500 likes | 604 Views
Windows Server 2008. Új szerver az iskolában. Rideg Márton. Miről lesz szó?. Újdonságok áttekintése alkalmazási területenként Ötletek az iskolai alkalmazásra Demo Kérdések és válaszok. Al k almazási területek. Alap szerver feladat ok Telephelyi infrastruktúra Virtualizáció
E N D
Windows Server 2008 Új szerver az iskolában Rideg Márton
Miről lesz szó? • Újdonságok áttekintésealkalmazásiterületenként • Ötletekaziskolaialkalmazásra • Demo • Kérdések és válaszok
Alkalmazásiterületek • Alap szerver feladatok • Telephelyi infrastruktúra • Virtualizáció • Magas rendelkezésre állás • Központi alkalmazáselérés • Biztonság és identitáskezelés • Web- és alkalmazásplatform • Rendszerfelügyelet
Alap szerver feladatok • Hálózat • Teljesen újraírt, gyorsabb, biztonságosabb hálózati alrendszer • DHCP, DNS, WINS – minden megvan, apró kényelmi változások történtek • Teljeskörű IPv6 támogatás • Print/Fax • E-mail • SMTP még van, POP3 már nincs • Használjunk Exchange 2007-et • Fájlszerver, tárolás, mentés, visszaállítás • iSCSI, Server Backup, FSRM (File Server Resource Manager), DFS • Frissítéskezelés • Windows Software Update Services 3.0
A távoli telephelyekMiért is téma? • A távoli telephelyek az IT költségek közel 33%-át emésztik fel • Az 1000 főnél többet foglalkoztató szervezeteknél a dolgozók 55% távoli telephelyeken dolgozik • Az 1000 főnél többet foglalkoztató szervezetek 25 milliárd dollárt költöttek a WAN vonalaikra • A kulcsproblémák: • Konszolidáció • Produktivitás/teljesítmény vagy költségek AWAN a legnagyobb ismétlődő költség az emberi erőforrások költsége után Források: Harte-Hanks 2004, AMI Partners 2003
Telephelyi infrastruktúra WS08-cal • Server Core • Csak parancssor, nincs GUI • Pici, gyors, biztonságos, „alig kér enni” • Read-Only Domain Controller (RODC) • Telephelyekre mini címtár elhelyezésre • Pici, biztonságos, gyorsítja a helyi lekéréseket • Csak olvasható, onnan kárt nem tehetnek a központi címtárban • BitLocker • Minden merevlemez titkosítható hiába lopják el, nem férnek hozzá • Distributed File System • Elosztott, automatikusan és gyorsan replikálódó mappák, fájlok • Kicsi sávszélesség igény, telephelyekre ideális • A backup mehet a központban és a telephelyen is vegyesen
Központ és telephelyek • Ha van RODC: • Biztonságosabb és kevésbé költséges a DS infrastruktúra • Nincs szükség nagytudású Domain Admin-ra a telephelyen • „Bengedhető” a külső cég is a DC-re • …és persze a hagyományos DC-k nélkül, az esetleges WAN hibák esetén is megy tovább az élet
Server Core „Windows without Windows” • Teljesen új elképzelés • Minimum környezet – „sallangok” nélkül, viszont kompromisszumokkal • Kifejezetten bizonyos szerepkörök ellátására • Nem külön verzió, hanem egy telepítési opció • Minden telepítő média tartalmazza • Stabil működés • Csak a legszükségesebb szerepkörök és képességek • Példa: kevesebb rendszerszolgáltatás (40 / 75)
Server Core - érvek • Minimalizált szoftveres környezet • Nem alkalmazásplatform (főleg nem kliens) • Viszont: szervizcsomagok, javítások, felügyeleti kliensek és segédprogramok • Kevesebb üzemeltetési feladat • „El van a sarokban,nem kér enni” • Kisebb támadási felület > biztonságosabb működés • A Windows 2000 Server-hez képest kb. 60% kevesebb javítás (WS03 esetén kb. 40%-kal)
Server Core – mit kapunk? • Képességek • BitLocker • Failover Clustering • Multipath I/O • Removable Storage • SNMP Services • SUA • WS Backup • WINS • QoS • Szerepkörök • ADDS, AD LDS • DHCP, DNS szerver • File Services • Streaming Media Services • Print Services • Web Server (IIS) • Hyper-V
Server Core – mit kapunk? • Initial Configuration Tasks, Server Manager, Servemanagercmd.exe nincs • OCList.exe • Szerepkörök és képességek állapotának megtekintése • OCSetup.exe • Telepítés / eltávolítás (csomagnevekkel) • Pgkmgr.exe • Telepítési összetevők finomhangolása (pl. IIS7)
Server Core – felügyelet helyben • Cmd.exe (parancssori eszközök) • SCRegedit.wsf (SC Registry Editor) • AU kliens engedélyezése • Remote Desktop engedélyezése • DNS SRV rekord súlyozás és prioritás beállítás • IPSec Monitor engedélyezése • + egyebek is, nézzük meg a Notepad-del • Csak a Server Core-on elérhető
Server Core – felügyelet távolról • Remote Desktop • A régi és az új RD klienseket eltérő módon lehet engedélyezni > SCRegedit.wsf • TS: Server Core CMD.exe > TS RemoteApp • MMC konzolok • Teljes mellszélességgel (pl. RSAT) • Ha nincs tartományban > tűzfal konfigurálás • Group Policy • Teljes mértékben alkalmas kliensnek • Akár WMI filterekkel elválasztva is kezelhetjük
Server Core – felügyelet távolról • Windows Remote Management (WinRM) • Teljeskörű távoli felügyelet – parancssorból • Biztonságos, tűzfalbarát (pl. Kerberos és https) • A kliens (WinRS) a Vistában gyárilag benne van • WinRM 1.1 telepíthető XP / WS03-re • winrm quickconfig – a listener létrehozása • PowerShell és a WMI szkriptek • A Powershell nem telepíthető lokálisan • De WMI-n keresztül használható távolból • Standard WMI szkriptek viszont működnek
RODC - alapfogalmak • A RODC egy új tartományvezérlő típus • Úgyanúgy tartalmazza a címtár egy példányát mint a többi DC (a fiók jelszavakat persze nem) • Csak éppen ez a példány írásvédett • Sem a kliensek, sem az alkalmazások nem írhatnak (közvetlenül) a RODC címtárpéldányába • Az írás kéréseket a legközelebbi írható DC kezeli le • Olvasni viszont gond nélkül lehet
RODC – létjogosultsági példák • Kifejezetten telephelyeken • Ahol a WAN kapcsolat miatt lassú a DC elérés • Ahol a WAN kapcsolat hiányában is kell DC • Ahol ugyanezek miatt GC-re is szükség van • Ahol a kiszolgálón szükség van helyi Admin fiókra, de nincs szükség (sőt!) a címtár jogosultságokra • Ahol nincs kvalifikált szakember • Ahol nem garantálható a fizikai biztonság • Ahol akár egy külső cégnek is be kell lépni az egyetlen kiszolgálón (ami persze DC is egyben)
RODC – telepítési feltételek • Az erdő és a tartomány működési szintje: Windows Server 2003 vagy magasabb • adprep /rodcprep a Schema master DC-n • A DNS partíciók replikálásához szükséges • Legalább egy írható WS08 DC-nek lennie kell az adott tartományban • Ez lesz a RODC replikációs partnere • A Server Core is lehet RODC, sőt…
RODC – új szolgáltatások • Password Replication Policy • Az alapértelmezettől eltérően adott csoportoknak vagy fiókoknak lekerülhet a jelszava a RODC-re • Ezzel a belépés megoldható lesz a WAN kapcsolat hiányában is • Nem a RODC-n állítjuk be, hanem egy központi WS08 DC-n • „Allowed” és „Denied” RODC Password Replication Group • A stratégia eldöntése szép feladat
RODC – új szolgáltatások • Helyi Admin fiók a RODC-n • Bármely tartományi fiók vagy csoport delegálható helyi Adminként • Ergo nem kell a Domain Admins csoporttagság • Mindent megtehet ami egy helyi admin általában • De a címtárhoz egyáltalán nem fér hozzá • Hatókör: csak az adott RODC! • „Unidirectional” v. one-way replikáció • A replikáció egyirányú, azaz csak „lefelé” • Ez a tulajdonság a SYSVOL replikációra is igaz (akkor is, ha DFS-R a típus)
RODC – új szolgáltatások • Filtered Attribute Set • Nem muszáj minden objektum minden attribútumát replikálni a RODC-re • Dinamikusan állíthatjuk be (a sémában) a tiltott attribútumokat • Csak WS08 erdő működési szinten!
RODC – új szolgáltatások • Read-Only DNS • A DNS kiszolgáló telepíthető és használható a RODC-n • De a közvetlen dinamikus frissítés tiltott • A RODC alapesetben csak a ForestDNSZones és DomainDNSZones rekordjait replikálja • Azonban, a RODC képes továbbítani a DNS írási kéréseket • Így egy írható DNS-en keresztül visszareplikálódik a megfelelő DNS partícióba a rekord tartalma
Virtualizáció - Az eredeti cél • Mainframe rendszerek • Visszafelé kompatibilitás • Kicsivel később • Erőforrások megosztása, partícionálása • Ma • Izoláció, rugalmasság, mozgathatóság, költségek csökkentése • Holnap • Dinamikus rendszerek, adatközpontok
Mi is az a virtualizáció? Virtualizáció nélkül Virtualizációval A Microsoft megoldása Virtuális alkalmazások Bármely alkalmazás bármely gépre - bármikor Infrastruktúra Az alkalmazások adott vasra és operációs rendszerre vannak telepítve Virtuális megjelenítés Bárhonnan elérhető felhasználói felület A felhasználói felület csak lokálisan érhető el Felügyelet Az operációs rendszer erősen hardverhez kötött Virtuális számítógép Az operációs rendszer könnyen mozgatható Licencelés A tárolási megoldás nem mozgatható Átjárhatóság Virtuális tárolás Hálózati, nem helyhez kötött tárolási megoldások A hálózat helyhez kötötten van beállítva Támogatás Virtuális hálózat Rugalmas, szállítható, központosított hálózat A cél: a rendszer összetevőinek egymástól való izolálása, elszigetelése – könnyebb ezután a komponensek cseréje, mozgatása, bővítése
A Microsoft virtualizációs megoldásai Szervervirtualizáció Megjelenítés- virtualizáció Windows Server Virtualization Felügyelet Alkalmazás- virtualizáció Desktop- virtualizáció
Mire jó a szervervirtualizáció? A folytonos működés biztosítása Szerverkonszolidáció Fejlesztési és tesztkörnyezet Dinamikus adatközpont
Hyper-V • 64 bites • 64 és 32 bites virtuális gépek támogatása vegyesen • Szinte korlátlan méretű memória használata • Mikrokerneles hypervisor-alapú • Szervervirtualizációs megoldás • Szabványokra épülő megvalósítás • Előkövetelmények • x64-es hardver • x64-es Windows Server 2008 • Hardveres virtualizáció-támogatás • AMD-V (Pacifica) vagy Intel VT • Hardveres Data Execution Prevention (DEP) támogatás • AMD (NX - no execute bit) • Intel (XD - execute disable)
Parent Partition Child Partition Child Partition Apps Apps Apps ServerCore OS 2 OS 1 Windows hypervisor Hardware A fizikai hardver elérése • A processzort és a memóriát a hypervisor kezeli • a többi hardvert a szülőpartíció kezeli • 3rd party driverek • Processzor energiagazdálkodás • Eszközök futás közbeni hozzáadása és eltávolítása • Nincs szükség új driverekre • Tényleg nincs szükség új driverekre!
A leállások típusai • Tervezett leállás (planned downtime) • Tudjuk, hogy mikor, mennyi időre állunk le • Szándékos, mi kezdeményezzük • Fel tudunk rá készülni • Van lehetőség a szolgáltatások zökkenőmentes átterhelésére • Okai lehetnek: • Hardverbővítés/csere • Az OS patchelése • Be nem tervezett leállás (unplanned downtime) • Nem tudjuk mikor, mennyi időre • Nem mi kezdeményezzük, bármikor lehet • Fel tudunk rá készülni • De mindenképpen vesztünk adatot és időt, kiesik a szolgáltatásunk egy időre • Okai lehetnek: • Hardverhiba, szoftverhiba, emberi mulasztás
VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM Központi felügyeleti megoldás a Microsoft virtualizációs szoftvereihez • A fizikai szerverek jobb kihasználása • Virtuális gépek szétszórása a fizikai gépekre • Rugalmasan változtatható konfiguráció • Tesztszerverek felállítása • Kisebb hardverköltség • Központi felügyelet a virtualizált rendszerekhez • Operations Manager Management Pack a felügyelethez és jelentéskészítéshez • Jelentések a konszolidálásra érett gépekről, a kihasználtságról, trendekről, optimalizálási lehetőségekről • Új virtuális gépek gyorsabb létrehozása és kiajánlása • A felhasználók önkiszoláló módon kérhetnek virtuális gépeket • Template-könyvtár az új gépek létrehozásához • A rendszergazda beállíthatja, hogy mely virtuális gépek hova és kihez kerülhetnek
Magas rendelkezésre állás – fürt? • Failover clustering • Ha az egyik szerveren hiba van, átterhelünk mindent a másikra • Újdonságok • Teljesen átalakult az egész • Egyszerűbb konfiguráció • Konszenzusra épülő hibatűrés • iSCSI támogatás • Terheléselosztás • Network Load Balancing (NLB) • Hálózati terheléselosztás – több gép osztozik a beérkező lekéréseken • High Performance Computing (HPC) • Nagy számításigényű feladatokra, több gép közös erejének kihasználására – egy nagy feladaton dolgozik párhuzamosan több gép
Központi alkalmazáselérés • Hol futnak a szoftverek? (mit terhel, hol kell karbantartani?) • Kliensen • Szerveren • Itt is-ott is • Miért érdekes, hogy hol? • Sávszélesség igény • Számítási igény • Alkalmazásdisztribúció és frissítés • Melyik géphez vannak kötve a nekünk szükséges hardverek? • Példák • Kliensre telepített ablakos alkalmazás • Kliensre telepített böngésző, ami egy szerveroldali webalkalmazást futtat • Néhány ablakos alkalmazás a szerverre van telepítve, amiket a kliensen használunk • Teljes egészében rácsatlakozunk a szerverre, kapunk egy teljes környezetet, minden a szerveren fut
Alkalmazásdisztribúció • Terítés • Tömegesen telepítjük az alkalmazásainkat pl. Csoportházirend, vagy System Center Configuration Manager segítségével, vagy benne van az alap telepített OS image-ben • Központi helyen tartjuk az alkalmazásainkat, elérést biztosítunk hozzájuk (jól szabályozható és mérhető) • A kettő közötti megoldások • Frissítés • Minden kliensen frissítgetjük a telepített szoftvereket • Csak a szerveren frissítjük a telepített szoftvereket • Is-is • Tesztelés és kompatibilitás • Kompatibilis lesz egy új szoftververzió a klienssel, vagy az azon futó többi alkalmazással? Tudnak egymás mellett élni? • Kell csinálnunk regressziós tesztet?
Újfajta megoldási módok • Prezentáció-virtualizáció • Terminal Services – vékony kliens, amolyan „terminál”, „konzol” • Minden alkalmazás a szerverre van telepítve • Megadjuk ki mit érhet el (akár egy teljes desktopot, akár egyes alkalmazásokat) • A felhasználók rákapcsolódnak a szerverre, és az alkalmazás a szerveren fut • Csak a szerveren kell frissíteni • Sávszélesség igénye van • Alkalmazás-virtualizáció • SoftGrid – érdekes köztes megoldás • Az alkalmazások csomagjai a disztribúciós szervereken vannak, ott frissítjük őket • A szerveren mondjuk meg, ki mit használhat • Első használatkor a kliens letölti (streameli) az alkalmazás-csomagot, később ha kell, maga frissíti (letölti újra) • Az alkalmazás valójában nem is települ fel a kliensre, csak rajta fut • Alkalmazás-izoláció: minden alkalmazás azt hiszi, hogy csak ő fut a kliensen, a kliens pedig azt hiszi, hogy semmilyen alkalmazás nem is fut rajta • Nincsenek kompatibilitási problémák, tesztek (Java verziók, Office verziók)
Terminal Services • TS RemoteApp • Publikált alkalmazások használata a kliensen – de az alkalmazás valójában a szerveren fut • TS Web Access • Publikált alkalmazások elérése webes felületről • TS Gateway • Biztonságos elérés távolról is • TS Session Broker • Terheléselosztás
Biztonság és identitáskezelés • Az ezerarcú Active Directory • Network Policy & Access Server • Network Access Protection • Az új tűzfal • Vistából átvett képességek • Csökkentett támadási felület, szerepek
Active Directory szolgáltatások • Active Directory Domain Services • Az „Active Directory” helyett • Active Directory Lightweight Directory Services • Az „ADAM” helyett • Active Directory Certificate Services • Tanúsítványok kezelése a PKI infrastruktúra részeként • Active Directory Federation Services • Azonosítás kezelő, tipikusan a http/s alapú kliensek extranetes erőforrás eléréséhez • Active Directory Rights Management Services • Központi szabályzású, információvédelmi megoldás
Network Access Protection • Miért van szükség a NAP technológiára? • Egy „modern” hálózatban a külső-belső határvonalak jelentős mértékben összemosódnak a hálózatban az igazi határokat nem a topológia, hanem a szabályok határozzák meg
NAP topológia működése Belső hálózat „Külső” hálózat Health requirement Servers Remediation Servers Itt van, alkalmazd. Folyamatos kommunikáció az NPS kiszolgálóval Van valami frissítés? A munkaállomás megfelel a házirendnek az egészségi állapota alapján? A munkaállomás teljes hozzáférés kapott. Van hozzáférésem? Mellékeltem a jelenlegi egészségi állapotom. Hozzáférést kérek.Itt az új egészségi állapotom. A házirend szerint a munkaállomás megfelel. Hozzáférés megadva A házirend szerint a munkaállomás nem felel meg. Karanténba kell helyezni és frissíteni kell. Korlátozott hozzáférést kaptál amíg nem frissíted magad Client Network Access Device (DHCP, VPN) Network Policy Server
Web- és alkalmazásplatform • Internet Information Services 7 • PHP, ASP.NET • .NET 3.0-3.5 • Silverlight • Windows SharePoint Services 3.0 • Media Services • Hosting
Internet Information Services 7 • Modularizált felépítés • Szervermenedzsment • Biztonság • Diagnosztika • FTP szerver • Finom fejlesztések • Közös konfiguráció
Rendszerfelügyelet • Server Manager • Csoportházirend • PowerShell • Windows Deployment Services • Vistából átvett képességek
Egy kis összehasonlítás I. • Biztonságos • Csak az fut ami kell (szerepkörök) • Minden beállítás alapból biztonságos • Minimális támadási felület • Auditing mindenhol • Secure Development Lifecycle • Vista SP1-gyel közös rendszerfelépítés • Lényegesen kevesebb sérülékenység eddig a Vistán, mint bármely más OS-en • Server Core+RODC, BitLocker, NAP, stb. • Megbízható, könnyen felügyelhető • Kisvállalatokhoz és nagyvállalati adatközpontokba is jól skálázható • „Ingyen”, integrált virtualizáció, széleskörű támogatás
Egy kis összehasonlítás II. • Erős web és alkalmazásszerver • Könnyen lehet rá fejleszteni, azt karbantartani, átadni • Egységes platform (nincs ezer változat) • Egységes szerver szerepek, egységes konfiguráció • Nagyon könnyen kezelhető • Képzés • Könnyen dokumentálható • Automatizáltan is akár (szerepek, scriptek, csoportházirendek, és mindenhol lehet megjegyzéseket rögzíteni) • Széleskörű hardvertámogatás • Rengeteg partnermegoldás és driver
Termékváltozatok Core változat bármelyikből telepíthető (kivéve Itanium) Itaniumon és a Weben kívül mindben van Hyper-V, de nélküle is kapható
Ötletekiskolaialkalmazásra • Alapvetőenmajd’ minden • Aziskolaegykis-közepesvállalat • Hyper-V • Legyenkihasználva a hardver • 1 op. rendszeringyen! • Server Core • Kiserőforrásigény • Infrastruktúránakideális • Windows Backup • Mertnemcsakmenteni, visszatölteni is tudnikell…
Ötletekiskolaialkalmazásra • Bitlocker • Bizalmas, személyiadatok a fileszerveren • Windows Deployment Services • Könnyű “újrahúzni” a géptermet, akárteljesen is automatizálható • Terminal Server Application Remoting • Amitnemakarunk, hogyelrontsanak, futtathatótávolról • PowerShell • Rendesautomatizálásilehetőség
Kapcsolódó anyagok • Verziók összehasonlítása • http://www.microsoft.com/windowsserver2008/en/us/editions-overview.aspx • Windows Server 2008 virtuális labor (VHD) • http://www.microsoft.com/downloads/details.aspx?FamilyID=9aa65956-4a13-46a3-9711-82939a041792&DisplayLang=en • Windows Server 2008 online virtuális labor • http://technet.microsoft.com/hu-hu/bb512925(en-us).aspx • Windows Server 2008 Reviewer’s Guide • http://technet.microsoft.com/en-us/windowsserver/2008/bb414776.aspx • TechNet Fórum – szakmai kérdések és válaszok • http://www.microsoft.hu/technetforum • TechNet Portál – szakmai cikkek • http://www.microsoft.hu/technet • Angol Windows Server 2008 témaközpont • http://technet.microsoft.com/hu-hu/windowsserver/default(en-us).aspx?wt.svl=leftnav