1 / 54

IT Infrastruktúra tervezés – II. Logikai elemek

IT Infrastruktúra tervezés – II. Logikai elemek. Lepenye Tamás Rendszermérnök Microsoft Magyarország. Napirend. A WSSRA szerint: Hálózati szolgáltatások Távoli hozzáférés Nyiltkulcsos infrastruktúra Szoftverdisztribúció Tűzfalak Címtárszolgáltatás Fájl- és nyomtatószolgáltatás

keziah
Download Presentation

IT Infrastruktúra tervezés – II. Logikai elemek

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IT Infrastruktúra tervezés – II.Logikai elemek Lepenye Tamás Rendszermérnök Microsoft Magyarország

  2. Napirend • A WSSRA szerint: • Hálózati szolgáltatások • Távoli hozzáférés • Nyiltkulcsos infrastruktúra • Szoftverdisztribúció • Tűzfalak • Címtárszolgáltatás • Fájl- és nyomtatószolgáltatás • Adatkezelési szolgáltatás • Köztesszoftverek • Üzenetkezelés és együttműködés • Webszolgáltatás • Menedzsment szolgáltatás

  3. Hálózati szolgáltatások

  4. Hálózati szolgáltatások • Dynamic Host Configuration Protocol - DHCP • Domain Name System - DNS • Windows Internet Naming Service - WINS

  5. Címallokáció Lehetőségeink: • Kézi címkezelés • BOOTP • DHCP

  6. Címallokáció • A szolgáltatás létrehozásának kérdései • Elvárások a rendelkezésre állásra • A kezelt IP címek száma • Milyen az IT rendszermenedzsment? • Javasolt megoldás (Best practice): • Statikus IP címek a DHCP kiszolgálók és az útválasztók interfészein • Statikus IP címek a dinamikus címallokációt nem támogató eszközökön • Statikus IP címek, ha a szolgáltatás ezt megköveteli (Pl.: WINS, DNS) • Lefoglalt címek a szervereknél, nyomtatóknál, hálózati eszközöknél • Minden egyéb esetben DHCP

  7. DHCP - tervezési kérdések • DHCP scope-ok • DHCP rendelkezésre állás és hibatűrés • DHCP útvonalválasztók esetén • DHCP biztonság

  8. DHCP Scope-ok • Egy DHCP kiszolgáló több DHCP scope-ot is futtathat! • A legtöbb DHCP paramétert Scope opcióként kell megadni • Egyedi opciót akkor definiáljunk, ha ezt egy szoftver vagy alkalmazás valóban igényli • Osztály-opciókat akkor használjunk, ha a kliensek jól definiáltan eltérő igényeik vannak azonos alhálózatban • Egyedi opciókat egy-egy klienshez „reservation options” segítségével rendelhetünk

  9. DHCP – rendelkezésre állás és hibatűrés • Split Scope • DHCP Cluster • Standby Server

  10. DHCP – útvonalválasztók esetén Több subnet DHCP szolgáltatással való ellátása: • Több DHCP szerverrel • DHCP-Relay Agent az útválasztókban • DHCP-Relay Agent egy ügyfélben • Többlábú DHCP-szerver

  11. DHCP - Biztonság • Nem authentikált protokoll! • Biztonsági konfigurációs lehetőségek (Windows Server 2003) • Kiszolgáló-felhatalmazás (DHCP Server Authorization) • Kósza DHCP-kiszolgáló felderítése • DNSUpdateProxy csoport • DHCP-Class opciók használata • Csak lefoglalt IP-címek használata • A kiszolgáló biztonságának fokozása (security hardening)

  12. A WINS betűszóban mi az „I” feloldása? Internal Integrated Internet Information Kérdés

  13. WINS – Windows Internet Name Resolution • NetBIOS névfeloldás, NetBIOS korlátokkal • Lapos névtér • 15+1 karakteres nevek • A 80-as évekből származó szabvány • WINS szerverek – WINS kliensek • 12 szerver konfigurálható, de csak 2 névregisztrációra • A WINS szervereket DHCP opciókkal meg lehet hírdetni

  14. WINS • Miért jó? • Broadcast forgalom csökkentése • Automatikus regisztráció és megújítás • Központi névfeloldás • Kiterjesztett NetBIOS-név támogatás • Miért kell? • Windows 2000 előtti Microsoft kliensek • NetBIOS névfeloldás szükséges többszegmensű IP-hálózatban • Kliens vagy szerver-alkalmazás igényli a NetBIOS komunikációt • http://www.microsoft.com/hun/technet/default.aspx?article=dacd6819-1040-4219-bcc6-5fb413584235 • File- vagy nyomtatószolgáltatás üzemel MS Windows 2000 előtti operációs rendszeren

  15. WINS – Topogia és replikáció • WINS szerverek topológiája • Központi WINS • Full mesh • Gyűrű • Hub and spoke topology • A replikáció típusai • Push – azonnali, de nem szabályozható a forgalom • Pull – szabályozható forgalom, de lassú konvergencia • Push/pull

  16. WINS – legjobb gyakorlat • „Az egyszerű nagyszerű” 1 WINS / 10 000 kliens!! • Redundáns WINS = 2 WINS szerver push/pull replikáció • A WINS Cluster nem két WINS szerver, hanem 1 logikai • Hub-and-spoke architektúra replikáció esetén • Push/pull replikáció beállítása ajánlott • Adatbázis karbantartás (JET adatbázis) • Scavenging – automatikus • Compacting Database (online és offline) • Consistecy check – alapértelmezés szerint kikapcsolt, érdemes bekapcsolni • Backup útvonal beállítása • A névkonvencióból törölni kell a „_” karaktert • A Windows Server 2003 előtti DNS szerverek „-” karakterré konvertálják • A WINS szerverek mutassanak önmagukra

  17. DNS – Domain Name System • A de-facto névfeloldási rendszer • Interneten • Intraneten • A névfeloldás mellett szolgáltatások is meghirdet • Speciális rekordokkal (pl: MX) • SRV rekorddal • DNS együttműködés • DHCP – kliensek számára dinamikus névregisztráció • WINS – tartalék névfeloldási rendszer • AD – Biztonságos névfrissítés, replikáció

  18. DNS - szolgáltatástervezés • Tervezési feladatok • Névtér tervezés • DNS kiszolgálók elhelyezése a hálózatban • Névtér-tervezési lehetőségek • Egyetlen névtér • A belső névtér a külső tartomány altartománya • Független belső és külső névtér • Azonos belső és külső névtér • Javasolt megoldások: • A „belső névtér a külső altartománya” megoldást a legkönnyebb bevezetni és adminisztrálni • Ha a fenti nem kivitelezhető, akkor a független belső és külső névtér a javasolt • Kerülendő, hogy a belső és külső névtér azonos legyen

  19. Split DNS • Ha egy kiszolgálónak eltérő a „belső” és „külső” neve...

  20. DNS – Technológiai megközelítés • Javasolt a Windows Server 2003, mert... • AD-Integrált DNS zónákat hozhatunk létre • Biztonságos (ACL-el védett) rekordok • Biztonságos frissítés • AD-biztosította replikációs topológia, sebesség és biztonság • A multimaster topológia miatt nincs egyetlen primary zóna,így egypontos meghibásodás sincs! • Integrálható a szolgáltatás más infrastruktúra-szolgáltatásokkal • DHCP, WINS • Önmagában is erőteljes DNS implementáció • „Cache corruption” védelem

  21. Címtárszolgáltatás

  22. Címtárszolgáltatás • Címtár típusok: • Speciális felhasználású címtárak (pl.: DNS) • Egyedi alkalmazás-címtárak (Exchange 5.5) • Hálózat-fókuszú címtárak (Active Directory, Novell eDirectory stb.) • Általános címtárak (LDAP, ADAM, Sun ONE) • Metacímtárak

  23. Címtárszolgáltatás • Active Directory tervezési feladatok • Logikai felépítés tervezése • Telephely-rendszer tervezése • Logikai felépítés: • Erdő kialakítás • Tartomány-tervezés • AD névtér tervezés • Az AD-t támogató DNS-rendszer tervezése • OU tervezés

  24. Címtártervezés • Erdő létrehozása: • Az erdő az adminisztrációs egység (nem a tartomány)! • Sémaeltérés • Szolgáltatás-izoláció (pl.: gyártósor) • Adat-izoláció (pl.: Kutatás-fejlesztés) • Tartomány létrehozása: • „Egyetlen tartomány” modell, ha csak lehet • Forest Root tartomány – ma már ritka • Regionális tartományok – ha a méret és adminisztrációs modell megköveteli • AD névtér tervezése: • Kövesd a DNS névtér tervezést! • A NetBIOS és DNS Domain név eltérhet egymástól, de...

  25. Címtártervezés • Organizational Unit-ok tervezése • A név fordítása hibás! • Nem az üzleti szervezet leképezésére való! • Az Active Directory ADMINISZTRÁCIÓT könnyíti • Adminisztrativ jogok delegálása • http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/actdid1.mspx • Csoportházirendek alkalmazása

  26. Tűzfal szolgáltatások

  27. Tűzfal szolgáltatások • Támadás és védekezés • Tűzfal funkciók • Tűzfal kategóriák • Tűzfal architektúrák

  28. Támadás és védekezés • Külső támadások • Belső támadások • Fenyegetések, veszélyek és védekezés

  29. Tűzfal funkciók • Network adapter input filters • A hálózati kártya driver a bejövő forgalmat ellenőrzi TCP vagy UDP Port alapján. Szabványos IP forgalmat feltételez • Static packet filters • TCP és UPD forgalom ellenőrzése mindkét irányban. Szabványos IP forgalmat feltételez

  30. Tűzfal funkciók 2 • Network address translation (NAT) • Címfordítás. Elvileg nem tűzfal funkció • Stateful inspection (Dynamic Packet Filter) • A bejövő forgalom csak akkor engedélyezett, ha az állapottáblában megfelelő kimenő kapcsolat szerepel • Circuit-level inspection • A bejövő forgalom esetén nem csak kimenő kapcsolatra, hanem azon belül megfelelő munkamenetre is szükség van

  31. Tűzfal funkciók 3 • Proxy • A kliens és a szerver közötti minden forgalmat felbontja egy kliens-proxy proxy-szerver forgalomra • Nincs közvetlen kapcsolat a kliens és a szerver között, de ha mégis lenne (SSL) akkor is legalább protokoll fejléc ellenőrzés történik • A szerver tárolhatja a gyakran kért oldalakat (gyártótól függő) • A protokoll teljes egészében ellenőrizhető • Felhasználó szintű szabályok állíthatók be (hitelesítés)

  32. Tűzfal funkciók 4 • Application layer filtering • Egy adott alkalmazás alkalmazás-specifikus adatáramlását képes figyelni, blokkolni, áirányítani, módosítani stb. • Tartalomszűrés • Vírusellenőrzés • SSL terminálás Az alkalmazás szinten szűrő tűzfal vagy beépítve ismeri az adott alkalmazást vagy beépülő modul segítségével képes felügyelni annak forgalmát

  33. Tűzfal kategóriák • Helyi tűzfalak • Útválasztókba épített tűzfalak • Low-end hardver tűzfalak • High-end hardver tűzfalak • Szervertűzfalak

  34. Helyi tűzfalak • Operációs rendszerbe beépített tűzfal, amely ad-hoc módon néhány node-os hálózat védelmét is elláthatja

  35. Útválasztókba épített tűzfalak • Két típus: • Internet hozzáférés • LAN/WAN szegmentálás

  36. Low-End hardver tűzfalak • Kisvállalatok, vagy nagyobb vállalatok belső hálózatában működnek

  37. High-End hardver tűzfal • Nagyvállalatok vagy szolgáltatók számára készített céleszköz

  38. Szerver tűzfalak • Előnyök: • Nagy teljesítmény • Szolgáltatás-integráció • Rendelkezésre állás és méretezhetőség • Hátrányok: • High-End Hardver • Sérülékenység

  39. Tűzfal architektúrák • Single-Tier Egress and Ingress • Előnyök • Alacsony beruházási költség • Alacsony fenntartási költségek • Hátrányok • Egypontos biztonság • Sávszélesség problémák

  40. Tűzfal architektúrák • Kétrétegű tűzfalrendszer • Előnyök • Robosztusabb védelem • A többféle tűzfalfunkció szétválik • Hátrányok • Kevésbé rugalmas architektúra • Nagy hálózatoknál méretezési problémák léphetnek fel

  41. Tűzfal architektúrák • Többrétegű tűzfalrendszer • Előnyök • A nyilvános forgalom leválasztása • Teljesítmény, rendelkezésre állás • Kimenő és bejövő forgalom elválasztása • Hátrányok • Komplex és drága menedzsment • Költséges megvalósítás

  42. Szoftverterítés

  43. Szerver operációs rendszerek terítése Kliens operációs rendszerek terítése Alkalmazások, üzleti szoftverek terítése Javítócsomagok, hotfixek, driverek terítése Szoftvertelepítés

  44. Az alábbi rövidítések közül hánynak ismeri a feloldását? WIM, WAIK, USMT, ACT, WDS, BDDT, ZTI, LTI • Egyiknek sem • 1-3 • 4-6 • 7-8 Kérdés

  45. OS terítés, ahogy eddig volt • Remote Installation Services (RIS) • W2K, WinXP kliensek, W2K, W2003 szerverek telepítése • CD-Based, Sysprep Image (3rd Party kiegészítéssel) • Automated Deployment Services • Kiszolgálók telepítésére (kliensekkel működik, de nem támogatott) • SMS OS Deployment Feature Pack (SMS OSD)

  46. Eszközök • DHCP • Setup Manager • Sysprep • Többféle telepítést vezérlő állomány • Unattended.txt, cmdlines.txt stb. • 3rd Party Image technológiák

  47. Problémák • Nem egységes formátum • 16-bites függőség • Eltérő használat • Ügyfél • Kiszolgáló • Bonyolult • Kiegészítést igényel • Sok Image keletkezik • Az Image utólag nem szerkeszthető

  48. OS terítés, ahogy lesz • Windows Deployment Services (WDS) • A RIS utódja • Server és kliens telepítés (Vista is!) • Light Touch Installation (LTI) • Automated Server Deployment (ADS) • Egyelőre önállóan, később beépül a WDS-be • System Management Server 2003 R2 Feature Pack Update • Kliens telepítés • Zero Touch Installation (ZTI)

  49. OS Deployment Roadmap Egységesített Nagyvállalati OS terítés Jelenlegi termékek Frissítések SMS 2003 SP1 SMS 2003 SP2 SMS 2003 10/03 SCCM 2007 (SMS v4) Format: WIM 1.0 OSD FP OSD FP LH update = OS Deployment termék Format: WIM 0.9 Format: WIM 1.0 Microsoft Virtual Server 2005 Migration ToolkitVSMT SMS v4 OS Deployment builds on WDS & other LH technology ADS 1.1 ADS 1.0 9/03 Format: ADS Format: ADS Transfer technology RIS in Windows Server 2003 WDS for Windows Server 2003 WDS in Windows Server“Longhorn” Format: WIM 1.0 Format: WIM 1.0 2003 2004 2005 2006 2007

  50. OS deployment eszközök • Windows Automated Installation Toolkit (WAIK) • Application Compatibility Toolkit (ACT) • User State Migration Toolkit (USMT) • ImageX • Windows System Image Manager (WSIM) A Setup Manager helyett • Business Desktop Deployment Toolkit • Vista és Office telepítésének teljeskörű támogatása • Projekt-támogatás teljes dokumentációval • Technológiák • Windows Imaging Format (WIM) • Fájl alapú, Szerkeszthető Image formátum • 3rd Party kiegészítőkre nincs szükség • Egyetlen XML vezérlőállomány • Windows Preinstallation Evironment (WinPE) • 16-bit függés megszüntetése

More Related