windows server 2008 { server core + rodc }
DESCRIPTION
Windows Server 2008 { Server Core + RODC }. Gál Tamás [email protected] Szakmai vezető - Windows Server 2008 Microsoft Magyarország. Server Core { Windows without Windows }. Server Core - érvek. Teljesen új elképzelés Minimum környezet – „sallangok” nélkül, viszont kompromisszumokkal - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/1.jpg)
![Page 2: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/2.jpg)
![Page 3: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/3.jpg)
![Page 4: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/4.jpg)
Teljesen új elképzelésTeljesen új elképzelésMinimum környezet – „sallangok” nélkül, viszont Minimum környezet – „sallangok” nélkül, viszont kompromisszumokkalkompromisszumokkal
Kifejezetten bizonyos szerepkörök ellátásáraKifejezetten bizonyos szerepkörök ellátására
Nem külön verzió, hanem egy Nem külön verzió, hanem egy {{ telepítési opció telepítési opció }}
Minden telepítő média tartalmazzaMinden telepítő média tartalmazza
Stabil működésStabil működésCsak a legszükségesebb szerepkörök és Csak a legszükségesebb szerepkörök és képességekképességek
Példa: kevesebb rendszerszolgáltatás (40 / 75)Példa: kevesebb rendszerszolgáltatás (40 / 75)
![Page 5: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/5.jpg)
Minimalizált szoftveres környezetMinimalizált szoftveres környezetNem alkalmazásplatform (főleg nem kliens)Nem alkalmazásplatform (főleg nem kliens)
Viszont: szervizcsomagok, javítások, felügyeleti Viszont: szervizcsomagok, javítások, felügyeleti kliensek és segédprogramokkliensek és segédprogramok
Kevesebb üzemeltetési feladat Kevesebb üzemeltetési feladat „„El van a sarokban, El van a sarokban, { { nem kér enni nem kér enni }}””
Kisebb támadási felület > biztonságosabb Kisebb támadási felület > biztonságosabb működésműködés
A Windows 2000 Server-hez képest kb. 60% A Windows 2000 Server-hez képest kb. 60% kevesebb javítás (WS03 esetén kb. 40%-kal)kevesebb javítás (WS03 esetén kb. 40%-kal)
![Page 6: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/6.jpg)
Standard, Enterprise és DataCenter változatStandard, Enterprise és DataCenter változatx86x86 / / x64 x64 az összes az összes WS08WS08 változat esetén változat eseténLényegesen kisebb erőforrás igényLényegesen kisebb erőforrás igény
CPU: legalább 1 GHz az ajánlottCPU: legalább 1 GHz az ajánlottRAM: a telepítés miatt 512 MBRAM: a telepítés miatt 512 MBHDD: 1,5 GB (8 GB az ajánlott, hosszú távra)HDD: 1,5 GB (8 GB az ajánlott, hosszú távra)
Telepítés Telepítés Frissítés korábbi verziókról > nem lehetségesFrissítés korábbi verziókról > nem lehetségesFrissítés egy teljes WS08 változatról vagy Frissítés egy teljes WS08 változatról vagy változatra > nem lehetségesváltozatra > nem lehetségesEgyetlen frissítési útvonal lesz: Egyetlen frissítési útvonal lesz: { { Server Core R2Server Core R2 }}
![Page 7: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/7.jpg)
GUI (majdnem teljesen)GUI (majdnem teljesen)Kivétel: CMD.exe, Notepad.exe, Regedit.exe, Kivétel: CMD.exe, Notepad.exe, Regedit.exe, MSInfo32.exe, Taskmgr.exe, MSIExec.exe, MSInfo32.exe, Taskmgr.exe, MSIExec.exe, MSDT.exeMSDT.exe
Explorer shellExplorer shell
.NET Framework.NET Framework
MMC konzolokMMC konzolok
Control Panel - Control Panel - kivétel: intl.cpl és timedate.cplkivétel: intl.cpl és timedate.cpl
IE, IE, OE, OE, Media Player, Themes, Windows Media Player, Themes, Windows Mail, Paint, Search, GUI Help,Mail, Paint, Search, GUI Help, stb. stb.
![Page 8: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/8.jpg)
SzerepkörökSzerepkörökADDS, AD LDSADDS, AD LDS
DHCP, DNS szerverDHCP, DNS szerver
File ServicesFile Services
Streaming Media Streaming Media ServicesServices
Print ServicesPrint Services
Web Server (IIS)Web Server (IIS)
Hyper-VHyper-V
KépességekKépességekBitLockerBitLocker
Failover ClusteringFailover Clustering
Multipath I/OMultipath I/O
Removable StorageRemovable Storage
SNMP ServicesSNMP Services
SUASUA
WS BackupWS Backup
WINSWINS
QoSQoS
![Page 9: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/9.jpg)
Initial Configuration Tasks, Server Initial Configuration Tasks, Server Manager, Servemanagercmd.exe Manager, Servemanagercmd.exe nincsnincs
OCList.exeOCList.exeSzerepkörök és képességek állapotának Szerepkörök és képességek állapotának megtekintésemegtekintése
OCSetup.exeOCSetup.exeTelepítés / eltávolítás (csomagnevekkel)Telepítés / eltávolítás (csomagnevekkel)
Pgkmgr.exePgkmgr.exeTelepítési összetevők finomhangolása (pl. IIS7)Telepítési összetevők finomhangolása (pl. IIS7)
![Page 10: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/10.jpg)
.Net Fx, Shell, etc.
Windows Server 2008 Installation
Server Roles (Full only)
TSAD LDS File Etc.SharePoint
NPSFaxDNS DHCP AD
VirtMedia Server
WVSIIS 7Print
Server Core Roles (Full also)
Core OS Elements
Security, Networking, RPC, etc.
Kernel, HAL, etc.
Hardware Dependencies
Server Core Installation Full Installation
Hardware
Disk, NIC, etc.
Core OS Elements (Full only)
![Page 11: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/11.jpg)
A kernel ugyanaz mint a teljes WS08-nálA kernel ugyanaz mint a teljes WS08-nál
Ha egy bináris fájl megtalálható a Server Ha egy bináris fájl megtalálható a Server Core változatnál, az is ugyanazCore változatnál, az is ugyanaz
Ha egy konfigurációs beállítás Ha egy konfigurációs beállítás alkalmazható mindkettőnél akkor sincs alkalmazható mindkettőnél akkor sincs különbség a megvalósításbankülönbség a megvalósításban
pl. egy szolgáltatás startja, vagy egy tűzfal pl. egy szolgáltatás startja, vagy egy tűzfal szabályszabály
Speciális Server Core Speciális Server Core rendszerszolgáltatás nincsrendszerszolgáltatás nincs
![Page 12: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/12.jpg)
MinimMinimálisális in-box in-box eszközmeghajtóeszközmeghajtóStorageStorage, hálózati kártya, standard VGA, , hálózati kártya, standard VGA, nyomtató driver viszont egy sincs!nyomtató driver viszont egy sincs!
A PA Plug and Play lug and Play alrendszer viszont igenalrendszer viszont igen
Eszközmeghajtó telepítése: pnputil.exeEszközmeghajtó telepítése: pnputil.exe
Aláírás szükséges? > Group PolicyAláírás szükséges? > Group Policy
Alkalmazás kompatibilitás vizsgálat és Alkalmazás kompatibilitás vizsgálat és tesztelés ajánlotttesztelés ajánlott
UAC nincsUAC nincs
![Page 13: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/13.jpg)
Az alapértelmezett Az alapértelmezett felhasználói felület: felhasználói felület: a parancssora parancssor
Viszont Viszont használhatjuk a használhatjuk a Feladatkezelőt pl. a Feladatkezelőt pl. a be- és kilépésre, be- és kilépésre, illetve a cmdilletve a cmd.exe .exe indítására is.indítására is.
Példa a konfigurálásraA háttérszín változtatáshoz:HKEY_CURRENT_USER\Control Panel\Colors Value: BackgroundDefault Data Value: 29 95 122 (RGB value)
![Page 14: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/14.jpg)
![Page 15: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/15.jpg)
Cmd.exe (parancssori eszközök)Cmd.exe (parancssori eszközök)
SCRegedit.wsf (SC Registry Editor)SCRegedit.wsf (SC Registry Editor)AU kliens engedélyezéseAU kliens engedélyezése
Remote DesktopRemote Desktop engedélyezése engedélyezése
DNS SRV reDNS SRV rekkord ord súlyozás és prioritás beállítássúlyozás és prioritás beállítás
IPSec MonitorIPSec Monitor engedélyezése engedélyezése
+ egyebek is, nézzük meg a Notepad-del+ egyebek is, nézzük meg a Notepad-del
Csak a Server Core-on elérhetőCsak a Server Core-on elérhető
![Page 16: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/16.jpg)
Remote DesktopRemote DesktopA régi és az új RD klienseket eltérő módon lehet A régi és az új RD klienseket eltérő módon lehet engedélyezni > SCRegedit.wsfengedélyezni > SCRegedit.wsf
TS: Server Core CMD.exe > TS RemoteAppTS: Server Core CMD.exe > TS RemoteApp
MMC konzolokMMC konzolokTeljes mellszélességgel (pl. RSAT)Teljes mellszélességgel (pl. RSAT)
Ha nincs tartományban > tűzfal konfigurálásHa nincs tartományban > tűzfal konfigurálás
Group PolicyGroup PolicyTeljes mértékben alkalmas kliensnekTeljes mértékben alkalmas kliensnek
Akár WMI filterekkel elválasztva is kezelhetjükAkár WMI filterekkel elválasztva is kezelhetjük
![Page 17: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/17.jpg)
Windows Remote Management (WinRM)Windows Remote Management (WinRM)Teljeskörű távoli felügyelet – parancssorbólTeljeskörű távoli felügyelet – parancssorból
Biztonságos, tűzfalbarát (pl. Kerberos és https)Biztonságos, tűzfalbarát (pl. Kerberos és https)
A kliens (WinRS) a Vistában gyárilag benne vanA kliens (WinRS) a Vistában gyárilag benne vanWinRM 1.1 telepíthető XP / WS03-reWinRM 1.1 telepíthető XP / WS03-re
winrm quickconfig – a listener létrehozásawinrm quickconfig – a listener létrehozása
PowerShell és a WMI szkriptekPowerShell és a WMI szkriptekA Powershell nem telepíthető lokálisanA Powershell nem telepíthető lokálisan
De WMI-n keresztül használható távolbólDe WMI-n keresztül használható távolból
Standard WMI szkriptek viszont működnekStandard WMI szkriptek viszont működnek
![Page 18: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/18.jpg)
Branch Office
![Page 19: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/19.jpg)
A RA RODC egy új tartományvezérlő típusODC egy új tartományvezérlő típusÚgyanúgy tartalmazza a címtár egy példányát Úgyanúgy tartalmazza a címtár egy példányát mint a többi DC (a fiók jelszavakat persze nem)mint a többi DC (a fiók jelszavakat persze nem)
Csak éppen ez a példány írásvédett Csak éppen ez a példány írásvédett Sem a kliensek, sem az alkalmazások nem Sem a kliensek, sem az alkalmazások nem írhatnak (közvetlenül) a RODC írhatnak (közvetlenül) a RODC címtárpéldányábacímtárpéldányába
Az írás kéréseket a legközelebbi írható DC Az írás kéréseket a legközelebbi írható DC kezeli lekezeli le
Olvasni viszont gond nélkül lehetOlvasni viszont gond nélkül lehet
![Page 20: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/20.jpg)
Kifejezetten telephelyekenKifejezetten telephelyekenAhol a WAN kapcsolat miatt lassú a DC elérésAhol a WAN kapcsolat miatt lassú a DC elérés
Ahol a WAN kapcsolat hiányában is kell DCAhol a WAN kapcsolat hiányában is kell DCAhol ugyanezek miatt GC-re is szükség vanAhol ugyanezek miatt GC-re is szükség van
Ahol a kiszolgálón szükség van helyi Admin fiókra, Ahol a kiszolgálón szükség van helyi Admin fiókra, de nincs szükség (sőt!) a címtár jogosultságokrade nincs szükség (sőt!) a címtár jogosultságokra
Ahol nincs kvalifikált szakemberAhol nincs kvalifikált szakember
Ahol nem garantálható a fizikai biztonságAhol nem garantálható a fizikai biztonság
Ahol akár egy külső cégnek is be kell lépni az Ahol akár egy külső cégnek is be kell lépni az egyetlen kiszolgálón (ami persze DC is egyben)egyetlen kiszolgálón (ami persze DC is egyben)
![Page 21: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/21.jpg)
Az erdő és a tartomány működési szintje: Az erdő és a tartomány működési szintje: Windows Server 2003 Windows Server 2003 vagy magasabbvagy magasabb
adprep /rodcprep adprep /rodcprep a Sa Schema masterchema master DC-n DC-nA DNS partíciók replikálásához szükségesA DNS partíciók replikálásához szükséges
Legalább egy írható WS08 DC-nek lennie Legalább egy írható WS08 DC-nek lennie kell az adott tartománybankell az adott tartományban
Ez lesz a Ez lesz a RODC repliRODC replikációs kációs partnerpartneree
A Server Core is lehet RODC, sőt…A Server Core is lehet RODC, sőt…
![Page 22: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/22.jpg)
![Page 23: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/23.jpg)
Password Replication PolicyPassword Replication PolicyAz alapértelmezettől eltérően adott csoportoknak Az alapértelmezettől eltérően adott csoportoknak vagy fiókoknak lekerülhet a jelszava a RODC-revagy fiókoknak lekerülhet a jelszava a RODC-re
Ezzel a belépés megoldható lesz a WAN Ezzel a belépés megoldható lesz a WAN kapcsolat hiányában iskapcsolat hiányában is
Nem a RODC-n állítjuk be, hanem egy központi Nem a RODC-n állítjuk be, hanem egy központi WS08 DC-nWS08 DC-n
„„AllowedAllowed” és „Denied” ” és „Denied” RODC Password RODC Password Replication GroupReplication Group
A stratégia eldöntése szép feladat A stratégia eldöntése szép feladat
![Page 24: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/24.jpg)
Helyi Admin fiók a RODC-nHelyi Admin fiók a RODC-nBármely tartományi fiók vagy csoport delegálható Bármely tartományi fiók vagy csoport delegálható helyi Adminként helyi Adminként
Ergo nem kell a Domain Admins csoporttagságErgo nem kell a Domain Admins csoporttagság
Mindent megtehet ami egy helyi admin általábanMindent megtehet ami egy helyi admin általában
De a címtárhoz egyáltalán nem fér hozzáDe a címtárhoz egyáltalán nem fér hozzá
Hatókör: csak az adott RODC!Hatókör: csak az adott RODC!
„„Unidirectional” v. one-way replikációUnidirectional” v. one-way replikációA replikáció egyirányú, azaz csak „lefelé”A replikáció egyirányú, azaz csak „lefelé”
Ez a tulajdonság a Ez a tulajdonság a SYSVOL SYSVOL replikációra is igaz replikációra is igaz (akkor is, ha (akkor is, ha DFSDFS--RR a típus a típus))
![Page 25: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/25.jpg)
Filtered Attribute SetFiltered Attribute SetNem muszáj minden Nem muszáj minden objektum minden objektum minden attribútumát replikálni attribútumát replikálni a RODC-rea RODC-re
Dinamikusan Dinamikusan állíthatjuk be (a állíthatjuk be (a sémában) a tiltott sémában) a tiltott attribútumokatattribútumokat
Csak WS08 erdő Csak WS08 erdő működési szinten!működési szinten!
![Page 26: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/26.jpg)
Read-Only DNSRead-Only DNSA DNS kiszolgáló telepíthető és használható a A DNS kiszolgáló telepíthető és használható a RODC-nRODC-n
De a közvetlen dinamikus frissítés tiltottDe a közvetlen dinamikus frissítés tiltott
A A RODC RODC alapesetben csak a alapesetben csak a ForestDNSZones ForestDNSZones és és DomainDNSZonesDomainDNSZones rekordjait replikálja rekordjait replikálja
Azonban, a RODC képes továbbítani a DNS írási Azonban, a RODC képes továbbítani a DNS írási kéréseketkéréseket
Így egy írható DNS-en keresztül visszareplikálódik a Így egy írható DNS-en keresztül visszareplikálódik a megfelelő DNS partícióba a rekord tartalmamegfelelő DNS partícióba a rekord tartalma
![Page 27: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/27.jpg)
Előzetes lépések – központ:- Komplett, írható WS08 DC felállítása- Működési szint „belövése”, séma frissítés a RODC miatt- RODC admin fiók létrehozása
- { Esetleg az IFM média elkészítése }
Előzetes lépések – telephely:- Szűz WS08 telepítése, IP és DNS beállítás
![Page 28: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/28.jpg)
Előzetes lépések- Komplett, írható WS08 DC felállítása- Működési szint „belövése”, séma frissítés a RODC miatt- RODC admin fiók létrehozása
- Server Core telepítés és aktiválás (kb. 20 perc )- Server Core admin jelszó, gépnév, IP és DNS beállítás- RDP és tűzfal engedélyezés
![Page 29: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/29.jpg)
![Page 30: Windows Server 2008 { Server Core + RODC }](https://reader036.vdocuments.mx/reader036/viewer/2022062305/56814dd6550346895dbb3de6/html5/thumbnails/30.jpg)
{{ Kezdés 13:40-Kezdés 13:40-kor kor }}