassa a rendszer s az egyes gpek folyamatos mkdkpessgt s biztonsgt. Ez persze a felhasznlk szmra bizonyos korltozsokkal jr, de egy nagyobb hlzat folyamatos mkdkpessgnek fenntartsa rdekben erre mindenkppen szksg van.
Mr tz szmtgp esetben is meglehetsen lehangol feladat, ha minden
egyes gpen ltre kell hoznunk egy j felhasznli fikot. Ha az j felhasznlnak mg jogokat is kell adnunk a fjlrendszerben, akkor mr itt is van a
dlutn t ra. Msnap pedig elgondolkodunk rajta, hogy taln mgis j lenne, ha mindenki a user felhasznlnvvel jelentkezne be valamennyi gpre, a
jelszt pedig esetleg kitehetnnk a falijsgra
Active Directory krnyezetben nincsen szksg arra, hogy az j felhasznli fikot vagy csoportot minden egyes gpen kln ltrehozzuk, a cmtr ltal
trolt egyetlen felhasznli fik tulajdonosa valamennyi (a tartomnyhoz tartoz) szmtgpen bejelentkezhet, a csoportok pedig jogosultsgokat kaphatnak a hlzati s a helyi erforrsok elrshez is, s vltozs esetn is csak
ezt az egy objektumot kell mdostanunk rtelemszeren egyetlen helyen.
Msrszt, amibl vrhatan sok van egy hlzatban (szmtgpek, nyomtatk, felhasznli profilok stb.), azt a csoporthzirend segtsgvel egyszerre
rhetjk el, tulajdonsgaik, belltsaik egyetlen mozdulattal mdosthatk.
277
Tartomnyi krnyezet
Lehetv teszi a fent emltett hlzati erforrsok kezelst, ltrehozst, trlst, tulajdonsgaik belltst.
Cskkenti, optimalizlja a hlzati forgalmat, s szmos klnbz erforrshoz (megosztott mappk, nyomtatk, levelezs stb.) egyetlen felhasznlnv, jelsz megadsval biztost hozzfrst (Single Sign On, SSO).
A felgyeleti rendszer alapjt kpez, rendkvl sszetett lehetsgekkel rendelkez csoporthzirend megolds megknnyti a legbonyolultabb hlzat felgyelett is.
Az Active Directory alapjul egy JET (Joint Engine Technology) adatbzismotort felhasznl ESE (Extensible Storage Engine) adatbzis szmos j tulajdonsggal s kpessggel kiegsztett vltozata szolgl. Az adatbzisban egyszeren megtallhatk elrhetk s elolvashatk a trolt adatok, s az Active
Directory hierarchia s hozzfrsi modellje segtsgvel igen rszletesen szablyozhat az egyes elemekhez, vagyis a hlzat erforrsaihoz val hozzfrs.
Termszetesen a hlzat elemei alatt itt nemcsak a tartomnyvezrlkn, vagy
kiszolgl szmtgpeken, hanem magukon az gyflgpeken elrhet erforrsokat is rtjk, a hozzfrsi jogok szablyozsa ezekre is kiterjedhet.
Az Active Directory szorosan integrldik a Windows-rendszerek biztonsgi modelljbe, a felhasznlazonostssal s hozzfrs-vezrlssel kapcsolatos feladatok legnagyobb rszt tveszi az gyflgpektl. Ugyancsak az
Active Directory vgzi a felhasznlk azonostst szmos kiszolgl-alkal278
Az Active Directory-cmtrszolgltats
alapjai
Termszetesen ahhoz, hogy kiaknzhassuk az Active Directoryban rejl lehetsgeket, elszr be is kell fektetnnk (nemcsak anyagi rtelemben), vagyis
meg kell szereznnk a hatkony hasznlathoz s zemeltetshez nlklzhetetlen tudst. Minl mlyebben ismeri a rendszergazda az ltala zemeltetett
rendszert, annl kevesebbet kell dolgoznia, az ismtld rutinfeladatok automatizlsa a megfelel technolgia s a megfelel ismeretek birtokban
nem jelenthet problmt. A kvetkezkben az Active Directory zemeltetshez szksges alapismereteket fogjuk ttekinteni, megismerkednk a cmtr
alkotrszeivel, s a felgyelethez szksges legfontosabb eszkzkkel.
Az Active Directory a korbban ltez meglehetsen egyedi megoldssal ellenttben, teljes mrtkben a bevlt ipargi szabvnyokon alapul. (A Windows
NT cmtr jelleg adatai a registryben troldtak.) Az Active Directory alapjul az X.500 szabvny szolgl, hozzfrsi protokollja pedig a szles krben
hasznlt LDAPv3 (Lightweight Directory Access Protocol). Az Active Directory
felptse rendkvli rugalmassgot s sklzhatsgot tesz lehetv; kpes alkalmazkodni az t szmtgpet hasznl kisvllalatok, s a tbb kontinensen
elhelyezked, kiszolglk szzait vagy ezreit tartalmaz hlzatok ignyeihez
is. Az AD ltal trolhat objektumokat s azok tulajdonsgait a hierarchikus s
kiterjeszthet, mdosthat nvtr, a sma hatrozza meg, gy knnyedn kpes
a specilis ignyek kiszolglsra is. Az Active Directory-adatbzis tbb, egymssal automatikusan szinkronizld pldnyt a tartomnyvezrlk (Domain Controller, DC) troljk. Az elosztott trols ellenre az objektumok mdostsainak nyilvntartsn alapul multimaster (tbb fkiszolgls) replikci
miatt minden adatbzispldny teljesen egyenrtk, a szksges mdostsok brmelyik tartomnyvezrln elvgezhetk.
279
Tartomnyi krnyezet
Erd (Forest) A legmagasabb szint Active Directory trol neve erd. Az erd kzs smt s globlis katalgust hasznl, egy vagy tbb
tartomnyt foglal magba. Az erd els tartomnyt az erd gykrtartomnynak hvjk.
280
Fa (Tree) Ha az erd tbb tartomnya sszefgg DNS-tartomnyneveket hasznl, vagyis egyms gyermek, illetve szltartomnyai,
akkor a struktrt tartomnyfnak nevezzk.
Tartomny (Domain) A tartomny az Active Directory alapvet szervezeti s biztonsgi egysge. A tartomny olyan gyfelek, kiszolglk s
egyb hlzati erforrsok gyjtemnye, amelyek kzs cmtradatbzist
alkotnak, s egyben a replikci alapegysgt kpezik. Egy adott tartomny minden tartomnyvezrlje fogad mdostsokat, s azokat a tar-
tomny tbbi tartomnyvezrljre repliklja. Az Active Directory-cmtrban minden tartomnyt egy-egy DNS-tartomnynv azonost, s minden tartomny legalbb egy tartomnyvezrlt tesz szksgess.
281
Tartomnyi krnyezet
A multimaster replikci gynevezett laza konzisztencit tart fenn a cmtron bell, ami azt jelenti, hogy az egyes pldnyok brmikor tartalmazhatnak ugyan ideiglenes, a teljesen konzisztens llapotnak nem megfelel adatot, de a konfliktusok a replikci sorn elbb-utbb valamilyen mdon biztosan felolddnak.
Cmtrpartcik
A partci az Active Directory egy sszefgg rszfja, amely egy egysgknt replikldik az erd ms, ugyanennek a rszfnak egy-egy replikjt magukban foglal tartomnyvezrli szmra. Az Active Directoryban minden tartomnyvezrl egyenknt legalbb a kvetkez hrom cmtrpartcival rendelkezik:
Smaadatok
(minden objektum s
tulajdonsg formlis
lersa)
A cmtr topolgija
(tartomny, fa, erd,
DC / GC-lista)
Felhasznl / gp
fikok, csoportok,
e-mail cmek adatai
Alkalmazsadatok
(opcionlis)
Minden DC s GC
Sma
Konfigurcis
adatok
Tartomnyadatok
Alkalmazsadatok
Minden DC az erdben
Minden DC a
tartomnyban
Adott DC-k az
erdben
282
Sma partci (Schema Partition) A sma partci az osztly- s attribtum-defincikat, vagyis az objektumok s tulajdonsgok formlis
lerst trolja. A partci minden tartomnyvezrln s minden globlis katalgusban megtallhat. Az Active Directory sma az egsz erdre vonatkozan megegyezik.
Tartomny partci (Domain Partition) itt tallhatjuk meg a felhasznlkra, szmtgpekre, csoportokra s egyb tartomny szint
objektumokra vonatkoz adatokat. A partci az adott tartomny minden tartomnyvezrljn megtallhat.
RID-fkiszolgl (RID Master) Tartomnyszint mveleti fkiszolgl szerepkr, vagyis minden tartomnyban legfeljebb egy lehet belle. A
szerepkrrel felvrtezett tartomnyvezrl kpes arra, hogy a sajt, vagy
valamelyik msik tartomnyvezrl krsre egy ltrehozand j objektum (felhasznli fik, csoport stb.) szmra kiadja a relatv azonost
(Relative Identifier, RID) rszt a leend objektum biztonsgi azonostjhoz (Security Identifier, SID). A RID Mastertl a tbbi tartomnyvezrl
200-as csomagokban (RID Pool) kap relatv azonostt, amivel azutn
nllan gazdlkodik. A rendszer ppen gy mkdik, mint a vonalkdok, hlzati krtyacmek (MAC-address), vagy egyb egyedi sorszmozs termkek kiadsa: az tkzsek elkerlse rdekben a sorszmokat egy kzpont bocstja ki. A relatv azonost rsz teljesen egyrtelmen azonostja az objektumot a tartomnyon bell. Ha nem rhet el a
RID-fkiszolgl, csak addig lehet a tartomnyban j objektumokat ltrehozni, amg a korbban kiosztott RID Poolok el nem fogynak.
PDC-emultor (PDC Emulator) Tartomnyszint mveleti fkiszolgl szerepkr, minden tartomnyban csak egy lehet belle. Feladata,
hogy a Windows 2000 eltti gyfelek szmra elsdleges Windows NT
tartomnyvezrlknt (Primary Domain Controller, PDC) mkdjn.
Ennek megfelelen feldolgozza az gyfelek bejelentkezseit, jelszvltozsait, s repliklja a vltozsokat a tbbi tartomnyvezrl fel.
283
Tartomnyi krnyezet
Feladatai kz tartozik mg a tartomny sszes tartomnyvezrlje ltal mutatott id automatikus szinkronizlsa a Windows Time szolgltats segtsgvel.
Erdszint szerep
Tartomnyszint szerep
Schema Master
Domain Naming
Master
PDC emulator
PDC
Emulator
RID master
RID
Master
Infrastructure
master
Infrastructure
Master
Tartomny-szerep
RID Master
PDC Emulator
Infrastructure
Master
5.3. bra: Az erd els tartomnyvezrlje kapja az erd szint, az egyes tartomnyok els
tartomnyvezrli pedig a tartomnyszint szerepeket
284
Infrastruktra-fkiszolgl (Infrastructure Master) Szintn tartomnyszint mveleti fkiszolgl szerepkr, amelybl szintn egy lehet a tartomnyon bell, de csak akkor van r szksg, ha a hlzat
tbb tartomnybl ll. Feladata a sajt tartomnynak objektumai s a
tbbi tartomnyban tallhat objektumok kztti hivatkozsok frisstse. Amennyiben nem rhet el, a tartomnyon bell nem vesznk
szre vltozst, azonban a tbbi tartomnnyal val kapcsolattarts sorn frisstsi problmk keletkeznek.
Tartomnynv-nyilvntartsi fkiszolgl (Domain Naming Master) Erdszint mveleti-fkiszolgl szerepkr, amelybl az erdben
kizrlag egy lehet. A specilis szereppel br tartomnyvezrl szablyozza az erdben a tartomnyok hozzadst s trlst. A tartomnyfkkal kapcsolatos vltoztatsok nem hajtdnak vgre, ha a szerepet
megvalst tartomnyvezrl nem rhet el.
Sma-fkiszolgl (Schema Master) Erdszint mveleti-fkiszolgl szerepkr, kzpontostva vgzi el a sma sszes frisstst s mdostst. Amennyiben az erd smjt frissteni kvnjuk, hozzfrsi
joggal kell rendelkeznnk a sma-fkiszolglhoz. Az elz szerephez
hasonlan sma-fkiszolglbl is csak egy lehet az erdben, s szintn
nem vesszk szre a hinyt, egszen addig, amg nem kerl sor a sma frisstsre, vagy bvtsre.
Az erd els tartomnyvezrljnek (ez egyben az elsknt ltrehozott tartomny els tartomnyvezrlje is) teleptsekor valamennyi erd s tartomny
szint szerepkr erre a kiszolglra kerl, de ksbb ha mr tbb tartomnyvezrlnk is van , az egyes szerepeket tetszs szerint brhov thelyezhetjk. Ha egy adott szerepkrt megvalst tartomnyvezrlt lefokozunk, illetve eltvoltunk a tartomnybl, akkor az adott szerepkr thelyezsrl (lehetleg mg akkor, amikor a rgi kiszolgl is elrhet) mindenkppen gondoskodnunk kell. A tartomnyszint szerepkrk (RID Master,
PDC Emulator, Infrastructure Master) thelyezsre az Active Directory
Users and Computers (Active Directory felhasznlk s szmtgpek) konzol
hasznlhat, a Domain Naming Master szerepkrt az Active Directory
Domains and Trusts (Active Directory tartomnyok s bizalmi kapcsolatok),
a Schema Master szerepet pedig az Active Directory Schema (Active Directory
Sma) MMC-modul hasznlatval adhatjuk t msik tartomnyvezrlnek.
A sma
A sma az Active Directory-adatbzis szerkezete, vagyis a cmtrban trolhat
objektumok definciinak sszessge. A sma minden egyes objektumosztly
szmra meghatrozza a ktelez s lehetsges attribtumok krt, valamint a
szlknt megadhat objektumosztlyokat. Az alapsma (vagy alaprtelmezett
sma) rengeteg objektumosztlyt s attribtumot tartalmaz, gy a legtbb esetben nincs szksg ennek mdostsra. Szmtalan klnbz adatot tartalmazhat pldul minden egyes felhasznl objektum, a mkdssel kapcsolatos belltsok mellett (pl. login szkript, csoporttagsg, dial-up engedlyek stb.) informlis
adatok tucatjait is trolhatjuk (cm, telefonszm, iroda, orszg, cg adatai stb.).
Ha azonban olyan adatokat is trolni szeretnnk a cmtrban, ami nem fr
bele az alapsmba, akkor lehetsg van a meglv osztlyok s attribtumok
mdostsra, illetve jak hozzadsra is. Alaposan meg kell azonban fontolnunk minden mdostst, mert a megvltozott sma kslekeds nlkl
replikldik az erd valamennyi tartomnyvezrljre, vagyis a mvelet minden esetben a teljes hlzatot rinti. Radsul a mdostsok visszavonsra
285
Tartomnyi krnyezet
egyltaln nincs lehetsg, a smbl semmi nem trlhet (csak a deaktivls lehetsges), hiszen a sma alapjn ltrehozott objektumokban l hivatkozsok lehetnek a trlni kvnt elemekre.
Objektumosztlyok
User
Computer
Tulajdonsgok
accountExpires
department
distinguishedName
directReports
dNSHostName
Printer
operatingSystem
286
Globlis katalgus
5.5. bra: A globlis katalgus az erd sszes tartomnynak valamennyi objektumrl
tud valamit
A globlis katalgusban lv rszleges msolatok azokat az attribtumokat tartalmazzk, amelyek gyakran elfordulnak a felhasznli keressekben. A globlis katalgusba bekerl attribtumok krt a sma hatrozza meg, a kivlasztottak meg vannak jellve az objektumosztlyban. A globlis katalgusban trtn objektumtrols segtsgvel a felhasznlk gyorsan s hatkonyan tudnak keresni a cmtrban anlkl, hogy a tartomnyvezrlk kztti
kommunikci terheln a hlzatot.
Az egyedi fkiszolgl-mveletek s a globlis katalgus szerepkr
Ebben a screencastban megismerkednk az egyedi-fkiszolgl szerepkrk s a globlis katalgus szerepkr msik kiszolglra val thelyezsnek mdszervel, s kiprblunk kt parancssori eszkzt, amelyek a tartomnyvezrlk mkdsnek ellenrzsre hasznlhatk.
Fjlnv: II-2-1a-FSMO.avi
287
Tartomnyi krnyezet
Tmogatott tartomnyvezrlk
Windows NT 4.0
Windows 2000
Windows Server 2003 termkcsald
Windows 2000
Windows Server 2003 termkcsald
Windows NT 4.0
Windows Server 2003 termkcsald
A mkdsi szint ellptetst kveten a korbbi opercis rendszereket futtat tartomnyvezrlket nem lehet a tartomnyba belptetni. Ha pldul a tartomny mkdsi szintjt ellptetjk a Windows Server 2003 szintre, Windows 2000 Servert futtat kiszolglkat tartomnyvezrlknt mr nem lehet
hozzadni a tartomnyhoz. Termszetesen tovbbra is belptethet a tartomnyba a Windows 2000 Server, brmifle funkcit ellthat, csak tartomnyvezrl nem lehet tbb.
Az erdk mkdsi szintjnek belltsval az erd sszes tartomnyn
engedlyezhetk szolgltatsok. Az erdkhz hrom mkdsi szint ll rendelkezsre: Windows 2000, tmeneti Windows Server 2003 s Windows Server 2003. Alaprtelmezs szerint az erdk Windows 2000 szinten mkdnek,
s ezt Windows Server 2003 szintre lehet ellptetni.
Az albbi tblzat az erdk egyes mkdsi szintjeit s az azokhoz hasznlhat tartomnyvezrlket sorolja fel.
Erd mkdsi szintje
Tmogatott tartomnyvezrlk
Windows 2000
Windows NT 4.0
Windows 2000
Windows Server 2003 termkcsald
288
Tmogatott tartomnyvezrlk
Windows NT 4.0
Windows Server 2003 termkcsald
Az erd mkdsi szintjnek ellptetst kveten, a korbbi opercis rendszereket futtat szmtgpeket tartomnyvezrlknt nem lehet az erdbe
belptetni. Ha pldul az erd mkdsi szintjt ellptetjk a Windows Server 2003 szintre, Windows 2000 Server rendszert futtat tartomnyvezrlket mr nem lehet hozzadni az erdhz.
A mkdsi szint emelse tbb elnnyel is jr, pldul gy tehetjk lehetv bizonyos erd- vagy tartomnyszint j szolgltatsok, megoldsok hasznlatt (univerzlis csoportok stb.), s az R2 bizonyos szolgltatsai is csak
magasabb mkdsi szinteken hasznlhatk.
Mentett lekrdezsek s a tartomny, illetve erd mkdsi szintjnek emelse
Ebben a videban megmutatjuk az Active Directory-objektumok kztti keresst s csoportostst lehetv tev Mentett lekrdezseket (Saved Queries), illetve megemeljk tartomnyunk,
illetve erdnk mkdsi szintjt.
Fjlnv: II-2-1b-Saved-Queries.avi
Fizikai trols
Br szerencsre nehezen kpzelhet el olyan helyzet, amikor az Active Directoryt trol fjlokkal kzvetlen kapcsolatba kell kerlnnk, nem rthat, ha
mgis megismerkednk az egyes fjlok funkciival s az ltaluk trolt adatok
jellegvel.
Valamennyi fjl a %systemroot%\NTDS-mappban tallhat.
Ntds.dit a legfontosabb fjl az ntds.dit, ami magt az Active Directory-adatbzist trolja. A dit kiterjeszts a directory information tree
kifejezsre utal.
289
Tartomnyi krnyezet
A SYSVOL-mappa
A cmtrszolgltats fontos eleme a valamennyi tartomnyvezrln megtallhat SYSVOL nev megosztott mappa. A mappa tartalmazza azokat az
elemeket (fjlokat), amelyek az Active Directory-szolgltatsokhoz kapcsoldnak ugyan, de mgsem trolhatk a cmtradatbzisban. Itt tallhatjuk
meg azokat a fjlokat, amelyeket az gyflrendszerek indts, illetve bejelentkezs kzben letltenek a tartomnyvezrlrl, itt troldnak pldul a
csoporthzirend fjlok s sablonok (Policies mappa), valamint a bejelentkezsi szkriptek (a scripts mappban, ami a NETLOGON megosztson keresztl
rhet el az gyfelek szmra) stb. A megosztott mappa ltrehozst s az
engedlyek belltst az Active Directory teleptprogramja automatikusan
elvgzi. A SYSVOL-mappa tartalmt a File Replication Service (FRS) komponens rendszeresen szinkronizlja a tartomnyvezrlk kztt, gy brmelyik
tartomnyvezrln is vgezzk el a szksges mdostsokat, a megfelel fjlok rvid idn bell a tbbi pldnyban is megjelennek.
Kezels s eszkzk
A kvetkezkben megismerkednk az Active Directory felgyeleti eszkzeivel, sorra vesszk azokat a grafikus fellettel rendelkez s parancssori eszkzket, amelyekkel elrhetjk a cmtrban trolt objektumokat, illetve megadhatjuk az Active Directory mkdsvel kapcsolatos egyb paramtereket.
A grafikus fellettel felszerelt eszkzk mindegyike MMC-konzol, s
(majdnem) valamennyit a Start men Administrative Tools (Felgyeleti eszkzk) mappjbl indthatjuk el:
290
A leggyakrabban hasznlt konzol Active Directory Users and Computers (Active Directory felhasznlk s szmtgpek) nvre hallgat.
Segtsgvel kezelhetjk a cmtr objektumait, felhasznli s szmtgpfikokat, csoportokat, szervezeti egysgeket, megosztott mappkat s
nyomtatkat hozhatunk ltre, illetve bellthatjuk ezek tulajdonsgait.
Ugyancsak ezt a konzolt hasznlhatjuk a tartomny szint egyedi fkiszolgli-mveleteket (FSMO) vgz szmtgpek megadsra (RID
Master, PDC Emulator, Infrastructure Master), a felgyeleti jogok deleglsra s a tartomny mkdsi szintjnek megvltoztatsra is. A
felgyeleti jogok deleglsa azt jelenti, hogy tetszleges felhasznlnak,
vagy biztonsgi csoportnak jogosultsgot adhatunk brmely Active
Directory-troln (jellemzen szervezeti egysgen) bell meghatrozott
felgyeleti jogok gyakorlsra. A felgyeleti jog jelentheti pldul a felhasznli fikok ltrehozsnak, szmtgpfik hozzadsnak, vagy a
csoporttagsg mdostsnak lehetsgt, a jogosultsgi kr igen rszletesen meghatrozhat. Ilyen mdon, a szervezeten bell kis rendszergazdkat hozhatunk ltre, akik rendelkeznek a rendszergazda bizonyos
jogosultsgaival, de ez csak szigoran meghatrozott mveletekre, s az
objektumok pontosan meghatrozott krre vonatkozik.
291
Tartomnyi krnyezet
Az Active Directory Domains and Trusts (Active Directory-tartomnyok s bizalmi kapcsolatok) konzol, amint a nevbl sejthet, a tartomnyok kztti bizalmi kapcsolatok (trust relationship) kezelsre
szolgl. A bizalmi kapcsolat a tartomnyok kztti olyan kapcsolat,
amely lehetv teszi, hogy valamely tartomny felhasznlit egy msik
tartomny vezrlje hitelestse. A Windows 2000 s a Windows Server
2003 erd tartomnyai kztti bizalmi kapcsolatok mindig tranzitvak
s ktirnyak, gy a bizalmi kapcsolatokban mindkt tartomny megbzhatnak minsl. Ezzel a konzollal lehet tovbb a tartomnynvnyilvntartsi fkiszolgl (Domain Naming Master) szerepet megvalst kiszolglt kijellni.
C:\>regsvr32 schmmgmt.dll
Ezutn nyissunk egy res MMC-konzolt s a File (Fjl) menben vlasszuk az Add/Remove Snap-in (Bepl modul hozzadsa/eltvoltsa), pontot, majd kattintsunk az Add (Hozzads) gombra. A listban
jelljk ki az Active Directory Schema sort, majd nyomjunk nhny
OK-t. A konzolt tetszs szerinti nven elmenthetjk, s termszetesen
parancsikont is kszthetnk hozz.
A fenti konzolokon kvl az Active Directory-objektumainak kezelshez szmos parancssori segdprogram is hasznlhat, a kvetkezkben ezeket fogjuk
ttekinteni.
292
DSadd felhasznlt, csoportot, szmtgpet, kapcsolattartt s szervezeti egysget adhatunk segtsgvel az Active Directoryhoz.
DSmod a megadott tpus cmtrobjektum mdostsra hasznlhat. Az objektum tpusa a kvetkez lehet: felhasznl, csoport, szmtgp, kiszolgl, kapcsolattart s szervezeti egysg.
DSquery a megadott keressi felttelek alapjn kereshetjk s lekrdezhetjk a cmtrobjektumokat. ltalnos zemmdban brmilyen
tpus objektum, specilis zemmdban pedig a kivlasztott objektumtpusok lekrdezsre hasznlhat.
DSmove a parancs segtsgvel objektumokat nevezhetnk t, illetve thelyezhetjk ket az adott tartomnyvezrl msik helyre.
CSVDE a program nevbl (Comma Separated Values Directory Export, vesszvel elvlasztott cmtrexport) is kitallhat, hogy az a kzismert csv, vagyis vesszvel elvlasztott rtkekbl ll fjlformtummal dolgozik. A cmtr adatait ilyen fjlokban exportlhatjuk, illetve
megfelel tartalm csv fjl esetn importlhatjuk is azt a cmtrba. A csv
formtum kivlan hasznlhat, ha az adatokon valamifle utfeldol-
293
Tartomnyi krnyezet
A DNS-szolgltats
Ha Active Directoryt szeretnnk, akkor a DNS-szolgltats hasznlata nem
opcionlis, a gpek kztti egyszer nvfelolds, s az Active Directory mkdshez nlklzhetetlen szolgltatsok azonostsa is a DNS-adatokon alapul. A Windows tartomny nevnek radsul minden esetben meg kell
egyeznie a hozz tartoz DNS-tartomny nevvel, vagyis a kt klnll nvtr szoros szimbizisban ltezik.
Fontos tisztznunk, hogy az azonos nv ellenre a DNS-tartomnyok s az
Active Directory-tartomnyok szerepe alapveten eltr egymstl. Br a kt
nvtr azonos tartomnystruktrt hasznl, a trolt adatok, s gy a kezelt
objektumok is klnbzek: a DNS-znkat s erforrsrekordokat, mg az
Active Directory-tartomnyokat s a tartomnyhoz tartoz objektumokat trol. A DNS-erforrsrekordokat ad vlaszul a tartomny- s szmtgpnevekre vonatkoz krsekre, amelyek a DNS-kiszolglkhoz rkeznek, mg az
294
A DNS-szolgltats
Active Directory a tartomnyvezrlkhz intzett LDAP-krsek hatsra elvgzi a krt mveletet az adatbzisban trolt objektumokon.
Ez teht azt jelenti, hogy egy szmtgpet reprezentl Active Directoryobjektum, s az adott szmtgphez tartoz DNS-erforrsrekord kt teljesen klnbz nvtrben tallhat.
Br a DNS-kiszolgl teleptse s belltsa az Active Directory teleptsvel egytt, automatikusan megtrtnik, s a szksges erforrsrekordok
bejegyzse is automatikus lehet, alapvet fontossga miatt nem kerlhetjk
el a kzelebbi ismeretsget, mivel jl belltott DNS-kiszolgl nlkl az
Active Directory alapfunkcii is mkdskptelenek.
A DNS (Domain Name System) az IETF (Internet Engineering Task
Force) nvszolgltatsi szabvnyn alapul szolgltats, az interneten hasznlt nvazonosts alapja. A DNS olyan nemzetkzi, tbbszint elosztott
rendszer, amelynek segtsgvel a hlzati szmtgpek a tartomny-, illetve
hostnevek bejegyzst s feloldst valstjk meg. A DNS-adatbzis a szmtgpnevekrl (s ms szolgltatsokrl) s az egyes nevekhez, illetve szolgltatsokhoz tartoz IP-cmekrl trol informcit. Ezeket a neveket hasznljuk pldul az internethez csatlakoz szmtgpek erforrsainak keresshez s hasznlathoz is. A 13 darab gynevezett root DNS-kiszolglt az
InterNIC nev (termszetesen amerikai szkhely) szervezet tartja fenn. Mivel ersen elosztott rendszerrl van sz, az IP-cmek s hostnevek sszerendelst trol adatbzis sok ezer nll DNS-kiszolgln tallhat. A DNS hrom f alkotrszbl ll:
A nvfelolds menete
A kvetkezkben vgigkvetjk a nvlekrdezs menett, megvizsgljuk,
hogy a lekrdezst kezdemnyez alkalmazs honnan, s milyen mdon juthat hozz a krt adatokhoz. Minden alkalmazs a DNS-gyfl rszt kpez
resolver szolgltatshoz fordul, ha egy megadott nvhez tartoz IP-cmre
(vagy fordtva) van szksge.
295
Tartomnyi krnyezet
A resolver elszr is a loklisan trolt DNS-gyorsttrban (lsd ksbb) prblja megkeresni a krt rekordot, ha ez sikeres, akkor a krs egyltaln nem
hagyja el a szmtgpet. Ha a keresett adat nem tallhat a gyorsttrban, akkor a resolver a TCP-IP-paramterek kztt megadott DNS-kiszolglhoz fordul,
neki teszi fel a krdst. Ha a kiszolgl az ltala trolt adatbzis-tredk alapjn
kpes a vlaszra, akkor visszakldi a krdses rekordot.
Ha a rekord itt sem tallhat, akkor a krs tovbb utazik flfel a hierarchiban, a DNS-kiszolgl a tovbbtknt megadott kiszolglnak (vagy jobb
hjn kzvetlenl a rootkiszolglknak) kldi el azt. Innen a lekrdezs megindul jra lefel a hierarchiban, egszen addig, amg meg nem tallja azt a
kiszolglt, ami az elosztott adatbzisnak ppen azt a szeletkjt trolja,
amelynek alapjn a krs megvlaszolhat. Nincs azonban mindig szksg a
teljes kr vgigjrsra, mivel minden egyes DNS-kiszolgl is gyorsttrazza a lekrdezseket, gy a gyakrabban elfordul cmekrt nem kell tovbb
krdezskdnie, a krs sok esetben a gyorsttrbl is kiszolglhat.
Hogy a lekrdezs tja jobban kvethet legyen, nzznk vgig egy konkrt esetet:
Egy szmtgpen fut bngszprogram a www.microsoft.com cmen tallhat weboldalt szeretn betlteni, ehhez termszetesen szksge van a nvhez
tartoz IP-cmre. Felttelezzk (br vals esetben valsznleg nem gy lenne),
hogy a cmhez tartoz erforrs-rekord nem szerepel egyetlen gyorsttrban
sem. A DNS-krst a gp sajt DNS-kiszolglja csak akkor tudja megvlaszolni, ha a microsoft.com tartomny sajt kiszolgljrl van sz, a tartomnyban lv www nev gp erforrsrekordja csak itt tallhat meg.
ltalban ez nyilvn nem gy van, vagyis a krs (hacsak a DNS-kiszolgln nincs tovbbt megadva, ahov a lekrdezseket el kell kldeni) a root
kiszolglkhoz kerl. k tudjk azt, hogy kik a com tartomny DNS-kiszolgli, teht a krst ezekhez fogjk elkldeni. A com tartomny kiszolgli
ismerik a microsoft.com DNS-kiszolgljt, ott pedig mr valban megtallhat a www nev gp erforrsrekordja, ez fog visszajutni a lekrdezst elindt resolverhez.
A DNS-nvfelolds nemcsak az interneten, hanem a modern, Active
Directory alap Windows tartomnyokban is alapvet szolgltats, amelynek
esetleges hibja drmai hatssal van a teljes bels hlzat letre. A Windows
hlzatokban is a DNS hasznlatval trtnik a gpek kztti kommunikcihoz szksges nvfelolds, a kiszolgli szerepek s szolgltatsok (tartomnyvezrl, globlis katalgus stb.) megkeresse. Jl mkd DNS-re van szksg,
hogy j gpeket lptethessnk be a tartomnyba, rszben a DNS-adatokon alapul a tartomnyadatok replikcija, s mg sok, sok ms nlklzhetetlen szolgltats is. A rgi NetBIOS alap nvfelolds csak vsztartalkknt jhet
szba, a DNS-kiszolgl hibja esetn nyerhetnk vele nmi idt.
296
A DNS-szolgltats
Bizonyos esetekben a gyorsttr problmkat is okozhat, mivel a DNSkiszolgln vgzett mdostsok csak ksve rkeznek meg az gyfelekre.
Ilyenkor mindig arra kell gondolnunk, hogy a gyorsttr mg a mdosts
eltti adatokat tartalmazza. Az gyfloldali gyorsttrat az albbi parancs
segtsgvel trlhetjk:
C:\>ipconfig /flushdns
Windows IP Configuration
Successfully flushed the DNS Resolver Cache.
Magn a DNS-kiszolgln is van gyorsttr, ami esetleg szintn okozhat hasonl problmkat. A gyorsttrat a DNS-kiszolglhoz tartoz MMC konzolrl (Action -> Clear Cache), illetve az albbi parancs segtsgvel trlhetjk:
297
Tartomnyi krnyezet
C:\>dnscmd server.ceg.local /clearcache
server.ceg.local completed successfully.
Command completed successfully.
A dnscmd program a Windows Support Tools rsze, gy azt kln kell telepteni (\support\
tools\suptools.msi a telept CD-n).
A DNS-zna
Znnak nevezzk a DNS-adatbzisokban a DNS-fa egy sszefgg rszt,
amelyet a DNS-kiszolgl nll egysgknt kezel. Minden zna tartalmazza a
hozz tartoz nevekhez kapcsold valamennyi erforrsrekordot. Zna pldul
a ceg.hu, a ceg.local, a ceg.priv stb. A zna belltsainak (pldul a nevnek)
megadsakor nagyon fontos, hogy tekintettel legynk a publikus s a tartomnyon belli DNS-szolgltats szigor elklntsre. Semmikppen nem clszer pldul a bels DNS-tartomny neveknt a vllalat regisztrlt, internetes
tartomnynevt hasznlni, sokkal jobb vlaszts a ceg.local tpus nv.
A DNS-kiszolglk minden znt nll fjlban trolnak (ha nem Active
Directory integrlt znrl van sz, lsd ksbb), gy a zna a replikci,
vagyis a DNS-adatok szinkronizlsnak alapegysge is. Az adatok visszakeressnek irnya alapjn kt znafajtt klnbztetnk meg:
A znk tpusai
A Windows kiszolglk DNS-kiszolgli hrom klnbz znatpust kpesek
trolni.
298
Standard Primary (szabvnyos elsdleges) a zna eredeti, mdosthat pldnyt trolja, ez fog a msodlagos znkba replikldni. A znban trtn brmifle vltoztats csak az elsdleges znban trtnhet.
Az elsdleges zna trolsra minden esetben egy egyszer szveges l-
A DNS-szolgltats
lomny, a znafjl szolgl. A znafjlok kiterjesztse dns, s a DNSkiszolglt futtat szmtgp %windir%\System32\Dns mappjban
tallhatjuk meg ket. A fjlok neve megegyezik a zna teljes nevvel.
A zna trolsa
A znaadatokat trolhatjuk a szoksos mdon fjlokban, illetve lehetsgnk
van Active Directory integrated (Active Directory-integrlt) trolsi tpus
hasznlatra is. Ez a trolsi md a Microsoft sajt megoldsa, ebben az
esetben a zna adatai (vagyis az elsdleges s a helyettest znk rekordjai)
kzvetlenl az Active Directory-adatbzisban troldnak a tbbi objektummal
egytt. Ebbl persze egyenesen kvetkezik, hogy ilyen znt csak tartomnyvezrln hozhatunk ltre. Az integrlt zna hasznlata mg egy fontos kvetkezmnnyel jr: ebben az esetben az Active Directory replikcija egyben a
DNS-adatok replikcijt is jelenti. A cmtrban csak elsdleges znk trolhatk, de ha minden znt az Active Directoryban trolunk, akkor a
multimaster replikci miatt egyltaln nincs szksg msodlagos znk
hasznlatra. Ha DNS-kiszolglnkat elssorban az Active Directory nvszolgltatsnak biztostsra sznjuk, akkor mindenkppen clszer ezt a
trolsi mdot vlasztani a kvetkez elnyk miatt:
Cmtrba integrlt znatrols esetn a DNS-zna mindegyik pldnya rhat, a szinkronizls a multimaster replikcis modell alapjn
trtnik.
299
Tartomnyi krnyezet
Cmtrba integrlt znk hasznlatakor hozzfrs-vezrlsi lista kapcsolhat valamennyi erforrsrekordhoz, gy differencilt hozzfrst
adhatunk akr minden egyes rekordhoz.
Az Active Directory replikcija az objektumok tulajdonsgainak szintjn trtnik, gy a rendszer a lehet legkisebb adatmennyisget mozgatja a znaadatok szinkronizcijhoz is.
A hagyomnyos mdon, vagyis szvegfjlban trolt znk esetben mindenkppen elnys az nll, jl tlthat trols (ez pldul a zna mentst is
egyszerbb s gyorsabb teszi), viszont a znk kztti szinkronizci belltsa, illetve az elsdleges s msodlagos znkat trol kiszolglk kivlasztsa tbb odafigyelst s manulis munkt ignyel.
A nvkiszolglk tpusai
A nvkiszolglk csoportostsa az ltaluk trolt (vagy nem trolt) zna tpusa alapjn trtnik, megklnbztetnk elsdleges, msodlagos, illetve gyorstraz kiszolglkat:
300
Primary DNS Server (elsdleges DNS-kiszolgl) az elsdleges kiszolgl felels a zna karbantartsrt, a zna tulajdonosa, a bejegyzett rekordokhoz teljes jogosultsga van.
Cache-only DNS Server (gyorstraz DNS-kiszolgl) a gyorstraz DNS kiszolgl nem trol znaadatokat, ltnek egyetlen rtelme a
kiszolgl-oldali gyorsttr fenntartsa.
A DNS-szolgltats
Ez a fajta csoportosts csak a fjlban trolt znk (gy pldul az interneten hasznlt publikus
nvkiszolglk) esetn rvnyes. Active Directory-integrlt znatrols esetn valamennyi kiszolgl adatbzisa mdosthat, a znafrissts pedig a cmtr replikcijval egytt automatikusan megtrtnik.
Tartomnyi krnyezet
dnthetik el, hogy szksges-e a zna letltse. Ugyancsak a SOA-rekordban trolt rtk szabja meg, hogy az gyfelek mennyi ideig trolhatjk sajt gyorsttraikban a letlttt rekordokat.
A-rekord: az A-rekordok egy szmtgp nevnek s IP-cmnek sszerendelst hatrozzk meg, a lekrdezsek tbbsgre a megfelel Arekord a vlasz.
CNAME-rekord: Egy msodnevet, vagyis aliast rendel a megadott A-rekordhoz, (illetve esetleg msik CNAME-rekordhoz). ltalban CNAME
hasznlatval szletnek a klvilgnak szl www, ftp, mail, proxy stb.
gpnevek, gy a valdi gpnv (ami az A-rekordban szerepel) kvetheti a
szervezeten bell kialaktott elnevezsi szoksokat, illetve a terhels megosztsa miatt tbb gp is elrhetv tehet egyetlen nv hasznlatval.
MX-rekord: Az MX-erforrsrekordot az elektronikus levelezsre szolgl alkalmazsok hasznljk az zenetek cmzsben szerepl tartomny levelez kiszolgljnak azonostsra. A rekord annak a szmtgpnek (vagy szmtgpeknek) a nevt tartalmazza, amely az adott
tartomnyba rkez levelek fogadsrt felels. A szmtgp nevn
kvl a rekord tartalmaz egy szmot is, ami az adott kiszolgl prioritst jelzi (az alacsonyabb rtk magasabb prioritst jelent).
WINS-rekord: A WINS-erforrsrekordban egy WINS-kiszolglt adhatunk meg, ide tovbbtdnak majd a DNS-adatok alapjn meg nem
vlaszolhat IP-cm lekrdezsek.
Az utols hrom rekordtpus csak az Active Directory-tartomny bels DNS-kiszolgliban fordul el, a publikus nvkiszolglk ezeket nem tartalmazzk.
302
A DNS-szolgltats
Az SRV-rekordok formtuma
Az SRV-rekordok teht az Active Directory-szolgltatsok elrshez szksgesek. Hasznlatukkal lehetv vlik az, hogy tbb, hasonl TCP/IP-alap
szolgltatst nyjt kiszolglt egyetlen DNS-lekrdezsi mvelettel keressnk meg. A DNS-lekrdezs ebben az esetben nem egy konkrt kiszolglra,
hanem magra a szolgltatsra vonatkozik, a lekrdez pedig az SRV-rekordok ltal trolt kiszolgllistbl fogja megkapni azt, amelyik a belltott prioritsok alapjn jr neki. Ilyen mdon trtnik pldul az LDAP-protokoll segtsgvel a 389-es TCP-porton keresztl elrhet Active Directory-szolgltats megkeresse is. Az gyflgpek ebben az esetben nem egy konkrt szmtgp IP-cmt krdezik le a nvkiszolgltl, k csak annyit tudnak, hogy az
adott tartomny egyik (brmelyik) tartomnyvezrljvel kvnjk felvenni a
kapcsolatot, vagyis egy szolgltats (amit ltalban tbb konkrt szmtgp
is kpes nyjtani) IP-cmt fogjk megkapni.
Az SRV-erforrsrekordok egyes mezinek rendeltetse a kvetkez:
Szolgltats A keresett szolgltats szimbolikus neve. A szolgltats neve lehet pldul _ldap vagy _kerberos.
303
Tartomnyi krnyezet
Priorits Meghatrozza a cl mezben szerepl kiszolgl prioritst. Az SRV-erforrsrekordokat lekrdez DNS-gyfelek a legalacsonyabb sorszm (vagyis legmagasabb priorits) elrhet kiszolglval
prbljk meg felvenni a kapcsolatot.
Slyozs A priorits mellett a slyozs is terhelselosztsra hasznlhat. Azonos priorits kiszolglk esetn ez az rtk hatrozza
meg a lekrdezs eredmnyt.
Cl A krt szolgltats nyjtsra kpes kiszolgl DNS-tartomnynevt tartalmazza. Az itt szerepl nvhez tartoznia kell egy megfelel
llomscm (A) erforrsrekordnak, amely alapjn a krdses IP-cm
meghatrozhat.
Az albbi sorokban egy plda SRV-rekord lthat, fell az egyes mezk neve,
alul pedig egy lehetsges rtke:
Service_.Protocol.Name Ttl Class SRV Priority Weight Port Target
_ldap._tcp.ceg.local 600 IN SRV 0 100 389 server.ceg.local
A telepts utn azonban nhny fontos belltst ellenriznnk, illetve mdostanunk kell, hogy a nvszolgltats mkdse minden szempontbl megfelel lehessen. A belltsok kt nagy csoportba tartoznak; elsknt a zna,
majd a teljes kiszolgl opciit fogjuk ttekinteni.
304
A DNS-szolgltats
Tartomnyi krnyezet
A zna belltsai utn kvetkezzenek a kiszolgl opcii, ezek az adott kiszolgln ltrehozott valamennyi znra vonatkoznak majd. Keressk meg a
fban a kiszolglnk nevt, kattintsunk r a jobb gombbal, s vlasszuk a
Properties (Tulajdonsgok) parancsot!
Ha tbb hlzati csatol is van a gpben, akkor nagyon fontos, hogy a megfelel csatolra korltozzuk a DNS-szolgltatst. Nyilvnvalan teljesen felesleges (st kros), ha pldul a tartomnyon belli neveket kezel kiszolgl a
kls (az internet-szolgltat fel nz) csatolra rkez krsekre is vlaszol.
Az Interfaces (Kapcsolatok) lapon vlaszthatjuk ki a kiszolgl IP-cmei kzl
azokat, amelyeken keresztl vlaszolni kvnunk a berkez DNS-krsekre.
5.11. bra: A DNS-kiszolglnak nem kell felttlenl minden csatoln keresztl vlaszolnia
(br, ha csak egy van, akkor mgis)
A DNS-szolgltats
Ha tovbbtt jellnk ki (jellemzen az internetszolgltatnk DNS-kiszolgljt), akkor t tesszk felelss a kls forgalom kezelsrt. A tovbbt
radsul vrhatan rengeteg kls DNS-informcit gyjt ssze a gyorsttrban, gy a kls DNS-lekrdezsek j rszt az itt trolt adatok hasznlatval
is fel tudja majd oldani.
A tovbbt hasznlatra belltott DNS-kiszolgl az albbiak szerint
prblja megvlaszolni a hozz rkez lekrdezseket:
Ha az elz keressek sikertelenek voltak, akkor a lekrdezs a tovbbtknt megadott DNS-kiszolglhoz kerl.
307
Tartomnyi krnyezet
Kt cmkeressi znnk van, az _msdcs.ceg.local (Microsoft Domain Controllers) tovbb bonthat dc, domains, gc s pdc bejegyzsekre. A gc a globlis katalgust jelenti, a pdc bejegyzs pedig a PDC-emultorra utal. A ceg.local
alatt az albbi altartomnyokat kell tallnunk:
_sites itt a tartomnyvezrlket telephelyek szerinti bontsban talljuk, ez alapjn talljk meg a munkallomsok a hozzjuk legkzelebb
es kiszolglkat
Amennyiben ezek a bejegyzsek hinyoznak, az Active Directory mg alapfunkciit sem fogja tudni elltni. Ha nincs meg minden, vagy res a zna, a
kvetkezt tehetjk: Ha engedlyeztk a DNS-adatok dinamikus frisstst,
akkor a tartomnyi SRV-rekordok regisztrcijrt a NetLogon-szolgltats
felels, amely a bejegyzseket indulskor hozza ltre. Adjuk ki teht a kvetkez parancsokat:
C:\>net start netlogon
C:\>net stop netlogon
308
A telepts felttelei
Az Active Directory hasznlathoz Windows Server 2003 opercis rendszer
szksges, gyflrendszerekre a cmtr nem telepthet. A teleptprogram
futsa kzben meg kell adnunk a cmtr adatfjljainak leend helyt (alaprtelmezs szerint %WINDIR%\NTDS). A megadott mappnak mindenkppen
NTFS fjlrendszer kteten kell lennie, a minimlis helyigny pedig nagyjbl 250 MB. Nagyobb ignybevtel esetn indokolt lehet az nll, csak erre a
clra hasznlt cmtrpartci ltrehozsa. Mit neveznk nagy ignybevtelnek? Egy tlagos magyar vllalatnl elfordul terhelst semmikppen sem.
A gyakorlatban tbb ezer, de mg inkbb nhny tzezer troland objektum
esetn lehet szksg erre a megoldsra.
A cmtr teleptshez rendszergazda jogosultsg szksges egyrszt az
adott szmtgpen, msrszt, ha mr ltez tartomnyhoz csatlakozunk, akkor a tartomnyban is.
Alapfelttel a tkletesen belltott TCP/IP, elssorban a DNS-kiszolgl
miatt. Az Active Directory alapszksglete a jl mkd nvszolgltats, ha a
telept nem tall a hlzaton hasznlhat DNS-szolgltatst, akkor a telepts kzben maga hoz ltre egyet.
309
Tartomnyi krnyezet
A tartomny egy j erdben lesz, egy mr ltez tartomnyfra szeretnnk felfzni, esetleg j tartomnyft hoznnk ltre szmra egy ltez erdben?
310
Amennyiben a telept nem tall elrhet s hasznlhat DNS-szolgltatst, s nem utastjuk kifejezetten az ellenkezjre, akkor a telepts
rszeknt megtrtnik a DNS-kiszolgl teleptse s belltsa is.
Ltrehozza s megosztja a SYSVOL-mappt (az gyflgpek innen tltik majd le a hzirendeket, szkripteket stb.).
311
Tartomnyi krnyezet
Hibalehetsgek
Az Active Directory teleptse a korbban felsorolt felttelek teljeslse esetn
rutinmvelet, a legritkbb esetben fordul el olyan hiba, ami megakadlyozn
a telepts sikeres befejezst. Az albbi tblzatban mgis felsorolunk nhnyat a leggyakrabban elfordul hibajelensgek s a lehetsges okok kzl.
A jelensg
A lehetsges okok
Tzfal problma
Tipikus cmtrobjektumok
Az Active Directory objektumai kt csoportba sorolhatk; a kontner tpus
objektumok ms kontnereket, s levl tpus objektumokat tartalmazhatnak. Kontner tpus objektumok teht azok, amelyek ms objektumokat tartalmazhatnak, ilyen pldul maga a tartomny, a szervezeti egysgek stb. A levl tpus objektumok a hlzat klnfle funkcival rendelkez elemeit reprezentljk, ilyenek pldul a felhasznli- s szmtgpfikok, vagy a
nyomtatk. A kvetkezkben ttekintjk azokat a cmtrobjektumokat, amelyeket a telepts utn ltre kell hoznunk, hogy az Active Directory szolgltatsait a felhasznlk s a rendszergazdk is hatkonyan vehessk ignybe.
312
Tipikus cmtrobjektumok
Szervezeti egysgek, felhasznlk s szmtgpfikok kezelse
Ebben a screencastban az Active Directory felgyeletnek leggyakrabban hasznlt eszkzt, az
Active Directory Users and Computers konzolt ismerhetjk meg. Bemutatjuk a napi zemeltetsi gyakorlat ltalnos feladatait: szervezeti egysgeket s felhasznli fikokat hozunk ltre
s belltjuk a felhasznli fikok legfontosabb jellemzit.
Fjlnv: II-2-4a-ADUC.avi
A szervezeti egysg
A szervezeti egysgek az Active Directory-szolgltats troli, a tartomnyok
alapegysgei. A szervezeti egysgek tagjai felhasznli- s szmtgpfikok
csoportok, s ms szervezeti egysgek lehetnek. Idegen tartomnyba tartoz
objektumokat azonban nem tehetnk a szervezeti egysgekbe. A szervezeti
egysgek hasznlatnak egyik legfontosabb elnye, hogy azok a tartomnyhoz hasonl tulajdonsgokkal rendelkeznek, gy alkalmazsuk cskkenti a
szksges tartomnyok szmt. A szervezeti egysg az Active Directory legkisebb objektuma, amelyhez csoporthzirend objektumokat rendelhetnk, illetve amelyhez felgyeleti jogokat deleglhatunk. Az Active Directory-objektumokhoz tartoz jogosultsgok s a csoporthzirend is a szervezeti egysg
hierarchin keresztl rkldnek.
A szervezeti egysgek a tartomnyon bell szabadon thelyezhetk, mozgathatk. A szervezeti egysg-hierarchia megtervezse rendkvl fontos, mivel a jl kialaktott hierarchia alapvet felttele a csoporthzirend hatkony
mkdsnek. A kvetkezkben ttekintjk azokat a szempontokat, amelyeket figyelembe kell vennnk a szervezeti egysgek kialaktsakor.
313
Tartomnyi krnyezet
Modellek
Az OU tervezs szempontjai
Fldrajzi
Szervezeti
Feladatkr szerinti
Vegyes
A fikok tpusai
A felhasznli fik
A felhasznli fik (user account) az Active Directory alap rendszer felhasznljt reprezentlja. Az objektum trolja a felhasznl adatait (nevt, e-mail cmt,
telefonszmt stb.) s lehetv teszi, hogy a rendszer klnfle elemeihez hozzfrsi jogosultsgokat definiljunk az objektum ltal reprezentlt felhasznl
szmra. A kzponti trols s hitelests miatt a felhasznlk a hlzat tetszleges pontjn azonosthatjk magukat s hozzfrhetnek a szmukra engedlyezett erforrsokhoz. Az Active Directory beptetten tartalmaz nhny felhasznli fikot (pldul az Administrator (Rendszergazda) felhasznlt).
Felhasznlk ltrehozsa sablon alapjn
Ebben a screencastban bemutatunk egy egyszer mdszert, amelynek segtsgvel tbb felhasznli fik ltrehozst elre belltott sablon alapjn vgezhetjk el.
Fjlnv: II-2-4b-User-Template.avi
314
Tipikus cmtrobjektumok
A szmtgpfik
A szmtgpfik (computer account) az Active Directory-tartomny erforrsainak hasznlatra jogosult szmtgpet reprezentl. Az objektum a szmtgp
szmos tulajdonsgt tartalmazza (DNS-nv, opercis rendszer stb.) s lehetv
teszi, hogy a szmtgpen megadott felhasznli adatokat a cmtr hitelestse.
A szmtgpfikok nem jnnek ltre automatikusan (kivve a tartomnyvezrlkt), az objektumok ltrehozshoz az egyes gyflgpeket be kell lptetnnk a tartomnyba. (Termszetesen ltrehozhatjuk az objektumot az gyflgptl fggetlenl is, de ez nem elegend ahhoz, hogy a szmtgp valban
a tartomny tagjv vljon.) A tartomnyba val belpshez az gyflgpen
rendszergazdaknt kell bejelentkeznnk, s a folyamat sorn meg kell adnunk egy olyan tartomnyi felhasznl hitelest adatait is, akinek joga van
szmtgpfikokat ltrehozni az adott kontnerben.
315
Tartomnyi krnyezet
gyflgp belptetse a tartomnyba
Ebben a screencastban egy gyflgpet lptetnk be az Active Directory-tartomnyba, majd
megvizsgljuk a belps kzben a cmtrban ltrejtt j szmtgpfikot.
Fjlnv: II-2-4c-Join-Domain.avi
A tartomnyba val belptets kt fontos vltozssal jr az gyflgpre val bejelentkezssel kapcsolatban. Egyrszt a belps utn a helyi felhasznlk mellett valamennyi engedlyezett tartomnyi (vagyis az Active Directoryban trolt) felhasznl is be fog tudni jelentkezni a gpre. Ez azrt lehetsges, mert
gp helyi Users (Felhasznlk) csoportjnak tagja lesz a tartomny egyik alaprtelmezett csoportja, a Domain Users (Tartomnyfelhasznlk) csoport, vagyis
a tartomnyi felhasznlk a helyi Users csoporton keresztl kapnak jogot a gp
helyi erforrsainak elrsre. A msik lnyeges vltozs pedig az, hogy a helyi
Administrators (Rendszergazdk) csoportba bekerl a tartomnyi Domain
Admins (Tartomnygazdk) csoport, vagyis a tartomny rendszergazda jog
felhasznli rendszergazdaknt jelentkezhetnek be a tartomnyhoz tartoz valamennyi szmtgpen.
A csoportfikok
A csoportfikok (group account) az adminisztrci egyszerstst szolgljk, mivel a csoportokba helyezett felhasznl- s szmtgpfikok a csoporttagsgon keresztl kaphatnak hozzfrsi jogokat (biztonsgi csoport esetn),
vagyis, ha egy objektum hozzfrs-vezrlsi listjban csoportfik tallhat,
akkor a jogosultsg a csoport minden tagjra vonatkozik.
A terjesztsi csoport (distribution group) csak emailek terjesztsre hasznlt, biztonsgi szolgltatsokkal nem rendelkez csoport. A terjesztsi csoportok nem
szerepelhetnek a klnfle erforrsok s objektumok
hozzfrs-vezrlsi listiban, (Access Control List, ACL),
vagyis a terjesztsi csoportnak nem adhat semmifle jogosultsg. A terjesztsi csoportok az elektronikus levelezalkalmazsokkal hasznlhatk elektronikus levelek felhasznlcsoportoknak
val elkldsre. Ha egy csoportnak nem akarunk jogosultsgokat adni, hozzunk
ltre terjesztsi csoportot biztonsgi csoport helyett.
A biztonsgi csoportok (security group) kifejezetten a jogosultsgok kiosztsnak megknnytsre szolglnak, gy hozzadhatk az objektumok hozzfrsvezrlsi listihoz, s egymsba is gyazhatk. A biztonsgi csoport elektronikus levelezsi egysgknt is hasznlhat. A csoportnak kldtt elektronikus levelet a
csoport sszes tagja megkapja.
316
Tipikus cmtrobjektumok
A biztonsgi csoport kategrin bell is tbb klnbz csoportot klnbztethetnk meg. A klnbsgttel alapja egyrszt az, hogy kik lehetnek a csoport tagjai, msrszt pedig az, hogy milyen objektumokhoz adhatunk engedlyt
az adott csoport szmra, vagyis a csoport mely objektumok hozzfrs-vezrlsi listiban szerepelhet. A fenti kt szempont szerint a biztonsgi csoportoknak ngy tpusrl beszlhetnk:
Globlis csoport (Global Group) Olyan biztonsgi vagy terjesztsi csoport, amelynek tagjai sajt tartomnyban tallhat felhasznlk, csoportok s szmtgpek. A globlis biztonsgi csoport az erd brmely tartomnynak erforrsaira kaphat jogosultsgokat s engedlyeket.
Tartomnyi krnyezet
forrs pontosan hol tallhat, milyen mdon rhet el, s milyen tulajdonsgokkal rendelkezik. A felhasznlk knnyen megkereshetik pldul azokat a
nyomtatkat, amelyek sznes, ktoldalas, A3 mret nyomtatsra kpesek.
318
Active Directory
SYSVOL-mappa
Regisztrcis adatbzis
Rendszerindt fjlok
COM+ osztlyok
regisztrcis adatbzisa
A tanstvnytr adatbzisa
319
Tartomnyi krnyezet
A System State ments nllan s egy ltalnos ments rszeknt is elvgezhet. A ments a tartomnyvezrl online llapotban trtnik, sem lelltsra, sem jraindtsra nincs szksg.
A cmtr visszalltsa
Kzel sem ilyen egyszer azonban a cmtr visszalltsa, els alkalommal legjobb ezt egy tesztrendszeren kiprblni, hogy les helyzetben kevsb remegjen
a rendszergazda keze.
A szmtgp indtsa kzben a megfelel pillanatban (a grafikus kperny eltt) meg kell nyomnunk az F8 billentyt, ennek hatsra az albbi kpen lthat menhz jutunk:
320
Tartomnyvezrl
Authoritative (mrvad) Az Active Directory adatainak mrvad viszszalltshoz a rendszerllapot-adatok visszalltsa s a kiszolgl jraindtsa utn (de mg az els replikci eltt) futtatnunk kell az
ntdsutil.exe segdprogramot. Az ntdsutil segtsgvel az Active Directoryobjektumokat mrvad visszalltshoz jellhetjk meg. Ez azt jelenti,
hogy az ntdsutil gy frissti az objektumok sorszmt, hogy azok biztosan nagyobbak legyenek brmelyik msik replikn trolt sorszmnl,
gy a visszalltott adatok fogjk fellrni a tbbi tartomnyvezrln trolt objektumokat. Mrvad visszalltsra pldul akkor lehet szksg,
321
Tartomnyi krnyezet
ha vletlenl trltnk, vagy mdostottunk egy Active Directory-objektumot (pldul az sszes felhasznl- s szmtgpfikot tartalmaz
szervezeti egysget), s a vltozs mr replikldott a tbbi tartomnyvezrlre is. Ha ilyen esetben norml mdon lltjuk helyre az objektumot, akkor a replikci a helytelen llapotot tekinti jabbnak, vagyis
ismt ez fog replikldni a visszalltott kiszolglra is.
Primary (elsdleges) elsdleges visszalltsi mdszert akkor kell hasznlnunk, ha nincs egyetlen mkdkpes tartomnyvezrlnk sem, vagyis
a visszalltani kvnt kiszolgl a repliklt adatkszlet egyetlen pldnyt fogja tartalmazni. ltalban teht csak akkor van szksg elsdleges
visszalltsra, ha a tartomny minden tartomnyvezrlje hasznlhatatlan, s a teljes tartomnyt a biztonsgi msolatbl kell visszalltani. Elsdleges visszallts vgrehajtshoz az NTBACKUP felletn (visszallts kzben az Advanced szakaszban) be kell jellnnk a Repliklt adatkszletek visszalltsa esetn a visszalltott adatok megjellse az sszes
msolat elsdleges adatkszleteknt opcit.
5.18. bra: Az elsdleges visszallts kiss elrejtett, de nagyon hossz nev opcija
A csoporthzirend
A csoporthzirend technolgia segtsgvel a tartomny szmtgpeinek klnfle opercis rendszer-, alkalmazs-, s felhasznlszint belltsait a rendszergazda nem egyenknt, hanem meghatrozott csoportok szmra egyttesen
adhatja meg. A csoporthzirend alkalmas a rendszergazda ltal elrt, a szmtgpekre s a felhasznlkra vonatkoz belltsok kiknyszertsre is, az gy
szablyozott opcikat a felhasznlk akkor sem mdosthatjk vglegesen, ha
egybknt a jogosultsgaik ezt megengednk.
322
A csoporthzirend
323
Tartomnyi krnyezet
Mire hasznljuk?
A csoporthzirend igen szles krben hasznlhat, alig van olyan fontos belltsi lehetsg, ami nem rhet el ilyen mdon. A kvetkezkben ttekintjk
azokat a tipikus feladatokat, amelyekre a csoporthzirend alkalmas:
324
A csoporthzirend
Az Internet Explorer karbantartsa megadhatjuk az internetkapcsolatra (pldul proxy hasznlat), a bngsz biztonsgi belltsaira s felhasznlk krnyezetre vonatkoz belltsokat, pldul
tetszleges elemeket adhatunk hozz a Kedvencek (Favorites) listhoz.
325
Tartomnyi krnyezet
326
A csoporthzirend
Az rklds
A magasabb szint (szl) kontnerekhez rendelt GPO-k belltsai alaprtelmezs szerint rkldnek a gyermektrolkra s kombinldnak (sszeaddnak) az ide csatolt GPO-k belltsaival. Ha tbb GPO eltr rtkkel
tartalmazza ugyanazt a belltst, akkor azok fellrjk egyms hatst az
rklsi lnc mentn.
Minden kontneren lehetsgnk van azonban a fentrl rkez rklds
megszaktsra, ha bekapcsoljuk a Block Inheritance (rklds megszaktsa) opcit. Ez a lehetsg nagyon jl hasznlhat, ha pldul olyan GPO-t kell
bezemelnnk, ami egyetlen OU kivtelvel a teljes tartomnyra vonatkozik.
Ekkor hozzkthetjk a GPO-t a tartomnyhoz, a kivteles OU-n pedig egyszeren megszakthatjuk az rkldst.
Problmt okozhat azonban, hogy ebben az esetben a tartomny szintjn
megadott egyetlen GPO sem r le az adott szervezeti egysghez. Ennek megoldsra szolgl egy msik rkldssel kapcsolatos belltsi lehetsg. Minden GPO-n bellthat az Enforce (kiknyszerts) tulajdonsg. Az ilyen GPO-k
egyszeren nem veszik figyelembe, hogy az alacsonyabb szint trol meg
akarja szaktani az rkldst, s ettl fggetlenl is rvnyre jutnak.
327
Tartomnyi krnyezet
Helyi hzirend
Ez teht azt jelenti, hogy tkzs esetn az utols (teht a legkisebb, a felhasznlt vagy szmtgpet kzvetlenl tartalmaz szervezeti egysg legkisebb sorszm hzirendje) gyz, vagyis ennek prioritsa a legnagyobb. Termszetesen, ha nincs tkzs a belltsok kztt, akkor a sorrendnek nincs
jelentsge, vagyis minden megadott bellts rvnyeslni fog az adott felhasznlra, illetve szmtgpre.
A csoporthzirend
Az opercis rendszer indulsa kzben elsknt a szmtgpre vonatkoz csoporthzirend objektumok tltdnek le s rtkeldnek ki. Ekkor
trtnhet meg pldul a szmtgphez rendelt szoftverek teleptse is.
Ezutn fut le az a logon (bejelentkezsi) szkript, amelyet a csoporthzirend segtsgvel rendeltnk a felhasznlhoz.
A Default Domain Controllers Policy (Alaprtelmezett tartomnyvezrli hzirend) a tartomnyvezrlket tartalmaz Domain Controllers
(Tartomnyvezrlk) szervezeti egysghez tartozik, ezrt csak a tartomnyvezrlkre hat.
A csoporthzirend frisstse
A csoporthzirend objektumokon vgrehajtott vltozsok nem rvnyeslnek
azonnal a szmtgpeken, illetve felhasznlkon. Az automatikus frissts az
gyflgpek esetben 90, a tartomnyvezrlknl pedig 5 percenknt trtnik.
A trelmetlenebbek azonban kzzel is kiknyszerthetik a frisstst a
gpupdate (esetleg a mindent frisst gpupdate/force) hasznlatval.
329
Tartomnyi krnyezet
A gpupdate parancs csak a Windows XP opercis rendszerben jelent meg, korbban (Windows
2000) a secedit parancs megfelel paramterezsvel rhettk el ugyanezt a hatst.
330
A replikci s a telephelyek
Knnyen ttekinthet listban megjelenthetjk az egyes csoporthzirend objektumokban lv belltsokat, nem kell azokat a szerkeszt
alkalmazs felletn megkeresni.
Ellenrizhetjk az rkldst, bellthatjuk a blokkolst s kiknyszertst, illetve bellthatjuk az egy kontnerre hat csoporthzirend objektumok kztti prioritsi sorrendet.
A replikci s a telephelyek
Az Active Directory-hlzat nvekedsnek egy pontjn elkerlhetetlenn vlik, hogy szembenzznk a telephelyek kialaktsnak problmival. Termszetes igny, hogy a kzponttl tvol dolgozk is rszesljenek a kzpontilag
(vagy ppen elosztottan) felgyelt cmtr, a csoporthzirend, vagy pldul az
Exchange ldsaibl. Korltozott svszlessg esetn mindenkppen a helysznen zemel tartomnyvezrl a j megolds, ekkor viszont a loklis hlzaton zemeltetett cmtr esetben nem jelentkez problmk fognak felmerlni. Hogyan s milyen gyakorisggal trtnik a tartomnyvezrlk kztti
replikci? Milyen svszlessg szksges ehhez, s persze hogyan lehetne
cskkenteni a szksgleteket? A telephelyen lv szmtgpeknek nyilvn a
331
Tartomnyi krnyezet
A replikci
A replikci segtsgvel kpes az Active Directory-cmtrszolgltats a klnbz tartomnyvezrlkn trolt cmtr-adatbzisok folyamatos szinkronban tartsra. A tartomny sszes tartomnyvezrljn mdosthatak a cmtr adatai, ezrt az sszes tartomnyvezrl automatikusan rszt is vesz a
replikciban, teht a cmtradatok brmilyen mdostst a rendszer a tartomny sszes tartomnyvezrljre repliklja. Az Active Directory tbb fkiszolgls (multimaster) replikcis modellt hasznl, amely lehetv teszi,
hogy a cmtr mdostst brmelyik tartomnyvezrln elvgezhessk, majd
a vltozsok az sszes tartomnyvezrl cmtrpldnyba bekerljenek.
Ahogyan mr korbban emltettk, az adatokat az egyes tartomnyvezrlkn a cmtradatbzis tartalmazza, amely logikailag cmtrpartcikra tagoldik. Mindegyik partci klnbz tpus adatokat trol, ezek lehetnek a
tartomny objektumai, a sma, klnfle konfigurcis adatok, vagy alkalmazsadatok. Az adott erdn bell valamennyi tartomnyvezrln megtallhat a sma- s konfigurcis partci msolata, az egyes tartomnyok vezrlin pedig a tartomnyobjektumokat tartalmaz replika. Amint az 5.21. brn
lthat, a klnbz cmtrpartcik esetn klnbz replikcis topolgia
alakul ki, mivel a tartomnyadatok replikcija csak az egyes tartomnyokon
bell, mg a sma s konfigurcis partci az erd valamennyi tartomnyvezrlje kztt replikldik.
A multimaster replikci segtsgvel valamennyi tartomnyvezrl szinte
folyamatosan frissti az ltala trolt pldnyt a tbbi pldny vltozsainak
megfelelen. A replikci termszetesen teljesen automatikusan trtnik, a
rendszer minden objektum esetben az utolsknt trtnt vltoztatsokat rvnyesti a msolatokban. Szintn automatikusan megtrtnik a replikci
konfigurcija, vagyis a tartomnyvezrlk feltrkpezse s a kapcsolatok
kialaktsa is, kln minden egyes cmtrpartcira vonatkozan.
332
A replikci s a telephelyek
A1
A2
B2
A3
A4
B3
B1
A tartomny topolgia
B tartomny topolgia
Sma s Konfigurci topolgia
A replikci csak akkor jelent tnyleges adattvitelt, ha van mit szinkronizlni, vagyis vltozsok trtntek az adatbzisban. Ilyen vltozs pldul:
A replikcis topolgia
Az sszes tartomnyvezrln megtallhat konzisztencia-ellenrz (Knowledge
Consistency Checker, KCC) az Active Directory Sites and Services (Active
Directory helyek s szolgltatsok) bepl modulban megadott hlzati adatokra alapozva automatikusan ltrehozza a leghatkonyabb replikcis topolgit.
333
Tartomnyi krnyezet
Brmikor bekerl teht egy j tartomnyvezrl, a KCC a mdosts figyelembevtelvel jraszmtja a korbban kialaktott topolgit (15 perc az idztse).
A konzisztencia-ellenrz minden cmtrpartcihoz (sma, konfigurci, tartomny, alkalmazs) kln replikcis topolgit hoz ltre.
A konzisztencia-ellenrz minden tartomnyvezrln ktirny, gyrs
replikcis topolgit alakt ki, vagyis megprbl legalbb kt kapcsolatot
ltrehozni minden tartomnyvezrl esetben (a jobb hibatrst rdekben),
a jelentsebb kss elkerlse miatt pedig arra trekszik, hogy kt tartomnyvezrl kztt legfeljebb hrom lpst alaktson ki. A topolgia kzvetlen kapcsolatokat is tartalmazhat, ha a hrom lpsnl hosszabb replikcis
t elkerlsnek rdekben ez szksges.
A1
KC
KC
A2
KC
A3
A4
A8
Replikcis topolgia felptse
A7
A5
KC
A6
KC
KC
KC
A replikci s a telephelyek
st esetleg nincs is lland kapcsolat. A telephelyek kztti replikci a svszlessg minl hatkonyabb kihasznlst prblja elrni; a cmtrfrisstsek automatikusan mennek vgbe egy bellthat temezs alapjn (alaprtelmezs szerint hromrnknt). A telephelyek kztti replikcival kapcsolatos adatforgalom alaprtelmezs szerint tmrtett, a svszlessg jobb kihasznlsnak rdekben.
A telephelyek
Az Active Directoryban a telephely (site) olyan szmtgpek csoportjt jelenti, amelyek kztt nagy sebessg, megbzhat hlzati kapcsolat (jellemzen
LAN) van. A telephelyhez tartoz szmtgpek ltalban egy pletben tallhatk, vagy kzs helyi hlzathoz csatlakoznak. Egy telephelyen bell
termszetesen tbb IP-alhlzat is lehet.
Az Active Directory telephely koncepcijnak alapveten kt clja van:
A
1
IP
IP Subnet
Subnet
Replikci
Replikci
IP
IP Subnet
Subnet
B
1
IP
IP Subnet
Subnet
Replikci
Replikci
IP
IP Subnet
Subnet
B
2
A
2
Replikci
Replikci
Nem rdemes (hacsak nincs valami klnleges indok) helyben lv tartomnyvezrl nlkli telephelyet definilni, mivel ebben az esetben a
fenti kt elnys tulajdonsg egyike sem jelentkezhet.
335
Tartomnyi krnyezet
A telephelyek s a tartomnyok kztti legfontosabb klnbsg az, hogy a telephelyek a hlzat fizikai felptst, a tartomnyok pedig a szervezet logikai szerkezett kvetik. A telephelyek s tartomnyok kztt brmifle tfeds lehetsges, egy telephely tartalmazhat tbb tartomnyt, s egy tartomny is kiterjedhet
tbb telephelyre. A lnyeg minden esetben a replikcihoz, valamint az gyfelek s a tartomnyvezrlk kztti adatforgalomhoz szksges svszlessg
optimlis felttelekkel trtn biztostsa.
Telephely B
WAN Link
Telephely A
Tartomnyvezrlk
5.23. bra: A telephelyek kztti kapcsolat ltalban lassbb s kevsb megbzhat
336
Az j telephely alatt ltrejv Servers trolhoz hozz kell adnunk a telephely kiszolglst vgz tartomnyvezrlt (vagy tartomnyvezrlket).
A replikci s a telephelyek
Vgl a ltrehozott IP-alhlzatok tulajdonsglapjain ki kell vlasztanunk azt a telephelyet, amelyhez az adott alhlzat tartozik.
Telephelyek tervezse
A telephely-struktra megtervezse nem minden esetben egyszer feladat, az
pletek egymstl val fizikai tvolsgn kvl sok esetben ms szempontokat is figyelembe kell vennnk. A legfontosabb krds, amit el kell dntennk, hogy biztosan rdemes-e telephelyet fabriklni az adott helysznbl,
vagy nyugodtan hasznlhatjk a kzpontban lv kiszolglkat, esetleg mindenkppen az Active Directoryn kvl kell maradniuk. ltalnosan hasznlhat receptet adni valsznleg lehetetlen, de azrt megprbljuk felvonultatni a legfontosabb szempontokat:
337
Tartomnyi krnyezet
Hny szmtgp mkdik a telephelyen? kt szmtgpnek valsznleg nem rdemes kln tartomnyvezrlt kivinni a telephelyre, tartomnyvezrl nlkl pedig rtelmetlen a telephelly alakts, egyszerbb a kzpontban lv kiszolglkat hasznlni.
Van-e esetleg mr kiszolgl, vagy tartomnyvezrl? komoly rv lehet a telephelly alakts mellett, ha van mr a helysznen kiszolgl.
Ha erre szksg volt, (s nincs nagyon gyors hlzati kapcsolat), akkor
valsznleg rdemes a kiszolglbl tartomnyvezrlt, a helysznbl
pedig telephelyet gyrtani.
338
HATODIK FEJEZET
Hibakeress s elhrts
A fejezet tartalma:
Hogyan lehet szlelni a hibkat? .................................................................... 340
Hibakeress s javts mlyebben .................................................................. 341
Grafikus ellenrz-javt eszkzk ................................................................. 356
Adataink biztonsga ........................................................................................ 372
Kls eszkzk .................................................................................................. 382
Ami elromolhat, az el is romlik, egyltaln nem mindegy azonban, hogy a hibaelhrts kt percig, vagy kt hnapig tart sajnos, akr azonos hiba esetn is elfordulhat mindkt vglet, a dolog egyszeren azon mlik, hogy ki az,
aki a hibaelhrtssal prblkozik, s milyen eszkzk llnak rendelkezsre a
problma megkeresshez s elhrtshoz. Br a hibaelhrts termszetnl fogva nem sablonmvelet, vagyis nem lehet minden helyzetben hasznlhat receptet adni, ebben a fejezetben megprblkozunk az alapelvek, s felhasznlsra rdemes alapeszkzk bemutatsval.
A hibk elhrtshoz ltalban a programok felhasznli fellete mg kell merszkednnk,
gy mindenkppen indokolt az vatossg; nem szmthatunk a megszokott bolondbiztos viselkedsre, vagyis egy meggondolatlan mozdulattal az eredetinl akr sokkal nagyobb bajt is
okozhatunk. Egy fontos szablyt teht mindig clszer betartani: Ha nem tudod, hogy mit csinlsz, s pontosan mit akarsz vele elrni, akkor inkbb ne csinld!
Hibakeress s javts mlyebben elsknt azokkal a hibkkal foglakozunk, amelyek megakadlyozzk az opercis rendszer szoksos mdon val indtst, illetve a rendszer lellsval jrnak, vagyis kezelskhz specilis, ltalban grafikus fellet nlkli eszkzkre van szksg.
Hibakeress s elhrts
A helyrelltsi konzol (Recovery Console) ttekintjk a Windows teleptlemezrl indthat Recovery Console lehetsgeit.
Az eszkz segtsgvel hozzfrhetnk a ms mdon mr nem indthat opercis rendszer fjljaihoz s ms belltsaihoz.
Br tmnk alapveten a Windows Server 2003 R2, a fejezetben lertak gyakorlatilag teljes mrtkben rvnyesek a rgebbi kiszolglrendszerekre
(Windows 2000 Server) s az gyflrendszerekre is (Windows 2000 s XP).
A Windows Vista esetn termszetesen vannak bizonyos (esetenknt jelents)
klnbsgek s jdonsgok is, de ezek legnagyobb rszrl a knyv els rszben mr szt ejtettnk.
Az gyfelek a szoksosnl lassabban rik el a kiszolglt, esetleg bizonyos mveletek (pldul nvfelolds) elvgzsre sokat kell vrakozni.
Task Manager (Feladatkezel) a fut (vagy nem fut) folyamatok azonostsra s az erforrsok foglaltsgnak ellenrzsre
341
Hibakeress s elhrts
A rendszerindts folyamata s
az indtmen elemei
A kvetkezkben megismerkednk a Windows-rendszerek indtsi folyamatval, hogy a folyamat kzben keletkez hibk hatkonyabban felderthetk
s elhrthatk legyenek. Hogy megtallhassuk a hibk valdi okait, ismernnk kell az adott folyamat vgrehajtsnak rszleteit, mivel egy tetszleges
rendszer vagy program hibjnak elhrtshoz pontosan kell tudnunk, mi
trtnik akkor, ha a rendszer vagy program hibtlanul mkdik.
Az MBR minden particionlt merevlemezen megtallhat (a particionlskor kerl r), mgpedig a lemez legels fizikai szektorban (vagyis a teljes mrete 512 bjt). Az MBR tartalmaz
nmi vgrehajthat kdot (Master Boot Code), az adott lemez egyedi azonostjt (Disk Signature) s a ngyszer 16 bjt mret partcis tblt. Az MBR vgn tallhat partcis tbla teht ngy bejegyzst tartalmazhat. Az egyes bejegyzsekben szerepel az adott partci els s
utols szektornak azonostja, a partci szektorainak szma, s a fjlrendszerre utal rtk.
Ha a bejegyzs utols kt bjtjnak rtke 0x8001, akkor aktv partcirl van sz. Az MBR
utols kt bjtja egy specilis rtk (0x55AA), amely a szektor vgt jelzi, s amelynek hinya
komoly problmkat okozhat.
Ha az MBR utols kt bjtja nem 55AA, akkor a BIOS azt felttelezi, hogy az
MBR srlt, vagy a lemez egyltaln nincsen particionlva. Ekkor ltalban
(br a pontos szveg BIOS-fgg) az Operating system not found zenet jelenik meg, a szmtgp pedig termszetesen nem folytatja az indtst. Ha a
342
Ha a bootszektort nem sikerl betlteni (pldul, mert a partci nincs formzva), akkor az Error loading operating system zenet jelenik meg s a betlts
lell. Amennyiben a bootszektor vgn nincs ott a mgikus 55AA rtk, a
Missing operating system zenet jelenik meg, s a betlts termszetesen ebben
az esetben sem folytatdik. Ha minden rendben van, akkor az MBR-kdtl a
vezrls a boot szektor kdjhoz kerl, s folytatdik a rendszerindts.
A bootszektor programjnak feladata az, hogy megkeresse s elindtsa a Windows betlt
programjt az NTLDR-t, amelynek az indt partci gykerben kell lennie. Ha ez valamilyen
ok miatt nem sikerl, akkor ezen a ponton kaphatjuk a Missing NTLDR hibazenetet (NTFS fjlrendszer esetn). Ha sikerlt elindtani az NTLDR-t, akkor az els lpsknt 32-bites vdett
mdba kapcsolja a processzort s engedlyezi a memrialapozst, gy ezutn mr rendelkezsre ll a teljes 4 GB-os cmezhet tartomny (32-bites processzor esetn).
Ha nincsen alv opercis rendszer, akkor az NTLDR beolvassa a gykrmappban lv boot.ini nev fjl tartalmt. A boot.ini ARC-tvonalak (Advanced RISC Computing) formjban tartalmazza a szmtgpen tallhat indthat opercis rendszerek helyt. Az NTLDR a
boot.ini alapjn kszti el azt a kis ment, amibl kivlaszthatjuk az elindtand opercis rendszert.
343
Hibakeress s elhrts
A men csak akkor jelenik meg, ha egynl tbb bejegyzs van a boot.ini-ben. Egy bejegyzs
esetn az NTLDR azt felttelezi (milyen intelligens, nem?), hogy azt az egyet szeretnnk elindtani. Ha egyltaln nincsen boot.ini, akkor az NTLDR azt felttelezi, hogy az opercis rendszer az adott partci alaprtelmezett mappjba (c:\windows) van teleptve. Ha ez a mappa
nincs a helyn, akkor a kvetkez zenet jelenik meg: Windows could not start because the
following file is missing or corrupt: \winnt root\system32\ntoskrnl.exe.
344
Ezutn az NTLDR sorban elkezdi betlteni a memriba rendszer klnbz rszeit (de csak betlti, mg nem inicializlja, illetve nem indtja el ket). Elsknt betltdik az ntoskernel.exe s a hal.dll (mindkt
fjlnak a %systemroot%\System32 mappban kell lennie), majd a
registry HKLM\SYSTEM ga (a %systemroot%\System32\Config\
System fjlbl, s az ebben trolt adatok alapjn valamennyi szksges
eszkzvezrl. Az eszkzvezrlket tartalmaz fjlok a %systemroot%\
System32\Drivers mappban tallhatk. Az NTLDR a registryben trolt adatok alapjn hatrozza meg, hogy a betltds tovbbi rszt
meghatroz gynevezett Control Setek kzl melyiket kell felhasznlnia. Ezen a ponton trtnik a Last Known Good Configuration (legutols helyes konfigurci) betltse (lsd ksbb), ebben az esetben egy
korbban elmentett, a legutols mdostsokat mg nem tartalmaz
Control Setet fog felhasznlni az NTLDR.
Az indtmen
A Windows indtmenje lehetv teszi azt, hogy az opercis rendszert klnfle specilis zemmdokban indtsuk el. A specilis zemmdokra ltalban hibakeress, illetve elhrts cljbl van szksg. Az indtment az
NTLDR futsa kzben lenyomott F8 billenty segtsgvel rhetjk el. A kvetkezkben ttekintjk az egyes menpontok szerept, s felsorolunk nhny tipikus problmt, amelyek az indtmen hasznlatval oldhatk meg.
Az indtmen hasznlata
Ebben a screencastban az opercis rendszer indtmenjnek klnfle lehetsgeivel ismerkedhetnk meg.
Fjlnv: II-3-1a-Boot-Menu.avi
Cskkentett mdok
Ha a szmtgp a szoksos mdon nem indthat, illetve a szoksos indtskor olyasmi is elindul, amire egyltaln nincsen szksg (pldul klnfle
kedves spyware programok, vagy egyb frgek), akkor rdemes megprblkozni valamelyik cskkentett mdban trtn rendszerindtssal. Termszetesen brmelyik cskkentett mdot is vlasztjuk, valamelyik helyi felhasznli fik hasznlatval be kell jelentkeznnk a rendszerbe.
345
Hibakeress s elhrts
Safe Mode with Networking (Cskkentett md hlzattal) Ez az indtsi md megegyezik a cskkentett mddal, de betltdnek a hlzati
alapszolgltatsok is (DHCP- s DNS-gyfl, Server, Workstation stb.)
vagyis elrhetjk s felhasznlhatjuk a hlzati erforrsokat is. Ebben az
esetben hasznlhatunk tartomnyi felhasznlnevet is a bejelentkezshez.
346
Directory Services Restore Mode (Cmtrszolgltatsok visszalltsa) Az elmentett Active Directory adatbzis mentsbl val helyrelltsakor van szksg a DSRM zemmdban trtn rendszerindts
hasznlatra (csak tartomnyvezrlkn). A DSRM-zemmd rszletei
az elz, Tartomnyi krnyezet cm fejezetben tallhatk.
Disable automatic restart on system failure (Automatikus jraindts letiltsa rendszerhiba esetn) Alaprtelmezs szerint rendszerlells (kk hall) utn a szmtgp automatikusan jraindul, gy nem
tudjuk megnzni s felrni a kpernyn lthat hibazenetet, ami pedig
igen fontos lenne a hiba oknak megllaptshoz. Termszetesen az
alaprtelmezett viselkeds a mkd rendszer grafikus felletn megvltoztathat, de ha a lells a Windows indtsa kzben trtnik, akkor
ez a lehetsg mr nem rhet el. A menpont hasznlatval nem indul
rendszer esetben is megvltoztathatjuk ezt a fontos belltst.
347
Hibakeress s elhrts
Helyrelltsi konzol
A Helyrelltsi konzol (Recovery Console) hasznlatra akkor van szksg,
ha semmilyen ms mdon nem tudjuk elindtani a gpre teleptett opercis
rendszert (cskkentett mdban sem). A Helyrelltsi konzol teljesen nllan
indthat, hasznlathoz nincsen felttlenl szksg a merevlemezen trolt
informcikra.
348
A konzol indtsa
A Helyrelltsi konzol indtshoz a szmtgpet a Windows telept CD-rl
kell elindtanunk (mintha csak az opercis rendszert teleptennk). A merevlemezek elrshez esetleg szksges SCSI- vagy RAID-vezrlket az F6 billenty
megnyomsa utn floppyrl adagolhatjuk be (ppen gy, mint telepts kzben).
Lehetsg van arra is, hogy a Helyrelltsi konzolt a merevlemezre teleptsk. Ebben az esetben a
konzol indtshoz mr nincs szksg a telept CD-re, mivel a telepts sorn a futtatshoz szksges minden fjl a rendszerktet gykerben ltrejv cmdcons nev rejtett mappba kerl, a rendszerindtskor megjelen menbe pedig (boot.ini) bekerl a Windows Server 2003 Recovery Console
sor. A teleptshez azonban szksg van a Windows CD-re, a kvetkez parancsot kell kiadnunk:
x:\i386\winnt32/cmdcons, ahol x a teleptlemezt tartalmaz CD-meghajt betjele.
349
Hibakeress s elhrts
A kvetkezkben ttekintjk a helyrelltsi konzol legfontosabb, leggyakrabban hasznlt parancsait, s a parancsok hasznlatval kapcsolatos tudnivalkat.
A konzol indtsa utn kilistzhatjuk a hasznlhat parancsokat a help parancs hasznlatval, illetve egyes parancsokhoz is krhetnk segtsget, ha begpeljk a help <parancsnv> utastst.
350
Chkdsk a parancs segtsgvel lemezellenrzst vgezhetnk, s krhetjk a tallt hibk automatikus javtst. Ha az ellenrzend lemez
nincsen inkonzisztensknt megjellve, akkor a chkdsk csak a /p kapcsol
hasznlata esetn vgzi el annak ellenrzst. Ha megadjuk a /r kapcsolt is, akkor a chkdsk megksrli a hibs szektorokban tallhat adatok
helyrelltst. A chkdsk mkdshez szksg van az autocheck.exe
programra, ha nem sikerl automatikusan megtallnia (a merevlemezen
vagy a telept CD-n), akkor a chkdsk rkrdez annak helyre.
Ms a helyzet azonban hibs partcis tbla (pldul kt aktvknt megjellt partci) vagy az
MBR-t lezr 0x55AA rtk hinya esetn. Ekkor a fixmbr teljesen, s visszavonhatatlanul letrli a partcis tblnkat. Nem szabad teht a fixmbr parancsot hasznlni, ha az Operating
system not found vagy az Invalid partition table hibazenetet ltjuk (legalbbis, ha mg szksgnk van a lemez partcis tbljra). Ilyen esetben sajnos az automatizlt megoldsokban
mr nem bzhatunk, vagyis csak a nehz t jrhat: a merevlemezt tszereljk egy mkd
gpbe, s a Resource Kit-ben tallhat DskProbe.exe nev program segtsgvel manulisan kijavtjuk a partcis tbla hibjt (csak ers idegzeteknek!). Ugyancsak flsleges a fixmbr-rel
prblkozni, ha egyltaln nincs aktvknt megjellt partcink, mivel ekkor a partcis tbla
megmarad ugyan, de aktv partci tovbbra sem lesz benne.
Diskpart egyszer, karakteres fellet partcionlprogram, megegyezik azzal (csak a sznsszellts ms egy kicsit), amivel a Windows-telepts elejn tallkozhatunk. Elsdleges s kiterjesztett partcik, illetve logikai ktetek ltrehozst s trlst vgezhetjk el segtsgvel, illetve meg is formzhatjuk a ltrehozott meghajtkat.
Map a parancs megjelenti a meghajt betjelek s a fizikai eszkznevek sszerendelseit. Erre az informcira pldul a fixboot s a
fixmbr futtatsakor lehet szksg, mivel ekkor a fizikai eszkzneveket
(pldul \Device\HardDisk0\Partition1) kell megadnunk paramterknt. Az arc paramter hasznlatval a parancs ARC (Advanced RISC
Computing) formtumban rja ki az eszkzneveket (pldul multi(0)disk(0)rdisk(0)partition(1)), ezeket az rtkeket a boot.ini szerkesztsekor hasznlhatjuk fel.
351
Hibakeress s elhrts
352
AllowAllPaths a vltoz segtsgvel engedlyezhetjk a merevlemezeken tallhat valamennyi ktet s mappa elrst. (Alaprtelmezs szerint csak a Windows-mappa s a gykr rhet el.)
AllowRemovableMedia engedlyezhetjk az adatok cserlhet meghajtra val kimsolst. (Alaprtelmezs szerint csak
befel msolhatunk.)
NoCopyPrompt true rtk esetn a konzol nem kr megerstst a meglv fjlok fellrsa eltt.
SERVICE_BOOT_START
SERVICE_SYSTEM_START
SERVICE_AUTO_START
SERVICE_DEMAND_START
Hasznlhatk a fjl s mappamveletekkel kapcsolatos szoksos parancssori utastsok (cd, dir, copy, delete, md, rd, rename, type). Ha a Windows
teleptlemezrl msolunk fjlokat a merevlemezre, akkor nincs szksg
kln kitmrtsre (expand), a copy parancs ezt elintzi helyettnk.
Biztonsgi belltsok
A Helyrelltsi konzol kt biztonsgi belltst mg a szmtgp mkdkpes llapotban a helyi-, illetve a csoporthzirendben kell megadnunk. Tartomnyhoz nem tartoz szmtgpek esetn csak a helyi hzirend ll rendelkezsre. A kt belltst ebben az esetben a gpedit.msc (vagy a secpol.msc)
konzolban adhatjuk meg (Security Settings -> Security Options). Termszetesen a fenti mdszer tartomnyi szmtgpek esetn is mkdik, de ekkor a
csoporthzirend esetleges belltsai fellrhatjk a helyi hzirendet. Tartomnyi szmtgpek esetn clszer a fenti belltsokat kzpontilag, a csoporthzirendben szablyozni.
353
Hibakeress s elhrts
Allow floppy copy and access to all drives and folders (Hajlkonylemez msolsa s hozzfrs minden meghajthoz s mapphoz)
ha engedlyezzk ezt az rtket, akkor a korbban emltett set parancs
hasznlatval tllthatjuk a konzol ngy krnyezeti vltozjt.
Allow automatic administrative logon (Automatikus rendszergazdai bejelentkezs) ha engedlyezzk az rtket, akkor a konzol indtsakor nem kell megadnunk a rendszergazda jelszavt, a bejelentkezs
automatikusan megtrtnik.
A kk hall
Ha a Windows indtsa vagy futsa sorn kezelhetetlen hibba tkzik, az
adatok megvsnak rdekben lell, s megjelenti a hrhedt kk kpernyt
(a jelensg neve Blue Screen of Death, vagyis a hall kk kpernyje). A kk
hall teht egy megoldhatatlan szitucinak a lehetsgekhez kpest korrekt
lezrst jelenti.
A kk kpernys rendszerlellsokat az esetek nagyon jelents rszben
nem maga az opercis rendszer, hanem valamelyik kernel mdban fut eszkzmeghajt, illetve a hardver hibja okozza. A hiba oktl fggetlenl az informcis kperny megjelentst, s a rendszer lelltst a KeBugCheckEx
nev rendszerfggvny hajtja vgre.
354
Egy eszkzmeghajt, vagy kernel mdban fut opercis rendszer fggvny kezelhetetlen kivtelt generl (pldul rni prbl a memria
rsvdett terletre)
Hardver hiba, vagyis nem maszkolhat megszakts (Non maskable Interrupt, NMI) esetn.
355
Hibakeress s elhrts
A kk hall mestersgesen is elidzhet tbb mdon is. Lellthatunk pldul olyan szolgltatsokat, amelyek nlkl a rendszer mkdskptelen, illetve hasznlhat a hivatalos, valsznleg tesztels cljra szolgl mdszer is. Ltre kell hoznunk a CrashOnCtrlScroll DWord
rtket (1) a HKLM\System\CurrentControlSet\i8042prt\Parameters kulcs alatt. jraindts
utn a jobb oldali Ctrl nyomva tartsa mellett ssk le ktszer a Scroll Lock billentyt
356
Applications (Alkalmazsok) a lap elnevezse taln kiss flrevezet lehet, mivel a lapon nem a rendszerben fut alkalmazsokat, hanem
az adott felhasznl munkaasztaln lv, lthat llapot ablakok
cmsorait tallhatjuk meg. Egy alkalmazshoz tbb megnyitott ablak is
tartozhat (tipikusan ilyen pldul a Windows Explorer), illetve szmos
olyan alkalmazs is futhat a gpnkn, amelyikhez egyltaln nem
tartozik lthat ablak ezek nem fognak megjelenni az Alkalmazsok
lapon sem. Szintn nem egszen egyrtelmek az egyes ablakok llapotaknt megjelentett rtkek. Ha az ablak llapota Fut (Running), az
azt jelenti, hogy az ablak zenetkezel ciklusa (ez fogadja a lettt billentyket, egrmveleteket, ms folyamatoktl rkez zeneteket stb.)
kslekeds nlkl vlaszol a krsekre, vagyis az ablak mgtt tallhat alkalmazs zenetre (bevitelre) vr, teht nem csinl semmit. Ha az
ablak llapota Not responding (Nem vlaszol), az jelentheti persze azt
is, hogy az ablak mgtt ll alkalmazs lellt (lefagyott), de az is lehetsges, hogy csak egyb srgs elfoglaltsgai miatt ppen nem jut
ideje az zenetkezel ciklusra. Az egyes alkalmazsokhoz (pldul a
jobb gombos helyi menbl) a szoksos ablakkezel parancsok kiadsra van lehetsg [Bring to Front (Eltrbe hozs), Minimize (Kis mret),
Maximize (Teljes mret) stb.]. Az End Task (Feladat befejezse) menpont szintn nem az alkalmazsra, hanem az ablakra vonatkozik, a krst els krben az zenetkezel ciklusnak kell(ene) fogadnia (ha ez
nem sikerl, akkor komolyabb eszkzkkel is prblkozik a Feladatkezel). Nagyon fontos a Go To Process (Ugrs folyamatra) menpont, ezzel a Feladatkezel kvetkez lapjra kerlnk, s kijellhetjk azt a
rendszerfolyamatot, amelyikhez az adott ablak tartozik.
357
Hibakeress s elhrts
Performance (Teljestmny) a Teljestmny lapon a szmtgp teljestmnyvel, vagyis a processzor(ok) s a memria kihasznltsgval
kapcsolatos informcik jelennek meg. A memria kihasznltsgval
kapcsolatos adatok kztt is tallhatunk nhny flrerthet nev mezt, gy tekintsk t egyenknt az adatok tartalmt.
358
A PF Usage (Lapozfjl) rtk (s a hozz tartoz grafikon) viszont nem a lapozfjl hasznlatt mutatja, hanem a rendszer
ltal lefoglalt sszes memriaterlet (a fizikai memriban s a
lapozfjlban egyttesen) nagysgt.
A Physical Memory (Fizikai memria) szakaszban a szmtgpben lv fizikai memria (RAM) mrett lthatjuk. Az Available
(Rendelkezsre ll) rtk a szabad memria mennyisgt jelenti,
a System Cache (Rendszergyorsttr) mezrl pedig a megnyitott fjlok lekpezshez ignybe vett fizikai memria mennyisgt olvashatjuk le.
Networking (Hlzat) ezen a lapon a szmtgp engedlyezett hlzati csatolira vonatkoz adatokat tekinthetnk meg. A grafikonok a
pillanatnyi terhels alakulst mutatjk, alul pedig az alaprtelmezett
kszleten kvl mg szmos tovbbi adatot is megjelenthetnk (View
men Select Columns pontja).
Hibakeress s elhrts
A rendszerszolgltatsok
A rendszerszolgltats olyan program, vagy folyamat, amely a rendszer egy
meghatrozott, ms programok tmogatsra szolgl funkcijt valstja
meg, ltalban alacsony, hardver kzeli szinten. Minden szolgltats egy
meghatrozott felhasznli fik hasznlatval bejelentkezve ri el az opercis
rendszer erforrsait s objektumait. Windows Server 2003 esetn a szolgltatsok nagy tbbsge alaprtelmezs szerint a Helyi rendszer (Local System)
fik hasznlatval jelentkezik be, ami gyakorlatilag korltlan hozzfrst biztost a teljes rendszerhez.
360
A szolgltatsok hrom klnbz indtsi tpusba tartozhatnak. Az automatikus indtsak a rendszer indtsval egytt elindulnak s tbbsgk folyamatosan aktv marad a teljes rendszer, vagy az adott szolgltats lelltsig.
A kzi indts szolgltatsokat szksg esetn a felhasznl, illetve klnfle
programok vagy ms szolgltatsok indthatjk el, a tiltott szolgltatsok pedig
sem automatikusan, sem manulisan nem indthatk el.
A Services (Szolgltatsok) MMC-modul segtsgvel (meglepets!) a rendszerben fut szolgltatsok llapotrl kaphatunk informcit, illetve bellthatjuk a futtatsukkal kapcsolatos klnfle paramtereket. Amint a 6.7. brn lthat, a listban megtallhatjuk a szolgltatsok nevt, rvid lerst,
aktulis llapott, indtsi tpust s azt a felhasznlnevet, amelynek hasznlatval a szolgltats bejelentkezik a rendszerbe.
A szolgltatsokkal kapcsolatos hibk gyors felmrse jl felhasznlhat, ha
a sorokat az indtsi tpus szerinti sorrendbe rendezzk. Ekkor az automatikus
tpus kerl a lista elejre, gy knnyen szrevehetjk, ha egy ilyen szolgltats
valami miatt nem indult el. (Nhny automatikusan indul szolgltatsnak
nem kell folyamatosan futnia, de ezekbl meglehetsen kevs van.)
A tovbbi adatokat megjelent, illetve bizonyos paramterek belltst is lehetv tv prbeszdablak megjelentshez dupln kell kattintanunk az
adott szolgltatst reprezentl sorra. A prbeszdablak lapjain megadhatjuk a
361
Hibakeress s elhrts
szolgltats indtsi tpust, s a futtat felhasznli fikot (le is llthatjuk, illetve elindthatjuk a szolgltatst). A Recovery (Helyrellts) lapon megadhatjuk, hogy mi trtnjen, ha a szolgltats lell az els, msodik, illetve harmadik
alkalommal. jraindthat az adott szolgltats, maga a szmtgp, illetve lefuttathatunk egy tetszleges programot is. Ezek a lehetsgek szmos esetben
nagyon hasznosak lehetnek, hiszen egy szolgltats lellsa komoly problmt
okozhat, de ezt a szolgltats, vagy a szmtgp jraindtsa a legtbb esetben
megoldja (hacsak nincs nagyobb baj), az elindtott program pedig rtestheti
pldul a rendszergazdt, vagy a felhasznlkat.
A hibakeress szempontjbl taln a Dependencies (Fggsgek) lap tartalma lehet a legfontosabb. Innen azt olvashatjuk le, hogy az adott szolgltats mely ms szolgltatsoktl fgg (vagyis minek kell futnia, hogy elindulhasson), s mely szolgltatsok fggenek tle (vagyis mi minden fog lellni az
adott szolgltatssal egytt).
Az Eszkzkezel
Az Eszkzkezel (Device Manager) a szmtgpre teleptett hardvereszkzk
grafikus nzett biztostja; segtsgvel frissthetjk a hardvereszkzk
illesztprogramjait, mdosthatjuk a hardverelemekkel kapcsolatos klnfle
belltsokat, s felderthetjk, illetve elhrthatjuk a hibkat.
6.8. bra: Az Eszkzkezel a rejtett (nem Plug and Play) eszkzk megjelentsre s
eltvoltsra is kpes
362
Az Esemnynapl
Az Esemnynapl szolgltats ltal ksztett naplk segtsgvel nyomon kvethetjk a szmtgp egyes komponenseinek mkdst, s gyorsan rteslhetnk a klnfle problmkrl. Termszetesen lehetsgnk van az
esemnyek klnfle tulajdonsgai (tpus, forrs, dtum stb.) szerinti szrsre
s keressre is. A Windows Server 2003 csaldba tartoz opercis rendszerek alaprtelmezs szerint hromfle naplban rgztik az esemnyeket:
363
Hibakeress s elhrts
A biztonsgi napl (Security log) az rvnyes s rvnytelen bejelentkezsi ksrleteket, valamint a klnfle erforrsok (pldul fjlok) ltrehozst, megnyitst vagy trlst tartalmazza. A biztonsgi
naplba kerl esemnyek krt a csoporthzirend, (illetve a helyi hzirend) belltsai hatrozzk meg.
A cmtr-szolgltatsi napl (Directory Service log) az Active Directory-szolgltats ltal naplzott esemnyeket tartalmazza, ide kerlnek pldul a cmtradatbzis replikcijval kapcsolatos klnfle bejegyzsek.
364
Hiba (Error) Jelents, mr bekvetkezett problma, pldul egy szolgltats sikertelen indtsi ksrlete, vagy lellsa, egy alkalmazs lefagysa stb.
Sikeres esemnyek naplzsa (Success Audit) Ilyen tpus bejegyzsekkel a biztonsgi naplban tallkozhatunk. Sikeres esemnynek minsl pldul, ha egy felhasznlnak sikerl bejelentkeznie a rendszerbe.
Az Esemnynaplba kerl hibk (s sok esetben a figyelmeztetsek is) mindenkppen trdst rdemelnek, br gyakran elfordul az is, hogy semmi klns teendnk nincs, mert pldul egyszeren a szmtgp jraindtsa
megoldja a problmt. Ebben az esetben sem rt azonban, ha a naplbejegyzsben tallhat esemnyazonost alapjn rkeresnk a hibazenetre a Microsoft Tudsbzisban (http://support.microsoft.com), ahol gyakorlatilag minden elkpzelhet bejegyzssel kapcsolatban rszletes, megbzhat forrsbl
szrmaz informcit kapunk (a legtbb esetben persze angolul, br van nhny magyartott cikk is). Megtudhatjuk, hogy mi okozhatja a jelensget, s
mi lehet a megolds (pldul javtcsomag letltse s teleptse, belltsok
mdostsa stb.). Szintn jl hasznlhat forrs lehet a http://eventid.net
webhely, ahov akr mi magunk is feltlthetjk egy adott problmval kapcsolatos krdsnket, illetve vlaszolhatunk msok krdseire is. Termszetesen sok esetben jl hasznlhatk az ltalnos keresk is.
365
Hibakeress s elhrts
Dr. Watson
Dr. Watson egy hibakeres/nyomkvet alkalmazs, ami sszegyjti a klnfle programhibkkal kapcsolatos tnyeket, hogy aztn ezek alapjn Sherlock
Holmes (a rendszergazda) rendkvl les elmjvel levonhassa a megfelel
kvetkeztetseket.
Programhiba, illetve kezeletlen kivtel esetn Dr. Watson automatikusan akciba lendl, hozzkapcsoldik a hibs alkalmazshoz vagy szolgltatshoz,
megvizsglja a hibt s a DRWTSN32.LOG nev szveges naplfjlba rja a
vizsglat eredmnyt (s bejegyzst kszt az Esemnynaplba is). Dr. Watson segtsgvel ltrehozhatunk a memria tartalmt trol binris fjlt is,
amely aztn specilis hibakeres alkalmazs segtsgvel elemezhet.
Dr. Watson belltsainak (pldul a naplfjl s a memriakp trolmappja) megadshoz a drwtsn32.exe programot kell elindtanunk.
366
367
Hibakeress s elhrts
az els tvlaszt cmt is) s j csomagot kld a clcm fel, egyel nagyobb
TTL-rtkkel. Ez a csomag a msodik tvlasztn fog hibazenetet generlni,
gy a tracert mr ennek a cmt is feljegyezheti. Mire a csomag eljut a cmzetthez, a tracert az sszes tvlaszt cmt ismerni fogja, amelyeken a csomag thaladt. Ezutn a tracert listt kszt a hibazenetekbl kinyert tvlaszt-cmekbl, s a cmhez DNS-lekrdezs segtsgvel meghatrozott nevekbl. Ha hasznljuk a -d opcit, a program nem hajt vgre DNS-lekrdezst, ilyenkor csak az tvlasztk IP-cmei jelennek meg. A tracert parancs
felhasznlhat annak a meghatrozsra, hogy egy adott csomag tovbbtsa
a hlzat mely pontjn lett lelltva.
A ping parancssori segdprogram a megadott cllloms mkdkpessgnek ellenrzsre szolgl. A ping ICMP Echo zeneteket kld a megadott
IP-cm fel, majd vrakozni kezd a cmzettl rkez ICMP Echo Reply zenetekre. A program kirja a berkezett vlaszzenetek szmt, valamint a krs
elkldse s a vlasz megrkezse kztt eltelt idt.
A pathping nev parancssori eszkz a ping s a tracert funkcionalitsnak kombincijt nyjtja, s nhny tovbbi szolgltatssal is rendelkezik.
Az tvonal feltrkpezse mellett a pathping minden egyes tvlasztt tbbszr is pingel, s megjelenti a ksleltetssel s elveszett csomagokkal kapcsolatos informcikat. Ilyen mdon felmrhetjk az tvonalon elhelyezked
rossz tviv kpessg vonalakat s tvlasztkat.
Az nslookup program a DNS-infrastruktra hibakeresshez hasznlhat
adatok megjelentsre alkalmas. Segtsgvel lekrdezhetjk a megadott DNSkiszolgl adatbzisban trolt rtkeket (szmtgpnv megadsval IP-cmet
s fordtva). A parancs els paramtereknt a lekrdezend nevet, vagy IP-cmet
kell megadnunk, msodik paramterknt pedig megadhatjuk annak a DNSkiszolglnak a nevt (vagy IP-cmt), amelynek a lekrdezst el kell kldeni.
Ha nem adunk meg msodik paramtert, akkor a szmtgpen belltott alaprtelmezett DNS-kiszolgl fog vlaszolni. Az nslookup nagyon jl hasznlhat a
nvfeloldssal kapcsolatos egyszerbb hibk gyors feldertsre, ha ilyen problmra gyanakszunk rdemes mindig ezzel kezdeni a hibakeresst.
369
Hibakeress s elhrts
Network Monitor
Az eddigiekkel szemben a Network Monitor mr egyltaln nem nevezhet
egyszer eszkznek, de szakrt kzben gyakorlatilag brmire kpes; segtsgvel a hlzati mkds legmlyebb rtegeibe is betekintst nyerhetnk.
A program segtsgvel rgzthetjk s megvizsglhatjuk a gpnkhz rkez
vagy kimen valamennyi hlzati csomagot, ezeket a Network Monitor a hlzati architektra NDIS rtegnek megcsapolsval gyjti ssze szmunkra.
Mivel az NDIS meghajt a hierarchia legalacsonyabb szoftveres rtege (alatta
mr csak a hlzati adapter hardvere tallhat), a Network Monitor segtsgvel minden olyan csomagot lthatunk, amit a hlzati adapter tovbbkld
az opercis rendszer fel.
Az zenetszrsos hlzat mkdsi elve szerint (a switchekkel sszekapcsolt hlzattal most nem foglalkozunk), minden egyes csomagot a hlzatra
kapcsolt valamennyi gp megkap. Ezutn a hlzati adapter hardveresen szszehasonltja az Ethernet csomagban lv cl MAC-cmet a sajtjval, s csak
a neki sznt csomagokat kldi tovbb a feljebb lv szoftveres rtegek fel.
A Network Monitor driver ezt a hardveres szrst kapcsolja ki (promiszkusz
md), gy megjelentheti a hlzaton elrhet valamennyi csomag tartalmt.
A promiszkusz md korbban csak a SMS rszeknt beszerezhet Network Monitor Gold verziban volt hasznlhat (a kiszolgl opercis rendszerek rszeknt kapott alapvltozatban
nem), de a legjabb, 3.1-es verziban mr nincs ilyen megklnbztets, a p-mdnak elnevezett zemmd egyszeren ki- s bekapcsolhat a grafikus felleten.
370
A Network Monitor rgebbi verziit a Windows kiszolgl opercis rendszerek beptetten tartalmazzk (az Add or Remove Programs (Programok teleptse s trlse) segtsgvel telepthet), a legjabb, 3.1-es verzi pedig szabadon letlthet a Microsoft webhelyrl. Az j verzi szmos j funkcival rendelkezik, kpes pldul a vezetk nlkli hlzatok forgalmnak megfigyelsre, a Vista RAS-kapcsolatainak (belertve a VPN-kapcsolatokat is) ellenrzsre. Az j Network Monitor a szoksos mdon a Microsoft Update, (illetve
a vllalat sajt WSUS-kiszolglja) segtsgvel frissthet.
Ethereal
Az Ethereal egy msik hlzatmonitoroz program, amelynek funkcii nagyjbl megegyeznek a Network Monitor lehetsgeivel, de szmos belltsa valamivel egyszerbben adhat meg, ezrt kezdsnek taln jobban ajnlhat. Az
Ethereal szmos platformra (Windows, MAC, klnfle Linux s UNIX verzik)
ingyenesen letlthet a http://www.ethereal.com/download.html cmrl.
371
Hibakeress s elhrts
Adataink biztonsga
A biztonsgi ments s visszallts belltsai s idztse
Ebben a screencastban az NTBackup program a fszerep, megmutatjuk a klnfle belltsi
lehetsgeit, biztonsgi mentst ksztnk nhny fjlrl, majd visszalltjuk azokat.
Fjlnv: II-3-3a-NTBackup.avi
372
Adataink biztonsga
Meg kell jegyeznnk, hogy a redundns lemez-alrendszerek (hardveres RAID) semmikppen
nem helyettesthetik a rendszeres biztonsgi mentseket, hiszen nem nyjtanak vdelmet az
adatok szndkos vagy vletlen (pldul figyelmetlensg, vagy szoftverhiba miatt) trlse ellen, illetve a hardverrel kapcsolatos katasztrfa (tbb lemez egyidej meghibsodsa, tzeset
stb.) esetn is elveszthetjk adatainkat. A redundns alrendszerek alapveten nem az adatbiztonsgot (rszben persze azt is), hanem a rendelkezsre llst nvelik.
Biztonsgi ments adatok msolsa egy alternatv mdira, az adatveszts elkerlse (cskkentse) miatt. A mentett llomnyok hossz tv
megrzse ltalban nem szksges.
Milyen srn mentsnk? Amint mr emltettk, a mentsek srsgt az elveszthet adatok maximlis mennyisgnek kell meghatroznia. Minl kevesebb (rvidebb id alatt keletkez) adat elvesztst
kpes klnsebb problma nlkl elviselni a vllalat, annl gyakrab373
Hibakeress s elhrts
ban kell mentseket vgeznnk. Termszetesen a mentsek gyakorisgnak meghatrozsakor figyelembe kell vennnk a trolt (s mentend) adatok kztti klnbsgeket is: a gyakran vltoz, rtkes llomnyokat srbben, a ritkbban mdostott adatokat pedig ritkbban kell
menteni (esetleg elegend az egyszeri archivls is).
374
Mire mentsnk? Nagyon fontos krds a biztonsgi mentseket trol eszkzk s a mdia (merevlemez, szalag, optikai lemezek stb.) kivlasztsa is. A kiszolglban lv msodik merevlemeztl, a klnfle szalagos meghajtkon keresztl az nll, automatizlt trolegysgekig
szmtalan megolds kzl vlaszthatunk, az optimlis megolds megtallshoz figyelembe kell vennnk a szksges kapacitst, a sebessget,
a megbzhatsgot, tartssgot, s a fajlagos kltsget is. A mentseket
tartalmaz mdia trolsra lehetsg szerint vlasszunk olyan megoldst, ami komolyabb katasztrfa esetn is megfelel biztonsgot
nyjt: szksges lehet a kiszolgltl fizikailag is elklntett (akr klnll telephelyen lv) trol hely, tzbiztos kazetta stb.
Mikor mentsnk? Az adatok mentst clszer olyan idpontra idzteni, amikor vrhatan nincsen sok megnyitott fjl (br ezek korbbi
verziit az rnykmsolat technolgia segtsgvel az NTBackup kpes
lementeni), s a ments ltal lefoglalt erforrsok hinya nem zavarja
a felhasznlkat. Szoksos irodai krnyezetben ez azt jelenti, hogy a
mentseket az jszakai rkra s a htvgre kell idztennk. Ebbl
kvetkezen a mentsek elvgzsre korltozott idintervallum ll
rendelkezsre, ezt figyelembe kell vennnk a mentend adatok krnek
(mennyisgnek) meghatrozsakor, s ennek megfelelen kell kivlasztanunk a ments tpust (a ments klnfle tpusairl ksbb mg
szt ejtnk) s a felhasznland eszkzket is.
Adataink biztonsga
Az NTBackup
A biztonsgi mentsek elvgzsre a Windows-rendszerek beptett NTBackup
programjt hasznlhatjuk. Termszetesen a megfelel pnzsszeg ellenben vlaszthatunk ms megoldst is szmos kifinomultabb, tbb lehetsggel rendelkez rendszer van a piacon , de kisvllalati krnyezetben az NTBackup
gyakorlatilag mindent tud, amire szksgnk lehet.
375
Hibakeress s elhrts
Az NTBackup program a csak a helyi rendszerllapot adatok mentsre kpes, tvoli szmtgpek rendszerllapotnak mentsre nincs lehetsg.
Az NTBackup nemcsak a grafikus fellet, hanem parancssori paramterek segtsgvel is teljeskren vezrelhet, gy lehetsg van a parancsfjlbl, vagy klnfle szkriptnyelvekbl val
hasznlatra is.
376
Adataink biztonsga
A ments tpusa
Az NTBackup tbb klnbz tpus ments elvgzsre kpes, a kvetkezkben ezekkel fogunk megismerkedni. A klnbz tpus mentsek kzben
az NTBackup a mentend fjlok kt tulajdonsgt veszi figyelembe. Az egyik
termszetesen az utols mdosts dtuma, a msik pedig egy specilis fjl,
illetve mappatulajdonsg, az archivland attribtum. Az attribtumot minden olyan mvelet kteles bekapcsolni, ami a fjl tartalmnak mdostsval
jr (ebbl tudja majd az NTBackup, hogy a fjl megvltozott, teht menteni
kell). A sikeres ments utn ltalban (a ments tpustl fggen) az
NTBackup trli az attribtumot. A fjlok s mappk tulajdonsglapjn az archivland attribtum az Advanced (Specilis) szakaszban File is ready for
archiving (A fjl archivlsra ksz) nven szerepel.
Az NTBackup program segtsgvel a kvetkez mentsi tpusokat hasznlhatjuk:
Daily Backup (Napi ments) a kijellt fjlok kzl csak azokrl kszt mentst, melyek a ments futtatsnak napjn mdosultak. A biztonsgi mentst az NTBackup nem jelli a fjlokon (ms szval nem
trli az archivland attribtumot).
Incremental Backup (Nvekmnyes ments) A nvekmnyes ments a legutols norml vagy nvekmnyes biztonsgi ments ta ltrehozott vagy mdostott fjlokrl kszt msolatot. A ments vgrehajtst a rendszer megjelli a fjlokon, vagyis ebben az esetben trldni fog
az archivland attribtum. A norml s a nvekmnyes biztonsgi
ments kombincijnak hasznlatakor a visszalltshoz a legutols
norml s az azta ltrehozott valamennyi nvekmnyes biztonsgimsolat-kszletre szksg lesz.
377
Hibakeress s elhrts
Adataink biztonsgi mentshez a norml s a nvekmnyes ments kombincijnak hasznlatval van szksg a legkisebb trolkapacitsra, s a nvekmnyes mentsek vgrehajtshoz viszonylag kevs id is elegend lehet.
A fjlok visszalltsa azonban ezzel a mdszerrel idignyes s bonyolult lehet, mivel tbb biztonsgimsolat-kszletet kell hasznlnunk, amelyek akr
tbb lemezen vagy szalagon is lehetnek. Ha pldul htvgn vgezzk el a
norml mentst (ekkor viszonylag sok id llhat rendelkezsre), jszaknknt
pedig a nvekmnyes mentseket, akkor egy pnteki visszallts esetn
szksgnk lesz az elz htvgn kszlt norml mentsre s minden azta
kszlt nvekmnyes mentsre is.
Ha a norml s a klnbsgi biztonsgi ments kombincijt hasznljuk,
akkor a klnbsgi mentsek tbb idt vehetnek ignybe (klnsen gyakran
mdosul adatok esetn), de egyszerbb lesz az adatok visszalltsa, mivel
csak az utols norml, s az utols klnbsgi kszletre lesz szksgnk.
Automatikus rendszer-helyrellts
Az Automatikus rendszer-helyrellts (Automated System Recovery, ASR) segtsgvel egy hajlkonylemezbl s egy mentsi fjlbl ll kszletet lehet ltrehozni, amelynek segtsgvel visszallthat a srlt rendszer mentskori llapota. Termszetesen mieltt ezt a mdszert hasznlnnk rdemes megprblkozni ms lehetsgekkel is (cskkentett md, Last Known Good Configuration, Helyrelltsi konzol stb.).
Az automatikus rendszer-helyrellts kt rszbl ll: elsknt a mkd
rendszeren az NTBackup program Automatikus rendszer-helyrellt varzsljnak (Automated System Recovery Wizard) segtsgvel ltre kell hoznunk
a megfelel helyrellt kszletet. A kszlet egyik eleme egy mentsi fjl, ami
tartalmazza a rendszerllapot adatokat, a rendszerszolgltatsokat s az
opercis rendszerhez tartoz valamennyi ktet adatait. A varzsl a mentsi
fjl mell egy hajlkonylemezt is kszt, amelyen megtallhatjuk a biztonsgi
msolatra s a lemezbelltsokra (alap- s dinamikus ktetek), valamint a
visszallts menetre vonatkoz informcikat.
378
Adataink biztonsga
Idztett ments
Az NTBackup segtsgvel sszelltott mentsi feladatokat vgrehajthatjuk
kzvetlenl a felletrl trtn indtssal, illetve (a mentsi belltsok fjlba
rsa utn) a bellthat idztsnek megfelel idpontokban automatikusan.
A mentsek temezshez az sszelltott belltsokat fjlba kell mentennk, s meg kell adnunk egy felhasznlnevet (s jelszt), akinek nevben
az temezetten indul feladatok futni fognak.
A kvetkez idztsek belltsra van lehetsgnk:
379
Hibakeress s elhrts
A visszallts
A visszallts az a lps, amit soha senki nem szokott elre kiprblni, les
helyzetben meg gysem sikerl. Nagyon fontos, hogy a mentsi feladatok belltsa utn teszteljk a visszalltst is. A kvetkezkben vgigkvetjk a
mentsbl val helyrellts lpseit. Ttelezzk fel, hogy az egyik tartomnyvezrlnk rendszerlemeze meghibsodott, a gp nem indthat, s semmi esly nincs r, hogy ms mdon zemkpess tehetjk. A gpben lv msodik merevlemezen (vagy szalagon, ez tulajdonkppen lnyegtelen) van egy
elz nap ksztett norml ments (d:\mentes\backup.bkf) ezt szeretnnk
visszalltani. Mi a teend?
A mentsi fjl beolvasshoz s a visszalltshoz szksgnk van az
NTBackup-programra, mgpedig ppen azon a gpen, amelyre a rendszerllapot adatokat vissza szeretnnk lltani. A hibs merevlemez cserje utn
teht teleptennk kell a gpre egy Windows Server 2003 rendszert, hogy
legnagyobb rszt azonnal fellrhassuk a korbbi mentsnkkel. A kvetkez lpseket kell teht elvgeznnk:
380
Adataink biztonsga
A visszallts (csak a megfelel jogosultsg birtokban vgezhet el) rtelemszeren fellrja mentsben szerepl fjlokat s mappkat, illetve a rendszerllapot adatokat is. A mentett fjlok s mappk nem csak az eredeti helykre, hanem brhov visszallthatk, de a rendszerllapot adatok csak az
NTBackup programot futtat szmtgp aktulis belltsainak helyre kerlhetnek, vagyis mindenkppen fellrjk azokat
Beolvassa a lemezkonfigurcit
381
Hibakeress s elhrts
Kls eszkzk
A Windows opercis rendszerek beptett hibakeres eszkzein kvl szmos
kls program is rendelkezsnkre ll erre a clra. A kvetkezkben a Sysinternals ltal jegyzett eszkzk kzl tekintnk t nhnyat, amelyek igen jl
hasznlhatk szinte brmilyen hibakeressi feladat sorn, illetve nmelyikkel
az opercis rendszer mkdsnek olyan mlysgeibe lthatunk bele, ami
semmifle ms eszkzzel nem lehetsges. Az eszkzket vilgszerte rengetegen
hasznljk, gy azok megbzhatsghoz s hasznossghoz nem frhet ktsg.
Sysinternals segdprogramok
A Sysinternals ltal ksztett eszkzk tulajdonkppen az opercis rendszer
beptett eszkzeinek tbb-kevsb (ltalban inkbb tbb) felokostott vltozatai, amelyeknek funkcii s kezelse kifejezetten a rendszergazdk szemlletmdjt tkrzi. A Sysinternals cg szmtalan ilyen eszkzt ksztett,
ezen fell pedig tbb igen rdekes s fontos knyv (Inside Windows-sorozat),
elads s oktatanyag fzdik nevkhz. A vllalatot 2006-ban a Microsoft
megvsrolta (a cg alapti azta a Microsoft alkalmazsban llnak), de az
eszkzk tovbbra is rendszeresen frisslnek (st jak is kszlnek), s a
http://www.microsoft.com/technet/sysinternals/default.mspx cmrl valamenynyi ingyenesen, brki szmra letlthet.
Valamennyi eszkz futtatshoz rendszergazda-jogosultsg szksges
(Vista alatt Run as Administrator), viszont teleptsre egyltaln nincs szksg, a letlttt exe fjl minden tovbbi nlkl futtathat. A legfontosabb eszkzk egyetlen csomagban is letlthetk a http://tinyurl.com/ybce37 cmrl
(Sysinternals Suite).
A Sysinternals eszkzk
Ebben a screencastban kiprbljuk a legfontosabb s a legrdekesebb Sysinternals eszkzket.
Fjlnv: II-3-2b-Sysinternals.avi
382
Kls eszkzk
383
Hibakeress s elhrts
A FileMon s a RegMon helyt a Process Monitor vette t, ami viszont csak Windows 2000 SP4,
Windows XP SP2, Windows Server 2003 SP1, s Windows Vista rendszereken futtathat. A rgebbi rendszerek tmogatsa miatt azonban megmaradt az nll FileMon s RegMon is (ezek
mg a Windows 9x rendszereken is elindulnak).
Process Monitor
384
Kls eszkzk
Process Explorer
A Process Explorer kpes a szmtgpen fut folyamatok szinte minden tulajdonsgnak megjelentsre. Funkciinak egy rsze megtallhat a Feladatkezelben is, de segtsgvel rengeteg olyan informcihoz is hozzjuthatunk, amelyek megjelentsre a Feladatkezel nem kpes.
A folyamatok a szl-gyermek kapcsolatoknak megfelel fastruktrban
jelennek meg, s valamennyi folyamathoz megjelenthetjk a hasznlt rendszererforrsok s a nyitva tartott dll-ek listjt is. A Process Explorer igen
kifinomult keressi lehetsgekkel rendelkezik, gy pillanatok alatt megtallhatjuk pldul azt a rendszerfolyamatot, amelyik egy adott erforrst vagy
dll-t megnyitva tart.
AutoRuns
Az AutoRuns segdprogram megkeresi s megjelenti a rendszerindtskor
automatikusan indul valamennyi programot, szolgltatst stb., vagyis mindent, amit az opercis rendszer automatikusan elindt. A listba kerlnek az
indtpultban s a klnfle registrykulcsokban (Run, RunOnce stb.) szerepl
bejegyzsek, az Explorer shellbvtmnyek, a betltd eszkztrak s mg
sok minden ms is.
385
Hibakeress s elhrts
AD Explorer
Az AD Explorer kpes a cmtradatbzis nyers formjnak megjelentsre,
segtsgvel elrhetjk valamennyi cmtrpartcit s megjelenthetjk, illetve szerkeszthetjk az egyes objektumokhoz tartoz tulajdonsgrtkeket. Az
ADExplorer nagyon kifinomult keressi lehetsgekkel rendelkezik, s lehetsgnk van a keressek elmentsre s ksbbi jrafelhasznlsra is.
Teljesen egyedlll lehetsg az, hogy offline megjelentsre s sszehasonltsra alkalmas pillanatkpeket kszthetnk az Active Directory adatbzisrl. A mentett adatbzis brmikor jra felcsatolhat, vagyis az l adatbzissal megegyez mdon jelenthet meg. A klnbz idpontokban kszlt pillanatkpek sszehasonltsval azonosthatjuk a megvltozott objektumokat, tulajdonsgokat s jogosultgi listkat.
386
Kls eszkzk
AD Restore
Az ADRestore a trlt cmtrobjektumok megkeressre s visszalltsra
kpes. A program hasznlata nagyon egyszer, a cmtr online llapotban
indthatjuk el s paramterknt (nem ktelez) csak a trlt objektumok kztt vlogat szrt kell megadnunk.
PsKill a parancs segtsgvel lehetsgnk van a szmtgpen (tvoli gpeken is) fut folyamatok knyrtelen lezrsra.
387
Hibakeress s elhrts
PsLoggedOn a parancs a szmtgpre bejelentkezett felhasznlkat listzza (a helyi bejelentkezseket s a megosztott erforrsokra
vonatkoz kapcsolatokat is).
TCPView
A TCPView segtsgvel a TCP s UDP vgpontok listjt jelenthetjk meg.
A program felletrl leolvashat az adott kapcsolathoz tartoz folyamat neve,
a helyi s a tvoli port szma, s a kapcsolds llapota is. A program parancssori vltozatban is hasznlhat, ennek neve tcpvcon.exe.
NewSID
388
Kls eszkzk
BGInfo
Br nem kapcsoldik szorosan a hibakeresshez, mindenkppen figyelmet rdemel ez az egyszer, de nagyon tletes program. A BGInfo segtsgvel egyszeren az Asztal httrkpt llthatjuk be, de olyan mdon, hogy a kpen
megjelenjenek a szmtgp klnfle adatai (neve, IP-cme, opercis rendszere stb.). Ha a programot az Indtpultbl, vagy logon szkriptbl minden bejelentkezskor lefuttatjuk, akkor a httrkp mindig az ppen aktulis adatokat fogja tartalmazni. A program az automatikus indts esetn sem marad
a memriban, csak elkszti az aktulis httrkpet, s mr vget is r,
vagyis biztosan nem foglalja a rendszer erforrsait, s nem okoz semmifle
problmt a rendszer mkdsben.
389
FGGELK
392
2. Futtassuk a DVD Gepek\VistaEnt mappjban lv Vista.part01.exe llomnyt! Vlasszunk ki egy clmappt a merevlemeznkn, majd tmrtsk ki a virtulis gp httrtrt (.vhd) s konfigurcis llomnyt (.vmc)
s az egyb informcis fjlokat.
3. Tegyk meg ugyanezt a Windows Server 2003 R2 esetn is (Gepek\
W2K3R2 mappa > WIN2K3R2EE.part1.exe).
Legynk trelmesek, a kicsomagols eltart egy ideig. A kt virtulis gp httrtr ignye viszonylag nagy, sszesen kb. 7,3 GB.
Fontos tudnival az is, hogy mindkt gp az els indts utn maximum 30 napig mkdik csak.
Teht brmikor indthatjuk a DVD-rl (pontosabban 2008. jnius 30-ig), de ha mr megy, maximum 30 napig hasznlhat. Annak, hogy jra kicsomagoljuk s elindtsunk egy 30 napos peridust, semmi akadlya nincs.
393
395
A Windows Server 2003 R2 gyri felhasznlja az Administrator fik, melynek jelszava: Evaluation1. Termszetesen az els belps utn btran ltrehozhatunk sajt fikot, sajt jelszval, vagy megvltoztathatjuk az Administrator fikt is.
A Vista gp esetn az ltalunk megadott helyi felhasznli fikot hasznljuk.
Virtulis gpek esetn a belps utni els teend a Virtual Machine
Additions telepts szokott lenni (a gp ablaknak Action menjbl). Ezzel a
bvtmnnyel ltalban plusz teljestmnyhez s knyelmi szolgltatsokhoz
jutunk. Viszont erre most nem lesz szksg, mindkt virtulis gp esetn ez a
komponens elteleptsre kerlt.
A virtulis gpet teljes kpernyn is hasznlhatjuk, ehhez a host key + Enter gombok egyttes
lenyomsa szksges. Az ablakos megjelentshez ugyanezzel a billentykombincival lehet
visszavltani.
Amikor a Network and Sharing Center-t vizsgljuk, vagy amikor a kiszolglbl majd DHCP-kiszolglt faragunk, rdemes lesz egy msik
(szintn Local Only) hlzati krtyt felvenni a jl lthat eredmny
kedvrt.
396
Fix IP szksges: 172.16.0.1, Network mask: 255.255.0.0, Default Gateway: nincs, DNS: 172.16.0.1
A gpek lelltsa
DHCP
WINS
RRAS, VPN
A gpek lelltsa
A virtulis gpek lelltst a szoksos mdon is vgezhetjk, ilyenkor az
opercis rendszer kikapcsol, de eltte lemezre ment minden mdostst,
majd vgl teljesen lell.
Alternatv megoldsknt megprblhatjuk bezrni a virtulis gp ablakt
is. Ekkor vlaszthatunk, hogy az elbb lert, hagyomnyos lelltst szeretnnk krni, vagy egyszeren megljk a gpet, mintha kihznnk az elektromos hlzatbl, vagy fizikailag kikapcsolnnk. Ez csakgy, mint valdi gpek esetben csak vgszksgben javasolhat, mivel adatvesztst okoz.
Az elbbi listban a harmadik opci a Save state, amely lementi a virtulis
gp teljes memrijt, majd kikapcsolja azt. Ez nagyban hasonlt a hibernlshoz, azonban ezt nem a virtulis opercis rendszer, hanem a Virtual PC
2007 vgzi el a futtatott virtulis gpen. Az ilyen mdon lelltott gpeket ksbb elindtva pontosan ugyanabban az llapotban kapjuk vissza, mint ahogy
lelltottuk, mg akkor is, ha a Virtual PC 2007-et futtat (host-) szmtgpet jraindtjuk a lellts utn.
397
Trgymutat
A,
A biztonsgi ments s visszallts kzpontja, 174
A hozzfrs megtagadva, 312
A jelszt nem lehet megvltoztatni, 104
A kvetkez bejelentkezskor meg kell
vltoztatni a jelszt, 104
A Windows Vista teleptse, 3, 5, 8
access token, 114
Accessories, 160
account, 100, 314-316
ACL, 114, 115, 120, 139, 151, 152, 316
ACPI, 13
Action, 29, 170, 297, 396
Active Directory, 34, 35, 111, 113, 186,
187, 190, 198, 215, 216, 227, 238,
246, 258, 259, 260, 266, 275-282,
285-305, 308-321, 323, 329, 331-337,
347, 364, 373, 376, 386, 387
Active Directory felhasznlk s szmtgpek, 285, 291, 314
Active Directory Domains and Trusts,
285, 292
Active Directory Schema, 285, 292
Active Directory Sites and Services, 292,
333, 336
Active Directory Users and Computers,
285, 291, 313, 314, 318
Active Directory-szolgltats, 281, 290,
303, 309, 313, 364
adatveszts, 372, 373, 397
Add/Remove Programs, 15, 397
Add/Remove Snap-in, 91, 292
Address, 135, 235, 236, 367
Address Pool, 235
Adjust power settings, 58
Adjust visual effects, 57
ADMIN$, 125
Administrative Templates, 52, 75
Administrative Tools, 29, 30, 31, 61, 68,
88, 200, 214, 255, 258, 260, 262, 266,
290, 305, 310
Administrator, 101, 103, 115, 140, 238,
311, 314, 320, 350, 382, 396
Trgymutat
APIPA, 43, 231-233
AppData, 26, 148, 157
Application, 62, 283, 364
Application log, 62, 364
Applications, 18, 59, 62, 357
archivls, 66, 374, 377
rnykmsolat, 6, 175-179, 188-213, 363,
374, 375
ASR, 376, 378, 379, 381
Asztal, 26, 106, 253, 325, 389
Asztal tvoli felhasznli, 106, 253
Asztaltrsasg, 20, 50
thelyezs, 27, 28, 212, 285, 292, 373
tjr, 37, 45, 78, 234, 242
tnyl ktet, 202, 203
attribtum, 120, 282, 286, 293, 377, 378
tvitel, 9-11, 17, 83, 216, 254
Audit object access, 119
Audit Policy, 119
Authenticated Users, 107, 118
Automated System Recovery, 376, 378
Automated System Recovery Wizard, 378
Automatic Private IP Addressing, 231
automatikus frissts, 130, 177, 254, 271,
273, 324, 329
automatikus
magnhlzati
IPcmkioszts, 231
automatikus rendszer-helyrellts, 376,
378, 381
Automatikus rendszer-helyrellt varzsl, 378
B
backup, 175, 377, 380
Backup and Restore Center, 174, 181
Backup Operators, 106, 128
Backup Status and Configuration, 174
bjt, 43, 109, 110, 228, 342, 351
Batch, 108, 128, 352
BCD, 138
bcdedit, 138
bellts, 85, 94, 126, 136, 143, 153, 161,
187, 231, 232, 238, 239, 256, 268,
271, 307, 328, 329, 356, 394, 395
Belltsok, 72, 212, 254
Belltsszerkeszt, 33
bepl modul, 91, 129, 205, 333
Bepl modul hozzadsa/eltvoltsa,
91, 292
bejelentkezs, 70, 112, 113, 128, 255,
272, 290, 320, 329, 336, 347, 354
bejelentkezsi kperny, 395
400
C
CA, 256, 259, 260
Certificate Manager, 165
Certificate Revocation List, 259
Certificate Services, 278
Certificates, 260
Certification Authority, 259, 260
Change, 121, 334
chkdsk, 76, 180, 349, 351
cmbrlet, 234, 239
Cmkeressi znk, 305
Trgymutat
cmtr, 100, 113, 186, 187, 197, 238, 248,
275-279, 282, 286, 289-294, 301, 305,
309, 311, 315, 319, 320, 331-333,
364, 387
cmtradatbzis, 280-282, 332, 364, 386
cmtrszolgltats, 100, 111, 114, 187,
275, 279, 290, 294, 311, 332, 347
Cmtrszolgltatsok visszalltsa, 347
cmtartomny, 43, 46, 168, 230, 234
cmtartomnyok, 43, 46
client, 18, 251, 273
cmd, 105, 150, 222, 324, 326, 346, 360
CNAME, 302
COM, 141, 319
Command, 77, 298, 346
Complete PC Backup, 27, 175, 180
Computer, 29, 30, 52, 60, 75, 90, 103, 122,
124, 128, 181, 211, 318, 360
Computer Configuration, 52, 75
Computer Management, 29, 30, 60, 103,
122, 124, 360
Computers, 268, 285, 291, 313, 318
Configure, 200, 223, 258, 262, 271, 310
Configure Your Server, 200, 258, 262, 310
Connect, 39
Connect to, 39
Connect to a network, 39
Connection Manager Administration Kit,
247
Connection Security Rules, 172
Control Panel, 22, 23, 28, 36, 55, 81, 103,
137, 142, 145, 167, 207, 326, 356, 380
CPU Usage, 359
Create, 69, 70, 175, 176, 212
Create Basic Task, 69
Creator Group, 108
Creator Owner, 108
CRL, 259
Custom, 63, 64
Customize, 37
Cs
Csatlakozs, 39, 64, 251
csatol, 194, 205, 231, 236, 243, 306, 365
Cserlhet trol kezelse, 17
cskozott ktet, 202, 203
csoport hatkre, 140
csoporthzirend, 11, 21, 87, 88, 91, 187,
227, 228, 251, 268, 271-278, 281,
290, 313, 322-331, 335, 353, 364
csoporthzirend-objektum, 88, 91, 329,
331
Csoporthzirendobjektum-szerkeszt, 88,
91
csoporttagsg, 100, 105, 123, 268, 285,
291
Cskkentett md, 77, 140, 345, 346, 348
Cskkentett md hlzattal, 77, 346
Cskkentett md parancssorral, 77, 346
D
Datacenter Edition, 191
DC, 254, 279, 282, 333, 397
Default Domain Controllers Policy, 329
Default Domain Policy, 274, 329
default.asp, 8, 12
default.aspx, 8, 12
Delete, 121, 395
Delete Subfolders and Files, 121
Deny, 118, 128
Dependencies, 362
Desktop, 26, 57, 93, 106, 145, 146, 253
Device Manager, 23, 30, 87, 177, 199, 362
devmgmt.msc, 23
DFS, 19, 214-217, 397
DHCP, 43, 47, 188, 228, 231-239, 241,
307, 346, 367, 396, 397
DHCP Relay Agent, 234
DHCP-kiszolgl, 47, 231-239, 396
DHCP-szolgltats, 228, 233-235, 238,
241, 307
DHCP-gyfl, 233, 234, 236, 239
Diagnose and repair, 39
Diagnostics, 32, 75, 77
Diagnosztika, 12, 39, 55, 349
Diagnosztizls s javts, 39
Dialup, 108
digitlis alrs, 57, 132, 144, 259
Dinamikus, 202
dinamikus frissts, 305, 308
dinamikus ktetek, 203, 378
dinamikus lemezek, 197, 201, 202, 204
dir, 25, 353
directory, 289
Directory Services Restore Mode, 311,
320, 347
DirectX 9, 8
Disk Cleanup, 58, 147
Disk Management, 203
Distributed File System, 201, 214, 216
DMA, 59
DMA-csatornk, 59
401
Trgymutat
DNS, 35, 37, 44, 45, 48, 49, 106, 112, 148,
186, 188, 190, 198, 231, 232, 234, 235,
238, 239, 241, 248, 275, 280, 281, 294309, 311, 312, 315, 325, 332, 337, 346,
364, 367, 369, 396, 397
DNS Domain Name, 234
DNS-gyorsttr, 49, 296, 297
DNS-kiszolgl, 35, 37, 44, 45, 48, 49,
190, 231, 232, 234, 235, 239, 248,
294-307, 309, 311, 337, 364, 367, 369
DNS-nv, 45, 295, 296, 315
DNS-tartomnynv, 234, 280, 281, 303,
304
DNS-szolgltats, 186, 238, 241, 275, 294,
298, 304, 306, 309, 311, 364
Documents, 26, 28
Dokumentumok, 25, 26, 28, 102, 126,
165, 324
Dokumentumok kezelse, 126
domain, 40, 311
Domain Admins, 115, 312, 316
Domain Controllers, 308, 329
Domain Guests, 115
Domain Naming Master, 284, 285, 292
Domain Users, 316
Driver, 177, 211, 363
DVD, 8, 10, 11, 14, 95, 140, 175, 194,
391-393, 397
Dynamic, 43, 202, 232, 305
Dynamic Host Configuration Protocol,
43, 232
Dynamic updates, 305
E,
EAP, 250
Edit, 118
EFI, 205
EFS, 6, 153, 163, 164, 165
egr, 28, 179, 344, 345
egyszer ktet, 202
egyszer tzfal, 33
elrsi t, 83, 214
Elosztott fjlrendszer, 201, 214
elre megosztott kulcs, 251
elugr ablak, 129
Elz verzik, 175, 178, 213
Elsdleges, 10, 322, 351
elsdleges csoport, 115
elsdleges DNS-kiszolgl, 300
elsdleges partci, 202
elsdleges zna, 298-300
402
F
fjl, 17, 20, 37, 45, 48, 49, 57, 101, 115,
119, 122, 125, 126, 132, 149, 150, 152,
156, 168, 170, 178-180, 185, 188, 197,
207, 209, 210, 212, 216, 217, 222-224,
240, 241, 242, 248, 260, 289, 290, 293,
343, 346, 349, 352, 353, 373, 374, 377,
378, 380-384, 392
fjl- s nyomtatkiszolgl, 125
fjlkiszolgl, 201, 217, 218, 224
Trgymutat
fjlmegoszts, 37, 149, 187
fjlok ltrehozsa, 102
fjlrendszer, 18, 76, 116, 119, 120, 126,
134, 139, 148-153, 163, 165, 188, 189,
197, 202, 207, 214-216, 343, 349, 384
fjlreplikcis szolgltats, 19, 217, 364
fjltitkosts, 197
FAT, 197, 343
FAT32, 343
Favorites, 26, 325
Feladat befejezse, 357
Feladatkezel, 60, 72, 87, 150, 341, 357,
367, 385
Feladattemez, 30, 33, 68, 69, 70, 360,
380
felbonts, 308, 348
felhasznl, 10, 26, 27, 35, 71, 82, 83, 87,
88, 91, 100-120, 123, 126, 128, 140149, 151, 152, 162, 163, 167, 168, 187,
188, 189, 192, 208, 209, 224, 226, 227,
246, 249, 252-258, 260, 262, 273-278,
281, 285, 293, 294, 311-316, 322-329,
333, 357, 361, 380, 387
felhasznlhoz tartoz, 24, 26, 228, 258
felhasznli fellet, 6, 32, 61, 106, 130,
228, 252, 271, 339
felhasznli fik, 9, 34, 35, 85, 91, 99, 100107, 128, 140, 142, 148, 186, 214, 227,
238, 277, 278, 281, 283, 291, 311, 313317, 329, 360, 362, 374, 388
Felhasznli fikok, 70, 103, 143, 146
Felhasznli fikok felgyelete, 70, 143,
146
Felhasznli jogok kiosztsa, 127
felhasznli jogosultsg, 35, 140, 383
felhasznli mappk, 27, 28
felhasznli profil, 24, 26, 92, 176, 277
Felhasznlk, 102, 103, 106, 314, 316,
359
felhasznlnv, 13, 24, 90, 108, 148, 278,
320
felgyelet, 5, 28, 40, 55, 67, 73, 87, 146,
187
Felgyeleti eszkzk, 29, 30, 61, 68, 88,
200, 214, 255, 266, 290, 305, 310
felgyeleti konzol, 29, 75, 200, 206, 258,
260, 265, 266, 330
Felgyeleti sablonok, 325
Figyelmeztets, 365
File Replication Service, 217, 290, 364
FileMon, 382, 383, 384
fik, 34, 35, 100-106, 118, 128, 138, 140,
176, 277, 317, 345, 350, 360, 396
Fikok, 9
Firewall, 33, 93, 168, 169
fizikai eszkz, 351
fizikai lemez, 194, 203, 204
Fokozott biztonsg Windows tzfal, 33,
168, 169
Folder Options, 122
folyamat, 13, 99, 111, 121, 123, 134, 135,
144, 152, 156, 167, 199, 315, 329, 342,
345, 348, 358, 360, 367, 382, 383, 388
Fontos, 16, 45, 101, 122, 123, 176, 196,
209, 294, 317, 358, 363, 367, 393
forest, 280, 311
formtum, 17, 29, 90, 180, 224, 274, 293,
294, 303, 331, 351
formzs, 30, 376
Forward, 298, 305
Forward Lookup Zones, 305
Forwarded Events, 62, 64
fkiszolgl, 283, 284, 285, 287, 292, 294
FQDN, 45
frissts, 9, 13, 28, 50, 52, 86, 90, 196,
268, 271, 272, 363
Frisstsek teleptse, 177
FRS, 217, 290
ftp, 7, 48, 189, 190, 302
FTP, 16, 19, 169, 260
ftp-hely, 189
Full Control, 117, 118, 121, 123, 254
Fully Qualified Domain Name, 45
Futtats mint, 142
Fggsgek, 128, 362
frt, 190
G
Games, 15
GC, 286
General, 45, 59, 70, 160
globlis katalgus, 280, 282, 286, 287, 292,
296, 308, 317
globlisan egyedi azonost, 205
Globally Unique Identifier, 89
Go, 357
gomb, 66, 91, 176, 209, 213, 254
gpedit.msc, 88, 323, 353
GPMC, 330, 331
GPO, 88, 90, 274, 323, 326, 327, 328, 331
GPT, 205
gpupdate, 89, 329, 330
grafikus felhasznli fellet, 6, 116, 124,
346
grafikus krtya, 22, 342, 344, 346
403
Trgymutat
Group Policy, 88, 89, 90, 91, 323, 327,
330, 331
Group Policy Management Console, 330
Group Policy Object, 88, 91, 323
Group Policy Object Editor, 88, 91
Group Policy Result, 331
Groups, 30
Guest, 102, 103, 106, 107, 115, 118, 128
Guests, 105, 106
GUID, 89, 176, 201, 202, 205
Gy
gyakorlat, 313
gyorsttr, 49, 156, 160, 236, 296, 297,
300, 324, 367
gykr, 117, 311, 343, 352
H
hajlkonylemez, 199, 204, 342, 381
hlzat, 4, 11, 30-41, 43, 44, 48, 51, 64, 73,
78, 82, 113, 143, 147, 185-190, 207,
214, 228-231, 242, 243, 248, 249, 263,
275-279, 281, 284, 296, 312, 314, 331,
336, 342, 345, 367, 369, 370, 395
Hlzat feldertse, 37
Hlzat-belltsi felelsk, 106
hlzati cmfordts, 43, 242. 243
hlzati erforrs, 278, 280, 346
Hlzati s megosztsi kzpont, 36, 78,
123, 128
hlzati forgalom, 34, 100, 111, 172, 240,
367
hlzati kapcsolat, 5, 29, 37-42, 45, 59,
89, 106, 199, 207, 232, 248, 334-338
Hlzati kapcsolatok, 39
hlzati megoszts, 42, 119, 122, 123,
124, 128
hlzati nyomtat, 226, 235, 255
hlzati szint hitelests, 41
Hlzati szolgltats, 185, 186, 188, 228,
360
hlzaton keresztl, 37, 108, 163, 186,
248, 249
hangkrtya, 345
Hangok, 255
hardver, 4, 7, 9, 18, 101, 185, 186, 190,
194, 196, 199, 244, 342, 354, 360, 391
Hardvererforrsok, 59
hardvertelepts, 176
Hardware, 13, 59, 85, 195, 394
Hardware Resources, 59
404
Trgymutat
hozzfrs, 95, 97, 102, 107, 113, 120,
123, 148, 166, 186, 194, 197, 223,
246, 278, 300, 316, 317, 328, 354
hozzfrsi engedly, 212
hozzfrsi jog, 100, 186, 187, 214, 258,
261, 278, 285, 314, 316
hozzfrsi jogok, 214, 258, 261, 278, 316
hozzfrsi szint, 360
HTML, 224, 260, 331
http, 7, 8, 9, 11, 12, 17, 46, 50, 52, 83, 86,
115, 132, 161, 195, 199, 251, 256,
257, 261, 263, 266, 330, 356, 365,
371, 382, 392
https, 65, 82, 85, 257
I,
I/O, 52, 59, 194, 219, 363
IAS, 243, 245
ideiglenes fjl, 58
ideiglenes fjlok, 58
idzna, 13, 102, 255
IETF, 295
IIS, 7, 16, 65, 141, 189, 200, 256-258, 260,
261, 264, 265, 273, 279, 341, 376, 397
IIS Manager, 258, 261
ikon, 157, 158, 170
illesztprogram, 23, 58, 59, 77, 95, 132,
204, 347, 363, 365
Inbound Rules, 170
index, 22
indexels, 28, 57
Indexelsi belltsok, 57
Indexel szolgltats, 16
Indexing Service, 16
Indtsi javts, 76
indtmen, 78, 339, 342, 344-347, 356
Informci, 365
Infrastructure Master, 284, 285, 291
Install, 271
intelligens krtya, 82, 111, 113
Interactive, 108
internet, 42, 44, 48, 87, 97, 129, 168, 229,
230, 242, 306
Internet Authentication Service, 245
Internet Engineering Task Force, 295
Internet Explorer, 6, 87, 93, 129, 152162, 260, 262, 325, 326, 373
Internet Explorer 7, 6, 153, 155, 156, 159,
161
Internet Information Services, 7, 16, 189,
256, 257, 258, 260, 264
Internet Options, 160, 161
J
Jtkok, 15
jelsz, 10, 13, 38, 50, 87, 102, 105, 108,
109, 111, 112, 144, 278, 294, 314,
324, 350
jelszval vd, 128
jogok, 123, 152, 261, 266, 281, 291
K
Kapcsolat vagy hlzat belltsa, 38
Kapcsolatbiztonsgi szablyok, 34, 172
Kapcsolatok, 306
karakterlnc, 114
karantn, 251
kbit/s, 216
KCC, 333, 334
KDC, 111
Kedvenc hivatkozsok, 26
Kedvencek, 26, 325, 326
405
Trgymutat
kk hall, 199, 340, 347, 348, 354, 355,
356
Kellkek, 160
kmprogram, 161, 162, 165
Kpek, 26
kpernykml, 71
keress, 61
keretrendszer, 65, 75, 171
kernel, 131, 134, 354, 355, 359
ketts kattints, 170
Key Distribution Center, 111
Keyboard, 395
Kezdmappa, 105
Kiemelt felhasznlk, 140, 143
Kimen szablyok, 171
Kis mret, 357
Kisebb, 82, 263
kiszolgl, 4, 5, 18, 40, 44-49, 82, 85, 113,
114, 122, 129, 172, 185-193, 196-201,
206, 211-216, 231, 233-239, 241, 243,
245, 248-258, 260, 261, 262, 264,
266, 268-274, 278, 285, 293, 295-302,
304, 306, 321, 322, 323, 337, 338,
341, 349, 356, 368-371, 376, 396
kiterjeszts, 90, 142, 222, 289
kiterjesztett partci, 202, 351
kivlasztsa, 191, 196, 267, 300, 344,
358, 374, 394
Knowledge Consistency Checker, 333
kommunikci, 65, 156, 171, 249, 287
konfigurci, 69, 71, 150, 167, 244, 334,
344, 347
konfigurcis partci, 282, 332
konfigurls, 52, 106
Korbbi verzik, 179
Korltozott, 331
knyvtr, 68, 70, 120, 373
Krnyezeti vltozk, 24
Kteg, 105, 108
ktet, 166, 175-180, 197, 202-208, 210212, 222, 352, 378
kzpontilag felgyel, 263
kulcs, 7, 13, 14, 109, 111, 139, 148, 149,
166, 167, 356, 383
kvta, 218-220
Kvtabejegyzsek, 209
L
L2TP, 242, 250
lapozs, 343
lapozfjl, 163, 165, 194, 197, 359
406
M
magyar, 7, 46, 128, 196, 265, 309
MAK, 247
Manage Documents, 126
Manage Printers, 126
Manage startup programs, 57
Manage wireless networks, 39
Manage your network passwords, 142
Manufacturer, 14
mappa, 24, 26, 28, 37, 87, 117-122, 125,
156, 176, 178, 188, 208, 212-214,
218, 220, 221, 224, 290, 324, 344,
352, 376, 393
Mappa belltsai, 122
Mappa tartalmnak listzsa, 120
Trgymutat
Mappk, 324
msodik rtegbeli alagtprotokoll, 250
msodlagos zna, 299
Msols, 213
Master Boot Record, 202, 342
Maximize, 357
MBR, 202, 205, 342, 343, 349, 351
Media Sharing, 38
Mdiafjlok megosztsa, 38
Meeting Space, 20, 50
Megbzhat, 157
Megbzhat helyek, 157
megbzhatsg, 3, 32, 72, 131, 134, 151,
156, 194, 374
Megbzhatsg- s teljestmnyfigyel,
32, 72
meghajt, 28, 30, 117, 194, 211, 349, 351,
370
meghibsods, 175, 179, 187, 204, 299,
373
Megjelentsi hatsok belltsa, 57
Megnyitott fjlok, 211, 359, 375, 387
megoszts, 108, 123, 125, 126, 175, 311,
319
Megoszts, 37, 38, 122, 123
Megoszts s felderts, 37
Megoszts varzsl, 122
megosztott erforrs, 30, 37, 38, 51, 108,
210, 240, 318, 388
megosztott erforrsok, 30, 37, 38, 51,
210, 240, 388
megosztott mappa, 99, 123, 214, 290
Megosztott mappk, 317
megszakts, 59, 186, 355, 363
Member Of, 105
memria, 22, 32, 59, 73, 75, 131, 134-136,
189, 191, 194, 328, 355, 358, 359, 366
Memria, 76
memriaterlet, 135, 136, 359
Memory, 32, 359
Ments, 24, 97, 174, 181
mennyisgi licenc, 6
merevlemez, 6, 22, 73, 166, 175, 179, 203,
342, 374, 380, 392, 393
mez, 359
Microsoft .NET Framework, 17, 264
Microsoft .NET Framework 3.0, 17
Microsoft Exchange Server, 192
Microsoft
Internet
Security
and
Acceleration Server, 193
Microsoft Management Console, 29, 200,
205, 264
N
Naplrend, 119, 363
naplzs, 66, 90, 115, 225
Naplzs, 119
NAT, 43, 242, 250, 251
NAT-T, 251
Nem vlaszol, 357
net, 108, 124, 308, 365
net use, 108, 124
net user, 108
NetBIOS-nv, 45, 48, 234, 240, 241
NETLOGON, 290, 308
netstat, 367
407
Trgymutat
Network, 18, 36, 37, 38, 39, 41, 42, 43,
45, 52, 78, 82, 89, 106, 108, 123, 128,
148, 190, 242, 260, 261, 346, 360,
370, 371, 396
Network Address Translation, 43, 242
Network and Internet, 36
Network and Sharing Center, 36, 38, 39,
78, 123, 128, 396
Network Configuration Operators, 106
network connection, 39
Network Discovery, 37
Network File System, 18
Network Load Balancing, 190
Network Service, 360
Networking, 48, 359
nvfelolds, 48, 49, 198, 199, 241, 294,
295, 296, 341
nvkiszolgl, 49, 295, 300, 305
Nvtelen bejelentkezs, 108
nvtr, 214, 215, 279, 280, 294
New Task, 69, 70
Nzet, 66, 68, 122, 358, 363
NFS, 18
NS, 302, 305
nslookup, 369
ntbtlog.txt, 346
NTDS, 289, 309
ntds.dit, 289, 290, 373
ntdsutil, 294, 321, 350
NTFS, 25, 87, 113, 116, 120, 123, 153, 163,
166, 176, 180, 197, 201, 202, 205-207,
209, 214, 218, 223, 226, 261, 265, 309,
317, 343, 349
NTFS-fjlrendszer, 163
null session, 108
Ny
nyilvnos kulcs, 259
nyomtats, 37, 126
Nyomtats, 126
nyomtatsi sor, 17, 126
nyomtat, 95, 99, 125, 126, 226, 227, 318
nyomtat megosztsa, 126
Nyomtatk, 255
nyomtatk megosztsa, 37, 126, 188, 201
Nyomtatkezels, 32, 126
O,
Objektum-hozzfrs naplzsa, 119
OEM, 14
Olvass s vgrehajts, 120
408
opercis rendszer, 3-11, 13, 14, 18-22, 2733, 42-45, 49, 50, 52, 57, 59, 60, 61,
66, 68, 82, 84, 86-90, 98, 101, 102,
105, 106, 108, 109, 113, 114, 116, 118,
122, 124, 125, 127-132, 134-138, 142,
143, 151, 154, 155, 163, 166-169, 175,
179, 185, 188, 189, 191, 193, 195-201,
203, 204, 207, 232, 239, 240, 244, 250,
252-256, 261, 271, 288, 289, 309, 315,
322, 323, 325, 329-331, 339-350, 353360, 363, 368, 370, 371, 378, 382, 385,
389, 395, 397
Options, 60, 223, 236, 237, 238, 239, 254,
395
Organizational Unit, 274, 281
orszg, 5, 6, 285
osztly, 229, 238, 239, 282
OU, 274, 281, 314, 327, 328
Outbound Rules, 171
,
rkls, 117
rklds, 116, 118, 119, 327, 329
sszegzs, 123
sszetev, 18, 111
P
parancs, 23, 47, 67, 86, 124, 220, 221, 236,
239, 254, 293, 294, 297, 298, 307, 330,
350-354, 367, 368, 369, 387, 388
parancsfjl, 105, 108, 228, 324, 376
prbeszdablak, 361
prhuzamos port, 344
partci, 122, 125, 197, 202, 282, 283, 332,
342, 343, 344, 351
Password, 38, 104, 105, 142
PDC, 283, 285, 291, 308
PDC-emultor, 283, 308
People Near Me, 20, 50, 51
Performance, 28, 55, 56, 61, 73, 74, 137,
141, 358
Performance Information and Tools, 28,
55, 56, 61
perifrik, 278, 342
permission, 119
Permissions, 118
Personalization, 269
Photo Gallery, 19
Pictures, 26
pillanatfelvtel, 176
ping, 369, 371
Trgymutat
PKI, 141, 250, 256, 259
Play, 52, 82
Plug and Play, 345, 362, 363
Point-to-Point Protocol, 47, 250
Point-to-Point Tunneling Protocol, 250
POP3, 189, 257, 258
POP3-szolgltats, 258
port, 81, 170, 171, 367, 388
Post Office Protocol, 258
Power Users, 140, 143
PPP, 47, 250
PPTP, 47, 242, 250
Previous Versions, 175, 178, 179, 213
Primary, 283, 298, 300, 322
Print, 17, 32, 125, 126, 201, 226
Printer, 37, 123
problmamegolds, 160
Processes, 358
processzor, 22, 73, 136, 189, 191, 192,
194, 328, 343, 358, 359
profil, 26, 40, 41, 42, 52
Profile, 105
program, 10, 21, 22, 57, 69, 79, 108, 125,
132-135, 142, 144, 147, 148, 163, 168175, 195, 196, 205, 220, 223, 227, 228,
252-257, 273, 293, 294, 298, 328, 342,
348, 350, 351, 360-364, 367, 368-371,
376-378, 382, 383, 387-389
Program Compatibility Wizard, 21
Program Files, 101, 144, 148, 149
programfuttats, 33
Programok, 15, 200, 207, 248, 253, 258,
261, 371
Programok s szolgltatsok, 15
programok teleptse, 146
Programok teleptse/trlse, 200
Programs, 15, 200, 207, 248, 253, 258,
260, 261, 371
Programs and Features, 15
Properties, 116, 211, 213, 305, 306
protokoll, 19, 42, 46, 48, 49, 51, 65, 85,
108, 110, 111, 168, 171, 232, 236,
245, 250, 258, 303, 367, 370
protokollok, 46, 47, 48, 171, 242, 250,
260, 303
PTR, 302, 305, 307
Public, 26, 37, 41, 259
Public Key Infrastructure, 259
Q
Quota, 207, 209, 217, 226
Quota Entries, 209
R
RA, 85
RADIUS-hitelests, 245
RADIUS-kiszolgl, 245
RAID, 12, 190, 194, 197, 199, 201-204,
349, 373
RAID-5 ktet, 197, 201, 203
RAM, 7, 32, 109, 191, 192, 194, 342, 359,
394
RDP, 6, 81, 82, 83, 252, 254, 256, 257
RDP-protokoll, 82
Recovery, 311, 340, 348, 349, 350, 353,
356, 362
regedit, 60, 326
Registry, 33, 134, 139, 163, 383
regsvr32, 292
rejtett megoszts, 125
relatv azonost, 283
Relative Identifier, 283
Reliability and Performance Monitor, 32,
72
Remote, 7, 17, 19, 23, 70, 81-86, 106, 108,
139, 192, 201, 206, 216, 242, 244, 245,
251-255, 257
Remote Assistance, 83, 85
Remote Authentication Dial-In User
Service, 245
Remote Desktop, 7, 23, 70, 81, 82, 106,
108, 252, 253, 254, 255, 257
Remote Desktop Connection, 81, 254
Remote Desktop Protocol, 82, 252
Remote Desktop Users, 106, 253
Remote Desktop Web Connection, 257
Remote Procedure Call, 139
Remote settings, 23, 81
Removable Storage Management, 17
Remove, 200, 207, 248, 253, 258, 260, 261,
271, 371
rendelkezsre lls, 5, 191, 373
Rendszer, 22, 23, 175, 176, 252
rendszer lelltsa, 163, 354
rendszerllapot, 196, 319, 321, 376, 378,
380, 381
Rendszereszkzk, 30
rendszerfelgyeleti eszkzk, 24
rendszerfolyamat, 32, 114, 357, 367
rendszergazda, 10, 30- 35, 42, 55, 59, 83,
101, 102, 119, 132, 142-144, 147, 148,
151, 157, 176, 185, 187, 200, 214, 219,
221, 223, 224, 251, 264, 266, 270, 272,
276, 277, 279, 291, 309, 316, 320, 322,
328, 354, 356, 366, 382
409
Trgymutat
Rendszergazda, 101, 103, 115, 140, 148,
238, 311, 314, 320, 350
Rendszergazdk, 101, 106, 133, 138, 140,
143, 152, 316
rendszerid, 102
rendszerindts folyamata, 339, 342
Rendszerinformci, 58
rendszerktet, 181, 349
rendszerlells, 72, 347, 356
rendszerler adatbzis, 101, 148, 156, 360
rendszermag, 134
rendszernapl, 62, 90, 341, 364
rendszerpartci, 136, 197
rendszerszint, 135
rendszerszolgltats, 89, 360
Rendszertlts naplzsnak engedlyezse, 346
Rendszervdelem, 24
Rendszer-visszallts, 175, 176
Repair, 181
Replicator, 106
replikci, 189, 216, 217, 275, 276, 279,
280-282, 292, 294, 298, 299, 321,
331-335
replikcis topolgia, 282, 332, 333
Replikl, 106
Resolution, 48, 49, 50, 236, 367
Restart, 273
Restricted, 157
Restricted sites, 157
RFC, 111
RID, 114, 140, 283, 285, 291
RID Master, 283, 285, 291
RID-fkiszolgl, 283
RIP, 17
root CA, 256
rosszindulat program, 135
router, 243, 249
Router, 234
Routing and Remote Access, 242
Routing Information Protocol, 17
RPC, 129, 139, 345
RRAS, 228, 242, 243, 244, 246, 247, 249,
250, 278, 394, 397
Run as administrator, 66, 382
S
S-1-5-18, 114
S-1-5-19, 114
S-1-5-20, 114
Safe Mode, 77, 311, 345, 346
Safe Mode with Command Prompt, 77,
346
410
Trgymutat
Sharing and Discovery, 37
Sharing Wizard, 122
SID, 114, 115, 140, 144, 152, 283, 350,
387, 389
Simple Mail Transfer Protocol, 258, 260,
261
Simple volume, 202
site, 171, 335
sklzhat, 49, 191, 279
SMTP, 69, 169, 189, 257-261
SOA, 300, 301
SOAP, 65
Software, 57, 148, 149, 156, 163, 263, 270
SOFTWARE, 348
Software Update Service, 263, 270
Spanned volume, 203
Specilis, 17, 24, 26, 45, 58, 60, 117, 124,
161, 209, 377
Specilis belltsok, 161
specilis csoportok, 106
Specilis megoszts, 124
Specilis rendszerbelltsok, 24, 26
SRV, 302, 303, 304, 307, 308
SSL, 256, 257, 259
Standard, 102, 140, 192, 298, 299
Standard Edition, 192
Start men, 26, 36, 57, 88, 160, 200, 254,
266, 290, 305, 310, 325, 326, 394
Starter, 5, 6, 7
Startup, 60, 76, 140, 356, 379
Startup Repair, 76, 140
statikus IP-cm, 241, 246
Storage, 30, 201, 205, 206, 207, 217, 220
Storage Area Network, 201, 207
subnet, 34, 229
subnet mask, 229
Summary, 59
Support Tools, 298, 368
System, 14, 22, 23, 24, 30, 33, 44, 45, 58,
59, 60, 62, 75, 77, 81, 85, 88, 90, 115,
131, 133, 134, 137, 149-153, 160,
165, 175-179, 187, 196, 252, 263,
295, 311, 319, 320, 340-345, 356,
359, 364, 373, 375, 376, 379, 392
SYSTEM, 101, 118, 139, 344, 346, 352, 360
System and Maintenance, 24, 81
System Information, 58, 59, 341
System log, 90, 364
System Policy, 88
System Properties, 24, 85
System Restore, 77, 175, 176, 177, 179
System Tools, 30, 160
SYSVOL, 290, 311, 319, 324, 364, 376
Sz
szabad terlet, 194, 202, 206, 265
Szmtgp, 29, 30, 60, 90, 181, 211
Szmtgp javtsa, 181
szmtgp lelltsa, 204
szmtgpfik, 35, 291, 315
szmtgp-hlzat, 51, 97
Szmtgp-kezels, 29, 30, 60, 211
szegmens, 43, 136, 231
szektor, 342, 343, 384
szlessv, 38
szemlyes adatok, 27, 84, 156, 176
Szerkeszts, 118
szerver, 16, 49, 82
szervezeti egysg, 87, 227, 268, 274, 281,
291-293, 312, 313, 322, 323, 326-329,
333
szervizcsomag, 89
Szinkronizls, 214, 268, 270, 284, 335,
364
szoftver, 176, 196, 213, 247, 252, 257
Szolgltatsok, 30, 32, 60, 75, 341, 361
szrt zenet, 233, 234, 241
szvegfjl, 300, 352
T
Take Ownership, 119
Tlca, 36
tmads, 360
tanstvny, 132, 158, 165, 250, 256, 259
Tanstvnyszolgltatsok, 257
Trols, 30
trol, 6, 28, 114, 118, 175, 197, 201, 205,
206, 215, 265, 273, 280, 289, 295, 299,
300, 317, 327, 366, 374
tartomnyfa, 280, 281, 317
Tartomnyfelhasznlk, 316
Tartomnygazdk, 115, 316
Tartomnyi szmtgpek, 353
Tartomnyi tag, 323
Tartomnyi vendgek, 115
tartomnynv, 234, 292, 312
Tartomnyon belli csoport, 317
tartomnyvezrl, 90, 100, 112, 114, 190,
192, 253, 282-286, 288, 293, 296, 299,
304, 307, 311, 320, 331-335, 338, 364,
368, 376
Task Manager, 61, 87, 150, 341, 357, 385
Task Scheduler, 33, 68, 380
Tasks, 68, 70, 165
tvfelgyelet, 85, 252
411
Trgymutat
tvoli asztal, 81, 82, 85, 170, 252, 254
Tvoli belltsok, 23, 85
tvoli eljrshvs, 139
tvoli szmtgp, 31, 37, 50, 82, 85, 171,
376
Tvsegtsg, 83, 85
TCP/IP, 18, 35, 42-46, 48, 106, 198, 207,
231, 232, 233, 236, 247, 250, 303,
307, 309, 312, 367, 368
TCP/IP-paramter, 35, 231, 236, 307,
367, 368
TCP/IP-protokoll, 42, 43, 46, 49, 198, 232
TCP/IPv4, 44
TCP-port, 65, 303
telefonos kapcsolat, 107
telefonvonal, 242, 248, 252
telephely, 87, 216, 249, 276, 311, 323,
326, 328, 335-338
telepts, 7, 11-14, 18, 22, 28, 101, 106,
140, 181, 185, 191, 193-198, 200, 227,
241, 261, 263, 265, 266, 272, 304, 309,
310, 311, 312, 349, 350, 351, 363, 392,
395, 396
telepts felttelei, 309
teleptsi folyamat, 381
teleptlemez, 181, 191, 195, 200, 340, 381
teleptprogram, 12, 13, 55, 177, 191,
195, 199, 276, 309, 310, 311
teljes hlzat, 187, 190, 241, 249, 279, 285
Teljes hozzfrs, 121
Teljes mret, 357
Teljes trkp, 37
teljestmny, 72, 187, 189, 203, 204, 212,
244, 395
Teljestmny, 189, 358
Teljestmnyadatok s -eszkzk, 28, 55
Telnet Client, 18
tma, 129
Temp, 123, 157, 290
Temporary Internet Files, 156
terjesztsi csoport, 316, 317
termkazonost, 13, 14
termkkulcs, 7, 23
terminl, 252, 254, 256
Terminal Server, 253
Terminal Services, 81, 82, 128, 228, 252
Terminal Services Gateway, 82
terminlkiszolgl, 190, 253, 255, 257
Terminlszolgltatsok, 81, 128, 228, 252,
253, 254, 255
terminlgyfl, 257
terlet, 90, 176, 203, 208, 218, 383
tervezs, 191, 314, 373
412
Testreszabs, 37
TGT, 111, 112
Ticket Granting Ticket, 111
Tiltott helyek, 157
Time, 297, 368
titkost, 110
titkosts, 163, 164, 166, 250, 254
TLS, 250, 259
Tools, 30, 31, 32, 57, 60, 248, 251, 255, 256
Tovbb, 14
Tovbbtott esemnyek, 64
tbbfelhasznls rendszer, 148
tmrts, 17, 205, 209, 216
tredezettsgmentests, 68
Transmission Control Protocol/Internet
Protocol, 42
Transport Layer Security, 259
tree, 289
trust, 292
TTL, 368
tulajdonos, 115, 119, 163, 209, 225, 259
tulajdonsglap, 27, 103, 169, 207, 209,
314, 364
Tulajdonsgok, 24, 116, 211, 213, 305, 306
tkrztt ktet, 202, 203, 204
tzfal, 33, 42, 47, 66, 93, 130, 134, 154,
168-173, 193, 231, 242, 251, 325
U,
UAC, 102, 140, 142-148, 150, 154, 155, 157
j felhasznl, 314
jraindts, 273, 348, 356
Ultimate, 6, 7, 9, 20, 104, 127, 167
univerzlis csoport, 289, 317
UNIX, 17, 18, 252, 371
update, 133, 273, 274
Upgrade, 9
URL, 66, 160, 266
USB, 8, 11, 12, 82, 95, 165, 166, 167, 345
USB-eszkz, 8, 12, 167
User Account Control, 70, 85, 93, 102,
143, 144, 148, 156
User Accounts, 103, 142, 145
User Rights Assignment, 127
User State Migration, 11
Users, 24, 25, 26, 28, 102, 103, 105, 106,
107, 118, 123, 128, 140, 148, 149,
253, 316, 318, 359
tvlaszts, 188, 228, 246, 367
tvlaszts s tvelrs, 242
tvlasztsi tblzat, 367
tvlaszt, 43, 44, 243, 368
Trgymutat
Warning, 365
web, 7, 16, 169, 189, 190
Web Edition, 192
webhely, 260, 266, 365
webkiszolgl, 192, 257, 260, 273
weblap, 156
WHQL, 132
windir, 48, 89, 90, 299
Windows 2000, 9, 10, 45, 48, 70, 88, 89,
111, 133, 163, 226, 238, 239, 240,
250, 255, 256, 257, 263, 264, 265,
267, 271, 283, 288, 289, 292, 317,
330, 340, 349, 384
Windows 2000 eltti rendszer, 317
Windows 2000 Server, 111, 226, 288,
289, 340
Windows 3.1, 109
Windows billenty, 255
Windows Complete PC Restore, 181
Windows Defender, 56, 57, 93, 147, 153,
154, 161-163, 165, 267
Windows Easy Transfer, 10
Windows lmnyindex, 22, 55
Windows Explorer, 36, 77, 163, 346, 357
Windows Fax and Scan, 19
Windows faxol s kpolvas, 19
Windows Features, 15
Windows Firewall, 33, 93, 168, 169
Windows
Firewall
with
Advanced
Security, 33, 93, 168, 169
Windows Installer, 133, 324
Windows Internet Name Service, 45, 240
Windows Intz, 37
Windows Live Messenger, 50, 83
Windows Logs, 62
Windows Mail, 6
Windows Management Instrumentation,
58
Windows Me, 6, 7, 20, 38, 50, 77, 262
Windows Media Player, 6, 7, 38
Windows Media Services, 262
Windows Meeting, 20, 50
Windows Meeting Space, 20, 50
Windows NT, 87, 88, 90, 110, 196, 202,
279, 283, 288, 289, 307, 317
Windows NT 4.0, 87, 196, 202, 288, 289
Windows NT tartomny, 283
Windows Remote Assistance, 83
Windows Server 2008, 83, 89
Windows Trgyal, 20, 50
Windows Time, 284
V
vglap, 254
vllalati hlzat, 5, 132, 143, 188, 242
Vllalati rendszergazdk, 238
varzsl, 10, 14, 21, 172, 200, 248, 253,
258, 262, 266, 269, 310, 378
VBScript, 324
vgrehajthat, 33, 222, 223, 224, 342, 358
vgrehajthat fjl, 222, 223, 224
Vendg, 102, 103, 107, 115
Vendgek, 102, 106
vezrls, 136, 343
Vezrlpult, 22, 23, 28, 55, 57, 103, 207,
271, 325, 326
vezrlpultelem, 85
vezetk nlkli hlzat, 38, 39, 371
vezetk nlkli hozzfrsi pont, 38
Videos, 26, 27
Views, 63, 64
Virtual Private Network, 248
virtulis gp, 6, 180, 391-397
virtulis magnhlzat, 38, 242, 248, 250
virtulis memria, 24
virtulis port, 249, 250
virtulis szmtgp, 392
vrus, 134, 135, 145, 152, 251
visszallts, 24, 28, 97, 174-177, 181,
321, 322, 372, 374, 378, 380, 381
Visszallts, 181, 213, 381
visszalltsi pont, 24, 68, 176, 177, 178,
179
volume, 202, 203
VPN, 38, 47, 90, 147, 171, 190, 242, 243,
245, 247-251, 371, 397
VPN-kapcsolat, 147, 242, 247, 248, 249,
250, 251, 371
413
Trgymutat
Windows tzfal, 18, 42, 129, 139, 146,
168, 171
Windows tzfal belltsai, 146
Windows Ultimate Extras, 20
Windows Update, 11, 146, 147, 161, 267
Windows Vista, 3-9, 11, 13, 20, 29, 36,
39, 40, 46, 48-51, 55, 65, 75, 77, 82,
83-85, 89, 92, 100, 102, 124, 125,
131, 132, 138, 142, 154, 163, 166,
167, 168, 169, 173, 178, 213, 227,
228, 268, 330, 340, 384
Windows Vista Upgrade Advisor, 9
Windows XP, 3, 5, 7, 10, 13, 18, 20-24,
26, 27, 32, 33, 48-52, 65, 79, 83, 86,
87, 97, 107, 129, 130, 134, 136, 140,
142, 154, 155, 161, 178, 179, 204,
213, 253, 254, 271, 323, 330, 384
Windows-frisstsek teleptse, 146
Windows-naplk, 62
Windows\System32\Config, 101
Windows-tzfal, 42
Windows-szolgltats, 15, 30, 62, 66, 75,
171, 205
Windows-szolgltatsok, 15, 30, 66, 171
Windows-szolgltatsok be- s kikapcsolsa, 15
WINS, 45, 48, 49, 186, 196, 198, 228, 231,
232, 234, 240, 241, 302, 367, 397
WINS/NBNS Servers, 234
WINS/NBT Node Type, 234
WINS-kiszolgl, 45, 48, 49, 231, 232,
234, 240, 241, 302, 367
WMI, 30, 58, 227, 328
WMI Control, 30
Workgroup, 193
X
x64, 9, 132, 134
XML, 66, 67, 90, 224
XPS, 17
XPSP2, 168
Z
Zene, 26
zna, 45, 159, 298-302, 304-306, 308
znatvitel, 300, 301, 305
414
A szerzkrl
Gl Tams
1996 ta zemeltet Windows szervereket, vllalkozsa tbb
cg informatikai rendszernek gazdja, illetve konzultnsa.
Rendszergazda, informatikai vezet, trner, illetve 2007 janurja ta, a Microsoft Magyarorszg llomnyban, a TechNet program szakmai tancsadjaknt is tevkenykedik. Ebben a minsgben a hazai Microsoft konferencik, esemnyek, webcastok rendszeres eladja, offline s online szakmai anyagok szerzje.
Szakvizsgit tekintve MCSA/MCSE/MCTS, Security s Messaging pluszkpestsekkel is rendelkezik, illetve okleveles Microsoft trner (MCT). 2004. janur
ta Magyarorszgon az els krben s immr negyedszer jravlasztva MVP
(Most Valuable Professional), azaz a Microsoft Corporation szakmai djazottja.
Kedvenc szakterletei kz tartozik az ISA Server, a WSUS, a Vista s a
Windows Server 2008, valamint a bta szoftverek.
Ns, angol-trtnelem szakos pedaggus felesgvel valamint t gyermekvel Ceglden l.
Szab Levente
Szakmai gyakorlatt az IBM Magyarorszgnl szerezte,
majd 2000-tl egy pnzgyi rszvnytrsasg rendszergazdja s informatikai vezetje, valamint elltja a holdinghoz
tartoz tbb cg informatikai teendit is.
A 2004 vgn indult Windows Portal (http://winportal.net)
internetes szakmai lap alaptja s fszerkesztje, melynek
kapcsn, az online kzssgrt vgzett munkjrt a Microsoft 2007 prilistl
MVP (Most Valuable Professional) cmmel jutalmazta.
Szakterlete az asztali PC-ken s mobileszkzkben hasznlt Windows
opercis rendszerek behat tanulmnyozsa, valamint a legjabb bta szoftverek tesztelse. Kedvencei kz tartozik a Vista s a rendszer biztonsgi
megoldsaival kapcsolatos tmk.
A szerzkrl
Szernyi Lszl
1995 ta foglalkozik Windows kiszolglk s gyflgpek
zemeltetsvel. Jelenleg az Orszgos Meteorolgiai Szolglatnl dolgozik, mint Windows rendszerekrt felels rendszergazda. Szmtalan fordts fzdik a nevhez [szakcikkek, tanulmnyok, a Neumann Jnos: Szmtgp s az agy
cm knyve (NetAcademia, 2006) stb.], s rendszeresen
publikl klnfle tmj szakmai rsokat, elssorban a
rendszerfelgyelet automatizlsnak lehetsgeivel kapcsolatban. Trsszerzje
a Small Business Server 2003 cm nagy siker szakknyvnek.
Kedvenc szakterletei kz tartoznak a klnfle rendszerfelgyeleti feladatok automatizlsval kapcsolatos eszkzk (VBScript, PowerShell, .NET
Framework, WMI, ADSI, stb.).
Ns, felesgvel s tzves lnyval Budapesten l.