Professional Documents
Culture Documents
Modern Munkakornyezet Epitese - Windows Server 2012
Modern Munkakornyezet Epitese - Windows Server 2012
megbzsbl
ISBN: 978-615-5012-20-4
Raktri szm: JO-0343
Tartalom
1
BEVEZET ....................................................................................................................... 9
1.1
2.2
VIRTUALIZCI .......................................................................................................................... 14
2.3
2.4
2.5
2.6
TELEPTS ................................................................................................................................. 18
3.2
KISZOLGLKEZEL ......................................................................................................... 27
4.1
TELEPTS ................................................................................................................................. 28
4.2
4.3
ADATTROLS ............................................................................................................... 35
5.1
5.2
5.3
5.4
5.5
5.6
FJLSZOLGLTATSOK ...................................................................................................... 41
6.1
7.2
7.3
7.4
7.5
7.6
7.7
7.8
7.9
DNS BELLTSA........................................................................................................................ 60
7.10
7.11
7.12
7.13
7.14
UTMUNKLATOK ..................................................................................................................... 69
7.15
7.16
7.17
7.18
7.19
JELSZ MENEDZSMENT................................................................................................................ 74
7.20
VIRTUALIZCI ............................................................................................................... 77
8.1
ALAPOK .................................................................................................................................... 77
8.2
8.3
8.4
8.5
MEGJELENTS VIRTUALIZCI...................................................................................................... 78
HYPER-V ...................................................................................................................... 81
9.2
9.3
9.4
VIRTULIS GP ZEMELTETSE...................................................................................................... 92
10
10.1
10.2
10.3
10.4
11
CSOPORTHZIREND ...................................................................................................... 99
TVELRS ................................................................................................................107
11.1
DIRECTACCESS......................................................................................................................... 107
11.2
12
12.1
12.2
12.3
12.4
12.5
13
TVTELEPTS ............................................................................................................127
14
14.1
15
15.2
15.3
RD GATEWAY.......................................................................................................................... 154
16
VDI ........................................................................................................................159
17
17.1
17.2
18
18.1
18.2
18.3
19
19.1
19.2
19.3
19.4
20
21
21.1
21.2
21.3
21.4
21.5
21.6
21.7
21.8
21.9
21.10
21.11
21.12
21.13
21.14
Bevezet
1.1
Napjaink informatikai infrastruktrja talakulban van a tradicionlisan zemeltetett hlzatokrl a felh alap szolgltatsokra.
A tradicionlis zemetetsi rendszerben klnll szmtgpek futnak, magas zemeltetsi
kltsggel s alacsony kihasznltsggal, ltalban magas rendelkezsre llsi rendszerek nlkl, hiszen az ilyen rendszer kiptse tovbbi kltsgekkel jr. A rendszer igny szerinti mretezhetsge szintn bonyolult, a szolgltats bvtse rendszerint tovbbi kiszolglk zembe helyezsvel valsul meg.
Egy kis- s kzpvllalat nem mindig engedheti meg magnak, hogy tovbbi anyagi forrsok
segtsgvel garantlja a klnbz rendszerek rendelkezsre llst s itt a jl felkszlt
zemelteti szakemberekkel mg nem is szmoltunk. Azokrl a szakemberekrl, akik bevezetik, s ksbb pedig zemeltetik ezeket a rendszereket.
Amikor felh alap szolgltatsokrl beszlnk, az emberek nagy rsze valami megfoghatatlan, rtelmezhetetlen dologra gondol, pedig semmi ms, mint a meglv szolgltatsok megfelel kombincija egy egysges, komplex rendszer kialaktsra. Beszlhetnk nyilvnos
felhrl, ahol a kiszolglkat, szolgltatsokat egy kls cgnl akr a Microsoftnl futtatjuk, illetve a felh-szolgltat tbb gyflnek szolgltat infrastruktra, platform, vagy szolgltats-csomagokat, s beszlhetnk privt felhrl, amikor mi magunk hozzuk ltre a megfelel infrastruktrt a sajt alkalmazsaink futtatshoz.
A publikus felh elnye, hogy nem kell bonyolult infrastruktrt kipteni, st, bizonyos esetekben semmifle infrastruktrra nincs szksgnk. A szmunkra szksges szolgltatsokat
pl. levelezs, csoportmunka, vllalatirnyts breljk a klnbz szolgltatktl.
A privt felh abban az esetben lehet elnys, ha van megfelel infrastruktrnk hardver s
szoftver a rendszer kiptshez, vagy a cges bels informcikat nem szeretnnk a felhben trolni, vagy nincs megfelel gyors s stabil svszlessgnk a publikus felh hasznlathoz. Az infrastruktra nagyjbl ugyanaz, a klnbsg csupn annyi, hogy a publikus felht
klnbz cgek, mint elfizetst hasznljk, a privt felht pedig a sajt szolgltatsaink
futtatsra hasznljuk.
1.1.1
Hibrid felh
Bizonyos esetekben szksgnk lehet arra, hogy adataink s szolgltatsaink egy rsze a bels
infrastruktrn mkdjn tovbb, bizonyos rszt pedig migrljuk a felhbe. Az ilyen hibrid
rendszereknl szksgnk lesz a belltsok cmtr, felhasznlk, levelezsi belltsok
folyamatos szinkronizlsra. Az Office 365-ben lv Exchange j pldja a hibrid rendszernek, hiszen a felhasznlk egy rsze a helyi hlzaton lv levelezst hasznlja, msik rszk
a felhben lv Exchange Servert. A kt rendszer kapcsolatban van egymssal, de egysges
egszknt tekinthetnk rjuk.
Szolgltatsok a felhben
10
1.1.2
A Microsoft felh
A Microsoft rgta futtat klnbz felh alap szolgltatsokat, mint a Windows Live Messenger 500 milli felhasznlval, BPOS s CRM online szolgltatsok 40 milli elfizetvel,
vagy akr a Windows Update szolgltatsok, ahonnan havonta tbb mint 1 petabjt frisstst
tltenek le a vilg tbb szzmilli szmtgpre. Magyarorszgon is rgta elrhet az iskolk szmra a Microsoft Live@Edu szolgltats, ahol az Exchange Online szolgltatst hasznlhatjk ingyenesen, de az Office 365 felhasznlsa is rohamosan terjed a kis-s kzpvllalati szektorban.
11
12
Verzik, jdonsgok
Az j opercis rendszer szmos jdonsgot s jelents klnbsget is jelent a Windows Server 2008 R2-hz kpest. Frissts illetve a telepts eltt ki kell vlasztanunk azt a kiadst,
amely alkalmazsok ignyeit illetve rendelkezsre llsi, virtualizcis szndkainkat tkletesen lefedik. Emellett figyelembe kell vennnk a felhasznli ltszmot, amely csatlakozni
fog a kiszolglhoz.
A Windows Server 2012 kvetkez kiadsokban rhet el:
Verzi
Ajnlott
Funkcik
Licenc
Datacenter
Magas
rendelkezsrells
privt
s
hibrid
virtualizcis
krnyezetbe
Standard
Essentials
Kisvllalkozsok
szmra.
Foundation
Datacenter
$4.809
Standard
$882
Essentials
$425
Foundation
csak OEM-knt
13
2.1
2.2
Virtualizci
14
2.3
A Remote Desktop Services s Rights Management Service licencek tovbbra is vltozatlanok, azaz az opercis rendszer licencn kvl tovbbi RDS s AD RMS CAL-t kell vsrolnunk.
2.4
A Windows Small Business Edition vltozat megsznik, ehelyett ajnljk a Windows Server
Essentials-t, a felh alap szolgltatsokkal kiegsztve (e-mail, csoportmunka tmogats,
online mentsi szolgltats stb.)
2.5
Frisstsi jogok
2.6
Downgrade jogok
Ha esetleg mgis gy dntnk, hogy visszallunk Windows Server 2008 R2 opercis rendszerre (pl. alkalmazs kompatibilitsi szempontbl), ezt is megtehetjk. Egy Windows Server
2012 Standard verzirl lefokozhatjuk a kiszolglnkat egy Windows Server 2008 R2 Standard-ra vagy egy Enterpise-ra, egy Windows Server 2012 Datacenter-rl brmelyik Windows
Server 2008 R2 verzira.
15
16
Ebben a fejezetben megnzzk a Windows Server 2012 teleptshez szksges hardver feltteleket, a teleptsi mdokat, s a grafikus verzi teleptst.
Fizikai vagy virtulis gp
Els lpsben el kell dntennk, hogy j szervernket fizikai vagy virtulis gpre szeretnnk
telepteni. Ehhez a dntshez fontos tudnunk, hogy a kiszolgl milyen feladatokat fog elltni,
mert bizonyos funkcik nem telepthetk virtulis krnyezetbe.
Virtulis gpet rdemes teleptennk, ha:
A futtatand szerepkr nem ignyli egy teljes rtk szmtgp teljestmnyt
Fontos a magas rendelkezsre lls
Knnyen sklzhat rendszert szeretnnk (pl. memria-, processzorbvts)
Fizikai gpet rdemes teleptennk, ha:
A gpnek nagyobb erforrsra van szksge
Kzvetlen hozzfrssel kell rendelkeznie bizonyos hardver erforrsokhoz
A rajta fut szolgltats nem tmogatja a virtualizcit
Ebbe az utols rszbe tartozott rgen az Active Directory is, de a Windows Server 2012-ben
mr telepthetnk tartomnyvezrlt virtulis gpre is.
Fontos tgondolni a licencelsi krdst is, hiszen a Windows Server 2012 Standard verzi
licence egy fizikai s kt virtulis gp hasznlatra jogost, teht ugyanazon a vason egyszerre
hrom pldnyban futtathatunk Windows Servert, s telepthetnk klnbz szolgltatsokat
a gpekre.
Hardver felttelek:
A Windows Server 2012 teleptshez a kvetkez minimlis hardver-feltteleknek kell megfelelnie a szervernknek:
64 bites CPU
Processzor sebessg: 1.4 gigahertz
512 megabyte RAM
32 GB lemezterlet, ha a szerverben nincs tbb, mint 16 GB RAM
A telepts forrsa lehet DVD lemez, USB pendrive, hlzati megoszts vagy kzponti teleptsi kiszolgl (WDS), System Center hasznlata esetn pedig hasznlhatunk SCCM Zero
Touch teleptst, vagy System Center Virtual Machine Manager (SCVMM) krnyezetben
Virtulis gp sablonokat is.
17
Amennyiben DVD-rl teleptjk az opercis rendszert, a gpben kell, hogy legyen DVD
olvas, ez virtulis krnyezetben tovbbi konfigurlst ignyel. A telept DVD-re nincs lehetsgnk frisstseket elhelyezni, s egyszerre csak egy gpre telepthetnk vele.
Az USB alap telepts jelentsen gyorsabb, s Windows frisstseket, drivereket is el tudunk
helyezni a teleptsi mdiumon. A szmtgpek jelents rsze kpes USB-rl bootolni. Az
USB eszkzn elre elksztett vlaszfjlt is elhelyezhetnk, ezzel automatizlhatjuk a teleptst. Elksztshez szksgnk lesz a Windows USB DVD Download Tool-ra mely kicsomagolja az ISO vagy DVD tartalmt az USB eszkzre. A program letlthet a Microsoft
Store-bl:
http://www.microsoftstore.com/store/msstore/html/pbPage.Help_Win7_usbdvd_dwnTool
Virtulis krnyezetben legegyszerbben ISO fjlbl tudunk telepteni, amennyiben a
virtualizcis hoszton elrhet a telept ISO fjl.
A Windows Deployment Services alap teleptsnl a szmtgp hlzatrl indul PXE protokoll segtsgvel, ilyenkor nincs szksgnk kln DVD lemezre vagy USB eszkzre, s
akr egyszerre tbb gpre is telepthetnk opercis rendszert.
Teleptsi opcik
Az opercis rendszer teleptsekor a kvetkez mdszerek kzl vlaszthatunk
3.1
Telepts
18
19
IP cm(ek) megadsa
Szmtgpnv
Csatlakozs tartomnyhoz
Idzna belltsa
Automatikus frisstsek engedlyezse
Szerepkrk s szolgltatsok teleptse
Tvoli asztal engedlyezse
Windows Tzfal belltsa
Nem elhanyagolhat, hogy itt tudjuk kikapcsolni az internet Explorer Fokozott Biztonsgi
Funkciit (IE ESC) a rendszergazdk s a felhasznlk szmra, kizrlag ezen a gpen.
IP cm belltsa
Itt adhatjuk meg a klnbz hlzati krtyink nevt (pl. LAN, DMZ, stb.), az IPv4-es IP
cmket, tjrt s DNS kiszolglt. Ha a gpet szeretnnk AD tartomnyba lptetni, az elsdleges DNS kiszolglnak mindenkppen valamelyik tartomnyvezrlt rdemes belltani.
Az IPv4 cm megadsa trtnhet parancssorbl is:
Netsh interface ipv4 set address Local Area Connection static 10.1.1.1
255.0.0.0
NIC Teaming
jdonsgknt jelenik meg a Windows Server 2012-ben a NIC Teaming, ami segtsgvel tbb
hlzati krtyt tudunk sszefzni, ezzel nagyobb svszlessget s rendelkezsre llst tudunk elrni. A NIC Teaming hasznlathoz nem ktelez ugyanattl a gyrttl szrmaz
hlzati krtykat hasznlnunk, de csak azonos sebessg krtykat hasznlhatunk. Amennyiben az egyik hlzati krtya elromlik, vagy megsznik a kapcsolata, a tbbi krtyn tovbb
folyik az adattvitel. Ez a funkci klnsen hasznos, ha iSCSI rendszerrel dolgozunk, vagy
ha tbb virtulis gpek futtatunk, s szeretnnk nagyobb svszlessget hasznlni.
20
Remote Management
Itt engedlyezhetjk a kiszolgl tvoli kezelst Kiszolglkezelbl, WMI vagy
PowerShell segtsgvel. Ha engedlyezzk, a kliens gpnkre teleptett Remote Server
Administration Toolkit (RSAT) segtsgvel kzponti helyrl kezelhetjk az sszes kiszolglnkat, vagy akr kiszolglcsoportokat hozhatunk ltre a knnyebb kezelshez.
Server Core
A grafikus fellet nlkli verziban, a telepts utni els lpseket az sconfig.cmd program
segtsgvel tudjuk elvgezni. A Server Core-ral a 22. fejezetben foglalkozunk rszletesebben.
GYAKORLATI FELADATSOR
1) Az n ltal hasznlt virtulis krnyezetben hozzon ltre egy j virtulis gpet DC1 nven.
2) Hardver paramterek: 1 CPU, 1GB RAM, 60GB HDD, 2 hlzati krtya
21
3.2
A Windows Server 2012-ben, csakgy, mint a Windows Server 2008-ban, a kiszolgl a telepts utn fleg biztonsgi okokbl - semmilyen funkcit nem lt el. Az opercis rendszer
teleptse utn a kezdeti konfigurcis varzslval tudjuk testre szabni a kiszolglnkat, gpnevet, IP-cmet s tartomny tagsgot lltani. A kezdeti belltsok utn pedig klnbz
funkcikat telepthetnk, melyeket alapveten kt rszre oszthatunk:
Szerepkrk
Olyan funkcik gyjtemnye, ami hlzati szolgltatst nyjt a felhasznlk s szmtgpek szmra. pl. fjlkiszolgl, tartomnyi szolgltatsok, stb.
A szerepkrk rendszerint tovbbi rsz-szerepkrket tartalmazhatnak.
A Kiszolglkezel feltelepti a szerepkrhz szksges tovbbi funkcikat is.
A 2012-es Kiszolglkezelvel egyszerre tbb kiszolglt is kezelhetnk, szerepkrnknt csoportostva.
A szolgltatsokhoz szksges tzfal-szablyok automatikusan ltrejnnek azok teleptsekor.
Akr PowerShellbl is telepthetnk az Add-WindowsFeatures parancs segtsgvel.
Ez klnsen hasznos, ha Server Core verzin dolgozunk.
Szerepkr
Funkci
Active
Directory Tanstvnyok ltrehozsra, kezelsre hasznlhat.
Certificate Services
(AD CS)
22
AD DS
AD FS
Active
Directory
Lightweight
Directory Services
(AD LDS)
Active
Directory RMS hzirendek segtsgvel vdhetjk a hlzaton lv dokumentuRights Management mainkat, szablyozhatjuk, kinek milyen hozzfrse legyen. (pl toServices (AD RMS) vbbklds, nyomtats, szerkeszts)
Application Server
DHCP Server
DNS Server
Fax Server
File and
Services
Hyper-V
Remote
23
Services (RDS)
Volume Activation jdonsg a Windows Server 2012-ben, a mennyisgi licenc kulcsok
Services
kzponti kezelsre s aktivlsra szolgl. Segtsgvel a VLK kulcsos szmtgpeket AD alapokon, automatikusan aktivlhatjuk
domain tagsg alapjn.
Web Server (IIS)
Windows DS
Windows
Update
(WSUS)
Szolgltatsok
A szolgltatsok kiegszt funkcikat ltnak el a Windows Serveren, s ltalban nem nyjtanak hlzati szolgltatst a kliensek fel. Ilyen pldul a feladatfrt-tvevszolgltats, vagy
a Windows Biztonsgi Ments. A szerepkrk fggsgei kztt szerepelhetnek bizonyos
szolgltatsok, amelyeket a kiszolglkezel automatikusan feltelept.
Nhny szolgltatst kiemeltnk, a teljessg ignye nlkl:
Szolgltats
Lers
Background Intelligent Httrben fut aszinkron letlts, akr Windows frisstsek letltTransfer Service (BITS) sre, akr BranchCache hasznlatra. Ha a felhasznl ppen hasznlja a hlzatot, a BITS szolgltats lelltja a httrbeli letltst
Windows
BitLocker Teljes lemez vagy ktet titkostsa
Drive Encryption
BitLocker
unlock
network Segtsgvel a BitLockerrel titkostott lemezeket tudjuk visszafejteni a tartomnyi gpeken, AD-ban trolt informcik segtsgvel.
24
User Interfaces
Infrastructure
Windows
Database
and Grafikus felhasznli fellet, a 2012-ben mr kikapcsolhat kpessg, gy menet kzben tudunk vltani GUI s core opercis rendszer kztt.
25
26
Kiszolglkezel
A Server Manager (Kiszolglkezel) szerepet tlthet be a kis- s kzpvllalatoknl, nagyobb szervezeteknl a Microsoft a System Center csaldot ajnlja.
A Windows Server 2008 s a Windows 2008 R2-ben megjelent Server Managert a Microsoft
teljesen jrarta s szmos zemelteti tevkenysget segt jdonsggal egsztette ki.
Az elz Windows Server verziknl tbbnyire a loklis szerveren lv Server Managert
hasznltuk, tvoli kiszolglknl krlmnyes volt csatlakoztats, amely azt jelentette, hogy
engedlyezni kellett a tvoli kiszolglnl a Server Managert, majd ezutn tudtunk kapcsoldni a szerverhez. Ezen kvl egy idben csak egy gpre tudtunk csatlakozni.
A Windows Server 2012-nl jval knnyebb dolgunk van. A Server Managerrel egyszerre
tbb kiszolglhoz csatlakozhatunk, a kiszolglkat csoportokba szervezhetjk s a tvoli
Windows Server 2012-es szervereknl mr alaprtelmezetten be van kapcsolva a tvoli kapcsolds lehetsge. Lehetsgnk van arra is, hogy egy szerveren hasznlva az sszes ltalunk zemeltetett Windows Server opercis rendszer gpet menedzseljk, de arra is, hogy a
Windows 8 munkallomsunkon a Remote Server Administation Tools-t teleptve kezeljk a
szerverparkunkat, mivel az j RSAT is tartalmazza a Server Managert.
Letlthet itt: http://www.microsoft.com/en-us/download/details.aspx?id=28972
Az j Server Manager-rel a kvetkez opercis rendszerekkel elltott gpekre csatlakozhatunk:
27
Opercis rendszer
Funkcionalits
Teljes
Teljes, de szerepkrket s
szolgltatsokat nem telepthetnk
Teljes, de szerepkrket s
szolgltatsokat nem telepthetnk
4.1
Telepts
28
A parancs belltja a WinRM-et tvoli elrsre s a hozz szksges porthoz felvesz egy tzfalszablyt.
A Windows Server 2003 R2 kiszolglkra nem szksges egyb komponenst telepteni, viszont itt ersen korltozott zemeltetsi lehetsgeink vannak.
4.2
A Windows Server 2012-be val belps utn automatikusan elindul a Server Manager. Tulajdonkppen ez az eszkz lesz az, amire kiszolglink felgyeletben legjobban fogunk tmaszkodni. Vgre megjelent egy olyan fellet, ahol az sszes szervernket tudjuk zemeltetni, elg egy jobb gombnyoms a kiszolgln mris elrhetv vlnak a legklnflbb zemeltetsi lehetsgek.
Ezekhez hasonl megoldsok mr rgen elrhetk voltak a nagyvllalatoknak sznt System
Center Operations Manager-ben, de most mr kisebb cgek is ignybe vehetik ezeket a funkcikat, s ehhez elg egy darab Windows Server 2012.
Legelszr fel kell vennnk a kiszolglinkat, majd ezeket csoportosthatjuk is. Ennek a csoportostsnak csupn annyi jelentsge van, hogy egy adott kiszolglt vagy kiszolglkat
knnyebben megtalljuk, ez tbb ezer szervernl mr elg hatsos lehet. De pldul ha felvesznk egy olyan gpet, amelyen van IIS (Internet Information Services), vagy a kiszolgl
tartomnyvezrl, netn DNS vagy DHCP szerepkrkkel rendelkezik, akkor arra automatikusan ltrejn egy csoport, benne a kiszolgl. Tovbbi lehetsg a kiszolgl-rzkeny
men, egy jobb klikk a gpre, s a szerver szerepkrnek megfelel parancsokat ltunk.
29
Csak annyit kell tennnk, hogy a Location-nl kijelljk a megfelel domaint (ha tbb van),
majd a Find Now-ra kattintunk. Itt megtalljuk az sszes szervernket, azokat pedig, amelyeket szeretnnk felvenni, t kell tennnk a Selected terletre.
A felvett kiszolglkat a Manage alatti Create Server Group segtsgvel csoportokba szervezhetjk, pl. opercis rendszer tpusonknt, ahogy az a kpen is ltszik.
Ha a kijellnk egy kiszolglt, akkor szmos informcit kapunk a Server Managerbl. Lthatk az esemnynaplban lv zenetek, a szolgltatsok llapota, a teljestmny adatok, a
kiszolgln lv szerepkrk s szolgltatsok.
30
Ez egy gyors ttekints az infrastruktrnk egszsgi llapotrl. Itt mr indts utn lthatjuk, ha valamelyik kiszolglnkkal valami problma van. Ezeket a csoportokat, illetve benne
lv klnbz ellenrzsi, mrsi pontokat piros sznnel jelzi a rendszer. Elg rkattintani a
krdses rszekre mris bvebb informcit kapunk.
31
32
Get-Eventlog berva a napl nevt (pl. system, application, setup), kilistzza az esemnyeket.
Clear-Eventlog berva a napl nevt (pl. system, application, setup) kitrli belle az
esemnyeket.
Limit-Eventlog Az esemnynapl mrett szablyozhatjuk ezzel.
Show-Eventlog Grafikus fellet esemnynapl, pl. Server Core-nl hasznos lehet.
A Server Managementbl elrhet PowerShell all gy is tudunk szerepkrket s szolgltatsokat telepteni, hogy a teleptend kiszolgl egy kikapcsolt virtulis gp. Ennek a kvetkez felttelei vannak:
A parancs szintaktikja:
Install-WindowsFeature -Name <feature_name> VHD <path> -ComputerName <computer_name> -Restart
Sok segtsget adhat a Windows 2012-ben megjelen j PowerShell ISE (Integrated Scripting
Engine), amely szintn telepthet a fenti mdszerrel, mint szolgltats. Tallhat benne:
4.3
Gyakorlati feladatsor
Windows Server 2008 s Windows Server 2008 R2 kiszolglinkat tegyk kpess arra, hogy
a 2012-es Server Managerbl tudjuk ket felgyelni.
1) Vlasszunk egy tetszleges 2008 vagy 2008 R2 opercis rendszerrel elltott kiszolglt.
2) Telepetsk fel a telepts fejezet ltal rszletezett frisstseket illetve konfigurljuk a
WinRM-et.
3) Vegyk fel a kiszolglt a Server Managerbe.
4) Futtassunk rajta Best Practice Analyzert.
5) Hozzunk ltre egy csoportot, nevezzk el s adjuk hozz a kiszolglt.
6) Ellenrizzk, hogy elindul-e a tvoli PowerShell.
7) Itt adjunk hozz a Telnet-Client szolgltatst.
34
Adattrols
5.1
Multiterabjtos partcik
Data deduplication
Thin provisioning
Storage Spaces
iSCSI kiszolgl szerepkr
Offloaded data transfer
Multiterabjtos partcik
Az elz Windows verzikban a tbb terrabjtos partcik kezelse meglehetsen krlmnyes volt. Ha prbltunk mr chkdsk-et futtatni egy nagyobb partcin, akkor tapasztaltuk,
hogy a folyamat akr rkig is tarthat, mikzben az adott partci nem elrhet. A tovbbfejlesztett chkdsk viszont kpes a nagyobb mret partcikat rszenknt ellenrizni, mikzben a
partci tbbi rsze on-line llapotban marad, gy elrhet a felhasznlk szmra.
5.2
Data deduplication
Az Exchange Server rgebbi verziiban ltezett egy Single Instance Storage nev szolgltats, ami az adatbzison bell kpes volt a dupliklt adatokat egyszeri fjltrolssal tcsoportostani, vagyis, ha egy e-mail tbb pldnyban szerepelt az adatbzisban, akkor egy levelet
megtartott, a tbbit trlte, helykre pedig hivatkozsokat helyezett el, amelyek az eredeti
levl helyre mutattak.
A Windows Server 2012-ben bemutatkoz Data Deduplication szolgltats hasonl feladatot
lt el a lemezeinken, persze nem csak fjl, hanem blokk szinten, gy pldul klnbz VHD
fjlokban az azonos tartalmakat felismeri, s konszolidlja.
Ez a funkci nagyon hasznos lehet akr egyszer fjlmegosztsokon is, de elengedhetetlen
kellke a VHD knyvtraknak, a szoftverteleptsek disztribcis knyvtrainak, vagy a
Windows kzponti tvteleptsi kiszolgl adattrnak.
35
A Data Deduplication szolgltats rsz-szerepkre a File and Storage management szerepkrnek, teleptst teht a Server Manager/File and Storage management/Add role service-nl
tudjuk indtani:
5.3
Thin Provisioning
Ez a funkci a Hyper-V VHD formtumnl hasznlhat dinamikus mret VHD llomnyokra hasonlt, azzal a klnbsggel, hogy a fizikai gp kteteit tudjuk kezelni. A funkci
lnyege, hogy amikor ltrehozunk egy partcit, az kizrlag a felhasznlt trterletet fogja
36
hasznlni a lemezen, a tbbi terlet kioszthat tovbbi partciknak. gy akr egy 500GB-os
lemezen ltrehozhatunk tbb, 1-1 TB-os partcit is. Amikor a partcik elkezdenek betelni,
tovbbi lemezeket adhatunk a mr meglv partcik al.
5.4
Az iSCSI szolgltats lehetv teszi, hogy kiszolglnk gy rje el egy msik kiszolgl lemezt, mintha helyi lemez lenne, teht nem SMB megosztson kereszl, hanem kzvetlenl
SCSI parancsokkal, blokk-szinten. A storage-ban lv iSCSI meghajtk teht helyi lemeznek
ltszdnak az iSCSI kliens gpeken. Ez nagyon hasznos olyan szolgltatsoknl, amelyek
kizrlag helyi meghajtkra kpesek dolgozni (pl. Hyper-V, Exchange, SQL Server), de az
adatainkat mgis egy kzponti adattroln szeretnnk elhelyezni. Az iSCSI trol hasznlathoz szksgnk lesz egy iSCSI kiszolglra, ami rsze a Windows Server 2012-nek, s egy
iSCSI kezdemnyezre (initiator), ami mr rgta megtallhat a Windows rgebbi verziiban is. A rendszer fontos rsze a redundancia: lehetsgnk van tbbirny IP kapcsolat kiptsre a kiszolgl s a kezdemnyez kztt.
Komponensek:
5.4.1
37
Ezutn ltre kell hoznunk egy j iSCSI target-et, vagy csatolhatjuk a lemezt egy meglv
iSCSI targethez. Ezt kveten meg kell adnunk, hogy melyik initiator frhet hozz a
targethez. Megadhatunk IQN nevet vagy akr IP cmet is.
Vgl megadhatunk hitelestsi adatokat, mindkt irnyba, akr az initiator, akr a target azonostshoz (CHAP).
38
Miutn ltrehoztuk az iSCSI lemeznket, s a target-et is belltottuk, a kliens oldalon csatlakozni kell a lemezhez. A csatlakozsnl elg a kiszolgl IP cmt megadni, az IQN nevet
automatikusan feloldja:
Ha mindent jl csinltunk, vgl az j lemez megjelenik a helyi gp lemezkezeljben, mint
helyi lemez. Ezutn az initiatornl lehetsgnk van tovbbi IP cmeket megadni az MPIO
vagy az MCS kiptshez.
5.5
Storage Spaces
A Windows Server 2012-ben megjelen j Storage Spaces szolgltats lehetv teszi, hogy
kiszolglnkat SAN eszkzknt hasznljuk, legalbbis a klnbz lemezeket egy egysgknt
(pool) kpes kezelni, s az opercis rendszer fel egy lemezknt megjelenteni.
A szolgltats egyfajta lemez-virtualizci, melynek segtsgvel egy egysgknt kezelhetjk
klnbz lemezeinket.
Felptse:
Disk drive: ez a ktet, amit az opercis rendszer elr valamilyen meghajt betjellel.
39
Virtual Disk: ez az eszkz reprezentlja a lemezt az opercis rendszernek, de szemben a fizikai lemezzel, ez menet kzben bvthet, tkrzhet, illetve egyb hibatr
megoldssal vdhet. Ltrehozsakor vlaszthatjuk a thin provisioning eljrst is.
Storage Pool: fizikai lemezek gyjtemnye, akr helyileg, akr iSCSI-n csatolt lemezekbl ll, ebbl hozhatunk ltre virtual disk-et.
Physical Disk: SAS, SATA, iSCSI vagy egyb felleten csatlakoztatott lemez. Legalbb egy lemez kell storage pool ltrehozshoz, kett a RAID1 virtual disk ltrehozshoz, illetve legalbb 3 RAID5-hz. A SATA, SCSI vagy USB-s lemezeket nem
hasznlhatjuk failover cluster kialaktshoz, csak olyan csatolfelleteket, amelyek
lehetv tesznek tbb egyidej kapcsolatot (pl. SAS, iSCSI)
Simple volume: egy vagy tbb fizikai lemezbl ll egyszer ktet, ami az adatokat
egyszerre tbb lemezen trolja, gy biztostva gyorsabb elrst. Nem hibatr, fontos
adatainkat ne troljuk ilyen lemezen.
Two-way vagy three-way mirror: az adatokat tkrzve trolja 2 vagy 3 lemezen, illetve cskozni is kpes tbb lemez kztt.
Parity: RAID5 ktet, legalbb 3 lemez hasznlatval.
5.6
Az ODX kifejezetten nagyvllalalati krnyezetben, storage hasznlatakor rdekes. Hasznlatval gy tudunk fjlokat, adatbzisokat, virtulis gpeket mozgatni kiszolglk kztt, hogy
az adat fizikailag nem megy t a hlzaton, hanem a storage-en bell kpes mozogni, ezzel
sokkal nagyobb sebessget tudunk elrni, s nem terheli a kiszolgl CPU-t s memrit.
40
Fjlszolgltatsok
Az adatok s erforrsok megosztsa a legalapvetbb feladat brmely hlzat esetn. A Windows Server 2012 tovbbi szolgltatsokat is nyjt az alapvet megosztsi s NTFS jogosultsgokon fell, pldul az rnykmsolat szolgltatst, a kapcsolat nlkli fjlok, vagy a jogosultsg alap hozzfrs-vezrls.
Ebben a fejezetben a kvetkez szolgltatsokat nzzk vgig:
6.1
NTFS jogosultsgok
Megosztsi jogok
Kapcsolat nlkli fjlok
rnykmsolatok
Kvtzs
Az NTFS fjlrendszer
Az NTFS jogosultsgok kezelsvel kzvetlen engedlyeket definilhatunk fjlokhoz s mappkhoz. Ezek a jogosultsgok mindenkppen rvenyesek, akr helyileg, akr hlzaton keresztl, vagy pl. FTP protokoll segtsgvel rjk el azokat.
Az NTFS jogosultsgok f tulajdonsgai:
A jogosultsgok kzvetlenl megadhatk fjlokra, mappkra, vagy fjlcsoportokra.
A jogok kiadhatk felhasznlknak, csoportoknak, vagy akr szmtgpeknek is.
Engedlyt s megtagadst adhatunk a fjlokra. A megtagads mindig ersebb lesz,
mint az engedly.
Az NTFS jogosultsgok rkldnek, gy amikor egy mappra belltunk egyni jogosultsgokat, a mappban ksbb ltrehozott fjlok s mappk a szlmappa jogait
rklik.
41
6.1.1
Kioszthat jogosultsgok
Lers
Teljes hozzfrs
Mdosts
Olvass s futtats
Olvass
rs
Fjl rsa
Mappa tartalmnak lis- Csak mappra llthat, a felhasznl ltja a mappban lv fjlokat,
tzsa
de nem tudja megnyitni azokat.
Nhny fontos dolog az NTFS jogok belltsnl:
Ha egy mappra rklt, s kzvetlen (explicit) jogosultsg is rvnyes, akkor a kzvetlen jogok ersebbek lesznek
Ha egy felhasznl egyszerre kap engedlyt s tiltst az adott objektumra, a tilts mindig ersebb lesz (azonos szinten)
A kett sszegezve: egy felhasznl kaphat rklt s kzvetlen endeglyeket s megtagadsokat is. Ebben az esetben a sorrend:
6.1.2
Kzvetlen tilts
Kzvetlen engedly
rklt tilts
rklt engedly
rklds
Az NTFS jogok alaprtelmezsknt rkldnek, teht amikor ltrehozunk egy j fjlt vagy
mappt, akkor az a szlmappa jogait rkli. Ezt az rkldst blokkolhatjuk, ilyenkor az
objektum egyni (explicit) jogosultsgokat kap. Az rklds blokkolsakor kivlaszthatjuk,
hogy le szeretnnk-e msolni a szlmappa jogait, vagy trlni szeretnnk azokat, s attl
teljesen eltr jogokat szeretnnk definilni.
42
Arra is lehetsgnk van, hogy egy szlmappban visszalltsuk az sszes almappa s fjl
jogosultsgait rklt jogokra, gy az egyni jogosultsgok elvesznek. Ezt az brn lthat
Replace all child object permission opcival tudjuk elrni.
6.1.3
Megosztsi engedlyek
Amikor a fjlkiszolgln megosztunk egy mappt, az erforrss vlik. Ezeket az erforrsokat tudjk a felhasznlk elrni a hlzaton, s rendszergazdaknt az erforrsoknak kln
megosztsi engedlyeket tudunk lltani. Ez egy plusz lpcs az NTFS jogosultsgok mellett,
egyfajta fkapcsolknt rdemes tekinteni: a globlis jogosultsgokat lltjuk megosztsi szinten, a specilis, egyni jogosultsgokat pedig az NTFS-ben.
A megosztott erforrsokat n. UNC nvvel tudjuk elrni:
\\kiszolgl\erforrs\mappanv\fjlnv
Pl: \\server\kzs\kpek\logo.jpg
Megosztsokat ltrehozni a Windows Server 2012-ben tbbflekppen is tudunk:
A File and Storage Services programban
Az intz megoszts gyorsmenjvel (mappa/jobb klikk/megoszts)
parancssorbl a netsh vagy a net share parancsok segtsgvel
A mappa tulajdonsgain a megoszts fln a specilis megosztsra klikkelve
43
6.1.4
Felgyeleti megosztsok
6.1.5
Megosztsi jogosultsgok
Lers
Olvass
A felhasznlk megnzhetik a mappkat s a fjlokat, programokat tudnak futtatni, le tudjk msolni a tartalmt, s a fjlok tulajdonsgait is
megnzhetik.
Mdosts
Teljes hozzfrs
6.1.6
Effektv jogosultsgok
Engedlyeket teht megosztsi s NTFS szinten is llthatunk, illetve mindkt szinten egy
felhasznl tbb jogosultsggal is rendelkezhet, attl fggen, milyen csoportoknak a tagja.
Ha azonos szinten (pl. csak megosztsnl) tbb jogot is definilunk, akkor mindig a nagyobb
jog rvnyesl. Teht ha Gipsz Jakab, aki az alkalmazottak csoport tagja, egynileg olvass
jogot kap, az alkalmazottak csoport pedig mdosts jogot, akkor a nagyobb jog, a mdosts
rvnyesl. Ugyanez igaz az NTFS jogosultsgoknl is. Azonban, ha megosztsi s NTFS
szinten is definilunk jogot, akkor az effektv jog a kt jogosultsg metszete lesz, vagyis mindig a kisebb jog rvnyesl. Ezrt a javasolt bellts, hogy megosztsi szinten adjuk ki a
mappaszerkezetben brhol hasznland legnagyobb jogosultsgot, s NTFS szinten szktsk
a felhasznlk hozzfrst az egyni mappkhoz vagy fjlokhoz.
44
6.1.7
6.1.8
rnykmsolatok
Az rnykmsolat szolgltats beptett rsze az NTFS fjlrendszernek, hasznlatval a fjljaink s mappink elz verziit tudjuk visszalltani, nem csak rendszergazdaknt, hanem akr
egyszer felhasznli jogosultsggal is. Hasznlatval cskkenthetjk a mentsbl trtn
visszalltsok gyakorisgt.
45
Konfigurlsakor megadhatjuk, hogy melyik lemezen troljuk a fjlok elz verziit, az rnykmsolatok ksztsnek idpontjt, illetve a maximlisan felhasznlhat lemezterletet.
Alaprtelmezsknt a rendszer minden nap reggel 7-kor s dlben kszt mentst a mdosult
fjljainkrl, illetve a ktet 10%-t hasznlja fel rnykmsolatok trolsra:
46
6.1.9
Az rnykmsolatok mkdse
Az rnykmsolat szolgltats teht naponta ktszer kszt ments a fjljainkrl, s annyi elz verzit trol, amennyi elfr a fenntartott 10%-os lemezterleten. Ha a fenntartott terlet
megtelik, a legrgebbi rnykmsolatokat automatikusan trli. Mivel az les adatok s az rnykmsolat ugyanazon a lemezen helyezkedik el, ez a megolds nem vltja ki a rendszeres
biztonsgi ments hasznlatt.
47
Itt lthatjuk a fjlok korbbi mentseit, lehetsgnk van egy adott mappt megnyitni, egy
rgebbi idpontbli tartalommal, a mappa rgebbi llapott lementeni egy msik helyre (msols), illetve fellrni az aktulis verzit a rgebbi llapottal (visszallts). Ha egy trlt fjlt
vagy mappt szeretnnk visszalltani, akkor a szlmappa tulajdonsgait kell megnyitnunk,
illetve ennek a mappnak a korbbi llapott kell visszalltanunk. A visszalltskor figyelnnk kell arra, hogy az rnykmsolat ksztse ta ltrejtt vagy mdosult fjlok trlsre
kerlnek.
6.1.11 Kvtzs
Az NTFS fjlrendszerben lehetsgnk van korltozni a felhasznlk ltal hasznlhat lemezterletet.
A korltozsra kt lehetsgnk van: partcinknt kvtzhatunk a lemezkvtk hasznlatval, vagy mappnknt a fjlkiszolgli erforrs-kezel segtsgvel.
Az egyszer kvtzs teht csak teljes partcikra rvnyes, s a partcin lv sszes mappra rvnyes, fggetlenl attl, hogy a fjlok hol helyezkednek el. A felhasznlk ltal ltrehozott s felmsolt, vagyis az tulajdonukban lv fjlok szmtanak bele a kvtjukba.
48
SMB titkosts
Multichannel
Sklzhatsg
Hibatrs
49
Az SMB multichannel alaprtelmezsknt engedlyezve van a Windows Server 2012 kiszolgln, PowerShellbl tudjuk kikapcsolni:
Set-SmbServerConfiguration -EnableMultiChannel $false
50
Active Directory
7.1
Fejleszts
Telepts
Egyszer
nisztrci
51
7.2
7.3
Ellenrz lpsek
7.4
52
53
7.5
54
j Forest ltrehozsa:
Install-ADDSForest [-SkipPreChecks] DomainName <string> SafeModeAdministratorPassword <SecureString> [CreateDNSDelegation] [-DatabasePath <string>] [DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 |
Win2012}] [-DomainNetBIOSName <string>] [-ForestMode <ForestMode>
{Win2003 | Win2008 | Win2008R2 | Win2012}] [-InstallDNS] [LogPath <string>] [-NoRebootOnCompletion] [-SkipAutoConfigureDNS]
[-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Install-ADDSForest DomainName domain2012.local CreateDNSDelegation
DomainMode Win2008R2 ForestMode Win2008R2 DatabasePath
"c:\NTDS" SYSVOLPath "c:\SYSVOL" LogPath "c:\Logs"
j gyerektartomny ltrehozsa:
Install-ADDSDomain [-SkipPreChecks] NewDomainName <string> ParentDomainName <string> -SafeModeAdministratorPassword
<SecureString> [-ADPrepCredential <PS Credential>] [AllowDomainReinstall] [-CreateDNSDelegation] [-Credential <PS
Credential>] [-DatabasePath <string>] [-DNSDelegationCredential
<PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode>
{Win2003 | Win2008 | Win2008R2 | Win2012}] [DomainType
<DomainType> {Child Domain | TreeDomain} [-InstallDNS] [-LogPath
<string>] [-NoGlobalCatalog] [-NewDomainNetBIOSName <string>] [NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName
<string>] [-SkipAutoConfigureDNS] [-Systemkey <SecureString>] [SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
55
7.6
A Server Core idelis eszkz az Active Directory teleptsre, egyrszt kevesebb szervizt futtat, ezltal kevesebb erforrst s biztonsgi frisstst ignyel. Br az adminisztratv eszkzket kzvetlenl nem rjk el a kiszolgln, viszont egy vele egy tartomnyban lv gp Server Managerbl igen.
Lpjnk be Local Administratorknt a mr ltrehozott Server Core-ra, amelyen sconfig-al mr
belltottuk a nevt, domain tagsgt, hlzati belltsait.
Adjuk ki a kvetkez parancsot:
dcpromo.exe /adv
A telepts befejeztvel ltre kell hoznunk egy unattend.txt nev fjlt, amely tartalmazza a
teleptsre vonatkoz informcikat. A teleptsi belltsokat a kvetkez paranccsal tudjuk
kilistzni.
dcpromo.exe /?Promotion >
promotion.txt
Mivel elg sok teleptsi kapcsol ltezik, ezrt fenti parancs egy txt fjlba exportlja a kapcsolkat a knnyebb ttekinthetsg kedvrt.
Nyissunk meg egy res unattend.txt fjlt a notepad.exe-vel, s a fenti kapcsolk segtsgvel
rjuk bele a teleptsi vlaszainkat, pldul a kvetkezt:
[DCInstall]
SafeModeAdminPassword=Passw0rd
ReplicaOrNewDomain=Replica
ReplicaDomainDNSName=domain2012.local
InstallDNS=Yes
ConfirmGC=Yes
DomainLevel=4
UserName=Administrator
UserDomain=Domain2012.local
Password=Passw0rd
56
7.7
A Get important updates for Windows Setup rsznl engedlyezzk, hogy a legfrissebb frisstseket teleptse.
Vlasszuk ki, hogy a Windows Server 2012 melyik verzijt szeretnnk telepteni.
Az Installci tpusnl vlasszuk az Upgrade lehetsget.
Compatibility Report rsznl a telept tvizsglja a kiszolglt. Ellenrzi a rendelkezsre ll trhelyet s a hardvereszkzket.
Next-re kattintva elindul a telepts.
Br maga az inplace upgrade egy egyszer folyamat, a Microsoft ennek ellenre a friss teleptst ajnlja.
7.8
Tartomnyvezrl klnozs
Knnyen ltrehozhat j tartomnyvezrl a Windows 2012-ben beptett klnozsos technikval. Mindennek alapvet felttele, hogy a klnozand tartomnyvezrl virtulis gp legyen.
Tovbbi felttelek:
57
A parancs felsorolja azokat az alkalmazsokat s szerepkrket, amelyek klnozsa nem tmogatott. Amennyiben a parancs hatsra a No excluded applications were detected jelenik
meg, akkor a klnozs tmogatott a tartomnyvezrln, ellenkez esetben a felsorolt alkalmazsokat, illetve szerepkrket tvoltsuk el, vagy az adott tartomnyvezrlt ne klnozzuk.
Konfigurljuk a jvbeni tartomnyvezrlnket:
58
59
7.9
DNS belltsa
60
Vegynk fel a domain2012.local Forward Lookup Zone-hoz egy Reverse Lookup Zone-t,
majd adjuk hozz az sszes DNS szerepkrrel rendelkez tartomnyvezrlnket.
61
7.10
DHCP belltsa
62
Mindezek utn meg kell adnunk az alaprtelmezett tjrt, majd a DNS kiszolglkat:
63
A Server Options-nl be kell lltanunk azokat az informcikat, amelyeket ki szeretnnk kldeni a klienseknek, itt ajnlott megadni a kvetkezket:
64
7.11
DHCP Failover
Az elz verzikban a DHCP rendelkezsre llsnak javtst legtbbszr cluster technolgival vagy DHCP Split Scope-al oldottuk meg. A Windows Server j verzijban bemutatkozik a DHCP Failover.
A kliensek bizonyos idkznknt a DHCP szerverhez fordulnak, hogy megjtsk IP cmket. A DHCP szolgltats kiesse esetn a kliensek nem kapnak j IP cmet, ezltal nem tudnak csatlakozni a hlzathoz. Ennek a problmnak az thidalsra kszlt a DHCP Failover,
amely kt DHCP kiszolglbl llhat. A DHCP kiszolgl kiesse esetn a msik (partner)
DHCP kiszolgl veszi t az IP cm osztst. Az adatok frissessgt a lease replikci garantlja. A replikcis technolgia idrzkeny, ezrt a kt DHCP szerver idejt a bellts eltt
egyeztessk, a technolgia 1 percnl nagyobb eltrst mr nem tud tolerlni. A DHCP
Failover mkdhet tartomnyi tagsg vagy munkacsoport tagsg esetn is. Az IPv6-os cmek
magas rendelkezsre llst a DHCP Failover nem teszi lehetv.
A DHCP Management felletn a DHCP IPv4 gn rhetjk el a DHCP Failovert. Kt lehetsgnk van a konfigurcira:
Load Balancing
Hot Standby
Load Balacing esetn mind a kt szerver rszt vesz az IP cmek osztsban, mg azt is be tudjuk lltani, hogy milyen arnyban trtnjen ez meg. Alapbelltsban ez 50-50 % (activeactive). Javasolt egy telephelyes kiptettsgben.
65
Hot Standby esetn az aktv DHCP szerver egyedl osztja az IP cmeket, a passszv DHCP
csak akkor lp mkdsbe, amikor az aktv kiszolgl kiesik (active-passive). Javasolt tbb
telephelyes kiptettsgben.
A ltrehozott Failover konfigurci utn a Replicate Failover Scopes paranccsal mris tesztelhetjk a replikcit.
7.12
A nyomtatk kezelsre a Windows Server 2012-ben elrhet Print Management MMC konzol hasznlhat.
A konzol legfontosabb tulajdonsgai:
Tbb nyomtat szerver (spooler) kezelse
Nyomtatk szrt listzsa egyedi szr felttelek segtsgvel
Nyomtat driver kezels
Nyomtat port kezels
Jogosultsg kezels
Ments/visszallts
A nyomtatk teleptst, tertst a munkallomsokra Group Policy-n keresztl is megoldhatjuk. A Deployed Printers menpontban vlasszuk ki a teleptend nyomtatkat, majd nyomjunk a Deploy with Group Policy menpontra. Itt mr csak ki kell vlasztanunk azt a GPO-t,
amelybe a belltsokat be szeretnnk illeszteni.
A nyomtatk rendelkezsre llst a kvetkezkppen oldhatjuk meg:
A Printer Management-ben a Printer Servers alatt vlasszuk az Export printers to a file pontot, a konfigurcis fjlt msoljuk t egy msik tartomnyvezrlre, ahol szintn teleptve van a nyomtatk tmogatsa.
A tartomnyvezrl kiesse esetn a msik tartomnyvezrln lv Printer Management Console-ban Import Printers from a file menpontot vlasztva a nyomtatk teleplnek.
A Group Policy belltsok mdostsa szintn szksges. A GPO Computer
Configuration/Policies/Windows Settings/Printer Connections/ alatt lv printer elrsi utakat mdostjuk:
\\BackupDC\Nyomtat1
\\BackupDC\Nyomtat2
66
Hasznljuk a Windows 2008 R2-ben mr bevezetett driver isolation-t. Az j lehetsg a klnbz drivereket egymstl elklnti, gy egy hibs komponens nem befolysolja a szerver
mkdst.
A Drivers gnl kapcsoljuk be az n. Isolated mdot az sszes felvett printer esetben.
A Windows Server 2012 szmos jtst hozott a nyomtats terletn, ennek egyik megtestestje a Branch Office Direct Printing. Ezt a lehetsget olyan esetben rdemes hasznlni, amikor egy tvoli telephelyen keresztl nyomtatunk az ugyanezen a telephelyen lv nyomtatra,
de a nyomtatszerver a cg kzpontjban van. A Branch Office Direct Printing eltt az adatok
vgigutaztak a drga s egybknt is ersen leterhelt WAN hlzatunkon majd onnan vissza a
telephelyen lv nyomtatra. Ez a technolgia ezt az adatutazst zrja ki a folyamatbl, gy,
hogy a munkallomsok kzvetlenl a nyomtatra kapcsoldnak. Knnyen belthat, hogy
esetleges hlzati kiess a kt telephely kztt, nem befolysolja a nyomtathoz trtn csatlakozsunkat. A Branch Office Direct Printing lehetsg csak a print serverknt mkd
Windows Server 2012 s Windows 8 kliens esetn rhet el.
A Print and Document Services mr konfigurlhat PowerShell all is, megknnytve ezzel az
adminisztrcit. Ez tulajdonkppen 20 db parancsot jelent, a parancsok listjt megkapjuk a
kvetkez paranccsal:
Get-Command Module PrintManagement
A Branch Office Direct Printer konfigurcijt a Print and Document Services-ben is bellthatjuk, de legegyszerbb mindez PowerShell all:
Set-Printer -name <String> -ComputerName <String> -RenderingMode
BranchOffice
A Windows Server 2012-ben jelent meg a Print Class Driver framework. A keretrendszer
tartalmazza az alapvet nyomtatsi kpessgeket, ezrt a gyrtknak csak a nyomtatk specilis kpessgeit kell az eszkzvezrlbe integrlniuk. Ennek folyomnya, hogy a driverek mrete jelentsen cskken s az eszkzvezrlkbl szrmaz lehetsges hibk szma is redukldik. A Windows Vista 768 MB-ja mellett eltrpl a Windows 8 mintegy 180 MB-nyi
drivere.
7.13
A Read Only Domain Controller mint neve is mutatja csak olvashat tartomnyvezrl;
egy teljes rtk tartomnyvezrl, viszont a rajta lv adatok nem mdosthatk. Ezt a megoldst olyan helyre rdemes telepteni, ahol az adataink biztonsga nem garantlhat. Ilyen
lehetsg pldul cgnk egyik kisebb telephelye, ahol szerverszoba sincs. Feltrs vagy eltulajdonts esetn garantlt, hogy a rajta lv tartomnyi adatokhoz nem tudnak hozzfrni,
hiszen tulajdonkppen nem trol semmit. Ehhez hasznljunk fel egy Server Core-al teleptett
kiszolglt, s erre teleptsnk az RODC-t.
Mieltt hozzkezdennk, ellenrizzk, hogy az erdnk funkcionalitsi szintje legalbb Windows 2003-mas.
A teleptst indtsuk el a kvetkez paranccsal a Server Core-os gpen bejelentkezve:
67
Ezt kveten meg kell hatroznunk, hogy melyik rhat tartomnyvezrlvel repliklhat.
Majd a topolgia vizsglata utn telepthetjk az j RODC-t.
68
7.14
Utmunklatok
7.14.1 Idszinkron
A rendszerid pontossga a teljes Active Directory-ra nzve kritikus fontossg.
A tartomnyvezrl a PDC Emultor szerepkre felel az idszinkronizcirt. A tartomnyba
belpett gpek szintn a PDC emultor FSMO szerepkrrel rendelkez gphez szinkronizljk a sajt rendszeridejket. A Kerberos hitelests megfelel mkdshez elengedhetetlen a
rendszerid pontossga. Alapbellts szerint 5 percnl nagyobb rendszerid eltrs mr problmkat okozhat a rendszer mkdse szempontjbl.
A PDC emultor szerepkrrel rendelkez tartomnyvezrlnek kls forrsbl kell megoldanunk az idszinkronizcit, amelyhez a tzfalunkon engedlyezni kell az udp 123-as porton a
kommunikcit. Alapbellts szerint a tartomnyvezrl a time.windows.com-hoz igaztja az
idejt.
A PDC szerepkr hacsak t nem helyeztk mshova az els teleptett tartomnyvezrln
tallhat. De megllapthatjuk gy is:
w32tm /monitor /domain:domain2012.local
69
7.15
Funkcionalitsi szintek
A nvels nem hoz semmifle tovbbi lehetsgeket az Active Directory-ban az elz verzikkal ellenttben.
7.16
FSMO szerepkrk
Egyszer thelyezs
Erszakos (seize) thelyezs
Az egyszer thelyezsnl knny dolgunk van, mivel a szerepkrt tartalmaz tartomnyvezrl mkdik, azaz az thelyezs minden problma nlkl megtrtnik.
Az erszakos thelyezst akkor hasznljuk, amikor a szerepkrt vagy szerepkrket tartalmaz tartomnyvezrl kiesik, s visszalltst nem tervezzk. Ilyenkor csak ezzel a mdszerrel
tudjuk a szerepkrt ttenni a mg mkd tartomnyvezrlnkre.
70
Kattintsunk a Start men Futtats parancsra, rjuk be az ntdsutil parancsot a Megnyits mezbe.
rjuk be a roles parancsot.
rjuk be a connections parancsot.
Majd a connect to server kiszolglnv parancsot, a kiszolglnv helyre annak a tartomnyvezrlnek a nevt rjuk, amelyhez az FSMO-szerepkrt rendelni szeretnnk.
rjuk be a server connections parancssorba a q parancsot.
rjuk be a transfer szerepkr parancsot. A szerepkr helyre az tadni kvnt szerepkr
neve kerl. Az tadni kvnt szerepkrk listjnak megjelentshez rjuk be a ? pa71
rancsot az fsmo maintenance parancssorba. A szerepkrk kezelsekor azok angol elnevezst hasznlhatjuk: a RID-fkiszolgli szerepkr tadshoz pldul rjuk be a
transfer rid master parancsot. Az egyetlen kivtelt a PDC-emultor szerepkr jelenti,
melynek szintaxisa transfer pdc, nem pedig transfer pdc emulator.
Az fsmo maintenance parancssorban rjuk be a q parancsot, az ntdsutil parancssor elrshez. rjuk be a q parancsot az Ntdsutil segdprogram bezrshoz.
Erszakos thelyezs:
7.17
Az Active Directory-ban trtn nyilvntarts objektumokban troldik. Objektumok a felhasznlk, csoportok, szmtgpek, szervezeti egysgek s a megosztott erforrsok (pl.
nyomtatk). Ezeknek az objektumoknak vannak attribtumai, ami termszetesen az objektum
tpustl fgg. Egy felhasznli fik attribtumainak felel meg a bejelentkezsi neve, jelszava, e-mail cme, csoporttagsga. Mindezt knnyen megfigyelhetjk az ADSIedit segtsgvel.
A cmtr objektumait s hozzjuk kapcsold attribtumokat a sma rja le. Az Active
Directory Users and Computers-t megnyitva lthatjuk az AD struktrjt, amelyben vannak
mr meglv trolk (container) s benne objektumok. A rendszergazda felvehet tovbbi trolkat is, ezeket Organizational Unitnak, neveznk. Egy OU-ban szmtalan egymsba gyazott
OU-t ltrehozhatunk, de knnyebb ttekinthetsg kedvrt trekedjnk a minl laposabb
struktra kialaktsra. Az OU-kban felhasznlkat, szmtgpeket s egyb objektumokat
trolhatunk s ezeket az objektumokat szabadon mozgathatjuk, kltztethetjk.
A beptett trolk a Domain Controllers, amelybe kerl minden ltez illetve ksbb ltrejv tartomnyvezrl szmtgp objektuma. A Builtin tartalmazza a mr ltrejtt csoportokat,
Computers az Active Directory-ba belptetett (tartomnytag) szmtgpeket trolja, a Users,
a tartomnyi felhasznlkat tartalmazza. Az emltett trolkra nem alkalmazhatunk csoporthzirendet (Group Policy), az Organizational Unitokra ellenben igen. A csoporthzirendekkel
kzpontilag szablyozhatjuk a felhasznlk szmtgpes krnyezett, belltsait. Szmos
belltst eszkzlhetnk, kezdve a felhasznlk asztalnak megjelensvel, a biztonsgi belltsokon keresztl az automatikus alkalmazsteleptsig. A csoporthzirend ennek a knyvnek egy kln fejezett kpezi.
72
Az cmtrban ktfle csoportot llthatunk be: biztonsgi csoport (security group) s terjesztsi csoport (distribution group). A biztonsgi csoportok tagjai kapnak hozzfrsi engedlyeket
(pl. egy fjlmegosztshoz) a terjesztsi csoportokat elssorban levelezsi csoportoknak hasznljuk. A kt csoporttpust klcsnsen konvertlhatjuk, azaz a mr meglv terjesztsi csoportbl ltrehozhatunk biztonsgi csoportot s fordtva.
A csoportok hatkre (scope) hatrozza meg a csoport tartomnyi tagsgt, mely tartomnyokban lehet eleme ms csoportoknak, mely tartomnyban kaphat hozzfrsi engedlyeket.
7.18
Tartomnyon belli csoportok (Domain local groups): Mint neve is mutatja, az ilyen
csoportok csak sajt tartomnyuk szmtgpein kaphatnak hozzfrsi engedlyeket.
A tartomnyi csoportokba viszont szabadon vehetnk fel globlis s univerzlis csoportokat ms tartomnyokbl illetve tovbbi tartomnyi csoportot is felvehetnk, azaz
ezek a csoportok szabadon egymsba gyazhatk. Mindez csak a tartomny natv
zemmdjban hasznlhat.
Globlis csoportok (Global groups): Az erdn bell brmelyik tartomnyban felhasznlhatk. A globlis csoportok viszont csak sajt tartomnyukbl tartalmazhatnak tagokat. Globlis csoportba csak egy msik globlis csoportot vehetnk fel. Mindez csak
akkor, ha natv zemmdban mkdik a tartomnyunk.
Univerzlis csoportok (Universal groups): A csoport tagjai brmelyik tartomnyunkbl szrmazhatnak. Globlis s tovbbi univerzlis csoportok lehetnek a tagjai, szintn
brmelyik tartomnyunkbl. Tetszleges tartomnyban kaphatnak hozzfrsi engedlyeket. Az univerzlis csoportok sszes adata a globlis katalgusban troldik.
Az Active Directory Recycle Bin mr Windows Server 2008 R2-nl is jelen volt, viszont grafikus megvalstsa a Windows Server j verzijban trtnt meg.
A bekapcsolshoz navigljunk a Server Manageren keresztl az Active Directory
Administrative Centerbe, ott kattintsunk a tartomnyunk nevre, s a jobb oldali tasknl megtalljuk a Enable Recycle Bin lehetsget. Ennek bekapcsolshoz legalbb Windows Server
2008 R2 erd s tartomny funkcionalitsi szinten kell lennnk.
73
Hasznlata:
Amint bekapcsoltuk megjelenik a tartomnyunkban egy Deleted Object kontner.
7.19
Jelsz menedzsment
74
7.20
AD Based Activation
Az Active Directory kzpont aktivci szintn egy j kpessg a Windows Server 2012-ben.
Gyakorlatilag a kiss korosod KMS architektrt vlthatjuk le vele. Viszont a kt eszkzt
prhuzamosan is hasznlhatjuk, fleg abban az esetben, ha Windows Server 2012 s Windows 8-on kvl korbbi Windows opercis rendszerekkel is rendelkeznk. Mennyisgi licenc esetn AD alap aktivlst nyjt. Az aktivls akkor trtnik meg, amikor a szmtgp
a tartomny tagjv vlik. A hasznlathoz a tartomnyi smnkat mdostanunk kell a Windows Server 2012-re, de nem szksges Windows Server 2012 DC-t teleptennk, st Readonly Domain Controllereknl is hasznlhatjuk. Az j eszkzt, mint j szerepkrt kell teleptennk.
75
76
Virtualizci
A Windows Server 2012-t sokan gy emlegetik, mint a felh opercis rendszer, s nem
vletlenl. A virtualizci terletn is rengeteg fontos fejleszts trtnt az elz verzihoz
kpest. Ebben a fejezetben az alapoktl mutatjuk be a Microsoft virtualizcis technolgijt,
megismerkednk a virtulis hlzat-kezelssel, az j VHDX formtummal, s a rengeteg biztonsgi jtssal.
8.1
Alapok
Amikor virtualizcirl beszlnk, nem csak a Hyper-V alap szmtgp virtualizcira kell
gondolni. A Microsoft palettjn van nhny egyb, ms terleteken mkd virtualizcis
tmakr, ezek a kvetkezk:
Szmtgp virtualizci
Microsoft Azure
Desktop virtualizci
Megjelens-virtualizci
8.2
Szmtgp virtualizci
77
8.3
Windows Azure
A Microsoft felh-szolgltatsa, ami a teljes IaaS, PaaS, SaaS termkpalettt lefedi. Vsrolhatunk virtulis gpeket, SQL trterletet, webtrhelyet, trterletet, vagy akr mdiaszolgltatsokat is. A szolgltats havidjas elfizetsben mkdik, gy rugalmasan, menet kzben
vltoztathatjuk gpparkunkat, az ignyeknek megfelelen brmikor nvelhetjk vagy cskkenthetjk a virtulis gpeink szmt. A Windows Azure elrhet a
http://www.windowsazure.com/en-us/ cmen, ahol lehetsgnk van 90 napig ingyenesen
kiprblni a klnbz szolgltatsait.
8.4
Desktop virtualizci
Bizonyos esetekben szksg van arra, hogy a kliens gpnk is tudjon virtualizlni: ha a gpen
szeretnnk futtatni egy rgebbi opercis rendszert kompatibilitsi problmk miatt, vagy
tesztelni szeretnnk klnbz kliens vagy akr szerver funkcikat. A Windows 8 Pro s
Enterprise verzijban megtallhat a Hyper-V szerepkr, szinte azonos funkcionalitssal,
mint a Windows Server 2012-ben: a kliens verzi nem tmogatja a magas rendelkezsre llst, illetve a migrcis szolgltatsokat.
A Windows 7-ben bevezetett Windows XP md mr nem tallhat meg a Windows 8-ban, gy
nincs lehetsgnk arra, hogy a virtulis gp programjait publikljuk a host gp start menjbe. Erre a feladatra nagyvllalati krnyezetben a MED-V (Microsoft Enterpise Deskotop
Virtualization) rendszert ajnlja a Microsoft, ahol lehetsgnk van a szervereken fut kliens
virtulis gpek (XP-tl felfel) teleptett programjait publiklni az les kliensgpekre.
8.4.1
VDI
8.5
Megjelents virtualizci
A megjelents virtualizci fleg a tvoli asztal szolgltatsokat rejti magban, ahol egy kzponti RDP kiszolglra jelentkeznek be a felhasznlk, a programok ezen a kzponti gpen
futnak, s csak a megjelents trtnik a kliens gpeken. Ez annyiban klnbzik a VDI-tl,
hogy nem mindenki a sajt virtulis gpt hasznlja, hanem egy kzponti gpre egyszerre
tbben jelentkeznek be, s ugyanazokat az alkalmazsokat futtatjk kln munkafolyamatban.
78
79
80
Hyper-V
A Hyper-V hardveres virtualizcit tesz lehetv a megfelel hardver hasznlatval. A szerepkr megtallhat a Windows Server 2012 grafikus s Core verzijban, s az ingyenes
Hyper-V Server 2012-ben.
A hardveres virtualizci a hypervisor segtsgvel hozzfrst ad a virtulis gpeknek a fizikai erforrsokhoz, mint a processzor, a memria, stb., gy sokkal gyorsabb mkdst tudunk
elrni pl. a Virtual PC s Virtual Server termkekhez kpest, ahol szoftveres virtualizcit
hasznltunk, vagyis a virtulis gpek a hoszt gpen keresztl, nem pedig vele azonos szinten
rtk el a hardvert.
9.1.1
Hardver felttelek
81
A fizikai gp tervezsekor vegyk figyelembe, milyen terhels virtulis gpeket szeretnnk elhelyezni rajta. A virtulis gpek maximum 1 TB memrit hasznlhatnak, s
max. 32 virtulis CPU-t tudunk kiosztani szmukra.
A fizikai gp minimlis memria-ignye 4GB.
A lemezek elrse ltalban a sarkalatos pontja a virtualizcinak. A klnbz virtulis gpeket rdemes kln fizikai diszkekre elhelyezni, vagy ha storage-ot hasznlunk, akkor kln LUN-okra. A virtulis lemezeket mindenkppen rdemes magas
rendelkezsre lls (RAID1 vagy RAID5) lemezeken trolni, illetve hasznlhatunk
SSD-tmbt is.
A hlzatnl tbb lehetsgnk van: akr dediklhatunk kln fizikai NIC-et mindegyik virtulis gphez, akr hasznlhatunk egy fizikai NIC-et megosztva tbb virtulis
gp kztt, ha nincs szksgnk nagy hlzati sebessgre, vagy konfigurlhatunk NIC
Teaminget a hoszt vagy akr a virtulis gpen bell is, gy sszefzhetnk tbb fizikai
hlzati krtyt.
9.1.2
CPU: 1-32 virtulis processzort tudunk egy virtulis gphez rendelni, ezen kvl megadhatunk minimlis fenntartst, amit ez a gp mindenkppen megkap, s maximlis
terhelst is, nehogy egy virtulis gp elvegye az erforrst a tbbi gp ell.
Memria: virtulis memrit 1TB-ig alloklhatunk a gpnknek, illetve hasznlhatunk
dinamikus memriakezelst, pl. egy virtulis Exchange kiszolgl kaphat 8-32GB
RAM-ot, aktulis terhelstl fggen.
Lemezvezrl: konfigurlhatunk IDE s SCSI vezrlket is. IDE eszkzrl tud
bootolni a virtulis gp, viszont maximum 4 lemezt tudunk csatlakoztatni, SCSI vezrl esetn maximum 128 VHD csatolhat, s maximum 4 SCSI vezrlt adhatunk egy
gpnek, gy sszesen 512 VHD lemezt tudunk csatlakoztatni. Az IDE s SCSI vezrlk kztt mr nincs teljestmny-klnbsg.
NIC: szintn ktfle hlzati csatol kzl vlaszthatunk: szintetikus vagy rklt. Az
rklt hlzati csatol egy ltez krtya emulcija, gy megvannak a maga korltozsai, svszlessgben, s funkcionalitsban, de kompatibilis a legtbb nem csak
Microsoft - opercis rendszerrel, s rendelkezik PXE tmogatssal, teht hlzati
bootolsra alkalmas. A Szintetikus hlzati csatol semmifle korltozssal nem rendelkezik, akr 10GB/sec-os sebessgre is kpes, de natvan csak Windows Server
2008-tl tmogatott, a rgebbi gpekre fel kell teleptennk az integrcis szolgltatst, hogy hasznlni tudjuk. Szintetikus NIC-bl maximum 8-at, rkltbl maximum
4-et hasznlhatunk virtulis gpenknt.
Fibre Channel krtya: jdonsg a 2012-ben, a fizikai gpben lv FC krtyt tudjuk
felcsatolni a virtulis gpbe, amennyiben a drivere ezt tmogatja
RemoteFX video vezrl: 3D-s video vezrl, hasznlatval a virtulis gp kihasznlhatja a fizikai gp GPU-jt s DirectX kpessgt.
Hyper-V teleptse
A szerepkr teleptse eltt meg kell gyzdnnk, hogy a BIOS-ban be van kapcsolva a DEP
s a Virtualizci (Intel-VT vagy AMD-V). Ha nincs, bekapcsols utn ramtalantanunk kell
a gpet.
Telepts utn mr hasznlhatjuk is a Virtual Machine Managernket:
82
A Hyper-V Manager egy MMC 3.0-ra pl konzol: a bal oldali rszben tovbbi Hyper-V
hosztokat tudunk felvenni, kzpen fell a virtulis gpeinket ltjuk, alatta a kivlasztott gp
pillanatfelvtelt, illetve kis ablakban a gp kpernyjt. Jobb oldalt, az n. Akci panelen,
fell a hosztnl, alatta pedig az adott virtulis gpeknl elrhet mveleteket lthatjuk.
9.2
Mieltt ltrehoznnk egy virtulis gpet, rdemes elszr ltrehozni egy hlzati kapcsolatot,
illetve egy VHD lemezt.
9.2.1
Virtulis hlzatok
Ahhoz, hogy a virtulis gpeink hozzfrjenek a hlzathoz, elszr virtulis switcheket kell
ltrehoznunk. Ezek a virtulis switchek a fizikai hlzaton hasznlt hlzati switchek
virtualizlt megoldsai, segtsgkkel a virtulis gpek klnbz hlzatokhoz frhetnek
hozz. Ltrehozni a Hyper-V Manager Virtual Switch Manager rsznl tudjuk. a kvetkez
tpus switcheket hozhatjuk ltre:
Internal: a bels switch a fizikai gppel, s a tbbi virtulis gppel tud kommuniklni,
a kls hlzattal nem.
Private: kizrlag a virtulis gpek kommuniklhatnak egymssal, akik ugyanazon a
privt switchen vannak.
A kls hlzatnl konfigurlhatunk VLAN azonostt is, ha a fizikai hlzatunkon is hasznlunk VLAN-t, gy szegmentlhatjuk a forgalmat.
Hlzat ltrehozsakor kt tovbbi bvtmnyt adhatunk meg:
9.2.2
A virtulis lemez egy specilis fjlformtum, amely magban foglal egy teljes merevlemezt:
partcionlni tudjuk, klnbz fjlrendszereket tudunk ltrehozni, adatokat tudunk msolni
r. Elszr a Microsoft Virtual PC-ben jelent meg, s f felhasznlsi terlete a virtulis gpek trolsa, de a Windows Server 2008-ban mr a ments is VHD formtumban troldik,
illetve az iSCSI lemezek is VHD llomnyok. Egy VHD fjlrl a virtulis gpeink kpesek
bootolni is, illetve a Windows Server, a Windows 7 s Windows 8 nhny verzija fizikai
gpeken is kpes VHD bootolsra. A virtulis lemezeinket kezelhetjk a Hyper-V Managerbl, illetve a fent felsorolt opercis rendszerek lemezkezeljbl is ltrehozhatunk, mdost84
9.2.3
Fixed disk (Fix mret lemez) a VHDX ltrehozsakor a rendszer lefoglalja a teljes
lemezterletet a fjl szmra. Erre ritkn van szksg.
Dynamic disk: (Dinamikusan nvekv) A virtulis lemez ltrehozsakor csak minimlis terletet foglal, s ahogy elkezdjk feltlteni adattal, a fjl mrete dinamikusan nvekszik. Teljestmny-klnbsg nincs a dinamikus s a fix mret lemezek kztt, s
mivel ltalban nem tudjuk, hogy az adott kiszolgln mennyi adatot fogunk trolni a
jvben, rdemes ezt a lemeztpust vlasztani. Ha adatokat trlnk egy dinamikus lemezrl, a mrete nem fog automatikusan cskkeni, ilyenkor zsugortani kell a VHD
fjlunkat.
Pass-through Disk (kzvetlen hozzfrs lemez) ebben az esetben a virtulis gp
kzvetlenl hozzfr egy fizikai lemezhez. ltalban iSCSI rendszereknl hasznljuk,
hiszen az iSCSI a targeten egybknt is VHD formtum, s pass-through disk hasznlatval elkerljk az egymsba gyazott VHD-k hasznlatt. Ahhoz, hogy egy fizikai
lemezt be tudjunk csatolni egy virtulis gpbe, a fizikai gpen offline llapotban kell
helyeznnk azt a lemezkezelben.
Differencing Disk (klnbzeti lemez) egy mr meglv VHD-t, mint szlpartcit
tudunk hasznlni, emellett ltrehozunk egy klnbzeti lemezt, ahol a mdostsokat
troljuk. A szl VHD-t csak olvassra rjk el, gy egy szlhz brmennyi klnbzeti VHD-t csatolhatunk. Pl. ltrehozunk egy Windows 8 VHD-t, ide felteleptjk a
Windows 8 szksges verzijt, majd tovbbi virtulis gpeket hozunk ltre, egyiken
Office 2010, a msikon Office 2013, s gy tovbb. gy a Windows 8 teleptsnket
csak egy pldnyban troljuk, ezzel jelents trterletet sprolhatunk meg.
9.2.4
Virtulis gp ltrehozsa
85
86
Network-based installation-nl a virtulis gpnk rklt hlzati krtyt fog kapni, hiszen itt
van lehetsgnk PXE boot-ra.
9.3
Virtulis gp belltsa
Miutn ltrehoztuk a virtulis gpnket, de mg nem indtottuk el, tovbbi eszkzket is hozzadhatunk, illetve egyb belltsokat is megadhatunk. Nzzk ezeket:
Az Add hardware rsznl tovbbi eszkzket adhatunk hozz, legyen az SCSI, LAN FC
vagy RemoteFX videokrtya.
87
88
Az IDE s SCSI vezrlknl tudunk tovbbi VHD lemezeket hozzadni gpnkhz, IDE csatornnknt maximum 2-t, SCSI krtynknt 128-at.
89
Az jdonsg a Windows Server 2008-hoz kpest a hlzat kezels, ahol szintn adhatunk
minimum fenntartott, s maximlis svszlessget. Ez klnsen hasznos lehet, ha ms
cgeknek hosztolunk virtulis gpeket, vagy a webkiszolglnknak alloklni szeretnnk a
szksges svszlessget:
Itt tudjuk engedlyezni a VLAN azonostst, a hardvergyorstst, amennyiben a hlzati krtynk ezt tmogatja, illetve a specilis kpessgeket, ami szintn j a Windows Server 2012ben:
90
A virtulis hlzati krtynak tudunk MAC cmet adni, ha fizikai gprl migrlunk, s bizonyos szolgltatsok, vagy licencek MAC cmhez vannak ktve. Ha nem adunk meg egyni
MAC cmet, a Hyper-V egy dinamikus tartomnybl automatikusan kioszt egyet. Engedlyezhetjk a MAC spoofing-ot, ha bizonyos szolgltatsok tbb MAC cmen mkdnek, vagy
a virtulis gpnek cserlnie kell a MAC cmt. Alapbl ez a szolgltats biztonsgi okokbl le
van tiltva.
A DHCP Guard letiltja a virtulis gpektl rkez DHCP zeneteket. Ha a virtulis gpeket
nem mi zemeltetjk, hanem alkalmazs-gazdk, vagy hosztolunk virtulis gpeket, akkor
rdemes bekapcsolni.
A Router Guard hasonl feladatot lt el, a virtulis gpek nem kldhetnek olyan zeneteket a
hlzatra, hogy k a helyi hlzat tjri (IPV6 Router advertisement)
A Port Mirroring lemsol minden forgalmat, amit a source hlzati krtyra rkezik, s tkldi egy msik virtulis gpre, ahol a Destination rtket vlasztottuk, gy elemezhetjk a virtulis gp forgalmt egy msik gpen.
91
Ha NIC teaminget nem a gazdagpen, hanem a virtulis gpen szeretnnk hasznlni, erre is
lehetsgnk van, ilyenkor az sszes virtulis hlzati krtynl engedlyezni kell, hogy tagja
lehessen NIC team-nek.
9.4
Virtulis gp zemeltetse
A virtulis gpeinket a Virtual Machine Connection programmal rhetjk el. A VMC kliens
RDP protokollt hasznl, hasonlan a tvoli asztali kiszolglhoz, de a 2179-es TCP portot
hasznlja. A gpeket ezen kvl a Hyper-V management console actions paneljbl is vezrelhetjk:
9.4.1
Pillanatfelvtelek
Snapshot, vagy pillanatfelvtel ksztsvel a virtulis gpnk aktulis llapott tudjuk menteni, belertve a VHD s a memria tartalmt. Erre a pillanatfelvtelre brmikor visszallhatunk, st, mindegyik virtulis gprl akr 50 pillanatfelvtelt is kszthetnk. Klnbz
funkcik teleptsekor, vagy bonyolultabb, tbblpses tesztelskor rdemes hasznlni, de
bizonyos kiszolglkon akr patchels eltt is kszthetnk snapshotot. Fontos, hogy tartomnyvezrlnl, SQL, vagy Exchange kiszolglnl a visszallts nem vrt eredmnyeket
hozhat, pldul a pillanatfelvtel ksztse ta rkezett levelek elvesznek, vagy a szmtgp
92
9.4.2
Virtulis gpeinket exportlhatjuk, importlhatjuk, s mozgathatjuk Hyper-V kiszolglk kztt. Amikor virtulis gpet importlunk, akkor betltjk nem csak a VHD llomnyt, de a
komplett konfigurcit, a hlzati belltsokat, s az esetleges pillanatfelvteleket is, illetve
megrizhetjk a virtulis gp azonostjt. Szemben a Windows Server 2008-al, importlni
nem csak egy msik gprl exportlt gpet tudunk, de megadhatunk egy mappt is, ahonnan
az importls varzsl behelyezi a gpet a Hyper-V konzolba. Ez a varzsl kijavtja a konfigurcis XML esetleges hibit, a lemezek tvonalait, stb. gy knnyebben tudunk gpeket
importlni egy meghibsodott Hyper-V hosztrl. Importlskor arra is lehetsgnk van,
hogy egy exportlt gp msolatt importljuk vissza, gy az eredeti exportot ksbb brmikor
felhasznlhatjuk.
Exportlskor megadhatjuk, hogy a virtulis gp legutols llapott szeretnnk exportlni,
vagy az sszes rgebbi pillanatkpre is szksgnk lesz. Az exportls semmilyen hatssal
nincs az eredeti virtulis gpre.
Mozgatskor kt lehetsg kzl vlaszthatunk:
Virtulis gpek mozgatsa hosztok kztt: Windows Server 2012-t futtat Hyper-V
3-as hosztok kztt mozgathatunk gpeket Live Migration hasznlatval, vagyis a virtulis gpek lelltsa nlkl
Adatok mozgatsa hoszton bell: klnbz ktetek kztt mozgathatjuk a teljes virtulis gpet, vagy csak bizonyos komponenseit, pl. VHD-t, a pillanatfelvteleket vagy
a konfigurcis llomnyokat.
9.4.3
Live Migration
93
A Live Migration rsznl engedlyezzk a migrlst mindkt hoszton. Lehetsgnk van egy
idben tbb Live Migration-t engedlyezni, gy gyorsabban tudunk kltzni egyik hosztrl a
msikra.
Majd vlasszunk ki egy tetszleges gpet, s a helyi menben vlasszuk a Move opcit:
Az els lehetsg a virtulis gpet migrlja hosztok kztt, a msodik a hoszton bell helyezi
t.
A Move virtual machine rsznl meg kell adnunk a clszmtgpet, majd meg kell adnunk,
hogy milyen mappkba szeretnnk helyezni a virtulis gpnket:
94
Az utols lehetsget (Move only the virtual machine) akkor tudjuk hasznlni, ha a virtulis
gpeinket kzs storage-on troljuk. Ilyenkor az Offloaded Data Transfer (ODX) hasznlatval nem a hosztok kztt kltzik a gp, hanem a storage belsejben, ezzel nem terheli a
hosztokat, a hlzat, s sokkal gyorsabban mozgathatjuk gpeinket.
A clmappa megadsa utn pedig el is kezdhetjk a virtulis gpnk mozgatst. Ez a funkci
nem mkdik klnbz processzorral rendelkez gpek kztt, teht nem tudunk AMD-rl
Intel hosztra migrlni.
9.4.4
Hyper-V replikci
A Hyper-V replika lehetv teszi, hogy ugyanazt a virtulis gpet kt klnbz hoszton futtathassuk, az egyik gpen egy on-line, a msikon egy offline pldnyban, gy egy esetleges
lellskor a msik gpen fut msolat elindthat, s kpes kiszolglni a hlzati krseket.
Replikci esetn klnbz tpus hosztokat s kln storage-okat hasznlhatunk, st a kt
kiszolgl lehet akr kln telephelyen is. A virtulis gp kt pldnya folyamatos szinkronban van, s brmikor tterhelhet a msik hosztra. A replikci kiptse utn tesztelhetjk a
tervezett s a nem tervezett kltzst is.
A replikcit engedlyeznnk kell mindkt kiszolgln, majd meg kell adnunk, hogy HTTPn, vagy HTTPS-en szeretnnk a replikcit futtatni. Az els esetben az adataink titkostatlanul
mennek t a hlzaton, a msodik esetben viszont tanstvnyokat kell konfigurlnunk. Tesztelsnl hasznlhatunk HTTP-t is, de les krnyezetben ersen javasolt a titkostott csatorna
hasznlata.
95
A fogad hoszton engedlyeznnk kell a bejv replikcit, meg kell adnunk, hogy milyen
protokollt szeretnnk hasznlni, illetve honnan fogadunk el bejv replikcit, illetve, hogy a
repliklt gpeket hol szeretnnk trolni.
Ezutn a kld hoszton ki kell vlasztanunk a replikland gpet, majd Enable replication.
96
A varzslban meg kell adnunk a replika szervert, ahov repliklni szeretnnk, a kapcsolathoz
hasznlni kvnt protokollt:
97
A visszalltsi pontok kivlasztsa utn pedig meg kell adnunk, hogy a kezdeti replikcit a
hlzaton szeretnnk tkldeni, vagy kls adathordozn juttatjuk el a msik gpre. Ha msik
telephelyre repliklunk, rdemes a msodik opcit vlasztanunk:
Ezutn kezdett veszi a kezdeti replikci, majd egy id utn a gpek szinkronizlt llapotba
kerlnek. Ekkor van lehetsgnk a virtulis gp Replication gyorsmenjben tesztelni a
replikcit, egy esetleges failovert, vagy tervezett tllst.
98
10 Csoporthzirend
A csoporthzirend (Group Policy) a Windows Server opercis rendszereinek egy funkcija,
amivel megoldhat a felhasznlk, a szmtgpek s a felhasznli munkakrnyezetek viselkedsnek s jogosultsgainak szablyozsa. Ha egy felhasznlra vagy szmtgpre tbb,
esetleg egymssal tkz hzirend-bellts vonatkozik, a kvetkez sorrendben kerlnek
vgrehajtsra (a ksbb vgrehajtott fellrja a korbbit):
helyi szmtgp
hely (site)
tartomny
szervezeti egysgek (OU)
99
User Data Management: Minden olyan fjl, dokumentum, tblzat elrhetv ttele,
amely a felhasznl napi munkjhoz tartozik. Ez csoporthzirend szinten azt jelenti,
hogy a felhasznl szmtgpt gy lltjuk be, hogy pl. a munkjt egy kzponti
megosztsbl vgezze, amelyen mi rendszeres mentst vgznk.
Software Installation and Maintenence: Megtehetjk, hogy egy alkalmazst hozzrendelnk (assign) a felhasznlhoz, amely akkor telepl, amikor a felhasznlnak valban szksge van r. Megtehetjk azt is, hogy egy alkalmazst kiadunk a felhasznl
rszre, amit, amikor szksge van r, nllan telepthet. Az gy publiklt alkalmazsokat a Control Panel Programs and Features rszben talljuk meg.
User Settings Management: Itt visszallthatjuk a felhasznl korbbi belltsait.
Csoporthzirenddel szablyozzuk a felhasznl, illetve a szmtgp belltsait. Itt
olyanokat tallunk, mint pl.:
o Felhasznl szinten: Internet Explorer kedvencek, Outlook Express, Outlook
belltsok.
o Szmtgp szinten: Energiagazdlkodsi lehetsgek, szmtgp belltsai a
fjlok offline hasznlatra vonatkozan, szemlyes tzfal belltsok.
10.1
Computer Configuration
User Configuration
100
10.2
A szmtgp elindul
A felhasznl bejelentkezik
Alkalmazs vagy a felhasznl kr egy frisstst
A csoporthzirend automatikusan frisstdik alaprtelmezett vagy mdostott belltsok szerint.
A csoporthzirend-kliens pull modell alapjn dolgozik. Alaprtelmezsben a csoporthzirend a tartomnyvezrlk esetben 4 percenknt, szmtgpek esetben minimum 90, maximum 120 percenknt hajtdik vgre automatikusan. A vllalat aktv klienseinek a szmtl
fggen az idintervallumot kisebbre is vehetjk, stlusosan mindezt csoporthzirendbl. A
Computer Configuration\Administrative Template\System\Group Policy alatt tallhatjuk a Set
101
group policy refresh interval for computers lehetsget. Itt a vlasztsi lehetsg elg szles,
hiszen 0-tl 44641 percig llthatunk. A 0 tulajdonkppen azt jelenti, hogy 7 msodpercenknt
frisstdik a csoporthzirend. Br a kliensek szmtl ersen fgg, de nem rdemes nagyon
rvid idintervallumot hasznlni a hlzat terhelse miatt.
A Group policy frisstse a kliens oldalrl kiknyszerthet, ha a megadott automatikus vgrehajtst nem szeretnnk kivrni. A parancs neve gpupdate, s mind a szmtgp, mind a
felhasznli rszt frissti. PowerShellben hasznlhatjuk az Invoke-Gpupdate parancsot.
10.3
Biztonsgi belltsok
10.3.1 Auditls
A csoporthzirendben lehetsgnk van a felhasznlk tevkenysgeit naplzni. Az event
logban alaprtelmezetten belltva mr megtallhatjuk a security log-ot, viszont elkpzelhet,
hogy sokkal tbb informcikra van szksgnk, mint amit ott megtallunk. Milyen esetek
fordulhatnak el egy vllalat letben, amelyeket rdemes lehet naplzni?
Audit account logon events (fikbejelentkezs naplzsa): Akkor naplz, amikor a hlzatunkban trtnt egy sikeres vagy sikertelen ki- vagy bejelentkezs.
Audit accounting management (fikkezels naplzsa): fikok vagy csoportok ltrehozsa, mdostsa, trlse, tnevezse, engedlyezse, tiltsa, jelszavak belltsa
vagy megvltoztatsa.
Audit object access (objektum-hozzfrs naplzsa): A rendszer objektumai a fjlok,
mappk, nyomtatk stb. Minden objektum hozzfrssel kapcsolatos tnykeds esemnyt vlt ki, ami bejegyzsre is kerl a naplba.
Audit system events. (rendszeresemnyek naplzsa): Az opercis rendszer elindulsa, lellsa s minden rendszerbiztonsgi esemny feljegyzsre kerl.
102
10.4
jdonsgok
Ahogy eddig szinte minden Windows Server 2012 komponensnl, itt is trtntek vltozsok,
melyek mellesleg igen hasznosak.
Az elz vltozatban, ha ltrehoztunk egy csoporthzirend objektumot, azt nem tudtuk elrni,
hogy ez a kzeljvben vgre is hajtdjon. Jelenleg is az opercis rendszerek rszt kpezi a
gpupdate parancs, amelynek segtsgvel ki tudjuk erszakolni a kliens gpen a policy
vgrehajtst, viszont ez olyankor problmt okozhat, ha egy szervezeti egysg (OU) tbb
ezer felhasznlt s/vagy szmtgpet tartalmaz. Ennek a problmnak a megoldsra jtt
ltre a Force Update, amely 10 percen bell vgrehajtja az adott szervezeti egysgre kiadott
csoporthzirendet. A parancs a Group Policy Management Console-bl rhet el, jobb klikk a
szervezeti egysgre s eltn menbl mr lthatjuk is a lehetsget.
103
A parancs vgrehajtsnak hatsra lthatjuk, hogy az adott szervezeti egysgben lv hzirend vgrehajtdott-e a benne lv sszes objektumon. A kpernyn megjelen listt elmenthetjk egy csv fjlba.
A msik jdonsg a Status detection, ezt szintn a Group Policy Management Console-ban
rjk el. Csak vlasszuk ki a tartomnyunkat, s a jobb oldalon megjelen status alatt a Detect
Now-t megnyomva, a tartomnyvezrlnk nyit egy kommunikcit az sszes tbbi tartomnyvezrl fel azzal a cllal, hogy megvizsglja a SYSVOL knyvtr tartalmt s
replikci sikeressgt.
Termszetesen az j csoporthzirendben szmos Windows 8 policy-t is tallunk. gy az j
Windows 8 szmtgpeinket is tudjuk szablyozni a csoporthzirend all.
104
A Group Policy Result kibvlt, s a hibajavtsok egyik f clpontja lesz. Ha egy felhasznlra vagy egy szmtgpre nem hajtdik vgre egy hzirend, itt knnyen beazonosthatjuk a
hiba okt. A Group Policy Result varzsl megkrdezi a szmtgp, majd a felhasznl nevt, s a rjuk rvnyes csoporthzirendeket kirtkeli. Az sszefoglaln csak a legfontosabb
sttuszok jelennek meg, ellenben a Details-en mr alaposabb vizsglatra van lehetsgnk. A
Component Statusban lthatjuk, hogy az egyes sszetevk, mint pl. a Group policy infrastruktra, a registry vagy security settings, a vonal sebessgnek fggvnyben mennyi id alatt
hajtdtak vgre, illetve mikor trtnt az utols vgrehajts. Events fl egy csoporthzirend
esemny napl, amelyben az id tekintetben lthatjuk a csoporthzirendek vgrehajtsnak
sikeressgt mind szmtgp, mind felhasznl tekintetben.
Az AppLockert mr ismerhetjk a Windows Server 2008 R2-es verzibl. Az AppLocker
segtsgvel tudjuk szablyozni, hogy a vllalatunknl milyen programokat (executable rules),
teleptsi forrsokat (Windows Installer rules), PowerShell, Visual Basic, JavaScript scripteket (Script rules) tudunk futtatni.
Szrsi lehetsgnk addik a kvetkezkre:
Gyrt neve
Termk neve
Fjl neve
Fjl verzija
Szably vgrehajtsa
Engedlyez szably
Tilt szably
Kiknyszerts, vagy csak a naplzs bekapcsolsa
A Windows Server 2012-ben az emltett hrom lehetsgen kvl tallunk egy negyediket is:
Packaged App Rules. Ennek segtsgvel tudjuk engedlyezni vagy ppen tiltani a Windows
App Store-rl letlttt alkalmazstpusokat. A varzslban meg kell adnunk a felhasznlk
krt, az engedlyez vagy tilt szablyt. Referenciaknt meg kell adnunk egy alrt appx
telept referencia fjlt, amely alapjn a csoporthzirend ltrehozza a szksges szablyt. A
hzirendet itt talljuk Computer Configuration\Policies\Windows Settings\Security
Settings\Application Control Policies\Applocker.
105
A Bing Weather teleptst s indtst tiltjuk. Ha mr teleptve van a gpnkre, akkor indtsakor a lenti zenetet kapjuk.
106
11 Tvelrs
A felhasznlk munkastlusa alapveten vltozott meg az elmlt vekben. A tvmunka, a tbb
eszkz hasznlata, s az llandan ton lv felhasznlk folyamatos hozzfrst ignyelnek
a cg bels erforrsaihoz, legyen az kis- kzp- vagy nagyvllalat. A Windows Server 2008
R2-ben bemutatott DirectAccess ezt a feladatot hivatott megvalstani, a Windows Server
2012-ben pedig kikszrltek minden olyan hinyossgot vagy bonyolultsgot, ami miatt a
2008-as rendszerben nem lltunk neki a bevezetsnek.
Termszetesen a Windows Server 2012-ben a tradicionlis VPN megoldsok is elrhetek,
mint a PPTP, L2TP, SSTP vagy az IKEv2. Ezek a szolgltatsok viszont kevesebb funkcival
brnak, ezen keresztl a kliens gpek nem menedzselhetek, nem esik rjuk csoporthzirend,
nem pl fel a kapcsolat automatikusan a gp bekapcsolsakor, stb.
Az egysges zemelteti felleten, egy helyen konfigurlhatjuk a DirectAccess s a VPN belltsokat is.
11.1
DirectAccess
A Windows Server 2012-ben tallhat DirectAccess szolgltats segtsgvel a tvoli szmtgpeken felhasznlk beavatkozsa nlkl, a kliens bekapcsolsakor automatikusam bejelentkezik a kzponti kiszolglra, elrik az infrastruktraszolgltatsokat (AD, DNS, Group
Policy, stb.) Ez zemelteti oldalrl knnyti meg a dolgunkat, hiszen a frisstsek, csoporthzirend belltsok kikerlnek a tvoli gpekre, s menedzselhetek a megszokott felgyeleti
rendszerrel, pl. SCCM. A DirectAccess alapja az IPv6 protokoll, gy minden olyan alkalmazs kpes DA-n keresztl kommuniklni, ami tmogatja az IPv6-ot
11.1.3 DA komponensek
A DirectAccess infrastruktra kiptshez a kvetkez komponensekre lesz szksgnk:
DA Server: brmelyik, tartomnyba lptetett Windows Server 2012. Ez a gp lesz a hitelestsi kiszolgl, illetve az IPSec csatorna vgpontja
DA kliens: brmelyik Windows 8, Windows 7 Enterprise, vagy Windows 7 Ultimate
Edition-t futtat kliensgp
Network Location Server: egy webszolgltats, ami alapjn a kliensek eldntik, hogy
a bels vagy a kls hlzaton tartzkodnak. Ha HTTPS-el elrik az NLS kiszolglt,
akkor bels hlzaton vannak, s kikapcsoljk a DA szolgltatst, ha nem rik el, akkor megprbljk felpteni a DA csatornt.
Bels erforrsok: brmilyen, IPv6-ot tmogat bels kiszolglt megadhatunk, amit a
DA kliensek elrnek. Ha az erforrsok nem tmogatjk az IPv6-ot, a Windows Server
2012 kpes tfordtani a protokollt NAT64 segtsgvel, illetve a nvfeloldst is
DNS64-el
Active Directory: A DA hasznlathoz mindenkppen AD-re van szksgnk, a minimum tartomnyi mkdsi szint Windows Server 2008 R2. A 2012-es DA tmogatja a tbb tartomnyos mkdst is.
Csoporthzirend: a kliens belltsokat csoporthzirenden keresztl tudjuk kikldeni.
A DirectAccess belltsa varzsl ltrehozza a szksges csoporthzirendobjektumokat, mind a kliensek, mind a kiszolglk szmra.
PKI: nem ktelez komponens, de ha bezemeljk, egyszersthet a tartomnyi hitelestsi folyamat.
DNS: A DNS kiszolglnknak legalbb Windows Server 2008R2-nek kell lennie
NAP kiszolgl: ha szeretnnk a kliens gpek egszsggyi llapott ellenrizni DA
csatlakozskor, esetleg bizonyos biztonsgi belltsokhoz ktni a csatlakozst, javasolt a NAP infrastruktra hasznlata.
11.1.4 NRPT
Ahhoz, hogy el tudjuk vlasztani a bels hlzati s az Internetes kommunikcit a kliens
gpeinken, Name Resolution Policy Table-t (NRPT) kell szerkesztennk. Ez a szolgltats
elre meghatrozott hzirend alapjn sztvlasztja a DNS krseket kls s bels krsekre.
Ha a DNS krs bels nvre hivatkozik, akkor a cg bels hlzatn lv DNS server vlaszol, s a forgalom is a DA csatornra tereldik. Ha a krs nincs rajta az NRPT tbln, akkor
a kliens az Internet-kapcsolat DNS kiszolgljt krdezi meg.
kls hlzaton van, be tud jelentkezni a tartomnyba, lefut a bejelentkezsi parancsfjl, rvnyesl a csoporthzirend, felveszi a kapcsolatot az infrastruktra kiszolglkkal, stb.
109
Az Edge topolginl kt hlzati krtyra van szksgnk, egy Internetes csatlakozssal, egy
pedig a bels hlzat fel.
A msodik opcinl a DA szerver tzfal mgtt van, egyik lba a bels hlzatra, a msik a
DMZ hlzatra csatlakoztatva
A harmadik opci egy hlzati krtyt s egy IP cmet ignyel, itt viszont csak IP-HTTPS
technolgit hasznlhatunk.
110
Ha kivlasztottuk a szmunkra megfelel topolgit, meg kell adnunk a kiszolgl kls nevt, ahov az Internetes kliensek csatlakoznak. Egy, erre a nvre szl tanstvnyt a rendszer
automatikusan legenerl, majd csoporthzirendbl kikldi a kliensgpekre, mint megbzhat
tanstvny.
Az egyszer belltsi varzsl ezzel kszen is van, a kvetkez belltsokat vgzi el:
ltrehoz 2 hzirendet, a kliens s a kiszolgl belltsra, megadva az NRPT, NLS
belltsokat
Belltja a tvelrsi jogosultsgot a Domain Computers tartomnyi csoportra, ez
ksbb mdosthat, ha az ltalunk ltrehozott csoportot szeretnnk engedlyezni
A DA-t nem tmogat eszkzk szmra engedlyezi a VPN hozzfrst, Windows
hitelestssel. Alaprtelmezsknt a VPN kliensek a bels DHCP kiszolgltl kapnak
IP cmet.
Belltja az infrastruktra kiszolglkat, amelyek a hitelestst fogjk vgezni
A konfigurls befejezse utn egy sszefoglal kpernyt kapunk a DA infrastruktrnkrl,
illetve mdosthatunk is a belltsainkon:
11.2
VPN Kiszolgl
112
113
Allow Access: a felhasznl hozzfrst kap a VPN kiszolglhoz, fggetlenl a tvelrsi hzirendektl. Ez a bellts nem javasolt, mert zemeltetsi szempontbl nehezen nyomon kvethet, hogy kinek van hozzfrse.
Deny Access: a felhasznl explicit tiltst kap, fggetlenl a hzirendektl.
Control access through NPS Network Policy: A hozzfrst tvelrsi hzirendbl,
kzpontilag szablyozzuk.
11.2.2 Hzirendek
VPN s egyb tvelrsi hzirendeket, pl. NAP vagy 802.1x szablyokat a Network Policy
Serveren (NPS) hozhatunk ltre.
114
A szksges hzirendeket a varzslbl is ltrehozhatjuk, ha a bal fels sarokban az NPS (local) kiszolgln a Radius Server for Dial-up or VPN Connections konfigurcit vlasztjuk:
115
EAP: bvthet hitelests, akr intelligens krtyval, akr tanstvnnyal, de akr jelszval is azonosthatjuk a felhasznlinkat. Rszletesebb lers:
http://technet.microsoft.com/en-us/network/bb643147.aspx
MS-CHAPv2: ktirny, Windows jelszavas hitelests. Lers:
http://technet.microsoft.com/en-us/library/cc957983.aspx
MS-CHAP: rgebbi klienseken hasznlhat hitelests
Ha lehetsgnk van, hasznljuk az EAP alap hitelestsi mdszert, itt is tbb opci kzl
vlaszthatunk:
Smart Card or Other Certificate: intelligens krtys vagy egyb tanstvnnyal azonostjuk a felhasznlinkat, hasznlathoz PKI infrastruktra szksges
PEAP: TLS-el titkostott csatorna, hasznlathoz kiszolgli tanstvnyra van szksgnk. A csatornn bell hasznlhatunk jelszavas vagy tanstvny alap hitelestst
EAP-MSCHAPv2: szintn kiszolgli tanstvny szksges a hitelestshez. Kevsb
biztonsgos, mint a PEAP protokoll
A kvetkez lpsben ki kell vlasztanunk egy felhasznli csoportot, akik VPN hozzfrst
kapnak. Javasolt egy kln erforrs-csoportot ltrehozni (pl. tvelrsi felhasznlk), s ebbe
a csoportba behelyezni a felhasznlinkat vagy csoportjainkat.
Az IP filternl korltozhatjuk, hogy a VPN felhasznlk a hlzat mely rszhez frhetnek
hozz, kimen s bejv szrk hasznlatval.
A VPN titkostsnl kivlaszthatjuk, milyen kulcshosszsg biztonsgi szintet szeretnnk
hasznlni:
Ha mindhrmat bekapcsolva hagyjuk, a VPN kiszolgl elszr a legnagyobb kulcs titkostssal prblkozik, s ha a kliens ezt nem tmogatja, cskkenti a titkostst. Bizonyos kliensek
csak 40-bites titkostst kpesek hasznlni, teht rdemes mindhrom opcit engedlyezni.
A realm name kihagysa utn (ezt csak bizonyos szolgltatk ignylik) az sszefoglal kpernyn lthatjuk, hogy ltrehoztunk egy kapcsolatkrelmi hzirendet (connection request policy) s egy hlzati hzirendet (Network policy) is.
Ezzel kszen is vagyunk a hzirendek ltrehozsval, nzzk is t a Network policy-t:
A szably tulajdonsgait megnyitva, az Overview fln kapcsolhatjuk ki/be a szablyt, illetve
megadhatjuk, hogy engedlyez/tilt szablyrl van sz pl. munkaidben tiltjuk a VPN-t
illetve fellbrlhatjuk az AD-ben belltott engedlyezst.
A Conditions fln tovbbi feltteleket adhatunk meg, pl. mikor jelentkezhetnek be a felhasznlink:
116
Ezzel a kiszolgl oldallal kszen vagyunk, nzzk a VPN kliens oldali belltst.
A VPN kapcsolatot ltrehozhatjuk kzzel, csoporthzirendbl, vagy a Connection Manager
Administration Kit (CMAK) hasznlatval is. Nzzk a kzi belltst:
117
118
119
120
A Windows Server Backup lehetsget ad arra is, hogy n. Bare Metal Restore-t (opercis
rendszer nlkl visszallts) hajtsunk vgre, amennyiben a mentett szmtgp teljesen tnkremegy, a Windows Recovery Enviroment segtsgvel egy msik gpre a komplett felteleptett Windows-t kpesek vagyunk visszalltani.
12.1
A Microsoft j, felh alap mentsi megoldsa, mely a Windows Azure platformot hasznlja
az adatok trolsra, a kvetkez elnyket nyjtja:
Egyszer fellet, a szolgltats bepl a Windows Server Biztonsgi Ments konzolba
Blokk-szint klnbzeti ments
Adatok tvitele tmrtett s titkostott formtumban
Adatmegrzsi hzirend segtsgvel megadhatjuk, meddig szeretnnk megrizni a
mentseket
Adatintegrits ellenrzse a felhben.
A Windows Online Backup mint elfizets vsrolhat, s kizrlag fjlokat s mappkat
kpes menteni, pl. rendszer-llapotot, Exchange vagy SQL adatbzist nem. Ezrt ez a megolds inkbb kiegszti a Windows Server Biztonsgi Msolatot, nem helyettesti.
Hasznlathoz elszr regisztrlnunk kell a szolgltatsra, majd a kapott felhasznlnv s
jelsz segtsgvel regisztrlnunk kell kiszolglnkat a Microsoft Online Backup felhbe. A
rendszer jelenleg tesztelsi fziban mkdik, ingyenesen kiprblhat, de maximum 10GBnyi adatot tlthetnk fel. Sikeres regisztrci utn a fellet ugyangy mkdik, mintha helyi
mentst vgeznnk.
121
12.2
Rendszerllapot mentse
Active Directory
DNS
DHCP
Fjl- s nyomtatszolgltatsok
Tanstvny kiszolgl
IIS
tvlaszts s tvelrs
Segtsgvel a rendszer meghibsodsa esetn knnyen visszallhatunk egy rgebbi, mg mkd llapotra.
Biztonsgi ments temezse
A ments temezshez indtsuk el a Windows Server Biztonsgi Ments programot:
122
A ments temezse gombra klikkelve elindul a biztonsgi ments varzsl, ahol a kvetkez
paramtereket kell megadnunk:
Teljes ments vagy egyni mentst szeretnnk idzteni
Az egyni mentsnl megadhatjuk, milyen meghajtkat szeretnnk menteni, illetve
szeretnnk-e bare metal restore-t vagy system state mentst vgezni
Az idztsnl megadhatjuk, milyen napokon s rkban szeretnnk futtatni a mentst.
123
12.3
Fjlok visszalltsa
124
12.4
Kiszolgl helyrelltsa
12.5
Parancssori eszkzk
Ugyan a biztonsgi ments programhoz vannak PowerShell Cmdlet-ek, de van sajt parancssori alkalmazsa, a wbadmin.exe:
125
126
13 Tvtelepts
A Windows Deployment Services hasznlatval hlzaton keresztl tudunk opercis rendszert terteni a fizikai s virtulis gpeinkre. A hlzati teleptshez nincs szksgnk DVD
lemezekre, USB eszkzkre, illetve egy idben akr tbb gpet is telepthetnk.
Elnyei:
Kliens s kiszolgl gpek gyorsabb, egyszerbb teleptse
Mixed mdban telepthetnk Windows XP, 2003, Windows 7, Windows 8, s Windows Server 2008, 2012-es opercis rendszereket
Egysges krnyezetet alakthatunk ki
A beptett Windows PE szolgltatsokat hasznlja, gy hardver fggetlenl telepthetnk
Egy idben tbb gpet telepthetnk multicast cmzs segtsgvel
Ltrehozhatunk cges referencia opercis rendszert, amit ksbb terjeszthetnk
WDS-el
Illesztprogramokat tudunk illeszteni a teleptsi krnyezetnkbe.
13.1.2 Felttelek
A Windows Deployment Services teleptshez szksgnk lesz egy AD cmtrra (kivve
standalone server mode), DNS, DHCP kiszolglra, s javasolt egy kln NTFS partcit
fenntartani a telepts fjloknak. A WDS kiszolgl lehet tartomnyvezrln vagy tartomnytagon, s telepthetjk fizikai vagy virtulis gpre is.
13.1.3 Mkds
A WDS krnyezet hlzati bootolsi krnyezetet (PXE) ignyel. A telepteni kvnt gp PXErl indul, majd els lpsben a DHCP kiszolgltl kr IP cmet, illetve informcit a TFTP
(trivial FTP) kiszolglrl. Miutn felvette a kapcsolatot a TFTP kiszolglval, letlt egy kivlasztott Windows PE-t, ami lehet telepts krnyezet, x86 vagy x64-es, lemezkp kszt,
vagy akr testreszabott, karbantart Windows PE is akr.
Ha teleptsi Windows PE-t vlasztunk, akkor a PE betlti a hlzati s lemezkezel meghajt-programokat, s elindtja a Windows teleptt. A WDS alaprtelmezsknt belpteti a gpet
az Active Directory tartomnyba, s automatikusan elnevezi a szmtgpet.
127
Telepts utn testre kell szabnunk a WDS kiszolglnkat, akr a konzolbl, akr a WDSUtil
parancssori eszkz hasznlatval. Mi most a grafikus felletet nzzk vgig:
A testreszabs sorn meg kell adnunk, hogy AD integrlt, vagy standalone WDS kiszolglt
szeretnnk-e konfigurlni, majd meg kell adunk egy NTFS partcit, ahol a teleptsi fjlokat
troljuk. A kvetkez bellts a DHCP-re vonatkozik:
128
Amennyiben a DHCP kiszolgl a helyi gpnkn fut, a WDS-t gy kell belltanunk, hogy
ne tkzzn a DHCP-vel, teht ne figyeljen a DHCP s DHCPv6 portokon, illetve lltsa be a
helyi DHCP servert, hogy ossza ki a 60-as PXE belltsokat, gy a PXE-vel indul DHCP
klienseink megtalljk a TFTP kiszolglt.
A WDS kiszolglnkat telepthetjk gy, hogy csak az elre megadott klienseknek vlaszoljon, ilyenkor a kliens gpeink GUID azonostjt elre fel kell konfigurlnunk, vagy vlaszthatjuk azt, hogy minden kliensnek vlaszoljon, ami azonban biztonsgi kockzattal jr: ebben
az esetben brki teleptheti a cges Windows lemezkpeket, akr a sajt notebookjra is. Ebben az esetben megadhatjuk, hogy rendszergazdai beavatkozs szksges a telepts elkezdshez:
Ezutn a WDS elindtja a szksges szolgltatsokat, majd hozz kell adnunk az indtsi s
teleptsi WIM llomnyt.
129
A WDS konzolon tudjuk felvinni az indtsi lemezkpeinket, a Boot Images rsznl, az Add
Image segtsgvel. Indtsi lemezkpbl mindig rdemes a legjabbat hasznlni, pldul a
Windows 7 SP1 vagy Windows 8-as boot llomnyt, illetve a kliens gpeinktl fggn rdemes felvenni az x86-os s x64-es WIM llomnyokat egyarnt. A felvett lemezkpekbl
tudunk majd n. Capture Image-et ltrehozni, amellyel egy mr elre felteleptett opercis
rendszert tudunk visszamsolni a teleptsi kiszolglnkra.
Az Install Image rsznl, elszr rdemes megfelel mappkat vagy image group-okat ltrehozni a klnbz opercis rendszereinknek, majd fel kell msolnunk a Windows telept
DVD-rl az install.wim llomnyunkat. A teleptsi lemezkp ltalban adott opercis rendszer tbb verzijt is tartalmazza, s ki tudjuk vlasztani, mely verzikat szeretnnk hasznlni
cgnknl.
130
Ha az sszes szksges driver csomagot hozzadtuk a WDS-hez, a csomagokat be kell helyeznnk a teleptsi BOOT.WIM llomnyunkba az add driver package to Image menben:
131
Ezutn brmilyen tpus gpen el tudjuk indtani a WDS kliens krnyezetnket, s tudjuk
telepteni a kivlasztott opercis rendszert
132
Ha a WDS kiszolglt gy lltottuk be, hogy az ismeretlen gpekre csak rendszergazdai engedlyezssel lehet telepteni, akkor ennl a lpsnl engedlyeznnk kell a gpet a WDS konzol pending devices rsznl:
133
Referencia gp teleptse
Testreszabs
Driverek, patchek, frisstsek teleptse
Referencia gp lezrsa
WIM llomny ltrehozsa s visszamsolsa a WDS kiszolglra.
134
Ha a sysprep sikeresen lefutott, akkor a WDS kiszolgln ltre kell hoznunk egy n. capture
image-et. Ez a begyjt lemezkp fogja felmsolni a mr meglv opercis rendszernket
a WDS kiszolglra.
A capture fjlt le kell mentennk egy tmeneti helyre, illetve meg kell adni a nevt s a
lerst:
135
Miutn a WDS konzol elksztette a capture lemezkpnket, vissza kell tltennk a WDS
kiszolglra:
136
137
138
14 PowerShell 3.0
A Windows Server 2012-ben a PowerShell hasznlatval szerepkrket s szolgltatsokat
telepthetnk, konfigurlhatunk, s egyb kiszolgl szoftvereket Exchange, Sharepoint,
System Center 2012 zemeltethetnk. A grafikus fellet alkalmas a napi munkk elvgzsre, a PowerShell hasznlatval pedig specilis feladatokat, vagy automatizlsokat hajthatunk
vgre. Bizonyos funkcikat pedig kizrlag PowerShellbl tudunk elrni. A Windows Server
2012 zemeltetshez hasznos, st, szinte elengedhetetlen a PowerShell ismerete.
14.1
Mi az a PowerShell?
A PowerShell sokkal tbb, mint egy egyszer parancssori eszkz: Objektum-orientlt zemeltetsi krnyezet, ahol a rendszergazdk scripteket hozhatnak ltre, ktegelt mdostsokat
vgezhetnek, s a grafikus felleten nem elrhet funkcikat hasznlhatnak. Bizonyos programoknl (pl. Exchange) a grafikus fellet (GUI) is a httrben PowerShell cmdlet-eket futtat,
st, ezeket a parancsokat le is menthetjk, ha az adott feladatot automatizlni szeretnnk. A
PowerShellel hozzfrhetnk rengeteg objektumhoz, komponenshez, legyen az fjlrendszer,
Active Directory, registry, tanustvnytr, stb.
A PowerShell szintaxisa az ige-fnv, pl. get-command vagy new-user. Az ige lehet get-,
set-, new-, enable-, disable-, stb, a fnv pedig lehet brmilyen objektum, amit kezelni szeretnnk. Ezt a szerkezetet hvjuk cmdlet-nek. A cmdlet utn kvetkeznek a paramterek, amelyek parancsonknt vltoznak, de a kvetkez kategrikba sorolhatk:
14.1.2 Alias-ok
Az aliasok egy mr jl ismert parancs PowerShelles megfelelje, gy az eddigi scriptjeinek,
vagy megszokott parancsainkat tovbbra is hasznlhatjuk. A DIR parancs megfelelje a get-
139
childitem, vagy a copy parancs cmdlete a copy-item. Teljes listt a get-alias parancs segtsgvel krhetnk. Nhny plda:
Szintaxis-sznezs
Tabultoros kiegszts
Legrdl lista a parancsokhoz, paramterekhez s rtkekhez
Intelligens parancs-keress: ha csak nagyjbl emlksznk a PS cmdlet-re, az ISE felajnlja a hasonl parancsokat
Elrsi t megadsnl kivlaszthatjuk a megfelel mappt.
Vltozk betltse: a $ jel utn kilistzza a beptett, vagy ltalunk ltrehozott vltozkat
Parancsfgg sg
Hibakeress
A PowerShell ISE indtshoz nyissunk egy PS ablakot, s gpeljk be: ISE. A program megtallhat a Windows Server 2012 grafikus s n. Minimal User Interface verzijban is, s a
Windows 8-ban is.
Rszletesebb lers: http://blogs.msdn.com/b/powershell/archive/2012/06/13/intellisense-inwindows-powershell-ise-3-0.aspx
140
14.1.4 Sg
A sg elrshez rjuk be a get-help-et, utna a hasznlni kvnt parancsot:
get-help Get-Certificate
-detailed: rszletesebb sg
-examples: pldkkal illusztrlva
-full: teljes sg, pldkkal
-online: bngszben megnyitja a Microsoft Online Help oldalt a cmdlet szintaxisval
14.1.5 Modulok
A klnbz szolgltatsok s szerepkrk teleptsvel a PowerShell jabb modulokkal bvlnek. Ezek a modulok jabb cmdlet-eket tartalmaznak, az adott funkci felgyelethez. A
Hyper-V teleptsvel pldul feltelepl a Hyper-V nev modul. Ezeket a modulokat betlthetjk az Import-module-al, illetve a betlttt modulokat kilistzhatjuk a get-module cmdlet-tel:
import-module activedirectory
get-module
Ha valamilyen cmdlet nem elrhet, akkor vagy nem tltdtt be a modul, vagy nincs jogosultsgunk az adott utastshoz: A PowerShell csak azokat a parancsokat engedi hasznlni,
amihez jogosulstgunk van. Bizonyos alkalmazsok teleptsve (pl. Exchange) a szksges
modulok automatikusan betltdnek, gy hasznlhatjuk is a megfelel cmdlet-eket.
14.1.7 Vltozk
A vltozk hasznlatval adatokat tlthetnk be a memriba, illetve lekrdezhetjk azokat
egy adott PowerShell session-ben. Hasznos lehet, ha pldul ssze szeretnnk hasonltani rtkeket, vagy az egyik script kimenett szeretnnk betlteni vltozba, s egy msik scriptben
felhasznlni. A vltoz mindig $ jellel kezddik, utna pedig tetszlegesen elnevezhetjk, pl.
$jelszo. A vltoz trolhat szveget, szmot, objektumot, tmbt, stb.
A feltlts trtnhet a Set-Variable utastssal:
Set-Variable Name ADDS Value (Get-ADDomain)
14.1.8 Pipeline
A PowerShell objektum-alap krnyezet, gy az egyik cmdlet eredmnyt, mint rtket betlthetjk egy msik cmdlet bemeneteknt, pl. ha a tartomny sszes fikjt szeretnnk engedlyezni:
get-aduser filter * | enable-account
Mivel a betlttt rtk nem szveg, hanem objektum, arra is lehetsgnk van, hogy az objektum brmely attribtumt kezeljk. A pipe-ban lv adatra a $_-al tudunk hivatkozni, s csak
a parancs futsnak idejn rvnyes vltoz. Pldul, ha le szeretnnk krdezni a tiltott
fikokokat, s azokat engedlyezni, hasznlhatjuk a Where-Object cmdlet-et:
Get-ADUser | Where-Object {$_.Enabled eq $false} |
Enable-ADAccount
Format-list: A kimenetet lista formtumban rja ki. Kivlaszthatjuk, hogy melyik tulajdonsgot szeretnnk megjelenteni a property kapcsol megadsval, illetve hasznlhatjuk az FL aliast is a Format-List helyett. Pl:
[dell]: PS C:\Users\tibor\Documents>
DistinguishedName
Enabled
GivenName
Name
ObjectClass
ObjectGUID
SamAccountName
142
:
:
:
:
:
:
:
CN=Szentgyrgyi Tibor,CN=Users,DC=sztj,DC=local
True
Szentgyrgyi
Szentgyrgyi Tibor
user
a9e53b2e-d2af-4ab1-a817-9b4d55d912b9
tibor
SID
: S-1-5-21-2421604837-3390990232-3674951276-1109
Surname
: Tibor
UserPrincipalName : tibor@sztj.local
Format-table: Az eredmnyt tblzatos formban jelenti meg, minden rtk kln oszlop. Itt is hasznlhatjuk a property rtket,. s az FT rvidtst:
get-aduser tibor |ft -Property Name,userprincipalname
Name
userprincipalname
Szentgyrgyi Tibor
tibor@sztj.locall
Format-wide: minden objektum egy tulajdonsgt krdezi le, amit a property rtkkel
definilunk:
get-aduser
Guest
Administrator
Filkor Csaba
krbtgt
Szentgyrgyi Tibor
143
144
15.1.1 Komponensek
A Tvoli asztal segtsgvel a felhasznlk alkalmazsokat futtathatnak, vagy tvoli szmtgpeket rhetnek el RDP protokoll hasznlatval. Az alkalmazsok futhatnak Remote
Desktop Session Host-on (RDSH), ebben az esetben egy kiszolglt tbb felhasznl r el
egyidejleg. A kzsen hasznlt RDSH kiszolgln a felhasznlk nem kaphatnak rendszergazdai jogot, illetve nhny program nem biztos, hogy fut Windows Server 2012 alatt. A msik lehetsg, hogy a felhasznlk virtulis gpeken a mr megszokott Windows 7/ Windows
8 fellettel tallkoznak, s akr rendszergazda jogot is kaphatnak. Ezt a krnyezetet Remote
Desktop Virtualization Host-nak (RDVH) nevezzk.
Arra is lehetsgnk van, hogy az alkalmazsainkat weboldalon keresztl kiajnljuk a felhasznlknak (Remote Desktop Web Access), vagy a helyi gp start menjben a programok
kztt elhelyezzk a tvoli kiszolgl alkalmazsait (RemoteApp), ilyenkor a felhasznl
145
Virtual desktop deployment: a VDI egyszer teleptsnl a varzsl egy gpes krnyezetben sszelltja a komplett VDI infrastruktrnkat (Quick Config), neknk mr
csak a virtulis gpeket kell elksztennk, illetve az egyni alkalmazsainkat telepteni. VDI teleptsekor kt tipus virtulis gp gyjtemny kzl vlaszhatunk:
Pooled Collection
Personal Collection
A kzs virtulis gpeknl teht ugyanazt a virtulis gpet klnbz idben klnbz felhasznlk hasznlhatjk, s a gpen vgzett belltsok kilpskor trldnek. gy 100 virtulis
gpek 3 mszakban akr 300-an is hasznlhatnak. A felhasznlk belltsait - a
c:\users\felhasznlnv mappt pedig trolhatjuk kln VHD llomnyban, gy brmelyik
virulis gpre bejelentkezve a felhasznl ugyanazt a profilt kapja meg.
A szemlyes virtulis gp akkor hasznos, ha a felhasznlk a belltsaikat, programjaikat s
adataikat sajt gpen szeretnk trolni. Ebben az esetben, az Active Directoryban mindegyik
felhasznlhoz sajt VDI gpet rendelhetnk. Ezek a virtulis gpek nem futnak folyamatosan
146
a Hyper-V hosztokon, a felhasznl kijelentkezse utn mentsre kerlnek, s lekapcsoldnak. Adattrols szempontjbl sokkal tbb helyet foglalhatnak, de ha hasznljuk a Windows
Server 2012 data deduplication szolgltatst, ezt a helyet ersen lereduklhatjuk, hiszen a
klnbz VHD-k tartalma nagyrszben megegyezik.
Session Virtualization Deployment: ebben a forgatknyvben teleptsre kerl a
Remote Desktop Session Host, a Licensing Server, Connection Broker, RD Gateway,
s az RD Web Access, teht minden szksges komponens. Belltsukat egy egysges felleten tudjuk kezelni a Server Managerben. RDS teleptsnl is vlaszhatunk
standard vagy Quick teleptst, az els esetben tbb kiszolglbl ll farmot, a msodik esetben egy kiszolglk krnyezetet hozunk ltre.
15.2
Telepts
Egy tartomnyba, de kln fizikai gpekre telepthetnk VDI s RDS rendszert is.
Az els rszben a Session Virtualization-t nzzk vgig: A Server Manager/Add Roles varzsljbl elszr vlasszuk a Remote Desktop Services installation menpontot, majd a
Quick Startot, ha szeretnnk minden szolgltatst egy gpre telepteni, vagy a Standard
deployment-et, ha a klnbz szolgltatsainkat szt szeretnnk osztani klnbz szerverekre. Mi most a Quick startot mutatjuk be. Az RDS teleptshez, a kvetkez kpernyn
vlaszzuk a session-based dektop-deployment lehetsget:
A Quick start teht feltelepti az RD Connection Brokert, az RD Web Access-t a hozz kapcsold IIS szolgltatsokkal, s az RDSH szerepkrket.
147
Sikeres telepts utn az RDS kiszolglt a Server Manager/Remote Desktop Services rszben konfigurlhatjuk:
Az sszefoglal kpernyn lthatunk egy sszefog kpet az infrastruktrnkrl. Mint lthatjuk, az RD licensing s az RD Gateway tovbbi belltst ignyel. Ltrejtt azonban egy n.
QuickSessionCollection, ahol a kvetkezket mdosthatjuk:
148
Properties: az RDS kiszolgl alapbelltsait, csoportjogosultsgokat, kliensbelltsokat, User Profile Disk, stb.
RemoteApp Programs: alkalmazsokat publiklhatunk a Remote Web Access felletre, illetve a kliens gpekre
Host Servers: tovbbi RDSH gpeket adhatunk hozz a collection-hz.
Nzzk a collection tulajdonsgait: a QuickCollectionSet Properties rszben indtsuk el az
Edit properties taszkot:
149
Load Balancing: ha tbb RDSH kiszolglnk van, megadhatjuk, hogy melyik hoszton
mennyi kapcsolatot engedlyeznk, illetve mi legyen a kiszolgl relatv terhelse a
tbbi kiszolglhoz kpest.
Client Settings: megadhatjuk, hogy a felhasznlk milyen eszkzket hasznlhatnak,
pl nyomtat, PnP eszkzk, hang, stb.
User Profile Disks: itt engedlyezhetjk a felhasznli profil lemezeket, megadhatjuk a hlzati elrst, ahol a VHD fjlt szeretnnk trolni, ami tartalmazza a profilokat (pl. a felhasznl
kezdknyvtra, vagy profilmappja), illetve maximlis mretet adhatunk a VHD fjlnak.
Megadhatjuk, hogy minden, a profilban trolt tartalom kltzzn a VHD-ba, vagy csak megadott mappk, vagy minden mappa, kivve, amit kizrunk:
150
Miutn a Collection belltsait megadtuk, mr csak fel kell teleptennk az egyni alkalmazsainkat az RDSH hosztokra, amit szeretnnk, hogy a felhasznlk elrjenek, s mr hasznlhatjuk is az RDS infrastruktrnkat
151
152
futtathassk, egy szmlz, knyvel programnl pedig pl. a pnzgy csoportnak adhatunk engedlyt a program futtatsra.
File type Association: fjlkiterjesztsekhez rendelhetnk klnbz RemoteApp programokat. Ez a funkci az RDWeb-nl nem rhet el, csak azokrl a kliens gpekrl,
ahov csoporthzirendbl publikltuk. Ehhez egy j csoporthzirend-objektumot kell
ltrehoznunk a tartomnyban, s a to User Configuration -> Policies >Administrative Templates -> Windows Components -> Remote Desktop
Services -> RemoteApp and Desktop Connections rsznl a Specify Default
Connection URL rtkkt kell belltnunk valami ilyesmire:
https://RDWA1.corp.contoso.com/RDWeb
153
Ahhoz, hogy a felhasznlk fel tudjanak iratkozni a RemoteApp csatornra, a DNS-ben ltre
kell hoznunk egy TXT rekordot, amely tartalmazza a RemoteApp kiszolgl feed elrsi tjt:
A DNS-ben, a tartomnyunk kivlasztsa utn hozzunk ltre egy j TXT tips rekordot. A
Rekord neve legyen _msradc. A szveg rszbe adjuk meg a kiszolglnk RDWeb elrsi
tjt, pl.: https://RDWA1.corp.contoso.com/RDWeb/Feed
Ha mindent sikeresen belltottunk, a vezrlpult RemoteApp rsznl lthajtuk a publiklt
alkalmazsainkat, illetve mkdni fog a fjlkiterjeszts alap program-vlaszts is:
15.3
RD Gateway
A Remote Desktop Gateway biztonsgos hozzfrst biztost a bels hlzatunk RDP kiszolglihoz, szablyozhatjuk a felhasznlkat, a hasznlt szolgltatsokat, illetve titkosthatjuk a
154
155
Ezen a konzolon (az Exchange 2010-hez hasonlan) egy egysges felleten llthatjuk be az
sszes tanstvnyt:
156
157
158
16 VDI
A Session Virtualization szolgltats mellett a tvoli asztal msik alapkve a Virtual Desktop
Infrastructure. Ebben a forgatknyvben a virtulis gpen fut szemlyes vagy kzsen hasznlt kliens gpekhez csatlakoznak a felhasznlk tvoli asztalon (RDP), vagy akr a virtulis
klienseken fut alkalmazsokat rik el RemoteApp segtsgvel. A telepts megkezdse eltt
el kell ksztennk egy virtulis kliens gpet, n. gold image-t. A gpre fel kell teleptennk
az sszes alkalmazst, amit a felhasznlk hasznlni fognak, majd a sysprep segtsgvel le
kell zrnunk. A VDI teleptje krni fogja ezt a gold image-et, s ebbl fogja ltrehozni a
szksges szm virtulis kliens gpet.
A telepts megkezdshez indtsuk el a Server Manager / Add Roles varzsljt, majd a
remote desktop services installation lehetsget, azon bell a Quick Start-ot. A virtual
machine-based deployment utn megadhajtuk a kiszolglinkat, amelyeket szeretnnk bevonni a VDI infrastruktrba, majd ki kell vlasztanunk a virtulis gpek sablonaknt hasznland VHD llomnyt. Ha ezzel megvagyunk, mr ksz is a VDI krnyezetnk.
Nzzk, a varzsl milyen konfigurcikat hoz ltre:
Ha nem tallt a hlzaton, akkor feltelepti az RD Connection Broker-t
Telepti az RD Web Access-t s az RD Virtualization Host-ot.
ltrehozza a virtulis gp sablont
Ltrehoz egy collection-t QuickVMCollection nven.
159
160
General: megadhatjuk a
Collection nevt, hogy megjelenjen-e az RD Web Access-en, a gpek szmt, illetve engedlyezhetjk a
Save Delayt, ami a felhasznl kijelentkezse utn
adott idvel mentett llapotba helyezi a virtulis gpet.
Virtual Desktops: virtulis
gpek elhelyezkedse az
Active Directoryban s a
fjlrendszerben
User Groups: kik frhetnek
hozz a virtulis gpekhez
Client: milyen erforrsokat
rhetnek el a felhasznlk:
hang, vglap, PnP, stb.
161
A collection tulajdonsgai alatt a RemoteApp programokat tudjuk publiklni: ki kell vlasztanunk egy virtulis gpet, s az azon a gpen teleptett programokat tudjuk kiajnlani a
RemoteApp programok kz, akr az RD Web oldalra, akr a felhasznlk gpeire, a fent
megismert mdszerrel, feliratkozssal:
A jobb oldali Virtual Desktops rsznl hozhatunk ltre tovbbi virtulis gpeket, illetve a
meglvket rendelhetjk felhasznlkhoz.
Ha mindent jl csinltunk, a virtulis gpeink megjelennek az RD Web Access felleten, illetve a Windows 8-as kliensek Start menjben is:
162
163
17.1
Telepts
Ha a szmunkra szksges szerepkrk a listban szerepelnek, akkor kezdhetjk kiszolglnkat telepteni egy friss installcival, amely egy teljesen j, DVD-rl trtn Windows Server
2012 telepts, vagy mr meglv teljes rtk Windows Server 2012-t is lecsupaszthatunk
Server Core szintre. Mindezt a kvetkez powershell paranccsal:
Uninstall-WindowsFeature Server-Gui-Mgmt-Infra, Server-Gui-Shell -Restart
164
Ha a fenti bra alapjn, mindkt pipt kivesszk akkor vgeredmny egy Windows 2012 Server Core lesz, ha csak a Server-Gui-Shell-t, akkor egy Minimum Server teleptshez jutunk.
Amennyiben ksbbiek folyamn szeretnnk mgis visszatrni a grafikus felletre (pl. olyan
szerepkrket szeretnnk telepteni, amit cskkentett funkcionalitssal rendelkez vltozatokban nem elrhet), akkor azt Minimal Server Installation esetn Powershellbl, de akr a
Kiszolglkezeln keresztl is knnyen megtehetjk. Server Core esetben, mivel itt eltvoltsra kerl a Powershell, megtehetjk tvolrl az emltett kt eszkz segtsgvel, vagy loklisan a Command Promptbl.
Ha kzvetlenl a Server Core Command Promptjbl szeretnnk megtenni akkor ezt a dism
paranccsal vgezhetjk el:
dism /online /enable-feature /featurename:ServerCore-FullServer
Az jraindts utn mg nincs vge a teleptsnek. A szoksos Command Prompt jelenik meg
a belps utn, de mr elrhet a powershell.
Teleptsk Powershell-el, gy, hogy a Desktop Experince-t is szeretnnk telepteni:
Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell,Desktop-Experience
Restart
165
17.2
Konfigurci
166
167
168
18.1
A Windows Server 2012 szerepkreinek egy rsze Active Directory, DNS, DHCP nmagban kpes magas rendelkezsre llst nyjtani: a cmtrszolgltats (AD DS) tbb kiszolgln, klnbz telephelyeken elosztva mkdik, a trlt elemeket pedig az Active Directory
lomtrbl llthatjuk vissza. A DNS kiszolgl szintn beptve tartalmazza a magas rendelkezsre lls kpessgeit, az elsdleges s msodlagos znk ltrehozsval. Azoknl a szolgltatsoknl, amelyek nmagukban nem kpesek magas rendelkezsre llst biztostani, a
Windows Server 2012 beptett szolgltatsai kzl a kvetkezket vlaszthatjuk:
Network Load Balancing: (NLB) szoftverkomponens, amely a hlzati forgalmat kpes klnbz llomsok kztt sztosztani, terhels-elosztst s magas rendelkezsre
llst nyjtva ezzel. A kiszolglkon azonos adatoknak kell lennik, pldul webkiszolglknak passzv tartalommal.
Failover Cluster: szmtgpek magas rendelkezsre lls frtje, amelyek figyelik
egymst, s vagy szinkronizljk az adatokat, vagy egy kzponti adattrat rnek el kzsen. A szolgltatsok vagy virtulis gpek kpesek kltzni a frttagok (NODE) kztt, akr hiba esetn automatikusan, akr tervezett karbantarts esetn manulisan.
Nhny szolgltatsnl a Failover Cluster az ajnlott megolds a magas rendelkezsre
lls megvalstshoz, ilyen a Hyper-v, az iSCSI target, Exchange, SQL, stb.
169
18.1.3 sszetevk
A feladattvev frt klnll gpek csoportja, amelyek kzsen magas rendelkezsre llst
nyjtanak. Ezeket a gpeket frttagnak, vagy Node-nak hvjuk. Ha az egyik frttag meghibsodik, a rajta lv szolgltatsok (workload) tkltznek egy msik frttagra. Ezt a folyamatot
hvjuk failover-nek
A feladattvev frt a kvetkez komponensekbl ll:
Frttagok
Hlzat: a frt kiptshez tbb hlzati kapcsolatra lesz szksgnk, kln hlzaton
csatlakoznak a kliensek, kln kommiklnak a frttagok egymssal, egy msik hlzaton trtnik a trolk elrse, stb.
Erforrs: a frttagokon lv komponens, amelyet a frt futtat, indt/lellt, s kpes
kltztetni a frttagok kztt. Pl. IP cm, hlzati nv, stb.
Frt trol: megosztott trol, amit az sszes frttag elr. Nem minden krnyezetben
ktelez, az Exchange pldul az adatbzis log-fjlokat msolja a klnll trolkra,
s gy tartja szinkronban az adatbzist.
Kliensek: szmtgpek, akik a frthz csatlakoznak
Szolgltats vagy alkalmazs: szoftver-komponens, amit a kliensek elrnek
Quorum: szavazati tbbsg. Ha pros szm frttagunk van, akkor a tagok meghibsods esetn nem kpesek eldnteni, ki legyen az aktv: Ha a passzv tag nem ri el az
aktv tagot, akkor kt dolog trtnhet: Vagy az aktv tag lellt, ilyenkor a passzv tagnap aktivv kell vllni, vagy a passzv tag szakadt le a hlzatrl, ilyenkor viszont nem
szabad elindulni, mert kt aktv lesz a hlzaton (split brain) Ilyenkor egy kls dntre (witness) van szksg, hogy a passzv tag eldntse, llt-e le, vagy az aktv tag. Ez
lehet egy lemez (disk witness) vagy megoszts egy frtn kvli gpen (file share
witness). Ha a passzv tag nem ltja az aktv tagot, de a witness-t igen, akkor aktivlja
magt, ha nem ltja sem az aktv tagot, sem a witness-t, akkor nem indul el.
170
SAS (Serial Attached SCSI) Ez a legolcsbb megolds, viszont a frttagoknak fizikailag kzel kell lennik egymshoz, a SAS kbel maximum 10 mter hossz lehet.
http://en.wikipedia.org/wiki/Serial_attached_SCSI
iSCSI trol: IP hlzaton szllt SCSI parancsokat, 1GB vagy 10GB-es hlzati kzegen. A Windows Server 2012-ben beptve tallhat iSCSI server, amit akr magas
rendelkezsre llsv is tehetnk. Errl rszletesebben az adattrols fejezetben rtunk.
Fibre Channel: drgbb megolds, mint az iSCSi vagy a SAN adattrak, de nagyobb
sebessget, s jobb teljestmnyt kpesek nyjtani.
Amikor lemeztpust vlasztunk, illetve clustert ptnk, a kvetkez felttelekre rdemes odafigyelni:
A troln minden frtnek rdemes kln logikai egysgeket (LUN) ltrehozni, hiszen
a frtt kltztetnk, a LUN is kltzik az j frttagra. Ha ugyanazon a LUN-on pldul tbb virtulis gp van, s az egyiket kltztetjk, akkor elfordulhat, hogy a tbbi
virtulis gp all kirntjuk a lemezeket, ami nem szerencss.
Az adattr elrshez rdemes MPIO technolgit hasznlnunk.
A lemezeknl a partci tpusa lehet MBR vagy 2TB-nl nagyobb lemezeknl GPT, a
fjlrendszer NTFS kell, hogy legyen, a lemezeket pedig alaplepezknt kell importlni, nem dinamikus lemezknt.
18.1.6 Frthlzatok
Egy frt ptshez legalbb 3 hlzatra van szksgnk:
Bels hlzat, ahol a frt tagjai kommuniklnak egymssal, ellenrzik a tbbi frttagot. rdemes ezt a hlzatot fizikailag klnvlasztani a tbbi hlzattl
Kls hlzat: ezen keresztl csatlakoznak a kliensek a frt erforrsaihoz
iSCSI hlzat: a trol blokk-szint elrsre. Ezt a hlzatot szinten szeparlnunk
kell a tbbitl. Ha nem iSCSI-ra ptjk a clustert, vagy nincs szksgnk kzs adattrra, akkor erre a hlzatra nem lesz szksgnk.
Ltrehozhatunk vegyes hlzatot is, ahol a cluster bels kommunikcija s a klienshozzfrs trtnik, de ha lehetsgnk van, akkor a vegyes hlzatot csak tartalkknt hasznljuk, ha a bels hlzati kapcsolatunk megszakad.
Mindegyik hlzatot lehet s rdemes NIC teaming-re pteni, gy nagyobb sebessg mellett
nagyobb rendelkezsre llst is elrhetnk.
Frthlzat
18.2
ptsnk frtt!
biztos, hogy megfelel magas rendelkezs kiszolglnak. rdemes egybknt azonos gyrt
azonos tpus kiszolglibl ptennk a frtt. A hlzati, s adattrol infrastruktrt is
magas rendelkezsre llsv kell tennnk.
18.2.2 Felttelek
A frt ptesekor a kvetkez hardver, szoftver s hlzati feltteleket kell figyelembe vennnk:
A hardvereknek meg kell felelnik a Certified for Windows Server 2012 feltteleknek. A Validate a Configuration Wizard leellenrzi a tervezett hardvert, lemezelrst,
lemezkltztetst, stb. A cluster ltrehozsahoz a tesztnek sikeresen le kell futnia.
Hlzat: a node-ok hlzati vezerlinek azonos sebessggel, duplexitssal s funkcikkal kell rendelkeznik. Ha iSCSI hlzatot terveznk, akkor az iSCSI hlzati krtyn egyb belltsokat is el kell vgeznnk: Jumbo framet s a TCP offloadot:
https://technetklub.hu/blogs/virtualizacio/archive/2010/08/11/hyper-v-r2-f-252-rttervez-233-s.aspx. A hlzatnak termszetesen redundsnak kell lennie.
Szoftver: a frtben ugyanolyan verzij Windows Server 2012-t kell hasznlnunk,
vagy az sszes tag Standard verzi (vagy a Standard Server alapjaira ptett ingyenes
173
18.2.3 Telepts
A Failover Cluster szerepkr teleptst a Server Manager/Add Roles and Features menjbl
indthatjuk. Telepts utn a Tools menben megjelenik a Failover Cluster Manager:
174
Els lpsben hozz kell adnunk az sszes kiszolglt, akik tagjai lesznek a frtnek, majd le
kell futtatnunk az sszes tesztet.
A teszt megkeresi a Quorum hasznlatra alkalmas lemezeket, teszteli az iSCSI lemez mozgatst, a lemezrsi sebessget, a hlzati infrastruktrt, szerepkrket, stb.
Ha a teszt sikeresen lefutott, akkor nekillhatunk a frt ltrehozsnak a Create Cluster varzslval:
175
Meg kell adnunk az j frt nevt, s egy IP cmet. Ez kt alap-erforrs, ami nlkl a frt tbbi erforrsa nem fog elindulni, illetve ezek az erforrsokat mindig az aktv tag birtokolja.
Ha sem a nv, sem az IP cm nincs hasznlatban, akkor ltrehozhatjuk a frtt az albbi belltsokkal:
176
target-en ltrehoztuk azt, s az sszes node elri. A 2008 R2-vel szemben a 2012
iSCSI kezeli a 2TB-nl nagyobb lemezeket is
Pools: a Windows Storage Spaces-ben ltrehozott, tbb fizikai lemezbl ll virtulis
trolt adhatjuk hozz a Clusterhez.
Networks: a felismert hlzatok tpust adhatjuk meg, ez lehet kls, bels vagy vegyes hlzat.
Cluster Events: a frttagokrl sszegyjttt esemnynaplkat tekinthetjk meg itt.
A szolgltatsok elhelyezse eltt be kell lltanunk mindegyik hlzatunkat, hogy engedlyezzk-e rajt a frt forgalmat, illetve a kls elrst:
A konzol als-kzps rszn ltjuk a frt alap erforrsait: IP, nv, Quorum
A lemezek importls utn bekerlnek a szabad trolk kz, gy a szolgltatsok ltrehozsakor ki tudjuk vlasztani ezeket.
A Roles menben a Configure Roles menponttal vehetnk fel j szolgltatsokat. A konzol
ellenrzi, hogy a kivlasztott szolgltats jelen esetben fjlkiszolgl - teleptve van-e a frttagokon:
Clustered file server for general use: Fjlkiszolgl frt ltalnos hasznlatra. Ez a
verzi megtallhat a Windows Server 2008R2-ben is.
File server for scale-out application data: az j Scale-Out fjlkiszolgl, alkalmazsok, fjlok s virtulis gpek magas rendelkezsre llshoz.
178
Egyszerre tbb node-on fut, az SMB kliensek kapcsolatai eloszlanak a frttagok kztt, ezzel nagyobb svszlessgre kpes. Ezt a funkcit a Distributed Network Name szolgltatssal ri el, ami lehetv teszi,
hogy kln IP cmeken lv frttagok egyszerre vlaszoljanak a krsekre DNS round robin hasznlatval
Ha az erforrs sikeresen ltrejtt, akkor mr csak hozz kell adnunk megosztsokat, az erforrs tulajdonsgain Add File Share varzslval.
18.3
Hyper-V Cluster
Ha sikeresen ltrehoztuk a frtnket, akkor akr Hyper-V alap virtulis gpeket is elhelyezhetnk rajta. Ennek felttele a Cluster Shared Volume (CSV), a megfelel hlzatok meglte
(kls, bels), s a Hyper-V szerepkr a frttagokon.
179
Ezutn a lemeznket a C:\ClusterStorage\Volume1 knyvtrban rjk el, ide kell majd elhelyeznnk az j magas rendelkezsre lls virtulis gpnket.
A kvetkez lpsben ltre is hozhatjuk a VM-et. A Roles menben vlasszuk az j Virtual
Machine ment:
A virtulis gp ltrehozsakor meg kell adnunk azt a Node-ot, ahol ltrehozzuk a virtulis
gpet. A Hyper-V kezelt sem a gp ltrehozsakor, sem kezelsekor nem kell hasznlunk,
minden feladatot a Failover Cluster Managerbl tudunk elvgezni.
Ha kivlasztottuk a frttagot, meg kell adnunk az j Virtulis gp nevt, s a konfigurcis
llomnyok s pillanatfelvtelek helyt. Fontos, hogy ez mr a CSV-n legyen:
180
Ezutn a szoksos mdon meg kell adnunk a kezdeti memrit, s engedlyezhetjk a dinamikus memriakezelst. Fontos, hogy az sszes node-on kell, hogy legyen ennyi szabad memrink, klnben a VM nem tud kltzni.
A hlzat kivlasztsnl adjuk meg a kls hlzatot. Mindkt Hyper-V hoszton ugyanazt a
hlzati elnevezst kell hasznlnunk, hogy zkkenmentes legyen a kltzs
A VHD llomnyunkat ismt a CSV mappban kell elhelyeznnk. Mivel ebben a mappban
troldnak a konfigurcis llomnyok s a pillanatfelvtelek, gy tervezzk az iSCSI lemeznket, hogy ezek mind elfrjenek. Ha a pl a VHD-t 2TB-ra mretezzk, a CSV alap lemeznek legalbb 3TB-ot rdemes adni.
Az utols lpsben a teleptsi forrst kell kivlasztanunk. Ha van a hlzatunkon WDS, akkor rdemes hlzatrl telepteni, de a telepts vgn az rklt hlzati krtyt ki kell majd
cserlnnk szintetikus krtyra.
A varzsl vgn ltrejn a virtulis gpnk,
amit a Cluster managerbl kezelhetnk, hasonlan a Hyper-V managerhez:
181
Storage Migration a Hyper-V konzolon. A virtulis gp alkatrszeit drag&drop-al mozgathatjuk a storage klnbz mappiba
182
19 Windows 8 bevezet
A Microsoft szerint a Windows 8 elmossa a hatrokat a platformok kztt, minden eddiginl
tkletesebb felhasznli lmnyt nyjt rintkpernys, illetve hagyomnyos, billentyzettel
s egrrel vezrelt eszkzkn egyarnt. Tulajdonkppen egy olyan rendszerbe akarja integrlni termkeit a cg, amely tkletesen tjrhat, s hasonl fellettel rendelkezik. Egy felhasznl, ha a Windows 8 munkallomsa utn kezbe vesz egy Windows 8 RT-vel rendelkez tabletet, vagy elveszi a Windows Phone 8 alap okostelefonjt, kis tlzssal szinte ugyanazt a felletet ltja, azaz nem kell megtanulnia minden eszkznek kezelst. Az adatokkal
hasonl a helyzet, hiszen felh segtsgvel brhonnan s brmikor elrheti a Skydrive-on
vagy ppen az Office 365-n lv adatait.
A fenti cloknak az elrsnek rdekben a Microsoft teljesen az alapoktl kezdte el a Windows 8 fejlesztst. Egy olyan Windows kiadst kell elkpzelnnk, amely olyan mrfldknek tekinthet, mint egykor a Windows 95 kiadsa volt. A PC piac zsugorodik, egyre kevesebb eladst produkl, a felhasznlk a nehz, statikus PC s a szintn nehzkes notebookok
helyett a knnyen hordozhat eszkzkre trtek t. Ez arra sztklte a informatikai ipar szereplit, hogy tablet s okostelefon eszkzkre fejlesszenek, akr hardver, akr szoftver termkekrl van sz.
A Windows 8 Metro fellete megtallhat szmos eszkzn s kivlan hasznlhat az rintkpernys eszkzkn. A fellet csempkbl pl fel, minden egyes csempe egy-egy alkalmazsnak felel meg. De ezen kvl klnbz informcik is elrhetek, azaz nem kell
felttlenl megnyitnunk semmilyen programot, ha ppen az idjrsra, vagy ppen a berkezett levelek szmra vagyunk kvncsiak.
A megvltozott fellet a Start men megsznst vonta maga utn ezt felvltotta az ikonsor.
19.1
jdonsgok
Internet Explorer 10, Metro-stlusban, mely nem tmogatja tbb az ActiveXvezrlket, de kezeli az Adobe Flash-t.
Microsoft-fik s SkyDrive-integrci, amelynek eredmnyekpp az adatok szinkronizlhatak egy msik szmtgppel.
Jelsz helyett kp alap vdelem s PIN-kd is megadhat.
A Windows Intz is megkapja a szalagos mensort.
Hibrid indts, mely tvzi a hagyomnyos kilpst a hibernlssal, felgyorstva a
rendszer felllsnak idejt.
Windows To Go - pendrive-rl indthat opercis rendszer.
Kt j helyrelltsi funkci: az egyik segtsgvel a rendszerfjlok visszallthatak
eredeti llapotukba, a msikkal pedig a teljes Windows rendszer visszallthat a teleptskori llapotba.
USB 3.0 tmogats
jfajta kpernylezrsi metdus
Vadonatj Feladatkezel
Xbox Live integrci
183
19.2
Kiadsok
184
7 Windows
frissts
RT
Windows
frissts
Enterprise
Nem
Ultimate
Nem
Igen
Professional
Home Premium
Igen
Nem
Igen
Igen
Home Basic
Nem
Starter
19.3
Hasznlat
Egrrel
Billentyzettel
A gombok aktivlsa
(Keress,
Megoszts,
Kezdkperny, Eszkzk s Belltsok).
Minden
gomb:
dows billenty +C
Win-
Keress
gomb:
dows billenty
+Q
Win-
Megoszts
gomb:
dows billenty
+H
Win-
Keress a szmtgpen
(alkalmazsok, belltsok s fjlok), az interneten vagy egy alkalma-
Win-
Belltsok
gomb:
dows billenty
+I
Win-
Ha a kezdkpernyn
van, kezdje el berni a
kereskifejezst.
Ha ltni szeretn a szm185
zsban.
Win-
Fjlok
keresse:
+F
dows billenty
Win-
Jelentse meg a kezd- Mutasson a bal als sarokra. A billentyzeten nyomja meg a
kpernyt.
Amikor megjelenik a kezd- Windows billentyt .
kperny, kattintson a sarokra.
Mutasson a jobb fels vagy
a jobb als sarokra a gombok megjelentshez. (Vigye a mutatt a sarokba egszen addig, amg el nem
tnik.) Amikor megjelennek
a gombok, a kurzort a szlen
fel-le mozgatva kattintson a
Kezdkperny gombra.
Parancsok s helyi me- A jobb gombbal kattintva
nk elrse.
megjelentheti a parancsokat
s a helyi menket. A jobb
gombbal az elemekre kattintva ltalban megjelennek
az adott elem esetben elrhet lehetsgek.
Windows billenty
186
+Z
+Tab
+pont
+D
187
Lellts
19.4
Nyomja
le
a
Ctrl+Alt+Del billentykombincit.
A TAB billentyvel lpjen a Fkapcsol ikonra.
Megjelenik a lelltsi
lehetsgek listja.
A fel s le nylbillentykkel vlassza a kvnt lehetsget.
Nyomja meg az Enter
billentyt.
Keress
Ha billentyzettel rendelkezik, s a kezdkpernyn van, a Keress megnyitshoz egyszeren csak kezdjen el berni.
Ha a szmtgpen keres egy alkalmazst, megnyomhatja a Windows billenty +Q billentykombincit Ha fjlt keres, megnyomhatja a Windows billenty +F billentykombincit.
189
190
20 Hordozhat munkakrnyezet
Napjaink felhasznli klnbz ugyan klnbz eszkzkrl dolgoznak cges PC, sajt
laptop, VDI, RDS krnyezet, de minden eszkzn azonos felletet szeretnnek elrni: asztal,
levelezs belltsok, Internetes kedvencek, stb. Ha belegondolunk a sajt munkavgzsi szoksainkba, zemeltetknt hasonl ignyeink vannak: a tanstvnyok, tvoli asztali belltsok, mentett jelszavak brmelyik kliensre vagy kiszolglra bejelentkezve velnk legyenek,
s akr a szmtgpnk cserje is kevsb legyen fjdalmas: ne kelljen az sszes belltst
jra megadni. A Windows 8-ban a jl ismert technolgik mellett nhny jjal is tallkozunk:
felhasznli profilok
mappatirnyts
File History
Elsdleges szmtgp
Windows To Go
UE-V
20.1.2 Mappatirnyts
Csoporthzirendbl szablyozhatjuk, hogy a tartomnyi felhasznlink a fontos dokumentumaikat ne (ne csak) a helyi gpen troljk, hanem a kiszolglk megosztsain, vagy helyileg
s a kiszolgln, folyamatosan szinkronizlva. A dokumentumok mappa tirnytsa mellett
vihetjk a tbbi fontos mappt is, mint a fnykpek, videk, letltsek, keressek, stb., gy
minden fontos adatot biztonsgban tudhatunk. Ha a felhasznlk hazaviszik a hordozhat
gpeiket, a kapcsolat nlkli fjlok segtsgvel otthonrl ugyangy dolgozhatnak a fjljaikkal, s a cges hlzatra csatlakozskor a vltozsok szinkronizldnak. A kapcsolat nlkli
elrst a felhasznlk brmelyik tovbbi mappra is engedlyezhetik, pl. kzs mappk, dokumentcik, stb.
191
192
Ha ezzel kszen vagyunk, mr csak egy olyan hzirendet kell ltrehoznunk, ahol megadjuk,
hogy a mappa tirnyts csak az elsdleges gpeken rvnyesljn.
Ezt a mappatirnytsi hzirendben, a User Configuration/Policies/Administrative
Templates/System/Folder redirection tvonalon talljuk, a Redirect Folders on primary
computers only opcit kell engedlyeznnk:
193
20.1.5 Windows To Go
A Windows 8-ban j szolgltats (s az USB 3-as szabvny) lehetv teszi, hogy olyan USB
pendrive-okat hozzunk ltre a felhasznlknak, ahonnan el tudjk indtani a Windows 8-at, s
a cges felhasznli felletket tudjk hasznlni brmelyik szmtgpen. A klss felhasznlknak teht nem kell mindenkppen sajt szmtgpet adni, elg egy Windows To Go USB
eszkz, elteleptve a cges hlzati feltteleknek megfelelen pl belltott DirectAccess
vagy VPN a felhasznlnak szksges alkalmazsokkal, stb. A Windows To Go-n fut
Windows 8-at biztonsggal hasznlhatjuk brmelyik szmtgpen, mert USB-rl indulskor
a helyi gp merevlemezei nem lesznek elrhetk. A Windows To Go a Windows 8 Enteprise
verzijban tallhat meg, a ksztst is egy mr felteleptett Windows 8 Enterprise-bl tudjuk elindtani:
194
A ltrehozshoz szksgnk lesz egy USB 3-as pendrive-ra, vagy jelen esetben egy USB 3as kls merevlemezre, illetve a telept krni fogja a Windows 8 teleptlemezt is:
195
196
21 Office 365
Az Office 365 a Microsoft felhalap szolgltatscsomagja, iskolai krnyezetben Microsoft
Digitlis Alapcsomag nven is ismers lehet. Ez vltja ki a Tiszta Szoftver program szerver
termkeinek egy rszt, s ez az utda a nagy sikerrel fut Live@edu rendszernek, amely vilgszerte iskolk ezreinek a levelezst biztostja.
Hrom f rszbl ll: az Exchange Online segtsgvel egysges intzmnyi levelezrendszert
hozhatunk ltre sajt domain nv hasznlatval. A SharePoint Online egy fejlett, s az Office
alkalmazsokba integrlt intranet rendszert knl, s lehetsget ad egy egyszeren kezelhet
publikus weboldal ltrehozsra is. A Lync Online pedig egy azonnali zenetkld, konferencia s egyttmkds-tmogat rendszer, amely ms szolgltatsokkal is sszekapcsolhat, s
kpes kivltani akr a bels hagyomnyos telefonhlzatot is.
A knyvnek ebben a fejezetben a rendszert rendszergazdai szempontbl mutatjuk be, a regisztrcitl kezdden, a mr helyileg teleptett szolgltatsok felhbe kltztetsn t egszen azok kezelsig.
21.1
Regisztrci
A szolgltatsra a http://office365.hu oldalon tudunk regisztrlni, ahol a Csomagok s djszabs menben vlasszuk az Oktats menpontot. Itt kattintsunk a Csomagok sszehasonltsa
gombra. Ezen az oldalon sszehasonlthatjuk az oktatsi csomagokat, melyekbl az A2 csomag ingyenesen jr, a tovbbi csomagokat pedig az oldalon jelzett elfizetsi dj ellenben
vehetjk ignybe.
A regisztrcihoz kattintsunk a Regisztrljon egy 30 napos prbra felirat gombra.
hozz a sajt domain nevnket a szervezethez, addig a felhasznlk e-mail cmnek ez lesz az
uttagja, teht a kukac utni rsze.
Az elrhetsg ellenrzse gombra kattintva kiderl, hogy szabad-e mg a vlasztott tartomnynv, s ha igen, akkor tovbbi mezk jelennek meg az rlapon.
Meg kell adnunk egy j felhasznli azonostt. Ez lesz az els, rendszergazdai jogkrkkel
br felhasznl azonostja. Fontos, hogy ha a ksbbiekben Active Directory
szinkronizcit szeretnnk hasznlni, akkor az itt megadott azonost lehetleg ne ltezzen az
AD tartomnyban. Hasznljuk pldul az admin, admin365, felhoadmin, vagy ezekhez hasonl azonostt.
A pldkban a tartomnynv msiskola.onmicrosoft.com lesz, a felhasznli azonost pedig
admin@msiskola.onmicrosoft.com.
Az ellenrz kd bersa utn kattintsunk az Elfogads s folytats gombra.
198
Ha magunk hoztuk ltre a krt bejegyzst, akkor a Hitelests gombra kattintva rgtn ellenriztethetjk is a rendszerrel a domaint. Ha levelet kldtnk a szolgltatnak, vagy a mdostsok mg nem lptek rvnybe, akkor kattinthatunk a Ksbb ellenrzm linkre. Ebben az
esetben, ha megrkezett a szolgltatnk visszaigazolsa, az adminisztrcis fellet Tartomnyok menpontja alatt hajthatjuk vgre a hitelestst.
Nem kell DNS szakrtnek lenni a belltshoz segt az elre megrt levl
21.2
Licencek ignylse
199
21.3
Teleptsi terv
Nem
Nincs korlt
Igen
Exchange 2010
> 1000
Mindegy
Hibrid telepts
Nincs korlt
Igen
IMAP alap
Nem Exchange
Nincs korlt
Igen
IMAP alap
200
A varzslt az adminisztrcis fellet Szemlyre szabott terv menpontjbl rhetjk el. Els
lpsben ki kell vlasztanunk, hogy Prba vagy Kzponti telepts tpus tervet ksztnk. A
kett kztt a legfbb klnbsg az, hogy mg a Prba terv olyan megoldst ajnl, amihez a
meglv, helyi rendszereinket a lehet legkisebb mrtkben kell mdostani (ahogy a neve is
jelzi, elbb kiprblhatjuk a rendszert), addig a Kzponti telepts tpus terv clja, hogy miutn a kiprbls mr megtrtnt, tnyleges tllst hajtsunk vgre.
Vlasszuk ki teht a cljainknak megfelel tpus tervet, s kattintsunk a Tovbb gombra. A
kvetkez lapon vlasszuk ki, mely szolgltatsokat szeretnnk belltani, majd kattintsunk
ismt a Tovbb gombra. Ha bejelltk, hogy szeretnnk hasznlni a levelez szolgltatst,
akkor a kvetkez lapon meg kell adnunk, hogy milyen a jelenlegi levelezrendszernk.
Ezutn varzsl felajnlja az elzekben megadott konfigurci tmogatott tteleptsi lehetsgeit. Itt kell majd eldntennk, hogy szeretnnk-e meghagyni helyi postafikokat is, hogy
szinkronizljuk-e az Active Directoryt, s hogy a jelszavakat hol troljuk.
Egy utols sszefoglal lap utn, a Befejezs gombra kattintva megnzhetjk a vgleges tervet.
A teleptsi folyamat ettl a ponttl kezdve jelentsen fgg a tervben meghatrozott cloktl,
s a meglv levelezrendszer adottsgaitl. A fejezet htralv rszben bemutatjuk az
egyes teleptsi lpseket, de ezek kzl teleptsi krnyezettl fggen nem mindegyiket
szksges vgrehajtani, s a sorrend is vltoz lehet.
A pontos lpseket s sorrendet az elbbiekben ltrehozott Szemlyre Szabott Terv hatrozza meg.
21.4
201
(https://portal.microsoftonline.com/IdentityFederation/IdentityFederation.aspx)
202
#
#
#
#
a mostani uttag
az j, alternatv uttag
hol keresse a felhasznlkat?
a tartomnyvezrl neve
A fenti kdban az els 4 sort kell testre szabnunk. Az els kt vltoz rtkeknt az
aposztrfok kz be kell rnunk a jelenlegi s a most ltrehozott alternatv UPNuttagokat. A harmadik vltoz azt az objektumot hatrozza meg, amiben keresi a felhasznlkat a szkript. Azaz jelen belltsok szerint a Minta nev szervezeti egysgben
(OU) keres, az msiskola.local tartomnyban.
Ha az egsz tartomnyban szeretnnk a keresst vgezni, elhagyhatjuk az ou=Minta felttelt: $dcCN = 'dc=msiskola,dc=local'
Az utols vltozba pedig a tartomnyvezrl nevt kell rnunk.
203
204
Ahol az IP cm helyre rjuk a sajt ADFS szervernk, vagy frtnk IP cmt, a cm helyre pedig a sajt ADFS szolgltatsnevnket.
2) Ha Windows Server 2008 rendszerre (nem R2-re) teleptnk, akkor kezds eltt teleptsk
fel a Webkiszolgl (IIS) szerepkrt az alaprtelmezett szerepkr-szolgltatsokkal, s a
.NET keretrendszer 3.5-s verzija nev szolgltatst.
205
3) Az ADFS szerver teleptshez hasznlt teleptt indtsuk el ezen a gpen is, azonban
most a licenc elfogadsa utn az sszevonsi proxykiszolgl lehetsget vlasszuk.
A Kvetkez gombra kattintva elkezddik a telepts.
A befejez kpernyn vegyk ki a pipt az Induljon ez az ADFS 2.0 kezel bepl modulja a varzsl bezrsa utn opci ell, majd zrjuk be a varzslt.
4) Az ADFS szerver teleptshez hasznlt Windows Update frisstfjlt futtassuk le ezen a
gpen is az Update Rollup 2 teleptshez.
5) Az ADFS szerveren meglv fs.msiskola.hu tanstvnyt importljuk erre a szerverre is.
Ezt legegyszerbben az IIS management konzolon tudjuk megtenni. Kattintsunk a szerver
nevre, s vlasszuk ki a Kiszolgli Tanstvnyok ikont. A jobb oldali panelen vlaszszuk az Importls linket, tallzzuk a fjlt, s rjuk be a hozz tartoz jelszt.
6) lltsuk be, hogy az alaprtelmezett weboldal HTTPS kapcsolatokat is fogadjon.
Ehhez tovbbra is az IIS konzolon nyissuk le a szerver nevt, majd azon bell a Helyek
ment. Kattintsunk jobb gombbal a Default Web Site elemre, s vlasszuk a Ktsek szerkesztse lehetsget. A megnyl ablakban kattintsunk a Hozzads gombra.
A Hely ktsnek hozzadsa ablakban a tpusnl vlasszuk a https-t, az SSL tanstvnynl pedig az elz pontban importlt tanstvnyunkat. Kattintsunk az Ok, majd a Bezrs
gombra.
206
1) A domain nevnk (msiskola.hu) fenntartjnl krnnk kell, hogy hozzon ltre egy j
DNS rekordot fs.msiskola.hu nven, aminek arra a kls, interneten is elrhet IP cmre kell mutatnia, amelyre most az ADFS szolgltatst ki fogjuk publiklni.
Amennyiben a domain nevet mi tartjuk fenn, ezt magunk is megtehetjk.
Ha rendelkeznk tzfallal, akkor azon is ki kell engednnk az ADFS weboldalt. Ennek
mikntje tzfal szoftverenknt eltr lehet, ltalnossgban azonban elmondhat, hogy
egy egyszer weboldalhoz hasonl mdon kell eljrnunk (amely azonban minden esetben
HTTPS protokollt hasznl), ahol a weboldal kls neve fs.msiskola.hu, a bels szerver
pedig az ADFS proxy szervernk cme, vagy ha frtbe szerveztk a proxykiszolglkat,
akkor a frt IP cme.
Az albbiakban a Microsoft Forefront Threat Management Gateway szoftvern rszletesen is ismertetjk a szksges lpseket, mivel itt nhny specifikus lpsre is szksg
van a helyes mkdshez.
2) Importljuk az fs.msiskola.hu cmhez tartoz SSL tanstvnyunkat erre a gpre is.
Ehhez a Windows s az R gombok lenyomsa utn megjelen ablakba rjuk be: mmc, majd
a megjelen ablakban kattintsunk a Fjl, Bepl modul hozzadsa/eltvoltsa elemre.
A bal oldali listbl vlasszuk a Tanstvnyok elemet, s kattintsunk a Hozzads gombra. A felugr ablakban vlasszuk a Szmtgpfik lehetsget, a kvetkez lapon pedig a
Helyi szmtgpet. Vgl kattintsunk a Befejezs, majd az OK gombra.
Nyissuk le a bal oldali navigcis ft a Tanstvnyok/Szemlyes/Tanstvnyok elemig.
Kattintsunk erre az elemre jobb gombbal, s a helyi menben vlasszuk az sszes feladat/Importlst. Ebben a varzslban tallzzuk a tanstvny privt kulccsal egytt exportlt pldnyt, adjuk meg a hozz tartoz jelszt, majd kattintsunk a Befejezs gombra.
207
9) Ltre kell hoznunk egy Web listenert. Ehhez kattintsunk a New gombra. Adjunk neki egy
nevet, pl. fs.msiskola.hu, majd lpjnk tovbb. Hagyjuk kivlasztva a Require SSL lehetsget. A kvetkez lapon pipljuk ki az External melletti pipt. A Select IP addresses
gombbal kivlaszthatjuk, melyik IP cmen fogjuk fogadni a kapcsolatokat ezzel a
listenerrel. Ennek akkor van gyakorlati jelentsge, ha tbb kls IP cmnk is van.
A kvetkez lapon vlasszuk a Use a single certificate lehetsget, a Select Certificate
gombra kattintva pedig vlasszuk ki az els lpsben importlt tanstvnyunkat, amely az
fs.msiskola.hu cmre szl, majd lpjnk a kvetkez lapra.
A legrdl menbl vlasszuk a No Authentication lehetsget, s lpjnk tovbb, majd
fejezzk be a varzslt.
Visszatrve az elz varzslra, vlasszuk ki a most ltrehozott Web Listenert a listbl,
s lpjnk a kvetkez lapra.
10) Az Authentication Delegation lapon vlasszuk a No delegation, but client may
authenticate directly lehetsget, majd lpjnk tovbb.
11) A Users lapon hagyjuk meg az alaprtelmezett All Users rtket, majd fejezzk be a varzslt.
12) Nyissuk meg a frissen ltrehozott szablyt, lpjnk a Link translation flre, majd vegyk
ki a pipt az Apply link translation to this rule ell.
13) Mg mindig a szably tulajdonsgainl lpjnk a Traffic flre, s kattintsunk a Filtering
gombra, majd a Configure HTTP lehetsgre. A megjelen ablakban vegyk ki a pipkat
a Verify normalization s a Block high bit characters opcik ell.
208
1) Tltsk le, s teleptsk a Microsoft Online Services bejelentkezsi segd (MOS SIA)
informatikai szakembereknek nev programot:
http://www.microsoft.com/hu-hu/download/details.aspx?id=28177
2) Teleptsk fel a korbbiakban letlttt Microsoft Online Services modul Windows
PowerShell krnyezethez programot.
3) Indtsuk el a programot az asztalon tallhat parancsikonnal. Egy parancssort kell ltunk.
4) rjuk be a kvetkez parancsokat, ebben a sorrendben:
$c = Get-Credential
Ezzel pedig talaktjuk az msiskola.hu domain nevet egyszeri bejelentkezst hasznl domain
nvv.
Ellenrizzk a mvelet sikeressgt az adminisztrcis felleten. Kattintsunk a bal oldali menben a Tartomnyok linkre, majd a listban az imnt talaktott domain nevnkre:
msiskola.hu
Sikeres talakts esetn a Tartomnytpusnl a Egyszeri bejelentkezs: A tartomny egyszeri bejelentkezsre van konfigurlva. szveget ltjuk.
21.5
Cmtr-szinkronizci belltsa
21.5.1 Rendszerkvetelmnyek
A Cmtr-szinkronizl eszkzt egy olyan szerverre kell teleptennk, amely:
209
210
A nevek melletti ikonok is jelzik, hogy az utols hrom felhasznl szinkronizlva van
21.6
211
212
WarningUnits
0
0
0
0
ConsumedUnits
4
0
0
0
Az els kt sor az A3 szint prbalicenceket jelzi, a msodik kett pedig utlag ignyelt A2
szint kzoktatsi csomag.
Ha egy AD-beli csoport tagjaira szeretnnk alkalmazni egy belltst, akkor a kvetkez
szkriptet futtassuk:
$csoport = '2006d' # az AD-beli csoport neve
$licenc='msiskola:STANDARDWOFFPACK_STUDENT' # a hozzrendelend licenc neve
Get-ADGroupMember -Identity $csoport | Get-ADUser | ForEach-Object {
$_ | Set-MsolUser -UsageLocation HU # felhasznls helye Magyarorszg
$_ | Set-MsolUserLicense -UserPrincipalName $_.UserPrincipalName
-AddLicenses $licenc # licenc hozzrendelse
}
21.7
213
21.7.1 Rendszerkvetelmnyek
A hibrid Exchange konfigurci knlja a migrcis tpusok kzl a legszlesebb kr funkcionalitst, ugyanakkor ezek elrshez teljeslnik kell bizonyos rendszerkvetelmnyeknek:
Exchange 2010 Service Pack 2 szerver, melyre teleptve van az Update Rollup 3 csomag
Lennie kell legalbb egy rhat Windows Server 2003 SP1 vagy jabb rendszer tartomnyvezrlnek
Az AD erd mkdsi szintjnek legalbb Windows Server 2003-asnak kell lennie
Cmtr-szinkronizl mkdik (lsd korbban)
Egyszeri bejelentkezs szolgltats mkdik (ADFS 2.0, lsd korbban)
Kls tanstvnyok a webes s SMTP cmekhez
A kvetkez pldban felttelezzk, hogy van egy mkd, a fenti rendszerkvetelmnyeknek megfelel Exchange levelezrendszer, mely az albbi cmeken rhet el:
Outlook Web App: mail.msiskola.hu
SMTP: smtp.msiskola.hu
Felttelezzk tovbb, hogy mindkt cmhez s szolgltatshoz be van lltva a megfelel,
kls tanstvnyszolgltattl szrmaz tanstvny. Amennyiben nincs, a 21.14-es fejezetben bemutatunk egy ingyenes tanstvnyszolgltatt, amivel ez megoldhat.
21.7.2 Elkszletek
1) Els lpsben, a korbbiakban mr ismertetett mdon be kell lltanunk kt DNS rekordot,
vagy meg kell krnnk a domain nevnk fenntartjt, hogy lltsa be neknk. Termszetesen ezekre csak akkor van szksg, ha mg nincs konfigurlva az adott szolgltats az
Exchange krnyezetnkben.
Az els az autodiscover.msiskola.hu. Ennek a rekordnak annak az Exchange szervernek a
kls IP cmre kell mutatnia, amelyik a Client Access szerepkrt birtokolja. Erre a cmre
az Outlook Autodiscover szolgltatst konfigurljuk. Ez az IP cm ltalban ugyanaz, mint
amin az Outlook Web App-ot is elrjk.
Amennyiben tzfalat hasznlunk, ltre kell hoznunk egy j weboldal-publikcis szablyt,
amely az Exchange Client Access szervernkre irnytja az erre a cmre rkez forgalmat,
s engedlyezi a /AutoDiscover/* tvonal oldalak elrst.
A msodik ltrehozand rekord egy n. SPF rekord, ami a spamek elkerlst segti. Belltsa nem ktelez, csak ajnlott. Ez egy TXT tpus rekord, aminek az rtke a kvetkez:
v=spf1 include:outlook.com include:spf.messaging.microsoft.com ~all
214
A program elkezdi ellenrizni a szolgltats mkdst, s ha problmt szlel, azt rszletesen jelzi, s javaslatot is tesz a megoldsra.
215
Helyezzk el a kdot, vagy krjk meg a domain fenntartjt, hogy hozza ltre a szksges rekordokat helyettnk. Ha ez minden domain nvhez megtrtnt, pipljuk be az oldalon lv jellngyzetet, hogy tovbblphessnk.
8) A Servers lapon vlasszuk ki azt a szervert, vagy azokat a szervereket, amelyek az Online
szolgltatssal fognak kommuniklni. Meg kell adnunk legalbb egy Client Access szervert, amely az adatok megosztst s a postafikok mozgatst fogja vgezni, s legalbb
egy Hub Transport szervert, amely a helyi s az online postafikok kztti levlforgalmat
bonyoltja.
9) A Mail Flow Settings lapon adjuk meg a Hub Transport szerver(ek) kls, internet fell
lthat IP cmt vagy cmeit, s ugyanennek a szervernek a teljes cmt, pl.:
smtp.msiskola.hu
10) A Mail Flow Security lapon ki kell vlasztanunk az elbb megadott teljes cmhez tartoz,
korbban ignyelt vagy importlt tanstvnyt. A varzsl csak a kls tanstvnyszolgltatktl szrmaz, rvnyes tanstvnyokat jelenti meg.
Ezen a lapon kell kivlasztanunk azt is, hogy az Exchange Online-on trolt postafikokbl
kimen levelek milyen ton jussanak el a cmzetthez.
Deliver Internet-bound messages directly using the external recipients DNS settings:
a leveleket a rendszer a helyi telepts megkerlsvel, kzvetlenl a cmzetthez tovbbtja (ajnlott)
Route all Internet-bound messages through your on-premises Exchange servers: a leveleket a rendszer minden esetben a helyi Exchange-en keresztl fogja tovbbtani
11) A Progress lapon tallunk egy sszefoglalt a futtatand parancsokrl, amiket a Manage
gombbal el is indthatunk. A folyamat akr 15 percig is tarthat, s csak akkor fog sikeresen vgzdni, ha az ellenrz kd mr szerepel a domain DNS-ben.
216
6) A Target Forest legrdl listbl vlasszuk ki az Office 365 szolgltats ltalunk megadott becenevt, az FQDN of the Microsoft Exchange Mailbox Replication service proxy
server in the source forest mezbe pedig rjuk be a Client Access szervernk kls domain
nevt, pl.: mail.msiskola.hu
A Use the following source forests credentials jellngyzetet jelljk be, s adjuk meg a
helyi teleptshez tartoz adminisztrtori felhasznl adatait, akinek joga van a postafikokat thelyezni.
7) A Target Delivery Domain mezbe a Browse gomb segtsgvel vlasszuk ki a hibrid telepts domain nevt, pl.: msiskola.hu
8) A kvetkez lapon egy sszefoglalt lthatunk a vgrehajtand parancsokrl, amiket a
New gombbal le is futtathatunk.
9) A gombra val kattintssal ltrejn egy j Move Request, ami az azonos nev menpont
alatt jelenik meg, postafikonknt egy darab. Itt figyelhetjk az tteleptsi folyamatot.
10) Az ttelepts befejeztvel nem helyezhetjk t jbl a postaldt mindaddig, amg a hozz tartoz Move Requestet ki nem trltk.
218
21.8
Az tllsos e-mail migrci sorn egy temben lltjuk t az sszes postaldt az Exchange
Online hasznlatra. Az egyik legkedveltebb mdszer, ksznheten egyszer belltsnak.
Az tllts utn a helyi Exchange telepts eltvolthat.
Az tllts 4 lpsben foglalhat ssze:
1) A szolgltats minden felhasznlhoz ltrehoz egy postafikot az Exchange Online szolgltatsban. A terjesztsi csoportok, kapcsolattartk szintn msolsra kerlnek.
2) Minden egyes postafik tartalmt s belltsait tmsolja a felhbeli postafikba.
3) 24 rnknt nvekmnyes szinkronizcit vgez, ami azt jelenti, hogy az jonnan rkezett
zeneteket is tmsolja a felhbe, hogy a kt postalda ismt teljesen megegyezzen.
4) Amikor belltjuk, hogy az j levelek mr a felhbe rkezzenek, s gy dntnk, hogy a
migrci lezrhat, mg egyszer utoljra szinkronizlja a hinyz elemeket a rendszer, s
ezzel az ttelepts befejezdik.
21.8.1 Rendszerkvetelmnyek
A hibrid teleptshez hasonlan itt is van nhny felttel a mdszer hasznlathoz:
21.8.2 Elkszletek
1) Ha be van kapcsolva a cmtr-szinkronizls, nem fogunk tudni tllsos migrciba kezdeni, ezrt ideiglenesen ki kell kapcsolnunk. Ehhez jelentkezznk be az adminisztrcis
felletre, s a menbl vlasszuk a Felhasznlk pontot. Az Active Directoryszinkronizls mellett kattintsunk az Inaktivls linkre.
2) A szolgltats a postaldk szinkronizlsra az Outlook Anywhere szolgltatst hasznlja, ezrt ezt mindenkppen engedlyeznnk s konfigurlnunk kell, ha mg nem tettk
meg.
a) Ehhez indtsuk el az Exchange menedzsment konzolt, s navigljunk a Server
Configuration, Client Access pontra.
b) A jobb oldali mveletek panelen kattintsunk az Enable Outlook Anywhere linkre.
c) A megjelen varzsl External host name mezjben adjuk meg azt a kvlrl is elrhet domain nevet, amit a szolgltatshoz hasznlni szeretnnk. Clszer azt a cmet
hasznlni, amin a Web Appot is publikltuk, mivel gy nem szksges j tanstvnyt
ignyelnnk.
d) Vlasszunk egy hitelestsi mdot. Az NTLM hitelests biztonsgosabb, azonban
nem minden tzfal szoftver tmogatja. Forefront TMG esetn hasznlhatjuk ezt is.
e) Kattintsunk az Enable gombra az Outlook Anywhere engedlyezshez.
f) Publikljuk a tzfalunkon a szolgltatst. Ha a Web App hosztnevt adtuk meg az
elbbiekben, akkor elegend annak a tzfal szablyt mdostanunk gy, hogy a
/rpc/* tvonalat is engedlyezze.
219
21.8.3 Migrci
Most, hogy minden elfelttelt teljestettnk, elkezdhetjk magt a migrcit.
1) Jelentkezznk be az adminisztrcis felletre, s a Rendszergazdai ttekints oldalon kattintsunk az Exchange felirat alatti Kezels linkre. Ezzel az Exchange Online kezelfelletre jutunk.
2) A Felhasznlk s csoportok lapon kattintsunk az E-mail ttelepts ikonra, majd az j
gombra.
7) A varzsl a Tovbb gombra kattintva ltrehozza a kteget, s sszefoglalskppen megjelenti annak belltsait. Zrjuk be a varzslt a Bezrs gombra kattintva.
8) Ezzel visszakerlnk az Exchange Online adminisztrcis fellethez, ahol mr megjelenik az jonnan ltrehozott tteleptsi ktegnk, melynek llapota Ltrehozva.
Indtsuk el ezt a kteget az Indts linkre kattintva!
9) Indts utn a kteg llapota elszr Vrakozs lesz. Ez azt jelenti, hogy vrlistn van a
szerveren, rvidesen elindul a szinkronizls, amit a Fut llapot jelez. Vgl, ha a szinkronizls megtrtnt, az llapot Szinkronizlva rtkre vltozik.
10) A szinkronizls befejeztvel letlthetv vlik a szinkronizlsi jelents s hibalista.
Ezek alapjn orvosoljuk az esetlegesen felmerl hibkat, s indtsuk jra a
szinkronizcit mindaddig, amg minden postalda sikeresen t nem telepl.
Sikeres szinkronizci utn 24 rnknt frissti a rendszer a postafikokat. Ha kszen llunk a vglegestsre, akkor lltsuk t a domain nevnk MX rekordjt. A pontos belltsokat megtalljuk az adminisztrcis fellet Tartomnyok menpontjn bell, ha kijelljk a levelezsi domain nevnket, s a tblzat feletti DNS belltsok megtekintse linkre
kattintunk. ltalnossgban elmondhat, hogy az MX rekord rtknek
<domain>.mail.eo.outlook.com formtumnak kell lennie, ahol a <domain> rszt a
levelezsi domain nevnkkel kell behelyettesteni gy, hogy a pontokat ktjelekre cserljk. Az msiskola.hu domainhez tartoz MX rekord rtke pldul:
msiskola-hu.mail.eo.outlook.com
11) Vrjunk 24-72 rt, hogy a belltsok vgigfussanak a DNS rendszeren, s biztosan minden j levl az online postafikokba rkezzen.
12) Ha megbizonyosodtunk arrl, hogy a belltsok rvnybe lptek, trljk ki az tteleptsi kteget az adminisztrcis felleten. Ezzel egy utols szinkronizci is elindul, hogy az
sszes levl tkerljn a felhbeli postafikokba.
21.9
Az elzekben bemutatott eszkzzel, azaz az Exchange Online adminisztrcis felletnek Email ttelepts eszkzvel a postaldk egy rsze is ttelepthet.
21.9.1 Rendszerkvetelmnyek
Exchange Server 2003 vagy 2007 (2010 nem tmogatott)
Mkd Outlook Anywhere (belltst lsd korbban)
Mkd cmtr-szinkronizls (belltst lsd korbban)
21.9.2 Elkszletek
1) A szakaszos ttelepts sorn az tteleptend felhasznlk krt egy CSV formtum fjl
segtsgvel kell megadnunk a szolgltatsnak. Az ttelepts a fjlban megadott sorrend
szerint trtnik. Egy fjlban maximum 1000 postafikot adhatunk meg, de tbb fjlt is feltlthetnk. A fjlnak a kvetkez oszlopokat kell tartalmaznia:
EmailAddress: a helyi postaldhoz tartoz elsdleges SMTP cm. Fontos, hogy mindenkppen az elsdleges cm legyen itt megadva.
Password: az j postalda jelszava. Ha egyszeri bejelentkezst hasznlunk, akkor ezt a
paramtert nem ktelez megadni.
ForceChangePassword: rtke True vagy False lehet. Azt adja meg, hogy a felhasznlnak meg kell-e vltoztatnia a jelszavt az els belpskor. Ha egyszeri bejelentkezst
hasznlunk, az rtke False legyen.
222
2) Hozzunk ltre egy tartomnyi felhasznlt, aminek nevben az Exchange Online kapcsoldni fog a helyi szervezetnkhz, pl.: MSISKOLA\migracio
3) Az elbb ltrehozott felhasznlnak meg kell adnunk minden jogosultsgot a postafikokhoz, hogy a msols sikeres legyen. Ehhez indtsuk el az Exchange Management
Shell-t, s futtassuk a kvetkez PowerShell parancsokat (kt parancs, egy-egy sorba
rand):
Get-Mailbox | Add-MailboxPermission -User MSISKOLA\migracio
-AccessRights FullAccess
Get-MailboxDatabase | Add-ADPermission -User MSISKOLA\migracio
-ExtendedRights Receiver
21.9.3 Migrci
Most, hogy minden elfelttelt teljestettnk, elkezdhetjk magt a migrcit.
1) Jelentkezznk be az adminisztrcis felletre, s a Rendszergazdai ttekints oldalon kattintsunk az Exchange felirat alatti Kezels linkre. Ezzel az Exchange Online kezelfelletre jutunk.
2) A Felhasznlk s csoportok lapon kattintsunk az E-mail ttelepts ikonra, majd az j
gombra.
6)
7)
8)
9)
10) Indts utn a kteg llapota elszr Vrakozs lesz. Ez azt jelenti, hogy vrlistn van a
szerveren, rvidesen elindul a szinkronizls, amit a Fut llapot jelez. Vgl, ha a szinkronizls megtrtnt, az llapot Szinkronizlva rtkre vltozik.
11) A szinkronizls befejeztvel letlthetv vlik a szinkronizlsi jelents s hibalista.
Ezek alapjn orvosoljuk az esetlegesen felmerl hibkat, s indtsuk jra a
szinkronizcit mindaddig, amg minden postalda sikeresen t nem telepl.
12) Az ttelepts befejeztvel ajnlott a helyi postafikok talaktsa levelezsre jogosult
felhasznlkk. Erre azrt van szksg, mert az ttelepts utn a felhasznlnak van egy
felhbeli s egy helyi postaldja is. Az j levelek automatikusan tovbbtva lesznek a
felhbeli postafikjba, ugyanakkor, ha Outlook hasznlatval szeretne kapcsoldni, az
AutoDiscover szolgltats a helyi postaldra fogja irnytani a felhasznlt. Msrszt, ha
nem alaktjuk t a postafikokat, akkor az Exchange szerver esetleges ksbbi eltvoltsa
nem vrt kvetkezmnyekkel jrhat.
A konvertlshoz szksges PowerShell szkriptek a kvetkez oldalrl tlthetek le:
Exchange 2007: http://community.office365.com/en-us/wikis/exchange/845.aspx
Exchange 2003: http://community.office365.com/en-us/wikis/exchange/834.aspx
Az talakts menete:
a) Msoljuk az ExportO365UserInfo.ps1, Exchange2007MBtoMEU.ps1 fjlokat, s az
tteleptshez hasznlt csv fjlt egy j knyvtrba az Exchange szervernkn.
b) Nevezzk t a CSV fjlt migration.csv-re.
c) Indtsuk el az Exchange Management Shellt, lpjnk az elbb ltrehozott mappba, s
futtassuk le a .\ExportO365UserInfo.ps1 parancsot.
224
d) A szkript meg fogja krdezni, hogy j kapcsolatot szeretnnk-e ltrehozni, vagy egy
meglvt fogunk hasznlni. rjunk egy n bett az j kapcsolat ltrehozshoz, majd
adjuk meg a felhbeli adminisztrtori adatainkat. A szkript futtatsa sorn ltrehoz egy
Cloud.csv fjlt.
e) Ha az elz szkript futtatsa befejezdtt, ugyanabba az ablakba rjuk be a kvetkezt:
.\Exchange2007MBtoMEU.ps1 dc.msiskola.local
Ahol a dc.msiskola.local helyre a tartomnyban tallhat egyik rhat tartomnyvezrl cmt rjuk.
Ez a szkript elvgzi az talaktst.
f) Ezt a folyamatot hajtsuk vgre az sszes tteleptsi kteg CSV fjljval.
Exchange 2003 esetn a folyamat hasonl, azonban a msodik szkript nem
PowerShell, hanem VBScript. Ezrt a parancs a kvetkezre vltozik:
cscript Exchange2003MBtoMEU.vbs c .\Cloud.csv dc.msiskola.local
225
mindkettn egyszersthetnk, ha ltrehozunk egy CNAME rekordot a domainnk DNSben, amelynek neve pl. mail.msiskola.hu, rtke pedig mail.office365.com
Ilyenkor, ha a felhasznlk a mail.msiskola.hu cmet rjk a bngszjkbe, rgtn az
egyszeri bejelentkezsi oldalunkra jutnak.
4) Be kell lltanunk, hogy az j levelek kzvetlenl a felhalap postaldkba rkezzenek.
Ehhez lltsuk t a domain nevnk MX rekordjt!
A pontos belltsokat megtalljuk az adminisztrcis fellet Tartomnyok menpontjn
bell, ha kijelljk a levelezsi domain nevnket, s a tblzat feletti DNS belltsok
megtekintse linkre kattintunk. ltalnossgban elmondhat, hogy az MX rekord rtknek <domain>.mail.eo.outlook.com formtumnak kell lennie, ahol a <domain> rszt
a levelezsi domain nevnkkel kell behelyettesteni gy, hogy a pontokat ktjelekre cserljk. Az msiskola.hu domainhez tartoz MX rekord rtke pldul:
msiskola-hu.mail.eo.outlook.com
Vrjunk 24-72 rt, hogy a belltsok vgigfussanak a DNS rendszeren, s biztosan minden j levl az online postafikokba rkezzen.
5) Ezek utn a helyi kiszolgl eltvolthat.
Ezzel kapcsolatban bvebb informcit a kvetkez TechNet oldalon tallhatunk:
http://technet.microsoft.com/en-us/library/ee332361(EXCHG.141).aspx
21.10.1 Elkszletek
1) Ltre kell hoznunk minden tteleptend felhasznlnak egy postafikot az Exchange Online rendszerben.
Jelentkezznk be az adminisztrcis felletre, s a Rendszergazdai ttekints oldalon kattintsunk az Exchange felirat alatti Kezels linkre. Ezzel az Exchange Online kezelfelletre jutunk.
226
A postafikok ltrehozsra kt lehetsg ll rendelkezsnkre. Ltrehozhatjuk ket egyesvel, kzzel, vagy kszthetnk egy CSV fjlt, amit feltltnk a Felhasznlk importlsa
varzslba, ami ltrehozza a szksges postafikokat.
Ha a kzi mdszert vlasztjuk, az Exchange Online Postaldk eszkznek felletn vlasszuk az j lehetsget. A megjelen ablakban tltsk ki az rlapot, s ismteljk ezt
meg az sszes tteleptend felhasznl adataival.
Ha sok postaldt szeretnnk ttelepteni, a kzi megolds rendkvl idignyes, radsul
nagy a hibalehetsg is. Ilyen esetben hozzunk ltre egy CSV fjlt. Ehhez sokfle programot hasznlhatunk, pl. a Jegyzettmbt, vagy a Microsoft Excelt. A fjlban a kvetkez
oszlopokat ktelez hasznlnunk:
Name: a felhasznl egyedi azonostja
EmailAddress: a felhasznl teljes e-mail cme
FirstName: a felhasznl keresztneve
LastName: a felhasznl vezetkneve
Password: a felhasznl kezdeti jelszava
Minta fjl:
Name,EmailAddress,FirstName,LastName,Password
minta1,minta1@msiskola.hu,Kis,Jzsef,abc123
minta2,minta2@msiskola.hu,Nagy,Istvn,bcd345
Ezeken kvl hasznlhatunk egy sor nem ktelez tulajdonsgot, pldul: DisplayName,
ForceChangePassword, Company, City
2) A varzsl a fjl tallzsa utn egy szintaktikai ellenrzst vgez a fjlon, hogy az formailag megfelel-e a kvetelmnyeknek. Ha igen, akkor az Importls gombra kattintva kezddik meg a postafikok ltrehozsa.
Az importls folyamata alatt a Postaldk lapon megjelenik egy j llapotablak, amelyben folyamatosan nyomon kvethetek a sikeres s sikertelen importlsi ksrletek.
A feldolgozs befejeztvel a fjlt feltlt adminisztrtor e-mailben kap sszefoglalt az
importls eredmnyrl.
3) Engedlyezzk a meglv levelezrendszernkben az IMAP protokoll hasznlatval trtn postalda-hozzfrst, s a tzfalunkat is lltsuk be, hogy az internet fell is elrhet
legyen ezen a mdon a levelezszerver.
4) A felhasznlk importlshoz hasonl mdon ltre kell hoznunk mg egy CSV fjlt,
amelyben minden felhasznlhoz megadjuk a hozzfrsi adatokat. Lehetsgnk van
megadni minden felhasznlhoz a hozz tartoz jelszt, vagy hasznlhatunk minden postafikhoz egy adminisztrtori felhasznlt, akinek hozzfrse van a postafikokhoz.
A fjlban a kvetkez ktelez oszlopokat kell megadnunk:
EmailAddress: a felhasznl teljes e-mail cme
Username: a felhasznl vagy az adminisztrtor felhasznli neve
Ha egy adminisztrtori felhasznlval szeretnnk hozzfrni a postaldkhoz, akkor a
felhasznlnevet a kvetkez formtumban kell megadni:
Exchange IMAP esetn:
Tartomny/admin_felhasznlnv/felhasznl_felhasznlnv
SASL protokollt tmogat IMAP szerver esetn (pl.: Dovecot):
admin_felhasznlnv*felhasznl_felhasznlnv
Mirapoint Message Server esetn:
227
#felhasznl@tartomny#admin_felhasznl#
Password: a felhasznl, vagy az adminisztrtor jelszava
Courier IMAP kiszolgl esetn a felhasznlnv s a jelsz mezkbe az adminisztrtor nevt
s jelszavt kell megadni, s egy j, UserRoot oszlopba kell megadni egy n. virtulis megosztott mappa tvonalat, amelyen a kvnt postafik elrhet. Errl bvebb informci a
Courier
levelezszerver
weboldaln
tallhat:
http://www.couriermta.org/imap/README.sharedfolders.html
5) Ha az elbb ltrehozott CSV fjlban rendszergazdai adatokkal kapcsoldunk a postafikokhoz, akkor gyzdjnk meg rla, hogy ennek a felhasznlnak van jogosultsga olvasni az tteleptend postaldkat.
21.10.2 Migrci
1) Jelentkezznk be az adminisztrcis felletre, s a Rendszergazdai ttekints oldalon kattintsunk az Exchange felirat alatti Kezels linkre. Ezzel az Exchange Online kezelfelletre jutunk.
2) A Felhasznlk s csoportok lapon kattintsunk az E-mail ttelepts ikonra, majd az j
gombra.
228
5) A Tovbb gombra val kattints utn a rendszer megprbl kapcsoldni a megadott belltsokkal. Ha a kapcsolds sikeres volt, a kvetkez lapon ki kell vlasztanunk az elbbiekben ltrehozott postalda adatokat tartalmaz CSV fjlt.
Nevezzk el a ktetet, majd adjuk meg azokat a mappkat, amelyeket nem szeretnnk tmsolni az j postaldba. Ilyen lehet pldul a Levlszemt. A nyilvnos s megosztott
mappkat sem ajnlott tmsolni, mivel ezek tbb nem nyilvnos mappaknt fognak mkdni, hanem minden postaldba kln-kln tmsoldik a tartalmuk. A / (per) jelet
tartalmaz mappk nem msoldnak t.
Megadhatunk tovbb ms felhasznlkat is, akiknek az ttelepts jelentst el szeretnnk
kldeni.
6) Ha a CSV fjllal minden rendben volt, az E-mail ttelepts oldalrl indtsuk el az tteleptsi kteget.
7) A postaldk els szinkronizlsa utn a rendszer 24 rnknt nvekmnyes szinkronizlst hajt vgre, ami azt jelenti, hogy a postaldkon trtnt vltozsokat tmsolja a felhbeli postaldba is.
Ha az sszes postalda sikeresen szinkronizldik, s kszen llunk a vglegestsre, akkor lltsuk t a domain nevnk MX rekordjt. A pontos belltsokat megtalljuk az adminisztrcis fellet Tartomnyok menpontjn bell, ha kijelljk a levelezsi domain
nevnket, s a tblzat feletti DNS belltsok megtekintse linkre kattintunk. ltalnossgban elmondhat, hogy az MX rekord rtknek <domain>.mail.eo.outlook.com formtumnak kell lennie, ahol a <domain> rszt a levelezsi domain nevnkkel kell behelyettesteni gy, hogy a pontokat ktjelekre cserljk. Az msiskola.hu domainhez tartoz
MX rekord rtke pldul:
msiskola-hu.mail.eo.outlook.com
8) Vrjunk 24-72 rt, hogy a belltsok vgigfussanak a DNS rendszeren, s biztosan minden j levl az online postafikokba rkezzen.
9) Ha megbizonyosodtunk arrl, hogy a belltsok rvnybe lptek, trljk ki az tteleptsi kteget az adminisztrcis felleten. Ezzel egy utols szinkronizci is elindul, hogy az
sszes levl tkerljn a felhbeli postafikokba.
229
1) Ha mg nem tettk meg, trstsunk licenceket a felhasznlkhoz. A kezdeti trelmi idszak utn a postafikok elrhetetlenn vlnak, ha nincsen hozzjuk megfelel licenc trstva.
2) A megfelel mkds rdekben ltre kell hoznunk, vagy mdostanunk kell az
AutoDiscover
rekordot
a
domainnk
DNS
bejegyzsei
kztt.
Az
autodiscover.msiskola.hu CNAME tpus rekordnak az autodiscover.outlook.com cmre
kell mutatnia.
3) Opcionlisan bellthatunk egy knnyebben megjegyezhet cmet az Outlook Web
Appnak is. Alapbelltsknt a felhasznlk a http://mail.office365.com vagy a
http://outlook.com/msiskola.hu oldalon tudnak bejelentkezni a levelezskbe, de mindkettn egyszersthetnk, ha ltrehozunk egy CNAME rekordot a domainnk DNS-ben,
amelynek neve pl. mail, rtke pedig mail.office365.com
4) Ilyenkor, ha a felhasznlk a mail.msiskola.hu cmet rjk a bngszjkbe, rgtn az
egyszeri bejelentkezsi oldalunkra jutnak.
5) Ezek utn a helyi telepts levelezrendszert akr el is tvolthatjuk.
230
A Users lap Office 365 felhasznlk szmra nem rdekes, mivel a felhasznlink itt nem
fognak megjelenni.
Annl rdekesebb viszont a Policy Rules lap. Ezen a lapon klnbz szablyokat hozhatunk
ltre, amelyek segtsgvel irnythatjuk s szrhetjk a levlforgalmat. A bal oldali Rules
Settings ablakban kell megadnunk, hogy melyik domain nvre rkez, milyen irny levllel
mit szeretnnk kezdeni. Lehetsgnk van tbbek kztt elvetni, engedlyezni, karantnba
helyezni, tirnytani, titkos msolattal tovbbtani az zenetet. A szrst tbbek kztt az
zenet fejlcei, a kld IP cme, domain neve, e-mail cme, a cmzett hasonl tulajdonsgai s
mg egy sor egyb felttel alapjn tudjuk finomtani.
A Filters lapon sztrakat tudunk feltlteni. Egy sztr tartalmazhat kulcsszavakat, IP cmeket, domain neveket, ami alapjn egy szablyban szrni tudjuk az zeneteket.
A My Reports fln jelentseket kszthetnk s futtathatunk klnbz tmakrkben.
A Tools fln bell a Message Trace oldalon zeneteket kereshetnk meg, s megtudhatjuk,
milyen okbl (nem) kapta meg a cmzett, mg az Audit Trail lapon az adminisztrcis felleten keresztl vgrehajtott mdostsokat kvethetjk nyomon.
232
A szolgltatssal jelenleg profi weboldalakat ugyan nem lehet kszteni, de az egyszer kezelhetsghez mrten igen jl testre szabhat a vgeredmny, gy ha egy egyszeren elkszthet s karbantarthat weboldalt szeretnnk kszteni, nem fogunk csaldni.
233
234
21.12.4 Migrci
Hivatalos Microsoft eszkz vagy mdszer a szolgltats jelenlegi verzijban sajnos nem ll
rendelkezsre, amellyel egy helyi SharePoint Server 2010 alap webhelycsoportot t lehetne
kltztetni a SharePoint Online szolgltatsba, azonban szmos kls gyrt ksztett szoftvereket, amelyek megknnytik az tllst.
Ezek kzl a Quest Migration Suite for SharePoint mr prbaverziban is kpes webhelyeket
tkltztetni, ugyanakkor az eredmny a legtbb esetben kzi finomhangolst ignyel, klnsen a bonyolultabb intranetes oldalak esetben.
A szoftver a http://www.quest.com/migration-suite-for-sharepoint/ oldalrl tlthet le.
21.13.2 Klienstelepts
A Lync azonnali zenetkldsi funkcijt mr az Outlook Web App-ba val belps utn elrjk, a teljes funkcionalitst azonban csak az asztali alkalmazs felteleptsvel kaphatjuk
meg. A letltsi link minden felhasznl szmra elrhet az Office 365 Kezdoldaln, ahol a
Lync cmsor alatt rgtn ott van a Lync teleptse hivatkozs.
Az els bejelentkezs eltt lehetsges, hogy teleptennk kell a Microsoft Online Services
Bejelentkezsi segdet is. Ha gy van, akkor a program rtesteni fog minket errl, s a letltsi linket is megjelenti.
235
21.13.3 Kapcsolatok
Amikor elszr bejelentkeznk a rendszerbe, egy res kapcsolati lista fog fogadni. Itt azonban
a publikus zenetkldktl amilyen pldul a Live Messenger eltren nem szksges
msok valamilyen azonostjt tudni a kapcsolatfelvtelhez. Egyszeren kezdjk el rni a nevt a keressvba, s a program a szervezetnk sszes felhasznlja kztt keres. A leggyakoribb kapcsolatainkat hozzadhatjuk a kedvenceink listjhoz, gy legkzelebb mr a kezdkpernyn lesznek.
Az Office 365 adminisztrcis felletn keresztl elrhet Lync vezrlpulton lehetsgnk
van engedlyezni a kls partnerek felvtelt is. Ilyenkor a felhasznlk nem csak vllalaton
bell kommuniklhatnak, hanem felvehetik a kapcsolatot ms szervezetek Lync felhasznlival, st, akr Live Messenger felhasznlkkal is. Vrhatan a jvben a Skype felhasznlk is
kapcsolhatak lesznek.
236
vnyszolgltat ltezik, amelynek hitelessgt a legtbb opercis rendszer kztk a Windows minden bellts nlkl elfogadja, ez pedig a StartSSL.
Termszetesen az ingyenessg rdekben el kell fogadnunk bizonyos vllalhat kompromiszszumokat, mint pldul, hogy a tanstvnyokat csak dj ellenben vonjk vissza. Rszletes
ismertet a http://startssl.com oldalon rhet el.
21.14.2 Regisztrci
A tanstvnyok ignylshez regisztrlnunk kell magunkat a StartSSL oldaln.
1) Ltogassunk el a http://startssl.com weboldalra, s kattintsunk a bal fels sarokban tallhat Sign-up felirat kpre.
237
21.14.4 Tanstvnyignyls
Maga a tanstvnyignyls trtnhet tanstvnykrelembl, amit valamilyen program, pldul IIS generl, vagy trtnhet teljesen nllan, ilyenkor a privt kulcsot a bngsz generlja, hasonlan a regisztrcikor generlt kliens tanstvny privt kulcshoz.
1) Ksztsk el a tanstvny krelmnket a kvnt programmal. Vgeredmnyknt ltalban
egy .req kiterjeszts fjlt kapunk.
2) A StartSSL Control Panel oldaln kattintsunk a Certificates Wizard flre.
3) A Certificate Target listbl vlasszuk a Web Server SSL/TLS Certificate lehetsget (felttelezve, hogy IIS vagy bizonyos Exchange szolgltatsokhoz ignyeljk a tanstvnyt)
4) Mivel a tanstvnyt krelembl fogjuk ignyelni, ezrt a kvetkez oldalon a privt kulcs
generlst ki kell hagynunk. Kattintsunk a Skip gombra.
5) Nyissuk meg egy szvegszerkeszt programmal (pl. a Jegyzettmb tkletesen megfelel)
a krelem generlsakor kapott .req fjlt, s az elejtl a vgig jelljk ki, majd msoljuk
be a StartSSL Submit Certificate Request oldaln tallhat mezbe. gyeljnk r, hogy
vletlenl se mdostsuk a kdot, egyetlen szkz is hibt okozhat.
6) A kvetkez oldal tjkoztat, hogy a kd feltltse sikeres volt, s most jbl meg kell
majd adnunk az adatokat.
7) A Continue gombra val kattints utn vlasszuk ki azt a domaint, amihez a tanstvnyt
ignyelni szeretnnk. A listban csak azok a domainek jelennek meg, amit az elmlt 30
napban rvnyestettnk.
238
239