windows server 2008 { server core + rodc }
DESCRIPTION
Windows Server 2008 { Server Core + RODC }. Gál Tamás [email protected] Szakmai vezető - Windows Server 2008 Microsoft Magyarország. Server Core { Windows without Windows }. Server Core - érvek. Teljesen új elképzelés Minimum környezet – „sallangok” nélkül, viszont kompromisszumokkal - PowerPoint PPT PresentationTRANSCRIPT
Windows Server 2008
{ Server Core + RODC }
Gál Tamá[email protected] vezető - Windows Server 2008Microsoft Magyarország
Server Core{ Windows without Windows }
Server Core - érvekTeljesen új elképzelés
Minimum környezet – „sallangok” nélkül, viszont kompromisszumokkalKifejezetten bizonyos szerepkörök ellátásáraNem külön verzió, hanem egy { telepítési opció }Minden telepítő média tartalmazza
Stabil működésCsak a legszükségesebb szerepkörök és képességekPélda: kevesebb rendszerszolgáltatás (40 / 75)
Server Core - érvekMinimalizált szoftveres környezet
Nem alkalmazásplatform (főleg nem kliens)Viszont: szervizcsomagok, javítások, felügyeleti kliensek és segédprogramok
Kevesebb üzemeltetési feladat „El van a sarokban, { nem kér enni }”
Kisebb támadási felület > biztonságosabb működés
A Windows 2000 Server-hez képest kb. 60% kevesebb javítás (WS03 esetén kb. 40%-kal)
Server Core - telepítésStandard, Enterprise és DataCenter változatx86 / x64 az összes WS08 változat eseténLényegesen kisebb erőforrás igény
CPU: legalább 1 GHz az ajánlottRAM: a telepítés miatt 512 MBHDD: 1,5 GB (8 GB az ajánlott, hosszú távra)
Telepítés Frissítés korábbi verziókról > nem lehetségesFrissítés egy teljes WS08 változatról vagy változatra > nem lehetségesEgyetlen frissítési útvonal lesz: { Server Core R2 }
Server Core – mi hiányzik?GUI (majdnem teljesen)
Kivétel: CMD.exe, Notepad.exe, Regedit.exe, MSInfo32.exe, Taskmgr.exe, MSIExec.exe, MSDT.exe
Explorer shell.NET FrameworkMMC konzolokControl Panel - kivétel: intl.cpl és timedate.cpl
IE, OE, Media Player, Themes, Windows Mail, Paint, Search, GUI Help, stb.
Server Core – mit kapunk?Szerepkörök
ADDS, AD LDSDHCP, DNS szerverFile ServicesStreaming Media ServicesPrint ServicesWeb Server (IIS)Hyper-V
KépességekBitLockerFailover ClusteringMultipath I/ORemovable StorageSNMP ServicesSUAWS BackupWINSQoS
Server Core – mit kapunk?Initial Configuration Tasks, Server Manager, Servemanagercmd.exe nincsOCList.exe
Szerepkörök és képességek állapotának megtekintése
OCSetup.exeTelepítés / eltávolítás (csomagnevekkel)
Pgkmgr.exeTelepítési összetevők finomhangolása (pl. IIS7)
Server Core - architektúra
.Net Fx, Shell, etc.
Windows Server 2008 Installation
Server Roles (Full only)
TSAD LDS File Etc.SharePointNPSFaxDNS DHCP AD
VirtMedia ServerWVSIIS 7Print
Server Core Roles (Full also)
Core OS ElementsSecurity, Networking, RPC, etc.
Kernel, HAL, etc.
Hardware Dependencies
Server Core Installation Full Installation
Hardware
Disk, NIC, etc.
Core OS Elements (Full only)
Server Core - architektúraA kernel ugyanaz mint a teljes WS08-nálHa egy bináris fájl megtalálható a Server Core változatnál, az is ugyanazHa egy konfigurációs beállítás alkalmazható mindkettőnél akkor sincs különbség a megvalósításban
pl. egy szolgáltatás startja, vagy egy tűzfal szabály
Speciális Server Core rendszerszolgáltatás nincs
Server Core - architektúraMinimális in-box eszközmeghajtó
Storage, hálózati kártya, standard VGA, nyomtató driver viszont egy sincs!A Plug and Play alrendszer viszont igenEszközmeghajtó telepítése: pnputil.exeAláírás szükséges? > Group Policy
Alkalmazás kompatibilitás vizsgálat és tesztelés ajánlottUAC nincs
Server Core – user interfaceAz alapértelmezett felhasználói felület: a parancssor
Viszont használhatjuk a Feladatkezelőt pl. a be- és kilépésre, illetve a cmd.exe indítására is.
Példa a konfigurálásraA háttérszín változtatáshoz:HKEY_CURRENT_USER\Control Panel\Colors Value: BackgroundDefault Data Value: 29 95 122 (RGB value)
{ A Server Core élmény }demó
Server Core – felügyelet helyben
Cmd.exe (parancssori eszközök)SCRegedit.wsf (SC Registry Editor)
AU kliens engedélyezéseRemote Desktop engedélyezéseDNS SRV rekord súlyozás és prioritás beállításIPSec Monitor engedélyezése+ egyebek is, nézzük meg a Notepad-delCsak a Server Core-on elérhető
Server Core – felügyelet távolrólRemote Desktop
A régi és az új RD klienseket eltérő módon lehet engedélyezni > SCRegedit.wsfTS: Server Core CMD.exe > TS RemoteApp
MMC konzolokTeljes mellszélességgel (pl. RSAT)Ha nincs tartományban > tűzfal konfigurálás
Group PolicyTeljes mértékben alkalmas kliensnekAkár WMI filterekkel elválasztva is kezelhetjük
Server Core – felügyelet távolrólWindows Remote Management (WinRM)
Teljeskörű távoli felügyelet – parancssorbólBiztonságos, tűzfalbarát (pl. Kerberos és https)A kliens (WinRS) a Vistában gyárilag benne van
WinRM 1.1 telepíthető XP / WS03-rewinrm quickconfig – a listener létrehozása
PowerShell és a WMI szkriptekA Powershell nem telepíthető lokálisan
De WMI-n keresztül használható távolbólStandard WMI szkriptek viszont működnek
Read-only DC{ Van új a nap alatt }
Branch Office
RODC - alapfogalmakA RODC egy új tartományvezérlő típus
Úgyanúgy tartalmazza a címtár egy példányát mint a többi DC (a fiók jelszavakat persze nem)
Csak éppen ez a példány írásvédett Sem a kliensek, sem az alkalmazások nem írhatnak (közvetlenül) a RODC címtárpéldányábaAz írás kéréseket a legközelebbi írható DC kezeli leOlvasni viszont gond nélkül lehet
RODC – létjogosultsági példákKifejezetten telephelyeken
Ahol a WAN kapcsolat miatt lassú a DC elérésAhol a WAN kapcsolat hiányában is kell DC
Ahol ugyanezek miatt GC-re is szükség vanAhol a kiszolgálón szükség van helyi Admin fiókra, de nincs szükség (sőt!) a címtár jogosultságokraAhol nincs kvalifikált szakemberAhol nem garantálható a fizikai biztonságAhol akár egy külső cégnek is be kell lépni az egyetlen kiszolgálón (ami persze DC is egyben)
RODC – telepítési feltételekAz erdő és a tartomány működési szintje: Windows Server 2003 vagy magasabbadprep /rodcprep a Schema master DC-n
A DNS partíciók replikálásához szükségesLegalább egy írható WS08 DC-nek lennie kell az adott tartományban
Ez lesz a RODC replikációs partnere
A Server Core is lehet RODC, sőt…
RODC – telepítési feltételek
RODC – új szolgáltatásokPassword Replication Policy
Az alapértelmezettől eltérően adott csoportoknak vagy fiókoknak lekerülhet a jelszava a RODC-reEzzel a belépés megoldható lesz a WAN kapcsolat hiányában isNem a RODC-n állítjuk be, hanem egy központi WS08 DC-n„Allowed” és „Denied” RODC Password Replication GroupA stratégia eldöntése szép feladat
RODC – új szolgáltatásokHelyi Admin fiók a RODC-n
Bármely tartományi fiók vagy csoport delegálható helyi Adminként
Ergo nem kell a Domain Admins csoporttagságMindent megtehet ami egy helyi admin általábanDe a címtárhoz egyáltalán nem fér hozzáHatókör: csak az adott RODC!
„Unidirectional” v. one-way replikációA replikáció egyirányú, azaz csak „lefelé”Ez a tulajdonság a SYSVOL replikációra is igaz (akkor is, ha DFS-R a típus)
RODC – új szolgáltatásokFiltered Attribute Set
Nem muszáj minden objektum minden attribútumát replikálni a RODC-reDinamikusan állíthatjuk be (a sémában) a tiltott attribútumokatCsak WS08 erdő működési szinten!
RODC – új szolgáltatásokRead-Only DNS
A DNS kiszolgáló telepíthető és használható a RODC-n
De a közvetlen dinamikus frissítés tiltottA RODC alapesetben csak a ForestDNSZones és DomainDNSZones rekordjait replikálja
Azonban, a RODC képes továbbítani a DNS írási kéréseketÍgy egy írható DNS-en keresztül visszareplikálódik a megfelelő DNS partícióba a rekord tartalma
{ RODC delegált telepítés }demó
Előzetes lépések – központ:- Komplett, írható WS08 DC felállítása- Működési szint „belövése”, séma frissítés a RODC miatt- RODC admin fiók létrehozása
- { Esetleg az IFM média elkészítése }
Előzetes lépések – telephely:- Szűz WS08 telepítése, IP és DNS beállítás
{ RODC a Server Core-on }demó
Előzetes lépések- Komplett, írható WS08 DC felállítása- Működési szint „belövése”, séma frissítés a RODC miatt- RODC admin fiók létrehozása
- Server Core telepítés és aktiválás (kb. 20 perc )- Server Core admin jelszó, gépnév, IP és DNS beállítás- RDP és tűzfal engedélyezés
{ Kezdés 13:40-kor }