760 likes | 904 Views
Windows 2003 Server üzemeltetése. Fábián Zoltán 2006 A képeket a VMWare virtualizáló szoftverrel készítettem. blue eyes. Liszensz, szerzői jog. A törvény védi a szellemi terméket Kép, hang, zene, szoftver Artisjus – szerzői jogvédő hivatal
E N D
Windows 2003 Server üzemeltetése Fábián Zoltán 2006 A képeket a VMWare virtualizáló szoftverrel készítettem blue eyes
Liszensz, szerzői jog • A törvény védi a szellemi terméket • Kép, hang, zene, szoftver • Artisjus – szerzői jogvédő hivatal • BSA – Bussiness Software Alliance – nagy cégek szoftverei – „szoftverrendőrség” • Szoftverek esetén • Adathordozó, könyvek, leírások, kódok • Csak annyi gépre telepíthető, amennyire a tulajdonos engedi • El nem adható, csak ha ... • Bérbe nem adható, csak ha ... • Freeware, Shareware
Microsoft termékcsoportok • Operációs rendszerek • Szerver termékek • Windows 2000, Windows 2003 • Asztali operációs rendszerek • Windows XP Home /Professional • Windows 2000 vagy Professional • Kifutott: Windows 95/Windows 98/Millenium Edition • Alkalmazások • Office alkalmazások • Word, Excel, Access, Outlook, FrontPage, Publisher • Szerver alkalmazások • SQL 2000/SQL2005 • Exchange (Standard, Enterprise) • Sharepoint (Intranet WEB site) • Terminal Server • ISA - tűzfal
Windows 2003 Server változatok • Windows 2003 Web Edition • WEB kiszolgáló célokra • Windows 2003 Standard Edition • Lehet AD controller, minden helyzeteben alkalmazható • Terminal server • Distributed File System, DFS • Windows 2003 Enterprise Edition • + Lehet clusterben is, max 8 gép • + Max 8 processzoros alaplap • + Max 32 GB Memória • Windows 2003 Small Bussiness (kisvállalati) • Windows 2003 Standard + MSSQL 2000 Server/MSSQL 2005, Exchange 2003 Server, Portal Server • Max. 50 userig • Speciális célra kifejlesztett változatok • Windows 2003 Datacenter Edition – Nagyvállalati célokra • Windows 2003 Storage server (Backup, adattárolási célokra)
MS liszenszek fajtái • Dobozos termék – egy termék egy gép • NFR – Not For Resale – nem továbbadható, csak Miscrosoft partnerek részére • SELECT – Akadémiai, oktatási – az oktatási intézmény, annak dolgozói és tanulói használhatják • Mennyiségi (ML - Multiple Licence)(50 felett, 300 felett, 500 felett – a mennyiségek összeadódnak) • Upgrade – A korábbi szoftver friss változata • MSDN – Microsoft Developer Network – fejlesztők, viszonteladók minden terméket megkapnak kipróbálásra, fejlesztésre • OEM – Original Equipment Manufacturer – számítógép összeszerelők részére, csak eladott hardverrel egy számlán lehet eladni • Bérleti formák: 3 év alatt kifizeti a vételi díjat, min 25 db esetén. 5-ével bővíthető • Downgrade jog – korábbi megfelelő változatok használhatóak az új liszensszel is • Speciális : alkalmazotti liszensz
Szerverek licencelése • Korábban Windows 2000 és 2003 szerver • Felhasználó szám szerint vagy • Kapcsolódó munkaállomás szerint • Terminal szerver: eszköz alapú licence változott felhasználó szám szerint • User CAL = User Client Access License • Régi liszenszelési modell (Windows 2000/Windows 2003) • Azon termékek tekintetében, melyek Szerver/CAL alapon kerültek licencelésre, a szerver szoftver minden egyes másolatához szükség van egy szerver licencre , és az ügyfeleknek a szerver szoftverhez hozzáférő, vagy azt használó minden egyes eszközhöz be kell szerezniük egy CAL-t is(vagyis a korábban „Per Seat CAL”-oknak hívott Device CAL-okat). • Az új licencelési lehetőség (Windows 2003 R2) • A User CAL opció a Szerver/CAL modell része lesz, így az ügyfelek úgy is dönthetnek majd, hogy minden egyes felhasználó számára, aki bármely számú eszközzel hozzáférhet a szerver szoftverhez, vagy azt használhatja, inkább egy egyszerű CAL-t szereznek be a helyett, hogy a fenti eszközök mindegyikéhez beszerezzenek egy CAL-t. Mindamellett ezt követően is szükséges lesz a szerver szoftver minden egyes installált másolatához egy szerver licencre.
Indítás A bootolás folyamata lényegében ugyanaz, mint a Windows XP-nél. A bootolás elején F8-ra a bootolási lehetőségek jelennek meg, többek között a csökkentett üzemmód és egyebek
Leállítás • Start Menü/A számítógép kikapcsolása • A leállítás okát be kell írni, amit lement az események naplófájlba
A Windows 2003 kezelése • Sokban hasonlít a Windows XP-re, de • Nem „gombócos a felülete” • Ha van AD, akkor a lokális userek kezelése megszűnik, minden user az AD-ben tárolódik • Kiegészült a szerver funkciókat kezelő résszel • Az egyszerű domain userek nem tudnak a desktopon belépni • A remote userek belépése során (Terminál szerver) nem kell kilépnie az aktuális usernek
Sajátgép • Saját gép/Jobb egérgomb/Tulajdonságok • General(Általános): fül • Hardver fül: Ugyanaz, mint az XP-ben
Speciális beállítások • Környezeti változók
Advanced • Teljesítményre vonatkozó beállítások • A háttérfolyamatokra optimalizált • Programok futtatására optimalizált
Advanced:Virtuális memóriabeállításai • Célszerű elegendően nagy memóriát megadni, hogy ne kelljen menet közben a rendszernek növelni és töredezetten kezelni a virtuális memóriát. A mérete minimum a fizikai memória méreté x2 • A virtuális memória partíciója lehetőleg ne az a partíció legyen, ahol az op. rendszer elhelyezkedik • Tipikus, jól beállított konfiguráció: • Első partíció (C: ): OP rendszer (NTFS ~20-60 GB) • Második fizikai partíció ( E: ! ): Swap fájl, TEMP könyvtár (FAT32 ~ max 10-20 GB) • Harmadik fizikai partíció (D:) : Felhasználói adatok (NTFS, a maradék terület) • Több HDD esetén a swap fájl legyen másik HDD-n, vagy a felhasználói adatokkerüljenek másik HDD-re • A backupnak mindig másik HDD-re kell mennie
Automatikus frissítő szolgáltatás • Ajánlatos automatikusan letöltetni a frissítéseket, de nem telepíteni • Nagy vállalatoknál szokás, hogy a frissítéseket egy teszt szerverre töltik le és megadott idejű működtetés után engedik csak telepíteni az éles szerverekre • Működő rendszerre csak az un. kritikus frissítéseket szabad tenni, azaz biztonsági és működésbeli hiányosságokat javító frissítéseket
User Profilok AD esetén nincsen jelentősége
Távoli elérés • Távoli segítségnyújtó (Remote Assistant) beállítása megadott időkorlátra
Remote DesktopTerminál • A távoli usereket be kell tenni a remote user csoportba, utána tudnak csak belépni auser nevükkel és passwordjükkel • A távoli felhasznbáló kliens programja: • Start menü/Kellékek/Kommunikáció/Távoli Asztal Kapcsolat • start Menu/Accessories/Communicatin/Remote Desktop Connection
TCP IP adatok • Használható TCP/IP-vel kapcsolatos paramcsok: • ping • tracert =Traceroute • netsh = sokféle célra • net use = kapcsolódás , leválasztás, megosztás stb... • route = routolási paraméterek beállítása, lekérdezése
Hálókártya TCP/IP paraméterei • Hálózatok/Jobb egérgomb/Kapcsolat/tulajdonságok
Szerver funkciók telepítése • A telepítés után varázslók segítségével lehet telepíteni a szerver funkciókat. • File szerver (megosztások kezelése) • Nyomtató szerver (Nyomtató megosztások kezelése) • Application szerver (IIS, FTP, SMTP) • Remote Access - terminál, VPN – Routing) • WINS • DNS • DHCP • Domain controller – Active Directory • Különálló termékek, külön telepítendők. • A W2K3 Small Bussiness Editionban a telepítés része, mert a csomag része. • Exchange (Levelezőszerver) • SQL 2000 (adatbázis szerver) • ISA (tűzfal) szerver külön telepítendő – célszerűen különálló gépre teendő
DNS szervertelepítése és beállítása 1 • A DNS szerver telepítési varázsló után • Létre kell hozni a lokális Domain zónáját: cegnev.local. Automatikusan hozassuk létre a Reverse Lookup Zone-t is. • Ha ez a gép lesz a Domain controller, akkor Ne másodlagos DNS szervert állítsunk be, hanem elsődlegeset, azaz ez kezelje a domain bejegyzéseket és más vegye át tőle • Be kell állítani a saját gépünket a megadott fix IP címre • Egy globális domain csak akkor jegyezhető be, ha két független tápellátású és elérhetőségű DNS szerver kezeli! Lokális domainnél is célszerű legalább mégegy DNS szervert üzemeltetni a hálózaton.
DNS szervertelepítése és beállítása 2 • Utólag kézzel is fel lehet venni hostokat, de a Windows 2000, Windows XP, Windows 2003 gépek automatikusan bejegyzik magukat a DNS-be, amikor belépnek az AD-ba. • Be lehet állítani azt is, hogy a WINS szerverről vegye át a neveket a DNS szerver.
DNS szervertelepítése és beállítása 3 • Ha elfelejtenénk vagy elrontjuk a DNS szerver beállítását, akkor nyugodtan töröljünk le mindent és kezdjük elölről. Ez kritikus pontja a rendszer beállításának
DNS szervertelepítése és beállítása 4 • Szervernév /jobb egérgomb/Properties • Forwarders: Beállítjuk, ha azt szeretnénk, hogy a szerverünk egy hálózaton az általa nem tárolt kérdésekre a szolgáltatótól beszerezze és cache-elje a DNS kéréseket • Interfaces: Melyik hálókártyára szolgálja ki a kéréseket
DNS szervertelepítése és beállítása 5 • Zónanév/jobb egérgomb/Properties • További namserverek hozzáadása terhelésmegosztás és a másik szerverre frissen bejelentkezettek adatainak átmásolása céljából • General: Itt lehet megadni a DNS szerver teljes nevét (Full Qualified Domain Name =FQDN) ésazt, hogy a megfelelő gépek automatikusan bejegyezheti-e magukat a DNS-be. sok munkától kímél meg minket, de biztonsági kockázat. • WINS: A zóna adatait a WINS alapján frissítse • Zone Transfers: Más szerverek, amelyeknek a kezelt zónát át lehet másolni. Az ilyen szerverek a másodlagos Domain name szerverek
Active Directory telepítése • A telepítés előtt: • végleges Fix IP cím és beállítások kellenek • A gép neve később nem változtatható • A szerveren fusson a DNS szerver • A lokális domain neve: Szokásos: cegnev.local • Rendszergazdaként kell belépni – telepítési jelszót megjegyezni • A felügyeleti oldalról vagy parancssorból (DCPROMO.EXE) • Meg kell adni, hogy létező domainbe rakjuk a szervert, vagy új domaint akarunk • Készen van a Domain Controller (DC) – Domain vezérlő
Active Directory telepítése 2 • Ha új domain, akkor egy meglévő „forest – Erdő” gyermek-domainje, vagy ő lesz-e a forest • Meg kell adni a tartomány teljes DNS neve: cegnev.local • A tartomány NETBIOS neve: vegnev (Ha van Windows NT4 vagy Win98 is a rendszerben) • Ha van windows 98, akkor un. kevert domain kell (Windows 2000 esetén) • Hosszú várakozás és telepítés... • Készen van! Defaul tuserekkel, csoportokkal és megosztásokkal • Windows 98, ME nehezen kapcsolódik,korlátozott funkcionalitással • Windows NT 4 néhány dolgot nem lát az AD-ból • Windows 2000/XP jól kezeli az AD-t
Active Directory telepítése 3 • Az AD a windowsos hálózat lelke, ezért vigyázni kell rá – lásd később a backup fejezete • Egy nagyobb hálózatban mindig legalább 2 db DC legyen, hogyha az egyik megsérül vagy leáll, akkor a másik beléptesse a usereket • A WINXP és W2K userek még 10 alkalommal belépnek Domain controller nélkül is! • A DC-k időnként (default esetben negyed óránként) automatikusan frissítik egymás adatbázisát. Mind a kettőt érdemes egy Timeserverre kapcsolni (pl. timeserv.kfki.hu) • Célszerű azonos (csak Windows 2000 vagy csak Windows 2003) szervereket használni DC-knek, mert bizonyos szolgáltatások a régebbi szervereken nem mennek) • 2 db Windows 2003 Small Bussiness Edition szerver nem fér meg egy domainban, de egy Standard Edition-t be lehet léptetni második szervernek • Az a HDD, amire az AD települt utána már nem megy cache üzemmódba, hogy az AD írása automatikusan azonnal rögzüljön a HDD-n • A DC-k legyenek nagy sebességű hálózaton összekötve • A DC-ken a DNS szerverek is egymásról frissítsék az adatbázisukat • Ha van WINS, akkor azok is egymásról frissítsenek
Felügyeleti eszközök • Majdnem minden szükséges alkalmazás egy helyen • Ha az Active Directory telepítése/eltávolítása nem ikon segítségével, akkor parancssorból: • DCPromo.exe
A vezérlőpult is módosult • Kiegészült az AD és egyéb szerver programok kezelőeszközeivel
Events - Események • Igazából az Error bejegyzésekkel kell törődni • A warning-ok csak helytelen működést jelölnek, de nem kritikusak • Ide lehet logolni a userek belépéseit is
Nyomtató kezelés • Hasonlóan, mint a Windows XP-ben. A telepített nyomtatók az AD-be kerülhetnek és onnan lehet jogokat adni rájuk
A Spooler • A nyomtató telepítése után létrejön a spooler, ami tárolja a nyomtatóra kiküldött adatokat fájlok formájában. A spooler.exe kezeli a kérdést
Az AD tárolóhelye • Ebben a könyvtárban van fizikailag az AD adatállománya
Az AD default megosztásai • Ami itt található, azt a userek elérik mindenképpen írásra és olcaSÁSRA
Default megosztások • A NETLOGOn a user belépéshez kell • A SYSVOL a user belépéséhez kell • A nev$ alakú megosztások rejtettek • Az IPC$ a Windowsos gépek együttműködését biztosító Remote Procedure Call hívásokat képviseli • A Windows XP/2000/2003 esetén olyan szabályok vannak, hogy megosztáshoz csak hitelesített felhasználó férhet hozzá alapesetben!
Éppen bejelentkezett felhasználók • A bejelentkezett felhasználók tevékenységét nyomon lehet követni
Az AD-ban szereplő szerver szerepét lehet itt megváltoztatni
Userek kezelése • Default AD userek és csoportok • A userek és computerek tárolókban lehetnek, azaz strukturálni lehet az AD-t • Ezen a felületen keresztül lehet állítani minden userekre vonatkozó opciót • A rendszer védelme érdekében a Guest (Vendég) user accountja legyen tiltott • Az Administrator (Rendszergazda) usert nevezzük át, másra, és adjunk bonyolult jelszót neki • Hozzunk létre egy alternatív nevű rendszergazdai jogú felhasználót és azzal tevékenykedjünk • Hozzunk létre Administrator usert, akinek nincs szinte semmi joga és nem is rendszergazda
Userek kezelése • User paraméterek állítása
Új user hozzáadása • Névbeírás
Új user hozzáadása • A jelszónak meg kell felelni a rendszerben érvényes szabályoknak (nem lehet rövid) • A jelszavakat illik időközönként megváltoztatni • A jelszót a felhasználó megváltoztathatja
User paraméterei • Utólag a usernév kivételével bármit lehet módosítani • Exchange telepítése esetén az AD kibővül az Exchange-re jellemző adatokkal is
User paraméterei • A felhasználó csoporttagságának állítása – a jogosultságok öröklődnek • Érdemes a jogokat a csoportokon kereszrül delegálni a felhasználók részére
Profilok • Amikor egy usert létrehozunk és először belép a szerverre, akkor jön létre a profile-ja (Document and settings/Usernév/... • Definiálható un. Roaming Profile: ezt azt jelenti, hogy bármelyik gépen ül le a user, a szerverről letöltődik a profile-ja és érvényesül, majd kilépéskor a módosulások visszamásolódnak a szerverre. • Jó gondolat • Amikor belép ugyanazt a környezetet találja, a fájljai ugyanott vannak, stb.. • Nem mindig szerencsés • Ha szabályosan lép ki, akkor visszamásolódnak a letöltött adatok, ami hosszú ideig tarthat. – megoldás: az adatok nagy része ne profile-ban, hanem külön megosztásban legyen • Ha nem éri el a roaming profile-t, akkor a korábbi profile megmarad, a következő belépéskor az töltődik be és a példányok összezavarhatják egymást – Megoldás: csak a legszükségesebb adatok legyenek a profile-ban (asztal, háttér, menük, semmi adatfájl, a levelek is a szerveren tárolódjanak)