Windows Server 2008

{ Server Core + RODC }

Gál Tamásv-tagal@microsoft.comSzakmai vezető - Windows Server 2008Microsoft Magyarország

Server Core{ Windows without Windows }

Server Core - érvekTeljesen új elképzelés

Minimum környezet – „sallangok” nélkül, viszont kompromisszumokkalKifejezetten bizonyos szerepkörök ellátásáraNem külön verzió, hanem egy { telepítési opció }Minden telepítő média tartalmazza

Stabil működésCsak a legszükségesebb szerepkörök és képességekPélda: kevesebb rendszerszolgáltatás (40 / 75)

Server Core - érvekMinimalizált szoftveres környezet

Nem alkalmazásplatform (főleg nem kliens)Viszont: szervizcsomagok, javítások, felügyeleti kliensek és segédprogramok

Kevesebb üzemeltetési feladat „El van a sarokban, { nem kér enni }”

Kisebb támadási felület > biztonságosabb működés

A Windows 2000 Server-hez képest kb. 60% kevesebb javítás (WS03 esetén kb. 40%-kal)

Server Core - telepítésStandard, Enterprise és DataCenter változatx86 / x64 az összes WS08 változat eseténLényegesen kisebb erőforrás igény

CPU: legalább 1 GHz az ajánlottRAM: a telepítés miatt 512 MBHDD: 1,5 GB (8 GB az ajánlott, hosszú távra)

Telepítés Frissítés korábbi verziókról > nem lehetségesFrissítés egy teljes WS08 változatról vagy változatra > nem lehetségesEgyetlen frissítési útvonal lesz: { Server Core R2 }

Server Core – mi hiányzik?GUI (majdnem teljesen)

Kivétel: CMD.exe, Notepad.exe, Regedit.exe, MSInfo32.exe, Taskmgr.exe, MSIExec.exe, MSDT.exe

Explorer shell.NET FrameworkMMC konzolokControl Panel - kivétel: intl.cpl és timedate.cpl

IE, OE, Media Player, Themes, Windows Mail, Paint, Search, GUI Help, stb.

Server Core – mit kapunk?Szerepkörök

ADDS, AD LDSDHCP, DNS szerverFile ServicesStreaming Media ServicesPrint ServicesWeb Server (IIS)Hyper-V

KépességekBitLockerFailover ClusteringMultipath I/ORemovable StorageSNMP ServicesSUAWS BackupWINSQoS

Server Core – mit kapunk?Initial Configuration Tasks, Server Manager, Servemanagercmd.exe nincsOCList.exe

Szerepkörök és képességek állapotának megtekintése

OCSetup.exeTelepítés / eltávolítás (csomagnevekkel)

Pgkmgr.exeTelepítési összetevők finomhangolása (pl. IIS7)

Server Core - architektúra

.Net Fx, Shell, etc.

Windows Server 2008 Installation

Server Roles (Full only)

TSAD LDS File Etc.SharePointNPSFaxDNS DHCP AD

VirtMedia ServerWVSIIS 7Print

Server Core Roles (Full also)

Core OS ElementsSecurity, Networking, RPC, etc.

Kernel, HAL, etc.

Hardware Dependencies

Server Core Installation Full Installation

Hardware

Disk, NIC, etc.

Core OS Elements (Full only)

Server Core - architektúraA kernel ugyanaz mint a teljes WS08-nálHa egy bináris fájl megtalálható a Server Core változatnál, az is ugyanazHa egy konfigurációs beállítás alkalmazható mindkettőnél akkor sincs különbség a megvalósításban

pl. egy szolgáltatás startja, vagy egy tűzfal szabály

Speciális Server Core rendszerszolgáltatás nincs

Server Core - architektúraMinimális in-box eszközmeghajtó

Storage, hálózati kártya, standard VGA, nyomtató driver viszont egy sincs!A Plug and Play alrendszer viszont igenEszközmeghajtó telepítése: pnputil.exeAláírás szükséges? > Group Policy

Alkalmazás kompatibilitás vizsgálat és tesztelés ajánlottUAC nincs

Server Core – user interfaceAz alapértelmezett felhasználói felület: a parancssor

Viszont használhatjuk a Feladatkezelőt pl. a be- és kilépésre, illetve a cmd.exe indítására is.

Példa a konfigurálásraA háttérszín változtatáshoz:HKEY_CURRENT_USER\Control Panel\Colors Value: BackgroundDefault Data Value: 29 95 122 (RGB value)

{ A Server Core élmény }demó

Server Core – felügyelet helyben

Cmd.exe (parancssori eszközök)SCRegedit.wsf (SC Registry Editor)

AU kliens engedélyezéseRemote Desktop engedélyezéseDNS SRV rekord súlyozás és prioritás beállításIPSec Monitor engedélyezése+ egyebek is, nézzük meg a Notepad-delCsak a Server Core-on elérhető

Server Core – felügyelet távolrólRemote Desktop

A régi és az új RD klienseket eltérő módon lehet engedélyezni > SCRegedit.wsfTS: Server Core CMD.exe > TS RemoteApp

MMC konzolokTeljes mellszélességgel (pl. RSAT)Ha nincs tartományban > tűzfal konfigurálás

Group PolicyTeljes mértékben alkalmas kliensnekAkár WMI filterekkel elválasztva is kezelhetjük

Server Core – felügyelet távolrólWindows Remote Management (WinRM)

Teljeskörű távoli felügyelet – parancssorbólBiztonságos, tűzfalbarát (pl. Kerberos és https)A kliens (WinRS) a Vistában gyárilag benne van

WinRM 1.1 telepíthető XP / WS03-rewinrm quickconfig – a listener létrehozása

PowerShell és a WMI szkriptekA Powershell nem telepíthető lokálisan

De WMI-n keresztül használható távolbólStandard WMI szkriptek viszont működnek

Read-only DC{ Van új a nap alatt }

Branch Office

RODC - alapfogalmakA RODC egy új tartományvezérlő típus

Úgyanúgy tartalmazza a címtár egy példányát mint a többi DC (a fiók jelszavakat persze nem)

Csak éppen ez a példány írásvédett Sem a kliensek, sem az alkalmazások nem írhatnak (közvetlenül) a RODC címtárpéldányábaAz írás kéréseket a legközelebbi írható DC kezeli leOlvasni viszont gond nélkül lehet

RODC – létjogosultsági példákKifejezetten telephelyeken

Ahol a WAN kapcsolat miatt lassú a DC elérésAhol a WAN kapcsolat hiányában is kell DC

Ahol ugyanezek miatt GC-re is szükség vanAhol a kiszolgálón szükség van helyi Admin fiókra, de nincs szükség (sőt!) a címtár jogosultságokraAhol nincs kvalifikált szakemberAhol nem garantálható a fizikai biztonságAhol akár egy külső cégnek is be kell lépni az egyetlen kiszolgálón (ami persze DC is egyben)

RODC – telepítési feltételekAz erdő és a tartomány működési szintje: Windows Server 2003 vagy magasabbadprep /rodcprep a Schema master DC-n

A DNS partíciók replikálásához szükségesLegalább egy írható WS08 DC-nek lennie kell az adott tartományban

Ez lesz a RODC replikációs partnere

A Server Core is lehet RODC, sőt…

RODC – telepítési feltételek

RODC – új szolgáltatásokPassword Replication Policy

Az alapértelmezettől eltérően adott csoportoknak vagy fiókoknak lekerülhet a jelszava a RODC-reEzzel a belépés megoldható lesz a WAN kapcsolat hiányában isNem a RODC-n állítjuk be, hanem egy központi WS08 DC-n„Allowed” és „Denied” RODC Password Replication GroupA stratégia eldöntése szép feladat

RODC – új szolgáltatásokHelyi Admin fiók a RODC-n

Bármely tartományi fiók vagy csoport delegálható helyi Adminként

Ergo nem kell a Domain Admins csoporttagságMindent megtehet ami egy helyi admin általábanDe a címtárhoz egyáltalán nem fér hozzáHatókör: csak az adott RODC!

„Unidirectional” v. one-way replikációA replikáció egyirányú, azaz csak „lefelé”Ez a tulajdonság a SYSVOL replikációra is igaz (akkor is, ha DFS-R a típus)

RODC – új szolgáltatásokFiltered Attribute Set

Nem muszáj minden objektum minden attribútumát replikálni a RODC-reDinamikusan állíthatjuk be (a sémában) a tiltott attribútumokatCsak WS08 erdő működési szinten!

RODC – új szolgáltatásokRead-Only DNS

A DNS kiszolgáló telepíthető és használható a RODC-n

De a közvetlen dinamikus frissítés tiltottA RODC alapesetben csak a ForestDNSZones és DomainDNSZones rekordjait replikálja

Azonban, a RODC képes továbbítani a DNS írási kéréseketÍgy egy írható DNS-en keresztül visszareplikálódik a megfelelő DNS partícióba a rekord tartalma

{ RODC delegált telepítés }demó

Előzetes lépések – központ:- Komplett, írható WS08 DC felállítása- Működési szint „belövése”, séma frissítés a RODC miatt- RODC admin fiók létrehozása

- { Esetleg az IFM média elkészítése }

Előzetes lépések – telephely:- Szűz WS08 telepítése, IP és DNS beállítás

{ RODC a Server Core-on }demó

Előzetes lépések- Komplett, írható WS08 DC felállítása- Működési szint „belövése”, séma frissítés a RODC miatt- RODC admin fiók létrehozása

- Server Core telepítés és aktiválás (kb. 20 perc )- Server Core admin jelszó, gépnév, IP és DNS beállítás- RDP és tűzfal engedélyezés

{ Kezdés 13:40-kor }