1 / 30

Windows Server 2008 { Server Core + RODC }

Windows Server 2008 { Server Core + RODC }. Gál Tamás v-tagal@microsoft.com Szakmai vezető - Windows Server 2008 Microsoft Magyarország. Server Core { Windows without Windows }. Server Core - érvek. Teljesen új elképzelés Minimum környezet – „sallangok” nélkül, viszont kompromisszumokkal

koto
Download Presentation

Windows Server 2008 { Server Core + RODC }

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Windows Server 2008 { Server Core + RODC } Gál Tamásv-tagal@microsoft.com Szakmai vezető - Windows Server 2008Microsoft Magyarország

  2. Server Core{Windows without Windows }

  3. Server Core - érvek • Teljesen új elképzelés • Minimum környezet – „sallangok” nélkül, viszont kompromisszumokkal • Kifejezetten bizonyos szerepkörök ellátására • Nem külön verzió, hanem egy { telepítési opció } • Minden telepítő média tartalmazza • Stabil működés • Csak a legszükségesebb szerepkörök és képességek • Példa: kevesebb rendszerszolgáltatás (40 / 75)

  4. Server Core - érvek • Minimalizált szoftveres környezet • Nem alkalmazásplatform (főleg nem kliens) • Viszont: szervizcsomagok, javítások, felügyeleti kliensek és segédprogramok • Kevesebb üzemeltetési feladat • „El van a sarokban, { nem kér enni }” • Kisebb támadási felület > biztonságosabb működés • A Windows 2000 Server-hez képest kb. 60% kevesebb javítás (WS03 esetén kb. 40%-kal)

  5. Server Core - telepítés • Standard, Enterprise és DataCenter változat • x86/ x64 az összes WS08 változat esetén • Lényegesen kisebb erőforrás igény • CPU: legalább 1 GHz az ajánlott • RAM: a telepítés miatt 512 MB • HDD: 1,5 GB (8 GB az ajánlott, hosszú távra) • Telepítés • Frissítés korábbi verziókról > nem lehetséges • Frissítés egy teljes WS08 változatról vagy változatra > nem lehetséges • Egyetlen frissítési útvonal lesz: { Server Core R2}

  6. Server Core – mi hiányzik? • GUI (majdnem teljesen) • Kivétel: CMD.exe, Notepad.exe, Regedit.exe, MSInfo32.exe, Taskmgr.exe, MSIExec.exe, MSDT.exe • Explorer shell • .NET Framework • MMC konzolok • Control Panel - kivétel: intl.cpl és timedate.cpl • IE, OE, Media Player, Themes, Windows Mail, Paint, Search, GUI Help, stb.

  7. Server Core – mit kapunk? • Szerepkörök • ADDS, AD LDS • DHCP, DNS szerver • File Services • Streaming Media Services • Print Services • Web Server (IIS) • Hyper-V • Képességek • BitLocker • Failover Clustering • Multipath I/O • Removable Storage • SNMP Services • SUA • WS Backup • WINS • QoS

  8. Server Core – mit kapunk? • Initial Configuration Tasks, Server Manager, Servemanagercmd.exe nincs • OCList.exe • Szerepkörök és képességek állapotának megtekintése • OCSetup.exe • Telepítés / eltávolítás (csomagnevekkel) • Pgkmgr.exe • Telepítési összetevők finomhangolása (pl. IIS7)

  9. Server Core - architektúra

  10. Server Core - architektúra • A kernel ugyanaz mint a teljes WS08-nál • Ha egy bináris fájl megtalálható a Server Core változatnál, az is ugyanaz • Ha egy konfigurációs beállítás alkalmazható mindkettőnél akkor sincs különbség a megvalósításban • pl. egy szolgáltatás startja, vagy egy tűzfal szabály • Speciális Server Core rendszerszolgáltatás nincs

  11. Server Core - architektúra • Minimális in-box eszközmeghajtó • Storage, hálózati kártya, standard VGA, nyomtató driver viszont egy sincs! • A Plug and Play alrendszer viszont igen • Eszközmeghajtó telepítése: pnputil.exe • Aláírás szükséges? > Group Policy • Alkalmazás kompatibilitás vizsgálat és tesztelés ajánlott • UAC nincs

  12. Server Core – user interface Az alapértelmezett felhasználói felület: a parancssor Viszont használhatjuk a Feladatkezelőt pl. a be- és kilépésre, illetve a cmd.exe indítására is. Példa a konfigurálásra A háttérszín változtatáshoz: HKEY_CURRENT_USER\Control Panel\Colors Value: Background Default Data Value: 29 95 122 (RGB value)

  13. {A Server Core élmény } demó

  14. Server Core – felügyelet helyben • Cmd.exe (parancssori eszközök) • SCRegedit.wsf (SC Registry Editor) • AU kliens engedélyezése • Remote Desktop engedélyezése • DNS SRV rekord súlyozás és prioritás beállítás • IPSec Monitor engedélyezése • + egyebek is, nézzük meg a Notepad-del • Csak a Server Core-on elérhető

  15. Server Core – felügyelet távolról • Remote Desktop • A régi és az új RD klienseket eltérő módon lehet engedélyezni > SCRegedit.wsf • TS: Server Core CMD.exe > TS RemoteApp • MMC konzolok • Teljes mellszélességgel (pl. RSAT) • Ha nincs tartományban > tűzfal konfigurálás • Group Policy • Teljes mértékben alkalmas kliensnek • Akár WMI filterekkel elválasztva is kezelhetjük

  16. Server Core – felügyelet távolról • Windows Remote Management (WinRM) • Teljeskörű távoli felügyelet – parancssorból • Biztonságos, tűzfalbarát (pl. Kerberos és https) • A kliens (WinRS) a Vistában gyárilag benne van • WinRM 1.1 telepíthető XP / WS03-re • winrm quickconfig – a listener létrehozása • PowerShell és a WMI szkriptek • A Powershell nem telepíthető lokálisan • De WMI-n keresztül használható távolból • Standard WMI szkriptek viszont működnek

  17. Read-only DC{Van új a nap alatt } Branch Office

  18. RODC - alapfogalmak • A RODC egy új tartományvezérlő típus • Úgyanúgy tartalmazza a címtár egy példányát mint a többi DC (a fiók jelszavakat persze nem) • Csak éppen ez a példány írásvédett • Sem a kliensek, sem az alkalmazások nem írhatnak (közvetlenül) a RODC címtárpéldányába • Az írás kéréseket a legközelebbi írható DC kezeli le • Olvasni viszont gond nélkül lehet

  19. RODC – létjogosultsági példák • Kifejezetten telephelyeken • Ahol a WAN kapcsolat miatt lassú a DC elérés • Ahol a WAN kapcsolat hiányában is kell DC • Ahol ugyanezek miatt GC-re is szükség van • Ahol a kiszolgálón szükség van helyi Admin fiókra, de nincs szükség (sőt!) a címtár jogosultságokra • Ahol nincs kvalifikált szakember • Ahol nem garantálható a fizikai biztonság • Ahol akár egy külső cégnek is be kell lépni az egyetlen kiszolgálón (ami persze DC is egyben)

  20. RODC – telepítési feltételek • Az erdő és a tartomány működési szintje: Windows Server 2003 vagy magasabb • adprep /rodcprep a Schema master DC-n • A DNS partíciók replikálásához szükséges • Legalább egy írható WS08 DC-nek lennie kell az adott tartományban • Ez lesz a RODC replikációs partnere • A Server Core is lehet RODC, sőt…

  21. RODC – telepítési feltételek

  22. RODC – új szolgáltatások • Password Replication Policy • Az alapértelmezettől eltérően adott csoportoknak vagy fiókoknak lekerülhet a jelszava a RODC-re • Ezzel a belépés megoldható lesz a WAN kapcsolat hiányában is • Nem a RODC-n állítjuk be, hanem egy központi WS08 DC-n • „Allowed” és „Denied” RODC Password Replication Group • A stratégia eldöntése szép feladat 

  23. RODC – új szolgáltatások • Helyi Admin fiók a RODC-n • Bármely tartományi fiók vagy csoport delegálható helyi Adminként • Ergo nem kell a Domain Admins csoporttagság • Mindent megtehet ami egy helyi admin általában • De a címtárhoz egyáltalán nem fér hozzá • Hatókör: csak az adott RODC! • „Unidirectional” v. one-way replikáció • A replikáció egyirányú, azaz csak „lefelé” • Ez a tulajdonság a SYSVOL replikációra is igaz (akkor is, ha DFS-R a típus)

  24. RODC – új szolgáltatások • Filtered Attribute Set • Nem muszáj minden objektum minden attribútumát replikálni a RODC-re • Dinamikusan állíthatjuk be (a sémában) a tiltott attribútumokat • Csak WS08 erdő működési szinten!

  25. RODC – új szolgáltatások • Read-Only DNS • A DNS kiszolgáló telepíthető és használható a RODC-n • De a közvetlen dinamikus frissítés tiltott • A RODC alapesetben csak a ForestDNSZones és DomainDNSZones rekordjait replikálja • Azonban, a RODC képes továbbítani a DNS írási kéréseket • Így egy írható DNS-en keresztül visszareplikálódik a megfelelő DNS partícióba a rekord tartalma

  26. {RODC delegált telepítés } demó Előzetes lépések – központ: - Komplett, írható WS08 DC felállítása - Működési szint „belövése”, séma frissítés a RODC miatt - RODC admin fiók létrehozása - { Esetleg az IFM média elkészítése } Előzetes lépések – telephely: - Szűz WS08 telepítése, IP és DNS beállítás

  27. {RODC a Server Core-on } demó • Előzetes lépések • - Komplett, írható WS08 DC felállítása • - Működési szint „belövése”, séma frissítés a RODC miatt • RODC admin fiók létrehozása • - Server Core telepítés és aktiválás (kb. 20 perc ) • - Server Core admin jelszó, gépnév, IP és DNS beállítás • - RDP és tűzfal engedélyezés

  28. {Kezdés 13:40-kor }

More Related