Professional Documents
Culture Documents
Windows - Server.2008.az - Elso.szamu - Utmutato.2009.ebook DigIT
Windows - Server.2008.az - Elso.szamu - Utmutato.2009.ebook DigIT
Az elsőszámú útmutató
Windows Server 2008
Az első szám ú útmutató
fonathan HasseU
O'REILLY �
A kiadvány a következő angol eredeti alapján készült:
Authorized translation of the English edition of WINDOWS SERVER 2008: THE DEFINITIVE GUIDE
© 2008 by Jonathan Hassell. This translation is published and sold by permission of O'Reilly Media, Inc.,
the owner of ali rights to publish and sell the same.
No part of this book, induding interior design, cover design, and icons, may be reproduced or transmitted
in any form, by any means (electronic, photocopying, recording, or otherwise) without the prior written
permission of the publisher.
Trademarked names appear throughout this book. Rather than list the names and entities that own the
trademarks or insert a trademark symbo! with each mention of the trademarked name, the publisher states
that it is using the names for editorial purposes only and to the benefit of the trademark owner, with no
intention of iruringing upon that trademark
A szerzők és a kiadó a lehető legnagyobb körültekintéssel járt el e kiadvány elkészítésekor. Sem a szerző,
sem a kiadó nem vállal semminemű felelősséget vagy garanciát a könyv tartalmával, teljességével
kapcsolatban. Sem a szerző, sem a kiadó nem vonható felelősségre bármilyen baleset vagy káresemény
miatt, mely közvetve vagy közvetlenül kapcsolatba hozható e kiadvánnyal.
A legnagyobb változások 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A továbbfejlesztett TCP/IP-verem 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Változások a terminálszolgáltatásokban 5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bitloeker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Az eszköztelepítés vezérlése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o • • • • • o • •8
Fokozott biztonságú Windows-tűzfal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
Hálózatvédelem . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . .9
A rendszer kezelésében végrehajtott javítások . . . . . o • • • • • • • • • • • • • • • • o • • • •9
A kiszolgálókezelő . . . . . . . . . . . . . . . . . . . . . . . . . . o • • • • • • • • • • • • • • • • • • 10
Windows Deployment Services . . . . . . . . . o • o • o • • • • • • o • • • • • • • • • • • • • • lO
Megnövelt teljesítmény és megbízhatóság . . . . . . . . o • • • • • • o • • • • • • • • • • • • • • lO
A Windows Server 2008 változatai . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ll
Hardverkövetelmények . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Zárszó . . . . . . . . . . . . . . . .. o • • • o • • • • • • • • • • • • • • o • • • • • • o • • • • • • • • • • • • • 12
Kezdeti beállítások . 18 . . . . . . . . . . . . . . . o • • • o • • • • • • • • • • • • • o • • • • • • • • • • • •
A termékaktiválás lényege 19 . . . . . o • • • • • • • • • • • • • • • • • o • • • • • • • • • o • • o • •
Távoli telepítés . . . . 21 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o • •
Windows PE . . . . 21 . . . . . . . . o o • • o • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •
Az indítómenü . . 29 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o • • • • • • • • • •
Windows Server 2008
3. fejezet • Fájlszolgáltatások
4. fejezet • A tartománynévrendszer
Építőkockák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Zónák vagy tartományok? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Zónafájlok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
�
Előre haladó és fordított keresési zónák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Erőforrás-bejegyzések . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Állomás-bejegyzések ( "A" bejegyzések) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Kanonikusnév-bejegyzések (CNAME-bejegyzések) . . . . . . . . . . . . . . . . . . . . 98
Levélkiszolgáló-bejegyzések (MX-bejegyzések) . . . . . . . . . . . . . . . . . . . . . . . 98
Névkiszolgáló-bejegyzések (NS-bejegyzések) . . . . . . . . . . . . . . . . . . . . . . . . 99
Elsődlegesirányadó-bejegyzések (SOA-bejegyzések) . . . . . . . . . . . . . . . . . . . 99
Mutatóbejegyzések (PTR-bejegyzések) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Szolgáltatás-bejegyzések (SRV-bejegyzések) . . . . . . . . . . . . . . . . . . . . . . . . 100
Elsődleges és másodlagos névkiszolgálók használata . . . . . . . . . . . . . . . . . . . . 101
Teljes és fokozatos zónafrissítés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Névkiszolgálók felépítése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
A fokozatos zónafrissítés engedélyezése . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Előre haladó keresési zóna létrehozása . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
" 105
"A bejegyzések megadása egy zóna számára . . . . . . . . . . . . . . . . . . . . . . .
Eseménynaplózás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . 282
Zárszó . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
.
Szerepkörök .. . . . . . 290 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Alkalmazáskészletek . 298 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zárszó .
. . . . . .. . . 306
. . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zárszó . .. . . . . . . . . . 319 . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . .
�
1 O. fejezet • Terminálszolgáltatások
A távoliasztal-protokoll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
A terminálkiszolgálói szerepkör felvétele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Távoli asztal engedélyezése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
A felhasználó oldaláról nézve . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
Az RDP-ügyfél használata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
A felhasználói környezet beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
Más ROP-ügyfelek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
A terminálszolgáltatások felügyelete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Terminal Services Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Terminal Services Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
A terminálszolgáltatások webes elérése . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
Terrninálszolgáltatási átjáró . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 344 .
Teljesítmény-optimalizálás 381
..
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kiszolgálófürtözés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
A fürtökkel kapcsolatos fogalmak 383
. ... ...... ..
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A csővezeték 404
.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Változók 408
. . . .. ..
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zárszó . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
Tárgymutató 427
Záradék 443
Előszó
A Microsoft kiszolgálóközpontú Windows operációs rendszerei képességeiket, összetettségüket és
a szolgáltatásaik puszta számát tekintve is hatalmasat fejlődtek azóta, hogy az 1990-es évek elején
megjelent a Windows NT Server. A rendszergazdák minden kiadásban számtalan új fogalommal
találkozhattak, a tartományoktól, a címtárszolgáltatásoktól és a virtuális magánhálózatoktól kezdve
az ügyfelek karanténba zárásáig, a lemezkvótákig és az univerzális csoportokig. Arnint sikerült
az új ismereteket elsajátítani, máris ott voltak a még újabbak, és ismét küzdeni kellett, hogy tartsuk
a lépést. Ez azóta sem változott - az informatikai ipar ördögi kör.
Az egyik forrás, ahonnan a gondban levő rendszergazdák segítséget meríthettek, mindig is a mű
szaki könyvek piaca volt, illetve a szerzők, a kiadók és a felhasználók közösségei. A népszerű
operációs rendszerek fóbb változatainak kiadását mindig a támogatásukra íródott könyvek megje
lenése kísérte, mely könyveket gyakran a szaftvergyártók támogatták Egyes kiadványok úgy
reklámozzák magukat, mint az adott szaftver teljes útmutatója, míg mások olyan óvatosan közelí
tenek meg egy témát, mintha nem bíznának az olvasó értelmi képességeiben. Az évek során sok
könyv ugyanolyan összetett lett, mint az általa leírt operációs rendszer, és ugyanannyi hordalékat
is halmozott fel. Ha bemegyünk egy helyi könyvesboltba, a polcokon 1200 oldalnál is hosszabb
szörnyetegeket láthatunk, amelyeket hasznosnak találhatunk ugyan, de csak akkor, ha élvezzük,
hogy 20 kilónyi papírt kell emelgetnünk, és olyan fejezeteken kell átgázolnunk, amelyek azt írják
le, hogy miként működött valami négy WindowsNT-változattal ezelőtt. Végsősoron van egy határ,
amelyen túl már nem érdemes újra átdolgozni egy művet, hanem célszerúbb az elejétől újraírni,
hiszen az elavult információk tömkelege nem biztos, hogy segíti a hatékony munkát.
Fogadni mernék , hogy az Olvasónak tényleg nincs szüksége ilyen információkra, és ez volt az,
ami a Windows Server 2008- Az elsőszámú útmutató megírására ösztönzött. A kötet tartalmát
igyekeztem annyira megnyirbálni, hogy csak annyi háttérinformáció legyen benne, ami feltétlenül
szükséges ahhoz, hogy megértsük, hogyan működnek az egyes szolgáltatások ebben a Windows
változatban. Azt szeretném, ha az Olvasó az egyes részek elolvasása után világosan értené, hogy
rni zajlik a rendszer színfalai mögött, de anélkül, hogy úgy érezné, leckéket kellett vennie az ope
rációs rendszerek elméletébőL A könyvet elsősorban gyakorlati útmutatónak szántam, amely segíti
a munkánkat, és elmagyarázza, hogy mi hogyan működik, és hogy miként kell elvégezni bizonyos
feladatokat.
Windows Server 2008
A könyv tehát, amelyet a kezünkben tartunk (vagy elektronikus formában olvasunk az Interneten),
a piacon levő más könyvekhez képest tömörebb, olcsóbb és jobban összpontosít a gyakorlati fel
adatokra. Remélem, hogy nem okoz csalódást, és az Olvasó újra és újra fellapozza, hogy megértse
azt a hatalmas szoftvert, amelyet úgy hívnak, hogy Windows Server 2008.
Még egy dologra külön ki szeretnék térni: a könyv során végig igyekeztem a parancssor
használatát is bemutatni a grafikus felület mellett (illetve egyes esetekben azzal szembeállítva).
A parancssor - legalábbis az én véleményem szerint - kitűnő eszköz arra, hogy gyorsan és haté
konyan hajtsunk végre feladatokat, és arra is na·gyszerűen alkalmas, hogy ismétlődő feladatok
végrehajtására írt parancsfájlokat futtasson. A Microsoft remek munkát végzett, amikor beépítet
te a parancssor szolgáltatásait a Windowsnak ebbe a változatába, ezért én is igyekeztem, hogy
az erről a témáról szóló részek se valljanak szégyent. Mindazonáltal ha a grafikus felületért
rajongunk, akkor sem kell megijednünk: a kötetben a megszakott munkamódszerünkhöz is
minden információt megtalálunk
A könyv felépítése
A könyv tartalmának megszerkesztésekor igyekeztem logikus sorrendben bemutatni a rendszert,
az összefoglaló áttekintéstől a fóbb összetevők részletesebb tárgyalása felé haladva. A kötet
a következő részekből épül fel:
Normál betű
A menünevek, menüelemek, parancsgombok és gyorsbillentyűk (például az ALT és
a CTRL) normál betűkkel jelennek meg.
Dőlt betű
Dőlt betűvel írtuk az új fogalmakat, az URL-eket, az e-mail címeket, a fájlneveket és
-kiterjesztéseket, az elérési utakat, a könyvtárneveket és a parancssori prograrnak nevét.
Állandó szélességű betű (írógépbetű)
Ezt a betűstílust a parancsok, a kapcsolók, a változók, a jellemzők, a kulcsok, a függvé
nyek, a típusok, az osztályok, a névterek, a tagfüggvények, a tulajdonságok, a paraméte
rek, az értékek, az objektumok, az események, az eseménykezelők, az XML- és HTML
címkék, a makrók, a fájltartalmak, illetve a parancskimenetek jelzésére használjuk.
Félkövér, állandó szélességű betű
A felhasználó által a megadottal megegyezően beírandó parancsokat, illetve más szöve
geket jelöli.
Dőlt, állandó szélességű betű
Azokat az elemeket szedtük így, amelyek helyére a felhasználónak a megfelelő értékeket
kell beírnia.
A kódpéldák használata
Ezt a könyvet azért készítettük, hogy segítsen a munkánk elvégzésében. A benne szereplő kódok
általában felhasználhatók a programjainkban és dokumentációinkban, tehát nem kell engedélyért
folyamodni a kiadóhoz, hacsak nem jelentős mennyiségű kódot kívánunk lemásolni. Például ha
olyan programot írunk, amely több kisebb kódrészletet használ fel a könyvből, nincs szükség
engedélyre, de ha terjeszteni vagy eladni szeretnénk egy O'Reilly-könyvből származó példákat
tartalmazó CD-ROM-ot, akkor igen. Ha a könyvet, illetve egy benne szereplő példakódot idézve
válaszolunk egy kérdésre, ugyancsak nem kell engedélyt kérnünk, de ha termékünk dokumentá
ciója jelentős mennyiségű példakódot emel át ebbó1 a könyvbó1, már engedélyre lesz szükségünk.
Örülünk neki, de nem követeljük meg, ha valaki feltünteti a forrást. A forrás feltüntetése általában
a szerző, a cím, a kiadó és az ISBN-szám jelzését jelenti, például így: ,Jonathan Hassell: Windows
Server 2008: The Definitíve Guide, Copyright 2008, Jonathan Hassell, 978-0-596-51411-2".
Ha a kódpéldákat olyan formában szeretnénk felhasználni, ami érzésünk szerint a fent említett
szabad felhasználási körökön kívül esik, lépjünk kapcsolatba a kiadóval a permissions@oreilly.com
címen.
Windows Server 2008
Elérhetőségeink
A könyvvel kapcsolatos megjegyzéseket és kérdéseket a következő címre várjuk:
http:!/www.oreilly.com/catalog/9 780596514112
bookquestions@oreilly.com
http:llwww.oreilly.com
Safarr>
Ha kedvenc szakkönyvünk borítóján felfedezzük a Safari® Books Online
ikont, az arra utal, hogy a könyv elérhető az O'Reilly Network Safari
Books Online
Bookshelf nevű elektronikus könyvtárban.
Köszönetnyilvánítás
Mindig is tetszett, hogy a műszaki könyvekben a köszönetnyilvánírások általában a könyv ele
jén találhatók, mert így a mozifilmekkel ellentétben, miközben olvassuk a könyvet, már tudjuk,
kinek köszönhetjük. De minden további körítés nélkül álljanak is itt a nevek:
Végül, köszönet illeti a családomat, különösen a feleségemet, Lisát, aki minden alkalommal
türelemmel fogadta azt az egyébként elfogadhatatlan választ, hogy "Még nem", amikor újra és
újra feltette a jogos kérdést, hogy Elkészültél már azzal a könyvvel?".
"
A szerzőről
Jonathan Hassell a legkülönfélébb informatikai témákról ír könyveket és tart előadásokat, vala
mint tanácsadóként is tevékenykedik. Korábbi könyvei között olyanokat találunk, rnint
a Learning Windows Server 2003 és a RADJUS (mindkettő az O'Reilly kiadó gondozásában je
lent meg). Rendszeresen jelennek meg cikkei olyan folyóiratokban, rnint a Windows IT Pro,
a PC Pro és a TechNet Magazine.
A Windows Server 2008 - bevezetés
Minden a Windows NT-vel, a Microsoft első komoly olyan rendszerével kezdődött, amellyel a cég
belépett a hálózati kiszolgálók piacára. A Windows NT 3.1-es és 3.5-ös változata a NetWare uralta
piacon nem kapott különösebb figyelmet, már csak azért sem, mert ezek a rendszerek lassúak
voltak, és nem működtek együtt a többi rendszerrel. Aztán megérkezett a Windows NT 4.0, amely
a Windows 95 külsejét öltötte magára (amelyet csak azok tartottak forradalminak, akik nem ismer
ték az Apple Macintosh operációs rendszerének felhasználói felületét), és így barátságosabb arc
mögé rejtette az egyszerű, de alapvető szerkezeti változtatásokat. A 4.0-s változat ráébresztette
a nagyobb vállalatokat, hogy a Microsoft komolyan be szeretne lépni a vállalati számítógépek
piacára, még ha a termék akkor kínált változata még rnindig korlátozott méretezhetőségi és
rendelkezésre állási lehetőségeket biztosított is. Mindazonáltal a Microsoft engedményeket tett
a NetWare-felhasználóknak, és megkönnyítette számukra, hogy az új NT hálózathoz kapcsolód
janak. A biztonsági szolgáltatásokat ugyancsak átdolgozták, a jogosultságok (engedélyek) rend
szerét finom szintekre bontották, és bevezették a tartományokat: mindez jelezte, hogy a Microsoft
a vállalati számítógép-használatot a Windows fontos részének tekinti.
A rekordszámú (hat és fél) javítócsomag után az NT 4.0 sokak részéró1 kivívta magának a valaha
volt legstabilabb redmondi operációs rendszer címét. A legtöbb Unix-tapasztalatokkal rendelkező
rendszergazda azonban egy olyan operációs rendszerre vágyott, amely hitelesebb a vállalati kör
nyezetben: olyan rendszerre, amely a piacot régóta megkérdőjelezhetetlenül uraló hatalmas Unix
gépekhez mérhető. Ez a vágyuk csak :2"000 februárjában teljesült: ekkor jelent meg a Windows
2000 Server, amelyhez teljesen átdolgozták az NT 4.0-t, és amelynek tervezésekor a stabilitás és
a méretezhetőség volt az elsőrangú szempont
Valami azonban még mindig hiányzott. Míg a Sun és az IBM ipari hatékonyságú rendszerei -
a Solaris és az AIX - alkalmazás-kiszolgálói programokat és fejlesztőközpontú szolgáltatásokat
is tartalmaztak, a Windows 2000 nem rendelkezett ezekkel a képességekkel. Ezen felül
a Windows 2000-be beépített Internet Information Services (IlS) webkiszolgáló hírhedt bizton
sági problémái sötét felhóbe burkolták a jövőt, és kétségessé tették, hogy a Windows valaha is
életképes internetes vállalati operációs rendszerré válhat. A .NET webszolgáltatási megoldások
bevezetését sokan különösen kockázatosnak tartották a cég részéről, ezért létfontosságú volt,
hogy a Microsoft legközelebb valami jóval rukkoljon elő, és megőrizze a hírnevét
-� Windows Server 2008
Még nem volt késő, de sok vásárló igencsak aggódott a számos biztonsági hiányosság és
az ezek kiküszöbölését célzó javítócsomagok kényelmes kezelését lehetővé tevő rendszer
hiánya rniatt. Mindenképpen változásra volt szükség.
És ekkor színpadra lépett a Windows Server 2003. Mi különböztette meg ezt a kiadást az előzőtől
a hosszabb néven és a kettő megjelenési dátuma között eltelt három éven kívül? Nos, elsősorban
a biztonság. A Windows Server 2003 dobozában egy biztonságosabb rendszer bújt meg, ami
nagyrészt annak volt köszönhető, hogy 2002 márciusában az új fejlesztéseket egy teljes hónapra
leállították- ez volt a Trustworthy Computing Initiative kezdete, amikor is az összes fejlesztő és
termékmenedzser más sem csinált, rnint felülvizsgálta a meglevő forráskódot, biztonsági hiányos
ságokat keresve, és a biztonságos kódok írásának javasolt eljárásait oktató továbbképzésre járva.
A Windows Server 2003-ban a teljesítmény is javult, nagy hangsúlyt fektettek az operációs rend
szer méretezhetőségére, a vállalati rendszerfelügyeletet pedig általánosságban hatékonyabbá és
könnyebben automatizálhatóvá tették. A Microsoft a beépített programokat a Windows Server
2003 R2 kiadásban frissítette, egyszerűsítve a személyiségek kezelését a különböző címtárszolgál
tatások és biztonsági határok között, a fájlok megosztását és a könyvtárszerkezetek többszörözé
sét a kiszolgálók között, és még sok minden mást.
Természetesen soha nincs tökéletes szoftver, ezért rnindig lehet még jobbat alkotni. Ahogy
az üzleti követelmények változtak, a Microsoft fejlesztői egyidejűleg dolgoztak a Windows
Vistán és a következő kiszolgálói változaton. Arnikor a Windows Vista a gyártósorra került,
a csapatok ismét szétváltak: a Windows Server 2008 csapata felvett a rendszerbe néhány új
szolgáltatást, majd a kiadásig a teljesítményre és a megbízhatáságra összpontosított.
A legnagyobb változások
A Windows 2000 Server és a Windows Server 2003 közötti átmenettől eltérően, ami inkább csak ki
sebb frissítés volt, a Windows Server 2008-ban radikálisan átírták a termék kódjának magját. A Win
dows Server 2008 alapkódjának jelentős része megegyezik a Windows Vistáéval, amelyet közvetle
nül a biztonságos fejlesztési modell (SDM, Secure Development Model) eljárásaira építve írtak.
Ez a modell hatalmas változást jelentett a Microsoft programozási megoldásaiban, mert mindent
a kód biztonságosssá tételének rendelt alá. A termékben található számos új és továbbfejlesztett
szolgáltatás tehát egy biztonságosabb alapkódnak, illetve a rendszer következetességére és megbíz
hatóságára fektetett hangsúlynak az eredménye. A Windows Server 2008-ban a legjelentősebb vál
tozások a kiszolgálómag CServer Core) megjelenése és az Internet Information Services 7.0.
Server Care
A Server Core (kiszolgálómag) a Windows Server 2008 telepítési lehetősége, amely csak egy
részhalmazát tartalmazza a végrehajtható fájloknak és a kiszolgálói szerepeknek. A kiszolgáló
kezelését a parancssoron vagy egy önállóan futó beállítófájlon keresztül végezhetjük. Nézzük
a Microsoft meghatározását:
A Server Core-t azoknak a szervezeteknek szánjuk, akik vagy sok kiszolgálót üzemeltetnek,
amelyeknek csak bizonyos kijelölt feladatokat kell végrehajtaniok, de azokat kiemelkedő
stabilitással, vagy olyan környezetet tartanak fenn, ahol magasak a biztonsági követelmé
nyek, és a kiszolgálónak csak rninimális felületet szabad nyújtania a támadásoknak
1. fejezet • A Windows Server 2008 - bevezetés 1-
Ennek megfelelőerr a Care kiszolgálók csak bizonyos szerepeket tölthetnek be:
•
DHCP- (Dynamic Host Configuration Protocol, dinamikus állomásbeállító protokoll)
kiszolgáló
•
DNS- (Domain Name System, tartománynévrendszer) kiszolgáló
• Fájlkiszolgáló, beleértve a fájltöbbszörözési szolgáltatásokat, az elosztott fájlrendszert
(DFS, Distributed File System), az elosztott fájlrendszeri többszörözést (DFSR, Distributed
File System Replication), a hálózati fájlrendszert és az egypéldányos tárolást (SIS, Single
Instance Storage)
•
Nyomtatási szolgáltatások
•
Tartományvezérlő, beleértve az írásvédett tartományvezérlőket
• AD LDS- (Active Directory Lightweight Directory Services, Active Directory könnyűsúlyú
címtárszolgáltatások) kiszolgáló
•
Windows Server Virtualization (virtuális Windows-kiszolgáló)
•
US, bár a szokásos lehetőségeknek csak egy részével (statikus HTML-tárolás, a dinamikus
webalkalmazások támogatása nélkül)
• Windows-médiaszolgáltatások (WMS, Windows Media Services)
A Server Care gépek ezen kívül részt vehetnek Microsoft-fürtökben, hálózati terheléselosztást
alkalmazhatnak, helyet adhatnak Unix-alkalmazásoknak, titkosíthatják a meghajtóikat a Bitloeker
segítségéve!, távolról kezelhetők a Windows PowerShell segítségével egy ügyfélgépről, és
megfigyelhetők az SNMP-n (Simple Network Management Protocol, egyszerű hálózatkezelési
protokoll) keresztül. A legtöbb rendszergazda valószínűleg fiókirodákban helyezi majd el
a Server Core-t futtató szárnítógépeket, ahol azok tartományvezérlői feladatokat látnak el, és
kitűnőerr hasznosíthatják a némileg régebbi hardvereszközöket, amelyeket másképp le kellene
selejtezni. A Server Care kisebb mérete lehetővé teszi az operációs rendszernek, hogy kevesebb
rendszererőforrást használjon fel, a támadásokra kevés alkalmat adó felülete és a stabilitása pe
dig nagyszerű választássá teszi az említett feladatokra. Ezenkívül egy fiókirodában könnyűsúlyú,
biztonságos megoldást jelent, mert a Server Core-ral a kiszolgáló írásvédett tartományvezérlőként
is működhet, amelyen mindent titkosíthatunk a BitLoeker segítségéveL
Javftások az liS-ben
A Microsoft már tisztes korú webkiszolgálója jelentős változásokon esett át a Windows Server
2008-ban. Az US 7 -az US történetében először- teljes mértékben bővíthető, és teljes egészében
összetevőkön alapul: csak azt kell telepítenünk, arnire szükségünk van, így kisebb rendszerigé
nyű, válaszképesebb és a támadásoknak kevésbé kitett szolgáltatást kapunk. Az US felügyeleti
felületét is teljesen újratervezték A legfontosabb fejlesztések a következők:
Javítások a hálózatkezelésben
A Windows Server 2008 csapata külön erőfeszítéseket tett annak érdekében, hogy javítson
a hálózatkezelés sebességén és hatékonyságán. Most először két IP-réteg működik egyszerre
az 1Pv4 és az 1Pv6 támogatására. (Ha már próbáltuk beállítani az 1Pv4-et és az 1Pv6-ot egy
Windows Server 2003 rendszerű számítógépen, tudjuk, hogy kínszenvedés megfelelő együttmű
ködésre bírni a kettőt.) A kommunikáció biztonságát az IPsec jobb beépülése a TCP/IP-verem
különböző részeibe növeli. A Windows Server 2008 hatékonyabban használja a hardvert, így nö
velve a hálózati átvitel sebességét, a rendszeresen lefutó intelligens finomhangoló és optimalizá
ló algoritmusok biztosítják a hatékony kommunikációt, a hálózati verem alkalmazásprogramozá
si felületei pedig közvetlenebbül elérhetők, ami megkönnyíti a fejlesztőknek, hogy műveleteket
végezzenek a veremmeL Nézzünk is meg néhányat azok közül a fejleszrések közül, amelyeknek
a csapat a Next Generation Networking (új generációs hálózatkezelés) nevet adta!
A továbbfejlesztett TCP/IP-verem
Ahogy korábban már utaltunk rá, a Windows Server 2008-ban végrehajtott változtatások jelentős
része magát a TCP/IP-vermet érinti. Az egyik ilyen fejlesztés a TCP ablakméretének automatikus
hangolása: a Windows Server 2008 önműködően képes a fogadási ablak méretét beállítani
minden kapcsolathoz, ami növeli a nagy mennyiségű adatok átvitelének hatékonyságát
az ugyanazon a hálózaton található számítógépek között. A Microsoft példája szerint " ...egy
10 Gigabit Ethernet hálózatban a megállapodás szerinti csomagméret akár 6 megabájt is lehet".
1. fejezet • A Windows Server 2008 - bevezetés 1-
A Windows Server 2003-ban megtalálható, halott átjárót észlelő algaritmusan apró javításokat
eszközöltek: a Windows Server 2008 időről időre megkísérel TCP-csomagokat átküldeni az általa
halottnak érzékelt átjárókon. Ha az átvitel nem ad hibát, akkor a Windows az alapértelmezett
átjárót automatikusan a korábban halottként érzékelt átjáróra állítja, amelyet most már élőként
tart nyilván. Emellett a Windows Server 2008 arra is képes, hogy a hálózati feldolgozó műveletek
terhét a CPU-ról a hálózati kártya áramköreire helyezze át, hogy a CPU más folyamatokkal foglal
kozhasson.
Változások a terminálszolgáltatásokban
A hálózati alkalmazások népszerűsége napról napra nő. Ez az oka annak is, hogy a Windows
Server 2008 a terminálszolgáltatások, illetve a távoli asztal területén a vártnál több változást tartal
maz, és az új képességek némelyike igen örvendetes. A három teljesen új szaigáitatás mellett
a fejlesztőcsapat javított a terminálszolgáltatás magfolyamatain is: például csak egyszer kell
bejelentkezill a terminálszolgáltatások munkameneteibe, amelyek most már több monitorra és
nagy felbontásban is kiterjeszthetők, a képernyő és az erőforrások jobb kihasználását a Windows
System Resource Managerrel (Windows rendszererőforrás-kezelő) való együttműködés segíti,
a terminál-munkameneteket pedig az ügyfél számára témák teszik gördülékenyebbé.
Biztonsági javítások
A biztonsági problémák a Windows megszületése óta sújtják a Microsoftot, de a hibákat a rossz
indulatú támadók csak az utóbbi években kezdték kiaknázni, ahogy egyre több felhasználó
került kapcsolatba egymással. A javítócsomagokkal befoltozott termékek sebezhető pontjait
sokszor rossz tervezési döntések eredményezik; az ilyen hibáktól igyekezett megszabadulni
a Microsoft a Windows Server 2008-ban. Ebben az új rendszerben a szolgáltatások felépítése
jelentősen megváltozott: többek között az eddigieknél több rétegen kell áthaladnunk, ha el
1. fejezet • A Windows Server 2008 - bevezetés 1-
akarjuk érni a rendszer magját; a szolgáltatások részekre oszlanak, ami csökkenti a tártúlcsor
dulás esélyét; és a magas kockázatú, előjogokkal rendelkező rétegek mérete kisebb, hogy
csökkentsék a támadási felületet.
Bitloeker
A meghajtótitkosítási lehetőségek igénye már jó ideje felmerült a biztonsággal foglalkozó fórumo
kan, és azóta is népszerű a téma, a Microsoft pedig válaszképpen mind a Windows Vistába, mind
a Windows Server 2008-ba beépítette a BitLoeker nevű szolgáltatást. A BitLockert kifejezetten
az olyan helyzetekre tervezték, arnikor egy támadó fizikai hozzáférést próbál szerezni egy merev
lemezes meghajtóhoz. Titkosítás nélkül a betörő egyszerűen elindíthat egy másik operációs rend
szert, vagy egy betörőprogramot futtatva fájlokat érhet el, teljesen megkerülve az NTFS fájlrend
szer engedélyeit A Windows 2000 Serverben és a Windows Server 2003-ban megtalálható titkosí
tott fájlrendszer (EFS, Encrypting File System) egy lépést már tett a helyes irányba azzal, hogy
a biteket összekeverte a meghajtón, de a fájlok visszafejtéséhez szükséges kulcsok védelme nem
volt megfelelő. Ezzel szemben a BitLoeker a kulcsokat vagy egy TPM (Trusted Platform Module)
lapkában tárolja az alaplapon, vagy egy USB flash-meghajtón, amelyet rendszerindításkor kell
csatlakoztatnunk
Az eszköztelepftés vezérlése
A vállalatokat egy másik biztonsági probléma is sújtja: az USB-kulcsok elterjedése. Nem számít,
milyen gondosan állítottuk be az engedélyeket a fájlkiszolgálókon vagy hangoltuk be a dokumen
tumtörlési lehetőségeket, és mindegy, hogy milyen belső szabályozás védi a szigorúan titkos" do
"
kumentumokat, egy felhasználó egyszerűen bedughat egy USB-kulcsot egy szabad USB-aljzatba,
és adatokat másolhat rá, teljesen megkerülve a fizikai védelmet. A lemezek általában olyan bizal
mas adatokat tárolnak, amelyeknek ideális esetben soha nem lenne szabad elhagyniuk a vállalat
számítógépeit, mégis gyakran akadnak rájuk elvesztett kulcscsomókon, reptéri várókban magukra
hagyott laptoptáskákban és más, hasonlóan veszélyes helyeken. A probléma mára olyan mérete
ket öltött, hogy egyes cégek ragasztóval betömik az USB-aljzatokat, hogy megakadályozzák azok
használatár, ami hatékony módszer ugyan, de nem túl elegáns.
Nos, az idő elérkezett. Az új, fokozott biztonságú Windows-tűzfal (Windows Firewall with
Advanced Security) egyetlen, kényelmesen használható MMC-beépülőmodulban egyesíti a tűz
falszolgáltatásokat és az IPsec-kezelést Magát a tűzfalmotort is újratervezték, hogy csökkentsék
a szűrés és az IPsec összehangolása okozta többletterhelést Most már több szabályt lehet megha
tározni, és igen egyszerűen adhatunk meg olyan konkrét biztonsági követelményeket, mint a hi
telesítés vagy a titkosítás, a beállítások pedig számítógépenként vagy felhasználói csoportonként
érvényesíthetők. A kimenet szűrésére is lehetőség nyílik; a Windows Firewall korábbi változatai
ban kizárólag csak bemenetszűrést végezhettünk. Végül, a profilok támogatásán is javítottak
most már számítógépenként külön profilokat adhatunk meg a tartományhoz kapcsolódó gépek,
a magánhálózati kapcsolatok, illetve az olyan nyilvános hálózati kapcsolatok számára, mint
a nyilvános drót nélküli állomások (hotspot). A házirendek egyszerűen betölthetők (import) és
átvihetők (export), ami a több számítógépre vonatkozó tűzfalbeállítások kezelését egységessé és
egyszerűvé teszi.
1. fejezet • A Windows Server 2008 bevezetés
- 1-
Hálózatvédelem
A vírusokat és más rosszindulatú programokat gyakran szaftveres védelem állítja meg, mielőtt
egy felhasználó munkamenetében futhatnának, de a tökéletes védelem az lenne, ha egyáltalán
nem érnék el a hálózatot A Windows Server 2008-ban a Microsoft azt találta ki, hogy minden
számítógépnek eleget kell tennie a rendszergazda által beállított alapkövetelményeknek, és ha
azok közül akár csak egyet nem teljesít, a rendszer megakadályozható abban, hogy hozzáférjen
a hálózathoz, vagyis elszigetelhető az egészséges rendszerektől, amíg a felhasználó el nem
hárítja a számítágépén jelentkező problémát. Ezt a szolgáltatást hívják hálózatvédelemnek (NAP,
Network Access P rotection).
Rendszerállapot-éroényesítés
Az érvényesítés során a kiszolgáló megvizsgálja a hálózathoz kapcsolódni próbáló számí
tógépet, bizonyos egészségi feltételek alapján, amelyeket a rendszergazda állít be.
Állapotmegfelelés
Az állapotházirendek gondoskodnak arról, hogy az ellenőrzésen elbukó felügyelt számí
tógépek automatikusan frissíthetők vagy kijavíthaták legyenek a Systems Management
Serveren vagy egy másik felügyeleti szoftveren keresztül, illetve a Microsoft Update vagy
a Windows Update segítségéveL
Korlátozott hozzáférés
A hozzáférés-védelem kényszerítő ereje a hozzáférés korlátozása. A NAP csak figyelő
módban is futtatható - ilyenkor naplóba írja a hálózathoz csatlakozó számítógépek
megfelelőségi és ellenőrzési állapotát-, aktív módban azonban az ellenőrzésen elbukó
számítógépek a hálózat egy korlátozott hozzáférésű területére kerülnek, amely általában
szinte rninden hálózati hozzáférést megakadályoz, és az adatforgaimat olyan különle
gesen megerősített kiszolgálókra korlátozza, amelyeken megtalálhatók a számítógépek
helyreállításához leggyakrabban szükséges eszközök.
Nem szabad elfelejtenünk, hogy a hozzáférés-védelem csupán egy felület, amelyen az ellenőrzés
elvégezhető- a Windows Server 2008 üzembe helyezése után további összetevőkre is szükség
van, például a rendszer egészségét vizsgáló rendszerállapot-ügynökökre (SHA, system health
agent), illetve a rendszer egészségét ellenőrző segédprogramokra, a rendszerállapot-érvényesí
tőkre (SHV, system health validator), amelyek gondoskodnak róla, hogy minden ügyfélgép
ellenőrzésére sor kerüljön. A Windows Vista alapállapotban tartalmaz testreszabható SHA és SHV
segédprogramokat.
•
Pentium III-as, l GHz-es processzor
•
Két processzor használatára alkalmas kiszolgáló számítógép
• Legalább 512 MB RAM
•
Legalább 9 GB szabad lemezterület
Zárszó
A Windows Server 2008 izgalmas szolgáltatásokat nyújt, amelyek sok rendszergazdának haszno
sak lehetnek. A termék Server Core változata valószínűleg hosszú ideje a leghasznosabb új tele
pítési lehetőség a Windows kiszolgálókban, és jól használható minden olyan helyzetben, amikor
sziklaszilárd kiszolgálókra van szükség. Ha a kiszolgálófarmunk a hálózatra erőteljesen támasz-
1. fejezet • A Windows Server 2008 - bevezetés If-
kodó alkalmazásokat futtat, a TCP/IP-verem változásait és a hálózat sebességét növelő egyéb
javításokat örömmel fogjuk fogadni, a hálózat méretezése pedig a hardvertámogatásnak köszön
hetően sokkal olcsóbbá válik, mert a korábbiaknál kevesebb fizikai kiszolgálóra lesz szükség.
A biztonság természetesen kiemeit fontossággal bír, az NAP pedig önmagában megéri, hogy
befektessünk a Windows Server 2008-ba. Ezen kívül a rendszerkezelési lehetőségeken is sokat
javítottak
Azokat az embereket és szervezeteket, akiknek jó okuk lehet nyomban a Windows Server 2008-ra
átállniuk, két általános csoportba sorolhatjuk:
Akik még mindig a Windows NT vagy a Windows 2000 Seroer valamelyik változatát
juttatják
Az NT Server 4.0 támogatása 2004. december 31-ével megszűnt. A Windows 2000 Server
általános támogatása 2005. június 30-ával ugyancsak; bár kiegészítő támogatás még 2010.
július 13-ig elérhető hozzá, célszerű megfontolni az átállást. A Windows Server 2008
alapvetően módosított kiadás, amellyel új szolgáltatásokhoz jutunk hozzá, igaz, ha még
mindig Windows NT-t vagy Windows 2000-et üzemeltetünk, valószínűleg hardverfrissí
résre lesz szükség.
Akik olyan friss Microsoft Select, Sojware Assurance vagy Open License engedéllyel rendel
keznek, amely lehetővé teszi nekik, hogy kiegészítő díj fizetése nélkül frissítsenek a legújabb
változatra
Ha a frissítésnek nincsenek anyagi vonzatai, a Windows Server 2008 előnyeit minimális
költséggel élvezhetjük.
Ha egyik fenti csoportba sem tartozunk, a Windows Server 2008-ra történő átállás előnyei már
nem ennyire nyilvánvalóak, bár a frissítés mellett komoly érveket lehet felhozni. Ha elégedettek
vagyunk Windows Server 2003-as vagy R2-es rendszerünkkel, és a fejezetet elolvasva nem talál
tunk olyan szolgáltatásokat, amelyekre feltétlenül szükségünk lenne mostanában, illetve
a Microsofttal sincs előnyös frissítési megállapodásunk, valószínűleg átugorhatjuk a rendszernek
ezt a kiadását, és megvárhatjuk a Windows Server 2009-et (vagy amelyik évben majd megjelenik).
A legtöbb cég számára minden időzítés kérdése. Vegyük figyelembe, hogy a Windows következő
jelentősen módosított változata még úgy három évre van tőlünk az asztali rendszerek esetében,
a kiszolgálói változatot tekintve pedig mintegy négy-öt évig kell várnunk. Ebben az időszakban
bőven lesz időnk átállni a Windows Server 2008-ra. Másoknak az anyagiak jelentik az elsődleges
szempontot: ha nem engedhetjük meg magunknak, hogy a Windows Server 2008-ra váltsunk,
nincs min gondolkodnunk. Ha elégedettek vagyunk Windows Server 2003-as vagy R2-es rend
szerünkkel, és megfelelően gondoskodtunk a biztonságáról, a Windows Server 2008-ban semmi
olyat nem találunk, ami egyértelműen nélkülözhetetlen, és ugyanez vonatkozik azokra is, akik
a Windows Server 2003 eredeti kiadását futtatják a Service Pack 1-gyel, a kiegészítő R2-es frissítés
nélkül.
Helyi és távoli telepítés
Most, hogy alaposan megismertük a Windows Server 2008 újdonságait, és megtudtuk, milyen iz
galmas dolgokat tartalmaz az új rendszer, illetve mi az, amit nem találunk meg benne, itt az ideje,
hogy telepítsük az operációs rendszert a szárnítógépeinkre. A Windows Server 2008 telepítése
egyszerű: a kihívást a rendszer beállítása és testreszabása jelenti. Először a telepítési folyamatot te
kintjük át; a fejezet nagy részét a felügyelet nélküli telepítésnek, az automatizált távoli telepítésnek
és a rendszerlemezkép kötegelt közzétételének szenteljük, mivel jelentős időt takaríthatunk meg,
ha a lehető legtöbb unalmas telepítési feladatot a számítógépre bízzuk. Vágjunk hát bele!
2.1. ábra
A Windows telepítésének kezdete
P Install WindD'h-s
-
Type your product key for activalion
Vou can find you r p roduct key on you r comput�r or on th4!! insU!Iation disc helder insidEc the:
WrndOW'5 package. Althcugh you a� notrequired to entl!!.ryour product key now to install, failure
to �terit may resu/t in thi!!. Iess of data, information. and programs. You may berequired to
se anothe:r edt
purcha i ion ef Windows. Wf! rtrcnglf advise that yo-u V�ter your p rodoct ide:ntific:l!tion
key now.
... -
.-AU..�II.l!lt1'Jt�.1':UJ.J.••V:U•u.J..•II:
lll 11!1 !II[OlllllltiUU
JI
P Automatil:.ally actfv<1te: Windows when I'm online
t{hat is �ctivttion?
Wínlioll.sV'mion
Windows Server 2008 Standard (fulllnrtallationJ
WMf!Wfi#jlijij!Jif!ibii!iltW@@
Windows Sffif� 2008 Oatacl!.nter (Fulllnstallation)
\Vindows: Server .2008 Standard (St:rver Corelnitallation)
Windows Server 2008 Enterprise (Se!Vf!f c� lnstallation)
Windows Seiver 2008 Datacentl!.r (ServE!" Core lnstallation)
1f you enter your produrt k.ey, Windows can automaticaily drlumine which edition you purchased.
To enter your product key, did� the Bad: button to retum to the pr�Jicus page.
H you cheese not to mtu your product key now, m<�ke sure. that you .select the editiOn of Windows
that you purchas:e<:f.lf you select the wrong edition, you will n� to purchas:e that edition, or you
will n�d to reinsta ll the corred edition ef W'indOWl- !<Iter and potentially lo� files and information.
,. lnst.!IWindcw<
yPgrade
Keep your files., settm.gs, ctnd programs and upgrade Windows.
Be sure. t o bad. up ycur fúes before upgrading.
(ustom (advanced)
Jnsb!l a d�ao copy cl Window� s�e:ct wh!"rto: you want to in�aiJ it. or m11k1:- e-hang l":�<
to disles and panitions.
� his option do�1. not k.t.tp ycm files, sdtings. .Hid pH;grams.
------��·�-------
.!::::!:elp me decide
2.4. ábra
A telepítés típusának kiválasztása
7. Ekkor megjelenik a jelenlegi lemezrészek (partíciók) listája (lásd a 2.5. ábrát); itt kedvünk
szerint hozhatunk létre, törölhetünk és formázhatunk lemezrészeket Ha rendelkezünk
egy legalább 15 GB szabad területet tartalmazó lemezrésszel, tovább haladhatunk.
Ha a lemezrészt még nem formáztuk, a telepítő ezt a műveletet is elvégzi.
8. Végül a telepítő átmásolja a fájlokat, és véglegesíri a beállításokat (2.6. ábra).
Ez akár 30 percig is eltarthat, ezért nyugodtan otthagyhatjuk a gépet.
Miután a rendszer néhányszor újraindult, a telepítés befejeződik. Az első ablak, ami ezt követően
megjelenik, a rendszergazdai jelszó megadását kéri. Ha visszagondolunk, rájöhetünk, hogy a tele
pítés folyamán sehol nem hoztunk létre felhasználói fiókot. A Windows önműködően hozza létre
a rendszergazda fiókját, amelyhez egy bonyolult ideiglenes jelszót is rendel, hogy a telepítés és
az első rendszerindítás közben védje a fiókot, de ezt az első bejelentkezéskor meg kell változtatni.
-1:1 Windows Server 2008
r- Jn�taU Windows
LoadOrtm
2.5. ábra
Lemezrészek törlése,
létrehozása és formázása
Installing Windows.-
tnstalhng updates:
Compk>ting msb1tatic;n
2.6. ábra
A telepítés befejezése
Kezdeti beállítások
Miután módosítottuk a jelszót, a Windows Server 2008 rendszergazdaként beléptet rninket, és
megjelenik az Initial Configuration Tasks (Kezdeti konfigurációs feladatok) képernyő, amelyet
a 2.7. ábrán láthatunk. Ebben az ablakban jónéhány-igaz, néha fárasztó-lépést elvégezhetünk
az újonnan felállított rendszer rnindennapi használatra történő beállításához: például megadhatjuk
az időzónát, IP címeket vehetünk fel és állíthatunk be, elnevezhetjük a számítógépet és egy
munkacsoporthoz vagy tartományhoz csatlakoztathatjuk, frissítést hajthatunk végre, és így tovább.
Melegen ajánlott, hogy az első művelet, amelyet ebben az ablakban végrehajtunk, a Download
and install updates (Frissítések letöltése és telepítése) lehetőségre történő kattintás legyen (feltéve,
hogy aktív hálózati kapcsolattal rendelkezünk az Internet felé), mert ezzel hozzájutunk a legfris
sebb biztonsági javításokhoz és javítócsomagokhoz, rnielőtt a számítógépet üzembe helyeznénk.
2. fejezet • Helyi és távoli telepítés IQ-
...,!!.f_x'
� """""'" """""""'" local Are� Conned.ion: iPv4 ad!n!S$ a� ey DHr.P. !Pvfi en�
MAM A mai ellenséges internetes környezetben erősen javallott a rendszert egy olyan
számítógépre telepíteni, amelyet legalább egy hardveres tűzfal véd, és lehetőség
szerint egyáltalán nem kapcsolódik hálózatra, hacsak nem hálózati telepítést végzünk (erről a fejezet
későbbi részében olvashatunk). A Windows Server 2008 tűzfala már az első rendszerindításkor bekap
csolt állapotban van, de biztos, ami biztos: még soha nem hallottam olyan vírusról, féregről vagy trójai
program ról, amely olyan rendszerre került volna, amelyik nem rendelkezett hálózati hozzzáféréssel.
A UnkSys, a D-Link és más gyártók hardveres tűzfalai ezenkívül olcsók, újrahasznosíthatók, és a legkü
lönfélébb helyzetekre kínálnak megoldást. Sok-sok órányi fejfájástól kímélhetjük meg magunkat, ha
élünk ezzel az egyszerű lehetőséggel.
A termékaktiválás lényege
A Windows Server 2008 kiskereskedelmi forgalomban kapható példányait aktíválni kell.
Az aktiválás a Microsoft által bevezetett kalózkodás elleni óvintézkedés, amelynek a lényege,
hogy amikor a Windowst egy adott engedélykulccsal telepítünk egy számítógépre, a kulcs és
a hardver egyes jellemzői-többek között a hálózati kártya MAC címe-alapján létrejön egy
kivonat (a kivonat létrehozásának pontos módja természetesen titkos), amely ugyan nem képes
egyedileg azonosítani egy szárnítógépet, de a Windows telepített példányát igen. Az aktiválás
során a rendszer ezt a kivanatot küldi el a Microsoftnak. Elméletileg ha késóbb ugyanazzal
a termékkulccsal más hardverre (például egy másik számítógépre) próbáljuk telepíteni a rend
szert, különböző kivonat jön létre, így az aktiválás meghiúsul, mert valószínűsíti, hogy egynél
több példányban kíséreltük meg telepíteni az adott Windows-példányt, miközben az engedé
lyünk csak egy telepítésre szál.
_.,lal Windows Server 2008
A kiskereskedelmben vásárolt Windows Server 2008 esetében az első telepítés után 30 nap áll
rendelkezésünkre, hogy a terméket aktiváljuk Ha túllépjük a határidőt, nem leszünk képesek
bejelentkezni a rendszerbe, bár az konzolos hozzáférés nélkül tovább fut, amíg újra nem indítjuk
A Windows Server 2008-hoz kétféle termékkulcsot bocsátanak ki. Az első típus az, amelyikről
korábban már szót ejtettünk: az önálló, egyetlen számítógépre szóló engedélykulcs, amelyet új
számítógépekhez, a Windows Server 2008 kiskereskedelmi forgalomban kapható példányaihoz
stb. adnak ki. (Ezek a kulcsok kis mértékben különböznek egymástól; például az OEM típusú
kulcsokat nem szükséges a felhasználónak aktiválnia, de ennek tárgyalása kívül esik fejezetünk
keretein). A másik kulcstípus a vállalati felhasználási szerződések hatálya alá tartozó rendszerek
hez tartozik. A Volume Activation 1.0-tól eltérően (amellyel a Windows Server 2003-ban találkoz
hattunk), amely olyan kulcsokat állított elő, amelyek megkerülték a termékaktiválást, a Volume
Aerivation 2.0- bár szintén többpéldányos engedélyekhez ad kulcsokat- nem kapcsolja ki
az aktiválást. Ehelyett ezek a kulcsok többszöri aktiválást is engedélyeznek - ezért is hívják őket
többször használható aktiválási kulcsoknak (MAK, multiple activarion key). A Microsoft így fogal
maz: "a számítógépek önállóan vagy egy központi számítógép segítségével aktiválhatók" (lásd
a következő részt), "amely egyszerre több számítógép aktiválását is elvégezheti" .
Érdekes módon a Windows Server 2008 alapértelmezett beállítása szerint KMS-ügyfélként viselke
dik, így ha a KMS-szerkezetet megfelelően alakítottuk ki, az új Windows Server 2008 rendszerek
a telepítésükkor automatikusan észlelik a hálózaton található KMS-kiszolgálókat, és aktiváltatják
magukat.
2. fejezet • Helyi és távoli telepítés 1)-
Távoli telepítés
A távoli vagy tömeges telepítés a Windows Server 2008-ban (és ha már itt tartunk, a Windows
Vistában is) radikálisan megváltozott. A régebbi RIS-t (Remote Installation Services, távoli telepítési
szolgáltatások), amely a Windows 2000 és a Windows Server 2003 része volt, a WDS (Windows
Deployment Services, Központi Windows-telepítési szolgáltatások) váltotta fel. A WDS számos
javítást és új szolgáltatást tartalmaz, amelyek közül talán a legfontosabb és leghasznosabb az új
Windows Imaging Forrnat (WIM) olvasásának, kezelésének és áramló átvitelének képessége.
A WIM-támogatást először a Windows Vistába építették be, és számos olyan problémát megold,
amivel már talán találkoztunk, ha dolgoztunk korábban Windowshoz készült rendszerlemezkép
kezelő programmal. A WDS továbbra is képes "örökölt" lemezképekről (image) telepíteni-
például kezeli a Windows XP-nek az RIS-sel használt telepítési formátumát -, de igazi erejét akkor
mutatja meg, ha különböző kiépítésű és felületű rendszerekre különböző rendszerindítási és
telepítési lemezképeket tartalmazó WIM fájlokat állítunk be.
Némi előzetes munkával (ami finomao szólva elég kimerítő lehet), jelentősen csökkenthetjük
az időt, ami ahhoz szükséges, hogy tömeges távoli telepítést hajtsunk végre különböző típusú,
felépítésű és beállítású számítógépeken. Nézzük is meg, milyen létfontosságú elemekből áll
a Windows Server 2008 távoli telepítő rendszere!
A WIM formátum használhatóságát talán az javítja a leginkább, hogy a lemezképeket olyan szok
ványos fájlkezelő eszközökkel is szerkeszthetjük, mint a Windows Explorer (Windows Intéző).
A lemezképhez fájlokat és mappákat adhatunk, például az RIS-ben nehézkes módon tudtunk csak
egy lemezmeghajtót felvenrii a lemezképbe, most viszont közvetlenül beejthetjük a meghajtót egy
WIM lemezképbe, és az a későbbi telepítéskor automatikusan elérhetővé válik. Ami pedig
a legjobb, hogy nem kell külön lemezképet készítenünk minden módosított változathoz- minden
bővítés, módosítás és törlés megfér egymással egyetlen lemezképben, ami jelentősen megkönnyíti
a lemezképek kezelését.
Windows PE
A Windows Pre Environment vagy Windows PE egy végrehajtási környezet, amely az operációs
rendszer telepítését segíti, illetve a telepítés során fellépő problémák orvoslására hivatott. Az NT
korábbi változataival szemben, ahol kék hátterű, szöveges telepítőképernyővel találkoztunk,
a Windows PE grafikus felületű, és mindenféle eszközt tartalmaz, ami szükséges lehet ahhoz,
hogy egy lemezmeghajtóra telepítsük a Windows Server 2008 vagy a Windows Vista rendszert.
-fl Windows Server 2008
A Windows PE-ben az az izgalmas, hogy a Windows szabványos hálózati illesztőprogramjai
alapállapotban együttműködnek vele, így nem kell külön hálózati telepítésre szánt NDIS
illesztőprogramokra vadásznunk Ezen kívül a Windows PE egy beépített tűzfalat is tartalmaz,
ami védi az operációs rendszert annak legsérülékenyebb állapotában, vagyis amikor még csak
részben települt, valamint bármilyen cserélhető adathordozóról képes illesztőprogramokat
betölteni a telepítés közben. Emlékezhetünk rá, rnilyen bosszantó volt korábban, hogy csak úgy
tölthettünk be (és csak hajlékonylemezről) egy illesztőprogramot, ha a telepítés megfelelő pilla
natában lenyomtuk az F6 billentyűt - a Windows PE-nek köszönhetően rnindez már a múlté.
Az RIS-hez hasonlóan a WDS is kihasználja a legtöbb mai BIOS és hálózati kártya PXE- (Preboot
Execution Environment, rendszerindítás előtti végrehajtási környezet) lehetőségeit, hogy elindít
san egy Windows PE munkamenetet. A Windows PE ez után megjelenít egy menüt a felhasználó
nak, amelyben a WDS futtató gépen elérhető minden lemezkép és telepítési lehetőség szerepel.
A felhasználó kiválasztja a célt, a telepítő pedig elhelyezi a (természetesen WIM formátumú) le
mezképet a célszámítógép merevlemezén. Ha a beállításaink helyesek, az egész folyamat roppant
elegáns, és elképzelhető, hogy egy rendszert- egyes esetekben az alkalmazásokkal és beállítások
kal együtt- kevesebb mint 30 perc alatt lemásoljunk. Ez a rendszergazda álma: ahelyett, hogy órá
kat vesztegeme valamilyen rejtélyes probléma felderítésére, egyszerűen átküld egy új lemezképet
a felhasználó számítógépére, amíg az ebédel - és a probléma máris megoldódott! Mi most persze
egy ideális esetet vázoltunk, de a WDS-nek és a WIM-nek köszönhetően mindez reális lehetőség.
Mi az, ami megváltozott az RIS-hez képest? A Microsoft alábbi listájának köszönhetően gyorsan
végigfuthatunk a változásokon:
• Nem csak Windows XP és régi NT alapú operációs rendszereket, hanem Windows Vistát
és Windows Server 2008-at is telepíthetünk távolról.
•
Rendszerindító operációs rendszerként telepítéshez és hibaelhárításhoz egyaránt
a Windows PE-t használhatjuk
•
A WDS támogatja a WIM lemezképek távoli telepítését.
• Az adatokat és lemezképeket adatszórással vihetjük át, ami jelentősen növeli a hálózaton
keresztül végrehajtott tömeges telepítés méretezhetőségét és hatékonyságát.
•
Továbbfejlesztett PXE kiszolgálócsonk áll a rendelkezésünkre.
•
Az új, felhasználóbarát rendszerindító menü könnyebben használható és egyszerúoben
beállítható.
• Új kezelőkonzolt kapunk, amely segít a hálózat WDS-kiszolgálóinak, illetve az azokon
található rendszerindító és telepítési lemezképeknek a kezelésében.
2.
Miután felvettük a szerepet, be kell állítanunk a WDS-kiszolgálót. Erre egy parancssori segéd
programot használhatunk, amelynek a neve nem meglepő módon WDSUTIL, de a programnak
van grafikus felületű párja is, amelyet az MMC beépülő moduljaként érhetünk el. Az alábbi
példában a WDS grafikus felületét fogjuk használni.
1. Létre kell hoznunk egy megosztott mappát, amely a PXE alapú hálózati rendszerindítást
lehetővé tevő programokat és támogató fájlokat tárolja, valamint a Windows PE fájljait,
amelyeket az egyes számítógépek egy dinamikus RAM-lemezben fognak tárolni, magának
a Windows PE-nek a rendszerindító lemezképeit, hogy a PE teljes egészében az ügyfélgé
peken futhasson, illetve az operációs rendszereink telepítési lemezképeit (ezek azok
a WIM fájlok, amelyeket telepíteni szeretnénk a célgépekre).
2. Ezt követően meg kell adnunk a WDS-nek, hogy miként válaszoljon a hálózatról érkező
PXE-kérelmekre, vagyis hogy a bejövő ügyfélkérelmeket teljesítse vagy figyelmen kívül
hagyja-e, attól függően, hogy a telepítést mennyire biztonságos módon szeretnénk végre
hajtani.
3. Ez után meg kell változtatnunk a DHCP-beállításokat, aszerint, hogy a DHCP szolgáltatást
egy Windows Server 2008 rendszerű számítógép vagy valamilyen más hálózati eszköz
nyújtja. Az ügyfeleknek a 67-es UDP kapun át zajló minden DHCP-adatszórását közvetle
nül a DHCP-kiszolgálóra, illetve a Windows Deployment Services PXE-kiszolgálóra kell
továbbítanunk, és ezen kívül az ügyfélgépekről a 4011-es UDP kapura érkező minden for
gaimat megfelelőerr át kell irányítanunk a Windows Deployment Services PXE-kiszolgáló
hoz. Erről a lépésről a legtöbb környezetben a központi Windows-telepítési szolgáltatások
beállító varázsiója (Windows Deployment Services Configuration Wizard) gondoskodik.
······��
Sefure You Begln Select one or m
ore- r�to l'lsfaliJXt thS' server.
&otes: DesC'Ii'ption:
Wj)S �0�,7���.���.-.,�-.�c�-..�,�-.re�s�-�-.5--����- of
RoleSet>i<es D A..'bve Directory DomainSeiV!ces
Canfirmalion
l'ro!ir$>
D A..�
D Active Dl"ectory Federation Sen.'tes
Di"ectory Ught-Height Directory Services
[J Adive Directory Rights Management Services
R-'l$ QAppikationSe<Ve
C DHCPServer
D DNS Server
O FaxServer
O FileServices
D Hyper-V
D Network Policy and Access Servr--es
O PríntServices
C TerminalServices
D LODI Sen'ice:s
D Web Server {!IS)
[il N11!MMrtMifitMI§n:q
2.8. ábra
A kiszolgálói szerep
körök kiválasztására
szalgá/ó képernyő
Progress
RWts Oepfoyme:nt Setverrequíres that Actve Dir&tory Domain Se'vns, OHCP, and DNS serv:iC6 are availbl:>le
on you- network. Transport 5@rver does not requfre any adcitional roles or services. Both of tilese se:rvic�
reqt.ke anNTFS �tionfor the� sue.
Beftire you begin, vou need to conf�Qlre Wndows Deployment Se'vices
by t1Xlrli1g .eithe- the\�·
Depbyment Services Confiqlntion Waard or Y'IDSUtf.exe. You d also need to add at !.east one: boot
ifM9e MCt one Íf'l$tal-fmage to tM� store.
(DToinstbll Wfldows opereting system ftom a Windows Oeployment Services servert. either the dient
COIT{!Ute:rS truSt be PXE'«labled, or you must USI! the Windows Setver 200S·version--ofW'ndows
PreinstalatiOO Environment {WJ'ldo:....s PE).
AdditionaiiJIIonna-.
Overviewof'NfldowsOep!oymentSeryic.es
2.9. ábra
ConfigtmgWfldowsDepioyment SeMces A központi
ManagingwndowsOep!oymentSeryio;s
Windows-te/epítési
sza/gáitatások
�·-�>� l �s�O cance :�1 áttekintő képernyője
Be:fnreYou� Select the rt*: services to Tlstcf for Windows Deployment Services:
Se<verRoles Roie se-vic:es: 05aiption:
\\US ..., - . Transpo JtServerptovi des a subsetof
the functlonality of Windows
ROie:SerJ>C"'$ Deployment Services�It cont1ins ordy
Confi'maticn
the core nd:worldng parts,
v.nich you
i
canuse to transrnítdataus ng
-= multicasting onastand-aloneserver.
Y ou should use thisrole service ifyou
i
�<=Als want to tritll sm.itdataus ng
multicasting, butdo not want to
incorporateall of'lllind ows
Deploymen t Services.
2.10. ábra
A szerepkör-szolgá/ta
tások kiválasztására
Cancel
szalgá/ó képernyő
Amint a 2.12. ábra mutatja, a következő ablak a Remote Installation Folder Location (a távoli
telepítési könyvtár helye). Itt mondhatjuk meg a WDS-nek, hogy hol tárolja az ügyfelekre szétsu
gárzandó lemezképeket Ennek a mappának mindenképpen egy NTFS formázású köteten kell
-}l Windows Server 2008
lennie. A legnagyobb sebesség érdekében olyan kötetet javasolt választani, amely nem tartalmaz
za a Windows rendszerfájljait, bár semmi nem akadályozza meg, hogy a rendszerlemez mellett
döntsünk, csak egy figyelmeztetést kapunk. Válasszuk ki tehát az elérési utat, és kattintsunk
a Next gombra.
You <:an
usefuis W>Zard to eonf�gure Wmdows llepily;ment Services, Mer cofjiple!íng
con!i� You may optmll)' add Image�� to the """"o"' r cho"""to add imag'"'
la!er.
- flnactlveONSse!Yeron)'Ot.O'�
- f>n NTFS partition on ll)eWmdows � &;rverforstOIÍflgímage. 2.11. ábra
A Windows Deployment Services
Configuration Wizard üdvözlő
képernyője
The remole im!allaljon folder structdie oMII cOltain the operaling sy>lem il\age. to be
deployed from !his setver. CI'IPose ao NTFS partition 'll'ilh eoough available �ace !nr ali
i!l11:ic4:>ated ímage..
Sier !he path and foldername forthe remot" installalior> folder.
Path:
l!'!'�_titSJI_
2.12. ábra
A Remote lnsta!!ation
Folder Location képernyő
Ekkor megjelenik a 2.13. ábrán látható PXE Server Initial Settings (PXE-válaszbeállítások) képer
nyő. Itt adhatjuk meg, hogy a WDS-t futtató számítógép válaszoljon-e azoknak az ügyfélgépeknek,
amelyekről a WDS-nek nincs tudomása a telepítés megkezdése előtt. Ha azt szeretnénk, hogy
bármely számítógép képes legyen letölteni a lemezképeket a lemezmeghajtójára (feltéve termé
szetesen, hogy a felhasználó rendelkezik az ehhez szükséges jogosultságokkal), akkor válasszuk
a Respond to all known and unknown client computers (Válaszadás minden (ismert és ismeretlen)
ügyfélszámítógépnek) lehetőséget. Úgy is dönthetünk, hogy az ismeretlen ügyfeleknek előbb egy
kérelmet kelljen kiadniuk, amelyet a rendszergazda hagyhat jóvá. Ha meg szeretnénk követelni,
hogy az ügyfelek a WDS számára ismertek legyenek, válasszuk a második lehetőséget, ha pedig
a WDS-sel történő hálózati rendszerindítást teljesen ki szeretnénk kapcsolni, döntsünk az első
lehetőség mellett. A varázslót ez után bezárhatjuk a Finish (Befejezés) gombbal. A varázsló ekkor
egy ideig dolgozik a kezdeti beállítások véglegesítésén, majd megjelenik a beállítás befejeztét jelző
Configuration Complete ablak, amelyet a 2.14. ábrán láthatunk.
2. fejezet • Helyi és távoli telepítés ll-
<Back Finish
2.13. ábra
A PXE Server lnitial Settings képernyő
Corliguation Complel:e
You can choose to add images now or to add !hem laer using the Add 1mll!JO Wlzard.
�
More riOI!!!a!!O!labO!Aadding 1111ages
2.14. ábra
A Configuration Camp/ete képernyő
A következő lépés a rendszerindító lemezképek megadása. Ezek azok a lenyomatok, amelyek le
töltődnek a PXE alapú hálózati kapcsolaton keresztül, és felállítják a Windows PE környezetet,
amelyben a távoli telepítés varázslata történik. Bontsuk ki azt a kiszolgálót, amelyhez rendszerin
dító lemezképeket szeretnénk adni, kattintsuk az egér jobb gombjával a Boot Images (Rendszerin
dító lemezképek) mappára, és válasszuk az Add Boot Image (Rendszerindító lemezkép
hozzádása) lehetőséget. Ezt követően helyezZÜk be az operációs rendszer adathordozóját a helyi
CD- vagy DVD-meghajtóba, és keressük meg rajta a BOOT W'1ll1 fájlt (a Windows Server 2008
DVD-jén a lemez gyökérkönyvtárának \Sources alkönyvtárában található). Kattintsunk az Open
(Megnyitás) gombra, adjunk meg egy barátságos nevet és leírást, kattintsunk a Next gombra, és
várjuk meg, amíg a lemezképek a WDS-t futtató számítógépnek abba a megosztott mappájába
másolódnak, amelyet a beállítóvarázslóban határoztunk meg.
-1:1 Windows Server 2008
Utolsó lépésként a telepítési lemezképeket kell megadnunk, amelyek - ahogy emlékezhetünk rá -
a tényleges céllenyomatok, amelyeket szétsugárzunk a hálózaton azokra a számítógépekre, ame
lyekre telepíteni kívánunk egy operációs rendszert. Kezdetnek azt javaslom, hogy a WDS-t futtató
gépre egy alapértelmezett Windows Vista- vagy Windows Server 2008-lemezképet tegyünk.
Ez a lemezkép nem az igényeinkhez szabott, és nem tartalmaz alkalmazásokat és előre megadott
beállításokat, de nagyon hasznos, ha egy tiszta Windows rendszert szeretnénk a hálózaton át
telepíteni, és más célokra is jól jöhet. Ezenkívül megtehetjük, hogy egy ilyen tiszta lemezképbó1
indulunk ki, és miután átvittük egy számítógépre, testreszabjuk, majd rögzítjük a módosított
lemezképet, és visszatöltjük a WDS-t futtató gépre -és mindezt anélkül, hogy valarnilyen adathor
dozó lemezhez kellene nyúlnunk. A Windows Server 2008 alapértelmezett telepítési lemezképét
a következőképpen vehetjük fel a WDS-kiszolgálóra:
1f{mdowsS<lfVer_200Binstallatlonsl
2.15. ábra
Az Image Group képernyő
4. A következő ablak az Image File (Lemezképfájl). Itt keressük meg az adathordozó lemezen
az INSTALL. WlM fájlt. A Windows Server 2008 esetében ezt a lemezképet a lemez gyökér
könyvtárának \sources alkönyvtárában találhatjuk meg. Ha megvan, kattintsunk az Open
(Megnyitás) gombra.
5. Ezt követően az elérhető lemezképek listáját mutató képernyőt láthatjuk (2.16. ábra).
Itt választhatjuk ki, hogy a termék mely telepíthető változatait kívánjuk elérhetővé tenni
az ügyfelek számára. Töröljük a jelet azoknak a lemezképeknek a jelölőnégyzeteiből,
amelyeket ki szeretnénk zárni a WDS-kiszolgálóról, majd kattintsunk ismét a Next gombra.
2.
...
list ol Available Images
NMie=-
0 Wl!1dows Longhom SERVERSTAND...
0 Wlf\dows Longhom SER... xG4 Wl!1dows Longhom SERVERENTER...
0 W111dows longhom SER . . . xG4 Windows Longhom SERVEADATAC.. .
"• Use delaut name alf1d desaiption for ..ach <i the seleded image
2.16. ábra
Az elérhető lemezképek listáját
cance1
mutató képernyő
6. Ekkor megjelenik az összegző ablak. Ha itt a Next gombra kattintunk, felvesszük a lemezké
peket a tárolóba. Ez eltarthat egy ideig, mivel a varázslónak sok mindent át kell másolnia.
Az indítómenü
Az indítómenü egy szöveges képernyő, ami akkor jelenik meg, amikor a WDS először töltődik
be a PXE hálózati környezet létrejötte után. Az indítómenü lehetőséget ad a felhasználónak,
hogy kiválassza a rendszerfelépítést - az x86 rendszerű ügyfelek kiválaszthatják a megfelelő
változatot, és külön az x64-es rendszerekhez is kapunk egyet -, és később ez határozza meg,
hogy a telepítőmenüben rnilyen lehetőségek jelennek meg.
1. Hozzunk létre egy Windows PE környezetet a Copy PE {felépítéSi c:\ WinPE paranccsal,
ahol a {felépítés) helyére a kívánt rendszerindító lemezkép architektúráját írjuk.
2. Másoljuk a felderítési lemezképet a kívánt célkönyvtárba a következő paranccsal:
3. Térjünk vissza az első lépés PETools mappájához, és hozzuk létre az indítható ISO lemez
képet a Windows Autamated Installation Kit részét képező OSCDIMG segédprogrammaL
Ehhez írjuk be az alábbi parancsot:
4. Írjuk az eredményként kapott c:\winpe.iso fájlt egy CD-re vagy DVD-re a kedvenc CD-író
programunkkaL
··- A sysprep nem készít lemezképet tartományvezérlőről, bármilyen fürt tagjáról, illetve
olyan gépről, amely tanúsítványkiszolgálóként üzemel, mert ezek a sza/gáitatások
eredendően számítógépfüggő jellemzőkkel bírnak. Mindazonáltal a sysprep futtatása után ezek a szal
gáitatások is támogatottak és telepíthetők maradnak.
Most pedig nézzük meg, hogyan lehet a felügyelet nélküli telepítőfájlokat felhasználni
a WDS telepítés során- az első lépés a felügyelet nélküli telepítőfájl (unattend) hozzárendelése
a megfelelő lemezképhez:
Zárszó
Ebben a fejezetben a Windows jónéhány telepítési módszerével megismerkedtünk, és megtudtuk,
hogyan mú'ködik az aktiválás, hogyan állíthatjuk helyre a rendszert egy elrontott telepítés után, és
mit kell tennünk, ha a Windows Server 2008 egyszerűen nem hajlandó elindulni. Emellett a termék
önműködő telepítési lehetőségeivel is foglalkoztunk, és megnéztük, hogyan telepíthetjük a rend
szer példányait felügyelet nélkül az ügyfelekre.
Lemez
A lemez a számítógépben található, fizikai merevlemez.
Lemezmeghajtó
A lemezmeghajtó Cvagy röviden meghajtó) a Windowsban történő használatra formázott
logikai objektum, amely egy teljes fizikai lemez vagy egy lemezrész lehet.
Lemezrész
A lemezrész (partíció) egy fizikai lemez olyan része, amelyet kötetként használhatunk.
Kötet
A kötet Cvagy lemezkötet) egy lemezmeghajtó vagy lemezrész a Windowsan belül
(a kifejezést mindkettőre használják).
Ebben a fejezetben részletesen bemutatjuk a Windows Setver 2008 által nyújtott valamennyi
fájlkezelési és nyomtatási szolgáltatást.
-1:1 Windows Server 2008
Fájl- és nyomtatókiszolgálói szolgáltatások
A Windows Server 2008 számos olyan képességgel rendelkezik, amelyek a fájl- és nyomtatási
szolgáltatások gyorsabb és gördülékenyebb elérését teszik lehetővé a hálózaton. Bár a fájlkezelő
és nyomtató rendszerek szerkezetét nem tervezték teljesen újra, végrehajtottak rajtuk néhány
módosítást, amelyek egyszerúbb használatot tesznek lehetővé, fokozzák az adatok következe
tességét, valamint segítik az önműködő és felügyelt biztonsági mentést. Ezenkívül további
Irulesfontosságú szolgáltatásokkal is találkozhatunk; többek között az alábbiakkal:
File Setvices
��
Berore You ilegin
ServerRdes
le Servtees
Ft
Introductioo to Fole Sei'Vices
Ale Services provides tedmo!ogtes that help manage. storage, enable file repikatitint maoage shared fotders.
ens!Jfe fast file searchirtg_, ;;md enable .,ccess fix UNIX dent computers. W!th FBe Services! organlzatioos: can
store files 1n a centrallocatíon and then share ·thefn Y..ith usersacross the company network. You can ildex
these shared fies to help u<ers find flles qutddy. ln oddition, youcan synchronae folders on multiple servers U>
Role Service< provide fault-�t access to shared resources. file services also enables you to provision starage on Fibfe
Chonnel aod !SCSI dtsk storage subsystems.
Coofirmation
Progress
3.1. ábra
Az lntroduction to File Services ablak
Ha ezen a bevezető képernyőn a Next gombra kattintunk, a Select Role Services (Szerepkör-szol
gáltatások kiválasztása) ablak jelenik meg (lásd a 3.2. ábrát).
ServerRdes Oesaiption:
FleService;. r-""0"�"""'·e'""Serv,-e-:r---- File SeNermanages: sharedfolderso
M@+1Jejii§ EJ 0 Distrbuted Rle System
O OFS Namespaces
;�� ::�:;��:��a;��=� n
DFS RepiKation
Coofinmation
D
Progress O File Server Re:source Man�
Results D Services for Network File System
O Windows Search Service
BD Windows Server 2003 Rle Services
D File Repicalion Sevice
D Indomg Service
3.2. ábra
A Select Ro/e Services ablak
Berore You Ilegin You ""'monítor the amoont of spa<:e used on ea<:h vokJme on Ihs �ter and generate storage reports
whena,'Oiume readles o specifiedusoge threshold. Ausage threshold is • porcen!a9eofthellltalstorag•
S<rver Roles
� ofavoiJme. First, select thevolumes vouwanttomonitor. Then, foreachvoiJme,demethe
Fie s.rv.ces usoge threshold and choose the reports to generale.
RoleSevices
Y.oluines (NTFS volumes only):
Storage Montonng
Canfi-matien
Progress
ilesUis
3.3. ábra
A Configure Starage Utilization Manitoring képernyő
Ebben az ablakban egy a Windows Server 2003 R2-ben megjelent új szolgáltatást használhatunk
ki, amely lehetővé teszi, hogy arra kérjük a Windowst, hogy figyelje a lemezkapacitást és
az elérhető szabad terület nagyságát egy adott köteten, elemezze, hogy rni veszi el a helyet, és
küldjön egy előre meghatározott formájú jelentést a rendszergazdának, amely ezeket az infor
mációkat tartalmazza. Erről a lehetőségről a fejezet késóbbi részében bővebben is beszélünk,
-·fl Windows Server 2008
amikor a File Server Resource Managert tárgyaljuk, de most elég, ha bejelöljük a C: lemezmeg
hajtó figyelését előíró jelölőnégyzetet, és elfogadjuk az alapértelmezett jelentést, amely a Files
by Owner (Fájlok tulajdonos szerinti jelentése) és Files by File group (Fájlok típus szerinti
jelentése) lehetőségeket tartalmazza. Ha ezzel megvagyunk, lépjünk tovább a Next gombbal.
Ekkor a Set Reports Options Qelentésbeállítások megadása) képernyő jelenik meg, ahol beállít
hatjuk, hogy hová kerüljön a tárfigyelő által előállított jelentés. Egyelőre fogadjuk el az alapér
telmezést, és kattintsunk a Next gombra.
A következő képernyő a Select Volumes to Index for Windows Search Service (A Windows
keresőszolgáltatása által indexelendő kötetek kijelölése), amelyet a 3.4. ábra mutat.
Be.fure You Begón Windows Seard!5ervice enables you t o perform fastfile searches onthis server from computers running
Windows Vista-�" cr from computers runnlngWindows XP or Windows server 21)03, With Windows Desktop
Serve' Roles Search instaUed.
fie ServiCes
Indexing a volume is an operatien that can affect system performan<e, espedally when thevo1ume being
Role Services indaed is the system volume. For bestresults� you should select to indexvolumes that are used only for
hosting shared folders. For moreinformci:ion, seeWindows Sear<h Service: .and rndextrtq Service.
S!Drage McritDI'ing
Report Options Seiert the vol umes that you want to index.
Vo!umes to lndel<
�olumes:
Continnalion
Progress D Local Disk (C:)
Rerut.
Other localiops on this <omputer wil be indexed by default. even if you do oot select a volume. You"""
d1ange the indexng locabons by using Indexing Opbons in Control Panel.
3.4. ábra
A Select Volumes to Index for Windows Search Service képernyő
..
.. Installation Progress
Before You Begln The folowing roles, role se(Vices, Of reatures are being ínstaled:
ServerRoles,
File Services
FleServices
Roles..vkes
Stnrage Monlloring
ReportOptwns
Volumes IDll'\dex
Confrmation
Progress
Results
6 Instalong ...
3.5. ábra
Az lnstal/ation Prograss képernyő
1. Indítsuk el a Server Managert, annak bal oldali ablaktáblájában bontsuk ki a Roles, File
Services elemet, és kattintsunk a Share and Starage Management (Megosztások és tárolók
kezelése) elemre.
2. A jobb oldali ablaktáblában kattintsunk a Provision Share (Megosztás létesítése) hivatko
zásra, amely megnyitja a Provision a Shared Folder Wizard ablakát.
3. A Shared Folder Location (Megosztott mappa helye) lapon, amelyet a 3.6. ábrán láthatunk,
jelöljük ki a megosztandó mappát A könyvtárfát a Browse (Tallózás) gombbal érhetjük el.
Azt is megtehetjük, hogy a Provision Starage (Tároló létesítése) gombra kattintva elindítunk
egy varázslót, amely el6készíti azokat a rendszeren található köteteket, amelyeket még nem
formáztunk meg vagy jelöltünk ki, így nem kell varázslók és vezérl6ablakok között válto
gatnunk, hogy hozzájussunk egy meghajtóolvasóhoz. Ha megtaláltuk a megfelel6 helyet,
kattintsunk a Next gombra.
.. .
� Shared Folderloculion
=r==�======�=-M=��=============1
St..,.:
JISpecíythefolderthatyouwartto shae Onavdume-_..edlar.!d.-.o.
Shared Folder location ;l and space, select � folder orcreate B new one. r appropriae volume does.
\lnot e:llist, dck ProVISIOf'l Starage and create one
an an
NTFS Pemissions .
CM>ta Poicy
Fie Screen Poicy 1'-
Review Setfings and Create
Share
3.6. ábra
A Shared Folder
Loeat/on lap
3. fejezet • Fájlszolgáltatások lij-'
4. Ekkor az NTFS Perrnissions (NTFS-engedélyek) lap jelenik meg, amelyet a 3.7. ábra
mutat. Itt, ha szeretnénk, módosíthatjuk a kijelölt objektumra jelenleg érvényes NTFS
engedélyeket -vagyis azokat az engedélyeket, amelyek a fájlrendszer szintjén vannak
érvényben, és nem csupán az egyes megosztott mappákra kényszerítjük ki -, de úgy is
dönthetünk, hogy fenntartjuk a meglevő jogosultságokat. Jelöljük be a megfelelő válasz
tógombot, kattintsunk az Edit Permissions (Engedélyek szerkesztése) gombra, hogy
megnyissuk a jól ismert engedélyszerkesztő párbeszédablakot, majd lépjünk tovább.
(Az NTFS-engedélyekről a fejezet későbbi részében bővebben is beszélünk.)
Steps:
Specify NTFS penni� to coriral how in<lvidual � and �s accetS this folder
�..-ed foide< Loca;on iocatJ. For netwcwk �to a shMed fokier, the moteJestncbve oflhe NTFS
' � ondthe ohanopemlisOON � forthe shareprotocol del- the
NTFS Pem11sSI0!1S levet rA access granted to users and groups
ShCR Protoco/s
Oualo Polcy
ReS=en Poky
�SettingsandCreate
Sh""
Oa- you wan!: to ch<ll'lqe the NTFS penl1I$SI(InS forths fcilder?
Commotion
3.7. ábra
Az NTFS Permissions lap
� Share Prulocols
�
Steps:
Shared Foldes l.ocaJoo
NTFS p."",...",. �. :>MB
SMBSetmgs
SMB Perrnissions
Quot.s Policy
ReS...." Poky
DFS Namespace f\b�
Review Setmgs and úeate
!;h...,
3.8. ábra
A Share Protocals lap
-·!1 Windows Server 2008
5. A következő képernyő, amelyet látunk, a Share Protocals (Megosztási protokollok; lásd
a 3.8. ábrát). Itt választhatjuk ki, hogy a megosztott mappa hogyan jelenjen meg a hálóza
ton az ügyfelek számára a különböző protokollok - SMB (a Windows szabványos fájlmeg
osztási protokollja, amelyet az olyan nyílt forrású eszközök is használnak, mint a Samba) és
NFS (ez, ahogy korábban már említettük, a Linux és Unix rendszerű ügyfeleket szolgálja ki)
- használatakor. Írjuk be a megosztási nevet, és ellenőrizzük a megosztási útvonalat, amely
az UNC Cuniversal naming convention, univerzális elnevezési rendszer) szabványos formá
tumában jelenik meg, hogy azt tükrözi-e, amit beírtunk. Ha az Add Roles Wizardban nem
telepítettük az NFS-t, az NFS jelölőnégyzete kiszürkítve jelenik meg. Ha készen vagyunk,
kattintsunk a Next gombra.
SMB Settings
3.9. ábra
Az SMB Settings lap
6. Ekkor a 3.9. ábrán látható SMB Settings (SMB-beállítások) lapra kerülünk, ahol továbbra is
láthatjuk az előző képernyőn szereplő Share Path (Megosztási elérési útja) mezőt.
A Description (Leírás) mezőben megadhatjuk a megosztott erőforrás leírását is, de ez nem
kötelező. A leírások a rendszergazdának és a felhasználónak is segíthetnek, hogy mire
szolgál az adott megosztott mappa, feltéve ha egy olyan világos szöveget adunk meg, mint
az ,,1999-es év harmadik negyedévi könyvelési dokumentumai" vagy az "el nem fogadott
előterjesztések". Az Advanced Settings (Speciális beállítások) keretben felhasználói korlátot
állithatunk be a megosztott mappára, ami segít, hogy a hálózaton futó régebbi progra
moktól friss szaftverengedélyeket követeljünk meg; bekapcsolhatjuk a hozzáférés alapú
számbavételt (ABE, access-based enumeration), amellyel elrejthetjük azokat a megosztott
mappákat egy felhasználó elől, amelyekhez az adott felhasználónak nincs hozzáférése, így
nem kell megjeleníti azokat, és utána megjeleníteni a "hozzáférés megtagadva" ablakot, ha
a felhasználó mégis megpróbálja elérni őket; illetve a kapcsolat nélküli hozzáférésre is
megadhatunk beállításokat. Ha az említett beállítások bármelyikét módosítani szeretnénk,
3. fejezet • Fájlszolgáltatások If-
kattintsunk az Advanced (Speciális) gombra. Az Advanced párbeszédablak Caching
(Gyorsítótárazás) lapján azt határozhatjuk meg, hogy az adott megosztott mappa tartalmát
hogyan érhetik el azok a felhasználók, akik jelenleg nem kapcsolódnak a hálózatra. Ennek
módját a kapcsolat nélküli (offline) beállítások között adhatjuk meg. Ha további finomhan
golást szeretnénk végezni, kattintsunk a gombra.
A három lehetőség eléggé magától értetődő: az első megengedi a felhasználónak, hogy
szabályozza, mely dokumentumok legyenek kapcsolat nélkül is elérhetők, a második
minden dokumentumot elérhetővé tesz, a harmadik pedig egyetlen dokumentumot sem
enged kapcsolat nélkül elérni. Megjegyzendő, hogy ha bekapcsoljuk az Optiillized for
performance (Teljesítmény optimalizálása) jelölőnégyzetet, a dokumentumok automati
kusan a gyorstárba kerülnek, hogy a felhasználók helyben dolgozhassanak velük, ami
nagy segítséget nyújt a leterhelt alkalmazáskiszolgálóknak, mivel csökkenti a teljes adat
forgaimat a kiszolgáló és az ügyfelek között. Ha végeztünk a beállításokkal kattintsunk
az OK gombra, majd lépjünk tovább.
Spedyohare�lorSMB-basedaccesstolheshan•H<>Ider R>r
Shacod Foide< i.ocaOOo accesstoaSharedfolder, themore restndive-of_the share pemúsion$ and NTFS
it�s detmmtne theievel d�gartedtousers��
NTFSPemissions
Sha<ei'lotocols
SMBSertr>g$ ____
..;..
SMBP"""""""'
l Ouolo!IPolicy 'l•SeiectOI'eofthotolowngbaslceh.sre�ucteatecustomllhare�.
Rle Saeen Poky
DFS-ace� 0l � usec and- have only Read"""""'
!,!oel>and-hovecustomohare�·
For more information about sharing and permi:asions, see Manaqino Pemisskm:
faS!wed Foldern.
3.10. ábra
Az SMB Permissions lap
7. Ekkor a 3.10. ábrán látható SMB Permissions (SMB-engedélyek) lapra kerülünk, ahol azokat
a megosztásszintű engedélyeket -nem pedig a fájlrendszer szintjén érvényes engedélyeket
-állíthatjuk be, amelyeket ki szeretnénk kényszeríteni a megosztott mappát a hálózaton
keresztül elérő felhasználókra vonatkozóan. A konzolnál ülő felhasználók továbbra is
megtekinthetik a megosztott mappa tartalmát, hacsak a fájlszintű NI'FS-engedélyek meg
nem akadályozzák ezt. Ahogy a képernyőn is olvashatjuk, a megosztásszintű és az NI'FS
engedélyek közül mindig a korlátozóbb beállítás érvényesül. A rendelkezésre álló megosz
tásszintű engedélyek a következők:
Minden Jelhasználó csak olvasási hozzáféréssel rendelkezik
Mind a rendszergazdák, mind a normál felhasználók csak olvashatják az adott
megosztott mappa fájljait, felülírni vagy módosítani nincs lehetőségük.
-·!:1 Windows Server 2008
A rendszergazdák teljes hozzáférést kapnak, a többi felhasználó csak olvasási jogot
Az Administrators csoport tagjai teljes hozzáférést kapnak a megosztott mappához,
beleértve új NTFS-fájlengedélyek beállításának lehetőségét is, rníg rnindenki más
csak olvashatja a mappát Ez a legjobb beállítás egy olyan megosztott mappa
számára, amely a hálózaton futtatható progamot tartalmaz.
A rendszergazdák teljes hozzáférést kapnak, a többi jelhasználó pedig olvasási és
írási engedélyeket
Minden felhasználó írhatja és olvashatja a mappát, de az NTFS-fájlengedélyek
módosítására csak az Administrators csoport tagjai jogosultak.
Egyéni megosztási és mappaengedélyeket állítunk be
Az egyéni engedélyekkel külön jogosultságokat és tiltásokat állíthatunk be
az egyes felhasznáJókra és csoportokra vonatkozóan. Így lehet megváltoztatui
a minden felhasználóra alapértelmezett csak olvasási jogot, arnivel lényegében
szélesre tárjuk a kaput, ami a bizalmas állományok esetében nem kívánatos.
8. Ekkor a 3.11. ábrán látható Quota Policy (Kvótaházirend) ablak jelenik meg, ahol megha
tározhatunk egy kvótát, amely korlátozza, hogy a mappa legfeljebb mekkora méretet
érhet el. A kvótát helyi szinten rendeljük a mappához - figyeljük meg, hogy az elérési út
most a kiszolgáló helyi lemezmeghajtójától indul, és nem azt az UNC hálózati útvonalat
látjuk, mint a korábbi néhány képernyőn. Egy kvóta életbe léptetéséhez jelöljük be
a találó nevű Apply quota (Kvóta alkalmazása) jelölőnégyzetet, majd válasszuk ki, hogy
egyszerűen egy kvótát kívánunk-e alkalmazni az adott útvonalon elérhető mappára, vagy
egy kvótasablon segítségével az útvonalon jelenleg megtalálható mappákra és az ott ké
sőbb létrehozandó almappákra is kvótát szeretnénk életbe léptetni. A fejezetben késóbb
bővebben is szót ejtünk a kvótákról és a kvótasablonokról, ezért most elég, ha elfogad
juk az alapértelmezett100MB-os korlátot, és a Next gombra kattintunk.
---1
� Quol8 Poicy
Steps:
Shared F-LDca!ion
SMB Settllgs
Sha"'
Cornrmation 8-0uota:c.\�\Publlc
i- SOISCe ternplate: 200 MB !..ini wth 50 MB &ttension
·lJmi· 200 MB (Ham)
8- �:l.
3.11. ábra
A Ouota Policy ablak
3. fejezet • Fájlszolgáltatások ��-
9. Ezt követően a File Screen Policy (Fájlszűrési házirend) ablakot látjuk (3.12. ábra).
A fájlszűrő lehetővé teszi, hogy megakadályozzuk bizonyos típusú fájlok tárolását egy
megosztott mappában, ami remek módja annak, hogy távol tartsuk a kiszolgálót leterhelő
különböző multirnédiafájlokat. Egy könyvelési dokumentumokat tároló megosztott
mappában például nem sok keresnivalója van a hang- és videofájloknak.
Ha fájlszűrőt szeretnénk alkalmazni, jelöljük be az Apply file screen (Fájlszűrő alkalmazása)
jelölőnégyzetet, majd válasszunk ki egy előre beállított fájlszűrősablont a lenyíló listábóL
A fájlszűrőkről és a sablonokról a fejezetben késóob bővebben is beszélünk, ezért most
elég, ha elfogadjuk az alapértelmezést, és a Next gombra kattintunk.
St-
You can apply a file screen to a sharedfolderto-cimtrolthe typ.es offfes that thefokfer
Shared Folder locatfoo cancortaio;
ji:I!@Mtifüfii G
S.""""'Ydflesaoenpropert;es.
DFS N"""soace Pub1is11no
e- Ae screen: c:\Users\Plblic
Review Settings and Create - Sotsce t�ate· Block hJdto and V'ldeo Flles
SMe
Screerino .",.. ·-·
Commalioo Fie groups: AJd,o n Vtdeo Ries
Notkatiomo Emal. Evert log
To create oredit Ile $cteen tenplates, use File Setver Re1iource Manager.
,N1Il'li111"G':<
Steoo:_
You canpOO!ish an SMB share to a: DFS �by speofying an existinQ
Shaml Folder locatioo namespace andthe fo!ders )'QU wari to createinihenamespace. The !ast falderrthe
namespacepath v.il havethenew shate as akddertarget
NTFS Permissions
Sh�R Protoem
SMB Se!mo•
:lí,, �111e SMBsharetoaDFSna""'"'"""
SMB Pemlssions
B.!Pw�
OldaPoky
&.ni>lo:\\Oomaon\Nane\folder
Fi< Saoen Poky
OFS Namespace Pubhol'ino
Review Settirgs and Create
Share �:.Name or Newfolder\Name
Cor{'""""'
-
�p�vtSJOn a Shared Folder Waard v�� � - o x
rStepo:
To províSIOr'l a sharedfolderwlhthefolo.•A� set:tings. cickCreate. To change M'tj of
Sha<ed Foldeo- l.oc<fu> t:he$e �. díck Pre\4ous or select the appropliate page Jn the orientation pane.
NTFS Penníssioos
s-tare Protocols
SMB Se<mgs
Share locabon: c:\Users\Publc
SMB Pem��ssions NTFS..."....,..
CREATOR OWNER • illow:Ful Cortrol(e><plcl)
Ouol• Paicy NT AUTHORJTY\BATCH • Alaw:Read &. Execute; llit Folder C!
AUTHORIT'r\BATCH ,.AJow:ModtyJRead & Exect(el Ust
NT
Fle .SO..O Paicy
NT AUTHORJTYIINTEAPCTIVE • !low:Modify l Read & E><eoU:
l OFS Namoopace P�
�i ��=:�;�:r;l:�'f�!t�=.!���
Review Settinos and Create NT AUTHORITY\SERVICE ,. �w:Rei:IC & Execute t Ust Fclder
5I1...
Urlomaüon
��,g�v;.r:�=2!.�)
Share over SMB. Public
l
3.14. ábra
A Review Settings and
Create Share képernyő
1±1�
d ProvisionStor ...
�±� �F·Sii··J.itti€1§1 sertrie$
EB �
l±J Wndows �yment Servt
Features
00Qnosbcs
Share; Na ... l Protocol J localPath ··
Provision Shar, , ,
Mariage Sl!ssi...
00 coo�a� ��
B �
� tooo
�'I � ��B�(�S��·�m�s) __________
��--------�
1±1 Storage lill AOMINS SMS C:\Windov.<s 8
G
ai> cs SMS
SMB
ü\
� .. fresh
-·------
c:\,Jse"s'ftüc G G lll....,
C:�teinstall G
3.15. ábra
A Share and Starage
Management
Shares lapja
3. fejezet • Fájlszolgáltatások 11-
Alapértelmezett megosztások
Telepítéskor a Windows Server 2008 több alapértelmezett megosztott mappát is létrehoz,
amelyek különféle célokat szolgálnak. Ezeket a mappákat a Server Manager Share and Starage
Management nevű szolgáltatásán keresztül vizsgálhatjuk meg. Nyissuk meg a Server Manager
ablakát, bontsuk ki a Files Services szerepkört, és kattintsunk a Share and Starage Management
elemre. Az alapértelmezés szerint megjelenő ablakot a 3.15. ábra mutatja, a Shares (Megosztások)
lapon a számítógépen beállított megosztott mappákkaL
Típus leírás
Read (R, olvasás) A felhasználó vagy csoport olvashatja a fájlt.
Write (W, írás) A felhasználó vagy csoport írhatja a fájl vagy mappa tartalmát, és
létrehozhat új fájlokat és mappákat. Írási jogosultságot olvasási
jogosultság nélkül is lehet adni.
Read and Execute (RX, A felhasználó vagy csoport olvashatja a fájl vagy mappa tulajdon
olvasás és végrehajtás) ságait, megtekintheti annak tartalmát, és olvashat fájlokat egy map
pán belül. Az RX engedélyekkel rendelkező mappákban található
fájlok öröklik a mappának ezeket a jogosultságait
List Folder Contents (L, Ugyanaz, rnint az RX, de az L engedéllyel rendelkező mappákban
mappatartalom kiíratása) található fájlok nem öröklik az RX engedélyeket- ezeket csak
az új fájlok kapják meg automatikusan.
Modify (M, módosítás) A felhasználó vagy csoport olvashatja, írhatja, végrehajthatja és
törölheti a fájlt vagy mappát
Full Control (FC, Ugyanaz, rnint az M, de a felhasználó vagy csoport a fájl vagy mappa
teljes hozzáférés) tulajdonosává is válhat, és módosíthatja az engedélyeket.
A felhasználó vagy csoport törölheti egy mappa fájljait vagy
almappáit, ha a mappa FC jogosultsággal rendelkezik.
•
A fájlengedélyek rnindig előnyt élveznek a mappaengedélyekkel szemben. Ha egy
felhasználó végrehajthat egy programot egy mappában, akkor ezt akkor is megteheti, ha
a programot tartalmazó mappára nincs olvasási és végrehajtási engedélye.
_.,. Windows Server 2008
•
Az előző ponthoz hasonlóan egy felhasználó minden olyan fájlt olvashat, amelyhez kifeje
zetten rendelkezik ezzel az engedéllyel, akkor is, ha a fájl egy olyan mappában található,
amelyhez nincs jogosultsága, csak ismernie kell a kérdéses fájl helyét. Elrejthetünk például
egy fájlt, amely az alkalmazottak társadalombiztosítási számait sorolja fel a fizetési osztály
egy védett mappájában, amelyhez a Mark Jones nevű felhasználó nem rendelkezik
mappaszintű engedélyekkel, de ha Marknak az adott fájlra olvasási jogot adunk, a fájl
teljes elérési útjának ismeretében Mark megnyithatja a fájlt a parancssorból vagy a Start
menü Run (Futtatás) parancsán keresztül.
• Az engedélyek összeadódnak egy felhasználó annyi jogosultsággal rendelkezik,
amennyihez az összes csoporttagságából adódóan hozzájut.
•
A tiltás mindig felülbírálja az engedélyezést. Ez akkor is érvényes, ha egy felhasználót
egy olyan csoportba veszünk fel, amelytől megtagadtuk egy fájl vagy mappa elérését:
a felhasználó számára korábban az egyéb csoporttagságai miatt engedélyezett hozzáférés
megszűnik.
Különleges engedély R W RX L M FC
Traverse Folder/Execute File x x x x
(Mappa bejárása/Fájl
végrehajtása)
Read Attributes x x x x x
Qellemzők olvasása)
Delete (Törlés) x x
Read Permissions x x x x x
(Engedélyek olvasása)
Change Permissions x
(Engedélyek módosítása)
Take Ownership x
(Saját tulajdonba vétel)
Engedélyek beállítása
Az engedélyek beállítása meglehetősen egyszerű művelet, amelyet a grafikus felületen hajtha
tunk végre. Ha be szeretnénk állítani egy fájl vagy mappa NTFS-engedélyeit, kövessük az alábbi
lépéseket:
1. Nyissuk meg a My Computer vagy a Windows Explorer ablakát, és keressük meg azt
a fájlt vagy mappát, amelyiknek az engedélyeit be szeretnénk állítani.
2. Kattintsunk az egér jobb gombjával a fájira vagy mappára, és válasszuk a Properties
(Tulajdonságok) menüpontot.
3. Váltsunk a Security (Biztonság) lapra.
4. Az engedélyek módosításához kattintsunk az Edit (Szerkesztés) gombra.
5. A felső ablaktáblában vegyük fel azokat a felhasználókat és csoportokat, akiknek
az engedélyeit szerkeszteni szeretnénk, majd kattintsunk egyenként az egyes elemekre,
és az alsó ablaktáblában adjuk meg vagy vonjuk meg a megfelelő engedélyeket.
A 3.16. ábrán azt láthatjuk, hogyan rendelhetünk írási jogosultságot a Jonathan Haskell nevű
felhasználóhoz egy adott mappára.
Sea.ny 1
Object nome C\U•ers\Nllíc\En�loyee Sulve'/ Re!ouii>Jti
FtJI""""' D
Mod;y D
Read & exea.te D
�d D
Wrte �j
3.16. ábra
leamabotAaccesscontrolandpem!SSÍOf!S
Felhasználói engedélyek megadása
OK l Cancel l'" ""'*' J
egy adott mappára
Öröklés és tulajdonjog
A jogosultságok felülről lefelé öröklődnek. Ez lehetővé teszi, hogy azokhoz a fájlokhoz és
mappákhoz, amelyeket egy már meglevő mappában hozunk létre, automatikusan rendeljünk
engedélyeket. Például ha egy mappára RX jogosultságok vonatkoznak, és a mappában létre
hozunk egy új almappát, az almappa felhasználói automatikusan olvasási és végrehajtási
engedéllyel fognak rendelkezni az almappa elérésekor. Az öröklési fát úgy tekinthetjük meg, ha
a kérdéses fájl vagy mappa tulajdonságablakának Security lapján az Advanced gombra kattin
tunk. Ez a 3.17. ábrán látható ablakot jeleníti meg, ahol az Inherited From (Öröklődés forrása)
oszlopban világosan láthatjuk, hogy honnan erednek a jogosultságok.
Az öröklést kikapcsolhatjuk, ha a 3.17. ábrán látható ablakban az Edit gombra kattintunk, és tö
röljük a jelet az Include inheritable permissions from this object's parent (Szülőobjektum örö
kölhető engedélyeinek hozzávétele) jelölőnégyzetbőL Annak a mappának, amelyiknek megtil
tottuk az öröklést, minden gyermeke csak az adott mappa engedélyeit kapja meg, a fában fel
jebb levő mappákét nem. Ha a szabványos engedélyöröklést vissza szeretnénk állítani egy
olyan objektumra, amelynél ezt kikapcsoltuk, csak újra be kell jelölnünk az említett jelölőnégy
zetet Az egyénileg meghatározott engedélyek ekkor megmaradnak, az egyéb engedélyek pedig
a szokásos módon, automatikusan terjednek lefelé.
-01:1 Windows Server 2008
3.17. ábra
Az örökölt engedélyek eredetének
OK
megtekintése
Tisztában kell lennünk a tulajdonjog fogalmával is. Egy fájl v�gy mappa "tulajdonosának" teljes
hozzáférése van az adott objektumhoz, így annak engedélyeit is megváltoztathatja, függetlenül
attól, hogy az objekturnra vonatkozó többi engedélynek milyen hatása van a fájira vagy mappá
ra. A fájlok és mappák tulajdonos.a alapértelmezés szerint az az objektum, amelyik létrehozta
őket. Ezenkívül létezik egy Take Ownership (Saját tulajdonba vétel) nevű különleges engedély,
amelyet a tulajdonos bármely más felhasználónak vagy csoportnak megadhat, ami lehetővé
teszi, hogy a kérdéses felhasználó vagy csoport a tulajdonos szerepét betöltve tetszés szerint
módosítsa az engedélyeket. Ezt az engedélyt a rendszer alapértelmezés szerint a rendszergazdai
fiókhoz rendeli, aminek a révén az informatikai osztály dolgozói elérhetővé tehetik azokat
az adatfájlokat, amelyeknek az elérését egy azóta kilépett vagy más okból elérhetetlen alkalma
zott megtiltotta a többi felhasználónak.
Ha látni szeretnénk egy fájl tulajdonosát, váltsunk az Owner (Tulajdonos) lapra az Advanced
Perrnissions (Speciális biztonsági beállítások) párbeszédablakban. Az első mezőben a jelenlegi
tulajdonos nevét láthatjuk. Ha meg szeretnénk változtatni a tulajdonost - feltételezzük, hogy
ehhez rendelkezünk a megfelelő jogokkal -, egyszerűen kattintsunk az Edit gombra, erősítsük
meg a kilétünket az DAC-ablakban, válasszuk ki a kívánt felhasználót az alul látható fehér
mezőből, és kattintsunk az OK gombra. Ha a fehér mezóben nem jelenne meg annak a felhasz
nálónak a neve, akire át szeretnénk ruházni a tulajdonjogot, kattintsunk az Other Users and
Groups (Egyéb felhasználók és csoportok) lehetőségre, majd az Add gombra, és keressük meg
a kérdéses felhasználót. Úgy is dönthetünk, hogy az adott objektum tulajdonjogát kiterjesztjük
a fájlrendszeri hierarchiában alatta található összes objekturnra. Ez a lehetőség akkor jöhet pél
dául jól, ha egy kilépett alkalmazott fiókjának minden adatát szeretnénk egy másik tulajdonos
hatáskörébe rendelni. Ehhez csak annyit kell tennünk, hogy a képernyő alján bejelöljük
a Repiace owner on subcontainers and objects (tulajdonos cseréje az altárolókban és objektu
mokban) jelölőnégyzetet Ha készen vagyunk, kattintsunk az OK gombra. (A művelet eltarthat
egy ideig.)
3.
The falo�T>Q is! dooplays the pen11isooons that would be g<arted to the selected grovp or user; based $Oiely Ofl the
�g<arteddi"ed!ytlroughgrovp�
l Seled. l
aJecttve pem!issiOnS:
li'lMAcor<roi
li!! Tr;,versefolder/exeo.J:efie
i1l us! foldor /reed dota
li!! Read <rtnibutes
i1l Read ex!ended o!lliWes
li! Create fies l wrie datl!
� Creae f� lappend data
Itt Wnte attOOutes
i1l Write e>tended otl!ibutes
How areeffectl-iepermiSS!Of1Sdetenmned?
3.18. ábra
Az Effective Permissions ablak
Az Effectíve Perrnissions ablak két tekintetben korlátozott. Először is, nem mutatja meg a megosz
tásszintű engedélyeket, csak az NTFS fájlrendszerben érvényes ACL-ekkel, vagyis a fájlrendszer
objektumaival törődik. Másodszor, a felhasználék és csoportok engdélyeit csak a saját fiókjukra
vonatkozóan adja meg, tehát nem képes helyesen megjeleníteni az engedélyeket, ha egy felhasz
náló táveléréssei vagy a terminálszolgáltatásokon keresztül jelentkezett be, és azoknak a felhasz
nálóknak az esetében is részben helytelen információkat mutat, akik a helyi Network szolgáltatás
fiókon keresztül érik el a rendszert. Bár ezek elég jelentős korlátok, az Effectíve Perrnissions ablak
mégis hasznos, mert sok órányi fejvakarástól kímél meg rninket, amikor arra próbálunk rájönni,
hogy miért jelenik meg folyton egy idegesítő "hozzáférés megtagadva" üzenet, illetve arra is kitű
nő eszköz, hogy teszteljük a tudásunkat arról, hogy miként terjednek lefelé a jogosultságok, és
rniként bírálják felül időnként azok öröklését az engedélyek és tiltások.
az nem fog megjelenni az általuk használt fájlkezelő eszközben. Ezzel egy kétségkívül jelentős
biztonsági rést is sikerült betörnni, hiszen ha a felhasználók olyan mappákat is láthatnak,
amelyeket nem érhetnek el, az betörésre vagy a biztonsági korlátozások másféle áthágására
ösztönözheti őket, rníg egy dolgot, arniről nem is tudnak, hogy létezik, kevésbé valószínű, hogy
támadás ér - legalábbis elméletben.
• Az ABE csak akkor működik, ha UNC-n keresztül kapcsolódunk egy hálózati megosztott
mappához, a helyi fájlok esetében nem. Természetesen ez nem tűnik rettenetes hátránynak,
rnivel nem sok felhasználó tallózik helyben egy Windows Server 2008-as szárnítógépen,
akik pedig mégis, azok remélhetőleg amúgy is rendszergazdai szinten állnak.
• A szolgáltatás használatához rnindenképpen Windows Server 2008 vagy Service Pack 1-gyel
ellátott Windows Server 2003 rendszert kell futtatnunk. A hálózat más operációs rendszerei
nem nyújtják ezt a lehetőséget, ami a felhasználók számára zavaró lehet.
Mit fognak látni a felhasználók, miután ezt megtettük? Semmit -vagyis semmi olyat, amihez
nincs hozzáférési engedélyük.
Naplórend
Az objektum-hozzáférés naplózása (auditálása) azt jelenti, hogy naplózzuk az objektumokon
végzett műveletekre vonatkozó engedélyek sikeres vagy sikertelen alkalmazásáról tájékoztató
üzeneteket. A Windows Server 2008 ezeket az üzeneteket a Security Event Log (biztonsági
eseménynapló) naplóba írja, amelyet a Vezérlőpult felügyeleti eszközei között található Event
Viewer kisalkalmazással tekinthetünk meg. Először persze be kell kapcsolnunk a naplózást a ki
szolgáló szintjén, majd engedélyeznünk kell azt a megfigyelni kívánt konkrét fájlokra és map
pákra is.
1. Válasszuk a Start, All Programs, Administrative Tools (Start, Minden program, Felügyeleti
eszközök) menüpontot, majd kattintsunk a Local Security Policy (Helyi biztonsági
házirend) lehetőségre.
2. Bontsuk ki a Local Policies (Helyi házirend) elemet a bal oldali fában, és jelöljük ki
az Audit Policy (Naplórend) lehetőséget.
3. Kattintsunk duplán az Audit Object Access (Objektum-hozzáférés naplózása) elemre.
3. fejezet • Fájlszolgáltatások 11-
4. A naplózás engedélyezéséhez válasszuk ki, hogy mely eseményeket- fájl vagy mappa
sikeres elérése, sikertelen kísérletek vagy mindkettő- szeretnénk vizsgálni, majd kattint
sunk az OK-ra.
5. Zárjuk be a Local Security Policy ablakot.
Foglaljuk össze röviden azt is, hogy miként engedélyezhetjük a naplózást tartomány alapú cso
portházirendeken keresztül: hozzunk létre egy új csoportházirend-objektumot (GPO), amelyet
számítógépek egy kijelölt tárolójához kapcsolunk, és a Computer Configuration, Windows
Settings, Security Settings, Local Policies (szárnítógép beállításai, Windows-beállítások, biztonsági
beállítások, helyi házirend) útvonalon jussunk el az Audit Policy elernhez. Válasszuk ki a megfele
lő eseményeket, majd kattintsunk az OK gombra. Adjunk néhány percet a tartományvezérlőnek,
hogy a házirendet átmásolhassa a tartomány többi tartományvezérlőjére is, majd frissítsük a házi
rendet az ügyfélgépeken agpupdate /force paranccsal vagy a számítógépek újraindításávaL
&ll...
A naplózás sokat segít abban, hogy nyomon követhessük, mi történik a megosztott fájlokkal.
A fájlkiszolgálói erőforrás-kezelő
A Windows Server 2008 része a File Server Resource Manager (FSRM, Fájlkiszolgálói erőforrás
kezelő) nevű egyesített konzol, amelyen különféle eszközöket és jelentéskészítőket találunk,
amelyek segítségével meghatározhatjuk, szabályozhatjuk és felügyelhetjük a fájlkiszolgálókon
tárolt adatok mennyiségét és típusát. Az FSRM-ben egyetlen kényelmes helyen állíthatunk be
kvótákat mappákra és kötetekre, szűrhetjük a visszautasítandó fájltípusokat, és átfogó jelentése
ket készíttethetünk, amelyek pontosan megmutatják, hogy mi emészti fel a lemezterületet
3.20. ábra
A File Server
Resource
Manager
konzol
Az FSRM beállítása
A fájlkiszolgálói erőforrás-kezelő használata során az első lépés azoknak a beállításoknak
a megadása, amelyeket a konzol majd használni fog. Az Actions (műveletek) ablaktáblában
kattintsunk a Configure Options hivatkozásra, hogy megnyissuk a 3.21. ábrán látható ablakot.
To vedy )'016 selbngs yoo can ..en<l a test e-mai to the defaul. �·
3.21. ábra
!ie!PI OK
A fájlkiszolgálói erőforrás-kezelő beállítása
Thelímits opplyto ol-· but yoo canovemde !hem u....g the Fle SoM<
Aeso<Jee Monoger(FSRM}commandbtools.
3.22. ábra
OK
A Notification űmits lap
Ezen a képernyőn arra állíthatunk be határértékeket, hogy milyen gyakran küldjön a FSRM,
illetve a Windows Server 2008 értesítést ugyanazokról az eseményekről. Ha az erőforrás-kezelő
például kvótatúllépési eseményt észlel, és a felhasználó továbbra is a kvóta túllépésével kísérle
tezik, az értesítési küszöbnek megfelelően az erőforrás-kezelő vár a megadott ideig, mielőtt
e-mailben értesítést küldene, a naplóba írna, illetve parancsértesítést vagy jelentést küldene.
A határértékeket minden értesítéstípus esetében percben adhatjuk meg.
3.23. ábra
OK
A Starage Reports lap
llroy;se...
3.24. ábra
OK
A Report Locations lap
3. fejezet •
Ezen a képernyőn adhatjuk meg, hogy hová mentse az erőforrás-kezelő az egyes jelentésfajtákat.
A jelentéseket a helyi lemezmeghajtón vagy egy hálózati köteten tárolhatjuk A 3.25. ábrán
a File Screen Audit lap látható.
File SetVer �scxxce Manager allows you to record fite 9CR!eninQ activly n an
audmg datobose wt1i<:h can be latermvtewed by running • File SC",en f.<Jdting
Report
r BeCOld file screeoog activly in aodl!ong database
3.25. ábra
OK
A File Screen Audit lap
Itt azt adhatjuk meg az FSRM-nek, hogy naplózza-e a szűrési műveleteket a vizsgálati adatbázis
ban. Ha nincs szükségünk fájlszűrési jelentésekre, töröljük a jelet a megfelelő jelölőnégyzetből,
mert ennek a kiegészítő naplózásnak az elhagyásával némi sebességnövekedést érhetünk el.
r' P:!hl apply template ..,d aeate QUotas 011 e:ós!Jng ....d new !U>
oid<ml
Y-ou can either use propedie5 from a quota temp(ate or def!f'le custom
(J.IOlaPft)perties.
r- 3.26. ábra
A Create Ouota ablak
-11 Windows Server 2008
Kezdjük azzal, hogy egyetlen mappára alkalmazunk egy kvótát! Ehhez a fájlkiszolgálói erőforrás
kezelóDen kattintsunk duplán a Quota Management (Kvótakezelés) elemre a középső ablaktáb
lában, majd kattintsunk duplán a Quotas (Kvóták) lehetőségre. A jobb oldali ablaktáblában
kattintsunk a Create Quota (Kvóta létrehozása) hivatkozásra, és egy a 3.26. ábrán láthatóhoz igen
hasonló ablak jelenik meg.
Írjuk be a mappa elérési útját a legfelső mezőbe, vagy a Browse gombra kattintva keressük meg
a mappát grafikus felületen. Jelöljük be a Create quota on path (kvóta létrehozása az elérési
úton) lehetőséget, majd válasszunk vagy egy kész sablont, amely előre meghatározott határérté
keket kínál, vagy a Define custom quota properties (egyéni kvótatulajdonságok meghatározása)
lehetőséget, és kattintsunk a Custom Properties (egyéni tulajdonságok) gombra. Ha az utóbbi
lehetőséget választjuk, megjelenik a Quota Properties (k:vótatulajdonságok) ablak, ahol beírhat
juk a lemezterület korlátját, megadhatjuk, hogy a kvóta "szigorú" vagy "enyhe" legyen, és beál
líthatjuk az értesítési küszöböket. Ha készen vagyunk, kattintsunk az OK gombra, és nézzük át
a Create Quota ablak összegző mezőjében a kiválasztott beállításokat. Ha mindent rendben talá
lunk, kattintsunk a Create (Létrehozás) gombra, és ezzel a kvóta meghatározását befejeztük.
3.27. ábra
A Create Ouota Template ablak
3. fejezet • Fájlszolgáltatások lz-
Ha kvótasablont szeretnénk létrehozni, kattintsunk duplán a Quota Management (Kvótakezelés)
elemre a fájlkiszolgálói erőforrás-kezelő középső ablaktáblájában, majd szintén duplán a Quota
Tempiates (Kvótasablonok) elemre. A jobb oldali ablaktáblában kattintsunk a Create Quota
Template (Kvótasablon létrehozása) hivatkozásra, és megjelenik a 3.27. ábrán látható ablak.
A felső lenyíló listából kész sablont választhatunk, és a benne levő beállításokat a létrehozandó
sablonba másolhatjuk, amivel jelentős időt takaríthatunk meg, ha csak kisebb változtatásokat
szeretnénk végrehajtani. Más esetben írjuk be a sablon nevét (adhatunk barátságos nevet is, ha
úgy tetszik), majd adjuk meg a lemezterületre vonatkozó korlátot és annak szigorúságát.
A kvóta elérésekor kapott értesítések határértékeit is beállíthatjuk Az Add gombbal új értesítést
határozhatunk meg, amikor is megjelenik az Add Threshold (küszöb hozzáadása) ablak, amelyet
a 3.28. ábrán láthatunk.
E-madme�ge
Type thete>i to use forthe Subjed line and message
To ídon!lythe quota,lmt. usoge, �r other iniOIITlotlon obot.t the Cl.lJre!1t l�Yeshold. you
can use Insert Vanahle to insert a- nyourtext.
3.28. ábra
!jelp Az Add Threshold ablak
Figyeljük meg az első mezőt, amely a Generate notifications when usage reaches (%) (értesítés
küldése, ha a felhasználás eléri a megadott százalékot) névre hallgat. Ebben a mezőben adhatjuk
meg a tényleges határértéket, amelynél az általunk meghatározott művelet végrehajtására sor ke
rül. A rendszergazdák a leggyakrabban elektronikus levelet küldetnek, mind a felhasználónak,
aki túllépte a korlátot, mind saját maguknak. Az E-mail Message (elektronikus levél) lapon jelöl
hetjük be, hogy kinek szeretnénk ilyen üzeneteket küldeni, és itt adhatjuk meg az üzenet szöve
gét is. Az Event Log (eseménynapló) lapon az eseménynaplóba kerülő figyelmeztetések szövegét
szabhatjuk testre, a Command (parancs) lapon pedig egy parancsfájlt vagy programot határozha
tunk meg, amelynek le kell futnia, ha egy felhasználó átlépi a beállított határértéket
-1:1 Windows Server 2008
Végül a Report (jelentés) lapon arra utasíthatjuk az erőforrás-kezdőt, hogy automatikusan
tárolójelentést készítsen (erről kicsit késóbb beszélünk részletesebben), ha a kvótát túllépték
Az említett lapok mindegyikének világos felülete van, így a beállítások nem jelenthetnek
gondot. Ha készen vagyunk, kattintsunk az OK gombra, hogy befejezzük a sablon létrehozását.
Fájltípusok szúrése
A fájlkiszolgálói erőforrás-kezelő másik hasznos szolgáltatása, hogy képes bizonyos típusú fájlokat
kiszűrni, és azok tárolását megakadályozni a fájlkiszolgálókon. Ha a tárolóhelyünk korlátozott, és
a minél nagyobb szabad lemezterület elsődleges fontosságú, nyilván indokolatlan tonnányi MP3
és WMA fájlt tárolni a felhasználék alapkönyvtáraiban. Még ha bőven van is szabad terület
ezekben a könyvtárakban, ezekről a fájlokról akkor is valószínűleg biztonsági másolat készül,
márpedig nem a legjobb felkészülés egy katasztrófára, ha az értékes biztonsági adathordozókat
a legújabb Mariah Carey CD tárolására pazaroljuk. A fájlszűrés ezt a fajta pazarlást segít a mini
murnra szorítani.
•
Megakadályozhatjuk rninden zenefájl tárolását a kiszolgálón, miközben kivonjuk ebből
a körből az adott nevű fájlokat (amelyek például a cég reklámjaiban szereplő zenei
anyagokat tárolják) vagy azokat az állományokat, amelyeket egy adott személy vagy
csoport helyezett el a cég hálózatán.
•
Figyelmeztető levelet küldethetünk magunknak, ha egy megosztott kötetre egy gyanús
parancsfájl vagy végrehajtható program kerül, így időben értesülhetünk egy lehetséges
betörésről vagy vírusfertőzésrőL
•
A fájlszűrő figyelmeztetéseit az eseménynaplóba is írhatjuk, így ha van egy esemény
napló-elemző programunk, amely minden kiszolgálónkon fut, a fájlszűrési jelentéseket
megtekinthetjük közvetlenül az érintett kiszolgálóróL
1. A Server Manager jobb oldali ablaktáblájában bontsuk ki a Roles, File Services, Share and
Storage Management, File Server Resources Manager, File Screening Management elemet.
2. Kattintsunk az egér jobb gombjával a File Groups elemre, majd válasszuk a Create file
group lehetőséget.
3. Írjunk be egy nevet a fájlcsoport számára.
4. A Files to indude mezóoe írjunk be egy fájlnévmintát (például .exe) a csoportba bele •
foglalni kívánt fájlok számára, és kattintsunk az Add gombra. A Files to exclude mezóben
a csoportból kizárni kívánt fájlokat adhatjuk meg.
5. Kattintsunk az OK gombra.
Fáj/szr1ró létrehozása
Egyedi fájlszűrőt az alábbiak szerint hozhatunk létre:
3.29. ábra
A Create File Screen párbeszédablak
5. A Screening type (szűrő típusa) részben válasszuk ki, hogy aktív szűrést szeretnénk-e,
amely megakadályozza, hogy a felhasználók olyan fájlokat mentsenek, amelyek a letiltott
fájlcsoportba tartoznak, és értesítést küld az ilyen műveletekről, vagy passzív szűrést,
amely csak értesítést küld, de nem gördít akadályt a kizárt fájlok mentése elé.
6. A File Groups részben válasszunk ki minden fájlcsoportot, amelyet bele szeretnénk
foglalni a szűrőbe. Egy adott fájlcsoport jelölőnégyzetét úgy jelölhetjük be, hogy duplán
a fájlcsoport címkéjére kattintunk.
7. A fájlszűrő által e-mailben küldött értesítésekre az E-mail Message lapon a következő
beállításokat adhatjuk meg:
•
Ha adott személyeket szeretnénk értesíteni, amikor valaki megkísérel egy nem
engedélyezett fájlt menteni, válasszuk a Send email to the follawing administrators
(e-mail küldése a következő rendszergazdáknak) lehetőséget, és adjuk meg
az értesíteni kívánt rendszergazdai fiókokat. Ha több fiókot adunk meg, pontos
vesszővel válasszuk el azokat egymástól.
•
Ha a házirend megsértésére készülő felhasználót akarjuk figyelmeztetni, válasszuk
a Send email to the user who attempted to save an unatharízed file (e-mail
küldése annak a felhasználónak, aki nem engedélyezett fájlt próbált meg menteni)
lehetőséget.
•
A tárgysort és az üzenet törzsét is módosíthatjuk. Ha további változókat szeretnénk
beszúrni a szövegbe, kattintsunk az Insert Variable (változó beszúrása) gombra, és
válasszuk ki a megfelelő változót a képernyőn felsoroltak közül.
8. Az Event Log lapon jelöljük be a Send warning to event log (figyelmeztetés küldése az ese
ménynaplóba) jelölőnégyzetet, és szerkessZÜk az alapértelmezett naplóbejegyzést Ez a két
művelet nem kötelező. Ezenkívül a Command lapon arra is utasíthatjuk a Windowst, hogy
egy programot vagy parancsfájlt futtasson, ha valaki megsérti a szabályokat, a Report lapon
pedig beállíthatjuk, hogy automatikusan készüljön-e ilyenkor jelentés.
9. A fájlszűrő mentéséhez kattintsunk a Create gombra.
Jegyezzük meg, hogy amikor egy "egy alkalomra szóló" fájlszűrőt hozunk létre, azt fájlszűrősab
lonként is menthetjük, így egyrészt később újrahasznosíthatjuk, ha ugyanazokat a beállításokat
egy másik célpontra szeretnénk alkalmazni, másrészt az FSRM emlékezni fog a szűrő célpontja
és az újonnan létrehozott sablon közötti kapcsolatra - lényegében létrehozza a sablont, és
a szűrőre alkalmazza, így élvezhetjük a sablonhasználat előnyeit
Szúrókivétel meghatározása
A fájlszűrők számára meghatározott kivételek lényegében felülbírálnak minden szűrési beállítást,
ami egyébként egy mappára és annak almappáira vonatkozna, vagyis kikapcsolják a szülőmap
pából származó szabályok alkalmazását. Ugyanakkor olyan mappával nem tehetünk kivételt,
amelyre már alkalmaztunk fájlszűrőt: a kivételt vagy egy almappára alkalmazhatjuk, vagy
a meglevő szűrőt kell módosítanunk. Szűrőkivételt így határozhatunk meg:
1. A File Screening Management elemben kattintsunk az egér jobb gombjával a File Sereens
elemre, majd válasszuk a Create file screen exception (szűrőkivétel létrehozása) parancsot.
2. A megnyíló Create File Screen Exception párbeszédablakban írjuk be az elérési utat,
amelyre a kivételt alkalmazni szeretnénk.
3.
Tárolójelentések elóállftása
A fájlkiszolgálói erőforrás-kezelő egyik nagyszerű szolgáltatása, hogy pontos képet tud adni arról,
hogy milyen állapotban van a tárolónk. Megnézhetjük, hogy mostanában milyen állományok
foglalnak lemezterületet, és láthatjuk a kvótát túllépő vagy fájlszűrőkkel letiltott fájlokat menteni
próbáló felhasználék figyelmeztetéseit és egyéb értesítéseit A jelentéseket elkészítterhetjük
automatikusan, megadott időközönként, de igény szerint alkalmi jelentéseket is kérhetünk.
Alapállapotban a következő fajta jelentések állnak rendelkezésre:
D Dupicate Aes
D Ae Screenng Aud�
D Aes by Fie Group
D Aes by o.mer
DLargeRle.
D least Recertly Acce
..ed Fies
J
3.30. ábra
A Starage Raparts Task Properties ablak
-fl Windows Server 2008
2. Ekkor a 3.30. ábrán látható Starage Reports Task Properties (tárolójelentések tulajdonsá
gai) párbeszédablak jelenik meg. Itt vegyük fel azokat a köteteket vagy mappákat
a Scope (hatókör) mezóbe, amelyekről jelentést szeretnénk kérni, és a Report data (ada
tok jelentése) keretben válasszuk ki a kívánt jelentéseket, illetve adjuk meg a jelenrésbe
belefoglalni kívánt adatokat. Ha egy jelentés paramétereit módosítani szeretnénk, jelöljük
ki a jelentés nevét, és kattintsunk az Edit Parameters gombra. Ha végeztünk a paraméte
rek szerkesztésével, kattintsunk az OK gombra.
3. A Starage Reports Task Properties ablakba visszakerülve adjuk meg, milyen fájlformátu
mokban szeretnénk menteni a jelentést.
4. A Delivery (kézbesítés) lapon kérhetjük, hogy a rendszergazdák az elkészülte után
e-mailben megkapják a jelentést. Ehhez jelöljük be az E-mail report to the follawing
adrninistrators jelölőnégyzetet, és írjuk be azoknak a személyeknek az e-mail címeit,
akiknek el szeretnénk küldetni a jelentést. Ha több fiókot adunk meg, azokat pontos
vesszővel kell elválasztanunk egymástól.
5. Ha készen vagyunk, kattintsunk az OK gombra, majd adjuk meg, hogy az elkészültük
után meg is szeretnénk-e nyitni a jelentéseket, vagy késóbb kívánjuk megtekinteni azokat.
3.31. ábra
Ütemezett jelentési feladat létrehozása
4. Adjuk meg, milyen időközönként szeretnénk jelentést kapni (naponta, hetente vagy
havonta lehet, illetve egyszeri jelentésre is lehetőség van).
3. fejezet • Fájlszolgáltatások 'i-
5. Az időköz lenyíló listája alatti lehetőségek aszerint változnak, hogy milyen időközt
választottunk. Ha szükséges, adjuk meg a további beállításokat.
6. A Start time (kezdő időpont) mezőben adjuk meg a jelentés előállításának időpontját.
7. Az ütemezés mentéséhez kattintsunk az OK gombra.
8. Mentsük a feladatot is az OK gombbal.
•
A Windows Server 2008 meg tudja különböztetni a köteteket, így ha bizonyos típusú
adatokat el szeretnénk különíteni egymástól, vagy egy lemezt kizárólag egy adott napi
munkára szeretnénk felhasznáJók egy csoportjának átengedni, a különböző kötetekre
más-más kvótát állíthatunk fel.
•
Lemezkvótát csatlakoztatott hálózati meghajtókhoz is rendelhetünk, amennyiben azokat
a fizikai köteteket, amelyekre a csatlakoztatott meghajtók mutatnak, a Windows 2000
Server vagy a Windows Server 2003 segítségével hoztuk létre, vagy a Windows NT 4.0-ról
frissítettük az említett újabb rendszerekre.
•
Egyes külső programoktól eltérően a Windows Server 2008 nem engedi meg az engedé
keny írást, ami azt jelenti, hogy a felhasználó akkor is folytathat egy műveletet- például
egy fájlmásolást -, ha közben túllépi a lemezkvótát. A Windows Server 2008 ezt nem
engedi meg, tehát a kvóta elérésekor megszakítja a műveletet.
A tetszetős szolgáltatásoknak persze mindig vannak gyenge pontjai is. Először is, a kvóták csak
az NTFS fájlrendszerű lemezeken támogatottak Ez nem túl meglepő, mivel a legtöbb progresszív
fájlrendszeri szolgáltatás nem áll rendelkezésre a FAT különböző változatain. Másodszor- és talán
ez a zavaróbb -, a felépítés korlátai miatt a lemez alapú (vagyis kötetszinten alkalmazott) kvóták
csak egyes felhasználókhoz rendelhetők. Ez elég nagy fejfájást okoz, mivel a legtöbb hálózati
operációs rendszer megengedi egy alapértelmezett kvóta felállítását a csoporttagság alapján. Így
minden szokványos felhasználónak lehetne mondjuk 500 MB helye, a kiemelt felhasználóknak és
a vezetőknek 1,5 GB, a rendszergazdák pedig belátásuk szerint használhatnának fel lemezterüle
tet, vagy a pénztárban dolgozóknak adhatnánk 250 MB-ot, az eladási osztálynak pedig -a tenger
nyi PowerPoint-bemutató miatt- fejenként l GB-ot. A Windows Server 2008 azonban alapálla
potban sajnos nem támogatja ezt lemezszinten- késóob azonban mutatunk egy múK:ödőképes,
bár nem problémamentes megoldást ennek a korlátnak a megkerülésére.
1. Nyissuk meg a Computer (Számitógép) ablakot, kattintsunk az egér jobb gombjával arra
a lemezmeghajtóra, amelyiken engedélyezni szeretnénk a kvóták támogatását, és válasszuk
a Properties menüpontot.
-41 Windows Server 2008
2. Váltsunk a Quota lapra.
3. Jelöljük be az Enable quota management jelölőnégyzetet, ha nem lenne bejelölve.
Ha a jel hiányzik a négyzetből, a kvóták nem támogatottak, ezért ha folytatni szeretnénk,
be kell jelölnünk ezt a lehetőséget.
4. Igényeink szerint válasszunk ki egyet vagy többet a rendelkezésre álló lehetőségek közül:
Deny disk space to users exceeding quota limit Cl emezterület megtagadása a kvótát
túllépő felhasználóktól)
Ha bejelöljük ezt a jelölőnégyzetet, akkor a felhasználók a számukra beállított
lemezhasználati korlátot elérve nem elég a lemezterület" hibaüzenetet kapnak
"
a Windowstól, így nem írhatnak a lemezre több adatot, amíg meg nem változtatnak
vagy nem törölnek egyes fájlokat, hogy felszabadítsanak némi helyet. Az egyes
alkalmazások számára, amelyek különbözőképpen kezelik ezt a helyzetet, úgy fog
tűnni, mintha a kötet betelt volna. Ha a lehetőséget nem jelöljük be, a felhasználók
túlléphetik a rájuk vonatkozó lemezkvótát, arninek a segítségével hatékonyan és
egyszerűen nyomon követhetjük az egyes felhasználók lemezhasználatát, anélkül,
hogy korlátoznánk a tárterület használatát
Limit disk space to (lemezterület korlátozása a megadott méretre)
Itt megadhatjuk, hogy az újonnan létrehozott felhasználók mekkora részét
használhatják fel a lemeznek, illetve hogy mennyi területet foglalhatnak el, mielőtt
figyelmeztetés kerülne az eseménynaplóba (ez a ,:enyhe korlát" vagy figyelmez
tetési szint). A beállítások finomhangolásához tizedes értékeket és különböző
mértékegységeket használhatunk.
Log event when a user exteeds his quota limit (esemény naplózása, ha egy felhasználó
túllépi a számára felállított kvótát)
Ha a kvótákat engedélyezzük, a rendszer óránként rögzíti a lemezműveleti esemé
nyeket a rendszer eseménynaplójába, ha egy felhasználó eléri a szigorú korlátot",
"
vagyis a hivatalos kvótát.
Log event when a user exceeds her warning level (esemény naplózása, ha egy felhasz
náló túllépi a számára beállított figyelmeztetési szintet)
Ha a kvótákat engedélyezzük, a rendszer óránként rögzíti a lemezműveleti esemé
nyeket a rendszer eseménynaplójába, ha egy felhasználó eléri az "enyhe korlátot",
vagyis a figyelmeztetési szintet.
Ez után válasszuk ki azt a felhasználót, akihez új lemezkvótát szeretnénk rendelni, majd állítsuk
be a felhasználó lemezterületére vonatkozó megszorításokat.
3.
3.32. ábra
Új lemezkvóta-bejegyzés megadása
MM®Qn%{9 Mi történik, ha egy közösen használt hálózati mappát- mondjuk a Contracts {Szerző-
dések) nevűt- két különböző felhasználó is módosítja, miközben nem kapcsolódnak
a hálózatra? Ebben az esetben az dönt, hogy ki csatlakozik újra először. Ha az A" felhasználó, akkor
"
a hálózaton található fájlokat a rendszer az ő fájljaival hangolja össze, és az általa módosított változatok
lesznek elérhetők a hálózati köteten. Amikor a " B " felhasználó is megpróbálja az összehangolást,
a Windows megkérdezi, hogy meg kívánja-e tartani az aktuális változatot (azt, amelyiket az "A" felhasz
náló módosította), vagy felül akarja írni azt a saját módosításaival.
Bármelyik módszert válasszuk is, ugyanazok a kapcsolat nélküli beállítások állnak a rendelke
zésünkre:
Észben kell tartanunk azt is, hogy a kapcsolat nélküli fájlok és mappák hamis biztonságérzetbe
ringatják a felhasználót. Ha úgy megyünk ki a repülőtérre, hogy a hordozható gépünket nem
csatlakoztattuk a hálózatra közvetlenül indulás előtt, az utolsó csatlakozás óta módosított fájlok
ból nyilvánvalóan nem a legfrissebb változattal fogunk rendelkezni, és azok a fájlok is hiányoz
hatnak a gépünkről, amelyek azóta kerültek a mappába. Egyszerű alapszabályként tartsuk ma
gunkat ahhoz, hogy közvetlenül az iroda elhagyása előtt mindig csatlakoztassuk a laptopunkat
a hálózathoz, majd válasszuk le, és indítsuk újra a gépet. Így még egy utolsó összehangolást
végezhetünk, és arról is meggyőződhetünk, hogy a segédprogram megfelelően működik-e.
Ez a megoldás még mindig jobb annál, mintha úgy érkeznénk meg egy konferenciára, hogy
nincsenek nálunk az előadásunk legnagyobb részét kitevő PowerPoint-diák. (Nem mintha
lennének saját tapasztalataim ezzel kapcsolatban...)
3.33. ábra
OK
A tulajdonságablak Previous Versions lapja
Ha vissza szeretné állítani egy fájl korábbi változatát, a felhasználónak csak annyit kell tennie,
hogy kiválasztja a kívánt változatot, és vagy egy másik helyre másolja azt a Copy gombbal, vagy
a Restore gombbal visszaállítja arra a helyre, ahol a pillanatfelvétel készítésekor eredetileg volt.
(Ezzel viszont felül fogja írni az újabb változatot, mert a program feltételezi, hogy ha a felhasz
náló a korábbi változat visszaállítását választotta, az újra nincs szüksége.) Megjegyzendő, hogy
ha végrehajtható fájlról van szó, annak megtekintésével egyben futtatjuk is a fájlt.
A kavarodás elkerülése érdekében amikor a felhasználó egy megosztott mappa Previous Versions
(Előző verziók) hivatkozására kattint a mappa intézőnézetében, csak az egyedi másolatok listáját
fogja látni, vagyis azokét a változatokét, amelyek különböznek egymástól (és így feltételezhető,
3.
hogy a fájl vagy mappa módosult). Ezen kívül a korábbi változatok csak olvashatók: a felhasz
nálók lemásolhatják vagy az egérrel áthúzva új helyre ejthetik őket, illetve mindenféle műveletet
végezhetnek rajtuk- kivéve a felülírást és a törlést.
Mindazonáltal három lényeges dologgal tisztában kell lennünk azzal kapcsolatban, hogy
a korábbi változatok mikor (és főleg mikor nem) képesek megmenteni minket vagy a felhasz
nálóinkat a katasztrófától:
•
Egy fájlnak csak azt az árnyékmásolatát tudjuk visszaállítani, amelyikről a legutóbbi pilla
natfelvétel készült. Ha a fájlt a nap folyamán többször is módosítjuk, akkor is csak abba
az állapotba állíthatjuk vissza, amelyben közvetlenül a legutóbbi pillanatfelvétel elkészülte
után volt, ezért létfontosságú, hogy a felhasználók ne mankóként támaszkodjanak a ko
rábbi fájlváltozatokra, hanem tanulják meg csak akkor igénybe venni ezt a szolgáltatást, ha
valóban nagy a baj.
• Ha egy fájlt átnevezünk, a fájl egyetlen korábbi változatához sem férhetünk hozzá, még
ha készültek is róla árnyékmásolatok A VSS kizárólag a fájlnév és az állapot alapján talál
ja meg a korábbi változatokat, ezért ha a fájlnév megváltozik, a VSS (legalábbis jelenleg)
nem képes arra, hogy azonosítsa az állományt.
Windows Server 2008
1. Nyissuk meg a Computer ablakot, és kattintsunk az egér jobb gombjával arra a kötetre,
amelyikre be szeretnénk állítani az árnyékmásolatok ütemezését.
2. Váltsunk a Shadow Copies (árnyékmásolatok) lapra.
3. Válasszuk ki azt a lemezt, amelynek az árnyékmásolat-készítési beállításait módosítani
szeretnénk, és kattintsunk a Settings gombra.
4. A megjelenő ablakban kattintsunk a Schedule gombra.
5. Módosítsuk az ütemezést az igényeink szerint.
Az elosztott fájlrendszer
Az elosztott fájlrendszer (Distributed File System, DFS) olyan megoldás, amely lehetővé teszi,
hogy több különböző, akár különböző kiszolgálókan található fájlrendszert csatlakoztassunk egy
helyről, és azok egyetlen logikai egységnek látszádjanak Az egyes megosztott mappák, amelyek
valószínűleg különböző kiszolgálógépek más-más lemezmeghajtóin találhatók, egyetlen mappá
ból érhetők el: ezt a mappát hívják névtémek. A megosztott mappákra mappahivatkozások
mutatnak, és ezekből áll össze egyfajta könyvtárfa, amelynek a szerkezete az igényeknek megfe
lelően módosítható. Az elosztott fájlrendszer azt is megengedi az ügyfeleknek, hogy csak
a megosztási pont nevét tudják, vagyis annak a kiszolgálónak a nevét nem, amelyen a megosztá
si pont található, ami igen előnyös, mert így nem kell olyan kérdéseket feltenni, hogy "Melyik
kiszolgálón található az utolsó költségvetési javaslat?".
A DFS-névtereknek két fajtája van: önálló névterek, amelyek helyben tárolják a mappaszerkezet
re vonatkozó információkat, és tartomány alapú névterek, amelyek a mappaszerkezetet
az Active Diretory-ban tárolják, és az információkat többszörözéssei (replikációval) másolják
a többi tartományvezérlőre. Ez utóbbi esetben, ha több névterünk van, ugyanazokhoz az adatok
hoz egyszerre több kapcsolaton keresztül is hozzáférhetnek, csak éppen azok más-más megosz
tott mappákban jelennek meg. Azt is megtehetjük, hogy két fizikailag elkülönülő kiszolgálón
két különböző megosztási pontot állítunk fel ugyanazoknak az adatoknak a számára, mert a DFS
elég intelligens ahhoz, hogy ki tudja választani a kérelmet kiadó ügyfélhez helyileg legközelebb
eső mappaszerkezetet, ami csökkenti a hálózati forgaimat és az adatcsomagok utazási idejét.
3.
DFS-névterek
Ezek teszik lehetővé, hogy a különböző kiszolgálókan tárolt megosztott mappákat cso
portosítsuk, és egyetlen egységes fában tárjuk a felhasználók elé, így a fájlok és mappák
tényleges helye a számukra lényegtelenné válik.
DPS-többszöröző
A többszöröző motor támogatja az ütemezést, a sávszélesség-szabályozást és a tömörítést
is. A motor a Remote Differential Compression (RDC, távoli differenciális tömörítés) nevű
algoritmust használja, amely egy korlátozott sávszélességű hálózatban is hatékonyan
frissíti a fájlokat, mert megvizsgálja, hogy milyen adatokat szúrtak be, távolítottak el,
illetve rendeztek át a fájlokban, és csak a megváltozott fájlblokkokat többszörözi, ami
jelentős megtakarírást eredményez.
NewYork-i NewYork-i
felhasználó kiszolgáló
.._
....,
.
DFS-többszörözés
_o
-- gr
�
-
Névtér
3.34. ábra
e A DFS-adatforgalom
-·
a Windows Server
Londoni felhasználó Londoni kiszolgáló 2008-ban
-:fl Windows Server 2008
Nézzük végig a folyamatot! Amikor egy végfelhasználó meg szeretne nyitni egy mappát, amely
egy DFS-névtéren belül található, az ügyfélgép üzenetet küld a névtérkiszolgálónak (amely egy
szerűen a DFS-nek a Windows Server 2008-ban vagy a Windows Server 2003 R2-ben található
változatát futtató számítógép). A kiszolgáló ekkor átadja az ügyfélnek azoknak a kiszolgálóknak
a listáját, amelyek másolatot tárolnak a kért megosztott mappákról (ezeket a másolatokat hívjuk
mappahivatkozásoknak). Az ügyfélgép a hivatkozási lista másolatát a gyorstárába helyezi, majd
sorban végighalad a listán, amelyben a kiszolgálók automatikusan közelségi sorrendbe rende
ződnek, hogy az ügyfél először mindig a saját Active Directory-jában található kiszolgálókkal
próbálkozzon, és csak ezt követően járja be a hálózatán kívül található számítógépeket
De ássunk kicsit mélyebbre, hogy jobban lássuk, hol kap szerepet a DFS-többszörözés. A legegy
szerubb forgatókönyv, ha egy mappát például egy New York-i, illetve egy londoni kiszolgálón tá
rolunk, és többszörözéssei tartjuk a mappa másolatait összhangban. A felhasználók természetesen
nem is sejtik, hogy a mappák földrajzilag egymástól távol eső helyeken találhatók, mert a többszö
röző hihetetlenül hatékony: meghatározza, rni változott meg a fájlokban, és a távoli differenciális
tömörítés segítségével csak a különbséget küldi el a hálózaton keresztül. Lassú vagy korlátozott
sávszélességű kapcsolat esetén ez jelentősen csökkenti a költségeket Az előnyöket leginkább ak
kor érzékeljük, ha nagy fájlokon hajtunk végre viszonylag kis változtatásokat. A Microsoft szerint
egy 2 MB-os PowerPoint-bemutató módosítása csupán 60 KB-nyi adat elküldését jelenti, ami
az adatforgalomban 97,7% megtakarítással egyenlő. Ha tovább olvassuk a Microsoft leírását, erre
a magyarázatra bukkanhatunk a termék csapatátóL "A teszt során 780 kölönböző (.doc, .ppt és
.xls) Office-fájlt többszöröztünk a forráskiszolgálóról a célkiszolgálóra a DFS-többszöröző és
az RDC algoritmus segítségéveL A célkiszolgáló a fájlok n változatát, a forráskiszolgáló pedig
az n+ változatát tartalmazta, a kettő között pedig jelentős eltérések voltak. A megtakarítás az átvitt
bájtokat tekintve átlagosan 50 százalék volt, de a nagyobb fájlok esetében ennél lényegesen jobb
eredmény mutatkozott."
Bár a Windows Server 2008 DFS-összetevői két különálló technológiát képviselnek, együttesen
használva valós üzleti problémákat oldanak meg. Vegyük például a fiókirodák biztonsági menté
seit: ahelyett, hogy az egyes irodák rendszergazdáit bíznánk meg a szalagos meghajtók karbantar
tásával, a biztonsági másolatok elkészítésével, az adatok hálózaton kívüli tárolásával és minden
mással, ami a katasztrófák elhárításával kapcsolatos, egyszerűen beállítjuk a DFS-t, hogy többszö
rözze a fiókiroda kiszolgálóill tárolt adatokat egy adatközpontban található központi kiszolgálóra,
majd a biztonsági mentést onnan végezzük el. Ez három szempontból is előnyös:
•
Megspóroljuk a szalagos meghajtók árát.
•
A DFS-többszörözés hatékonyságának köszönhetően időt takarítunk meg.
•
Kevésbé terheljük a fiókirodák informatikai dolgozóit, rnivel nem azzal kell tölteniük az ide
jüket, hogy felügyelik a biztonsági mentést, hanem más problémákkal foglalkozhatnak
3. fejezet • Fájlszolgáltatások l:f-
És mi a helyzet a prograrnak elosztásával? A DFS nem csak a dokumentumok közzétételekor
teljesít kiválóan, hanem akkor, is, ha alkalmazásokat és más fájlokat szeretnénk elérhetővé tenni
a földrajzilag más-más helyen dolgozó felhasználók számára. A névterek és a többszörözés
együttes használata révén adatok és prograrnak több példányát tárolhatjuk szerte a világon, és
biztosíthatjuk azok zökkenőmentes elérését és gyors átvitelét, miközben a felhasználók számára
láthatatlan marad, hogy honnan kapják a fájlokat A DFS-többszörözés és a névterek az Active
Directory-szerkezet vizsgálatával automatikusan gondoskodnak róla, hogy a legalacsonyabb
költségű kapcsolatot használjuk, ha egy helyi névtérkiszolgáló éppen nem tud válaszolni
a kérelmekre.
Névtér létrehozása
A Server Manager bal oldali ablaktáblájában, a File Services szerepkör Namespaces csomópontja
alatt találhatjuk meg az általunk létrehozott névtereket, illetve azokat a már létező névtereket,
amelyeket felvettünk a konzolra. A fában minden névtér alatt mappák hierarchikus rendszerét
láthatjuk. A hivatkozással rendelkező mappákat egy különleges ikon különbözteti meg
a szokványos mappáktóL Ezt a felületet fogjuk most használni, hogy létrehozzunk egy új névteret,
mappákat és mappahivatkozásokat adjunk hozzá, majd a szolgáltatást szemléltetendő többszörö
zést állítsunk be két számítógép között.
• Legalább két olyan kiszolgálóra van szükség, amelyeken a Windows Server 2008 vagy
a Windows Server 2003 R2 fut, valarnint a DFS rendszert is telepítenünk kell, amit a feje
zet korábbi részében bemutatott Add Roles Wizard segítségével tehetünk meg.
• Ha a mappaszerkezetet az Active Directory-ba szeretnénk ágyazni, az Active Directory-t
telepítenünk kell a hálózatra. A gyakorlatban azt feltételezzük, hogy még nem telepítettük
az Active Directory-t, ezért a DFS-nek azokra a szolgáltatásaira összpontosítunk, amelyek
nem kapcsolódnak az AD-hez.
Namespoce Senoer
3.35. ábra
A Namespace Server
képernyő
Gl §.
� �· - Nomesp8Ce Name and Set1ings
�Type
Re\ie'..,. 5ettJ1gs and Create
...,....."
Comrmáion
f!"'eCflMry,thewÍVJrdv.oJCR!atea Wredfo&d..-onfile�oe��e�Ver. To
modfythe$eilrg:
. tdthe�folder.suci'la$Ubc.!ipalh/Kidpe!'!l�ÍSSG\s cb:
""" -
3.36. ábra
A Namespace Name and
Settings képernyő
Corlirmation
Att"""���&l$éQI1!:Óonas.nglen�oeserver.Yoocanncte!i!setM
alttlllabftydast��by�tonafaloV«dlster
3.37. ábra
A Namespace Type
képernyő
3. tejezet • Fájlszolgáltatások l:f-
'ii;UewHamespa�Waard - 4AM � �
_
Narnespac:eT�
Name!pace
flo- s.<tlnoo andúeale Nsrlesp�tcenmne: \\sc:::i:Jne!techmeóacorpJocai\Payrol
� t�acetype: Dornain (lflndows Server 2008mode}
t�seN«":wd:Sest
eomm..oo Roct �fotder: A hred fc»der wi be cre«ed l ono doet not e:mt.
local path cl M� sh�folder:C:\DFSRoru\P4)'!tll
PernusD'ls for namespace sha"ed !older. Eve!yone m&d oriy
3.38. ábra
A Review Settings and
Create Namespace
képernyő
4. A Review Settings and Create Namespace képernyőn, amelyet a 3.38. ábra mutat,
ellenőrizzük a választott beállításokat, majd lépjünk tovább.
5. Utolsóként a Compietion képernyő jelenik meg. Miután meggyőződtünk róla, hogy
a létrehozás folyamata során nem történtek hibák, zárjuk be a varázslót.
Ha egy adott mappát át szeretnénk helyezni vagy el szeretnénk távolítani, egyszerűen kattint
sunk az egér jobb gombjával a mappa nevére a konzol bal oldali ablaktáblájában, válasszuk
a Move or Rename parancsot, és hajtsuk végre a kívánt műveletet. A többiről a DFS szaigáitatás
gondoskodik; az áthelyezés különösen gördülékenyen végrehajtható.
Mappahivatkozás hozzáadásához kattintsunk az Add gombra, amely az Add Folder Target abla
kot nyitja meg. Itt írjuk be a hivatkozott hely elérési útját, és ha készen vagyunk, kattintsunk
az OK gombra.
-:ll Windows Server 2008
Egy mappához több mappahivatkozást is adhatunk, amivel javíthatjuk a hibatűrést. Így ha
a felhasználót a rendszer egy olyan számítógéphez irányítja, amely éppen nem működik,
az ügyfélgép a névtérkiszolgálótól kapott hivatkozási listából kipróbálhatja a következő olyan
kiszolgálót, amelyen megtalálható a hivatkozott mappa másolata. A hivatkozás módját az adott
hely hálózatán belülre és kívülre is beállíthatjuk, ha az egér jobb gombjával a névtér nevére
kattintunk a konzol bal oldali ablaktáblájában, és a Properties menüpontot választjuk,
a Referrals lapra váltunk, majd az Ordering Method mezóből kiválasztjuk a megfelelő beállítást.
Választhatjuk a "legalacsonyabb költs�g" módszerét, amely a helyeket és a hivatkozásokat
az Active Directory beállításai szerint veszi figyelembe, dönthetünk a véletlen rendezés mellett,
amely pontosan azt csinálja, mint amit a neve sugall, de az ügyfél hálózatán kívül eső célgépe
ket is kizárhatjuk, így az ügyfelek a külső célpontokat nem érhetik el.
Néha előfordul, hogy egy olyan tartományban található megosztott mappához kell csatlakoznunk,
amelyben a saját tartományunk nem bízik meg. Ha az adott tartományban rendelkezünk fiókkal,
a segítségével csatlakozhatunk, mégpedig így:
net use H:
\\idegen_gép\megosztási_név
/user:idegen_tartomány\felhasználónév
net use * /d
net use H:
\\152.1.171.133\c$
/persistent:no
FSUTIL
Ha a parancssorból szeretnénk beállítani az alapértelmezett kvótákat, illetve módosítani akarjuk
azokat, írjuk be a következő parancsot a készenléti jel után:
A szögletes zárójelben levő szövegek helyére a megfelelő információt kell írnunk, amelyhez
az alábbi felsorolás ad segítséget:
KötetVagyMeghajtó
Annak a lemeznek a meghajtó-betűjele vagy kötetneve, amelynek a kvótabeállítását
módosítani szeretnénk. A kötetneveket nem egyszerű megadni, mert ehhez a globálisan
egyedi azonosítót (GUID, globally unique identifier) kell használnunk, ami általában egy
látszólag véletlenszerű számokból álló hosszú karakterlánc
figyelmeztetési_szint
A:z a szabad lemezterület-mennyiség, amelynél figyelmeztetés kerül a rendszer
eseménynaplójába.
szigorú_kvóta
A szabad helynek az a mennyisége, amelynél a felhasználó eléri a számára engedélyezett
lemezterület nagyságát.
felhasználónév
A felhasználó, akire az adott kvótabeállítás vonatkozik.
Lisa Johnson (felhasználóazonosítója: lmjohnson) számára így állíthatunk be 250 MB-os kvótát
a C: meghajtón:
Így soroltathatunk fel minden olyan felhasználót, aki túllépte a kvótát a kiszolgáló bármely
kötetén:
net share
megosztott_mappa_neve
/CACHE: [manual l documents l programs l none]
VSSADMIN
Az árnyékmásolatok kezelésére szolgáló grafikus felület kissé bonyolult, mégsem ad lehetősé
get rá, hogy megadjuk, hogy az árnyékmásolatok melyik lemezen vagy köteten tárolódjanak
Ezenkívül a rendszergazda konkrét árnyékmásolat-fájlokat nem törölhet a grafikus felületen
keresztül, pedig erre szükség lehet, ha az egyik felhasználó hibás változatot hoz létre egy fájl
. ból, majd hazamegy, másnap pedig a munkatársának szüksége lenne a fájlra. Ilyenkor a rend-
szergazdának minél hamarabb törölnie kell a hibás változatot, hogy az új felhasználó véletlenül
ne azzal kezdjen dolgozni.
A fenti parancs azt adja meg (ezt hívják társításnak), hogy a C: meghajtó árnyékmásolatait a D:
meghajtón kell tárolni. Ha nem adunk meg maximális értéket, az árnyékmásolatok bármekkora
területet elfoglalhatnak Az árnyékmásolatokhoz legalább 100MB szabad terület szükséges,
a maximumot pedig kilobájtban (KB), megabájtban (MB), gigabájtban (GB), terabájtban (TB),
petabájtban (PB) és exabájtban (EB) is megadhatjuk Ha a mértékegységet nem adjuk meg,
a program az értéket bájtban értelmezi.
Zárszó
Ebben a fejezetben a Windows Server 2008 rninden fájlkezelési, nyomtatási és felhasználókezelési
szolgáltatásáról szót ejtettünk. A megosztott mappák létrehozásának, megosztásának és az Active
Directory-ban való közzétételének, illetve a lemezmeghajtók csatlakoztatásának az áttekintésével
kezdtük, majd részletesen ismertettük a Windows engedélyeinek rendszerét, beleértve az enge
délyszinteket, a "különleges" engedélyeket, valarnint a engedélyek öröklését és tulajdonjogát.
Ezt követően összefoglaltuk a tudnivalókat az elosztott fájlrendszerről, illetve annak beállításáról
és kezeléséről, és bemutattuk, hogyan működnek a kapcsolat nélküli fájlok és mappák. Végül
a fejezetet azzal tettük teljessé, hogy megmutattuk, hogyan állíthatjuk be az említett szolgáltatások
többségét a parancssorbóL
A következő fejezetben a Windows Server 2008 Actíve Directory szolgáltatásának alapjait ismer
tetjük: a tartománynévrendszert, más néven a DNS-t.
A tartománynévrendszer
Ebben a fejezetben a DNS alapjait - a felépítését, illetve az általa támogatott és megkövetelt kü
lönféle adattípusokat - tárgyaljuk, majd telepítünk és beállítunk egy Windows DNS kiszolgálót,
és megmutatjuk, hogyan bírhatjuk együttműködésre az Active Directory-val.
Építőkockák
Nézzük végig a DNS alapvető épító'kockáit, mielőtt a bonyolultabb eljárásokkal foglalkoznánk!
Először rövid bevezetést nyújtunk a DNS működésébe, majd a rendszer minden részét megvizs
gáljuk közelebbről is, részletes magyarázatokkal és példákkal. Az összefoglalást tekintsük úgy,
mintha egyeztetnénk, hogy mi az, amit tudnunk kell, mielőtt a technikai részletekbe merülnénk.
Politikai szinten létezik egy szervezet, amelyet ICANN-nek (Internet Consortium of Assigned
Names and Numbers) hívnak, és a legfelső szintű tartományokat felügyeli. Ők vigyáznak arra,
hogy ne legyen teljes a kavarodás, ha több ezernyi felső szintű tartományt határoznának meg.
A magánszemélyek és az üzleti felhasználók másodszintű tartományneveket (például
hasselltech.net) jegyeztethetnek be a legfelső szintű tartományok alatt.
A DNS a neveket zónák alapján oldja fel. A zónák tárolják a számítógépek, szolgáltatások és
IP címek adatait számítógépek egy adott csoportjára vonatkozóan. A zónák általában DNS-tarto
mányoknak felelnek meg, de ennek nem feltétlenül kell így lennie. Egy zónában az a DNS ki
szolgáló vagy azok a DNS kiszolgálók számítanak irányadónak, amelyek a zónafájl (ez a fájl
tartalmazza az összes információt a számítógépekről, szolgáltatásokról és címekről) olvasható és
írható másolatát tárolják. Ahhoz, hogy a DNS működjön, zónánként legalább egy irányadó
kiszolgálóval kell rendelkeznünk A zónán belül minden más DNS-kiszolgáló másodiagos
kiszolgálónak számít, ami azt jelenti, hogy ezek a kiszolgálók a DNS-zónafájlból csak olvasható
példányt tárolnak
A zónáknak két típusa van: az előre haladó keresési zónák, amelyek a számítógépneveket
IP címekké oldják fel, valamint a fordított keresési zónák, amelyek ennek az ellenkezőjét teszik,
és az IP címeket alakítják át számítógépnevekké. A fordított keresési zónák egy különleges
legfelső szintű tartomány alá tartoznak, amelynek a neve in-addr.arpa, és amelyet a hétköznapi
felhasznáJók és ügyfelek soha nem látnak a mindennapi munka során.
De mi szükségünk lehet több DNS-zónára egyetlen DNS-tartományon belül? Nos, erre gyakran
azért van szükség, hogy átruházhassuk a felügyeleti feladatokat. Ha a cégünk hálózata az egész
országra kiterjed, és minden fiókirodában dolgozik egy-egy rendszergazda, valószínűleg a helyi
rendszergazdák a legalkalmasabbak arra, hogy a saját irodájuk DNS-beállításait kezeljék, hiszen
ők dolgoznak az irodai számítógépekkel, nem pedig a központ rendszergazdája. Ezért a központ
4. fejezet • A tartománynévrendszer Itillllill
névkiszolgálóját úgy állítják be, hogy a kiszolgálóknak és a központi iroda számítógépeinek
a neveit és címeit tárolja, míg a helyi irodák számítógépeinek zónáját a fiókirodák névkiszolgálói
szalgálják ki. Ebben a felépítésben, ha egy számítógép egy fiókirodához kapcsolódó IP címhez
kér egy nevet a kiszolgálójától, a központi iroda névkiszolgálója a kérelmező állomást annak
a fiókirodának a névkiszolgálójához irányítja, amelyik az adott zóna neveit és címeit tárolja: ezt
a folyamatot hívják a névfeloldás más kiszolgálókra való átruházásának. Ezenkívül a fiókiroda
kiszolgálója az adott zóna irányadó kiszolgálója, ami azt jelenti, hogy ez a kiszolgáló tárolja
a zónában található számítógépek érvényes név-cím megfeleltetéseit
A tartományok természetesen nem korlátozódnak csupán egy másodszintű névre meg egy
ICANN-megfelelő kiterjesztésre. A neveknek több szintje is lehet: a customers.extranet.
microsoft.com például érvényes név, akárcsak a payjon.corp.hasselltech.net. Ahogy előre hala
dunk a fejezetben, látni fogunk olyan helyzeteket, amikor egy hosszabb, bővebb tartománynév
·
a megfelelő.
Zónafájlok
A zónainformációk zónafájlokban tárolódnak, amelyek alapértelmezés szerint szöveges ASCII
fájlok a %SystemRoot%\system32\dns könyvtárban. A zónafájlok neve a <tartomány>.dns formát
követi (például hasselltech.net.dns) Ezek az ASCII fájlok tárolják az előre haladó és fordított
keresési zónákban található különböző típusú információkat (a két zónafajtáról hamarosan szót
ejtünk).
A fordított keresési zónák attól függően némileg másképp épülnek fel, hogy A, B vagy C osztá
lyú IP címmel rendelkezünk. A fordított keresési zónák nevét az egyes címosztályoknak megfe
lelően előállító módszereket a 4.1. táblázat mutatja.
-·!1 Windows Server 2008
4.1. táblázat A fordított keresési zónák nevének előállítása
Valójában kevés dolog teszi indokolttá, hogy magunk felügyeljük a saját fordított keresési
zónánkat. Először is -és ez a legfontosabb -, egyes levélkiszolgálók nem hajlandóak
az Interneten keresztül leveleket váltani a kiszolgálóinkkal, ha a fordított keresés azt fedi fel, hogy
az internetszolgáltatókra jellemző dinamikusarr kiosztott IP címeket használnak. Ez valóban gon
dot jelenthet, de az internetszolgáltatónk többnyire segíthet a kérdés megoldásában. Másodszor,
attól függően, hogy miként kapcsolódunk az Internethez, az nslookup parancs csúnya (bár ártal
matlan) hibaüzenetet adhat, miszerint nem talál a jelenlegi IP címünkhöz tartozó kiszolgálónevet
Bár ez az üzenet idegesítő, valójában csak annyit mond, hogy az adott számítógéphez nincs
beállítva megfelelő fordított keresési zóna. Ezért ha az Active Directory telepítése után kiadjuk
az nslookup parancsot, hogy ellenőrizzük, hogy minden rendben van-e, és eredmény helyett
ezt kapjuk, annak valószínűleg az az oka, hogy még nem állítottunk be fordított keresési zónát.
Erőforrás-bejegyzések
A DNS-zónák különféle bejegyzéseket (rekordokat) tartalmaznak, amelyeket erőforrás-bejegyzé
seknek (erőforrásrekordoknak) hívnak. Az erőforrás-bejegyzések jelentik a DNS-zónák lelkét:
információt adnak a számítógépnevekről, az IP címekről, és egyes esetekben az egyes számító
gépek által kínált szolgáltatásokról is. A bejegyzéseknek különböző osztályai léteznek, amelyek
közül a legfontosabbakat most részletesebben is megnézzük.
4. fejezet • A tartománynévrendszer li-
Állomás-bejegyzések (,.A" bejegyzések)
Az állomás-bejegyzések vagy más néven "A" bejegyzések (host record, A record) egyszerűen
egy állomásnevet párosítanak egy IP címmel. Általában a hálózatunk minden számítógépéhez
létrehozunk egy-egy állomás-bejegyzést.
colossus A 192.168.0.10
HKEY_LOCAL_MACH/NE\SYSTEM\CurrentContro!Set\Services\Dnscache\Parameters
Kanonikusnév-bejegyzések (C NAME-bejegyzések)
A CNAME- vagy kanonikusnév-bejegyzések révén egyetlen IP címhez több állomásnevet
rendelhetünk, tehát egy adott IP címen levő számítógépre különböző számítógépneveken hivat
kozhatunk A www.hasselltech.net, Jtp.hasselltech.net és mail.hasselltech.net így rnind elérhető
lehet egyetlen IP címen, a 192.168.1.2-n. A CNAME-bejegyzések tehát lényegében álnevekként
működnek.
Mindazonáltal ezeknek a bejegyzéseknek van egy hátrányuk: több azonos kanonikus név nem
lehet, tehát ha van egy bejegyzésünk a www-secure.hasselltech.net-hez a 192.168.1.2 címmel,
nem lehet egy másik CNAME-bejegyzésünk www-secure.hasselltech.net névvel, de másik
IP címmel. A CNAME-bejegyzések csak több név egyetlen IP címhez rendelését, nem pedig
több IP cím egyetlen névhez társítását teszik lehetővé. Ezenkívül megjegyzendő, hogy ezek
a nevek zónafüggőek, nem pedig kiszolgálófüggőek.
Levélkiszolgáló-bejegyzések ( MX-bejegyzések)
A levélkiszolgáló-bejegyzések (Maii exchanger, röviden MX-bejegyzések) egy adott zóna vagy
tartomány levélkiszolgálóját vagy levélkiszolgálóit azonosítják, és egyszerűen arra utasítják
a csatlakozó számítógépeket, hogy az adott tartományba tartó összes levelet egy adott számító
gépnek küldjék el, amelyet kijelöltek az internetes levelezés lebonyolítására.
A gyakorlatban egy DNS-zónához több MX-bejegyzés tartozhat, amelyek rnindegyike egy el
sőbbségi számot kap, ami jelzi, hogy a levelet küldő gépnek milyen sorrendben kell próbálkoz
nia az internetes levélkiszolgálókkaL Minél alacsonyabb ez a szám, annál előrébb kerül az adott
kiszolgáló a listában. Tegyük fel például, hogy a következő MX-bejegyzésekkel rendelkezünk:
@ MX 10 mai1.hasse11tech.net
@ MX 100 queue.perigee.net
Névkiszolgáló-bejegyzések ( NS-bejegyzések)
A névkiszolgáló-bejegyzések (nameserver, röviden NS-bejegyzések) azokat a névkiszolgálókat ha
tározzák meg, amelyek egy adott tartomány kérelmeire válaszolnak, valamint más zónákra ruház
zák át a különböző altartományok névfeloldási feladatait. Beállíthatunk például egy NS-bejegyzést
a "sales" altartomány számára úgy, hogy a névfeloldási feladatokat az adott zónát kezelő
salesns.hasselltech.net számítógépnek adja át, vagy egy másik NS-bejegyzést a billing"
"
altartomány számára, amely a feladatokat a billing-dns.hasselltech.net számítógépre ruházza át.
@ NS co1ossus.hasse11tech.net.
@ NS ns2.hasse11tech.net.
Elsődlegesirányadó-bejegyzések (SOA-bejegyzések)
Egy zóna elsődlegesirányadó-bejegyzése (start of authority, röviden SOA-bejegyzése) azokat
az elsődleges névkiszolgálókat határozza meg, amelyek az adott zónában irányadóak, illetve
megadja a zóna elsődleges rendszergazdájának elérési adatait. Ezen kívül azt is szabályozza,
hogy egy nem irányadó névkiszolgáló rnilyen hosszú ideig tarthatja meg a kinyert információt
a saját gyorstárában, mielőtt ismét ellenőriztetnie kellene az adatokat az irányadó kiszolgálóvaL
Frissítési időköz
A frissítési időköz azt adja meg a másodiagos névkiszolgálóknak, hogy mennyi ideig
tarthatnak másolatot az elsődleges névkiszolgáló zónáiról, mielőtt a zóna frissítését kell
kérniük.
Újr a próbálkozási időköz
Az újrapróbálkozási időköz azt adja meg, hogy a másodiagos névkiszolgálónak mennyi
ideig kell várnia, mielőtt újra megkísérelhet kapcsolatba lépni az elsődleges névkiszol
gálóval, ha a zónák frissítése a frissítési időköz letelte után nem sikerült
-Ulti Windows Server 2008
Minimális (alapértelmezett) élettartam
Ez az érték azt jelzi a többi névkiszolgálónak, hogy mennyi ideig használhatják a korábban
az irányadó névkiszolgálótól megszerzett információkat, rnielőtt ismét hozzá kellene fordul
niuk frissebb adatokért. Az alapértelmezés 60 perc. Tn-értéket (time to live, élettartam)
az egyes bejegyzésekhez külön is megadhatunk, amely felülbírálja a zóna alapértelmezett
rninimumbeállítását.
Mutatóbejegyzések ( PTR-bejegyzések)
A mutatóbejegyzések (pointer, PTR) hasonlóan működnek, rnint az ,,A" bejegyzések, csak éppen
fordítva: állomásneveket rendelnek IP címekhez a fordított keresési zónákban.
Szolgáltatás-bejegyzések (SAV-bejegyzések)
A szolgáltatás-bejegyzések (service, SRV) egy adott zóna vagy tartomány szolgáltatásainak körét
és elérhetőségét jelzik. Összegyűjtik a zóna adott kapuin keresztül hozzáférhető protokollokat
és szolgáltatásokat, egyfajta Yellow Pages"-t hozva létre a kapcsolódó számítógép számára,
"
amelyben azok megkereshetik az egyes kérelemtípusokat a zónában kezelő számítógépeket
Az MX-bejegyzésekhez hasonlóan az SRV-bejegyzésekhez is tartozik egy elsóbbségi szám,
amelynek a segítségével egyszerű terheléselosztást és hibaillrést is megvalósíthatunk. Az SRV
bejegyzések némileg több magyarázatot igényelnek, mert fontos szerepet játszanak az Actíve
Directory-ban. A zónafájlok SRV-bejegyzései így festenek:
A bejegyzés bal szélső eleme a szolgáltatás (esetünkben ez a Kerberos), a _tcp pedig arra utal,
hogy a szolgáltatás a TCP vagy az UDP átviteli protokollon keresztül működik-e. A bejegyzés jobb
szélső eleme (itt a colossus. hassell t ech. ne t) azonosítja azt a számítógépet, amelyik a be
jegyzésben megnevezett szolgáltatásra irányuló kérelmeket figyeli. A bejegyzés közepén az első
szám (600) a bejegyzés élettartamát jelöli másodpercben, a jobb szélső szám (88) pedig annak
a kapunak a számát, amelyet a szolgáltatás figyel. Végül, a 100 a bejegyzés elsőbbségi száma, ami
pontosan úgy mú1<ödik, rnint a korábban bemutatott MX-bejegyzések elsóbbségi számai.
Miért létfontosságúak az SRV-bejegyzések az Actíve Directory számára? Nos, azért, mert ezek
jelzik, hogy az Actíve Directory egyes szolgáltatásait a tartomány mely gépei futtatják Az Actíve
Directory valójában csak négy szolgáltatás közzétételét vizsgálja az SRV-bejegyzésekben:
4. tejezet • A tartománynévrendszer IUl-
kerberos
Ez a szolgáltatás a felhasználók és számítógépek hitelesítését végzi KDC (Kerberos Key
Distribution Center, Kerberos kulcselosztó központ) kiszolgálók segítségéveL
_kpasswd
Ez a szolgáltatás a Kerberos-jelszavak biztonságos kicserélését teszi lehetővé.
_ldap
Ez a szolgáltatás a Lightweight Directory Access Protocol (könnyűsúlyú címtárelérési
protokoll) révén arra szolgál, hogy külső prograrnak kommunikálhassanak és adatokat
cserélhessenek az Active Directory-val.
_gc
Ez a szolgáltatás a globális katalógus (Global Catalog), amely az adott Active Directory
erdóben található összes objektum jellemzőinek részhalmazát tárolja.
Névkiszolgálók felépítése
Ebben a részben lépésről lépésre ténylegesen is felépítünk egy névkiszolgálót, majd a fejezet
hátralevő részében kibővítjük a szolgáltatásait, hogy felkészítsük az Actíve Directory-val való
együttműködésre.
Az első lépés a névkiszolgáló szaftver telepítése a Windows Server 2008-at futtató számítógé
pünkre. Ehhez kövessük az alábbi lépéseket:
IMjtil(il!@M Ha a számítógépünket úgy állítottuk be, hogy DHCP-n keresztül kapjon IP címet.
a DNS-kiszolgálói szerepkör telepítő/e élénken tiltakozni fog, hogy a DNS-t nem arra
tervezték, hogy dinamikusan kiosztott IP címen működjön. A példa kedvéért vegyük tudomásul
a figyelmeztetést, és folytassuk a műveletet. Ahogy korábban említettük, gondoskodnunk kell róla,
hogy a nem tesztkörnyezetben. hanem élesben üzemelő névkiszolgálóknak állandó IP címe legyen.
A Helyi kapcsolat helyére azt a nevet írhatjuk, amelyet a hálózati kapcsolat tulajdonságai
között találunk, a 192.168.0.5 helyére pedig a helyi névkiszolgáló IP címét kell írnunk.
A névfeloldáshoz használt névkiszolgálókat természetesen a Windows grafikus felületén is
megadhatjuk, mégpedig a következő lépéseket követve:
Most, hogy a DNS-kiszolgáló szoftverét telepítettük, el kell indítanunk a DNS szolgáltatást. Ehhez
válasszuk a Start menüből az Administrative Tools, DNS elemet, amely a DNS Management
beépülő modult jeleníti meg, amelyet a 4.1. ábrán láthatunk (kivéve, hogy a mi gépünkön nem
fogjuk látni az ábrán szereplő összes előre haladó keresési zónát).
A DNS-t a fejezetben késóbb saját kezűleg fogjuk beállítani, ezért hagyjuk figyelmen kívül
az üzenetet, amely a Configure Your DNS Server Wizard használatát javasolja. Jelenleg egy mű
ködőképes névkiszolgálóval rendelkezünk, amely "csak gyorstárazó" szolgáltatást nyújt, vagyis
nem tárol semmilyen rá nézve egyedi DNS-információt, viszont tudja, hogyan kell kapcsolatba
-"'' Windows Server 2008
lépni az ICANN (az Interneten a DNS felügyelője) 13 gyökérkiszolgálójával az internetcímek
feloldása érdekében. A Windows Server 2008 DNS-programja alapállapotban képes erre; ehhez
nekünk semmilyen beállítást nem kell megadnunk.
J_msd<s.hasselte<h.local 7 record(s)
8- � mercury
Oc1c
.
i t.tHiillt Event Viewer
: éJ LJ Forward lookup Zones CJdomains
�-6iJ _msdcs
e-LJ _sites
[il-0 _tcp
l !BEJ udp
j til-Cl ÖomainDnsZones 4.1. ábra
liJ. CJ
! . B:J CJ ForestDnsZones
Reverse Lookup Zones
ADNS
EE-9 SHOTS
Management
L beépü!ő modu/
Ezt követően a kiszolgáló minden olyan névkiszolgálón fokozatos zónafrissítést fog végrehajta
ni, amely ezt támogatja, nem csak azokon a gépeken, amelyek Windows Server 2003 vagy Win
dows Server 2008 rendszerűek
4. fejezet • A tartománynévrendszer l"f-
Előre haladó keresési zóna létrehozása
A kiszolgálón további beállításokat is végre kell hajtanunk; először is létre kell hoznunk egy
előre haladó keresési zónát. A DNS beépülő rnodulján belül bontsuk ki a kiszolgáló nevét a bal
oldali ablaktáblában, majd végezzük el a következő rnűveleteket:
1. Az egér jobb gombjával kattintsunk a Forward Lookup Zorres (előre haladó keresési zónák)
elemre, és válasszuk a New Zone rnenüpontot, amely a New Zone Wizardot indítja el.
2. Válasszuk a Prirnary Zone (elsődleges zóna) lehetőséget, majd kattintsunk a Next gornbra.
3. Íij uk be a zóna nevét (a példában a hasselltech.net nevet használjuk), majd lépjünk tovább.
4. Adjunk meg egy nevet az új zónafájl számára, amely ASCII formátumban tárolódik.
Az alapértelmezett név a tartományunk neve a DNSvégződéssei (tehát például
hasselltech.net.dns). A zónafájlok tárolási helye a %SystemRoot%\system32\dns. Ha ezzel
rnegvagyunk, lépjünk tovább.
5. A Dynarnic Update képernyőn engedélyezzük rnind a biztonságos, rnind a nem biztonsá
gos dinamikus frissítéseket (a dinamikus DNS-frissítésről egy kicsit később beszélünk),
majd lépjünk tovább.
6. A zóna létrehozását fejezzük be a Finish gombbal.
AddJ:jost
4.2. ábra
"
Új A bejegyzés megadása
"
Írjuk be annak a számítógépnek a nevét, amelyikhez a bejegyzést készítjük, majd a gép IP círnét.
Miközben a gépnevet beírjuk, a teljesen rninősített tartománynév (FQDN, fully qualified dornain
name) úgy rnódosul, hogy a teljes, a tartományt is tartalmazó számítógépnevet rnutassa, hogy
ellenőrizhessük a beírtakat. Azt is rnegtehetjük, hogy bejelöljük a Create associated pointer (PTR)
record- társított rnutatóbejegyzés (PTR-bejegyzés) létrehozása - jelölőnégyzetet is, amely egy
PTR-bejegyzést helyez el a fordított keresési zónában, ha az létezik. (Ha még nem állítottunk be
ilyet, a program hibaüzenetet ad.) Ha készen vagyunk, kattintsunk az OK gornbra.
Windows Server 2008
Name checking:
st;avong:ngep!!J1lJJ lo
t-,-,.---..,...,
4.3. ábra
Ol(
A DNS-kiszolgáló speciá/is tula;donságai
Ezen kívül, ha ki szeretnénk kapcsoini az alhálózati maszk szerinti rendezést, töröljük a jelet
a Server options mező Enable netmask ordering Calhálózati maszk szerinti rendezés engedélye
zése) jelölőnégyzetéből, amelyet szintén a 4.3. ábrán látható Advanced Properties ablakban
találhatunk meg.
:i.efialnumben
fö
Retry interyal:
Elg:Jiresafter:
� (defu) TTL:
4.4. ábra
ll! - {lpjl!Y Egy zóna SOA-bejegyzésének tulajdonságai
Itt az elsődleges NS-bejegyzés látható, amelyet a rendszer alapértelmezés szerint létrehoz, amikor
létrehozzuk a zónát. Új NS-bejegyzés (például egy másodiagos névkiszolgáló) beszúrásához kat
tintsunk az Add gombra. A megjelenő mezóbe írjuk be az újonnan felvenni kívánt számítógép
teljesen illinősített tartománynevét, és kattintsunk a Resolve (feloldás) gombra. A Windows
Server 2008 fordított kereséssel határozza meg a beírt állomásnévhez tartozó IP címet. Ha a talált
címet helyesnek találjuk, kattintsunk az IP cím melletti Add gombra, és ezzel felvesszük az NS
bejegyzést. Az ablakok bezárásához kattintsunk kétszer az OK gombra.
IP Address
[192.168.0.2]
4.5. ábra
OK
Zóna NS-bejegyzéseinek szerkesztése
Írjunk be egy álnevet annak a számítógépnek, amelyiknek a számára a bejegyzést készítjük (ez
lesz a kanonikus név), majd adjuk meg az állomás teljesen Illinősített tartománynevét Miköz
ben beírjuk a CNAME nevet, alatta, a teljesen minősített tartománynév mezőjében megjelenik
a teljes állomásnév i tartománnyal együtt, hogy ellenőrizhessük a megadott adatokat.
4.
Í AII!!W any autheoticated user to update al DNS records with the same
name . This setting apJ:ies ori)' to DNS records for a new name .
Gli' Cancel
4.6. ábra
Új CNAME-bejegyzés megadása
���
4.7. ábra
OK
Új MX-bejegyzés megadása
ll
Zone Type
The DNS server supports variaus typ esof zones and storage.
r. fi!�.���
Creates a copy of a zone that can be updated directfy on this server.
r :i_econdary zone
Creates a copy of a zone that exists on another server, This option helps balance
the processing load of ptimary servers and provides fault tolerance.
r Stybzone
Creates a copy of a zone containing onty Name Server (NS), Start of Authority
(SOA), and possibly glue Host (A) records. A server containing a stub zone is not
authot1tative for that zone.
R: store the zone in B!:tive Directory (available only� DNS setver ls a domain controller)
Host I�I"KJI!lber:
11. 92 1� ;,0. ;e
..
r AIIQw any authenticated user to update al DNS records with the same
name. This settinQ appies ordy to DNS records for o new name.
Ezen a képernyőn csak annyit kell tennünk, hogy beírjuk egy IP címből az utolsó pont utáni
negyedet, majd megadjuk azt az állomásnevet, amelyre a megadott IP címnek hivatkoznia kell.
A fordított keresési bejegyzés teljesen minősített tartománynevét a program automatikusan beírja.
A befejezéshez kattintsunk az OK gombra.
ll
Master DNS Servers
The zone is copied from one or more DNS servers.
Specify the DNS servers from which you want to copy the zooe. ServOI's are
contacted in the order shown.
Status: Running
4.11. ábra
OK Cancel
DNS-kiszolgáló előléptetése
4. tejezet • A tartománynévrendszer Ilf.
5. Az előléptetés végrehajtásához jelöljük be a Primary Zone választógombot
6. Kattintsunk az OK gombra.
?T x
Select a zone type:
(ofr_�y-zOfiiij
Stares a copy of the zone that can be updated dir ect:ly.
r :;etondary zone
Stares a copy of an existíng zone. This option helps balance the processing load of
prirnary servers. and provicles faUt tolerance.
r St!,lbzone
Stares a copy of a zone contaning oriy NS, SOA , and possibly
glue A records. A server contalling a stub zone iS not
authoritative for that zone.
P' Store the zone in ll_ctive Directory (available only t DNS server is a domain controller) 4.12. ábra
Itt láthatjuk, hogy minden zónafrissírést letilthatunk, ha töröljük a jelet az Allow zone transfers
(zónafrissítések engedélyezése) jelölőnégyzetbőL Ha azonban úgy döntünk, hogy a másodiagos
névkiszolgálókan engedélyezzük a zónafrissítést, a zónafájlokhoz való hozzáférést némileg
részletesebben is szabályozhatjuk Az első lehetőség, a To any server (bármely kiszolgálón)
szélesre tárja a kaput. A második, az Only to servers listed on the Name Servers tab (csak
a Name Servers lapon felsorolt kiszolgálókon) tűnik a legésszerűbb választásnak, mivel a frissí
rést azokra a kiszolgálókra korlátozza, amelyeket irányadóként adunk meg a tartomány számá-
-Ul Windows Server 2008
ra. A harmadik választógombot- Only to the follawing servers (csak a megadott kiszolgálókon)
- bejelölve még tovább szűkíthetjük a listát. Ha ezt a lehetőséget választjuk, az IP cím mezőjébe
írjuk be a kívánt IP címet, és kattintsunk az Add gombra. A lista tetszőleges hosszúságú lehet;
ha készen vagyunk, fejezzük be a műveletet az OK gombra kattintva.
C�]".'!'!.��"!:"J
<- tl>anr""'.J:ll""
r 01Jly ta�ers li!il;f'll POhl1eJ1a� �t"' tob
c Q;JjY.ta�t!lM'l;J -1[5
4.13. ábra
A zónafrissítések szabályozása
A Windows Server 2008 az RFC 1996-ban zónamódosítási értesítésnek nevezett szolgáltatást is tá
mogatja, amely némileg cáfolja a korábban mondottakat, rniszerint a zónafrissítés elsősorban leké
rő, és nem közzétevő folyamat. Ha kíváncsiak vagyunk ennek a szolgáltatásnak a beállításaira,
kattintsunk a Notify (értesítés) gombra a Zone Transfer lapon, hogy megjelenítsük a 4.14. ábrán
látható ablakot.
? ,x
17\i\iJtomot��.!.'!!!if"Y�
('" áervers listed on the Name Servers tab
Cancel
4.14. ábra
A Notify párbeszédablak
hoz egyszerűen írjunk be egy IP círnet, és kattintsunk az Add gombra, majd ismételjük meg
ezt a lépést annyiszor, ahány kiszolgálót fel szeretnénk venni a listára.) Ha igényeinek szerint
bekapcsoltuk vagy leültottuk ezt a szolgáltatást, kattintsunk az OK gombra.
Altartományok és átruházás
Ritka az olyan saját DNS-t üzemeltető hálózat, amely túl kicsi ahhoz, hogy kihasználhassa az altar
tományok és az átruházás (más néven képviselet) előnyeit Átruházás alatt azt értjük, hogy egy
logikai vagy fizikai csoportra ruházzuk át a hálózat egy részének felügyeletét Nézzünk erre egy
példát!
Tegyük fel, hogy a cégünknek két irodája van: egy Bostonban és egy másik az észak-karolinai
Charlotte-ban. Van ugyan egy tartománynevünk, a mycompany.com, amely lefedi az egész háló
zatot, a két említett helyet külön szeretnénk választani egymástól. A bostoni számítógépek kaphat
nak például a north.mycompany.com tartományutótaggal ellátott neveket, rníg a Charlotte-ban
található gépek neve végződhet south.mycompany.com-ra. Mivel a helyi informatikuscsapat tagjai
az egyes irodákban jobban tudják, hogy mely gépek bonyolítanak bemenő, illetve kimenő forgal
mar a hálózaton, mint a központban dolgozó rendszergazdák, célszerű a fiókirodák rendszer
gazdáinak csoportját megbízni, hogy a saját altartományukban ők kezeljék a DNS-t. Ehhez három
műveletet kell elvégeznünk. Először is, az átfogó tartomány DNS-zónájának a tudomására kell
hoznunk, hogy altartományokat hozunk létre, amelyeket máshonnan fogunk felügyelni.
Másodszor, a központi névkiszolgálónak (a "gyökérkiszolgálónak", amely azonban nem a végső
TID-gyökér) meg kell adnunk az egyes altartományok névkiszolgálóinak a círnét Végül pedig
az altartomány névkiszolgálóját telepítenünk kell, majd megfelelően be kell állítanunk.
Tartomány átruházása
A DNS Management beépülő modulban kattintsunk az egér jobb gombjával arra a zónára, amelyik
a létrehozni kívánt altartomány szülője (példánkban ez a mycompany.com), és a megjelenő helyi
menüből válasszuk a New Delegation menüpontot Ekkor a New Delagation Wizard jelenik meg;
a bevezető képernyőről kattintsunk tovább a Delegated Domain Name ablakra. Itt egyszerűen
adjuk meg a létrehozni kívánt altartományt a felső mezőben. Az alsó mező ekkor kinyílik, hogy
megmutassa a beírt névhez tartozó teljes tartománynevet Ha mindent rendben találtunk, lépjünk
tovább, majd a következő képernyőn írjuk be a képviselőként kijelölni kívánt altartomány nevét,
és kattintsunk ismét a Next gombra. Ekkor a 4.15. ábrán látható Name Servers ablak jelenik meg.
---
New Delegatton W1zard ' fi
Name Servers
You can select one ormore name servers to host the delegated zone. Dl
lU
Specify the names and IP addresses of the DNS servers you want to heve host the
Server
delegated zone.
Name�vers;
I IP Address
I
Fu!lyQualf,ed Domain Name(FQDN)
---..
-·····-·· -
----- �....
4.15. ábra
A képviselőként kijelölni kívánt
<Bad<.
névkiszolgálók azonosítása
-lll Windows Server 2008
Ebben az ablakban írjuk be azoknak a névkiszolgálóknak a teljesen minősített tartománynevét
és IP címét, amelyek az új tartományért felelni fognak (a beírást a New Resource Record
ablakban hajthatjuk végre, amelyet az Add gombra kattintva hívhatunk elő). Ha ezzel készen
vagyunk, kattintsunk az OK, majd a Next gombra, végül pedig a Finish gombbal zárjuk be
a varázslót. Az újonnan átruházott tartomány megjelenik a DNS Management beépülő
modulban- kiszürkítve, hogy jelezze, hogy átruházott tartományról van szó. Hogyan módosít
ják a fentiek a DNS szolgáltatás zónafájljait? Először is, új NS-bejegyzéseket adnak a szülőtarto
mányhoz, amelyek megadják az adott altartományért felelős kiszolgálót. Ha a north.mycom
pany.com teljesen minősített nevű altartományt például a dnsl.north.mycompany.com nevű
névkiszolgáló hatáskörébe szeretnénk utalni, a bejegyzésnek valahogy így kell festenie:
north NS dns1.north.mycompany.com
"
Ezt követően az átruházás megvalósítását segítő varázsló egy "A bejegyzést ad a szülőzónához,
hogy az képes legyen megtalálni az új névkiszolgálót az IP címe alapján:
dns1.north A 192.168.1.105
"
Ezt az "A bejegyzést ragasztó bejegyzésnek hívják, mert ez az egyetlen módja annak, hogy
a DNS és a kérelmező ügyfelek tudják a képviselő névkiszolgáló IP címét, hiszen az elsődleges
zóna többé nem tárol információkat az adott zónáról, és nem vezérli azt. Az "A" bejegyzés meg
oldja ezt a problémát, és közvetlen módot ad arra, hogy kapcsolatba lépjünk a kijelölt névki
szolgálóvaL
Helytelen átruházás
Helytelen átruházásról akkor beszélünk, ha egy NS-bejegyzés nem a megfelelő számító
gépre mutat. Ennek oka az lehet, hogy a zónát egy olyan kiszolgáló hatáskörébe utaltuk,
amelyet nem állítottunk be megfelelően ahhoz, hogy a zóna irányadó névkiszolgálója le
gyen, vagy az irányadó névkiszolgál ón egy olyan NS-bejegyzés található, amely egy másik,
a zónában nem irányadó számítógépre mutat.
A fejezetben később bemutatunk egy DNSLint nevű segédprogramot, amely segít észlelni
és kijavítani a helytelen átruházásokat
Altartomány létrehozása
Az imént átruházott altartomány létrehozása logikailag nagyon egyszerű. A képviselő kiszolgálón
a DNS Management beépülő modulban kattintsunk az egér jobb gombjával a Forward Lookup
Zones mappára, és válasszuk a New Zone menüpontot, majd kövessük a fejezet korábbi, Előre
haladó keresési zóna létrehozása című részében leírt utasításokat.
l
A dinamikus DNS-bejegyzés tényleges folyamatát a 4.16. ábra mutatja egy olyan munkaállomás
esetében, amely jelezni szeretné a jelenlétét.
4.16. ábra
'
'
:
Eredmény siker vagy kudarc) Irányadó A dinamikus DNS-bejegy
(
'
'
A folyamat kissé eltér a fentitől, amennyiben az IP címeket egy Windows DHCP-kiszolgáló osztja
ki. Az ügyfél ekkor, miután megkapta az IP címét a DHCP-kiszolgálótól, csak egy "A" bejegyzést
hoz létre a névkiszolgáló előre haladó keresési zónájában. A PTR-bejegyzéseknek a névkiszolgáló
fordított keresési zónájában történő létrehozásáért (ha van ilyen) alapértelmezés szerint a DHCP
kiszolgáló felel.
Mikor kerül sor a fent leírt bejegyzési folyamatra? A DNS-bejegyzést az ügyfél részéró1 öt
művelet indíthatja el:
• A számítógépet újraindították
• A számítógép DHCP-igénylését- amennyiben a gép dinamikus IP címet használ - most
újították meg.
• A számítógéphez statikusan hozzárendelt IP cím megváltozott
• Az utolsó rögzített DNS-bejegyzés óta 24 óra telt el.
• A rendszergazdák egyike kiadta az ipconfig /registerdns parancsot a parancssorbóL
Takarítás
Ha sok számítógép jegyez be DNS-információkat rendszeresen egy nap folyamán, nyilvánvaló,
hogy azok lejáratakor takarítanunk kell. A Windows Server 2008 DNS-takarítója megkeresi
azokat a dinamikus bejegyzéseket, amelyeket egy ideje már nem frissítettek, majd egyszerűen
törli azokat, hogy biztosítsa, hogy a kiszolgálók frissítése után a zónainformációk a lehető
legfrissebbek legyenek a számítógépeken, és a legfrissebb címeket tartalmazzák.
4.17. ábra
A dinamikus DNS-takarítás beállítása
4.
Debug logging
lnterfares r
Serl!!'f options:
isable recursion (also dsables forwarders)
�IND secondaries
'[)Faij on load if bad zone data
{]Enable round robin
;�nable netmask ordering
1�ecure cache agaim;t poltution
4.18. ábra
Of( BPPIY
Takarítás beállítása a kiszolgá/ón
A képernyő alján jelöljük be az Enable automatic scavenging of stale records (az elévült bejegy
zések automatikus kitakarításának engedélyezése) feliratú jelölőnégyzetet, és adjuk meg azt
az időtartamot, amely után a takarító automatikusan működésbe léphet.
Ha egy adott zónára vonatkozóan szeretnénk szabályozni a takarítást és a hozzá tartozó időtar
tamokat, kattintsunk az egér jobb gombjával a zóna nevére a DNS Management beépülő
modulban, válasszuk a Properties menüpontot, majd váltsunk a General lapra, és kattintsunk
az Aging (elévülés) gombra. A megjelenő ablak megegyezik a kiszolgálószintű takarítás beállítá
sára szolgáló képernyővel, amelyet a 4.17. ábrán láttunk.
Windows Server 2008
Az AGE rész a bejegyzés keletkezési ideje, egy adott időponttól valamilyen kis időegységben
mérve. Az, hogy a rendszer hogyan határozza meg ezt a számot, nem érdekes; csak az számít,
hogy ha bekapcsoljuk a takarítást, az AGE információ hozzáadódik a DNS-bejegyzéshez, hogy
a takarító helyesen kezelje a frissítés nélküli és frissítési időközöket Ha az időbélyeget emberi
szem által olvasható formában szeretnénk látni, kattintsunk az egér jobb gombjával bármelyik
bejegyzésre a DNS Management beépülő modulban, és válasszuk a Properties menüpontot.
A Record time stamp (bejegyzés időbélyege) mező (lásd a 4.19. ábrát) azt a dátumot és időpon
tot mutatja, amikor a bejegyzés létrejött a DNS-ben.
te_ address:
�1��-:168 .O __ .124
r l!P<Iate assodated pointer (PTR) record
Ennek a harmadik módnak, az Active Directory-ba beágyazott DNS-nek két előnye van a ha
gyományos zónákkal szemben. Az egyik, hogy az Active Directory-ba beépített hibatűrés szük
ségtelenné teszi, hogy elsődleges és másadiagos névkiszolgálóink is legyenek. Lényegében
rninden névkiszolgáló, amely az Active Directory-ba beágyazott zónákat használ, elsődleges
névkiszolgáló. Ez a dinamikus DNS használatát is hatalmas mértékben segíti, mivel így számos
olyan névkiszolgáló áll rendelkezésre, amely bejegyzéseket fogadhat. Emlékezzünk vissza,
hogy a tartományvezérlők és a munkaállomások a dinamikus DNS segítségével jegyeztetik be
a helyüket és az elérhetőségüket a DNS-zónában. A hagyományos DNS-ben csak egy fajta név
kiszolgáló fogadhat ilyen bejegyzési kérelmet: az elsődleges kiszolgáló, mivel csak annak van
írható-olvasható másolata a zónafájlróL Ha létrehozunk egy az Active Directory-ba beágyazott
zónát, az összes Windows Server 2008 rendszert futtató névkiszolgáló, amely a zónaadatait
-ffl Windows Server 2008
az Active Directory-ban tárolja, fogadhat dinamikus bejegyzési kérelmet, és a változást közzéte
heti az Active Directory többrnesteres többszörözési szolgáltatásával (erről majd az 5. fejezetben
tanulunk). Ehhez csak annyit kell tennünk, hogy telepítjük a Windows Server 2008-at egy szá
rnítógépre, beállítjuk tartományvezérlőként, telepítjük a DNS szolgáltatást, és beállítjuk a zónát.
Ezután minden más önműködően történik. Hasonlítsuk ezt össze a szokványos, elsődleges és
másodiagos névkiszolgálót is használó felépítéssel, ahol az elsődleges kiszolgálót valószínűleg
igencsak leterheli a kérelmek és a zónafrissítések kezelése, még a dinamikus DNS-bejegyzés
jelentette többletteher nélkül is. Az Active Directory-ba beágyazott zónák jelentősen csökkentik
ezt a terhet, ráadásul azzal az előnnyel is bírnak, hogy a telephelyek közötti többszörözés során
tömörítést is alkalmazhatunk, így nincs szükség a régi stílusú, "tömörítetlen" zónafrissítésekre.
IM!'@mN Ahogy a fejezetben korábban olvashattuk_ a Windows Server 2008 dinamikus DNS
szolgáltatásának része a takarítás is, amelynek során a frissítés nélküli időköz meg
adásával küszöbölhetjük ki, hogy az egyes DNS-újra bejegyzések során túlzott adatforgalomra kerüljön
sor a tartományvezérlők között.
Ha már van egy tartományvezérlőként üzemelő névkiszolgálónk egy működő aktív zónával,
egyszerűen beágyazhatjuk azt az Active Directory-ba (és ugyanilyen könnyen visszaalakíthatjuk
elsődleges vagy másodiagos zónává, tehát nem visszavonhatatlan műveletről van szó).
Íme a szükséges lépések:
Status: Running
4.20. ábra
Zóna beágyazása az Active Directory-ba
·!: ���t3.��1
Stores a copy of the zone that can be updated directly.
C. �ondary zone
stares a copy of an existi'lQ zone. T� option helps balante the proces�no loed of
primary servers and preMdes fault tolerance.
r·stl!bzone
Stores a copy of a zone containing only NS_. SOA_, and possibly
Qloe A records. A server containing a stub zone is not
author�ative for that zone.
P" store the zone in e,ctive [);rectory (available only if DNS server is a domain controller)
, 4.21. ábra
D�� ..._. ......
Zóna tárolása az Active Directory-ban
• @]f�f�i�"'i:i1tt;'�-��!if:y_:_��J:i�i���
r To ol d2main controRersin � Arove Directory domain hasselkech.local
Choose this optK>n if the zone should be loaded by Windows 2000 DNS servers
running on� domain controllers in the same domain.
Az alapértelmezett beállítás a To all domain controllers in the Actíve Directory domain (minden
tartományvezérlőre az Actíve Directory-tartományban), ami arra utasítja a Windowst, hogy
pontosan úgy viselkedjen, mint a Windows 2000 Server, vagyis a DNS-információkat az Actíve
Directory minden tartományvezérlőjére többszörözze, függetlenül attól, hogy azok valóban
futtatják-e a DNS szolgáltatást. Nyilvánvaló, hogy ha a tartományunkban 20 tartományvezérlő
található, de csak 3 olyan, amely DNS-t futtat, ez igencsak pazarló többszörözési forgaimat
eredményez. Ebben az ablakban beállíthatjuk, hogy az erdóben vagy tartományban csak DNS-t
futtató tartományvezérlőkre többszörözzük a DNS-információkat. Ez igen hasznos, mert egy
nagy kiterjedéső hálózatban jelentősen csökkenti a hálózati forgaimat
Átirányítás
Az átirányítás a legegyszerúoben fogalmazva az a folyamat, amelynek során egy névkiszolgáló
a helyben nem teljesíthető kérelmeket egy másik kiszolgálónak adja át. Az átirányítást előnyünkre
fordíthatjuk, mert a segítségével lényegében egyesíthetjük több névkiszolgáló névfeloldási gyors
tárát Ezzel lehetővé tesszük az ügyfeleknek, hogy feloldják a korábban letöltött webhelyneveket
ebből a "megagyorstárból" , rnielőtt az adatok valódi frissítését igényelnék a nyilvános Internet
irányadó névkiszolgálóitóL
Az átirányítás ezt a gyorstárat terjeszti ki több névkiszolgálóra. Vegyünk például egy olyan háló
zatot, amelyben négy vagy öt névkiszolgáló található, amelyek közül az ügyfelek valószínűleg
más-más névkiszolgálót részesítenek előnyben. Ha valamelyik ügyfél olyan információt igényel,
amely nem található meg a választott névkiszolgálója gyorstárában, a névkiszolgáló kikeresi
a megfelelő adatokat, és visszaadja azokat, így késóob az adott névkiszolgáló minden felhasz
nálója hozzájuthat a kérdéses zóna adataihoz a gyorstárbóL A hálózat más felhasználói azonban
nem húznak hasznot a gyorstárazásból, mivel valószínűleg másik számítógépet részesítenek
előnyben névkiszolgálóként
Itt lép be a képbe az átirányító, amely egy újabb lépéssei egészíti ki a fenti folyamatot: amennyi
ben az előnyben részesített névkiszolgáló gyorstárában nincs jelen a keresett zónainformáció,
a kiszolgáló egy másik kiszolgálóhoz, az úgynevezett átirányítához fordul, hogy az rendelkezik-e
információkkal a kért zónáróL Az átirányító csupán egy másik névkiszolgáló, amely megkeresi
a zónainformációt az Interneten, és a saját gyorstárába helyezi, hogy később könnyen elérhető
legyen. Ha a hálózat minden névkiszolgálóját úgy állítjuk be, hogy ugyanannak az átirányítának
a gyorstárához forduljon, az összes névkiszolgáló kihasználhatja a gyorstár és a névfeloldási
kérelmekre adott szinte azonnali válasz előnyét. Az átirányító minden tekintetben úgy viselkedik,
mint egy szokványos névkiszolgáló; csupán arról van szó, hogy a hálózat névkiszolgálóit úgy
állítjuk be, hogy az átirányító gyorstárát használják. Ugyanakkor ha az átirányító számítógépnek
túl sokáig tart, hogy válaszoljon egy kérelemre, a feladatot az eredetileg előnyben részesített
névkiszolgáló veheti át, és a kérelmet továbbíthatja az Internetre, így nem veszítjük el a DNS
kérelmek teljesítésének képességét- csak hatékonyabbá tesszük azt. Ha aggódunk az egyetlen
kulcspont meghibásodásának lehetősége miatt, a hálózatban több átirányítót is működtethetünk,
de ezzel veszítünk az előnyökből, mert ismét egynél több gyorstáradatbázisunk lesz.
r. - .
- � �
Num!J.er d seconds before forward queries time oot:
C,Do not Uie rec..-sion for this domain
4.23. ábra
OK
Átirányító DNS rendszer beállítása
Windows Server 2008
1. Nyissuk meg a DNS Management beépülő modult azon a gépen, amelyikről a kérelmeket
máshová szeretnénk irányítani.
2. Az egér jobb gombjával kattintsunk a kiszolgáló nevére, és a megjelenő helyi menüből
válasszuk a Properties menüpontot.
3. Váltsunk a Forwarders (átirányítók) lapra, majd a Selected domain's forwarder IP address
list (a kijelölt tartomány továbbírási IP címei) mezóbe írjuk be azokat az IP címeket, ahová
a kérelmeket át szeretnénk irányítani (lásd a 4.23. ábrát).
4. Ahogy szintén a 4.23. ábrán láthatjuk, írjuk be az 5 értéket a Number of seconds before
forward queries time out (a továbbított kérelmek számára rendelkezésre álló idő
másodpercben) mezőbe. A szokásos érték azért öt másodperc, mert ez biztosít hatékony
névfeloldást, ha az átirányítók valarniért nem járnának sikerrel.
5. A művelet befejezéséhez kattintsunk az Apply gombra.
Szolgák
A szolgák alkalmazása az átirányítás logikai kiterjesztése. Azok a kiszolgálók, amelyeket egy adott
névkiszolgáló szolgáiként állítunk be, a kérelmeket az említett névkiszolgálóhoz továbbítják, és
teljesen rá bízzák a névfeloldást. Ezzel szemben a sima átirányításnál a lejárati idő letelte után
az eredeti névkiszolgáló maga is teljesítheti a kérelmet a gyökérnévkiszolgálók lékérdezésével.
Ha szolgákat alkalmazunk, a feljebb levő névkiszolgáló lesz az a közvetítő, amelyen keresztül
a szalgaként beállított névkiszolgálók elküldik a kérelmeket
Ennek leginkább olyankor vesszük hasznát, arnikor a hálózatunkban több névkiszolgálóra van
szükség az Internettel, illetve az Active Directory-val kapcsolatos feladatok végrehajtásához, de azt
szeretnénk, ha a külső kérelmek a tűzfalon kívül maradnának. Ekkor felállíthatunk egy nagyon
biztonságos névkiszolgálót a tűzfalon és a belső hálózatunkon kívül, amely a belülről kifelé
irányuló szolgáltatáskérelmeket átengedi, míg kívülről csak a hálózat bizonyos számítógépeihez
ad hozzáférést, majd a belső számítógépeket szalgaként a tűzfalon kívüli géphez köthetjük, hogy
teljesen az ellenséges környezetben levő géptől függjenek, de az a környezet a belső hálózaton
kívül maradjon, távol a helyben felügyelt névkiszolgálóktóL Mivel a legtöbb tűzfal állapotőrző
figyelő számítógép, amely csak azokat a csomagokat engedi a tűzfalon belülre, amelyek egy
belülről kezdeményezett kérésre válaszolnak, és rnivel a belső névkiszolgálóink csak a külső
névkiszolgálóhoz és nem magához az Internethez intéznek kérelmeket, a nyilvánosság nem fog
tudni a belső névkiszolgálóink létezéséről, és nem is lesz képes elérni azokat. A szolgákat
az átirányítással szemben mindössze egyetlen további jelölőnégyzet bejelölésével beállíthatjuk
Ehhez kövessük az alábbi lépéseket:
1. Nyissuk meg a DNS Management beépülő modult azon a gépen, amelyiket egyik másik
kiszolgáló szalgájává szeretnénk tenni.
2. Az egér jobb gombjával kattintsunk a kiszolgáló nevére, és a megjelenő helyi menüből
válasszuk a Properties menüpontot.
3. Először engedélyezzük az átirányítást: váltsunk a Forwarders lapra, majd a Selected
domain's forwarder IP address list mezóbe írjuk be azt az IP címet, ahová a kérelmeket át
szeretnénk irányítani. Ezt a lépést a 4.24. ábra mutatja.
4.
Forworders ace setV«S that can resolve DNS queries not ans-ed by
this server. Forward queries for names in the folowi'lg DNS domains.
DNS domain:
- l ..,... 1
�
l
�'
l
-
Num!!er of seconds before forward Queries time oot:
ls __ J 4.24. ábra
P"'��-,;;..J:�S§Y.i>r.JH.S...i§:�
Szaiga DNS rendszer beállítása
4. Ahogy szintén a 4.24. ábrán láthatjuk, írjuk be az 5 értéket a Number of seconds before
forward queries time out mezőbe. A szokásos érték azért öt másodperc, mert ez biztosít
hatékony névfeloldást, ha az átirányítók valamiért nem járnának sikerrel.
5. Most jelöljük be a Do not use recursion for this domain (ebben a tartományban ne legyen
önhívás) jelölőnégyzetet a képernyő alján. Ezzel a kiszolgálót a fenti mezőben felsorolt
átirányítók szalgájává tesszük.
6. A művelet befejezéséhez kattintsunk az Apply, majd az OK gombra.
Feltételes átirányítás
Egyes esetekben - különösen ha a következő részben bemutatott osztott DNS-felépítést alkal
mazzuk - arra lehet szükség, hogy adott névkiszolgálókat jelöljünk ki arra, hogy egy bizonyos
tartományra irányuló felhasználói kérelmekre válaszoljanak. A feltételes átirányítás több okból
is hasznos lehet, többek között azért, mert felgyorsítja a névfeloldást az ügyfelek számára, ami
kor például cégbővítés miatt szerkezeti változtatásokat kell végrehajtanunk a DNS-ben.
A DNS Management beépülő modulon keresztül elérhető Forwarders ablakban több listát is
találunk, amelyek a tartományokat és a hozzájuk társított átirányítókat sorolják fel, és kifejezetten
a feltételes átirányítást segítik. A feltételes átirányítás beállításához tegyük a következőket:
1. Nyissuk meg a DNS Management beépülő modult azon a gépen, amelyiket feltételes
átirányításra szeretnénk beállítani.
2. Az egér jobb gombjával kattintsunk a kiszolgáló nevére, és a megjelenő helyi menüből
válasszuk a Properties menüpontot.
3. Váltsunk a Forwarders lapra, és kattintsunk a DNS domain mezőtől jobbra található
New gombra.
4. A megjelenő New Forwarder ablakban írjuk be annak a DNS-tartománynak a nevét,
amelyikre az átirányítást be szeretnénk állítani, majd nyomjuk meg az OK gombot.
Windows Server 2008
Forwarders are servers that can resoJve DNS queries not answered by
thi$ server. Forward queries fornamesin the follawing DNS domains.
DNS domain:
Ali other DNS domains
t
;d!!Mifti
4.25. ábra
Feltételes átirányítást alkalmazó
DNS rendszer beállítása
Osztott DNS-felépítés
Most, hogy már rendelkezünk a megfelelő háttérismeretekkel a különböző DNS-megoldásokról,
vegyünk szemügyre egy igen elterjedt és meglehetősen biztonságos módszert a DNS üzemelte
tésére a hálózatunkban: az osztott DNS-felépítés használatát
Ahogy a fejezetben korábban már röviden említettük, az osztott DNS-felépítés belső névkiszol
gálókból áll, amelyeket a vállalati számítógépes környezetben a mindennapi műveletekhez
használunk, valamint még egy vagy több kifelé, az Internetre néző névkiszolgálóból, amelyhez
a kívülállók csatlakozhatnak, hogy elérjék a cégünk elektronikus szolgáltatásait, de amely
biztonsági okokból elkülönül a belső névkiszolgálóktól. A külső névkiszolgálóktól információt
kérő külső felhasznáJók nem képesek adatokat szerezni a hálózatunk belső összetételéről és
felépítéséről, rnivel a külső névkiszolgáló teljesen különválik a belsőktől, amelyek ezeket
az adatokat tárolják. A külső névkiszolgálók csak a kívülre néző kiszolgálók bejegyzéseit tartal
mazzák, nem pedig a teljes belső tartományét. Ezt a megoldást nevezik osztott DNS-fe/építésnek,
rnivel a DNS-információk megoszlanak a hálózat belső és külső része között.
4. fejezet • A tartománynévrendszer lff-
Csonkzónák
Ideje, hogy bemutassunk egy másik típusú zónát, amelyet a Windows Server 2003 vezetett be:
a csonkzónát. A csonkzónák csak egy részét tartalmazzák a szokványos előre haladó vagy fordí
tott keresési zónákban tárolt információknak az SOA-bejegyzést, az állandó NS-bejegyzéseket,
valamint a zóna irányadó névkiszolgálóinak "A" bejegyzéseit - semmi többet. A csonkzónáknak
az osztott DNS-felépítésben vesszük hasznát, ahol a belső számítógépek belső DNS-kérelmeket
szolgálnak ki, míg a külső DNS-kérelmeket máshol, például egy adatközpontban vagy
az internetszolgáltatónál kezelik.
Mindkét említett megoldás jelentős szerepet játszik az osztott DNS-felépítésben. Vegyünk példának
egy olyan vállalatot, amely az Active Directory-t kívánja használni, és a DNS-t ennek figyelembe
vételével üzemelteti. A rendszer külső oldalára egy elsődleges és egy másodlagos névkiszolgálót
állítanak, a belső oldalon pedig további elsődleges és másodlagos névkiszolgálók működnek.
Windows Server 2008
r= ·:,�,
1
Internet �
Külső
DNS-kiszolgáló
l
A kívülről érkező külső kérelmek
a DMZ-n található nyilvános
webhelyhez kerülnek
,____......, .
4.26. ábra
Az osztott DNS-felépítés elemei
Most fordítsuk a figyelmünket a vállalat belső névkiszolgálóira. A belül található elsődleges névki
szolgálót úgy állították be, hogy a belső zóna elsődleges névkiszolgálója legyen, és elfogadja a di
namikus DNS-frissítéseket a belső munkaállomásoktól és kiszolgálóktóL Ezek a belső kiszolgálók
ugyanakkor (legalábbis jelenleg) nem látják, hogy a tűzfalon kívül további névkiszolgálók tárolják
ugyanazt a zónanevet, más bejegyzésekkeL Ezen kívül a cég munkaállomásai a tartomány irány
adó névkiszolgálóira belső kiszolgálókként tekintenek, és ott jegyeztetik be magukat dinamikus
DNS-en keresztül, valarnint ezeken a kiszolgálókan próbálják először feloldani az internetcímeket
Hogyan oldják fel a neveket az Interneten a belső felhasználók, ha nem látják a külső névkiszol
gálókat? Könnyen- a belső elsődleges és másodiagos névkiszolgálókat úgy állítják be, hogy
az internetes kérelmeket a külső elsődleges névkiszolgálóhoz továbbítsák, így ha az ügyfél által
kért cím nem található meg a belső névkiszolgáló gyorstárában (ami azt jelenti, hogy mostanában
4. tejezet • A tartománynévrendszer Ifi-
nem kérte azt egy másik ügyfél), a külső névkiszolgálóhoz kell fordulni a válaszért. Nincs szükség
zónafrissítésre, csak átirányításra, amelyet a fejezetben korábban bemutattunk. De hogyan oldják
fel a belső DNS-neveket a külső felhasználók? Röviden: sehogy, mégpedig biztonsági okokból.
Mivel a külső felhasznáJók csak a külső névkiszolgálókról tudnak, azok pedig csak magukról, és
a belső névkiszolgálókról nem, nincs rá mód, hogy a külső névkiszolgálók bármilyen információt
adjanak a tűzfalon belül található belső DNS-bejegyzésekről.
Az egyetlen probléma, amibe belefuthatunk, hogy egy belső felhasználó a vállalat saját erőfor
rásait a tűzfal külső oldalán próbálja elérni. Ennek engedélyezéséhez egyszerűen adjunk egy
statikus bejegyzést a belső névkiszolgálókhoz, amely a megfelelő külső erőforrásra mutat. Ezzel
semmilyen biztonsági kockázatot nem vállalunk, mert így sem hagyunk "ablakot", amelyen
a külső felhasznáJók beteltinthetnének a belső felépítésbe.
Összefoglalva tehát egy olyan DNS-felépítést láttunk, amely belső és külső névkiszolgálók között
oszlik meg. Ha magunk is hasonló felépítést szeretnénk kialakítani, a következő műveleteket kell
végrehajtanunk:
1. Állítsunk fel két kiszolgálócsoportot- egyet a tűzfal előtt, egyet pedig mögötte-, és
telepítsük a DNS szolgáltatást mindkettőre.
2. Állítsunk be rninden névkiszolgálót úgy, hogy a saját DNS-információit saját magától
szerezze be. Ezt a hálózati kártya tulajdonságai között tehetjük meg az IP cím megadásával.
Másodlagos névkiszolgáló beállítására itt nincs szükség.
3. Másoljunk át minden külső bejegyzést, amire a belső felhasználóinknak szüksége lehet
webkiszolgálók, levélkiszolgálók és FfF-kiszolgálók- a belső zónába. Ne feledjük, hogy
ha ezt nem tesszük meg, a felhasználóink nem lesznek képesek egyetlen olyan gépnek
sem feloldani a nevét, amely a tűzfalon kívül található.
4. Állítsunk be külső átirányítókat- ezek lesznek azok a számítógépek, amelyekre a belső
névkiszolgálók továbbítják a kérelmeket, hogy a belső felhasznáJók feloldhassák
az internetes neveket.
5. A belső névkiszolgálókat tegyük az előző lépésben létrehozott külső átirányítók
szolgáivá. Ezzel elrejtjük őket az Internet kívánesi szemei elől.
6. Állítsunk be úgy minden számítógépet a belső hálózaton, hogy csak a belső névkiszolgá
lókat használja. Ez lehetővé teszi, hogy bejegyezzék magukat az Actíve Directory-ba, ha
szükséges, így megtalálhatják a belső erőforrásokat, amelyeket nem lennének képesek
elérni, ha a tűzfalon kívül levő külső névkiszolgálókhoz kellene fordulniuk
Biztonsági megfontolások
Az osztott DNS-felépítés megvalósítása figyelembe veszi a biztonságot, de mindig tehetünk továb
bi lépéseket az ilyen DNS-rendszerek megerősítéséhez. Két műveletet már végre is hajtottunk
a folyamat során. Először is, azzal, hogy a belső névkiszolgálókat a külső átirányítók szaigáivá
tettük, kiköszöböltük annak a lehetőségét, hogy ha a tűzfal vagy valarnilyen átviteli probléma
megakadályozza a külső átirányítót a válaszolásban, a belső névkiszolgáló maga próbáljon keresni
az Interneten. Nyilván nem szeretnénk, hogy a belső névkiszolgálóink bármihez hozzányúljanak
a tűzfalon kívül, kivéve a külső átirányítókat. A másik lépés a tűzfal használata volt a két névki
szolgáló-csoport egymástól való elszigetelésére. Biztosítanunk kell, hogy a vállalati hálózatot
-ftl Windows Server 2008
az Internettől védő tűzfal helyesen legyen beállítva, és olyan szarosan zárjon, amennyire csak
lehetséges. Ha ebben a kérdésben részletes és alapos útmutatóra lenne szükségünk, ajánlom
Zwicky és mások Building Internet Firewalls című könyvét (O'Reilly, második kiadás). Különösen
arra kell ügyelnünk, hogy csak néhány kapu -például a DNS kapuja, az 53-as -legyen nyitva.
Ettől eltekintve a felépítés a megvalósítás után meglehetősen biztonságos.
1Mft!'!Q!ff19 Az alább leírt eljárás az Active Directory-ba beágyazott zónák esetében nem működik,
mivel a zónafájlok a címtárszolgá/tatáson belül találhatók, tehát nem érhetők el
a fáj/rendszerben.
Ha biztonsági másolatot szeretnénk készíteni egy olyan kiszolgáló adatairól, amely egy vagy
több elsődleges vagy másodiagos DNS-zónát tárol, kövessük az alábbi lépéseket:
Ha csak egy adott zóna elsődleges szerepkörét szeretnénk áthelyezni egy másik
�
névkiszolgálóra, egyszerűen másoljuk a zónához tartozó .DNS fájlt a célszámítógépre,
indítsuk el a fejezetben korábban bemutatott New Zone Wizardot, majd utasítsuk arra, hogy egy
korábbi zónafájlt használjon.
Parancssori segédprogramok
Ebben a részben néhány hasznos programot mutatunk be, amelyeket a parancssorból való futta
tásra terveztek, és amelyekkel automatizálhatjuk a DNS telepítésének és beállításának folyamatát.
DNSCmd
A könyvben korábban már említett Windows Server 2008 Support Tools gyűjteménynek része
a DNSCmd nevű segédprogram, amely nagyszerű lehetőséget ad néhány DNS-beállító parancs
hatékony és gyors elérésére a parancssoron keresztül. A DNSCmd programot megtalálhatjuk
a Windows Server 2008 telepítő CD-jének Support/Toals könyvtárában található support.cab
fájlban, ahonnan lemásolhatjuk és beilleszthetjük egy kényelmesen hozzáférhető helyre.
•
Információt szeretnénk szerezni egy DNS-kiszolgálóról.
•
Takarítást szeretnénk kezdeményezni.
• Meg szeretnénk tekinteni egy DNS-zóna tartalmát és adatait.
• Zónákat szeretnénk létrehozni, törölni vagy ideiglenesen "leállítani".
•
Meg szeretnénk változtatni egy zóna tulajdonságait.
•
Bejegyzéseket szeretnénk adni egy zónához, illetve törölni vagy kiíratni szeretnénk
meglevő bejegyzéseket
A DNSCmd használata egyszerű: egy-egy parancsban csak jellemzőket és hozzájuk tartozó érté
keket kell megadnunk. Új szabványos elsődleges zónát például úgy hozhatunk létre
corp.hasselltech.local néven egy dcl.corp.hasselltech.local nevű kiszolgálón, illetve tárolhatunk
a corp.hasselltech.local.dns fájlban, ha a következő parancsot adjuk ki:
Windows Server 2008
Új "A" bejegyzést, amely a www nevű számítógép bejegyzését adja a 192.168.1.23 IP címmel
a fenti példa DNS-kiszolgálójának zónájához, az alábbi paranccsal hozhatunk létre:
Ugyanígy előfordulhat, hogy magunk szeretnénk elévültté tenni egy adott számítógép összes
bejegyzését. Ezt a DNSCmd-ben az alábbi paranccsal egyszerűen megtehetjük
DNSUnt
A DNSLint szintén megtalálható a telepítő CD-n levő segédeszközök között. Ezt a segédprogra
mot az a vágy szülte, hogy önműködővé lehessen tenni a helytelen átruházásból és az Active
Directory-val végrehajtott többszörözés során a hibás DNS-bejegyzésekbó1 eredő hibák elhárítá
sát A DNSLint nagyszerű eszköz arra, hogy biztosítsuk, hogy a szolgáltatásainkról bejegyzéseket
tároló valamennyi DNS-kiszolgáló helyes bejegyzéseket tartalmazzon, és ne legyenek gondok
ezeknek a kiszolgálóknak az adataivaL (Ha kíváncsiak vagyunk, honnan ered az eszköz neve,
4. fejezet • A tartománynévrendszer
íme a magyarázat. A "lint" (foszlány) az, amit a farmernadrágunkon találunk egy szerencsétlen
centrifugálás után. Ha ilyesmit látunk, valószínűleg gyorsan megszabadulunk a haszontalan és
bosszantó foszlányoktól- és pontosan ezt kell tennünk az elavult vagy helytelen DNS-bejegyzé
sekkel is a hálózatunk létfontosságú számítógépein.)
A legjobb, amit tehetünk, hogy az alábbi paranccsal szabványos jelentést kérünk az adott DNS
tartományokról:
dnslint /d hasselltech.local /v
A DNSLint ekkor előállít egy HTML alapú jelentést, és elindítja az Internet Explorert, hogy megje
lenítse az eredményt. A jelentés színkódolt: a figyelmeztetések sárgával, a hibák pedig vörössei je
lennek meg, hogy könnyebben megtalálhassuk őket (de ha szeretnénk, sima szöveges jelentést is
kérhetünk). A fenti parancs által előállított jelentés részletesen felsorolja a corp.hasselltech.local
tartomány összes DNS-kiszolgálóját, és jelzi, hogy az egyes kiszolgálók válaszolnak-e az 53-as
kapun, amely a DNS szabványos kapuja. A jelentés megmutatja a kiszolgálók állapotát, és azt is,
hogy mely kiszolgálók irányadóak. A zóna MX-bejegyzéseit is láthatjuk, ami az SMTP-útválasztási
hibák elhárításához nyújt nagy segítséget.
dnslint /d tartománynév.tld /c
A fenti parancs által előállított jelentés megmutatja, hogy az MX-bejegyzésekben szereplő ki
szolgálók SMTP-, POP3- vagy I MAP4-kérelmeket figyelnek-e, illetve kiírja az általuk visszaadott
SMTP-fejlécet is, hogy segítse a vizsgálatot.
dnslint /d tartománynév
Ezzel a paranccsal a fejezet korábbi részében tárgyalt "helytelen átruházás" és a DNS-sei
kapcsolatos más problémák lehetséges okait deríthetjük fel. Ha a program elvégezte
a vizsgálatot, HTML formátumú jelentést kapunk. Ha több információt szeretnénk kapni
a jelentésben felsorolt DNS-kiszolgálók állapotáról, adjuk meg a /v kapcsolót is.
Ha olyan hibaüzenetet kapunk, miszerint a megadott tartomány nem szerepel
az InterNIC jegyzékében, egyszerűen adjuk a parancshoz az ls kapcsolót.
dnslint /ql mylist. txt
Ezzel a paranccsal egy felhasználó által meghatározott DNS-bejegyzéshalmazt ellenőriz
hetünk több DNS-kiszolgálón. Az ellenőrzni kívánt bejegyzések halmazát egy sima szö
vegfájlban adhatjuk meg. A következő listával például egy meglehetősen jól ismert vállalat
"
tartománynevének és IP címének "A , PTR-, CNAME- és MX-bejegyzéseit ellenőrizhetjük:
microsoft.com,a,r ;A record
207.46.197.100,ptr,r ;PTR record
microsoft.com,cname,r ;CNAME record
microsoft.com,mx,r ;MX record
Windows Server 2008
Zárszó
Ebben a fejezetben láthattuk, rniért létfontosságú a DNS a számítógépek közötti hálózati kap
csolattartásban, különösen ha azok Windows-tartományok részei. A DNS olyannyira központi
eleme az Actíve Directory-nak, hogy feltétlenül meg kellett ismerkednünk vele részletesen,
rnielőtt rátérhettünk volna magának az Active Directory-nak a bemutatására. A következő feje
zetben azonban már az kerül górcső alá, hogy miként működik az Actíve Directory, és hogyan
támaszkodik a DNS-re.
Az Active Directory
Az Active Directory egészét használva számos ügyes felügyeleti eszközhöz jutunk hozzá, többek
között a csoportházirendekhez (Group Policy, GP), ahhoz a lehetőséghez, hogy csoportokat
ágyazhatunk egymásba több szinten, valarnint egy a felhasználókat, számítógépeket, nyomtató
kat és névjegyeket tároló elektronikus címtárhoz, amelyet könnyen elérhetünk a Windows fel
használói felületén keresztül. Bár természetesen anélkül is üzemeltethetünk egy Windows alapú
hálózatot, hogy az Active Directory-t bármilyen formában telepítenénk, ezzel sok hasznos szal
gáltatástál esünk el - ezekről fogunk tanulni ebben és a következő fejezetben.
Címtár
A címtár egy önálló tároló, amely egy hálózat felhasználóinak és erőforrásainak az ada
tait tárolja. Az Active Directory olyan címtár, amely egy hálózat különféle erőforrásainak
tulajdonságait és elérési adatait tartalmazza, hogy mind a felhasználók, mind a rendszer
gazdák egyszerűen elérhessék azokat.
Tartomány
A tartomány a címtárban található olyan objekt\}mok gyűjteménye, amelyek egy felügye
leti vagy kezelési egységet alkotnak. Egy erdóben (ennek meghatározását lásd egy kicsit
később) több tartomány is létezhet, saját objektumokkal és szervezeti egységekkel (ezek
nek a meghatározását is a lista későbbi részében találjuk). A tartományok elnevezése
a szabványos DNS-protokollt követi, amelyet részletesen az előző fejezetben tárgyaltunk.
Tartományvezérlő
A tartományvezérlőtárolja egy adott tartomány biztonsági adatait és címtárobjektum
adatbázisát, és ő felel a hatáskörükbe tartozó objektumok hitelesítéséért. Egy tartomány
számára több tartományvezérlőt is kijelölhetünk, amelyek mindegyike adott szerepet tölt
be a címtárban, ugyanakkor ·a tartományokon belül minden tartományvezérlő minden
"
szempontból "egyenlő erejű. Ez eltér a Windows NT rendszerétől, amelyben elsődleges
és tartalék tartományvezérlőket is kijelölhettünk
Erdő
Az erdő a legnagyobb logikai tároló az AD DS-en belül, amely a látókörébe eső összes
tartományt átfogja, a tartományokat pedig automatikusan kialakított tranzitív (átvihetó)
bizalmi viszonyok kapcsolják össze. Így egy adott erdő minden tartománya automati
kusan megbízhat az erdőben található összes többi tartományban.
Szervezeti egység
A szervezeti egység (OU, organizational unit) egy olyan tároló, amelyben objektumok
(lásd alább) találhatók. Az OU-kat olyan hierarchikus, fához hasonló szerkezetbe
rendezhetjük, amely a legjobban megfelel a hálózatunk egységeinek, illetve a legjobban
megkönnyíti a felügyeleti feladatok elvégzését.
Objektum
Az AD DS-ben minden objektum, ami a címtár része lehet: a felhasználók, a csoportok,
a megosztott mappák, a nyomtatók, a névjegyek, sőt még a szervezeti egységek is.
Az objektumok a címtár egyedi fizikai elemei, amelyek közvetlenül kezelhetők.
Séma
A séma az AD DS-ben az adatbázis tényleges szerkezetét jelenti - a "mezőket", hogy egy
itt nem teljesen helyénvaló hasonlattal éljünk. Az AD DS-ben tárolt kölönböző típusú
adatok a jellemzők. Az AD DS sémája szabványos osztályokat, vagyis objektumtípusokat is
5. feiezet • Az Actíve o·
Tartományok
Amikor első alkalommal találkozunk az Active Directory-tartományszolgáltatásokkal, érdemes
először a tartományokat szemügyre venni, mert az AD DS nagyrészt a tartományokra épül.
A tartományok szerepét három alapfeladatra oszthatjuk:
A tartományok legalább egy listát fenntartanak az összes jogosult felhasználó nevével és jelszavá
val, amelyet egy tartományvezérlőnek nevezett számítógépen vagy számítógépek csoportján,
az AD DS-ben tárolnak A címtárban-ami valójában egy NTDS.DfTnevű fájl egy tartományvezér
lő merevlemezén - azonban sok más objektum is található: telephelyek, szervezeti egységek,
felhasználói csoportok, számítógépcsoportok, csoportházirend-objektumok (GPO-k, lásd a 6. feje
zetben) és névjegyek - hogy csak néhányat említsünk.
Windows Server 2008
Ezt az információkat tároló adatbázist ugyanaz a motor működteti, mint a Microsoft Exchange
Server nevű erőművét A motor támogatja az adatbázis tartalmának átvitelét több tartományve
zérlőre a hálózaton keresztül - ezt a műveletet nevezik többszörözésnek. A többszörözés
(replikáció) a válasz arra, hogy miként tartalmazhatja egy tartományban több tartományvezérlő
is ugyanazokat az információkat Tegyük fel, hogy van egy tartományvezérlőnk Seattle-ben és
egy másik Charlotte-ban, és az utóbbi helyen egy új felhasználót adunk a rendszerhez. Mi törté
nik, ha ez a felhasználó megpróbál bejelentkezni az egyik seattle-i számítógépre? Honnan tud
hat a seattle-i tartományvezérlő a charlotte-i felhasználóról? A többszörözés segítségével az AD
DS a megváltozott adatokat átviheti a tartomány minden érintett tartományvezérlőjére, hogy
a címtár tartalma mindig friss legyen valamennyi tartományvezérlőn.
Szarvezeti egységek
A tartományok hatalmas, átfogó egységek lehetnek, amelyeknek a kezelésében a legtöbb környe
zetnek nagy segítséget nyújthat, ha van rá valarnilyen mód, hogy egy nagy, egységes tartományt
kisebb, kezelhetőbb darabokra bontsunk. Erre szalgálnak az AD DS-ben a szervezeti egységek.
A szervezeti egységek (OU, organizational unit) egy szokványos ügyfél operációs rendszerén
úgy viselkednek, mint egy mappa, amely bármilyen típusú objektumot tartalmazhat, amelyet
az AD DS támogat. A tartományunkat a következő módokon bonthatjuk szervezeti egységekre:
•
Egy egyetemi hálózatban létrehozhatunk egy tartományt, amelynek a neve megfelel
az egyetemének (például ncsu.edu), az intézmény egyes karait pedig egy-egy szervezeti
egységbe helyezhetjük.
•
Egy közepes méretű cég használhat egyetlen tartományt a teljes Active Directory-tarto
mányszolgáltatások igényeinek kielégítésére, de földrajzi hely szerint szervezeti egysé
gekbe csoportosítva az objektumokat, így lehet egy OU a Los Angeles-i iroda, egy másik
OU a birminghami iroda és egy harmadik OU a richmondi iroda részére.
5. fejezet • Az Active Directory 111-
•
Egy nagyobb vállalatnál célszerű a tartományt részlegek szerint felosztani. A business.com
tartományon belül például létrehozhatunk egy-egy szervezeti egységet az eladási,
az ügyfélszolgálati, a piackutatási, a fejlesztési és a minőségbiztosítási osztály számára.
•
A rendszergazdák is dönthetnek úgy, hogy szervezeti egységeket hoznak létre az objektu
mok típusa szerint, így lehet egy szervezeti egység a számítógépek, egy pedig a nyomtatók
számára, és így tovább.
Telephelyek
A telephelyek nagy segítséget jelentenek a sávszélesség-felhasználás szabályozásában a WAN
kapcsolaton keresztül végrehajtott AD DS-többszörözés során. Egy Actíve Directory-tartomány
rninden tartományvezérlőjének rendszeres időközönként fel kell vennie a kapcsolatot a többi tar
tományvezérlővel, hogy letöltse vagy továbbadja az adatbázison az utolsó frissítés óta végrehajtott
változtatásokat, másképp az információk elavulnak, és a címtárnak senki nem veszi majd hasznát.
Ez a többszörözési forgalom azonban költséges lehet, ha a tartományvezérlőink kölönböző orszá
gokban vannak, és lassú WAN kapcsolatot kell használnunk a kölönböző irodák összekötéséhez.
Ha telephelyeket jelölünk ki az Actíve Directory-ban (erről az eljárásról a fejezetnek a többszörö
zésről szóló részében beszélünk majd), az AD DS-t az átvitel sebességének növelése érdekében
a többszörözési forgalom tömörítésére utasíthatjuk, és a "költségszámítási" szolgáltatás révén
előnyben részesíthetünk egyes WAN kapcsolatokat, magasabb értéket rendelve a ritkábban
használni kívánt kapcsolatokhoz, és alacsonyabbat a leggyakrabban használni kívántakhoz.
Ez nagyszerű módja a telekommunikációs költségek kezelésének, amely ugyanakkor kihasználja
az AD DS jobb felügyeleti szolgáltatásaiból származó előnyöket.
Csoportok
A csoportok célja, hogy a rendszergazdák könnyebben rendelhessenek tulajdonságokat egyszerre
sok felhasználóhoz. Képzeljünk el például egy címtárat 2500 felhasználóval. Létrehozunk egy új
megosztott fájlt, és bizonyos alkalmazottaknak- például a könyvelési osztály összes dolgozójának
-UJ Windows Serve r 200 8
-hozzáférési engedélyt kell adnunk hozzá. Felírjuk egy listára az osztály rnind a 2500 alkalmazott
ját, és saját kezűleg válogatjuk ki a megfelelő felhasználókat a listáról? Persze hogy nem.
A csoportok viszont lehetővé teszik, hogy létrehozzunk egy Accounting (Könyvelés) nevű objek
tumot, és a csoportba felvegyük a kívánt felhasználókat. Nem kell tehát egyenként kiválasztanunk
a felhasználókat egy hosszú listából; elég ha kijelöljük az Accounting csoportot, és a csoport
összes tagja ugyanazokkal a jogosultságokkal fog rendelkezni a megosztott fájlunkhoz.
Röviden meg kell említenünk azt is, hogy kétféle csoport létezik: a biztonsági csoportokat
a jogosultságok és engedélyek kiosztására, illetve visszavonására használjuk, míg a terjesztési
csoportokat kizárólag elektronikus levelek küldésére. A biztonsági csoportok ugyanakkor
terjesztési csoportként is működhetnek.
5. fejezet • Az Actíve Directory
Beágyazás
A beágyazás hasznos lehetőség, amely korlátozott formában már a Windows NT-ben is jelen
volt. A csoportok beágyazásával hozzájutunk ahhoz a képességhez, hogy gyorsan és fájdalom
mentesen adhassunk engedélyeket és jogosultságokat a különböző felhasználóknak Tegyük fel
például, hogy van egy COLORLASER nevű erőforrásunk, amelyhez szeretnénk, ha minden
teljesidejű alkalmazott hozzáférhetne. Nem rendelkezünk FTE (full-time employees, teljesidős
alkalmazottak) nevű csoporttal, amely a vállalat minden teljes munkaidőben dolgozó alkalma
zottját tartalmazná, de az egyes osztályok rendszergazdái olyan szerkezetet alakítottak ki,
amelyben a teljes- és részidős alkalmazottak külön csoportokban találhatók. A teljes vállalatra
kiterjedő FTE csoportot gyorsan létrehozhatjuk, ha fogjuk az egyes részlegek felhasználói cso
portjait (például ACCTG_FTE, ADMIN_FTE, PRODUCTION_FTE és SALES_FTE), és egy új, álta
lunk létrehozott, ALL_FTE nevű csoportba helyezzük azokat. Ezután egyszerűen megadhatjuk
a hozzáférési jogot a COLORLASER-hez, csak az ALL_FTE csoportnak kell engedélyt adnunk
az erőforrás használatára. Ebben a esetben tehát "beágyazott" osztálycsoportjainak vannak egy
nagyobb csoporton belül.
•
Az AD DS csak akkor támogatja az általános csoportokat, ha legalább Windows 2000
Native szinten működtetjük, mivel az NT 4.0 a csoportokat csak egy szint erejéig engedi
egymásba ágyazni.
•
Egy csoportnak nem lehet 5000-nél több tagja, ha az erdő nem legalább a Windows
Server 2003 erdőszintjén működik. A működési szinteket a fejezet késóbbi részében
tárgyaljuk, de nem árt, ha ezzel a korlátozással már most tisztában vagyunk.
-Ul Windows Server 2008
Fák
A fák az AD DS-ben létrehozott tartományi hierarchiák. Az első tartomány, amelyet az AD DS-ben
létrehozunk, automatikusan az első fánk gyökere lesz, az ezt követően létrehozott tartományok
pedig gyermektartományok, hacsak nem egy új fa gyökerében hozzuk létre azokat.
A gyermektartományok nevében mindig szerepel a gyökértartomány, tehát ha például létre
hozunk egy hasselltech.local nevű tartományt, annak minden gyermektartománya
az újtartománynév.hasselltech.!ocal formátumú nevet kell kapja. Lényegében tehát olyasmit
hozunk létre, amit a DNS szóhasználatában altartománynak hívunk. A gyermektartományoknak
annyi szintjét hozzuk létre, amennyire csak szükségünk van - a gyermekek lehetnek más
gyermekek gyermekei, és így tovább.
Az AD DS egyik hasznos szolgáltatása, hogy automatikusan kétirányú bizalmi viszonyt hoz létre
a szülő- és gyermektartományok között, tehát a létrehozott tartományok megbízhatóságát nem
saját kezűleg kell beállítanunk. A fentebb látott példában tehát az új gyermektartomány auto
matikusan meg fog bízni a szülőtartományában (hasselltech.local), és a szülő is a gyermekében,
mert automatikusan tranzitív bizalmi viszony jön létre közöttük A bizalom a gyermektartomá
nyok láncolatában továbbterjed, tehát a charlotte.eastcoast.us.northamerica.enterprise.com nevű
tartomány automatikusan meg fog bízni az eastcoast.us.northamerica.enterprise.com,
az us.northamerica.enterprise.com, a northamerica.enterprise.com és az enterprise.com tarto
mányban is.
Erdők
Az erdő a legegyszerűbben megfogalmazva csupán fák csoportja. Egy erdőben minden fa
automatikusan megbízik egymásban. Az erdőre gondoljunk úgy, mint egy bővebb családra,
az egyes tartományfákra pedig mint testvérekre. Ha egy családban öt testvér van, a gyermekeik
megbíznak a saját testvéreikben, és (általában) minden testvér családja megbízik a többi testvér
családjában - röviden, az unokatestvérek kijönnek egymással. Az erdő tehát olyan tartományfák
gyűjteménye, amelyek megbíznak egymásban.
Van azonban két buktató, amelyek elég jelentősek, ezért nem árt megemlítenünk őket:
•
Az egyetlen módja, hogy egy tartományt egy fához adjunk, ha a tartományt a semmiből
hozzuk létre, és létrehozáskor egy már létező fához rendeljük. A fákkal ugyanez a helyzet:
egy meglevő fát nem adhatunk közvetlenül egy már létező erdőhöz, csak ha töröljük,
majd újra létrehozzuk
•
A fentihez hasonlóan két meglevő önálló tartomány sem kapcsolható össze szülő-gyermek
viszonyban, tehát ha a hasselltech.local és a charlotte.hasselltech.local nevű tartományt
más-más, egymástól független hálózatban hoztuk létre, később nem köthetjük össze
azokat, mint szülőt és gyermeket. Ehhez a gyermeket vagy újra létre kell hoznunk, vagy
át kell telepítenünk.
Tegyük fel, hogy van egy businessone.com nevű erdőnk. A Business One vállalat felvásárol egy
másik céget, amelynek már van egy AD DS-erdője businesstwo.net néven. Emlékezzünk vissza,
hogy a businesstwo.net-et nem ágyazhatjuk be csak úgy a Business One már meglevő erdőjébe
a tranzitív erdőgyökér-bizalmi viszony segítségével azonban elérhetjük, hogy a businessone.com
megbízzon a businesstwo.net-ben, és élvezhessük az egyesített erdők néhány előnyét.
A megoldásnak azonban korlátai és hátrányai is vannak:
• Minden erdőnek legalább Windows Server 2003 erdő működési szinten kell működnie.
Ezzel később foglalkozunk; most elég, ha annyit tudunk, hogy minden erdő minden tar
tományában minden tartományvezérlőnek Windows Server 2003-at vagy Windows Server
2008-at kell futtatnia, ami a többletköltségek miatt kivitelezhetetlenné teheti a megoldást.
• Erről a szolgáltatásról később részletesebben is tanulunk a fejezetben, de nem árt, ha már
most megjegyezzük: a tranzitív erdőgyökér-bizalmi viszony nem hoz létre automatikusan
egyetlen egyesített globális katalógust, tehát két önálló erdő továbbra is két önálló globá
lis katalógust jelent.
• A tranzitív erdőgyökér-bizalmi viszony nem terjed tovább. A businessone.com és
a businesstwo.net például megbízik egymásban, de ha a businessone.com megvásáralja
a businessthree.org-ot, és bizalmi viszonyt alakít ki vele, a businesstwo.net attól még
nem fog automatikusan megbízni a businessthree.org-ban - ehhez új bizalmi viszonyt
kell meghatároznunk, arnivel ismét a Windows NT 4.0 nehézkes bizalmi rendszerénél
találjuk magunkat.
A kijelölt erdő-gyökértartomány lehet "üres tartomány", amely csak kis számú általános felhasz
nálót és erőforrást tartalmaz, vagy szokványos üzemi tartomány, amely véletlenül egy erdő
gyökerében található. Ez utóbbi azonban nem javasolt; több okból is előnyösebb egy olyan
üres erdő-gyökértartományt használni, amely nem üzemi tartományként szolgál. Először is,
a gyökértartomány tartományi rendszergazdáinak csoportja hatalommal bír az erdő felett,
márpedig ezt mi nem szeretnénk. Ha a gyökér üres, az lehetővé teszi, hogy anélkül adjunk át
-lll Windows Server 200 8
felügyeleti jogokat egyes tartományoknak, hogy mindent felfednénk- ez a biztonsági óvintéz
kedés segít, hogy a rendszergazdák becsületesek maradjanak. Ezen kívül az AD DS környezet
felépítését is megkönnyíti, mert az állandó gyökér logikus, könnyen megvalósítható és kezelhe
tő változtatásokat tesz lehetővé, például ha felvásárolunk egy céget, vagy új irodát nyitunk.
Az üres erdő-gyökértartomány ráadásul nagyon könnyen többszörözhető, és egyszerűen készít
hetünk róla biztonsági másolatot is. Ha pedig a felügyeleti jogokat a cégnél valamikor meg
kellene változtatnunk, a királyság kulcsait úgy adhatjuk át másoknak, hogy közben nem sértjük
meg a gyermektartományok rendszergazdáinak önállóságát.
Erdő
Felügyeleti felhasznáJók
Gyökértartomány
Tartományvezérlők elsődleges szerapkörrel
Gyermektartományok
bank. com
loanoffice.com
securities.com
5.1. ábra
A kijelölt erdőgyökér made// így teszi lehetővé az önálló NT-tartományoknak, hogy
önállóak legyenek az AD DS-ben is
Az üres gyökér stratégiájának kulcsa azonban az, hogy a gyökeret üresen tartsuk: csak egyetlen
rendszergazdai fiók legyen benne - az Enterprise Administrator (a vállalati rendszergazda)
fiókja, amely természetesen alapértelmezés szerint létrejön, amikor létrehozzuk egy új erdő első
tartományát-, és azt is csak akkor használjuk, ha elengedhetetlenül szükséges. Ezt követően
minden szükséges tartományt ez alatt az első tartomány alatt hozzunk létre, így a hálózatban
nem lesz olyan tartomány, amely feleslegesen tartalmaz vállalati rendszergazda szintű fiókokat
Névjegyek
A névjegyek egyszerűen olyan objektumok a címtárban, amelyek személyeket jelképeznek, és
olyan jellemzőket tárolnak, amelyek eligazítanak rninket, hogy miként vehetjük fel a kapcsolatot
az adott személlyel. A névjegyek nem könyvtárak felhasználóit jelölik, és jogosulttá sem tesznek
senkit a hálózatba való bejelentkezésre, illetve a hálózati vagy tartományi erőforrások használatára.
Globális katalógus
A globális katalógus az AD DS környezetben egyfajta részcímtárként működik, amelyhez egy
adott erdő minden tartománya hozzájut. Az AD DS lehetővé teszi, hogy az Actíve Directory
fánkban bármely számítógéphez csatlakozzunk. Ha a hálózatunk kicsi, ez nem jelent gondot, de
egy nagy cégnél, amelynek a hálózata sok tartományból áll, a sebesség igencsak lecsökkenhet,
arnikor az AD DS (a) megpróbálja megtalálni a fiókunkat tároló tartományt, (b) felvenni vele
a kapcsolatot, majd (c) beléptetni rninket a tartományba. Ahhoz, hogy a kirakósjáték minden
darabja a helyére kerüljön, egy összetett AD DS rendszerben jelentős ideig kell várakoznunk.
Ezért az AD DS az erdő minden tartományából létrehoz egy részhalmazt, amelyet a globális kata
lógusnak (GC, global catalog) nevezett tárolába helyez. A globális katalógus az erdő minden
tartományát és az azokban található összes objektumot felsorolja, de az objektumoknak csak
néhány jellemzőjét tárolja. A címtár egészéhez viszonyítva ez meglehetősen kevés információ,
a kisebb méret viszont azt jelenti, hogy a katalógus könnyen átadható az erdő adott tartományve
zérlőinek Ennek eredményeképpen, amikor egy felhasználó kapcsolódik az erdő egyik tartomá
nyának valamelyik számítógépéhez, és a legközelebbi tartományvezérlő ellenőrzi a felhasználó
nevét a globális katalógusban, azonnal megtalálja a felhasználónak "otthont" adó tartományt, és
megkezdheti a hitelesítést. A globális katalógusra tehát úgy gondolhatunk, rnint a címtár tárgy
mutatójára, ami ugyanúgy segít a keresett objektum megtalálásában, rnint ahogy egy könyv
tárgymutatójában megkereshetjük, hogy mely oldalakon esik szó a rninket érdeklő témáról.
Windows Server 2008
A globális katalógus az erdő tartományaiban található valamennyi globális csoport nevét is tartal
mazza, valamint az erdő összes általános csoportjának nevét és azok tagjainak teljes listáját.
(Emlékezzünk vissza, hogy az általános csoportok az erdő bármely tartományából tartalmazhatnak
felhasználókat és más csoportokat.) Ezért nem árt, ha korlátok közé szorítjuk az általános csopor
tok alkalmazását, különben a felhasználók bejelentkezéséhez szükséges idő jelentősen megnőhet.
AD DS-szerk.ezet felépítése
Ahhoz, hogy a fejezet hátralevő részéhez megfelelő alappal rendelkezzünk, a 4. fejezetben látott
hoz hasonló módon felépítünk egy valódi AD DS-erdőt, -fát és -tartományt. A most következő
részben tehát lépésről lépésre bemutatjuk, hogy miként hozhatunk létre egy tartományt, hogyan
léptethetünk elő egy tartományvezérlőt, illetve vehetünk fel egy új tartományvezérlőt a tarto
mányba, miként adhatunk a felépítéshez egy második gyermektartományt, valamint hogy miként
egészíthetjük ki a rendszert néhány felhasználóval és csoporttaL
Az első tartomány
Az AD DS-ben az első tartomány mindig különleges, mégpedig több okból. Először is, amikor lét
rehozunk egy új tartományt, az automatikusan megkapja az első tartományvezérlőt. Ez a számító
gép, amelyen az Active Directory Domain Services Installation Wizardot (Active Directory tartomá
nyi szolgáltatások telepítővarázslója) futtatjuk Másodszor, az új tartomány a teljes erdő gyökere
lesz, ami azt jelenti, hogy különleges hatalommal bír az erdóben létrehozott többi tartomány felett,
még akkor is, ha a nevük különbözik (erre hamarosan kitérünk).
• . l - t
[j luse�����al a�j
Lcam more aboU. the addilonal options that are
available n advanced mode installation.
5.2. ábra
Az Active Directory-tartományszolgáltatások
telepítésének kezdete
Ekkor az erdő működési szintjének beállítására szolgáló képernyő jelenik meg, ahol megadhat
juk, hogy az új erdő milyen megfelelőségi szinten működjön. A következő lehetőségek álllnak
a rendelkezésünkre:
a DNS nem talál irányadó szülőzónát. Ez csak akkor lényeges, ha olyan környezetben telepítjük a tarto
mányvezérlőt, amelyben a DNS-t már beüzemeltük. Mivel ennek az eljárásnak a során még csak most
fogjuk telepíteni a DNS-t, ezt a figyelmeztetést figyelmen kívül hagyhatjuk (amit az üzenet is jelez).
Ekkor az adatbázis- és naplómappák megadására szolgáló ablak jelenik meg, ahol meg kell
adnunk, hogy hol szeretnénk az AD DS adatbázist (emlékezhetünk rá, hogy ez egy N1DS.DIT
nevű fájl a tartományvezérlők merevlemezén), illetve a címtár változásait nyomon követő tran
zakciónaplót elhelyezni. Ha lehetséges, az adatbázist és a naplófájlt ne ugyanarra a lemezmeg
hajtóra tegyük, mert üzemi környezetben így érhetjük el a legjobb teljesítményt. A helyet
a Browse gombok segítségével kiválaszthatjuk a fizikai fájlrendszerből, de az elérési utat beírhat
juk közvetlenül is a megfelelő mezőkbe. Ha végeztünk a helyek kiválasztásával, lépjünk tovább.
l
To dosethis wizard, dlck Finish.
5.3. ábra
Sikeres AD DS-telepítés
bázisában tárolódik, és csak bizonyos módszerekkel érhető el, amelyek közül az egyik a helyreállító
5.
mód használata. Ami még érdekesebb, hogy a címtárszolgáltatások helyreállító módja valójában
a Windows Server 2008 egyfelhasználás módja. A címtárszolgáltatások helyreállításához szükséges
jelszót a címtár egyáltalán nem tárolja, így az nem is többszöröződik más tartományvezérlőkre.
Az AD DS eszközeinek használata
Mielőtt továbblépnénk, meg kell ismerkednünk azzal a három eszközzel, amelyet AD DS-rend
szergazdaként a leggyakrabban fogunk használni. Természetesen mindhárom eszközt a Server
Managerben, a megfelelő nevű szerepkör csomópontja alatt találhatjuk
Az első eszköz az Active Directory Users and Computers (Active Directory- felhasznáJók és
számítógépek), amelynek segítségével létrehozhatjuk az AD DS-felépítést egy tartományban,
felhasználókat és csoportokat adhatunk hozzá, beállíthatjuk a fiókok tulajdonságait, és általá
nosságban kezelhetjük a címtár mindennapi műveleteit. Az Active Directory Users and
Computers alapértelmezett ablakát az 5.4. ábra mutatja.
5.4. ábra
Active Directory-felhasználók és -számítógépek
A következő eszköz az Active Directory Domains and Trusts (Active Directory - tartományok és
megbízhatósági kapcsolatok). Ennek a segédprogramnak a segítségével bizalmi viszonyt építhe
tünk ki a tartományok között, és megemelhetjük a tartomány működési szintjét, hogy hozzá
férjünk az Active Directory új szolgáltatásaihoz. Az Active Directory Domains and Trusts alapér
telmezett ablakát az 5.5. ábrán láthatjuk.
-ftl Windows Server 2008
5.5. ábra
Active Directory-tartományok és -bizalmi viszonyok
Végül ismerkedjünk meg az Active Directory Sites and Services (Active Directory -helyek és
szolgáltatások) nevű grafikus eszközzel, amellyel az AD DS felépítését a hálózatunk földrajzi
kialakításához igazíthatjuk, így a többszörözési forgaimat a leggyorsabb és legalacsonyabb költ
ségű kapcsolatokra irányíthatjuk Azt is meghatározhatjuk, hogy a hálózatunk számítógépei
hogyan érhetők el különböző álhálózatok megadásával, ami növeli annak az esélyét, hogy
az ügyfelek a hozzájuk legközelebb eső tartományvezérlőre fognak bejelentkezni. Az Active
Directory Sites and Services alapértelmezett ablaka az 5.6. ábrán látható.
au Sites
Li Subnets
-a !d Inter-Site Transports
l±liWJIP
1±1 2j SMTP
El l Defauit.first-5ite-Name
B W Servers
a Jl WDSTEST
If NTDS Setfugs
5.6. ábra
Active Directory-telephelyek és -szolgáltatások
A fejezet hátralevő részében mindhárom eszköz használatára sor kerül, de most haladjunk tovább.
Új tartomány felvétele
A gyermektartományok felvétele hasonlóan egyszerű: elindítjuk a DCPROMO-t, és új tartomány
létrehozására utasítjuk, de új erdő létrehozása nélkül. Ezzel egy a/tartományt adunk a meglevő
tartományfához. A Network Credentials képernyő az erdő ahhoz a tartományhoz fogja kérni
a tartományi rendszergazda fiókjának azonosítóit, amelyben az új tartományt létre szeretnénk
hozni. Ha megadtuk a felhasználónevet és a jelszót, a Name the New.Domain (az új tartomány
elnevezése) képernyő jelenik meg, amelyet az 5.7. ábrán láthatunk.
'
Type the fuiy qualified doman name {FQON) r:i the parent domm or elek Browse to
select 4. Then 1;1>" the singi<Habel DNS name of the new child domain.
FODNoftheparentdomaltl:
jscnbnertechmediacorpJocal
� _
l'-Brow se�l
Exampie: corp .contoso .com
S'ltlgle1abel DNS name of the child domaín:
ldogfoodl
h_
&:amp�e:headciUarteti
Itt meg kell ruandanunk az AD DS-nek, hogy melyik tartományt szeretnénk bővíteni, majd ne
vet kell adnunk a szülőfához hozzáadni kívánt gyermektartománynak A Browse gombbal ke
reshetünk a címtárban, de magunk is beírhatjuk a nevet. A második mezőbe az új gyermektarto
mány nevének csak az első részét kell beírnunk, mert az alatta levő mező önműködően mutatja
a gyermektartomány teljes nevét. Ha készen vagyunk, lépjünk tovább.
Ezt követően előfordulhat, hogy hibaüzenetet kapunk, attól függően, hogy rnilyen típusú erdőbe
próbáljuk telepíteni az új tartományvezérlót (lásd az 5.8. ábrát). Esetleg futtatnunk kell az Active
Directory-előkészítő eszközt, amelyet a Windows Server 2008 telepító1emezének \sources\adprep
-f11 Windows Server 2008
mappájában találhatunk meg. Egyszerűen írjuk be az adprep /forestprep parancsot a pa
rancssorba, és a parancsfájl automatikusan végrehajtja a szükséges változtatásokat az erd6ben.
Ha a parancsfájl befejezte a működését, újra elindíthatjuk a DCPROMO-t, ismételten megadva
a tartomány adatait és az új beállításokat, és folytathatjuk a műveletet a varázslóban.
5.8. ábra
OK A varázsló előkészítetlen erdőre
figyelmeztető hibaüzenete
A varázslóban ezt követően hasonlóan haladhatunk, mint ahogy az el6z6 részben leírtuk Egy
apróságra azonban fel kell hívnunk a figyelmet: ha a tartománynak sok adatot kell többszöröznie
az új tartományvezérlőre, az el6léptetés hosszú ideig tarthat. A varázsló utolsó ablaka felkínálja
a lehetőséget, hogy a többszörözést késóbb végezzük el, és kísértést érezhetünk, hogy éljünk ez
zel a lehetőséggeL Ez valóban csökkenti az ahhoz szükséges id6t, hogy egy új tartományvezérlőt
működésbe hozzunk egy már létez6 tai-tományban, a többszörözést mégis javasolt rögtön végre
hajtani. Csak olyan esetben nem célszerű ezt azonnal elvégezni, ha egy olyan fiókirodában
állítunk fel új tartományvezérlőt, amely nagyon lassú kapcsolaton keresztül éri el a központot
Ha ez a helyzet, akkor jobb, ha megvárjuk a munkaid6 végét, és hagyjuk, hogy a többszörözés
akkor menjen végbe. Minden más esetben azonban javasolt nyomban elvégezni a többszörözést,
és egyszerűen kivárni, amíg befejez6dik.
t Createín; COfP.�emet.com/Us.,.
fntn-:
tast:name:
ft.i�:
lisortogon name:
·w:���-=�����-���-:�" ffl�
___
5.9. ábra
Új felhasználó felvétele
l Creale1n: CQIP.Wíndo\\�-t\lseB
Passwml:
Confím1 pa$$W<ml;
4. A következő képernyő az, ahol megadhatjuk a felhasználó kezdeti jelszavát, illetve a fiók
néhány tulajdonságát (lásd az 5.10. ábrát). Írjuk be és erősítsük meg a jelszót, majd a követ
kező négy jelölőnégyzettel döntsük el, hogy az új felhasználónak meg kelljen-e változtatnia
-f11 Windows Server 2008
a jelszót az első bejelentkezéskor, egyáltalán módosíthatja-e a jelszót, a jelszó a tartomány
lejárati házirendjét kövesse-e, illetve hogy a fiókot le kívánjuk-e tiltani. (A letiltott fiókok
felhasználói nem jelentkezhetnek be.) Ha ezekkel megvagyunk, lépjünk tovább.
5. Erősítsük meg az imént megadott beállításokat, és az OK gombra kattintva hozzuk létre
a felhasználót.
Createi1: CQTP.windowsservemet.comftjsers
Groop type'"=�-+---,
• Securíty
('; Distribubon
r Universal
OK
5.11. ábra
Új csoport létrehozása
Ha felhasználót hoztunk létre, a teendőink nem értek véget, mert még be kell állítanunk néhány
tulajdonságot, rnielőtt a felhasználói fiókot valóban használatba vehetnénk. Kattintsunk az egér
jobb gombjával az új felhasználóra az ADUC-ban, és válasszuk a helyi menü Properties (Tulajdon
ságok) pontját. Az alábbiakban összefoglaljuk a tulajdonságablak lapjain található lehetőségeket:
General (Általános)
A Generaliapon olyan adatokat adhatunk meg, rnint a felhasználó keresztneve, középső
neve és vezetékneve, a felhasználó leírása, irodájának helye, elsődleges telefonszáma,
elektronikus levélcíme, illetve honlapja. A General lapot az 5.12. ábrán láthatjuk.
Address (Cím)
Az Address lapon a felhasználó földrajzi tartózkodási helyét és postai címét adhatjuk
meg. Az Address lap az 5.13. ábrán látható.
5. fejezet • Az Active Directory
1
Telephone i1UI11b<r: 1.......,_."""" Jl1' �·-···
Eilllli:
Webpage
5.12. ábra
OK
A Generallap
Slree!:
P.O.BOJ<:
City:
State/pmvinCe
Zip/Postal Code:
Couriry!reg«m:
5.13. ábra
OK
Az Address lap
Aecount (Fiók)
Az Account lapon a felhasználó bejelentkezési nevét, elsődleges neve utótagját (ezt a fo
galmat egy kicsit később tisztázzuk) és engedélyezett bejelentkezési idejét módosíthatjuk,
illetve megadhatjuk azokat a munkaállomásokat, amelyeket használhat A bejelentkezés
re rendelkezésre álló időpontokat a Logon Hours (Bejelentkezési idő) gombra kattintva,
majd az engedélyezni vagy letiltani kívánt időtartamokat beállítva adhatjuk meg.
A használható munkaállomások beállításához kattintsunk a Logon To gombra, de
ne feledjük, hogy ennek a korlátozásnak az érvényre juttatásához a hálózaton működnie
kell a NetBIOS protokollnak
A fentieket kívül ezen a lapon további lehetőségeket is találunk. Megadhatjuk, hogy
a felhasználónak meg kelljen változtatnia a jelszavát, amikor legközelebb bejelentkezik,
hogy a jelszót nem módosíthatja, hogy a jelszava soha nem jár le, hogy a Windows
Windows Server 2008
a jelszót gyengébb, visszafejthető titkosítással tárolja, hogy a fiókot le akarjuk tiltani, hogy
a bejelentkezéshez a jelszó mellett okoskártyát is kell használni, hogy a fiók az olyan
szaftveres szolgáltatásokhoz készült, mint az Exchange, ezért képesnek kell lennie más
rendszererőforrások elérésére, hogy a fiók nem megbízható, hogy a fiókhoz DES titkosítás
szükséges, illetve hogy a Kerberos protokollnak egy másik megvalósítását kell használni.
Az Account lapot az 5.14. ábrán láthatjuk.
5.14. ábra
Az A ecount lap
5.15. ábra
A Profile lap
Profile (Profil)
A Profile lapon a felhasználó profiljának elérési útját adhatjuk meg. A felhasználói profil
a felhasználó Asztalának és Start menüjének tartalmát, valamint a felhasználó egyéb testre
szabott beállításait (tapéta, színséma stb.) tartalmazza. A profil tárolásának helyét a Profile
Path mezóbe írhatjuk be. A felhasználó kezdőkönyvtárának helyét is meghatározhatjuk; ez
5. fejezet • Az Active Directory l@-
az az alapértelmezett hely, ahol a legtöbb Windows-alkalmazás az adott felhasználó
adatait tárolja. Úgy is dönthetünk, hogy a felhasználó kezdőkönyvtárához automatikusan
hozzárendelünk egy konkrét meghajtó-betűjelet A Profile lapot az 5.15. ábrán láthatjuk.
Telephones (Telefon)
A Telephones lapon kölönböző telefonszámokat adhatunk meg, amelyek megfelelnek
az adott felhasználó otthoni vezetékes telefonjának, mobiltelefonjának, személyi hívójának,
faxának, illetve IP-telefonjának. A Telephones lapot az 5.16. ábra mutatja.
Organization (Szervezet)
Az Organization lap az a hely, ahol megadhatjuk a felhasználó hivatalos beosztását, a rész
leget, ahol dolgozik, a vállalat nevét, amelynek az alkalmazottja, a közvetlen feletteseit,
valarnint a főnökének a nevét. Az Organization lapot az 5.17. ábrán láthatjuk.
IP phone
Notes:
:cl
5.16. ábra
OK
A Telephones lap
5.17. ábra
OK
Az Organization lap
-'1•1 Windows Server 2008
Remote control (Távvezérlés)
Ezen a lapon, amelyet az 5.18. ábra mutat, a terminálszolgáltatások tulajdonságait találjuk
Részletesen a 9. fejezetben mutatjuk be.
Terminal Services Profile (Terminálszolgáltatás profilja)
Ezen a lapon, amelyet az 5.19. ábrán tekinthetünk meg, szintén a terminálszolgáltatásokhoz
kapcsolódó tulajdonságokat találunk, ezért részletesen ezt is a 9. fejezetben mutatjuk be.
COM+(COM+)
A COM+ lapon a felhasználókat a különböző kiszolgálók COM+ lemezrészein található
alkalmazásokhoz rendelhetjük A COM+ lap az 5.20. ábrán látható.
Member Oj(Tagság)
A Member Of lap a felhasználó csoporttagságát mutatja. Alapértelmezés szerint minden fel
használó a Domain Users (tartományi felhasználók) csoport tagja. Ha a felhasználót további
csoportokba szeretnénk felvenni, kattintsunk az Add (Hozzáadás), ha pedig el szeretnénk
távolítani valamelyik csoportból, a Remave (Eltávolítás) gombra (lásd az 5.21. ábrát).
5.18. ábra
A Remo te controllap
5.19. ábra
A Terminal Services Proftie lap
5. fejezet • Az Active Directory ll§-
John Q. Pubtic Properties �1 "';
r:-� 3
�·'·'·'·
5.20. ábra
OK Caritel
A COM+ lap
5.21. ábra
A Member Of lap
�
�
John Q. Public Properties
5.22. ábra
OK A Dial-in lap
Windows Server 2008
Dial-in (Betárcsázás)
A2 5.22. ábrán látható Dial-in lapon különféle távelérési lehetőségeket és tulajdonságokat
állíthatunk be a felhasználó számára. A2 útválasztással és a táveléréssei részletesen
a ll. fejezetben foglalkozunk majd.
Environment (Környezet)
Az Environment lap, amelyet az 5.23. ábra mutat, ismét a terminálszolgáltatásokhoz
kapcsolódó tulajdonságokat tartalmaz, ezért részletesen ezt is a 9. fejezetben mutatjuk be.
Sessions (Munkamenetek)
A2 5.24. ábrán látható Sessions lap is a terminálszolgáltatások tulajdonságaival kapcsolatos;
a lehetőségek részletes magyarázatát lásd a 9. fejezetben.
Use this tab to corílgure the Tem1Írlal SeMces stamJp enWootnent. These
s<l!!!ngs ovenide dlent-specified se!tlngs
5.23. ábra
Az Environment lap
Use this tab to set TemW:la! SeMces l>n""" and roconnection se!Wlg•
�
.Allow recoMeetion:
5.24. ábra
OK
A Sessions lap
5. feiezet • Az Actíve Directory
Amikor új csoportot hozunk létre, kevesebb tulajdonságot kell beállítanunk. Ezeket a csoportokra
vonatkozó beállításokat részletezzük az alábbiakban:
General (Általános)
A General lapon olyan adatokat adhatunk meg, mint a csoport neve és rövid leírása,
a csoport elektronikus levélcíme, hatóköre és típusa, valamint bármely olyan megjegyzés,
amelyet magunknak vagy más rendszergazdáknak a csoporthoz szeretnénk fűzni.
Ezt a General lapot az 5.25. ábrán láthatjuk.
Members (Tagok)
A Members lap a csoport jelenlegi tagjait sorolja fel. Ha tagokat szeretnénk felvenni
a csoportba, vagy törölni szeretnénk egyes tagokat onnan, kattintsunk az Add, illetve
a Remave gombra. A Members lap az 5.26. ábrán látható.
Heipdeok Aeoresentativ..
Description:
E-mai:
Group scope ..
l'fGroup• type
for J� l� l� l , · • ..� Secuty
(:' Global • . .CJ DostributJon
l (' Un.venoi ;:. !.th .. l
Notes
5.25. ábra
A Generallap
Mlf!t§i·!§·ii%19rlffiMMZiK-- L __
__
·c;;nc
5.26. ábra
OK el
A Members lap
-��� Windows Server 2008
A szokványos felügyeleti feladatok elvégzése
Az ADUC-ban néhány ügyes trükk segítségével egyszerre több fiókon végezhetünk műveleteket,
ami az ismétlődő módosítások végrehajtását némileg kevésbé fárasztóvá teszi. Az ADUC-ban
például egyszerre több fiókot is kijelölhetünk, ha az egyik fiókra kattintunk, majd végrehajtjuk
az alábbi két művelet egyikét:
• A SHIFT billentyűt nyomva tartva kijelölünk egy másik fiókot, és ezzel egyben a két fiók
közötti tartományban levő összes fiókot is kijelöljük
• A CTRL billentyűt nyomva tartva a kívánt fiókokra kattintunk, így egyenként a kijelöléshez
adhatjuk azokat.
Ezt követően az egér jobb gombjával a fiókok csoportjára kattinthatunk, és olyan műveleteket
végezhetünk, mint a közös tulajdonságok módosítása vagy elektronikus levelek küldése . Amikor
egyszerre több fiókra kattintunk az egér jobb gombjával, a Properties menüpontot választva
az 5.27. ábrán látható ablak jelenik meg.
5.27. ábra
Több fiók tulajdonságainak egyidejű módosítása
Ebben az ablakban egyszerre több fiókot módosíthatunk. Az egyes fiókokkal kapcsolatban elér
hető lehetőségek egy részéhez nem férünk hozzá, de az olyan szokványos feladatokat, mint
a fiókok UPN utótagjának megváltoztatása, a jelszó kötelező megváltoztatásának előírása vagy
az okoskártya megkövetelése a bejelentkezéshez, egyszerűen elvégezhetjük ezen a képernyőn.
Először nézzük meg, hogyan épül fel egy LDAP-azonosító. Tegyük fel például, hogy a szerző,
Jonathan Hassell, az SBSUsers tárolóban található a hasselltech.local tartományon belül.
5. fejezet • Az Active Directory Ilf-
Ennek alapján az LDAP-neve ez lesz:
Cn="Jonathan Hassell",cn=SBSUsers,dc=hasselltech,dc=local
A "Cn" rövidítés a tárolóra (container) utal, míg a dc" egy tartománynév (domain name)
"
összetevőire (component). Az enterprise.com Charlotte tárolójába helyezett Marketing tárolóban
található Lisa Johnson nevű felhasználó LDAP-neve a fentiek szerint így alakul:
Cn="Lisa Johnson",cn=Marketing,cn=Charlotte,dc=enterprise,dc=com
jhassell@hasselltech.local
ljohnson@hasselltech.local
Most, hogy tudjuk, hogyan adhatunk meg bizonyos tulajdonságokat az LDAP-ben, a DSADD
segédprogram segítségével a parancssorból is létrehozhatunk felhasználókat. A DSADD haszná
latának előnye, hogy a parancsokat egy parancsfájlba gyűjthetjük, hogy önműködővé tegyük
a felhasználói fiókok létrehozását.
Vegyünk egy másik példát: ha az sjohnson (Scott Johnson, akinek az e-mail címe
sjohnson@hasselltech. net, kezdeti jelszava pedig changeme") nevű felhasználót kívánjuk a Sales
"
nevű szervezeti egységhez adni, és a Presales csoport tagjává szeretnénk tenni, az alábbi paran
csot használhatjuk
sjohnson@hasselltech.lacal
-fn Scott -ln Johnson -display
"Scott Johnson" -password changeme -email
sjohnson@hasselltech.lacal
-memberof cn=presales,ou=sales,dc=hasselltech,dc=local
Most már valószínűleg képet tudunk alkotni arról, hogy miként működik a dolog. A DSADD
segítségével szervezeti egységeket (OU-kat) is felvehetünk. A "support" nevű OU felvétele
például a következő utasítással történhet:
dsadd ou cn=support,dc=hasselltech,dc=local
Átruházás
Az AD DS egyik messze leghasznosabb szolgáltatása, hogy lehetővé teszi, hogy megengedjük más
felhasználóknak, hogy részleges felügyeleti jogot gyakoroljanak a címtár egy része felett - ezt
az eljárást nevezzük átruházásnak. A felügyeleti jogkör átruházásával levehetünk némi terhet
a rendszergazda válláról, és valaki másra rakhatjuk Előfordulhat például, hogy a saját részlegünk
egyik dolgozóját fel szeretnénk hatalmazill arra, hogy visszaállíthassa a részleg többi dolgozójának
jelszavát, vagy részidős diákokat szeretnénk alkalmazni technikusként, és képessé szeretnénk ten
ni őket arra, hogy új felhasználókat hozzanak létre, illetve segítsenek megtalálni az alkalmazottak
elvesztett jelszavait Az AD DS-ben az átruházáson keresztül mindezt könnyen megtehetjük
Teendőinket még egy varázsló is segíti. A szükséges műveletek valahogy így festenek:
Lássunk is neki! Az ADUC-ban jelöljük ki azt a szervezeti egységet, amelynek a felügyeleti jogát
át szeretnénk ruházni másokra, kattintsunk rá az egér jobb gombjával, és a megjelenő helyi
menüből válasszuk az ellenőrzés átruházását lehetővé tevő Delegate Control lehetőséget. Ekkor
megjelenik a Delegation of Control Wizard. Ha továbblépünk a bevezető képernyőről, a Users
or Groups ablakot fogjuk látni, amelyet az 5.28. ábra mutat.
u.ers or Groups
Select one or more users or groups to Y\tlom you warrt. to delegate control
<Back
5.28. ábra
A Users or Groups képernyő
5.
A varázsló utolsó ablakában meg kell erősítenünk a választásainkat Tegyük is meg a Finish
gombra kattintva, és ezzel az átruházást teljessé tesszük.
MMM Sajnos nincs rá mód, hogy naplózzuk az átruházási beállításokat, ezért mindig
készítsünk nagyon részletes és pontos leírást róluk, mivel a felhasználói felületen
nem tudjuk nyomon követni őket.
mány BDC-i számára, ezt a fajta többszörözést egyrnesteres többszörözésként ismerték, rnivel
egyetlen mesterszámítógép ("főkiszolgáló") közölte a változásokat a kevesebb képességgel
felruházott szolgákkal.
Világos, hogy egyes tartományvezérlők nagyobb hatalommal kell rendelkezzenek, rnint mások,
egyszerűen azért, mert néha minden számítógépnek szüksége van vezetőre. Nos, az AD DS
nem teljesen önirányító. A Microsoft a problémát úgy oldotta meg, hogy különleges szerepkörö-
5.
Egy erdő első tartományvezérlője egyszerre betölti mind az öt fenti szerepet, az erdő
második tartományának első tartományvezérlője pedig a három tartományi hatáskörű
szerepkört. Ha egy hálózatban csak egyetlen tartományvezérlő található, az mind az öt szerepkört birto
kolni fogja.
Sémamester
Egy erdóben a sémamester nagyon fontos szerepet tölt be: biztosítja, hogy a séma vagy
az AD DS adatbázis szerkezetének változásai következetesen történjenek. A sémamester akadá
lyozza meg a módosítási ütközéseket az erdóben, amelyek nagyobb gondot jelentenek, mint
képzelnénk, és az AD DS alapú hálózat növekedésével egyre nagyobb az esélyük. Bár azt hi
hetnénk, hogy a séma nem változik túl gyakran, néhány művelet mégis megváltoztatja; például
az Exchange 2000 vagy 2003 telepítése egy tartományba akkor is kibővíti az egész erdőre kiter
jedő sémát, ha egyes tartományok nem használják az Exchange-t. A sémát más, az AD DS-ről
tudomással bíró alkalmazások is módosíthatják, például a Microsoft ISA Server tűzfala, illetve
egyes hálózati és felhasználókezelő alkalmazások, például a NetlQ programjai.
Azt sem szabad elfelejtenünk, hogy az erdő Active Directory-sémája és a globális katalógus
összefüggnek. Emlékezzünk vissza, hogy a globális katalógus egy erdő összes tartományából
tartalmaz információkat Ha új jellemzőket adunk a sémához, és azt szeretnénk, hogy ezek be
kerüljenek a globális katalógusba, minden globáliskatalógus-kiszolgálóként működő tartomány
vezérlőnknek értesülnie kell a változásokról. Ehhez a Windows 2000-et használó tartományve
zérlőkön a teljes globális katalógust ki kell üríteni és újraépíteni minden tartományvezérlőn,
a Windows Server 2008 rendszerű tartományvezérlőkre azonban csak a változásokat kell átmá
solni. Egy nagy cégnél jelentős sávszélesség-megtakarítást jelent, ha a globális katalógusra épü
lő tartományvezérlők többsége Windows Server 2008-at futtat - ezt nem árt, ha észben tartjuk.
Windows Server 2008
lWDSTEST.cotp.'o\1ndow<..servemel.com
5.30. ábra
A Change Schema Master képernyő
Ne feledjük, hogy ezt a szerepkört arra tervezték, hogy nem csupán önálló kiszolgálón, hanem
a globáliskatalógus-kiszolgálón helyezzük el. Úgy tűnik, a szerepkör a globális katalógus egyes
információra támaszkodik (az erdő más tartományainak címtárkivonatára) a feladatai elvégzésé
hez, mindazonáltal ha Windows Server 2003 vagy Windows Server 2008 erdő működési szinten
üzemeltetjük a rendszert, ez a fajta elhelyezés szükségtelen.
RID-mester
AzRID-mester feladata, hogy kiossza és közzétegye az AD DS-ben levő objektUmok SID-inek
utolsó részét. Tudjuk, hogy amikor a Windowsban létrejön egy objektum, egy egyedi SID-t
(biztonsági azonosítót) kap. Az SID formája S-1-5-21-A-B-C-RID, ahol az S-1-5-21 minden SID-ben
"
közös, az azonosítószám "A", "B" "C részei pedig véletlenszerűen előállított 32 bites számok,
amelyek egy adott tartományra vagy számítógépre jellemzők (az utóbbi eset akkor áll fenn, ha
az AD DS-t nem telepítettük a kiszolgálóra, vagy ha a munkaállomás nem kapcsolódik tarto
mányhoz). Az SIDRID része (relative identifier, relatív azonosító) szintén egy 32 bites szám, és
az SID-nek ez az egyedi része, amely egy konkrét objektUmot azonosít a címtárban.
5.31. ábra
Az RIO-gyűjtő mester meghatározása
PDC-utánzó
A PDC-utánzó műveleti mester igen fontos szerepet tölt be a kevert Windows NT Server, 2000
Server, Windows Server 2003 és Windows Server 2008 tartományokban. Ahogy ennek a résznek
az elején említettük, az NT rendszerű - akár elsődleges, akár tartalék - tartományvezérlők nem
támogatják a többrnesteres többszörözést, ezért ha a PDC-t Windows 2000 vagy Windows Server
2003 rendszerre frissítettük, nyilvánvalóan nem lesz olyan számítógép, amelyről a BDC-ket frissít
hetnénk, vagy legalábbis nem olyan, amelyet azok megértenének Akik ismerik a Microsoft régeb
bi hálózati protokolljait, tudják, hogy a Master Browser (mestertallózó) szolgáltatás - a munkaállo
másokon és kiszolgálókan a Network Neighborhood és My Network Places (Hálózat/Hálózati
helyek) ablakokat feltöltő segédprogram - jellemzően az elsődleges tartományvezérlőn fut egy
NT-tartományban. A Windows 95 rendszerházirendjeit szintén a PDC tárolja, nem valamelyik
tartalék tartományvezérlő, és az NT-, illetve AD DS-tartományok közötti bizalmi viszonyok kiépí
téséhez is egy PDC-re vagy PDC-utánzóra van szükség, mert az NT azt hiszi, hogy csak egyetlen
számítógép rendelkezik a SAM adatbázis írható-olvasható példányávaL
ChaÖge.,
5.32. ábra
A ?DC-utánzó mester meghatározása
lnfr.astnuktúra-nnester
Az infrastruktúra-mester is ahhoz nyújt segítséget, hogy egyes információk elterjesztése és több
szörözése gyorsabb legyen a tartományvezérlők között. Az infrastruktúra-mester szerepkörét
nem egy globáliskatalógus-kiszolgálóként működő tartományvezérlőnek kell betöltenie, hacsak
a tartományunk valamennyi tartományvezérlője nem egyben GC-kiszolgáló is, vagy ha összesen
egy tartományunk van.
Windows Server 2008
5.33. ábra
Az infrastruktúra-mester módosítása
repátadást néhányszor meg kell erősítenünk, mielőtt az érvényre jutna, de végül sikerrel fogunk járni.
A Windows Server 2008-nak része az NTDSUtil nevű parancssori segédprogram, amellyel olyan
AD DS-karbantartási feladatokat is elvégezhetünk, amelyek messze túlmutatnak a grafikus felületű
eszközök lehetőségem. Az említett esetekben a sémamester, a tartománynév-kiosztó mester vagy
az RID-mester szerepkörét kell átadnunk, illetve az áthelyezést kikényszerítenünk, amennyiben
a szerepet eredetileg betöltő kiszolgáló nem érhető el.
5. feiezet • Az Actíve o·
1. Írjuk be a seize schema master, seize domain naming master vagy seize rid
master utasítást, hogy a megfelelő szerepkör áthelyezését kikényszerítsük a célszámító
gépre.
2. Ha a szerepkör elvétele megtörtént, a quit paranccsal lépjünk ki az NTDSUtil segéd
programbóL
A címtár-többszörözés alapjai
Lényegét tekintve a többszörözés egyszerűen arra szolgál, hogy az AD DS adatbázisának minden
példánya azonos legyen az adott tartomány összes tartományvezérlőjén. Ha egy rendszergazda
például eltávolít egy felhasználót egy csoportból, a változtatást azon a tartományvezérlőn hajtja
végre, amelyikre éppen bejelentkezett. A módosítás után néhány másodpercig ez a tartományve
zérlő az egyetlen, amely az adatbázis legfrissebb változatát tárolja, végül azonban a többszörözés
után minden tartományvezérlő pontosan ugyanazt az adatbázist fogja tartalmazni, beleértve
a csoporttagságon végrehajtott módosítást.
-fil Windows Server 2008
A telephelyek belseje: hurkok és hálók
Az AD DS az adatokat a hálózat kialakításától (topológiájától) és különösen attól függően, hogy
hány telephelyet állítottunk fel az AD DS rendszerben, különféle módszerekkel többszörözi a tar
tományvezérlők között. Ha egyetlen telephellyel rendelkezünk, a tartomány rninden tartományve
zérlője az AD DS-ben és a tartomány DNS rendszerében közzétett bejegyzéseken keresztül fedezi
fel a többieket. A hálózati forgalom csökkentése érdekében azonban nem minden tartományve
zérlőnek kell ténylegesen többszörözést végeznie az összes többi tartományvezérlőre - az AD DS
ehelyett egy hurkot használ. Vegyünk például négy tartományvezérlót A, B, C és D néven (lásd
az 5.34. ábrát). Ebben a példában az AD DS két hurok segítségével hajtja végre a többszörözést.
Tegyük fel például, hogy az A tartományvezérlőn hajtottunk végre valarnilyen módosítást.
A értesíti B-t és C-t, hogy új információkkal rendelkezik, végül pedig B és C elkéri az új adatokat
A-tól. Miután az adatokat megkapták, B és C egyaránt megkísérli értesíteni D-t a változásról, D
pedig attól a tartományvezérlőtől kéri el az új adatokat, amelyik először kapcsolatba lép vele. Azt
nem lehet megbízhatóan meghatározni, hogy ez az esetünkben a B vagy a C kiszolgáló lesz-e, de
amikor a változásról értesítő második üzenet is megérkezik D-hez, az válaszol, nyugtázva, hogy
már rendelkezik az információval, és ez egyben a kommunikáció végét is jelenti, mivel ekkor már
valamennyi tartományvezérlő a legfrissebb adatokkal rendelkezik.
·:·----
DC -··
-- ••
rocl
B :
L2J
.
�
· :
. .
' '
'
t ,
',
.
'
DC
c
•••
5.34. ábra
. ·.. - -· • ••
Gondoljunk viszont bele, hogy mi történne, ha nem két, hanem csak egy hurkot használnánk.
Ebben az esetben A értesítené B-t, B értesítené C-t, C értesítené D-t, D pedig (feleslegesen)
értesítené A-t. Szerencsére nem ez történik. A valóságban az értesítés nagyon gyorsan megtörté
nik, a hálózati adatforgalom pedig kicsi, ami az egész eljárást hatékonyabbá teszi. A műveletre
valójában minden öt percben sor kerül, és ha vannak friss adatok, az eljárás lezajlik, ha pedig
nincs új információ, a tartományvezérlők nem küldenek el semmilyen adatot. Mindazonáltal ha
60 perc is eltelik új információk nélkül, a tartományvezérlők mindegyike elküld egy üzenetet
a társainak, hogy megbizonyodhassanak róla, hogy nem történt semmilyen változás.
Időegyeztetés
Ahhoz, hogy a többszörözés megfelelően működjön, létfontosságú, hogy a tartományban, illetve
az erdóben minden tartományvezérlő ideje összhangban legyen. Ennek okát a teljes AD DS
hitelesítési rendszerét adó Kerberos követelményeiben kell keresnünk: ha bármelyik tartomány
vezérlő ideje több rnint öt perccel eltér, a hitelesítés meghiúsuL
A Microsoft a Windows Time Service (Windows időszolgáltatás) nevű eszközzel segít rninket
abban, hogy egy teljes tartomány vagy erdő idejét pontosan összehangoljuk A Windows Time
Service egy hierarchiát állít fel az Actíve Directory-tartományok és -erdők tagjai számára, amely
ben a PDC-utánzó műveleti mester szerepét betöltő számítógép a "Big Mac", amely a megbízható
időt mutatja. A legfelső szinten levő megbízható órát nem kell összehangolni semmilyen hely
idejével - az összehangolás csak a tartományon belül lényeges, rnivel a tartomány tagjai attól füg
getlenül hitelesnek tekintik ezt az órát, hogy az valóban a tényleges időt mutatja-e. Más szavakkal,
ha mindenki ugyanazt hiszi, nem számít, ha mindnyájan tévednek.
•
A nem tartományvezérlőként mú'Ködő kiszolgálók és a munkaállomások annak a tartomány
vezérlőnek az órájához igazítják az idejüket, amelyik bejelentkeztette őket a hálózatba.
• A tartományvezérlők az adott tartományban a PDC-utánzó műveleti mester szerepét betöltő
tartományvezérlőtó1 kérdezik le az időt.
•
A több tartományból álló erdőkben minden tartomány az erdő gyökerében- az erdő
első tartományában - levő PDC-utánzó műveleti mesterhez fordul, és a többi tartomány
PDC-utánzó tartományvezérlői ahhoz igazítják az idejüket.
w32tm /resync
Többszörözési topológiák
A hurkok és hálók csak két fajtáját jelentik annak, amit a Microsoft többszörözési tapológiának hív.
A többszörözési topológia lényegében azokat a módszereket jelenti, amelyekkel a tartományve
zérlők végrehajtják a többszörözést a többi tartományvezérlőre. Hogy a dolgunk ne legyen olyan
egyszerű, egy adott erdóben párhuzamosan szinte mindig több többszörözési topológia működik.
Vessünk is rájuk egy pillantást!
Ha egy erdóben sok tartományvezérlő üzemel, előfordulhat, hogy egy többszörözési topológia
nem elegendő, vagy nem a leghatékonyabb módja az információk átvitelének a tartományve
zérlők adott alcsoportjai között. Egy ilyen helyzetet láthatunk szemléletesen az 5.35. ábrán.
5. fejezet • Az Active
5.35. ábra
Egy erdő összes többszörözési topo!ógiája
Object: LAUSERS
Change: Remove RSMITH
Version: l
Timestamp: 30 June 2004 5:30:01 PM GMT
-l:ul Windows Server 2008
Object: SYDUSERS
Change: Add RSMITH
Version: l
Timestamp: 30 June 2004 5:30:02 PM GMT
Nézzük meg közelebbről ezt a bejegyzést! A bejegyzés egyes elemei objektumok jellemzőinek
változásait rögzítik - ebben az esetben a tagok listája egy adott csoportobjektum jellemzője -,
nem pedig egy teljes objektumét. Ez a hálózati adatforgalom csökkentése érdekében fontos: ha
az LAUSERS csoport 2000 tagból áll, célszerúob csak RSMITH eltávolítását jelezni, mint elküldeni
a teljes taglistát Figyeljük meg a változatszámokat is: a Version (V áltozat) mező nagyon egyszerű;
arra tervezték, hogy akkor használjuk, amikor egy tartományvezérlő módosítja egy adott objek
tum egyik jellemzőjét. Minden alkalommal, arnikor egy adott objektumjellemző megváltozik,
a változatszám mezóoen szereplő szám eggyel nő. Így egy objektumnak sok változatszáma lehet,
amelyek az adott objektum jellemzőit jelképezik.
Miután ezt tisztáztuk, térjünk vissza a fent vázolt helyzethez. Előfordulhat, hogy Robert régi
főnöke Los Angelesben és az új főnöke Sydney-ben félreérti egymást, és helytelenül mindketten
azt gondolják, hogy nekik kell végrehajtaniuk a csoporttagság megváltoztatását az Active
Directory-ban. Ezért szinte egyazon idóoen (a példa kedvéért most tekintsük el az időzónák
okozta időkülönbségtől), Robert új főnöke is elvégzi a fenti módosítást, amelyet a Sydney-ben
levő tartományvezérlő a következőképpen rögzít:
Object: LAUSERS
Change: Remove RSMITH
Version: l
Timestamp: 30 June 2004 5:32:08 PM GMT
Object: SYDUSERS
Change: Add RSMITH
Version: l
Timestamp: 30 June 2004 5:32:10 PM PT
Ez a helyzet veszélytelennek tűnik, mert annak ellenére, hogy a módosítások ideje különbözik,
a hatásuk azonos: RSMITH most mindkét tartományvezérlőn tagja a megfelelő csoportnak,
rniközben a régi csoportból törölték. Valójában azonban két módosítás történt. Melyiket fogadja
el az AD DS? Még konkrétabban megfogalmazva a kérdést: ha mind a Los Angeles-i, mind
a Sydney-i tartományvezérlő többszörözi a változást egy közös partnerére, a bostoni tartomány
vezérlőre, melyik módosítást fogja Boston elfogadni?
5. feiezet • Az Active
•
Az Active Directory először is azt a jellemzőmódosítást fogadja el hivatalosnak, amelyiknek
a legmagasabb a változatszáma.
•
Ha az egyes jellemzők változatszáma azonos, az Active Directory a legkésőbb végrehajtott
módosítást fogadja el.
Frissítési sorszámok
A változatszámoknak testvéreik is vannak: a frissítési sorszámok (USN, update sequence number),
amelyek az AD DS összes objektuma összes jellemzőjének összes módosítását mérik. Vagyis ha
bármilyen módosítást végrehajtunk az AD DS-ben, az egyes tartományvezérlők eggyel növelik
az USN-jük aktuális értékét Például ha van egy érintetlen tartományvezérlőnk, és felveszünk egy
felhasználót egy kezdeti jelszóval Cl. frissítés), megváltoztatjuk a jelszavát (2. frissítés), felveszünk
egy újabb felhasználót (3. frissítés), létrehozunk egy új csoportot (4. frissítés), és az első felhaszná
lót hozzáadjuk ehhez a csoporthoz (5. frissítés), az adott tartományvezérlő USN-je 4 lesz (az USN
O-tól indul). Ne feledjük, hogy a változatszámok párhuzamosan léteznek az USN-ekkel; a közöttük
levő kapcsolatot az említett példa esetében az 5.2. táblázatban tekinthetjük meg. (Vegyük észre,
hogy a táblázat feltételezi, hogy egy olyan tartományról beszélünk, amelyben csak egy tartomány
vezérlő található. Ha a tartományba további tartományvezérlőket veszünk fel, a dolog kicsit
bonyolultabbbá válik, amint azt egy kicsit később látni fogjuk.)
Ebből a táblázatból láthatjuk, hogy a változatszámok csak akkor nőnek, ha egy jellemző megválto
zik. Az első felhasználó jelszavát módosítottuk, ezért ennek a jellemzőnek a változatszáma 2 lesz,
és a felhasználót felvettük egy újonnan létrehozott csoportba, így az adott csoport taglistáját tartal
mazó jellemző változatszáma is a 2 értéket kapja. Mindeközben azonban az USN értéke folyama
tosan nő, mert a frissítési sorszám minden egyes változást rögzít, az USN végső értéke pedig azért
4 lesz, mert (a) a frissítési sorszámok O-tól indulnak, és (b) 5 önálló módosítást hajtottunk végre.
Windows Server 2008
•
A jellemzők változatszáma a többszörözés során megmarad, ezért nem szárnít, hogy
melyik tartományvezérlőn nézzük, a címtárban a jellemzők változatszáma azonos lesz.
Ez létfontosságú a többszörözés működéséhez az AD DS-ben.
•
Az USN-ek az egyes tartományvezérlőkön függetlenek egymástól. Az első példánkban
az USN öt változást jelzett, mert az első tartományvezérlőn ennyi önálló hozzáadási és
módosítási műveletet végeztünk. A második tartományvezérlő azonban teljesen új, ezért
a felhasználói fiókok és a csoport létrehozását a már frissített, módosított adatokat tartal
mazó első tartományvezérlő alapján végzi el, és ennek eredményeképpen csak három
változást kell rögzítenie (az egyes fiókok, illetve a csoport létrehozását).
A frissítési sorszám valójában egyfajta "aláírásként" működik, amely a címtárnak az egyes tarto
mányvezérlőkön levő másolatában szereplő adatok időrendiségét jelzi. Lényegében tehát útmu
tatást ad a tartományvezérlő többszörözési partnereinek, hogy pontosan hány módosításra van
sZÜkség a változások teljes többszörözéséhez. Minden tartományvezérlő átadja a többszörözési
partnereinek az egyes adatokhoz kapcsolt frissítési sorszámot, a társ-tartományvezérlők pedig
számon tartják ezt az információt. A társak tehát tudják, hogy az utolsó adatnak, amit mondjuk
az X tartományvezérlőtől kaptak, 6093 volt az USN-je, így a következő többszörözéskor arra
utasíthatják az X tartományvezérlőt, hogy a 6094 USN-től (az utolsó frissítési sorszámnál eggyel
nagyobb értéktő!) kezdődően küldje el az adatokat. A O és 6093 közötti frissítési sorszámú ada
tok újbóli elküldésére nincs szükség, mivel ezekkel már minden tartományvezérlő rendelkezik.
Ha az USN nem változott egyik tartományvezérlőn sem az utolsó többszörözés óta eltelt szoká
sos öt percben, a tartományvezérlők feltételezik, hogy nincs új információ, és újabb öt percre
"
ismét "aludni térnek. Másrészt azonban ha a többszörözési partnerek az X tartományvezérlővel
kapcsolatba lépve elkérik annak legmagasabb USN-jét, és a 7000-es számot kapják, tudni fog
ják, hogy az utolsó hat adatra szükségük van, ezért ezeket többszörözik. Ezt követően a partne
rek rögzítik, hogy az X tartományvezérlő legmagasabb USN-je jelenleg 7000, és mindenki biztos
lehet benne, hogy az utolsó öt percben elérhető legfrissebb címtárral rendelkezik.
5. fejezet • Az Active Directory ll:f-
Most térjünk vissza a példánkhoz, és vizsgáljuk meg még egyszer, hogy az egyes tartományve
zérlőkön rnilyen változatszámok és USN-ek találhatók. Az adatokat az 5.4. táblázat foglalja össze.
��"·�w�ill!l
.
;;:;',!:;:'::
""'"" .••/ •
. • v• • •.••, . .. ··''fu' '*ill'�"'""'li lli � .lZm;'&JII"'"'"'lilit' ,, .,.
-
i,Objektl.Jm · " Jellemzők.::·.:..·:1·,..• • ,�Légmagásabb'l; ... obJelcttim.,;'}'&.,���Jellemzó
t11il.7""" - �. \ 'lw �·4§� ' ,,.,.Ji;.;' ;?" ��:d�""-<§ 11 mn;'Sill �,'??..��
'l&�,.t :"v"i
�""'P,
változatszámai ;m" •••· ·,.'•;USN
1. "- '-"'.�-� '-��r" "�"�!.'i'!'!%1!1 .0�4��o.:�: 1 ".a:;",,���
-•• ;, .
..
'· zts
-� \i?".,Ai.�.rw ,i;li".változats
;.;:2-�w<l:�"%;.l\e;.�.ru:ryc -1
l. felhasználó Minden jellemző 4 l. felhasználó Minden jellemző 2
változatszáma l, változatszáma l,
kivéve a Password kivéve a Password
Qelszó) jellemzőt, Qelszó) jellemzőt,
amelynek 2. amelynek 2.
Legalábbis addig boldogok, amíg néhány perccel késóbb az l. tartományvezérlő meg nem kérde
zi a 2. tartományvezérlőt, hogy rni annak a legmagasabb USN-je. A 2. tartományvezérlő őszintén
megmondja, hogy 3, az l. tartományvezérlő pedig észleli, hogy ez a szám magasabb, mint amit ő
rögzített a 2. tartományvezérlő legmagasabbUSN-jeként (ami 2 volt -lásd az 5.4. táblázatot).
Ez a változás azonban abból ered, hogy a 2. tartományvezérlő az imént átvette az l. tartományve
zérlőn végrehajtott módosítást! A tartományvezérlők azonban pusztán a frissítési sorszámból ezt
nem tudják, ezért többszörözést indítanak, és az l. tartományvezérlő legmagasabbUSN-je emiatt
most már 6 lesz. Öt perccel késóbb pedig az egész eljárás újrakezdődik, és az egyetlen ténylege
sen végrehajtott módosítást a tartományvezérlők a végtelenségig másolgatják egymás között.
Lényegében tehát az eredetjelző USN-ek azt jelzik rninden tartományvezérlőnek, hogy eredetileg
honnan származik egy adott információ, és hogy a módosítást először végrehajtó tartományvezér
lő rnilyen USN-t adott az egyes adatoknak Ahogy azonban a tartományvezérlők számon tartják
a többszörözési partnereik legmagasabb USN-jét, úgy rögzítik rninden olyan tartományvezérlőnek
a legmagasabb eredetjelző USN-jét is, amellyel valaha kapcsolatba kerültek. A legmagasabb ere
detjelző USN-ek táblájában tárolt értékek a frissítési vektorok. Nézzük meg őket közelebbről!
A jelenlegi helyzetet az 5.6. táblázat mutatja.
Az 5.6. táblázatban látható frissítési vektorok a legutóbbi eredetjelző USN-eket tárolják, amelyek
ről az egyes tartományvezérlők a másik tartományvezérlőről tudomással bírnak. Most lapozzunk
vissza néhány oldalt, és frissítsük fel az ernlékezetünket, hogy rnilyen helyzet eredményezett
végtelen ciklust a példánkban: az l. tartományvezérlőn dolgozó rendszergazda megváltoztatta
a 2. felhasználó jelszavát Az l. tartományvezérlő ennek a módosításnak az 5 USN-t adja, és
a frissítési vektorokat tároló tábláját azzal a legmagasabb eredetjelző USN-nel frissíti, amelyet
önmagától ismer, tehát (a tetszőlegesen választott) l kezdőértékről 5-re módosítja az értéket.
5. feiezet • Az Active Di
Menjünk még egy kicsit tovább. Ismét többszörözésre kerül sor, de ezúttal az l. tartományvezérlő
lép kapcsolatba a 2. tartományvezérlővel, és kérdezi meg, hogy annak van-e a 2-esUSN-nél na
gyobb értékű új információja (rnivel ezt tartja a partner legmagasabbUSN-jének), és hogy
az l. tartományvezérlő eredetjelző USN-je nagyobb-e 5-nél, illetve a 2. tartományvezérlőé 2-nél.
A 2. tartományvezérlő megvizsgálja a saját címtárpéldányát, észleli a módosítást, amely a 3USN
értéket kapta, de azt is ellenőrzi, hogy honnan származik ez a változás. Ekkor látja, hogy a módo
sítást az l. tartományvezérlő kezdeményezte, és az 5USN-értéket rendelte hozzá. A 2. tartomány
vezérlő ekkor úgy dönt, hogy bár a módosítás az ő számára új volt, az l. tartományvezérlő már
nyilvánvalóan tud róla, ezért nincs szükség a megváltozott adatok többszörözésére. A 2. tarto
mányvezérlő így csupán a jelenlegi legmagasabbUSN-jét (3) közli a l. tartományvezérlővel,
az pedig rögzíti ezt az értéket. Milyen eredménnyel jár ez a folyamat? Nos, biztosítja, hogy a válto
zások többszörözése csak partnerek között menjen végbe, rnivel azUSN-ek és a frissítési vektorok
vizsgálatával a partnerek meg tudják állapítani, hogy melyikük rnilyen változásokról tud, és hogy
azok mikor történtek. Most már tényleg mindenki boldog, ahogy az 5.8. táblázat is mutatja.
A KCC futtatása
A fejezet korábbi részéből emlékezhetünk rá, hogy a KCC érzékeli a hálózati környezetet, és
állítja be a többszörözési partnerek kapcsolatait a tartományvezérlők között. Ezt alapértelmezés
szerint 15 percenként elvégzi, de· ha hamarabb frissíteni szeretnénk, a KCC-t saját kezűleg is
elindíthatjuk a parancssorból a repadmin /kcc parancs kiadásával.
Caching GUIDs.
Telephely-kapcsolatok
A telephely-kapcsolatok létrehozásával három kulcsfontosságú információt adunk át az AD DS
nek, amelyekkel annak mindenképpen rendelkeznie kell, mielőtt meghatározhatná az adatok
többszörözésének leghatékonyabb módját a telephelyek között:
Nome:
5.36. ábra
ll Cancel
Új telephe/y-kapcsolat beállítása
W NewSitei.Jnk
![J
Cost:
11: :B
Replicate e"ery 1180 �. ........
J
5.37. ábra
OK
Telephely-kapcso/at ütemezésének módosítása
Ez az ablak két létfontosságú elemet tartalmaz. Az első a Cost (Költség) mező, amely lehetővé
teszi, hogy minden létrehozott telephely-kapcsolathoz meghatározzunk egy költséghányadot
lényegében a kapcsolat használatának költségindexét Ha egynél több telephely-kapcsolatunk
van, az AD DS a legalacsonyabb költségű kapcsolatot választja a többszörözés végrehajtásához.
Sajnos a Microsoft nem ad túl sok útmutatást ahhoz, hogy miként állapítsuk meg a költséghánya
dot-én azt javaslom, hogy vegyük figyelembe a kapcsolat alapköltségét, a csúcsidőszaki és éj
szakai tarifát, a forgalmi korlátokat, valamint a kapcsolat elérhetőségét. A másik fontos elem
a Replicate every ...minutes mező, amelyben azt adhatjuk meg, hogy hány percenként próbáljon
az AD DS többszörözést kezdeményezni az adott telephely-kapcsolaton keresztül. A legkisebb
beállítható többszörözési időköz 15 perc, maximumérték viszont lényegében nincs (bár minden
AD DS-telephelynek legalább 60 naponta egyszer többszörözést kell végeznie).
Ha az ütemezés módosítását lehetővé tevő Change Schedule gombra kattintunk, az 5.38. ábrán
látható képernyő jelenik meg. Az egér segítségével jelöljük ki azokat az órákat, amikor a kapcsolat
nem érhető el. Az AD DS figyelembe veszi ezt az információt, és meg sem kísérli a többszörözést
a megadott idő alatt. A párbeszédablakból az OK gombbal léphetünk ki, a kapcsolat beállítását
pedig az előző ablak OK gombjára kattintva fejezhetjük be.
5.38. ábra
A Schedule for New Site Link képernyő
Írásvédett tartományvezérlők
Gondoljunk vissza a Windows NT 4.0 idejére, arnikor az egyetlen elsődleges tartományvezérlő
(PDC, primary domain controller) volt az egyeduralkodó, akinek tetszó1eges számú alattvalója
lehetett- a tartalék tartományvezérlők (BDC, backup domain controller). Az adatok árarnlását
könnyen követhettük a módosítások a tartomány biztonsági adatainak mesterpéldányát tároló
PDC-n történtek, és onnan egy irányban terjedtek kifelé a BDC-kre. Amikor azonban megjelent
az AD DS, ez a különbségtétel megszűnt. Nem volt többé elsődleges, tartalék stb. kiszolgáló,
vagyis a gyakorlatban minden tartományvezérlő egyenrangúvá vált a többivel. (Valójában persze
egyes tartományvezérlők "egyenlőbbek a többiné!", ha az egyenletbe belevesszük a műveletmes
teri szerepköröket, de ez a jelen téma szempontjából lényegtelen.) Az új felépítés növeli a hibatű
rést és az operációs rendszer tömeges telepítésének lehetőségeit, ugyanakkor némi gondot okoz
hat, ha a hálózat valamelyik tartományvezérlője sérült vagy helytelen adatokat tesz közzé a többi
tartományvezérlő számára. Hogyan akadályozhatjuk ezt meg? Egy fiókirodákkal rendelkező cég
hálózatában a probléma különösen komoly, rnivel az egyes irodák kijelölt rendszergazdáinak
tartományi rendszergazdai jogosultságokra van szükségük ahhoz, hogy az irodájuk tartományve
zérlőjét felügyelhessék, ami lényegében feljogosítja őket bármely tartományvezérlő kezelésére,
nem csak a gondjukra bízott kiszolgálóéra, márpedig ez a biztonság szempontjából nem a legjobb.
rend beállításához. Jelöljük be a Define these policy settings (a megadott házirend-beállítás életbe
léptetése) jelölőnégyzetet, válasszuk ki, hogy a sikeres vagy sikertelen műveleteket, vagy mindket
tőt szeretnénk vizsgálni, majd kattintsunk az OK gombra.
Started (Elindítva)
Ez a normál állapot.
Stopped (Leállítva)
Ez az újonnan támogatott állapot a tartományvezérlő számítógépet lényegében egy
tartományhoz csatlakoztatott tagkiszolgálóvá teszi, de a Directory Services Restore Made
javítási szolgáltatásait (lásd a következő pontban) megtartja.
Directory Services Restore Made (Címtárszolgáltatások helyreállító módja)
Ez a mód újraindítás után érhető el (a rendszerindítás közben üssük le az F8 billentyűt, és
válasszuk ezt a módot a szöveges indítómenüből), és különféle kapcsolat nélküli karban
tartási feladatok elvégzését teszi lehetővé az Active Directory adatbázison, vagyis magán
az NTDS.D!Tfájlon. Erre a módra a fejezetben még visszatérünk.
Ami még jobb, hogy a DNSLint-et a Dediag-gal együtt is használhatjuk, amely egy másik segéd
program, amelyet megtalálhatunk a Windows Server 2008 telepítőlemezén, a segédeszközök
(Support Tools) között. A kettőt együttesen használva különféle teszteket hajthatunk végre,
mielőtt egy számítógépet tartományvezérlővé léptetnénk elő, valamint egy már meglevő
tartományvezérlőt is ellenőrizhetünk, hogy helyesen állítottuk-e be. Ha egy gépet tartomány
vezérlővé szeretnénk előléptetni, a Dcdiag /dcpromo kapcsalójával ellenőrizhetjük a helyes
DNS-beállításokat. Ha a program problémát észlel, a javasolt megoldással együtt megmutatja azt.
Tegyük fel például, hogy van egy cluster.hasselltech.local nevű gyermektartományunk, amelyet
törölni szeretnénk. Ehhez ismét az NTDSUtil eszközt, pontosabban annak metaadat-kitakarító
szolgáltatását fogjuk használni. Első lépésként jelentkezzünk be egy tartományvezérlőre vállalati
rendszergazdaként, majd hajtsuk végre az alábbi műveleteket:
Zárszó
Ebben a fejezetben hatalmas mennyiségű anyagot tekintettünk át, mivel a Windows Server 2008
valószínűleg legösszetettebb részét, az Active Directory-tartományszolgáltatásokat tárgyaltuk
A következő fejezetben a Csoportházirendek kerülnek terítékre, amelyek segítségével követ
kezetesen és figyelemreméltó könnyedséggel felügyelhetjük számítógépek csoportjait. Amint
pedig majd látni fogjuk, a Csoportházirendek alapját az Active Directory jelenti.
A Csoportházirendek és az lntelliMirror
A Windows Server 2008 a számítógépek rendszerezését egy csodálatos parancs- és vezérlő rend
szerrel segíti, amelyet Group Policy-nak (csoportházirend-szerkesztő) hívnak. A Csoportházirendek
révén felhasználókra és számítógépekre vonatkozó szabályokat állíthatunk fel, amelyeket egy
szerre alkalmazhatunk egy adott Actíve Directory-telephely, -szervezeti egység vagy -tartomány
számítógépeire.
Felügyeleti sablonok
Ezek a rendszerleíró adatbázison (beállításjegyzéken) alapuló házirendeket állítják be.
(Azt, hogy ez valójában mit jelent, hamarosan megtudjuk.)
Mappa-átirányítás
A felhasználói felület különböző elemeinek, például a My Documents (Dokumentumok)
mappának a helyét módosítják úgy, hogy a hálózaton található más helyekre mutassa
nak.
Parancsfájlok
Ezek akkor hajtódnak vére, amikor az adott számítógépet elindítjuk vagy leállítjuk, illetve
egy felhasználó be- vagy kijelentkezik.
l-1tJ•I Windows Server 2008
Biztonsági beállítások
Ezek a beállítások a számítógépek, tartományok és felhasználók engedélyeit, jogosultságait
és korlátozásait határozzák meg.
Szoftverházirendek
Ezek a házirendek alkalmazáscsomagokat rendelnek felhasználókhoz és számítógépekhez.
A Csoportházirendek magvalósítása
Most, hogy ismerjük a Csoportházirendek összetevőit, nézzük meg a megvalósításuk módját!
Az NTFS-engedélyekhez hasonlóan a Csoportházirendek is összegződnek és öröklődnek: az egy
adott házirend által módosított beállítások tehát más házirendekre és "tömeges" beállításmódo
sításokra építhetnek (összegződés), az Active Directory-ban más objektumok alatt elhelyezkedő
objektumokra pedig olyan Csoportházirendek vonatkozhatnak, amelyeket az objektum automa
tikusan vesz át a szülőobjektumtól.
1. Helyi GPO-k.
2. Telephelyre vonatkozó GPO-k, a telephely rendszergazdája által meghatározott sorrendben.
3. Tartományra vonatkozó GPO-k, a tartomány rendszergazdája által meghatározott
sorrendben.
4. Szervezeti egységre vonatkozó GPO-k, a szülő szervezeti egységtől a gyermek szervezei
egységek felé.
A csoportházirend-kezelő konzol
Rá fogunk jönni, hogy magukat a csoportházirend-objektumokat sokkal egyszerúbb létrehozni és
szerkeszteni a Microsoft csoportházirend-kezelő konzolján (Group Policy Management Console,
GPMC) keresztül, mint a Windows Server korábbi változataiból talán már ismert, korlátozottabb
képességekkel bíró Group Policy Object Editorban. A fejezetben leírt műveletek természetesen
végrehajthaták ez utóbbival is, de az eszköz tudása hagy kívánnivalókat: messze a legnagyobb
Windows Server 2008
Forest:
EJ� Domani s
B � corp.V\'i"ldowsservernet.com
ri] Default Domain Policy
f!l � Domain Controllers
1±1 � Group Polcy Objects
tt.J � WMI Fdters
1±1 � StarterGPOs
CiJSites
Group Poicy Modelng
� Group Poicy Results
6.1. ábra
A csoportházirend-kezelő konzol
A GPMC-ben úgy mozoghatunk, ha a bal oldali ablaktáblában kibontjuk a kezelni kívánt erd6t.
Ez után kiválaszthatunk egyes tartományokat és telephelyeket az erd6n belül, illetve szervezeti
egységeket az egyes tartományokból. Ha kibontunk például egy adott tartományt, a létez6 cso
portházirend-objektumokat azokon a szervezeti egységeken belül láthatjuk, amelyekhez tartoz
nak, de megjelennek a Group Policy Objects (csoportházirend-objektumok) mappában is.
Ha egy GPO-ra kattintunk, a jobb oldali ablaktáblában egy négy lapból álló ablak jelenik meg.
Az els6 lap a Scope (hatókör), amely azt mutatja, hogy meddig terjed a hatása az adott csoporthá
zirend-objektumnak A kijelölt GPO-hoz kapcsolt telephelyek, tartományok és szervezeti egysé
gek az ablak tetején jelennek meg. A megjelenített kapcsolatokat a lenyíló lista segítségével módo
síthatjuk, amelyb61 választhatunk, hogy az adott tartomány, a teljes erd6 vagy minden telephely
kapcsolatait szeretnénk látni. Az ablak alján az ACL-ek által végzett biztonsági szűrések jelennek
meg, ha vannak ilyenek. Az Add gombra kattintva az engedélyek meghatározására szolgáló
szokásos ablakot hívhatjuk el6, ahogy azt a Group Policy Object Editorban megszakhattuk
A Settings (beállítások) lap, amelyet a 6.2. ábrán láthatunk, különösen érdekes a számunkra.
Ez az egyik leghasznosabb lapja a GPMC-nek. A GPMC HTML formátumú jelentéseket készít
a csoportházirend-objektumok beállításairól, amelynek egyes részeit egyszerűen tömöríthetjük
vagy kibonthatjuk, hogy áttekinthetőbb képet kapjunk. A jelentések ki is nyomtathaták későbbi
megtekintésre, és menthetjük is őket, hogy közzétegyük egy belső webhelyen a rendszergazdák
számára. Ez sokkal, de sokkal átláthatóbb módja annak, hogy megvizsgáljuk, milyen beállításokat
módosít egy adott GPO, mint arnire a Group Policy Object Editor lehetőséget adott. Ha módosítani
szeretnénk egy jelentésben szereplő csoportházirend-objektumot, egyszerűen kattintsunk rá
az egér jobb gombjával, és válasszuk az Edit (Szerkesztés) menüpontot. Ha ki szeretnénk nyomtat
ni a HTML formátumú jelentést, kattintsunk a jelentésre a jobb gombbal, és válasszuk a Print
(nyomtatás) lehetőséget, ha pedig menteni akarjuk a jelentést, a jobb gombos kattintás után
válasszuk a Save Report (jelentés mentése) menüpontot.
--·
�-·
'@Mb'+Hé"+'&
��·- � ." ... I - --· ''!�4
;. �.����--
���F'
TI]
· 'l Minimum
Setting
orce password history ... i4 ���·��·Ofds remembered
axrnum p�ssword age 42days
password age 1 days
Mínimum passy.'Ofli length 7characters
Enabled
1i Password mu.st meet complexjty
reqLirements
6.2. ábra
l Store passwords uWlg reversible Disabled Szabványos
csoportházi
et'lCJWÜOn
Poli<=!. ��---
rend-objektum
vizsgálata
··--
c a Settings !apon
Ahogy haladunk előre a fejezetben, az imént áttekintett felületet működés közben is látni fogjuk.
Computer Configuration
lll li:j Polides
l±} � Preferences
EJ 'Jt User Configuration
lll [ld Polides
1±1 fLj Prererences
6.3. ábra
A Group Policy Object Editor ablaka
A Csoportházirendek beállftásai
Valószínűleg észrevettük a Preferences csomópontot a Group Policy Object Editorban (ha nem,
nézzük meg még egyszer a 6.3. ábrát). A Windows Server 2008 tartalmaz egy Group Policy
Preferences nevű szolgáltatást, amely lényegében a régi PolicyMaker Standard Edition és Policy
Share Manager termékeket egyesíti új formában, közvetlenül beépülve a csoportházirend-kezelő
konzolba (GPMC). Dióhéjban összefoglalva, ezek a beállítások lehetővé teszik, hogy kezdeti
házirendeket "javasoljunk" a felhasználóknak, miközben továbbra is megengedjük, hogy módo
sítsák azokat. Vizsgáljuk meg ezt egy kicsit közelebbről!
Beállítási bejegyzéseket úgy hozhatunk létre, hogy az egér jobb gombjával a megfelelő beállírásra
kattintunk a Group Policy Management Editor bal oldali ablaktáblájában, majd a helyi menüből
a New menüpontot választjuk A csoportházirend-beállítások ugyanolyan felosztásúak, mint
a szokványos csoportházirend-objektumok a Computer Configuration rész a számítógépszintű
-Nl Windows Server 2008
beállítások testreszabására szolgál, amelyek akkor lépnek életbe, amikor a számítógép elindul,
rníg a User Configuration részben olyan beállításokat adhatunk meg, amelyek csak az adott
felhasználóra érvényesek, függetlenül attól, hogy a felhasználó hol található a hálózatban.
Kezdeti csoportházirend-objektumok
A kezdeti csoportházirend-objektumok (StarterGPO) arra szolgálnak, hogy megkönnyítsék
a szokványos összeállításokon alapulóGPO-k telepítését. Ezek az objektumok előre meghatáro
zott beállításokat tartalmaznak, amelyek mindegyikéhez részletes leírás társul, így nagyon egysze
rűvé teszik egy következetes alapbeállítás-halmaz közzétételét. A kezdetiGPO-kra gondolhatunk
úgy, mintha gyorssablonok lennének, amelyekre építve sajátGPO-csoportot állíthatunk össze
a környezetünk igényeinek megfelelően.
Új kezdetiGPO létrehozásához (ami olyan, mintha egy sablont hoznánk létre, amelyre majd a ké
sóbbiGPO-kat építjük), kattintsunk az egér jobb gombjával a StarterGPOs elemre, és válasszuk
a New pontot a helyi menüből. Írjunk be egy nevet aGPO számára, valamint egy leírást, amelyet
a később létrehozandóGPO-k szintén átvesznek, majd kattintsunk az OK gombra.
Szúrés és megjegyzések
A Csoportházirendek rnilliónyi beállítása zavarbaejtő lehet, ezért a Windows Server 2008 lehetővé
teszi az elérhető kapcsolók szűrését, hogy könnyebben megtaláljuk a minket érdeklő objektu
mot. Az eszköztáron kattintsunk a Filter (szűrő) gombra, vagy az egér jobb gombjával
az Administrative Tempiates elemre a Computer Configuration vagy User Configuration részben,
és válasszuk a Filter Options elemet. Választhatunk, hogy mit szeretnénk megjeleníteni: minden
felügyelt beállítást, csak a már meghatározott beállításokat, vagy azokat a beállításokat, amelyek
hez tartozik rendszergazda által hozzáfűzött megjegyzés. Emellett kulcsszavak alapján is szűrhe
tünk, mint aGoogle-ban, vagy rendszerkövetelmények szerint, például ha azokat a beállításokat
szeretnénk látni, amelyek az Internet Explorer 6.0-t futtató rendszerekre érvényesek.
Természetesen ha egy rendszergazdákból álló csapat tagjaként dolgozunk, amely teljes vállalatra
kiterjedő csoportházirend-beállításokat felügyel, célszerű lehet közvetlenül a rendszerben
megjegyzésekkel vagy más leírásokkal ellátni a beállításokat, hogy áttekinthető legyen, mire is
szolgálnak. Erre is lehetőségünk van, mégpedig közvetlenül az adott feladatokat végrehajtó
beállításoknál, a többiek pedig a lekérdezésekben a megjegyzéseink szerint is kereshetnek.
6. ndek és az lntelliMirror
Domain:
gpupdate /force
Ha a házirendnek csak a Computer Configuration ágát akarjuk frissíteni, a parancs így fest:
Ha pedig csak a User Configuration ágat szeretnénk frissíteni, ezt a parancsot kell beírnunk:
A GPO-k kézi frissítésének utasításformája a Windows 2000-ben kicsit eltér. Ha csak a számítógép
házirendet szeretnénk frissíteni, a parancs ott ez lesz:
Az objektumok frissítését akkor is kikényszeríthetjük, ha azok az utolsó frissítés óta nem módo
sultak, ha a parancs végéhez hozzáfűzzük az lenforce kapcsolót. A Windows ekkor minden
házirend frissítését kikényszeríti, függetlenül attól, hogy a házirendobjektumok megváltoztak-e.
Ez akkor lehet hasznos, ha hálózati problémák jelentkeznek, és biztosítani szeretnénk, hogy
rninden számítógép friss házirendeket alkalmazzon, vagy ha sok mobil felhasználóval rendel
kezünk, akik előre megjósolhatatlan idóben és csak rövid időre csatlakoznak a hálózathoz.
/
A 6. lépésben szereplő elölőnégyzet bejelölésével ugyanazt érjük el, mintha
MMflij!NjM a parancssorban k1adnank agpupdate lenforce parancsot.
•
A számítógépek frissítési időközét a HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\ Windows\System\ GroupPolicyRefreshTime kulcson keresztül módosíthatjuk.
A kulcs értékének típusa REG_DWORD, az adat érvényes tartománya pedig 0-tól 64 800-ig
terjed (percben).
•
A számítógépek késleltetési időközének megváltoztatására a HKEY_LOCAL_MACHINE\
Sojtware\Policies\Microsoft\ Windows\System\ GroupPolicyRefreshTimeO.ffset kulcs
szolgál. A kulcs értékének típusa REG_DWORD, az érvényes adattartomány pedig O-tól
1440-ig terjed (percben).
6. fejezet • A Csoportházirendek és az lntelliMirror fil-
•
A tartományvezérlő frissítési időköze a HKEY_LOCAL_MACHINE\Software\Policies
\Microsoft\ Windows\System \ GroupPolicyRefreshTimeDC kulcson keresztül módosítható.
A kulcs értékének típusa REG_DWORD, az adat érvényes tartománya pedig itt is O-tól
64 800-ig terjed (percben).
•
Ha a tartományvezérlő késleltetési időközét szeretnénk módosítani,
a HKEY_LOCAL_MACHINE\Software \Policies\Microsoft\ Windows\System\ GroupPolicy
RefreshTimeO.ffsetDCkulcsot használhatjuk Az érték típusa itt is REG_DWORD, az érvé
nyes adattartomány pedig 0-1440 (percben).
•
A frissítési időközt a felhasznáJókra vonatkozó házirendek esetében
a HKEY_ CURRENT_ USER\Software\Policies\Microsoft\ Windows \System\ GroupPolicy
RefreshTime kulcson keresztül módosíthatjuk. A kulcs értékének típusa REG_DWORD,
az adat érvényes tartománya pedig O-tól 64 800-ig terjed (percben).
•
A felhasználói házirendek késleltetési időköze
a HKEY_CURRENT_ USER\Software\Policies\Microsoft\ Windows\System\ GroupPolicyRe/r
eshTimeO.ffset kulcson keresztül módosítható. Ennek az értéknek a típusa ugyancsak
REG_DWORD, az adat érvényes tartománya pedig 0-tól l 440-ig terjed (percben).
A csoportházirend-objektumok hatóköre
Meddig terjed a csoportházirend-objektumok hatása, és rnilyen típusú objektumokat érintenek?
Ha egy csoportházirendet felhasznáJók egy csoportjára szeretnénk alkalmazni, egy csoportházi
rend-objektumot kell "társítanunk" ahhoz a tárolóhoz az Active Directory-n belül, amelyik
az adott felhasználókat tartalmazza. Alapértelmezés szerint rninden objektum, amely egy olyan
tárolóban található, amelyhez csoportházirend-objektum társul, az adott GPO hatása alá kerül.
Windows Server 2008
A gyakorlatban természetesen rninden szabály alól vannak kivételek. Szinte biztos például,
hogy a tárolóban lesznek olyan számítógépek, amelyekre nem szeretnénk alkalmazni egy adott
házirendet A GPO-k hatókörét a legegyszerubben úgy korlátozhatjuk egy tároJón belül, ha
biztonsági csoportokat hozunk létre, amelyek csak azokat az objektumokat tartalmazzák,
amelyeket bele szeretnénk foglalni a házirend alkalmazási körébe. Miután létrehoztuk a szüksé
ges csoportokat, kövessük az alábbi lépéseket:
-- - - - - �--- ---------�-- - ,
- 'i;?
-<.,_._ _
�l
!
_A Group Poicy Management
8 ,A Forest: corp.windowsservernet.corn
8 Q1l Oomains
El fa corp.wndowsseN�netcom
@ Oer...itOomalnP!l!!;y
!±l � Domain Controllers
IE � Group Policy Objects
1±1 gf WMI Fite<s
,��·
;:Jil starte< GPOs
rt� Sites �<Xllp .v.indowtiSe!Vemet .com
_
6.5. ábra
Biztonsági csoport szerinti szűrés engedélyezése
6. nnrth67iranrlo1t és az lntelliMirror
Amint láthattuk, a GPMC egyszerűvé teszi, hogy egy GPO alkalmazását egy adott csoportra
korlátozzuk, de mi a helyzet akkor, ha ennél pontosabb szabályozást szeretnénk? A csoportokkal
és a csoportházirend-objektumok hozzáférés-szabályozási listáival tovább szúKíthetjük a háziren
dek objektumokra való alkalmazását, de a bonyolultabb műveletek elvégzéséhez mélyebbre kell
ásnunk magának az objektumnak a biztonsági beállításai között. Ahhoz, hogy eljussunk a kérdé
ses beállításokig, a GPMC jobb oldali ablaktáblájában váltsunk a Delegation lapra, és kattintsunk
az Advanced gombra a jobb alsó sarokban. Ekkor a 6.6. ábrán látható képernyő jelenik meg.
tr:lF.mla•!iTiiF.tiil:li" 1X
�l l
6.6. ábra
OK
Biztonsági csoport szerinti szűrés kézi beállítása
Kényszerítés és öröklés
A szülőobjektumokra alkalmazott házirendeket a gyermekobjektumok automatikusan öröklik,
hacsak nem lép fel valamilyen ütközés. Ha egy gyermekre közvetlenül alkalmazott házirend
ütközik egy szülőtől öröklött általános házirenddel, a gyermek házirendje részesül előnyben,
mivel a rendszer feltételezi, hogy a rendszergazda a konkrétan alkalmazott házirendet szerette
volna érvényesíteni, nem pedig címtárfában elfoglalt hely miatt közvetetten érvényesülőt
Az éppen kikapcsolt házirendbeállításokat a gyermekobjektumok ugyancsak kikapcsolt állapot-
-Ul Windows Server 2008
ban veszik át, míg a "nem beállított" állapotú házirendbeállítások egyáltalán nem terjednek
tovább. Ha nincs ütközés, két házirend békésen megfér egymás mellett, függetlenül az eredeti
alkalmazási helyüktőL
MM®$!MW A kifejezetten megadott jogosultságok, legyenek azok Al/o w vagy Deny engedélyek,
mindig felülbírálják az öröklött jogosultságokat, még ha egy objektum egy szülőjétől
örököl is egy ttltást. Ha kifejezetten hozzáférést adunk egy objektumnak, azt nem bírálhatja felül egy
öröklött tiltás.
Ha azt szeretnénk, hogy egy GPO ne bírálja felül a szülő GPO-beállításait, a GPO állapotát
Enforced-ra kell állítanunk. Ennek lépései a következők:
6.7. ábra
Az Enforced
lehetőség
beállítása egy
GPO-ra
6. fejezet • A Csoportházirendek és az lntelliMirror Ilf-
Ha az aktuális felügyeleti tároló esetében minden szül6házirend-beállítás öröklését le szeretnénk
tiltani, el6ször kattintsunk duplán annak a tartománynak vagy szervezeti egységnek az erd6jére,
amelyikben meg akarjuk akadályozni a GPO-k öröklését, majd hajtsuk végre az alábbi két műve
let egyikét:
Utolsó lépésként mindkét esetben kattintsunk a Block Inheritance (öröklés letiltása) menüpontra,
ahogy a 6.8. ábrán láthatjuk.
Block Inhentance
6.8. ábra
Az öröklés
letiltásának
beállítása
A tartomány vagy szervezeti egység neve mellett, amelyikre letiltottuk az öröklést, egy kis kék
felkiáltójelet láthatunk, ami azt jelzi, hogy a művelet sikeres volt. Ha az öröklés tiltását fel
szeretnénk oldani, ugyancsak a fenti eljárást kell követnünk, csak utolsó lépésként a helyi
menüben ki kell kapcsolnunk a Block Inheritance elemet.
Ha egy objektumhoz több GPO is társul, a GPMC-ben jobboldalt látható lista alján
Megjegyzés
levő GPO-k alkalmazása történik meg először, és a felül levőké utoljára, tehát
a listában feljebb levő GPO-k magasabb rendűek.
WMI-szúrók
A Windows Server 2008 a Csoportházirendek alkalmazásának módját a WMI- (Windows
Management Instrumentation) adatok alapján állapítja meg. A WMI-szűr6ket használva
a WMI-lekérdez6nyelv (WMI Query Language, WQL) segítségével olyan lekérdezéseket
-}ll Windows Server 2008
fogalmazhatunk meg, amelyek visszaadott eredményére csoportházirendeket alkalmazhatunk.
A WMI olyan jellemzők lekérdezését is lehetővé teszi, amelyek a GPMC-n keresztül nem érhe
tők el; ilyen például a számítógép gyártója és modellszáma, bizonyos szaftvercsomagok telepí
tése és más információk. A WMI használatára akkor lehet szükség, ha ezen információk alapján
szeretnénk házirendeket alkalmazni.
WMI-szűrőt úgy hozhatunk létre a GPMC-ben, hogy az egér jobb gombjával a bal oldali ablak
tábla WMI Filters (WMI-szűrők) hivatkozására kattintunk, és a New menüpontot választjuk,
a megjelenő New WMI Filter ablakban, amelyet a 6.9. ábra mutat, beírunk egy nevet és egy
leírást a szűrő számára, majd az Add gombra kattintva, a névteret kijelölve, és a szükséges kódot
megírva elkészítjük a lekérdezést, amelynek eredménye az az adathalmaz lesz, amelyre a GPO-t
alkalmazni szeretnénk. Megjegyzendő, hogy egy szűrőhöz egynél több lekérdezést is adhatunk.
A WMI-lekérdezések összeállítása kívül esik könyvünk keretein, de annyit elmondhatunk róla,
hogy ezeknek a lekérdezéseknek a formája nagyon hasonlít az SQL-lekérdezésekéhez. Amint
az ábrán láthatjuk, példaként egy olyan lekérdezést fogunk alkalmazni, amely a hálózaton
Windows XP rendszert futtató számítógépeket adja vissza.
J�.:��-��th�-�.�.����or of ����o���-�-- - -
Oi.l.,;es:
l � j<luely
" r!lO!\CIMv2 ���:�.':í'f�ti�tem
'�1----�i
6.9. ábra
Új WM!-szűrő létrehozása
Ahhoz, hogy egy WMI-szűrőt bekapcsoljunk egy adott GPO-ra, a kívánt csoportházirend
objektumra kell kattintanunk a GPMC-ben, majd a jobb oldali ablaktábla Scope lapjának alján
kiválasztani az alkalmazni kívánt WMI-szűrőt (lásd a 6.10. ábrát).
Ne feledjük, hogy ha WMI-szűrőt alkalmazunk egy GPO-ra, a "mindent vagy semmit" elv érvé
nyesül: nem választhatunk ki egyenként bizonyos házirendbeálHtásokat, hogy csak azok legye
nek hatással a szűrt objektumokra - vagy a teljes házirendet alkalmazzuk rájuk, vagy egyáltalán
nem alkalmazzuk a házirendet a felsorolt objektumokra. Sajnos ez aránytalanul nagy számú
GPO-t eredményezhet a címtárunkban, amelyek rnindegyike más-más szűrt objektumokra
vonatkozik. Ezt tartsuk észben, amikor házirendeket határozunk meg. Emellett azzal is tisztában
kell lennünk, hogy GPO-nként csak egy WMI-szűrőt alkalmazhatunk, bár ahogy korábban már
említettük, az egyes WMI-szűrők több WMI-lekérdezést is tartalmazhatnak
6. fejezet • A Csoportházirendek és az lntelliMirror
&1 � ::::,.
"
6.10. ábra
WM!-szűrő
hozzáadása egy
GPO-hoz
A kíváncsiságunkat kielégítendő íme egy rövid WMI-szűrőpélda, amelyet sima XML fájlként
tárolhatunk a merevlemezen (az ilyen típusú szűrők fájlnév-kiterjesztése .MOF), és amely képet
ad róla, hogy miként épül fel és miként hozható létre egy szűrő:
Ha sok, külön fájlban található WMI-szűrővel rendelkezünk, úgy tölthetjük be azokat, ha a GPMC
bal oldali ablaktáblájában az egér jobb gombjával a WMI Filters elemre kattintunk, és az Import
(betöltés) parancsot választjuk, majd megkeressük a szűrőként alkalmazni kívánt MOF fájlokat
-il:l Windows Server 2008
A házirendek eredményhalmaza
A Windows 2000-ben nem lehetett egyszerűen áttekinteni az egyes objektumokra vonatkozó
összes házirendet, és azt sem lehetett könnyen meghatározni, hogy egy házirend módosítása
rnilyen hatással lesz az adott objekturnra. A Windows Server 2008-nak azonban része az RSoP
(Resultant Set of Policy, házirend-eredményhalmaz) nevű eszköz, amely a következők megjele
nítésére képes:
A két eredményhalmazt a GPMC bal oldali ablaktáblájának Group Policy Results (csoportházi
rend-eredmények), illetve Group Policy Modeling (csoportházirend-modellezés) elemén keresz
tül érhetjük el. Kattintsunk az egér jobb gombjával a megfelelő elemre, és válasszuk ki a kívánt
varázslót elindító parancsot.
Tervez6m6d
Az RSoP tervező módja, amelyet a Group Policy Modeling elemen keresztül érhetünk el, GPO-k
alkalmazásának hatását modellezi, és lehetővé teszi, hogy az eredménynek megfelelően módo
sítsuk a GPO-t, majd újra végrehajtsuk a tesztet Megadhatunk egy konkrét tartományvezérlőt,
felhasználókat, biztonsági csoportokat, illetve azon belül tagokat, egy számítógép vagy telephely
helyét, valarnint tetszőleges számú WMI-szűrőt, majd megtekinthetjük, hogy rnilyen eredménnyel
jár egy adott GPO alkalmazása.
A tervező mód elindításához kattintsunk az egér jobb gombjával a Group Policy Modeling csomó
pontra, a helyi menüből válasszuk a Group policy Modeling Wizard (csoportházirend-modellező
varázsló) elemet, majd a Next gombbal lépjünk tovább a bevezető képernyőró1. Ekkor a 6.11. áb
rán látható Domain Controller Selection (tartományvezérlő kiválasztása) ablak jelenik meg.
lu. ·'N.i.iP.f§G§"g;g."
f'rocoss the simLiation on fus domaio controller:
r.: krt available domaio contro!lerrunrl"9 Wl!ldows Seiver 2003 O< later
Si!e
6.11. ábra
Csoportházirend modellezése:
Carlcel
tartományvezérlő kiválasztása
6. fejezet • A Csoportházirendek és az lntelliMirror
Ekkor a 6.12. ábrán látható User and Computer Selection (felhasználó és számítógép kiválasztása)
képernyő jelenik meg.
[Userínfonna!ion
�. pohcy seltingsforthefolowing:
�
� = -
t
6.12. ábra
<Ei<d
A User and Computer Selection
képernyő
A következő képernyő, amelyet a 6.13. ábra mutat, az Advanced Simulation Options (speciális
modellezési lehetőségek).
Itt arra utasíthatjuk a Windowst, hogy a tartományvezérlők és az ügyfelek között nagyon lassú
kapcsolatot tételezzen fel, illetve megadhatjuk, hogy összefésülő vagy lecserélő visszacsatolásos
feldolgozást hajtson-e végre, valarnint meghatározhatjuk a telephelyet, amelyikre ezeket a beál
lítások vonatkoznak. Ez a valós körülmények teszteléséhez nagyon hasznos lehetőség. Ha vé
geztünk, lépjünk tovább.
�f1·1 Windows Server 2008
Ekkor a 6.14. ábrán látható Altemate Active Directory Paths képernyő jelenik meg.
Simulate policyimplementa!iof;f"'thefolowí1g:
6.13. ábra
Az Advanced Simulation Options
képernyő
User location:
.:_ .:. ;
6.14. ábra
Az Altemate Active Directory Paths
képernyő
és Remave gombokkal pedig további csoportokat vehetünk fel a listára, illetve eltávolíthatunk
onnan egyes csoportokat. A módosítások visszavonásához csak annyit kell tennünk, hogy
a Restore Defaults gombra kattintunk. Ha a lista úgy fest, ahogy szeretnénk, lépjünk tovább.
Ha a varázsló elején egy számítógépet vagy egy számítógépeket tartalmazó tárolót választottunk,
a következő képernyő a Computer Security Groups lesz, amelyet a 6.15. ábrán láthatunk.
Ez az ablak is pontosan ugyanúgy működik, mint az imént tárgyalt User Security Groups képer
nyő. Ha itt is végeztünk, lépjünk tovább.
The selected computer IS a member of the folowing securty groups To olmulate cllanges to 1he
sectrty !11001> membeOOíp, use the !'dd and Remove buttons.
Secuilygroups·
CORP\llomain Corirollern
Everyone
6.15. ábra
A Computer Security Groups képernyő
·. . -
WMI Rner.s forComputers
You can indude Wndows Managemeft lnstrumentation (WMI)fitters n yocs simulation.
f
can be inkadto G� Poüc'fobj<•ct. �PO}. l a fillens �nkadto a GPO. thenlhat
WMifilt""'
GPO appLes only tolhose computers 1hat meet the C!\!ena spedfied in the filter.
Assumelhatthe seleclad computer meets the Ciiieli a !O< thefollowing flltem:
r. Ali inkedfilters
r Onlylhesefifters:
NM>
6.16. ábra
A WMI Filtersfor Computers képernyő
-ffl Windows Server 2008
Ezt követően egy a választott beállításokat összegző képernyő jelenik meg. Győződjünk meg
róla, hogy rninden beállítás megfelelő, majd a modellezés elindításához kattintsunk a Next
gombra. Amikor az eljárás befejeződött, a varázsló értesít minket, és a Finish gombra kattintva
megtekinthetjük az eredményt. Az eredményablakra a 6.17. ábrán láthatunk egy példát.
6.17. ábra
A csoportházirend-modellezés eredménye
Az eredményt egy HTML formátumú fájlban kapjuk meg, amelynek tartalmát igény szerint össze
csukhatjuk, illetve kibonthatjuk Láthatjuk minden szárnítógép- és felhasználói konfiguráció ered
ményét, beleértve az alkalmazott és a letiltott GPO-kat, valamint az előírt WMI-szűrőket, illetve
azt, hogy az egyes csoportházirend-összetevőkkel rni történne, és általános információkat is ka
punk a lekérdezéssei kapcsolatban. Ha az egér jobb gombjával a jelentésre kattintunk, menthetjük
vagy kinyomtathatjuk azt. Ha módosítjuk a csoportházirend-beállításokat, és az új beállításokkal
újra szeretnénk futtatni ugyanezt a lekérdezést, egyszerűen kattintsunk a jobb gombbal az ered
ménylapra a GPMC-ben, és válasszuk a Rerun Query (a lekérdezés újbóli futtatása) parancsot.
Nap/6z6m6d
Az RSoP naplózó módja, amelynek a neve a GPMC-ben Group Policy Results, a tervező mód
hoz nagyon hasonlóan működik. Elindításához kattintsunk az egér jobb gombjával a GPMC bal
oldali ablaktáblájában a Group Policy Results elemre, majd a helyi menüből válasszuk a Group
Policy Results Wizard pontot.
A varázsló bevezető képernyőjéről lépjünk tovább a 6.18. ábrán látható Computer Selection
(a számítógép kiválasztása) ablakra.
6. fejezet • A Csoportházirendek és az lntelliMirror
Computer Selection
You can view policy settings forthis computer odor anather computer on this ne!:worl<.
r� l'nOiher computer:
Da nő! <isplay po[ocy se!tings for \he seie<:ted cotnJ>oAerlt1the resul!s {display userpólicy
set!Jngs q]
6.18. ábra
lr?s€ck=r Nexi"
A Computer Selection képernyő
A következő képernyő a User Selection (a felhasználó kiválasztása), amelyet a 6.19. ábra mutat.
mmt:li'
l.Jser Selection
You can view policy settingsfor Use!'S of the se!ected computer.
)]:f::P.:."i
6.19. ábra
A User Selection képernyő
Ebben az ablakban adhatjuk meg, hogy melyik felhasználóval kapcsolatban szeretnénk látni
a User Configuration rész alkalmazásának eredményét. A listában csak azok a felhasználók
szerepelnek, akik valamikor már bejelentkeztek a számítógépre, és akikre vonatkozóan jogunk
van megtekinteni a Csoportházirendek alkalmazásának az eredményét. A megjelenített eredmé
nyeket a képernyő alján található választógombbal csak a számítógép-beállításokkal kapcsola
tos információkra is korlátozhatjuk Ha készen vagyunk, lépjünk tovább.
-fJI Windows Server 2008
Ekkor a Summary of Selections képernyő jelenik meg. Győződjünk meg róla, hogy a beállítások
megfelelnek, és a lekérdezés végrehajtásához kattintsunk a Next gombra. Amikor a művelet befe
jeződött, a varázsló értesít minket, és a Finish gombra kattintva megtekinthetjük az eredményt.
Az eredményablakra a 6.20. ábrán láthatunk egy példát.
A GPMC más jelentéseihez hasonlóan most is HTML formátumban kapjuk meg az eredményt.
Bárhová kattintunk az egér jobb gombjával a jelentésben, a megfelelő parancsot választva
menthetjük és ki is nyomtathatjuk azt.
•
:" Group Policy Management
B � forest: corp.'A1ndowsservernetcom
8 Qjl Dornam
EJ � corp.windowsserve:met.com
!ifJ Default Doman Poky
13 lll Domain Control!ers CORP\Adminislrator on CORP\WOSTEST
W Oefatlt Domain ControB
8 � Group Poky Objects
jfJ Default Domon control
Jj Default Domoiri Po!ky
!±I �WMIFílters
�:i Starter GPOs
Sites CORP\WDSTEST
8 Group Polky Modeklg
t:JIWDSTEST
8 {;@ Group Policy Results
lr3 AdminstraWr on WO
Name
Delaul! Doman Policy ..
link Localion Revision
COfP índowsservemet.co AD (1). Sysvol (1)
6.20. ábra
A Group Policy Resu/ts Wizard futtatásának eredménye
''Information'', '''')
UserName = InputBox("E
- nter a user name under which to run the report",
"Information","")
resultpath = InputBox("Enter a location to store the report",
"Information", "c: \temp")
resultpath = resultpath&"\"&UserName&".HTML"
Set GPMC = CreateObj ect( "GPMgmt.GPM")
Set Constants = GPMC.GetConstants( )
Set RSOP= GPMC.GetRSOP(Constants.RSOPModeLogging, "",0)
RSOP.LoggingComputer=ComputerName
RSOP.LoggingUser=UserName
RSOP.CreateQueryResults( )
RSOP.GenerateReportToFile Constants.ReportHTML, resultpath
msgbox("RSoP report complete! A full report has been placed at " &
resultpath)
Csoportházirend-objektumok keresése
A GPMC-ben adott csoportházirend-objektumokat, illetve GPO-k tulajdonságainak értékét is
kereshetjük. Ehhez kattintsunk az egér jobb gombjával egy erdőre a GPMC bal oldali ablaktáblájá
ban, és válasszuk a Search (keresés) pontot a megjelenő helyi menüből. Ekkor a 6.21. ábrán látha
tó Search for Group Policy Objects (csoportházirend-objektumok keresése) ablak jelenik meg.
����, Ir-_-------------------------,
�:
Vai.ue· '�
1
�
- ···�
- �--��----��--���
6.21. ábra
Csoportházirend-objektumok
keresése
"
• AGPO neve- "contains" (tartalmazza), does not contain (nem tartalmazza) vagy "is
"
exactly" (pontosan megfelel)- a megadott érték.
• GPO-kapcsolatok- exist in" (léteznek benne) vagy "do not exist in" (nem léteznek
"
benne)- bizonyos telephelyek vagy minden telephely.
• Biztonsági csoport: a szokványos kiválasztó párbeszédablakban egyszerűen kiválasztha
tunk egy vagy több biztonsági csoportot.
• User configuration- contains" (tartalmazza) vagy "does not contain" (nem tartalmazza)
"
- mappa-átirányítási, Internet Explorer-, rendszerleíró adatbázisbeli, parancsfájl- vagy
szoftvertelepítési értékek.
• Computer configuration - contains" (tartalmazza) vagy "does not contain" (nem tartal
"
mazza)- EFS-helyreállítási, IP-biztonsági, Microsoft lemezkvóta-, QoS csomagütemezői,
rendszerleíró adatbázisbeli, parancsfájl-, szoftvertelepítési vagy drót nélküli csoportházi
rend-értékek
• GUID- equals" (egyenlő)- a megadott érték.
"
A keresést a Search gombbal indíthatjuk el, ha pedig le szecetnénk állítani, mielőtt befejeződön
volna, a Stop Search (keresés leállítása) gombot használhatjuk A keresés eredménye az ablak
alján jelenik meg. A keresés eredményeképpen kapott GPO-kat kijelölhetjük, és ha kijelöltünk
egyet, az Edit gombra kattintva közvetlenül megnyithatjuk szerkesztésre. A keresés eredményét
a Save Results gombbal menthetjük is; ez az eredményt egy vesszőkkel elválasztott értékeket
tartalmazó (CSV) szövegfájlba írja. Ha az aktuális eredményt el szecetnénk távolítani, hogy új
keresést indítsunk, kattintsunk a Clear gombra.
A rendszergazdák általában jelentős időt töltenek azzal, hogy aGPO-kat pontosan az igényekhez
igazítsák, majd az eljárást saját kezú1eg pontosan megismételjék a többi szervezeti egységben is,
amelyekért felelősek, így hát a GPMC másolási lehetősége sok-sok órányi munkát takaríthat meg
nekik. Egy GPO-t vagy GPO-k egy csoportját egyszerűen lemásolhatjuk és beilleszthetjük egy
másik szervezeti egységbe. A másolat ugyanakkor nem azonos a biztonsági másolattal, rnivel
az egyszerű másolás során nem készül olyan, az információkat tároló fájl, amelyet a biztonság
érdekében máshová helyezhetnénk, ráadásul aGPO-másolatnak más lesz a GUID-je, rnint
-f1:1 Windows Server 2008
az eredeti GPO-nak. Ezen kívül ahhoz, hogy lemásolhassunk egy GPO-t, jogosultsággal kell
rendelkeznünk arra, hogy GPO-kat hozzunk létre a célhelyen, illetve GPO-kat olvashassunk
az eredeti helyen.
A GPO-k betöltése más tartományokból nem mindig egyszerű, mivel létre kell hoznunk egy
áttelepítési táblát, amely meghatározza, hogy a GPMC hogyan fordítsa le a tartományra jellemző
adatokat a másik tartománynak megfelelően. A legtöbb GPO tartalmaz olyan információkat- fel
használók, csoportok, számítógépek, UNC útvonalak -, amelyek az adott tartományban található
objektumokra hivatkoznak. Ezek valószínűleg nem értelmezhetők az új tartományban, ezért meg
kell mondanunk a Windowsnak, hogy miként fordítsa le a forrás GPO-ban tárolt objektumokat
a cél GPO helyének megfelelő objektumokra. Nézzük meg egy kicsit közelebbről, hogy milyen
elemeknek a módosítására lehet szükség az áttelepítéshez:
•
Biztonságiházirend-beállítások, beleértve a felhasználói jogosultságokat, a korlátozott
csoportokat, a szolgáltatásokat, a fájlrendszerbeli bejegyzéseket, illetve a rendszerleíró
adatbázisbeli kulcsokat és értékeket
•
Speciális mappa-átirányítási házirendek
•
A GPO saját ACL-je, amelyet megőrizhetünk, de el is vethetünk
•
A szoftvertelepítési GPO-k ACL-je (a szoftvertelepítésről a fejezet késóbbi részében
beszélünk részletesen), amely az előző pontban meghozott döntéstől függ
1. Indítsuk el a GPMC-t.
2. Bontsuk ki a Forest (erdő) és Domain (tartomány) fákat a bal oldali ablaktáblában, majd
a tartományunk alatt jelöljük ki a Group Policy Objects elemet.
3. A jobb oldali ablaktáblában jelöljük ki azt a GPO-t, amelyről biztonsági másolatot szeret
nénk készíteni.
4. Kattintsunk az egér jobb gombjával a GPO-ra, és válasszuk a BackUp (biztonsági mentés)
parancsot.
5. Ekkor a 6.22. ábrán látható BackUp Group Policy Object ablak jelenik meg. Az első
mezőbe írjuk be a helyet, ahol a csoportházirend-objektum biztonsági másolatának fájljait
tárolni szeretnénk, majd adjunk meg egy hasznos leírást magunknak, hogy késóbb
azonosíthassuk a mentett fájlokat.
6. Ortházirendek és az lntelliMirror
6. Ekkor egy folyamatjelző jelenik meg, amely jelzi, hogy a Windows hol tart a biztonsági
mentés műveletében. A művelet befejeződésekor a Status mezőben egy üzenet jelenik
meg, amely értesít, hogy a biztonsági mentés sikeres volt.
7. A befejezéshez kattintsunk az OK gombra.
5(
Enterthe name of the folder in which yoU war< to store bocked up Vef'SIOns of
tm Goup Policy Objecl �SPO). You can baci< up muliple GPO> to the some
!older.
Note: Settings thalare e>temal to the GPO. sucb as WMI fillers and tPsec
polides, are independenr obieels in kl<ve [Mec!OIY and will !Wt be bocked up.
LDcá=:
6.22. ábra
Csoportházirend-objektumok biztonságimentése
Ha egy adott GPO-t egyszerűen le szeretnénk másolni, hajtsuk végre az alábbi lépéseket:
1. Indítsuk el a GPMC-t.
2. Bontsuk ki a Forest és Domain fákat a bal oldali ablaktáblában, majd a tartományunk
alatt jelöljük ki a Group Policy Objects elemet.
3. A jobb oldali ablaktáblában jelöljük ki azt a GPO-t, amelyet le szeretnénk másolni.
4. Kattintsunk az egér jobb gombjával a GPO-ra, és válasszuk a Copy parancsot.
5. Keressük meg azt a szervezeti egységet az Active Directory-ban, ahová be szeretnénk
illeszteni a lemásolt GPO-t, és jelöljük ki.
6. Kattintsunk az egér jobb gombjával a szervezeti egységre, és válasszuk a Paste parancsot
a megjelenő helyi menüből. Ekkor a 6.23. ábrán látható üzenet jelenik meg, amely meg
kérdezi, hogy a lemásolt GPO-kat a célként választott szervezeti egységhez szeretnénk-e
kapcsolni. A folytatáshoz kattintsunk az OK gombra.
OK 6.23. ábra
Csoportházirend-objektumokmásolása
1. Indítsuk el a GPMC-t.
2. A fanézetben jelöljük ki a Group Policy Objects elemet.
Windows Server 2008
1. Indítsuk el a GPMC-t.
2. Jelöljük ki azt a szervezeti egységet vagy más objektumot, amelyet képessé szeretnénk
tenni a GPO-khoz való kapcsolásra.
3. A jobb oldali ablaktáblában váltsunk a Delegation lapra.
4. Vegyük fel azt a felhasználót vagy csoportot, akinek át szeretnénk adni a jogosultságot.
Helyi Csoportházirendek
Most vizsgáljuk meg a Csoportházirendek két típusát, a helyi csoportházirendekkel kezdve, és
onnan haladva a tartományi.csoportházirendek felé. Bár a helyi házirendek nem olyan rugalma
sak, rnint a tartományi házirendek, arnint látni fogjuk, ezek is hasznos eszköznek bizonyulnak,
ha egy cég számítógépein szabványos környezetet szeretnénk kialakítani. A helyi házirendeknek
akkor vehetjük a legnagyobb hasznát, amikor ügyfelek vagy kiszolgálók számára biztonsági
beállításokat adunk meg a cégünk igényeinek megfelelően. A Security Templates (Biztonsági
sablonok) beépülő modul segítségével szerepkör alapú sablonokat hozhatunk létre, amelyekkel
a legtöbb biztonsággal kapcsolatos beállítás megadható a számítógépeinken, a Security
Configuration and Analysis (Biztonságkonfigurálás és -elemzés) nevű beépülő modullal pedig
(amelyet a 17. fejezetben tárgyalunk részletesebben) adatbázist hozhatunk létre a hálózatunk
gépeinek szerepköreiről és házirendjeirőL
. Biztonsági sablonok
A Microsoft bölcsen úgy döntött, hogy a Windowst ellátja néhány előre kidolgozott biztonsági
beállításokat tartalmazó fájllal, amelyeket ezentúl "biztonsági sablonoknak" fogunk hívni. Ezek
a fájlok lényegében recepteket tartalmaznak, amelyeket követve a mindennapi szerepe alapján
beállíthatjuk egy számítógép biztonsági házirendjét. Ezeket a sablonokat, amelyeket olyan új
Windows-telepítéseken való alkalmazásra terveztek, amelyekre már vonatkozik egy alapszintű
sablon, csak NTFS formázású rendszereken használhatjuk, legalábbis ami a rendszerindító
(az operációs rendszer fájljait tartalmazó) lemezrészt illeti. Az egymásra épülő biztonsági sablo
nok a következők:
6. ázirendek és az lntelliMirror
A Security Templates beépülő modult ezzel hozzáadtuk a konzolhoz. A beépülő modulból ki
bonthatjuk a bal oldalon látható konzolfa Security Templates részét, majd a C:\ Windows\
security\tempiates mappát, ahol megtekinthetjük a fent ismertetett készen kapott sablonokat.
1. A Security Templates konzolon bontsuk ki a Security Templates elemet a bal oldali fában,
majd az egér jobb gombjával kattintsunk a C:\ Windows\security\templates mappára
(ez a sablonok alapértelmezett mappája a rendszeren).
2. A megjelenő helyi menüből válasszuk a New Template menüpontot.
Ennél egy lépéssel tovább is mehetünk, és úgy dönthetünk, hogy a Windowshoz kapott
alapsablon, illetve a rá épülő kész sablonok házirendbeállításaira építünk. Ebben az esetben
egyszerűen megnyithatjuk az említett sablonokat, majd a megnyitott sablont más néven mentve
módosításokat végezhetünk rajta, és így létrehozhatjuk a saját sablonunkat Ehhez a következő
műveleteket kell végrehajtanunk
Bár a felhasználói felülettől nem kapunk semmiféle megerősítést, a sablon hozzáadódik az adat
bázishoz. Ezután az egér jobb gombjával az SAC eszközre kattinthatunk a bal oldali ablaktáblá
ban, és vagy az Analyze Computer Now (a számítógép elemzése most), vagy a Configure Compu
ter Now (a számítógép beállítása most) lehetőséget választhatjuk Ha az Analyze Computer Now
parancs mellett döntünk, az SCA megvizsgálja az új biztonsági beállításokat az adatbázisban,
összeveti a számítógép jelenlegi állapotával, és jelentést küld a különbségekró1, amelyet egy
naplófájlba is ment a \My Documents\Security\Logs mappába. Ha ezzel szemben a Configure
Computer Now parancsot választjuk, a program ténylegesen alkalmazza a változásokat a rend
szerre. Ezt kerüljük el, hacsak nem vagyunk teljesen biztosak benne, hogy az alkalmazás előtt
nem szükséges áttekinteni az eredményt. A sablonok alkalmazását a SECEDIT segédprogrammal
parancsfájlba is írhatjuk, így egyszerre több számítógépen végezhetjük el a műveletet egy beje
lentkezési parancsfájl, Telnet-kiszolgáló vagy valarnilyen más módszer segítségéveL A SECEDIT
hozzáadja az SCA-adatbázishoz a kívánt sablonfájlt, majd a biztonsági beállításokat alkalmazza
arra a számítógépre, amelyiken a SECEDIT-et futtatjuk Ha például egy Hassell-secure.infnevű
sablont szeretnénk betölteni, beépíteni az SCA-ban egy securepes nevű adatbázisba, felülírni
az adatbázisban található adatokat, az aktuális számítógépre alkalmazni, majd az összes említett
műveletet egy apply.log nevű naplófájlba szeretnénk írni, a következő parancsot kell kiadnunk:
Ha a sablont már saját kezűleg betöltöttük az SCA-ba, és csak alkalmaznunk kell a beállításokat
a számítógépre, adjuk ki az alábbi utasítást:
Tartományi Csoportházirendek
A tartományi Csoportházirendek sokkal rugalmasabbak és több beállírásra adnak módot a háló
zatban, mint a helyi Csoportházirendek Ebben a részben az informatikai eszközök központi,
tartományi Csoportházirendek segítségével végzett kezelésének négy leggyakrabban alkalmazott
módszerét mutatjuk be: a biztonsági alapbeállítások meghatározását, a Windows Server 2008-ban
található IntelliMirror technológia segítségével végrehajtott szoftvetelepítést, a felhasználói felüle
ten elérhető mappák átirányítását hálózati helyekre, valamint az olyan események által elindított
parancsfájlok megírását és végrehajtását, rnint a be- és kijelentkezés.
Windows Server 2008
Biztonsági beállítások
Ahogy korábban tárgyaltuk, a Csoportházirendek egyik legelőnyösebb tulajdonsága, hogy
a hálózat egy központi helyéről szabályozhatjuk a biztonsági és egyéb beállításokat. A biztonsági
házirend három kulcsfontosságú összetevóből áll: a korlátozott csoportokból, a rendszerleíró
adatbázis beállításaiból, illetve a fájlrendszerre vonatkozó beállításokból. Ebben a részben rnind
hármat megvizsgáljuk
Korlátozott csoportok
A korlátozott csoportok házirendjének segítségével módosíthatjuk a jelenleg érvényben levő
csoport- és tagsági beállításokat az ügyfélszárnítógépeken. Arnikor a házirendet alkalmazzuk
a munkaállomásokra és kiszolgálókra, azok egyéni csoportbeállításai úgy módosulnak, hogy
igazodjanak a házirenden belül meghatározott beállításokhoz. A házirend olyan tagsági listákat
tartalmaz, amelyek felülírják a célszámítógépek beállításait. Például ha az Administrator csopor
tot hozzáadjuk a házirendhez, de a Members of this group (ennek a csoportnak a tagjai) listára
nem veszünk fel egyetlen felhasználót sem, majd alkalmazzuk a házirendet, a Windows az ügy
félgépeken minden felhasználót eltávolít a csoportból, aki jelenleg ott a csoport tagja. Másrészt
viszont a házirend másik listája, amely azt határozza meg, hogy az adott csoport mely csopor
toknak a tagja jelenleg, csak hozzáadásra szolgál: amennyiben ez a lista üres, az ügyfélszámító
gépeken nem történik módosítás, mert a Windows csak a bővítéseket dolgozza fel.
1. Indítsuk el a GPMC-t, majd kattintsunk az egér jobb gombjával a cél GPO-ra a bal oldali
ablaktáblában, és válasszuk az Edit menüpontot.
2. A csoportházirend-objektumok szerkesztőjében keressük meg a Computer Configuration,
Policies, Windows Settings, Security Settings elemet.
3. Kattintsunk az egér jobb gombjával a Restricted Groups ágra, és válasszuk az Add Group
lehetőséget a helyi menüből.
4. Kattintsunk a Browse gombra, és válasszunk egy tetszőleges csoportot a címtárban
jelenleg találhatóakból, majd kattintsunk az OK gombra.
5. Most kattintsunk a jobb gombbal az újonnan felvett csoportra, és válasszuk a Properties
pontot a helyi menüből.
6. Adjuk a csoporthoz tartozó felhasználókat a Members of this group listához, majd azokat
csoportokat, amelyek ezt a csoportot beágyazva tartalmazzák, a This group is a member
of (ez a csoport a következő csoportok tagja) felsoroláshoz. Mindkét művelethez az Add
gombot használhatjuk; a képernyőt a 6.24. ábra mutatja.
7. Ha készen vagyunk, zárjuk be az ablakokat az OK gombbal.
6. fejezet • A Csoportházirendek és az lntelliMirror
.Ad<L l
�. (a� l
r.n�
6.24. ábra
A korlátozott csoportokat felsoroló képernyő
1. Indítsuk el a GPMC-t, majd kattintsunk az egér jobb gombjával a cél GPO-ra a bal oldali
ablaktáblában, és válasszuk az Edit menüpontot.
2. A csoportházirend-objektumok szerkesztőjében keressük meg a Computer Configuration,
Policies, Windows Settings, Security Settings, Registry elemet. Kattintsunk az egér jobb
gombjával a Registry ágra, és válasszuk az Add Key lehetőséget a helyi menüből.
3. Egyszerre egy rendszerleíró adatbázisbeli kulcsot vehetünk fel, és az egyes kulcsokra tet
szőlegesen alkalmazhatjuk a különféle jogosultságokat. A képernyőt a 6.25. ábra mutatja.
lt#i;@MS
-
--- ,�
Regfstf)':
-!tl-;b,"tli"'w."'-""'"',..
., �.,..,::t•r•:
1-tl � MA011NE
I±J ·�, USERS
Selocted key:
JcLAS�E.s�l()O
i T_ 6.25. ábra
A rendszerleíró kulcsok hozzáférés-szabályozó
képernyője
Ha fájlt vagy mappát szeretnénk csoportházirenddel védeni, a következő lépésekre lesz szükség:
1. Indítsuk el a GPMC-t, majd kattintsunk az egér jobb gombjával a cél GPO-ra a bal oldali
ablaktáblában, és válasszuk az Edit menüpontot.
Windows Server 2008
6.26. ábra
A fájlrendszer hozzáférés-szabályozó képernyője
Miután kiválasztottuk a kívánt objektumokat, meg kell adnunk a hozzájuk tartozó jogosultsá
gokat, ahogy a 3. fejezetben láttuk. Miután meghatároztuk a megfelelő engedélyeket, a rendszer
felajánlja, hogy az új engedélyek öröklődési tulajdonságait is állítsuk be (lásd a 6.27. ábrát).
6.27. ábra
A fájlrendszer vagy a rendszerleíró adatbázis
védett objektumainak öröklődési beállításai
Ha a beállítás mellett döntünk, a jogosultságok alkalmazási módját is meg kell adnunk. Ha a fájl
vagy mappa biztonsági beállításait örökölhetővé tesszük, az új jogosultságokat rninden olyan
gyermekobjektum megkapja, amely nem rendelkezik kifejezetten meghatározott beállítással vagy
ACL-bejegyzéssel. Így a fában az egyénileg beállított jogosultságok megőrződnek, de az egyszerű-
6. fejezet • A Csoportházirendek és az lntelliMirror
Ha egyik említett módszerrel sem szeretnénk jogosultságokat alkalmazni, csak válasszuk a Prevent
the application of security policies to this file or folder and its subfolders (ne alkalmazzon biz
tonsági házirendeket erre a fájlra vagy mappára és annak almappáira) lehetőséget, így a gyermek
fájlokra és -mappákra az új házirendben meghatározott jogosultságok nem lesznek hatással.
lntelliMirror: szaftvertelepítés
Véleményem szerint a szaftvertelepítés lehetősége a Csoportházirendek egyik legnagyszerúbb
és leghasznosabb szolgáltatása, és ismerek jónéhány rendszergazdát, akik egyetértenek velem.
A Microsoftnak a Windows 2000-ben bevezetett IntelliMirror technológiáját használva a rend
szergazdák a Csoportházirendek segítségéve!, lekérő vagy közzétevő módszerrel végezhetik el
a szoftvertelepítési, majd a frissítési, az újratelepítési és a szoftvereltávolítási feladatokat, akár
általánosan, akár bizonyos feltételek teljesülése esetén. Az IntelliMirror ezenkívül intelligens
programjavítási szolgáltatásokat is kínál, így ha egy az IntelliMirror segítségével telepített
alkalmazás létfontosságú fájljai megsérülnek vagy törlődnek, a Windows átveszi az irányítást, és
kijavítja a hibát, hogy az alkalmazás rendesen el tudjon indulni, és helyesen működjön, ami
nagyon sok időt takarít meg nekünk.
Akkor sincs azonban minden elveszve, ha az adott programhoz nem áll rendelkezésre MSI
formátumú telepítő. Először is, használhatunk egy ZAP fájlt, ami akkor jön jól, ha a szaftverből
nincs közzétehető MSI csomagunk (a kiosztott alkalmazásokra ez nem érvényes). A ZAP fájl
nem más, mint az alkalmazás, a telepítőprogram és az alkalmazáshoz rendelt fájlkiterjesztések
leírása. A2 Adobe Acrobat Reader 5.0 ZAP fájlja például így fest:
Line l: [Application]
Line 2: FriendlyName = Adobe Acrobat Reader 5.0
Line 3: SetupCommand = \\deploy\adobe\rp505enu.exe
Line 4: DisplayVersion = 5.0
Line 5: Publisher = Adobe Corporation
Line 6: URL = http://www.adobe.com
Line 7:
Line 8: [Ext]
Line 9: PDF=
Néhány megjegyzés ezzel a ZAP fájllal kapcsolatban: a FriendlyName rész mutatja az alkalmazás
nevét, ahogy az megjelenik a Vezérlőpult Add/Remove Programs kisalkalmazásának ablakában
azokon a számítógépeken, amelyeken közzétesszük a csomagot; a Setup utasítás a csomagot
telepítő fájl hálózati elérési útját adja meg a Windows számára; rníg a többi címke-bár további
információkat adnak a változatról, a gyártóról, illetve a gyártó internetes címéről - elhagyható.
A programhoz társítandó fájlkiterjesztéseket az Ext rész sorolja fel; az egyes kiterjesztések után
egyenlőségjel áll.
A ZAP fájlok használatának van néhány hátránya. Először is, ami a legfontosabb, hogy rnivel
a ZAP fájlok csak közzétételnél használhatók, a számítógépekhez és felhasználókhoz rendelt
kiosztott alkalmazások hatékonyságát és intelligens javítási lehetőségeit elveszítjük. A ZAP fájlon
keresztül elérhetővé tett alkalmazások ezenkívül nem állíthaták be úgy, hogy automatikusan tele
püljenek az első használatkor, és nem is frissíthetjük vagy törölhetjük azokat Csoportházirendek
segítségéve!. Emellett a felhasználóknak megfelelő jogosultságokkal kell rendelkezniük a csomag
telepítő végrehajtható fájljának futtatásához és a forrásfájlok eléréséhez. A telepítés ráadásul nem
igazán automatizált: a felhasználónak valószínüleg meg kell majd adnia a célkönyvtárat, a telepíté
si beállításokat, és így tovább -márpedig ezt-ha csak lehetséges-el szeretnénk kerülni. V égül,
rnivel a telepítő ekkor nem kap olyan átfogó felügyeleti jogokat, mint az MSI telepítőcsomagok,
tömeges telepítésnél hibák és ütközések léphetnek fel, amelyekek el kell hárítanunk.
6. fejezet • A Csoportházirendek és az lntelliMirror
setup /r /setup.iss
Ha a ZAP fájlt használó módszer nem tetszik, használhatunk egy újracsomagoló eszközt is,
amilyen például a Veritas Wininstall LE vagy az InstallShield. Ezek az eszközök pillanatfelvételt
készítenek az érvényben levő rendszerbeállításokról, majd megkérnek, hogy telepítsük a becso
magoini kívánt szaftvert Arnikor a telepítés befejeződött, új pillanatfelvétel készül, ami rögzíti,
hogy mi változott a fájlrendszerben és a rendszerleíró adatbázisban, és megjelenik az észlelt
változások listája. Nézzük végig a listát, győződjünk meg róla, hogy az ott szereplő változások
a szaftver telepítésének és nem a Windows hibás viselkedésének köszönhetők, majd hagyjuk
jóvá a listát A szaftver ekkor létrehoz egy MSI fájlt, benne a programunk telepítőjével, illetve
a fájlrendszerben és a rendszerleíró adatbázisban végrehajtandó változtatások adatbázisávaL
Ha még van egy példányunk a Windows 2000 telepítő CD-jéből, azon megtalálhat
Megjegyzés
juk a Wininstall LE korlátozottan felhasználható változatát. A Microsoft azonban vala
miért eltávolította ezt a programot a Windows ú jabb változataiból, ezért ha nincs Windows 2000-es
telepítőlemezünk, akkor sajnos nincs szerencsénk.
Telepftési példa
Ebben a részben lépésről lépésre végignézzük, hogy miként zajlik egy tényleges szaftvertelepítés
a Csoportházirendek segítségéve!, ha az alkalmazást közzététellel tesszük elérhetővé egy felhasz
náló számára:
1. Másoljuk az MSI fájlt és az egyéb szükséges állományokat egy megosztott hálózati mappá
ba. Lehet, hogy ehhez rendszergazdai jogok kellenek, amennyiben a szaftver ezt lehetővé
teszi. További információt a dokumentációban és a telepítési útmutatóban találhatunk.
A megosztott hálózati mappához a következő jogosultságokat kell beállítanunk:
•
Az Authenticated Users csoportnak olvasási jogot kell adnunk.
•
A Domain Computers csoportnak ugyancsak olvasási joggal kell rendelkeznie.
•
Az Administrators csoportnak Read, Change és Full Control jogosultsággal is
rendelkeznie kell.
2. A csoportházirend-kezelő konzol és az objektumszekesztő segítségével hozzunk létre
egy új csoportházirend-objektumot és nyissuk meg, vagy módosítsunk egy már meglevő
GPO-t, amelyet az adott szaftver telepítéséhez hoztunk létre.
-Jtl Windows Server 2008
3. A Group Policy Object Editorban keressük meg a User Configuration, Policies, Software
Settings ágat a bal oldali ablaktáblában.
4. Az egér jobb gombjával kattintsunk a Software Installation elemre, és válasszuk
a Package pontot a New menüből.
5. A Find File ablakban a Browse gomb segítségével keressük meg a megosztott hálóati
mappába másolt csomagot. Ebben a lépésben MSI és ZAP fájlt is választhatunk; ha egy
ZAP fájl mellett döntünk, gondoskodnunk kell róla, hogy a hozzá tartozó telepítőfájl
ugyanabban a mappában legyen, mint a ZAP fájl.
MMw Ha ZAP fájlt használunk, győződjünk meg róla, hogy a fájlban a SetupCommand
parancs arra a hálózati elérési útra mutat, amelyen a telepítőfájl található,
nem pedig a helyi elérési útra, másképpen a Windows helytelenül fogja lefordítani a fájl elérési útját,
és ha a szaftver nincs jelen ugyanazon a helyi elérési úton a cé/rendszereken, a telepítés meghiúsul.
Telepftési beállftások
A telepítés beállításait valószínűleg finomhangolni is szeretnénk. Ezt a szaftver tulajdonságabla
kán keresztül hajthatjuk végre: kattintsunk az egér jobb gombjával a szoftvercsomagra a Group
Policy Object Editorban, majd válasszuk a Properties menüpontot. A házirend tulajdonságablaka
a következő hat lapból áll:
General (általános)
Ezen a lapon a csomag nevét módosíthatjuk, ahogy az megjelenik az Add/Remove
Programs ablakban, valarnint megtekinthetjük a szaftver változatszámát, kiadóját, nyelvét
és hogy rnilyen rendszerre készült. A General lapot a 6.28. ábrán láthatjuk.
Deployment (telepítés)
A Deployment lapon a telepítés típusát és a rendelkezésre álló felhasználói műveleteket
határozhatjuk meg a szaftver számára. A Deployment Type mezóben választhatjuk ki, hogy
közzétenni vagy kiosztani szeretnénk az adott programot. A Deployment Options mezőben
az Auto-install this application by file extension activarion (az alkalmazás automatikus
telepítése a fájlkiterjesztés aktiválása esetén) négyzettel szabályozhatjuk, hogy települjön-e
a program, amikor a felhasználó a programhoz társított kiterjesztéssei rendelkező fájlt pró-
6. ortházirendek és az lntelliMirror
bál megnyitni. Választhatjuk az Uninstall this application when it falls out of the scope of
management (az alkalmazás eltávolítása, ha kikerül a felügyelet hatókörébó1) lehetőséget is,
amellyel azt adhatjuk meg, hogy el szeretnénk-e távolítani az alkalmazást, amikor a felhasz
náló vagy számítógép kikerül az aktuális csoportházirend hatókörébőL Ezenkívül bejelöl
hetjük a Do not display this package in the Add/Remave Programs control panel (a csomag
ne jelenjen meg az Add/Remove Programs vezérlőpulton) a jelölőnégyzetet, amivel egysze
rűen elrejhetjük az alkalmazás elérhetőségét (de a program ettó1 még települni fog, ha a fel
használó megnyit egy a programhoz társított kiterjesztéssei rendelkező fájlt). Az Install this
application at Jogon (az alkalmazás telepítése bejelentkezéskor) négyzettel azt tehetjük
lehetővé, hogy a számítógéphez rendelt alkalmazás telepítésére akkor kerüljön sor, amikor
egy felhasználó bejelentkezik a gépre, nem pedig rendszerindításkor, ami az alapértelme
zett viselkedés. Végül, az Installation user interface options (a telepítés felhasználói felületi
lehetőségeD mezóben a Basic választógombot bejelölve az alkalmazást az alapértelmezett
értékekkel telepítjük, így a fellusználói beavatkozás nagy részét kiküszöbölhetjük, míg
a Maximum választógombbal lehetőséget adunk a felhasználónak, hogy a telepítés során
beállításokat és utasításokat adjon meg. A Deployment lapot a 6.29. ábra mutatja.
11.0
6.28. ábra
OK
A Generallap
Upgrades (frissítések)
Ezen a lapon azt adhatjuk meg, hogy az új csomag felülír-e már telepített csomagokat.
A felülírást a Required upgrade for existing packages (a meglevő csomagok frissítése
szükséges) jelölőnégyzetet bejelölve kötelezővé tehetjük. Az aktuális objektumban frissí
tendő csomagokat úgy adhatjuk meg, hogy az Add gombra kattintunk, majd megkeressük
a kívánt csomagot, az A Specific GPO (konkrét GPO) lehetőséget választva pedig tallózha
tunk az Active Directory-szerkezetben, és másik G PO-t, illetve szaftvercsomagot választha
tunk. Ezt követően dönthetünk, hogy eltávolítjuk a meglevő csomagot, és telepítjük
az újat, vagy csak frissítjük a régi csomagot. Az Upgrades lapot a 6.30. ábrán láthatjuk.
-MI Windows Server 2008
Q'ijfi§�_iiieiii_l upgrades J
�
General Calegories l ModilicalÍQrl$ J SeCU<oy l
r D eplojoment t.vpe
c fublí!hed
t='. A§Signed
ployment options ��
G li,_
r. Mal!imurrr
i>.dyanced...
6.29. ábra
OK Cancel
A Deployment lap
Ilii: • If "
6.30. ábra
OK Cancel
Az Upgrades lap
Gategories (kategóriák)
Ezen a lapon kategóriákat hozhatunk létre, amelyekkel rendezhetjük és szűrhetjük
a Vezérlőpult Add/Remove Programs kisalkalmazásában megjelenő alkalmazásokat.
A felhasználók könnyebben megtalálják a telepíteni kívánt közzétett alkalmazást, ha típus
szerint böngészhetnek, mint ha 100 lehetséges program listáján kellene áthámozniuk
magukat. Egy kategória felvételéhez csak az Add gombra kell kattintanunk, majd be kell
írnunk egy nevet a kategória számára. Miután felvettük a kategóriát, csomagokat adha
tunk hozzá; ehhez válasszunk egy kategóriát az Available caregories (elérhető kategóriák)
mezőből, majd kattintsunk a Select gombra, hogy a csomagot hozzáadjuk A műveletet
hajtsuk végre minden kategóriába sorolni kívánt csomag esetében. A Caregories lapot
a 6.31. ábra mutatja.
6. fejezet • A Csoportházirendek és az lntelliMirror IJf-
m••
General r De� j Upg<ades [��� Modilic<ltions j Security l
Seiect the categories under which this appJication will be listed in
Add/Removo P!Ogfams.
Ayailable categOfies;
Dl i! ...., ..
..,_.
.... . l
,",.,,..,
��o===-=•-J
6.31. ábra
OK
A Categories lap
Modifications (módosítások)
Az MSI alkalmazástelepítési eljárást úgynevezett átalakítófájlokkal (MST fájl) testre is
szabhatjuk A Modifications lapon több MST fájlt megadva gondoskodhatunk róla, hogy
a különböző felhasználók, csoportok és számítógépek egyéni változatot kapjanak az adott
szoftvercsomagbóL Ha egy G PO-hoz átalakítófájlt szeretnénk használni, kattintsunk az Add
gombra ezen a lapon, és keressük meg a fájlrendszerben az alkalmazni kívánt MST fájlt.
A dolognak két hátulütője van: az alkalmazást az Advanced Publish or Assign módszerrel
kell telepítenünk, amit akkor választhatunk ki, arnikor létrehozzuk a szaftvertelepítő GPO-t;
illetve ha egy MST-t alkalmaztunk, és a szaftvert telepítettük, módosítások hozzáadására és
eltávolítására többé nincs lehetőség. A Modifications lapot a 6.32. ábrán láthatjuk.
Il
6.32. ábra
OK
A Modifications lap
Security (biztonság)
A Security lap nagyon hasonlít a Windows Server 2008 más objektumainak hozzáférés
szabályozási listáihoz. Itt olyan jogosultságokat határozhatunk meg felhasználók, számí
tógépek és csoportok számára, amelyek a GPO-nak a szaftvertelepítő csomagot leíró
részére vonatkoznak. Ezeket a beállításokat a fejezetben korábban bemutatott, biztonsági
csoportokon alapuló szűréssel együtt is alkalmazhatjuk, hogy korlátozzuk a GPO ható
körét. Egy házirend például, amely az Office programcsomagot számítógépekhez rendeli,
-JII Windows Server 2008
vonatkozhat csak az értékesítési részlegre, míg a Windows felügyeleti eszközeit közzéte
vő házirend csak a rendszergazdákra. Ha alkalmazásokat szeretnénk kiosztani számítógé
pek számára, itt fel kell vennünk a Domain Computers csoportot, hacsak nincs már egy
biztonsági csoportunk, amely tartalmazza a kívánt számítógépeket A Security lap
a 6.33. ábrán látható.
Fuli Control D D
Read � D
Write D D
Special Permissions � D
6.33. ábra
OK
A Security lap
Amikor biztonsági csoportokon alapuló szűréssel telepítünk szoftvert, rnindig tartsuk észben
a biztonsági beállításokra vonatkozó alábbi irányelveket:
• Ha azt szeretnénk, hogy a házirend egy bizonyos biztonsági csoport minden tagjára érvé
nyes legyen, olyan biztonsági csoportokat hozzunk létre, amelyek csak azokat az objektu
mokat tartalmazzák, amelyeket be szeretnénk vonni a házirend hatáskörébe. Ezt követően
jelöljük ki a kívánt GPO-t a csoportházirend-kezelő konzol bal oldali ablaktáblájában,
jobboldalt a Scope lapon kattintsunk az Add gombra a Security Filtering lista alatt, és
vegyük fel a listára azokat a csoportokat, amelyekre nem szeretnénk alkalmazni a háziren
det, majd ellenőrizzük, hogy a csoport bekerült-e a listába.
• Ha nem akarjuk, hogy a házirend egy bizonyos biztonsági csoport minden tagjára érvé
nyes legyen, vegyünk fel rninden tagot egy csoportba, adjuk a csoportot az objektum
ACL-jéhez a GPO-t a GPMC-ben szerkesztve és az ACL-t a Group Policy Object Editorban
elérve, és állítsuk be a következő jogosultságokat a csoportra: Apply Group Policy: deny;
Read: deny. Így a házirend a csoport egyetlen tagjára sem lesz érvényes, függetlenül attól,
hogy milyen más csoportoknak a tagjai.
• Ha a csoporttagságnak (legalábbis egy adott csoportra vonatkozóan) nem szabad szere
pet játszania az adott házirend alkalmazásában, hagyjuk békén a jogosultságokat.
General (általános)
Ezen a lapon állíthatjuk be azt az alapértelmezett műveletet, ami az ehhez a GPO-hoz
adott új csomagokra vonatkozik (kiosztás, közzététel, vagy párbeszédablak megjelenítése,
amely megkérdezi, hogy melyik műveletet szeretnénk végrehajtani). Ezen kívül a felhasz
nálói felületre vonatkozó alapértelmezett beállításokat is megadhatjuk, valamint a GPO
hoz adott új csomagok alapértelmezett helyének elérési útját.
Advanced (speciális)
Ezen a lapon jelezhetjük, hogy el kell-e távolítani egy szoftvercsomagot, ha kikerül
a felügyeleti hatókörbőL Ezen kívül megengedhetjük a 64 bites Windows ügyfél-munka
állomásoknak, hogy 32 bites Windows-alkalmazásokat telepítsenek, és ezt a lehetőséget
kiterjeszthetjük a ZAP fájlokon keresztül telepített alkalmazásokra is.
Categories (kategóriák)
A Categories lapról korábban már szót ejtettünk.
Ugyanígy, ha törölnünk kell egy telepített programot, kattintsunk a csamagra a Group Policy
Object Editoron belül, és válasszuk a Remove parancsot az All Tasks menüből. Ekkor a 6.34. ábrán
látható ablak jelenik meg.
Választhatunk, hogy azonnal, kényszerítve töröljük a szoftvert, ami mindentől függetlenül eltá
volítja az alkalmazást, vagy egyszerűen levesszük az elérhető prograrnak listájáról, amivel a már
telepített példányok használatát nem akadályozzuk meg, csak azt, hogy új számítógépek is tele
pítsék a csoportházirend-rendszeren keresztül.
-JI:I Windows Server 2008
1. Hozzunk létre egy megosztott terjesztési mappát a javítócsomag számára, majd csoma
goljuk ki a tartalmát ott. Az eljárás menete megtalálható a 2. fejezetben, de elolvashatjuk
a javítócsomag terjesztési fájljában található readme fájlokat is, ha további információkra
vagyunk kíváncsiak.
2. Ha a javítócsomagot közzétesszük a felhasználók számára, hozzunk létre egy ZAP fájlt,
amely a javítócsomag kibontott fájljait tartalmazó mappában található UPDATE.EXE
állományra mutat.
3. Hozzunk létre egy GPO-t a javítócsomag számára. Ez a lépés nem kötelező - a javítócso
magot az alapértelmezett tartományi vagy bármilyen más szintű házirend részeként is
kioszthatjuk -, de célszerű a szoftvertelepítést önálló GPO-kra bízni, hogy az esetleges
módosításokat könnyebben elvégezhessük.
4. A GPO Group Policy Object Editor ablakában keressük meg a Computer Configuration
vagy a User Configuration ág Policies, Software Installation elemét.
5. Kattintsunk az egér jobb gombjával a Software Installation elemre, és válasszuk
a Package pontot a New menüből.
6. Keressük meg a javítócsomag fájljainak hálózati elérési útját, és válasszuk vagy
az UPDATE.MS!fájlt (ha kiosztjuk a javítócsomagot a számítógépeknek), vagy a korábban
létrehozott UPDATE.ZAP fájlt (ha közzététellel terjesztjük a csomagot a felhasználóknak).
7. A Deploy Software párbeszédablakban válasszuk az Assigned (kiosztott) vagy a Published
(közzétett) lehetőséget.
8. Kattintsunk az OK gombra.
6. fejezet • A Csoportházirendek és az lntelliMirror
A házirendet ezzel beállítottuk, és készen áll a javítócsomag kiosztására vagy közzétételére, a vá
lasztásunktól függően. Ne feledjük, hogy a javítócsomagok általában nagy méretű fájlok, ezért
csak akkor telepítsük őket, ha végiggondoltuk, hogy ez milyen hatással lesz a hálózati sávszéles
ségre, illetve hogy mennyi időbe telne helyben, az ügyfélszámítógépeken telepíteni a csomagokat.
Ezenkívül célszerű elkerülni a javítócsomagok automatikus telepítését a tartományvezérlók
' ön.
A tartományvezérlők érzékeny vadállatok, amelyek az Active Directory rendszerünk kulcsait őrzik:
a javítócsomagokat saját kezú1eg, egyenként telepítsük rájuk, és ellenőrizzük, hogy nincs-e káros
hatásuk.
Egy olyan környezetben, ahol több fájlkiszolgáló működik, az sem árt, ha a szoftver
Megjegyzés
telepítési pontokat egy elosztott fájlrendszerben (DFS) táro/juk. A DFS használatának
köszönhetően nem csak hibatűréshez jutunk, de a szoftvertelepítési pontok helyét is megváltoztathat
juk az elosztott fájlrendszeren keresztül, anélkül, hogy módosítanunk kellene a GPO beállításait.
Az elosztott fájlrendszerrel a 3. fejezetben foglalkoztunk részletesen.
lntelliMirror: mappa-átirányítás
A csoportházirend-rendszer mappa-átirányítási szolgáltatását használva számos mappa helyét
megváltoztathatjuk egy adott felhasználó Windowsának felületén. Egyéni helyet határozhatunk
meg például az Application Data, a Desktop (asztal), a Documents (Dokumentumok)- beleértve
a Pictures, Music és Videos almappákat is-, a Favorites (Kedvencek), a Contacts, a Downloads,
a Links, a Searches, a Saved Games és a Start Menu mappák számára. A mappa-átirányítás
a vándorló profilok okozta csúnya problémát- a súlyos hálózati forgalmi dugókat, amelyeket
a felhasznáJók bejelentkezésekor a hatalmas My Documents és Desktop mappáknak a hálózat
munkaállomásaira másolása okoz- is megoldja. Ezenkívül a megosztott meghajtóról, ahová
a mappákat átirányítjuk, a szokásos biztonsági mentési eljárással biztonsági másolatot is készíthe
tünk, ami automatikusan védelmet nyújt azok tartalmának.
!:!Desktop
íLl Start Menu
íLl Documents
C Pictures
(logon;\.og•i lU Music
Settings l � Videos
liat f#§$1j·@@@
� .............�
� Q Favorites
!B f))l Pofiey -based QoS lU Contacts
� lU Downloads
iB fO Internet Explor er
iB f:! Adminstrative Templat C Linlcs
!B .:J Preferences J li::j Searches
'
LU. Saved Games
6.35. ábra
A mappa-átirányítási felület
Windows Server 2008
A Target (cél) lapon választhatjuk ki az átirányítás típusát a házirend számára. A példa kedvéért
válasszuk a Basic lehetőséget, amellyel egyszerűen ugyanarra a helyre irányítjuk át az összes
felhasználó mappáit. Következő lépésként adjuk meg a célmappát a képernyő alján, a Root
Path (a gyökér elérési útja) mezőben, és válasszuk azt a lehetőséget, hogy új mappát hozunk
létre rninden felhasználó számára a gyökér alatt. Ezt követően váltsunk a Settings lapra, ahol
a következő beállítások közül választhatunk:
Grant the user exclusive rights to My Documents (kizárólagos jogok biztosítása a felhaszná
lónak a Dokumentumok mappához)
Ha ezt a beállítást bekapcsoljuk, a felhasználó, akihez a mappa tartozik, illetve a helyi
számítógép kizárólagos felügyeleti joggal fog rendelkezni a mappára, minden más objek
tumot kizárva. Ha a beállítást kikapcsoljuk, megtartjuk a mappára jelenleg érvényben levő
engedélyeket.
Move the contents of My Documents to the new location (a Dokumentumok mappa tartalmá-
nak áthelyezése) .
Ezt a beállítást bekapcsolva rninden, ami jelenleg a My Documents mappában található,
az új, átirányított helyre kerül. Ha ezt a lehetőséget kikapcsoljuk, semmit sem helyezünk
át, így az új My Documents mappa üres lesz.
Policy remavai (házirend törlése)
A Windows alapértelmezése az, hogy ha magát az átirányítási házirendet törlik, a mappa
az átirányított helyen marad, de ha szeretnénk, ilyen esetben a mappát visszahelyezhetjük
az eredeti helyére.
My Pictures preferences (a Képek mappa beállításai)
A My Pictures airnappára vonatkozó alapértelmezés az, hogy az almappa követi
a My Documents mappát, bárhol is legyen.
Írjuk be egy biztonsági csoport nevét, majd adjuk meg a mappák hálózati elérési útját. Mindig
UNC útvonalat adjunk meg, még akkor is, ha a mappák a számítógépünkön helyben találhatók,
hogy a vándorló profilt használó felhasznáJók a megfelelő, abszolút elérési úttal meghatározott
mappákat lássák, ne pedig tévesen helyi, viszonyított útvonalat próbáljanak lefordítani. Ha készen
vagyunk, kattintsunk az OK gombra, majd ismételjük meg az eljárást annyiszor, ahány csoportról
szó van.
6. fejezet • A Csoportházirendek és az lntelliMirror 1f1-
Ha a felhasználóink ragaszkodnak a szokásaikhoz, azt is megtehetjük, hogy kikapcsoljuk
az Offline Files and Folders lehetőséget azon a megosztott meghajtón, ahol az átirányított map
pákat tároljuk Így a Windows akkor is testreszabott környezetet fog megjeleníteni, ha a hálózat
nem üzemel, és a megosztott meghajtó nem érhető el.
?lx
Settng: 3
group membership of the usef>
n.. folder wil be redírected to difl..,....1ocations based on the security
.
c:\user.s\?.USERNAME%\Documerts
6.36. ábra
Mappák átirányítása csoporttagság alapján
Szoftverkorlátozási házirendele
A szoftverkorlátozási házirendek segítségével egyes prograrnak végrehajtását szabályozhatjuk
Ez igen hasznos szolgáltatás a terminálkiszolgálókon, illetve a nyilvános állomásként üzemelő
számítógépeken, mert így a felhasználók csak adott szolgáltatásokat használhatnak, és nem
nyúlhatnak hozzá például a felügyeleti eszközökhöz, az internetes alkalmazásokhoz vagy
a segédprogramokhoz.
Kísértést érezhetünk, hogy egy olyan szabályt határozzunk meg, amely alapértelmezés szerint
megakadályozza a prograrnak futását, kivéve azokét, amelyeket kifejezetten megadunk egy
kivétellistán. Ez egyszerű megoldásnak tűnik, de valójában agyhalottá teszi a rendszert, hacsak
nem adjuk meg gondosan kivételként a Windows összes olyan végrehajtható állományát, amelyre
a felhasználóknak szükségük lehet, beleértve a felhasznáJók alkalmazásait is. A megoldás ezen
kívül azoknak a felhasználói bejelentkezési parancsfájljoknak is a lábára léphet, amelyek szüksé
gesek lehetnek a biztonságos környezet létrehozásához. Ha mégis az említett megoldás mellett
döntünk, mindenképpen alaposan teszteljünk minden korlátozó házirendet és kivétellistát egy
próbakörnyezetben, amikor pedig ténylegesen létrehozzuk a szoftverkorlátozási csoportházirend
objektumot, ne felejtsük el hozzáadni a Domain Administrators csoportot a GPO hozzáférés-sza
bályozási listájához, és kifejezetten megtagadni az Apply Group Policy jogosultságot a GPO-tól -
ez ugyanis lehetővé teszi a rendszergazdáknak, hogy kikapcsolják a házirendet, és ne zárják ki
magukat a rendszerből. Ha készen állunk a házirend elkészítésére, hajtsuk végre az alábbi
műveleteket:
1. Hozzunk létre egy-egy új GPO-t minden korlátozási házirend részére. Így könnyebben
kikapcsolhatunk egy házirendet, ha az túlságosan korlátozó lenne.
2. Válasszuk a Computer Configuration vagy User Configuration ágat, aszerint, hogy a korlá
tozásokat számítógépekre vagy felhasznáJókra szeretnénk alkalmazni, aztán keressük meg
a Policies, Windows Settings, Security Settings, Software Restrietion Policies (házirendek,
Windows-beállítások, biztonsági beállítások, szoftverkorlátozási házirendek) elemet.
3. Az egér jobb gombjával kattintsunk a Software Restrietion Policies elemre, és válasszuk
a New Software Restrietion Policy pontot a megjelenő helyi menüből.
4. Állítsunk be egy alapértelmezett azonosító szabályt: a bal oldali ablaktáblában kattint
sunk a Security Levels (biztonsági szintek) pontra, majd az egér jobb gombjával valame
lyik biztonsági szintre, és válasszuk a Set as Default (beállítás alapértelmezettként) lehe
tőséget a megjelenő helyi menüből.
5. Most hozzuk létre a tényleges szabályokat, amelyek elfogják azokat a programokat, ame
lyekre korlátozást szeretnénk kikényszeríteni. Kattintsunk az egér jobb gombjával
az Additional Rules (további szabályok) elemre a bal oldali ablaktáblában, és válasszuk
a New Certificate Rule (új tanúsítványszabály) lehetőséget a megkövetelni vagy leültani
kívánt tanúsítvány kijelölésével; a New Hash Rule (új kivonatszabály) pontot az engedé
lyezni vagy leültani kívánt fájl megadásával; a New Internet Zone Rule (új internetzóna
szabály) elemet annak a zónának a meghatározásával, amelyből engedélyezni vagy leültani
szeretnénk programokat; vagy a New Path Rule (új útvonalszabály) lehetőséget az engedé
lyezni vagy leültani kívánt fájl vagy rendszerleíró adatbázisbeli kulcs kiválasztásávaL
6. A jobb oldali ablaktáblában kattintsunk duplán az Enforcement (kényszerítés) elemre.
Itt adhatjuk meg, hogy miként szeretnénk ezeket a korlátozásokat érvényesíteni. Az alábbi
beállítások javasoltak:
-fjl Windows Server 2008
•
Az All software files except libraries (minden programfájl, kivéve a programkönyv
tárakat) segít, hogy elkerüljük a létfontosságú rendszerfájlok, illetve az alkalmazások
működéséhez fontos függvénykönyvtárak letiltását.
•
Az All users except local administrators (minden felhasználó, kivéve a helyi rend
szergazdákat) arra utasítja a Windowst, hogy a házirendet mindenkire alkalmazza,
kivéve azokat, akik a helyi rendszergazdák csoportjába tartoznak.
7. Következő lépésként a jobb oldali ablaktáblában kattintsunk duplán a Designated File
Types (kijelölt fájltípusok) elemre. Itt tekinthetjük át a szoftverkorlátozási házirendekben
szereplő alkalmazásokhoz társított fájlkiterjesztéseket, illetve adhatunk hozzájuk újabba
kat A listának nagyjából teljesnek kell lennie, de arról mindenképpen győződjünk meg,
hogy a hálózatunkon használt minden parancsnyelvnek megfelelő fájlkiterjesztés szerepel
a felsorolásban.
8. Végül, a jobb oldali ablaktáblában kattintsunk duplán a Trusted Publishers (megbízható
közzétevők) elemre. Itt azt adhatjuk meg, hogy a normál felhasználók, a helyi rendszer
gazdák vagy a vállalati rendszergazdák számára engedélyezett-e, hogy eldöntsék, mely
tanúsítványokban bíznak meg, amikor digitálisan aláírt programokat és vezérlőket nyit
nak meg.
Parancsfájlok
A Csoportházirendek segítségével teljes tartományokhoz, szervezeti egységekhez, telephelyekhez
és csoportokhoz is rendelhetünk parancsfájlokat, ahelyett, hogy egyenként belevennénk például
ugyanazt a bejelentkezési parancsfájlt több felhasználó profiljába. Csoportházirend-objektumok
használatával négyféle parancsfájlt indíthatunk el: be- és kijelentkezési parancsfájlokat, amelyek
felhasználókhoz tartoznak, illetve rendszerindítási és -leállítási parancsfájlokat, amelyek számító
gépekre vonatkoznak. A rendszerindítási parancsfájlok a bejelentkezési parancsfájlok, a kijelent
kezési parancsfájlok pedig a rendszerleállítási parancsfájlok előtt hajtódnak végre.
Parancsfájlokat számos nyelven írhatunk. A Windows Server 2008 elfogadja a ]Script (js) és
a Visual Basic Scripting Edition (.vbs) parancsfájlokat, valamint a kötegfájlokat (.bat), a lefordított
parancsprogramokat (.com) és a végrehajtható állományokat (.exe). A csoportházirendeken
keresztül futtatandó parancsfájlok a tartományvezérlők %SystemRoot%\SYSVOL\tartomány.com\
Policies\scripts könyvtárában tárolódnak, ahol a tartomány.com helyére egy teljesen minősített
tartománynevet kell írnunk.
1. A Group Policy Object Editor bal oldali ablaktáblájában keressük meg a Computer
Configuration, Policies, Windows Settings, Scripts (Startup/Shutdown) elemet.
2. A jobb oldali ablaktáblában kattintsunk a Startup (indítás) és Shutdown (leállítás)
elemekre a hozzájuk rendelt parancsfájlok módosításához.
1. A Group Policy Object Editor bal oldali ablaktáblájában keressük meg a User
Configuration, Policies, Windows Settings, Scripts (Logon/Logoff) elemet.
2. A jobb oldali ablaktáblában kattintsunk a Logon (bejelentkezés) és Logoff (kijelentkezés)
elemekre a hozzájuk rendelt parancsfájlok módosításához.
• Run legacy logon scripts hidden (régi típusú bejelentkezési parancsfájlok rejtett futtatása):
Ez a beállítás arra utasítja a Windowst, hogy ne jelenítse meg a DOS ablakot, amikor
.COM vagy .BATbe- és kijelentkezési parancsfájlokat futtat.
• Run logoff scripts visible (kijelentkezési parancsfájlok futtatása látható módon): Ezzel
a beállítással azt adhatjuk meg, hogy meg kell-e jeleníteni a kijelentkezési parancsfájlok
végrehajtásának műveleteit és eredményét a felhasználó számára.
• Run logon scripts synchronously (bejelentkezési parancsfájlok szinkron futtatása):
Ez a beállítás lehetővé teszi, hogy több parancsfájlt egyszerre, nem pedig az alapértelmezett
módon, egymás után futtassunk.
• Run logon scripts visible (bejelentkezési parancsfájlok futtatása látható módon): Ezzel
a beállítással azt adhatjuk meg, hogy meg kell-e jeleníteni a bejelentkezési parancsfájlok
végrehajtásának műveleteit és eredményét a felhasználó számára.
����g�-�
��o-���na �t Editor______ __" �''7§'&'*'"
Computer Configuration
User Configuration
8 C Policies
r.±l � So.ftware: Settlngs l Run IOQOff SCJl>ts v!sible
1±1 � Wndows Settings
Run logon scripts syndvonously
8 :;:d Admnstrotive Terni
RLn logon '"""'-
1±1 C Conb'oiPOI'lei
1±1 Lj Desktop
1±1 l:! Network
Ü Shared Folders
LJ Start M<r1J and
8 Lj System
bl Ctri+Aitffi!
LJ Oriver Ins�
íZ3 Folde" Redu
fi:::l GroupPoliq
1±1 b;Jl Intemet Co
Lj Loeole Serv
D lo9on
l:! Perfonnane
Ü Pow"'
ü
l:!
!U
ü
6.37. ábra
A bejelentkezési és k1j'elentkezési parancsfájlok beállításai
-f11 Windows Server 2008
l
í:J Crederitials
lll Cl Device lnslj;
.:l Disk N\! Ca�
E:2 Disk Quota�
lll í:J Distributed
!Lj Driver Ins
Ej FolderRedio
i±J C Gr�Polk'
r±J C Internet Co
lll c:J iSCSl
c::J KDC
1:1 Kerberos
Ld Locale Serv '
QLogon
í±l [!l Ne:t Logon
í:J NTFS Füesy
Cl Perfurmanc
i±l C PowerMan.:
::,j RemoteAS!
IL] Remote Pro
C Removable
O Pl!ll!l!l
!id Server
6.38. ábra
Parancsfáj/-beállítások
6. rendek és az lntelliMirror
Ezen kívül részesítsük előnyben a sok kisebb GPO használatát a néhány naggyal szemben.
A feldolgozási idő ugyan nő, de nem jelentősen, viszont egyértelműen előnyös, hogy a GPO-k
hatókörét sokkal könnyebben megállapíthatjuk az egyes számítógépeken, ha kisebb, csupán
néhány objektumra ható csoportházirend-objektumokat alkalmazunk.
Emellett célszerű a címtárat megvizsgálni felmérni, hogy miként használhatunk különböző szer
vezeti egységekben elhelyezett csoportokat arra, hogy a biztonsági csoportokon alapuló szűrés
segítségével finomítsuk a csoportházirend-objektumok hatókörét. Azzal, hogy a csoportokat
bizonyos szervezeti egységekben helyezzük el, világosabban jelezhetjük a szerepüket és azono
síthatjuk a tagjaikat, és mivel a házirendek hatókörét szűkítjük, lefaraghatunk a feldolgozási és
alkalmazási idóből. Hasonló okokból azt is érdemes megvizsgálni, hogy miként használhatjuk
a WMI-szűrést a meglevő csoport- és szervezetiegység-szerkezeten belül, és hogy milyen módo
sításokkal növelhetjük az RSoP és a házirendek alkalmazásának hatékonyságát.
A DNS-hibák elhárítása
A DNS-hibák az egész hálózatot sújthatják, és szinte lehetetlenné tehetik a csoportházirend-ob
jektumok alkalmazását. A probléma elsősorban a tartományba való bejelentkezés követelményé
vel kapcsolatban jelentkezik: a DNS nélkül is elképzelhető, hogy egy tartományvezérlő hitelesít
minket, de a csoportházirend-objektumok egyszerűen nem fognak működni. Ennek az az oka,
hogy a csoportházirend-objektumoknak különféle SRV-bejegyzésekre van szükségük ahhoz,
hogy tudják, melyik számítógépen rnilyen felügyelendő szolgáltatás található. Ha a csoportházi
rendek nem működnek, itt érdemes kezdeni a keresést.
Az öröklés elemzése
Ha tapasztalt hálózati szakemberek vagyunk, bizonyára jól ismerjük az öröklés fogalmát
Az öröklés szintén buktatót jelenthet a Csoportházirendek számára, ugyanis van néhány beállí
tás, amellyel óvatosan kell bánnunk. Az első a No Override (nincs felülbírálás), ami semmi mást
nem csinál, csak leállírja az összes csoportházirend-objektum feldolgozását az alatt az objektum
alatt, amelyikre ezt a beállítást bekapcsoltuk Ugyancsak vigyáznunk kell a Block Inheritance
(az öröklés letiltása) szolgáltatással, amely ennek az ellenkezőjét teszi, vagyis azoknak a csoport
házirend-objektumoknak a feldolgozását szünteti meg, amelyek magasabban találhatók a GPO-k
feldolgozási hierarchiájában. Itt is érvényes az a szabály, hogy mindig tudnunk kell, mit állítunk
be, és megfelelően dokumentálnunk is kell a beállításokat - a hibaelhárítás azonban még így is
sok-sok órát emészthet fel.
Azzal sem árt tisztában lennünk, hogy mikor kerül sor a csoportházirend-objektumok közzététe
lére, kiolvasására és alkalmazására. A fejezet korábbi részében rámutattunk, hogy a Windows
az új GPO-kat 90 percenként teszi közzé a munkaállomásokon és az egyszerű tagkiszolgálókon,
és 5 percenként a tartományvezérlól<:ön. Ez azonban csak az új vagy módosított csoportházirend
objektumokra vonatkozik. Ha a Csoportházirendek nem változtak meg, a Windows semmit nem
tesz közzé, hacsak saját kezűleg el nem indítjuk a közzétételt, akár a parancssorból, akár egy
másik rendszerszintű GPO-n keresztül, amely attól függetlenül közzéteszi a házirendeket, hogy
azok megváltoztak-e. Tehát ne feledjük, hogy a csoportházirend-rendszer nem feltétlenül javítja
ki a helyi beállításokat; erre csak akkor kerül sor, ha a tartományi csoportházirend-objektum
módosul, vagy ha magunk kényszerítjük ki a frissítést.
Részletesebb naplók
A csoportházirend-objektumok hibáinak hatékonyabb elhárításához bekapcsolhatjuk a részletes
naplózást, amely több adatot szalgáltat a GPO-k lekérési módjáról, illetve az egyes objektumokra
való alkalmazásukróL Ehhez módosítanunk kell a rendszerleíró adatbázist azon az ügyfélen,
amelyiken a hibaelhárítást végezzük. A rendszerleíró adatbázis szerkesztőjében keressük meg
a HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NI\CurrentVersion\ Winlogon kulcsot,
válasszuk a REG_DWORD típusú UserenvDebugLevel alkulcsot, és módosítsuk az értékét
Ox10002-re. Ez után indítsuk újra a rendszert, hogy a módosítás biztosan életbe lépjen. Ezt kö
vetően a rendszer minden GPO-tevékenységet rögzíteni fog a %SystemRoot%\Debug\Usermode
könyvtárban található userenv.log fájlban.
Ahhoz, hogy az Actíve Directory-n belül egy adott házirendet egy tartományvezérlő megosztott
SYSVOL mappájában konkrét GPT fájlokhoz kapcsolhassunk, először meg kell keresnünk annak
az Actíve Directory-tárolónak a GUID-jét, amelyre a GPO vonatkozik. A GPMC segítségével
jelöljük ki a megfelelő csoportházirend-objektumot, majd a jobb oldali ablaktáblában válasszuk
a Details lapot, és másoljuk ki onnan a GUID-t Ezt követően nyissuk meg az Explorert, és
ugorjunk a \\tartománynév.com\sysvol címre, ami a legközelebbi tartományvezérlő megosztott
SYSVOL mappáját nyitja meg. Nyissuk meg a Policies alkönyvtárat, majd azt a mappát, amelynek
a neve megfelel a GPMC-ben kiválasztott GPO globálisan egyedi azonosítójának
Szerencsére ezt valószínűleg nem kell gyakran végrehajtanunk, mert a Csoportházirendek felülete
és közzétételi módszerei a Windows Server 2008-ban rugalmasak és hatékonyak. Mindazonáltal
ha mégis szükség lenne rá, itt megtalálhatjuk az információt.
FAZAM
A FAZAM nyomon követi a csoportházirend-objektumok változásait, változatkövetést
nyújt a GPO-khoz, lehetővé teszi, hogy az új vagy módosított csoportházirend-objek
tumokat csak tesztelés és jóváhagyás után bocsássuk üzemi környezetbe, kiküszöbölve
az üzemi környezetben végrehajtott módosítások kockázatát, kezeli az egyidejú1eg több
felhasználó által végrehajtott változtatásokat, és bővíti a GPO-k felügyeleti jogainak
átruházásával kapcsolatos lehetőségeket. Egyesek szerint azonban ez az eszköz nem
6. fejezet • A Csoportházirendek és az lntelliMirror
működik együtt jól a Windows 2000-rel, és csak a Windows Server 2003 és kés6bbi
rendszereken teljes értékű. A FAZAM-ot megtaláljuk a http://www2fullarmor.com/
solutions/group címen.
Net!Q Group Policy Administrator
A NetiQ Group Policy Administrator a változat- és kiadáskezelést kezeli, hogy könnyebben
nyomon követhessük a GPO-k módosítását, létrehozását és törlését, és b6víti a lehet6sége
inket a változások és a GPO-telepítés elméleti modellezésének és elemzésének terén ahhoz
képest, amit a Windows Server 2008 kínál. A NetiQ Group Policy Administrator elérhet6
a http://www .netiq.com!products/gpa/default.asp címen.
Quest ActíveRo/es
A Quest AeriveRoles a kezd6 rendszergazdákat segíti abban, hogy biztonságosan hajtsanak
végre módosításokat az Active Directory lényeges elemein, beleértve a csoportházirendeket
is. A Quest AeriveRoles elérhet6 a http://www .quest.com/jastlane!activeroles/ címen.
Parancssori segédprogramok
Miel6tt lezárnánk a fejezetet, szót kell még ejtenünk a Csoportházirendek két legnépszerűbb
parancssori felügyeleti eszközér61. Bár mindkét segédprogramot említettük már a fejezet korábbi
részében, nem árt, ha egy kicsit részletesebben is áttekintjük a működésüket.
GPUpdate
A GPUPDATE frissíti az egyes számítógépeken vagy az Active Directory-ban tárolt csoportházi
rend-beállításokat A használata meglehet6sen egyszerű. Ha az éppen használt munkaállomáson
szeretnénk frissíteni a csoportházirend-beállításokat, csak adjuk ki agpupdate parancsot önma
gában:
gpupdate
gpupdate /target:computer
gpupdate /logoff
gpupdate /boot
GPResult
A GPRESULT egy felhasználóra vagy számítógépre alkalmazott összes házirend listáját és a számí
tógépnek vagy felhasználónak helyet adó szervezeti egységeket és telephelyeket adja vissza,
illetve még sok más információt. A távoli számítógépeknek legalább Windows XP vagy Windows
Server 2003 rendszert kell futtatniuk ahhoz, hogy a GPRESULT pontos információkat szolgáltasson.
-1fl Windows Server 2008
A munkaállomásunkra éppen bejelentkezett felhasználó fiókját használva egyszerű jelentést
kaphatunk, ha a parancsot önmagában, kapcsolók nélkül adjuk ki:
gpresult
Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
Copyright (C) Microsoft Corp. 1981-2001
COMPUTER SETTINGS
CN=R2B2SRVl,OU=Domain Controllers,DC=r2test,DC=corp,DC=hasselltech,DC=local
Last time Group Policy was applied: 5/9/2005 at 12:12:31 PM
Group Policy was applied from: r2b2srvl.r2test.corp.hasselltech.local
Group Policy slow link threshold: 500 kbps
Domain Name: R2TEST
Domain Type: Windows 2000
BUILTIN\Administrators
Everyone
BUILTIN\Pre-Windows 2000 Compatible Access
BUILTIN\Users
Windows Authorization Access Group
NT AUTHORITY\NETWORK
NT AUTHORITY\Authenticated Users
This Organization
R2B2SRV1$
Domain Controllers
NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS
6. fejezet • A Csoportházirendek és az lntelliMirror
USER SETTINGS
CN=Administrator,CN=Users,DC=r2test,DC=corp,DC=hasselltech,DC=local
Last time Group Policy was applied: 5/9/2005 at 12:02:32 PM
Group Policy was applied from: r2b2srvl.r2test.corp.hasselltech.local
Group Policy slow link threshold: 500 kbps
Domain Name: R2TEST
Domain Type: Windows 2000
The follawing GPOs were not applied because they were filtered out
Domain Users
Everyone
BUILTIN\Administrators
BUILTIN\Users
BUILTIN\Pre-Windows 2000 Compatible Access
NT AUTHORITY\INTERACTIVE
NT AUTHORITY\Authenticated Users
This Organization
LOCAL
Domain Admins
Group Policy Creator Owners
Hogy minél több lehetőséget be tudjunk mutatni, nem térünk ki részletesen a Windowsban talál
ható összes biztonsági szolgáltatásra. Olyan sok beállítás azonos a különböző környezetekben,
hogy az tűnt a legjobb megoldásnak a könyv szempontjából, ha széles áttekintést nyújtunk
a biztonsági házirendek kezeléséhez szükséges eszközökről, valamint néhány, a biztonságot
nagy mértékben növelő általános beállításról, ez után pedig engedjük az Olvasót, hogy maga
fedezze fel a Windows biztonsági tulajdonságait.
Természetesen ezek közül nem rnindegyik igaz rninden vállalkozásra, de elég valószínű, hogy
mind olyan akadály, amellyel a legtöbb cég találkozhat. Ebben a fejezetben költséghatékony
megoldást kínálunk a legtöbb akadályra.
az esélyét, hogy a támadó sikerrel járjon, és növeli annak a valószínűségét, hogy leleplezzék.
A rétegzett megközelítés hét réteget foglal magába, amelyek mindegyike rendelkezik a saját,
védelemhez szükséges módszerével és eszközével:
Az adatok szintje
Az adatszintű védelem az adatokon végrehajtott, ártó szándékú módosítás ellen véd. Ezen
a szinten hozzáférés-szabályozási listákkal (ACL-ekkel) és titkosított fájlrendszerekkel
védekezhetünk. A CIA-elv által javasolt háromszögből itt a bizalmasság és sértetlenség
valósul meg.
Az alkalmazások szintje
Az alkalmazásszintű védelem az egyes programokat védi a támadástól. Ez a biztonsági
szint magába foglalja maguknak a programoknak a biztonságossá tételét, a forgalmazótól
származó biztonsági frissítések telepítését, a vírusirtó prograrnak alkalmazását és
a rendszeres víruskeresést Itt a sértetlenség és a rendelkezésre állás valósul meg a CIA
elv három követelményéből.
A számítógép szintje
A gépszintű védelem a számítógépet és az operációs rendszert védi a támadástól, ami kö
zel teljes mértékben lecsökkenti az adatok és alkalmazások szintjén kifejtett támadások
esélyét. A gépszintű védelem magába foglalja magának az operációs rendszernek a biz
tonságossá tételét (ami ennek a fejezetnek az elsődleges célja), a javítócsomagok kezelé
sét, a hitelesítést, az azonosítást, a felhasználói fiókok kezelését és az állomás feltörését
érzékelő rendszereket Ezen a szinten a sértetlenség és a rendelkezésre állás valósul meg
a CIA-elv három követelménye közül.
A belső hálózat szintje
A szervezet hálózata a következő szint, amely a belső hálózat határán átjutott vagy a há
lózatot lehallgató betörők ellen véd, akik magasabb biztonsági szinttel védett területekre
akarnak bejutni. A védelmi lehetőségek ezen a szinten a hálózat alhálózatokra osztását,
az IP-biztonság (IP Security, IPSec) alkalmazását és a betörést érzékelő rendszerek telepí
tését foglalja magában. Ezen a szinten megvalósul mindhárom adatbiztonsági követel
mény: a bizalmasság, a sértetlenség és a rendelkezésre állás.
A belső hálózat határa
A helyi hálózat gépei a belső hálózat határán keresztül csatlakoznak az egyéb külső háló
zatokhoz, amilyenek például a cég más fiákirodái vagy az Internet. A belső hálózat hatá
ra a tűzfalakat, a virtuális magánhálózatok karanténba helyezését és a telefonvonalon ke
resztül biztosított hozzáférést foglalja magába. Ezen a szinten is megvalósul mindhárom
követelmény: a bizalmasság, a sértetlenség és a rendelkezésre állás.
A fizikai biztonság szintje
A fizikai védelem az ingatlan védelmét foglalja magában, ahol a vállalkozás működik.
Őrök, zárak és térfigyelő rendszerek tartoznak ehhez a biztonsági szinthez. A CIA-elv ál
tal felállított adatbiztonsági háromszögből itt a bizalmasság és a sértetlenség valósul meg.
A házirendek, a munkafolyamatok és a felhasználói tudatosság szintje
Ez a szint azt foglalja magába, hogy a felhasznáJók megtanulják, hogy az informatikai
rendszerekkel hogyan lehet megfelelő, elfogadható és elfogadhatatlan módon bánni.
Ezen a szinten is megvalósul a CIA-elv mindhárom szempontja: a bizalmasság, a sértet
lenség és a rendelkezésre állás.
-11:1 Windows Server 2008
A Windows lezárása
A többfelhasználás rendszerek önmagukban is biztonsági rést jelentenek. A legegyszerubb
rendszereket, amelyeket csak egyetlen személy használ, a legkönnyebb biztosítani, mert az al
kalmazások változatossága sokkal kisebb, mint több felhasználó esetén. Sajnos az informatikai
rendszerek nagy része több felhasználói fiók meglétét követeli meg, ezért a következő részben
néhány megszívelendő lehetőséget mutatunk be, hogy a Windows rendszerünket- amelybe
beletartozik a Windows Server 2008 és a hozzá kapcsolódó munkaállomásokon futó operációs
rendszerek is- hogyan zárjuk le.
Jelszóházirendek
A hosszú jelszavak biztonságosabbak Ennyi. Mint bizonyára feltételezzük, hosszabb jelszavak
esetén több kombinációs lehetőséget kell végigpróbálni, ha a gépet nyers erővel vagy nyolc
karakternél rövidebb, hétköznapi szavakat használó, szótár alapú támadással akarják feltörni.
Hasonló okokból azok a jelszavak sem biztonságosak, amelyeket sokáig nem változtatnak meg.
A legtöbb felhasználó vonakodva változtatja meg a jelszavát, amikor a rendszergazda erre kéri
őket, néhány felhasználói fióknak (nevezetesen az Administrator és a Guest- Rendszergazda és
Vendég- fióknak) azonban soha nem változik a jelszava, arnitől könnyen támadás célpontjává
válhatnak.
1. Nyissuk meg az MMC-t, és keressük meg a Local Security Policy (Helyi biztonsági házi
rend) beépülő modult. Ezt általában a Start, Ali Programs, Adrninistrative Tools (Start,
Minden program, Felügyeleti eszközök) útvonalon érhetjük el.
2. A Security Settings (biztonsági beállítások) ponton belül keressük meg az Account
Policies (fiókházirend) elemet.
3. Kattintsunk a Password Policy (jelszóházirend) elemre.
4. Engedélyezzük a Passwords must meet complexity requirements (a jelszónak meg kell
felelnie a bonyolultsági feltételeknek) beállítást.
5. A Minimum password length (legrövidebb jelszó) legyen elegendően hosszú- nyolc
karakter hosszúság ajánlott. (Bár meg kell jegyeznünk, hogy a 14 karakternél hosszabb
jelszavakat előnyben részesítjük, viszont ezzel jelentős ellenállásba ütközünk a felhasz
nálók részéről.)
6. A Maximum password age (jelszó maximális élettartama) beállításánál ne legyünk
engedékenyek: 90 nap ajánlott.
•
A tartomány működési szintjének Windows Server 2008-nak kell lennie.
•
Tartományi rendszergazdai jogosultsággal kell rendelkeznünk, hogy a jelszóházirendet
beállíthassuk, de ezt a jogot másra is átruházhatjuk
•
Ki kell alakítanunk a PSO-t (Password Settings Object, jelszóbeállítás-objektum).
1. A Start menü keresőjébe írjuk be, hogy adsiedit, majd kattintsunk az ablak tetején
megjelenő ADSI Edit hivatkozásra.
2. Az egér jobb gombjával kattintsunk a bal oldali ablaktáblában az ADSI Edit elemre, majd
a megjelenő menüből válasszuk a Connect to pontot.
3. A Connection Settings (kapcsolat beállításai) párbeszédablakban kattintsunk az OK gombra.
4. Az ADSI Edit bal oldali ablaktáblájában az első csomópont után bontsuk ki a Default
naming context (alapértelmezett névkörnyezet) pontot, és kattintsunk a CN=System elemre.
5. A jobb oldali ablaktáblában az egér jobb gombjával kattintsunk a CN=Password Settings
Container elemre és a megjelenő New menüből válasszuk az Object pontot.
6. A megjelenő Create Object képernyőn válasszuk ki az egyetlen lehetséges osztályt
(msDSPasswordSettings), és kattintsunk a Next gombra.
7. Ez után néhány, inkább rejtélyesnek tűnő ablakon kell keresztüljutnunk, amelyek jellem
zőket tartalmaznak. Ezeknek a jellemzőknek kell értéket adnunk. Tegyük fel, hogy csak
a rendszergazdákra vonatkozó jelszóházirendet akarunk létrehozni. A 7 .l. táblázatban
találhatók ezek a jellemzők, majd néhány, a példánk szempontjából fontos érték, és
végül egy magyarázat, hogy az adott érték rnit jelent pontosan. Menjünk végig minden
ponton, és írjuk be a beviteli mezőkbe a kívánt értékeket.
8. Kattintsunk a Finish gombra a párbeszédablakban.
9. Ha kibontjuk a CN=System elemet a bal oldalon, majd a CN=Password Settings Container
elemre kattintunk, látni fogjuk a PasswordPolicyAdrnins házirendet, amit épp az imént
hoztunk létre.
�j1•1 Windows Server 2008
Ettó1 kezdve csak annyi a teendőnk, hogy az új házirendet a Felhasználók és csoportok különböző
kombinációihoz rendeljük:
7 1 táblázat
. . Jellemzők, ezek értékei és leírásuk (figyeljünk a mínuszjelekre)
Jellemző Érték Leírás
Cn PasswordPolicy A házirendünk neve. Próbáljunk
Adrnins beszédes nevet adni.
Fi6kzárolási házirendek
Létezik egy régóta ismert módja annak, hogy jogosulatlanul próbáljanak meg belépni egy
rendszerbe. Ehhez a következők szükségesek:
1. Nyissuk meg az MMC-t, és nyissuk meg a Group Policy Object Editort egy megfelelő
GPO-val, vagy indítsuk el a Local Security Policy beépülő modult.
2. A Security Settings ponton belül keressük meg az Account Policies elemet.
-ftl Windows Server 2008
3. Kattintsunk az Account Lockout Policy (fiókzárolási házirend) elemre.
4. Az Account lockout threshold (fiókzárolási küszöb) elemet állítsuk egy elfogadhatóan
kis számra. Három sikertelen belépési kísérlet ajánlott.
5. Az Account lockout duration (fiókzárolás időtartama) és a Reset account lockout after
(fiókzárolási számláló nullázása) elemeket állítsuk 15 percre. Ez a beállítás segít a táma
dásoknak ellenállni, de nem bünteti túlságosan azokat a felhasználókat, akik egyszerűen
csak folytonosan félregépelnek
Az itt javasolt védelmi szolgáltatások mindegyikét az MMC Local Security Policy beépülő modul
jának Security Options pontján keresztül érhetjük el. Ezt a beépülő modult általában a Start, All
Programs, Administrative Tools útvonalon érhetjük el. A megfelelő elem eléréséhez keressük
meg a Computer Configuration elemet, majd válasszuk ki a Windows Settings, Security Settings
pontokon belül a Local Policies elemet. Itt kattintsunk a Security Options elemre. Ekkor a jobb
oldali ablaktáblában különböző beállítási lehetőségek jelennek meg. A következő utasítások azt
feltételezik, hogy elindítottuk a beépülő modult, és megkerestük a megfelelő pontot.
Automatikus kiléptetés
Néhány felhasználó, ha egyszer bejelentkezett a hálózatra, nem lép ki hónapokig sem. Ez el6kel6
helyen áll a biztonsági rések között, rnivel a tanúsítványai révén akkor is hiteles marad a hálózat
számára, ha a felhasználó éppen nem ül a számítógép el6tt. Ezt fel lehet használni ártó szándékkal,
például a betörö fájlokat törölhet és mozgathat, támadó- (root-kit) vagy hátsóajtó- (backdoor)
programot telepíthet, vagy megváltoztathatja a jelszót.
Az automatikus kiléptetés beüzemeléséhez két dolgot kell tennünk: el6ször, rninden felhasználó
számára ki kell jelölni egy id6pontot, amikor nem lehet bejelentkezve. Ez lehet mondjuk éjjel
3 óra és 3:30 között. Ez után meg kell változtatnunk a helyi biztonsági házirendet A felhasználó
nem maradhat bejelentkezve, ha a kijelölt id6tartam lejár.
1. Keressük meg az Active Directory Users and Computers (Active Directory - felhasználók
és számítógépek) beépül6 modult.
2. A tartományunkat bontsuk ki, és kattintsunk a Users tárolóra.
3. Az egér jobb gombjával kattintsunk az egyik felhasználóra, és válasszuk a Properties
menüpontot.
4. Kattintsunk az Account fülre, majd a Logon Hours (bejelentkezési id6) gombra.
5. Válasszuk ki a megfelel6 id6tartamot a naptárból, és a választógombokkal válasszuk ki,
hogy ezalatt az id6 alatt engedélyezett vagy tiltott legyen a bejelentkezés.
6. Kattintsunk a két OK gombra, hogy elhagyjuk a felhasználó párbeszédablakát
Most állítsuk be a számítógép helyi biztonsági házirendjét A Local Computer Policy beépül6
modulon belül engedélyezzük a kövekez6 elemet: Automaticaily log off users when logon time
expires (automatikus kijelentkeztetés a bejelentkezési id6 lejártakor). Ha nincs tartományunk,
akkor az Automaticaily log off users when logon time expires (local) elemet engedélyezzük.
Ez akkor is működni fog, ha a felhasználók lezárták a munkaállomásukat
A kapcsolat mindkét végén akkor ajánlott a hitelesírést kérni, amikor csak lehet (az RPC protokoll
ban az "ügyfél" kifejezés arra vonatkozik, aki kérelemrnel fordul a másik géphez, a "kiszolgáló" ki
fejezés pedig arra, aki a kérelmet teljesíti, függetlenül a rendszerben kiosztott szerepekt6l). Aláírás
nélküli adatcsere akkor szabad, hogy lejátszódjon, ha aláírások nem állnak rendelkezésre, nem
támogatottak vagy nem lehetséges ezek használata.
Windows Server 2008
Ahhoz, hogy lehetőség szerint a digitális aláírással ellátott adatforgalom engedélyezett legyen,
a Digitally sign elient communication (when possible) - az ügyféllel folytatott kommunikáció
digitális aláírása (amikor csak lehet) -, valamint a Digitally sign server communication (when
possible) - a kiszolgálóval folytatott kommunikáció digitális aláírása (amikor csak lehet) -
elemeket kell engedélyezni.
Nyilvános kulcsra vonatkozó Itt lehet beállítani a Windows EFS számára a Encrypted
házirendek Recovery Agent-eket (titkosított helyreállító ügynök),
egy bizonyos Windows tartomány számára a hitelesítő
hatóságot, a megbízott tanúsítványhatóságot, illetve egyéb
titkosítási lehetőségeket.
Az Actíve Directory-ra vonatkozó Ezen a részen lehet beállítani az Actíve Directory elemeire
IP-biztonsági házirendek vonatkozó IP-biztonsági szabályokat.
-ji Windows Server 2008
Az alapértelmezett tartományi házirend megtekintése
A Windows Server 2008 telepítésekor létrejön az alapértelmezett tartomány szintű biztonsági házi
rend. Az alapértelmezett tartományi házirend a tartományi tagok számára tartalmaz biztonsági be
állításokat. Itt olyan lehetőségekre kell gondolni, mint az utolsó sikeresen belépett felhasználó ne
ve a bejelentkező képernyőn, a jelszavak hossza, vagy hogy a munkaállomások digitális aláírással
lássák-e el a kiszolgálóknak elküldött adatokat, és így tovább. Egyszerű először az alapértelmezett
házirendet használni, amit később az egyéni igényeknek megfelelően testre lehet szabni. Először
nézzük meg az alapértelmezett házirendet, rajd állítsuk be saját igényeinknek megfelelően.
Az alapértelmezett biztonsági házirend megtekintéséhez kövessük ezeket a lépéseket:
A 7.2. ábra a frissen telepített Windows Server 2008 alapértelmezett tartományi házirendjét mutatja.
lill f.M!jij@@
!±l · Local Poldes
f±l · � Event log
lll bi Restricted Gr0<
l±! [l System Servia!
EB Ci Registry
1±1G1. File System
1±1[j Wired Network
[j] [lj W1ndows Firew
u Neh\'ork Ust M.
El i§ 'iY!reless Net'-NC
IB íW\ Public Key Polc
Ifi � Software Restr
f±l z.:l Nehvork Acces
IB ·,!.IP Se<Uity Pol
IB lJjj Polcy-based QoS
ii"W "'�--��:"·-'" ·:l]
l... ....
_ .. .,.,.,_ ......
...
7.2. ábra
A Windows Sarver 2008 alapértelmezett tartományi házirendje
7. • A Windows biztonsáai beállításai és a
A 7.3. ábra egy frissen telepített Windows Server 2008 tartományvezérlő alapértelmezett
biztonsági házirendjét mutatja.
lion
Password Policy
Ao::ooot Lockout Pol"lcy
Kerbecos PoHcy
--- -- - ----�--�� --
7.3. ábra
A tartományvezérlők alapértelmezett biztonsági házirendje a Windows Server 2008-ban
Windows Server 2008
1. Nyissuk meg a Start menüt, majd kattintsunk a Run (Futtatás) menüpontra, és gépeljük
be, hogy GPEdit.msc, ami a Group Policy Object Editort jeleníti meg.
2. A bal oldali ablaktáblában keressük meg a Computer Configuration, Windows Settings,
Security Settings útvonalon keresztül a Local Policies pontot.
Most már látható a tartományvezérlő érvényben lévő biztonsági házirendje. Ha végeztünk, zárjuk
be a Group Policy/Local Computer Policy beépülő modult. (A konzol beállításait csak akkor
mentsük, ha valamilyen szolgáltatást meg akarunk tartani.)
Most már a tudás teljes birtokában vagyunk, hogy ha automatikus biztonsági beállításokat aka
runk érvényesíteni Windows 2000 vagy annál újabb operációs rendszereket futtató ügyfeleken.
Jegyezzük meg, hogy hacsak külön ki nem térünk rá, a könyvben tárgyalt beállítások nyugodtan
kioszthatók a csoportházirend-rendszeren keresztül.
mezett beállítás. Ki kell tudnunk gondolni a lehetséges korlátozásokat, majd határokat kell
szabnunk, amelyek között ezeket a házirendeket alkalmazzuk. Ez egyszerubbé teszi
a számunkra, hogy a megfelelő személyekre és számítógépekre alkalmazzuk a megfelelő
házirendeket, ha azok egyébként a földrajzi elhelyezkedés vagy szervezeti felépítés alap
ján nem lennének alkalmazhatók.
A határokon belül olyan házirendeket állítsunk be, amelyek egységes értékeket mutatnak!
Általában úgy állítjuk be a pénzügyi osztály gépeit, hogy három sikertelen belépési kísér
let után zárolják a munkaállomást? Az erdő egy bizonyos tartománya számára további
szabályokat kell bevezetnünk (például, hogy ne indíthassák el a vezérlőpultot, vagy hogy
beállítsák a hátteret, esetleg programokat telepítsenek)? Ezek olyan házirendek, amelyek
valószínűleg ismerősnek tűnnek. Csoportosítsuk ezeket egybe, és hozzunk létre GPO-kat
minden ilyen házirendre.
Olyan szervezeti egységeket hozzunk létre az Active Directory-n belül, ahol a gépek
a szerepük vagy a szolgáltatásaik alapján vannak csoportosítval
Ez a már részletesen szabályozott biztonsági házirendekben még tovább vezet bennünket.
Például a Windowsban a tartományvezérlők alapértelmezett módon egy külön szervezeti
egységen belül helyezkednek el az Active Directory-ban. Szándékunkban állhat asztali
szárnítógépeket, laptopokat és kiszolgálókat a saját szervezeti egységükben elhelyezni,
ami könnyebbé teszi a házirendek alkalmazását (például EFS megkövetelése kizárólag
laptopokon).
Tevékenységvizsgálat és eseménynaplóiás
Az informatikai biztonsággal foglalkozó szakemberek tevékenységének egyik legfontosabb, de
egyben legunalmasabb része a rendszer nyomon követése. Ebben a részben bemutatjuk azokat
az eszközöket, amelyekkel a rendszeren zajló folyamatokat megvizsgálhatjuk, illetve azokat
a programokat, amelyekkel megnézhetjük a naplóbejegyzéseket
-!:lal Windows Server 2008
A vizsgálati eszközöket és tulajdonságaikat a GPO-k segítségével lehet beállítani a Windows
2000, Windows XP és Windows Server 2008 rendszereken. Feltéve, hogy számítógépünk tagja
egy Active Directory-tartománynak, a tartományi tevékenységvizsgálati házirendet (naplórendet)
a következő útvonalon érhetjük el: Default Domain Policy, Computer Configuration, Windows
Settings, Security Settings, Local Policies""-Audit Policies (Naplórend). Egyébként a Control Panel
Administrative tools alkalmazásán belül is megtekinthetjük a helyi biztonsági házirendet
Audi!in�l
To view or edit detalls fur on auditing entry, select the entry and then dd< Edit.
��
•
A be- és kijelentkezéseket az Audit account logon events segítségével lehet nyomon
követni. Ez egyben az ismételt sikertelen bejelentkezéseket is megjeleníti, ami rámutathat,
ha az egyik felhasználó fiókját fel akarják törni.
•
Az Audit account management beállításával a fiókkezeléssei kapcsolatos történéseket lehet
naplózni. Ide olyan események tartoznak, mint például ha a felhasználók megpróbáltak
élni a számukra kiosztott jogosultságokkal, vagy ha valójában fel is használták azokat.
• A rendszer indulásakor és leállásakor történt eseményeket az Audit system event segítségé
vel követhetjük nyomon. Ez azt mutatja meg, ha egy felhasználó megpróbálta a rendszert
leállítani, vagy ha rendszerindításkor valamelyik szolgáltatás nem megfelelően indult el.
• Az Audit policy change beállításával a házirendekben történt változásokat jeleníthetjük
meg. Ezzel például azt lehet naplózni, ha a felhasznáták a biztonsági beállításokkal
babrálnak
•
A jogosultságokkal kapcsolatos események naplózását az Audit privilege use beállításával
követhetjük nyomon. Ez például bizonyos objektumokra vonatkozó jogosultságok
megváltoztatására tett kísérleteket jelenthet.
Néhány dologra oda kell figyelnünk. Először, túl sok esemény �lózása az erőforrásokat jelentő
sen igénybe veszi. Ez esetben minden alkalommal kerül egy bejegyzés a naplóba, ha a felhasználó
megmozdítja az egerét (rendben, ez túlzás, de nem áll messze az igazságtól). Másodszor, a túl sok
esemény naplózása eláraszthat bennünket, és ha nem nézzük meg rendszeresen a naplóbejegyzé
seket, a naplózásnak nem sok hasznát vesszük. Ezzel a kígyó a saját farkába harap. Nem fogjuk
magunkat keresztülrágni a bejegyzéseken, így gyakorlatilag teljesen feleslegesen pazaroljuk
a rendszer erőforrásait, és biztonsági előnyökhöz sem fogunk jutni. Erre figyeljünk oda!
-Hl Windows Server 2008
Eseménynaplózás
A naplórendhez hasonlóan az eseménynaplózás beállításai is az alapértelmezett tartományi
házirenden belül találhatók, a Computer Configuration, Policies, Windows Settings, Security
Settings, Event log (Eseménynapló) ágban. Az eseménynapló beállítási lehetőségeit az alábbi
akban mutatjuk be.
Az Event Viewer
Az Event Viewer konzol alaphelyzetben lehetővé teszi, hogy több különböző naplóban is meg
tekintsük az eseményeket. Más alkalmazások hozzáadhatják a saját naplójukat az Event Viewer
konzolhoz. A 7.5. ábrán egy hagyományos Event Viewer látható.
Event VIewer(Local)
W'ndowslogs
� Apoication
� Sea.rity
���
� Forwanled Evonts
ÜTY,XlftCustom V...
Cornect to Anot...
El fiO Apoications and Services logs
� OFSReplication \foew
lill Oi"ectory Service
(iij DNS Servor
� Hardware Ev�t:s
� Internet EX!>orer
liJ Key Manaoement Service
l±l � Microsoft
e Slbscr1>tions
7.5. ábra
Az Event Viewer
Ez az Event Viewer a korábbi változatokhoz képest eltérőnek tűnhet, mivel az elrendezését fi
nomították és továbbfejlesztették. A nyitóképernyőn számos felügyeleti esemény összefoglalóját
láthatjuk, amelyek figyelmet érdemelnek. Az "egyéni nézetet" a Microsoft építette be, és a ter
mékben alapállapotban megtalálható. A számunkra fontos lehetséges hibaforrások többsége
megtalálható benne.
-Hl Windows Server 2008
A bal oldali ablaktáblában láthatjuk az eseménynaplókat, amelyeket az alábbiakban foglaltunk
össze:
Az Event Viewer konzolról úgy törölhetünk eseményeket, hogy az egér jobb gombjával arra
a naplóra kattintunk, amelyikből törölni szeretnénk, és a helyi menüből a Clear Log pontot
választjuk
CreideCust:omView ,��V
Fitter l XMl
logged' [Anytime
Event level: r Critlcal
r Error
T,nk category:
Keywords:
User.
Compute<(s;.
7.6. ábra
O}<il Egyéni nézet létrehozása az Event
Viewerben
/
Zárszó
Ebben a fejezetben bemutattunk néhány, a hálózati környezetben fontos biztonsági megfonto
lást, majd megnéztük, hogyan építhetünk ki egy alapvető biztonsági szintet a Windows Server
2008 beépített eszközeivel vagy szabadon hozzáférhető prograrnak segítségéveL Ahogy a fejezet
bevezetőjében említettük, nem szándékaztunk rnindenre kiterjedően bemutatni, hogy miként
lehet a Windows Server 2008 biztonságát a lehető legmagasabb szintre emelni, csupán össze
foglalást próbáltunk nyújtani, hogy a fejezetben tanult fogalmakra alapozva megtanuljuk, hogyan
lehet biztonságos környezetet kiépíteni a kiszolgálóink számára.
Internet Information Services 7
Vizsgáljuk meg, hogy rnilyen újításokat tartogat a Longhorn Server legújabb kiadása. Nézzük
meg közelebbr61, hogy a felhasznáJók számára mit jelent az IlS öt jelent6sebb fejlesztése!
Jelentősebb fejlesztések
Az els6 és talán legfontosabb, hogy az IIS moduláris felépítésű. Ha ismerjük a népszerű Apache
webkiszolgáló programcsomagot, bizonyára tudjuk, hogy talán az a legnagyobb er6ssége, hogy
alapszintű telepítéssei is mú'Ködik. Beállíthatjuk, hogy statikus HTML oldalakon kívül mást ne
szolgáltasson, vagy dinamikusarr töltse be a modulokat, amelyek lehet6vé teszik, hogy különböz6
tartalmakat jelenítsünk meg vagy dolgozzunk fel. Apache kiszolgálónkat egyedi módon telepíthet
jük, hogy csak azt szolgáltassa, amit mi akarunk. Az IlS-nél soha nem volt meg az a lehet6ség,
hogy kiválasszuk a szolgáltatásokat, aminek két jelent6s hátulüt6je volt: el6ször is, a teljesítmény
csökkent, mert a program olyan szolgáltatásokkal is rendelkezett, és olyan tartalmak megjeleníté
sét is támogatta, amelyeket soha nem vettünk igénybe. Másodszor, a biztonság gondot jelentett,
mert a nem használt szolgáltatások nagyobb támadási felületet hagytak. Az IlS 7 esetében azon
ban a szolgáltatások moduláris felépítésűek a modulokat tetsz6legesen tölthetjük be, függ6ségek
nélkül, ami lehet6vé teszi, hogy a kiszolgálónk kell6 mértékben le legyen csupaszítva, és csak azt
csinálja, amit rni akarunk, semmi egyebet. Az IlS 7 b6víthet6sége is a javunkat szolgálja. A koráb
biakhoz nem mérhet6 módon egyszerű egyedi modult írni, ami közvetlenül az IlS magjához
illeszkedik. Ez a műveleteink számára különleges támogatottságot biztosít.
Ezenkívül az IlS 7 szinte minden beállítását megadhatjuk egy szövegfájlon keresztül. Újra
az Apache példáján keresztül szernléltetve, az IIS-en belül elhelyezett honlapok beállításait
a web.config fájlon keresztül szerkeszthetjük. A nyilvánvaló kényelmi szempontokon kívül ez
könnyebbséget jelent azoknak a vállalatoknak, amelyek nagy mennyiségű honlap számára biz-
Windows Server 2008
tosítanak tárhelyet Most már teljesen egyszerű webhelyek ezrein elhelyezni azonos beállításo
kat. Csak annyit kell tennünk, hogy a web.config fájlt elhelyezzük az oldalakon, és készen is va
gyunk. Másoknak is kioszthatjuk a web.config bizonyos szakaszainak felügyeletét Ezzel például
a webhelyek tulajdonosai számára úgy biztosíthatunk jogokat, hogy nem kell minden változta
tással megkeresni az IIS-rendszergazdát. A változatkövetés hasonlóan egyszerű. Annyi a dol
gunk, hogy létrehozzuk a szövegfájl különböző változatait, majd valarnilyen rendezett formában
tároljuk azokat. Ha szükséges, bármikor hozzájuk lehet férni. Egyszerűen zseniális!
Az liS 7 biztonságát, ami még az liS 6-ot is felülmúlja, folyamatosan továbbfejlesztik A Windows
2000 rendszerekhez adott liS 5-höz képest az liS 6 fényévekkel előbbre tartott a biztonság terüle
tén. (Valójában az liS 5-öt ementáli sajtnak is lehetett volna nevezni a biztonsági rései miatt.)
Ahogy a webes alkalmazások elkezdtek szaporodni és a .NET alapú webhelyek növekedni, az liS
még előkelób
' b helyet foglalt el a nagy hálózatokban. A biztonság fontosabb kérdés lett, mint vala
ha, mivel ezeknek az alkalmazásoknak jó része érzékeny adatokat tárol. Az IlS 7 esetében a .NET
alkalmazások közvetlenül az liS magban futnak, nem pedig az Internet Services Application
Programming Interface (internetszolgáltatások alkalmazás-programozási felülete, ISAPI) bővít
mény futtatja azokat. Valójában a .NET futásidejű környezet tesz különbséget az ASP, a .NET és
az liS között, amelyek egyre inkább összemosódnak. Bármilyen tartalmú űrlap hitelesítésének
előnyeit is évezhetjük, így például bánnilyen honlapot vagy webes tartalmat hitelesíthetünk egy
adatbázis alapján, nem csak .NET kódot. Ezen kívül az liS korábbi változataiban elterjedt
IUSR_gépnév fiókot felváltotta a beépített IUSR fiók, amelyet nem lehet a kiszolgálóhoz való inte
raktív belépéshez felhasználni, továbbá egyedi SID-kkel (Security Identifier, biztonsági azonosító)
rendelkezik az azonos operációs rendszert használó gépeken. Ez azt jelenti, hogy mindegy, hogy
a jogosultságaink korlátozását melyik gépen hozták létre, és melyiken alkalmazták
Az liS 7 felépítése
A kulcsszó a moduláris felépítés, és ez volt az elsődleges tervezési elv, amely az liS 7 fejlesztését
körülölelte. 40 kölönböző modulból építhetjük fel az liS szolgáltatásait, amelyek nyolc kölönböző
kategóriába sorolhatók. A modulokat lentebb soroltuk fel, így láthatjuk, hogy mely modulok
alkotják az egyes szolgáltatáscsoportokat:
• DefaultDocumentModule
• DirectoryListingModule
• HttpRedirect
• CustomErrorModule
Windows Process Activarion Service (Windows folyamataktiválási szolgáltatás)
• ProcessModel
• NetFxEnvironment
• ConfigurationAPI
Security (Biztonság)
• BasicAuthModule
• DigestAuthModule
• WindowsAuthModule
• CertificateAuthModule
• AnonymousAuthModule
• IPSecurityModule
• UrlAuthorizationModule
• RequestFilteringModule
Health and Diagnostics (Állapot és diagnosztika)
• HttpLoggingModule
• CustomLoggingModule
• RequestMonitorModule
• HTTPTracingModule
• ODBCLogging
• LoggingLibraries
Performance (Teljesítmény)
• HTTPStaticCompression
• HTTPDynamicCompression
Management (Kezelőeszközök)
• ManagementConsole
• ManagementScripting
• ManagementService
• Metabase
Windows Server 2008
• WMICompatibility
• LegacyScripts
• LegacySnap- in
Application Development (Alkalmazásfejlesztés)
• NetFxExtensibility
• ISAPIModule
• ISAPIFilterModule
• CGIModule
• ServerSideincludeModule
• ASP
• ASP.NET
FTP Publisbing (FTP-közzétételi szolgáltatás)
• FTPServer
• FTPManagement
Szerepkörök
Mint a Windows Server 2008 rninden fejlett szolgáltatását, a webkiszolgálót is egy szerepkörön
keresztül lehet alkalmazni. Mint ahogy a fejezet bevezetőjében is szó volt róla, az IlS moduláris fel
építése jelentősen lecsökkentette a frissen telepített IlS méretét. Ha a Web Server (Webkiszolgáló)
szerepkört telepíteni kívánjuk, ami egyébként a legegyszerűbb módja annak, hogy az IlS-t felte
gyük a gépünkre, a webkiszolgáló programcsomagjából csak a következőket kapjuk meg elsőre
(eltekintve a Windows Process Activarion Service-től):
Ennyi. Nem kapunk semmilyen dinamikus megjelenítéshez való szolgáltatást az alap Web Server
szerepkörrel; egyszerű szöveg és HTML oldalak megjelenítésére kell, hogy szorítkozzunk.
Így fogjuk a rendszerünket felépíteni: először egy rninirnális képességekkel bíró rendszert
8. teiezet • Internet Information Services 7
Nem mindenki szeretne csak statikus HTML oldalakat megjeleníteni, de az Application Server
(Alkalmazáskiszolgáló) szerep lehetővé teszi dinamikus webtartalmak szolgáltatását Mivel az IlS
alapfelszereltségét a lehető legkevesebb modulra próbálták szorítani, az Application Server szerep
kört nekünk kell hozzáadni, hogy olyan szolgáltatások is elérhetővé váljanak, mint az ASP.NET,
a .NET-keretrendszer alkalmazásai és egyéb dinamikus webtartalmak, mint a CardSpace, a Win
dows Communication Foundation, a Windows Presentation Foundation és a Windows Workflow
Foundation. A webkiszolgálói szerepkör telepítése a következő módon történik:
w;�rd
- -
Ad
d Roles --- � - �� "'�
��
'\4�=
Add feotures requiced for Web Server (liS}?
· .·· - .· You cannot instaft Web Server {US) unless the �uired features are also lnstafied
Features: Oesaiption:
' 8 "'"'".2""""' '-"lindows Process Activafion Service
�?"':'
� generalízes !he liS poces
r s model. removing
!he dependency on HTTP. AlJ the f""tures..
�guf<!ti_o�
Add Heqllired Fea!lfre•
Q) Whyarethesefeatutes �?
�-
8.1. ábra
A Windows Process Activation Service telepítése az /IS segítségével
You camot instal Applicatiorl Serverunless the required features are aloo ins!aled.
Features: Description:
EJNT�� ' Microsoft .NET Framework 3.0combines the
.NET Framewolk 3.0
power of the .NET Framework 2.0 APis with
new technologies for building applications
B Wndows Process k:tivaton
í SeNice that offer appealing user interfaces. protect
.NET Environment yourcustomer.s' personal identity informatio_
8.4. ábra
Modulok telepítése az alkalmazáskiszolgálói szerepkörhöz
• Amikor először megnyitjuk az IlS Managert, figyeljük meg az Internet Explorernél is meg
található címsort. Itt láthatjuk a böngészés útvonalát, ami segít tájékozódni, hogyan jutot
tunk oda.
• A kezdőlap menüjében látható egy tulajdonságlista. Ez a dinamikusan létrehozott lista
a tartalomra jellemző tulajdonságokat mutat, amelyeket esetleg be szeretnénk állítani.
• Az IlS 6 fülekkel teletűzdelt kezelőfelülete helyett az IlS 7 kezelőjében három mezőt lát
hatunk: a listák mezőjét, amelyeket rendszerint egy sor tulajdonság alapján lehet rendez
ni; a műveletek mezőjét, ahol tartalmanként a legnépszerűbb, illetve legvalószínúob beál
lítási lehetőségek jelennek meg; és a kapcsolatok mezőjét, ahol az IlS-kezelő valamelyik
kapcsolatának jellemzőjét tekinthetjük meg.
Most lépjünk tovább, és nézzük meg, hogyan lehet új webhelyet létrehozni, ennek tulajdonsá
gait beállítani, egy alkalmazás számára virtuális könyvtárat, valamint új alkalmazáskészletet lét
rehozni.
-1@1 Windows Server 2008
fo1anage Server
� Restart
• Start
• Stop
8.5. ábra
A Windows
Server 2008-ban
· Authentication Authorization
található 1/S-
Iw 11'1l!JFeatures ""'"' !l!cootentV!ew
",' """"""""" _ _.....
kezelő újraterve-
-------�---��-��--__;Oi:;,;;a-'0 zett kezdőlapja
Új webhely létrehozása
Az új webhelyek létrehozása az liS rendszergazdák alapvető tevékenységei közé tartozik. Az liS 7
segítségével pár kattintással kialakíthatunk egy új oldalt az adott szárnítógépen. Ehhez a követke
zőket kell tennünk:
�·
Name
ht1p
EJ Failed R�uest T��dng
Mame
8.7. ábra
Egy /IS webhely speciá/is beállításai
-Jíll Windows Server 2008
A tulajdonságlapon további beállítási lehetőségeket is találunk. Ha az liS-kezelő bal oldalán
kiválasztunk egy webhelyet, a tulajdonságok listája megváltozik a középső mezőben.
Ha a csoportosítás rendjét "area"-ra (terület) változtatjuk a Group by: mezőben, tulajdonságok
listáját (például az ASP.NET-re vagy az liS-re jellemző tulajdonságokat) kapjuk, amelyeket
az liS segítségével állíthatunk be. A 8.1. táblázatban láthatók az liS-re jellemző tulajdonságok.
Tulajdonság leírás
Authentication (hitelesítés) A hitelesítési módokat lehet beállítani vele. A lehetséges módok:
Anonymaus (névtelen), ASP.NET impersonation (ASP.NET meg
személyesítés), Basic (alapszintú), Digest (kivonatoló), Forms
(űrlapos) és Windows-hitelesítés. A Digest hitelesítéshez az liS
nek tartományhoz kell csatlakoznia.
Default Document Az a fájl adható itt meg, amely sikertelen kérelem esetén
(alapértelmezett dokumentum) jelenik meg.
Failed Request Tracing Rules A sikertelen kérelmek nyomkövetését lehet itt beállítani. (Az liS
(sikertelen kérelmek kezelőjének kezdőlapján engedélyeznünk kell a sikertelen
nyomkövetésére vonatkozó kérelmek nyomkövetését, rnielőtt beállíthatnánk itt a tulajdonsá
szabályok) gokat.) Tartalom szerint kiválaszthatjuk a hibakódokat és hozzá
rendelhetjük nyomkövetési szolgáltatókhoz, amelyek értelmezik
az eredményt.
HTTP Redirect Ezzel a szolgáltatással lehet másik fájlba vagy URL-be átirányítási
(HTTP-átirányítás) szabályokat létrehozni. Kapcsoljuk be a jelölőnégyzetet, és
adjuk meg az elérési utat. Azt is megadhatjuk, hogy az összes
kérelmet átirányítsuk, vagy csak egy könyvtár tartalmára irányu
ló kérelmet, valamint a kérelmet küldő fél számára is megjelenít
hetünk az átirányításról szóló HTTP-állapotkódot.
8. feiezet • Internet Information Services 7
IPv4 Address and Domain A kérelmet küldő fél IP címe alapján engedélyezhetjük vagy
Restrictions (IPv4-cím- és leülthatjuk az IlS által szolgáltatott tartalmakhoz való hozzáfé
tartománykorlátozások) rést. A lista fontossági sorrendet jelöl.
Logging (naplózás) Ezzel a szolgáltatással lehet pontosan beállítani, hogy az IlS mi
ként naplózza a kiszolgálóhoz érkező kérelmeket Megadhatjuk
a napló elérési útját, a bejegyzések formátumát, valamint hogy
az új naplófájlok megnyitása milyen ütemben és miként legyen
végrehajtva.
MIME Types (MIME-típusok) Itt fájlkiterjesztések, valamint a nekik megfelelő, statikus módon
szolgáltatott (vagyis nem dinamikusan értelmezett) tartalomtípu
sok listája található.
Modules (modulok) Itt lehet felügyelt kód alapú modulokat hozzáadni a már
meglévőkhöz, amelyek azt befolyásolják, hogy az IlS hogyan
válaszoljon a webkiszolgálóhoz érkező kérelmekre, továbbá
már meglévő modulokat állíthatunk be vele.
SSL Settings (SSL-beállítások) Egy webhely vagy alkalmazás SSL-re vonatkozó követelményeit
állíthatjuk be ezzel a szolgáltatással, valamint azt, hogy miként
kezelje a rendszer az ügyfelek tanúsítványait
Virtuális könyvtárak
A virtuális könyvtárak nagyban elősegíthetik, hogy a webhely szerkezete akkor is átlátható
legyen a felhasznáJók számára, ha a merevlemezen tárolt valódi tartalmak több kölönböző he
lyen, esetleg számítógépen találhatók. Egy jól megtervezett virtuális könyvtárszerkezet nem csak
az Interneten böngészőknek teszi könnyen használhatóvá a webhelyet, hanem a fejlesztáknek
is rugalmasabbá teszi az alkalmazást. Az átláthatóságon kívül a virtuális könyvtáraknak biztonsá
gi szerepük is van, mert a fizikai szinten ismeretlen helyen létrehozott könyvtár helye nem kell,
hogy megegyezzen a virtuális könyvtár helyével. Egy virtuális könyvtár létrehozásához köves
sük a következő lépéseket:
j5ítename: Booksite
Path:
Alias:
Example: images
OK 8.8. ábra
Az Add Virtual Directory ablak
Alkalmazáskészletek
Az alkalmazáskészletek az liS 7-tel szolgáltatott, nagy mennyiségű alkalmazást tartalmazó
webhelyek számára jelentenek megbízhatóságot. Bár jobban megjósoll1ató viselkedést biztosíta
nak, és egy sor más haszna is van, ha webalkalmazásokat az liS-szel akarunk szolgáltatni, minden
egyes alkalmazáskészlet legalább 4 MB memóriát foglal, ezért érdemes azokat pontosan beállítani,
ha úgy tervezzük, hogy többet is létrehozunk egy gépen.
részét feldolgozzák, és megadják a szükséges választ. Ezen a módon minden alkalmazás számára
felügyelt folyamatokat biztosítunk, és kiszűrhetjük a kétszeres feldolgozást, amire a klasszikus
módnak a felépítésénél fogva szüksége volt.
Klasszikus módban azok a kérelmek, amelyeket az liS natív módon tudott kezelni, végigmentek
az liS6 folyamatain, majd ami maradt, azt átadta egy ISAPI DLL-nek további feldolgozásra.
Ez lehetett egy felügyelt kódmodul vagy bármi más, amit az liS 6 nem tudott natív módon
kezelni. Ez után a választ visszaküldték az liS-nek, hogy továbbítsa azt a kérelmet kiadó félnek,
ami további feldolgozási időt jelentett.
Help
OnlneHelp
Started v2.0
Started V2 0
••• • : •• . • m> mm >J
llill!lJ
. m
'!· b1t!f
· flf§5!Mk§
••
Name:
�,;
8.9. ábra
Új alkalmazáskészlet létrehozása egy liS-kiszolgá/ón
Ha sikerült telepíteni a WMS-t, engedélyeznünk kell a távoli kapcsolatot. Az IlS Manageren belül
kattintsunk a megfelelő kiszolgálóra a bal oldali ablaktáblában, majd a Management Service
ikonjára középen, és kapcsoljuk be az Enable Remote Management (távoli kapcsolatok engedé
lyezése) jelölőnégyzetet A Management Service ablaka a 8.10. ábrán látható.
Use this feab.Jre to configlre how dients connect to this server se.rvke must be star� to
by using remote ronnections in ilS Manager. r�o�y manage the Web
server bv usino !IS MNiaQer.
C � remote conn�
l ldentity Credentials
rO:>nnections
IP address:
• Start
• stop
�IUnassigned ::J
__ __
·�
i'I'_IMSv<:.WJN-Q4�Q7Z.�?ű:i'l
SSl certificate: OnileHetl
_ .. ___ _ _ _
I%System!lnve%\lnetpub'jogs\WMSvc
L ----==--
--······- =-
·····---·-·· -=
--·-·······- ·--·-····
8.10. ábra
Távoli kapcsolat
Reody 6j,.: engedélyezése
Ezen a képernyőn további beállítási lehetőségeink is vannak, például hogy mely hitelesítő
rendszereket (Windows vagy IlS Manager) fogadjuk el a távoli kapcsolat engedélyezése során,
milyen IP címet, kaput és SSL-tanúsítványt használunk, hová naplózza a rendszer a kérelmeket
és a kapcsolatokat, valamint megadhatunk feketelistákat és fehérlistákat is az IP címekhez.
Írjuk fel a Management Service által kiosztott kapuszámot, mert ezen a kapun
Megjegyzés
keresztül fogunk kapcsolatot létesíteni.
l®f@$#{8
Az AppCmd szolgáltatásairól a l? kapcsolóval tudhatunk meg többet
a parancssorban.
Biztonsági másolat készítéséhez egy egyszerű, egysoros parancsot kell begépelnünk. Ez lehetővé
teszi, hogy a kiszolgáló beállításainak esetleges helytelen megváltoztatása után visszatérjünk egy
olyan beállításhoz, amely korábban működött:
A lenti parancsok közül az elsővel kiírathatjuk a rendelkezésre álló biztonsági másolatokat, majd
a második paranccsal visszaállíthatjuk a webhelyet az adott biztonsági másolatból (a restore
visszaállít- parancs leállítja a kiszolgálót, visszaállítja a webhelyet a másolatból, majd újraindítja
a kiszolgálót):
Ha az egyik parancs kimenetét egy csővezetéken keresztül egy másik parancs bemenetére
küldjük, hasznos eredményhez juthatunk. Például az összes alkalmazáskészlet újrahasznosítását
a következő paranccsal oldhatjuk meg:
appcmd list site "Company Web" /xml l appcmd list app /in /xml l appcmd list
apppool /in /xml l appcmd recycle apppool /in
8. fejezet • Internet Information Services 7
appcmd list app /site.name:"Company Web" /xml l appcmd list apppool /in /xml
l appcmd recycle apppool /in
Egy korábbi példában bemutattuk, hogyan írathatjuk ki a leállított webhelyeket. Most nézzük
meg, hogyan tudjuk ezeket egyetlen paranccsal újraindítani:
appcmd list wp 2450 /xml l appcmd list apppool /xml /in l appcmd list app /in
Hasznos lehet egy gyors pásztázást végeznünk, hogy tudjuk, mely webhelyek adnak hibaüze
netet. A 404-es hibaüzenet azt mutatja, ha valamelyik honlapot az IlS nem tudta megjeleníteni.
A webhelyek listáját a következőképpen kaphatjuk meg:
.NET
Delegated
Reset to Imented
Reset Al Delegation
I.�'ETTrustleve�
Compílation ReadA'Vrite
.NET G!obalizatíon ReadNJrite CUstom Site Oelegation•••
• !'.'ETProfile Read/Hrite
.NETRoles Configuraüon ReadAVrite .Help
OnlineHelp
Il
ReadfNrite:
.NET Users Configuration Read/Write
Application Settngs Read,t'Write
ASP .NET Impersonation ReadJWrite
l Authentkation · Anon't'mous
Authentk:ation ·Basic
Authentication ·Digest
Read Only
a
ReadOnly
Re d Only
l Authenöcat:ion -Forms ReadjWrite
j Authentication - \�flfldows Read Only
j Authoriza� Rules Read;'Write
'j CompreSSJon Read(Write
1 Connection Strings ReadA'Jrite
l.?.:��t�nt Read/Nfite
8.11. ábra
Sza/gáitatások
átruházása
1. A Start menü All Programs almenüjében nyissuk meg az Accessories (Kellékek) csoportot.
2. Az egér jobb gombjával kattintsunk a Notepad Qegyzettömb) elemre, és a megjelenő
helyi menüből válasszuk a Run As Administrator (Futtatás rendszergazdaként) elemet.
3. Az esetleg megjelenő DAC-figyelmeztetés után lépjünk tovább.
4. A File (Fájl) menüből válasszuk az Open (Megnyitás) pontot, és a szűrőt állítsuk All Files-ra
(Minden fájl), majd a \ Windows\System32\inetsrv\config könyvtárban nyissunk meg egy
fájlt, amelyet meg szeretnénk tekinteni.
A beállítófájlok egyszerű, szemmel jól nyomon követhető XML fájlok, ezen kívül a szerkesztőnk
kereső szolgáltatásával könnyen megtalálhatjuk a módosításra váró részt, hogy mindenre kiterjedő
beállításokat érvényesítsünk. Az alábbiakban egy frissen telepített, Web Server és Application
Server szerepkörökkel ellátott Windows Server 2008-as gép applicationHost.config fájlját láthatjuk
(8.1. példa}
<sectionGroup name="systern.webServer">
<section name="asp" overrideModeDefault="Deny" l>
<section name="caching" overrideModeDefault="Allow" l>
<section name="cgi" overrideModeDefault="Deny" l>
<section name="defaultDocurnent" overrideModeDefault="Allow" l>
<section name="directoryBrowse" over:rideModeDefault="Allow" l>
<section name="fastCgi" allowDefinition="AppHostOnly"
overrideModeDefault="Deny" l>
<section name="globalModules" allowDefinition="AppHostOnly"
overrideModeDefault="Deny" l>
<section name="handlers" overrideModeDefault="Deny" l>
<section name="httpCornpression" allowDefinition="AppHostOnly"
overrideModeDefault="Deny" l>
<section name="httpErrors" overrideModeDefault="Deny" l>
<section name="httpLogging" overrideModeDefault="Deny" l>
<section name="httpProtocol" overrideModeDefault="Allow" l>
<section name="httpRedirect" overrideModeDefault="Allow" l>
<section name="httpTracing" overrideModeDefault="Deny" l>
<section name="isapiFilters" allowDefinition="MachineToApplication"
overrideModeDefault="Deny" l>
<section name="rnodules" allowDefinition="MachineToApplication"
overrideModeDefault="Deny" l>
<section name="odbcLogging" overrideModeDefault="Deny" l>
<sectionGroup name="security">
<section name="access" overrideModeDefault="Deny" l>
<section name="applicationDependencies"
overrideModeDefault="Deny" l>
<sectionGroup name="authentication">
<section name="anonyrnousAuthentication"
overrideModeDefault="Deny" l>
<section name="basicAuthentication" overrideModeDefault="Deny" l>
<section name="clientCertificateMappingAuthentication"
overrideModeDefault="Deny" l>
<section name="digestAuthentication" overrideModeDefault="Deny" l>
<section name="iisClientCertificateMappingAuthentication"
overrideModeDefault="Deny" l>
<section name="windowsAuthentication" overrideModeDefault="Deny" l>
<lsectionGroup>
<section name="authorization" overrideModeDefault="Allow" l>
<section name="ipSecurity" overrideModeDefault="Deny" l>
<section name="isapiCgiRestriction" allowDefinition="AppHostOnly"
overrideModeDefault="Deny" l>
Windows Server 2008
Zárszó
Az IlS 7 összetett rendszer. Ebben a fejezetben megvizsgáltuk a fóbb szolgáltatásait, és láttuk
néhány kevésbé fontos szolgáltatását is. Megismerkedtünk az új felépítéssel és az IlS telepítésével,
valamint megtanultuk parancssorból, illetve grafikus módban, a teljesen újragondolt Internet
Information Services Manager segítségével kezelni az IlS-t. Ezen kívül megvizsgáltuk, hogyan
tudjuk az XML alapú beállítási lehetőségeket érvényesíteni. Könyvünk korlátai rniatt sajnos nem
fedhettük le teljesen az IlS-t, de legalább képet kaptunk róla, hogy rni az, ami új ebben a változat
ban, és hogy hol keressünk bizonyos szolgáltatásokat.
Végül meg kell jegyeznünk, hogy az IlS 7 óriási lépést tett a Windows környezetben
a megbízhatóság, a nagy teljesítmény és a széles körű alkalmazhatóság felé. Az IlS 7 valóban
a webkiszolgálók következő nemzedékének tagja.
A Windows Server 2008 Server Core
"
Server Care? Kiszolgálómag? Olyan ez, mint az alma (természetesen "Apple ) magja? Igazából
attól függ, hogyan tekintünk rá: a könyv szempontjából a Microsoft Longhorn Server termékcsa
lád nagyszerű, új eleméről van szó. A Server Care alapvetőerr a Longhorn Server lecsupaszított,
eszközszerű változata, amely semmi mással, csak néhány korlátozott szerepkörrel rendelkezik.
A Server Core-nak meglátásom szerint két fő előnye van: rendkívül koncentrált, ami azt jelenti,
hogy csak olyan feladatokat hajt végre, amelyekhez kiválóarr ért. Ennek eredményeképpen
jobban teljesít, rugalmasabb és hatékonyabb, mint egy teljes értékű operációs rendszer. A Care
a Windows "kirakósjáték" többi darabjától csak korlátozott mértékben függ, rnivel arra hivatott,
hogy a többi telepített szaftver nélkül is működjön; általában önmagában is működőképes.
Viszonylag sok korábbi Windows-összetevő felesleges a számára- például a Windows Explorer
(Windows Intéző), illetve az Internet Explorer-, ami a Windows Server 2003-ról viszont nem
mondható el.
A szokásos Windows Server termékekkel ellentétben mindez jóval kisebb támadási felületet
képez, mivel a felesleges összetevőket eltávolították A Server Core-nak azonban lehetnek
számunkra ismeretlen jellemzői is, valamint létezhet néhány érdekes tény és korlátozás a számí
"
tástechnika "mag alapú megközelítésével kapcsolatban, amelyekkel esetleg még nem találkoz
tunk. Az alábbiakban ezeket tekintjük át.
A rendszerhéj hiánya
Talán ez a legfelkavaróbb, de a visszajelzések alapján a legérdekesebb és legüdvözöltebb
különbség a Server Care és a hagyományos Windows kiszolgálórendszer közt. Ha elindítjuk
a Server Care-t, egy színes hátteret fogunk látni, amely úgy néz ki, mint egy egyszínű asztal.
Tévesen azt hihetjük, hogy rossz változatot telepítettünk, de arnint megjelenik egy parancsab
lak, azonnal felismerjük, hogy tévedtünk - mihelyt megjelenik a parancsablak, minden tevé
kenység leáll, igen hasonlóan ahhoz, mint arnikor egy szokványos Windowsan megnyitjuk
a Task Marragert (Feladatkezelő) és leállítjuk az explorer.exe folyamatot (lásd a 9.1. ábrát).
-\.1:1 Windows Server 2008
9.1. ábra
Az alapértelmezett környezet, ha egy felhasználó interaktív módon jelentkezik be
egy Server Care alapú gépre
Fel kell idéznünk a DOS-os időket, hogy hozzászokjunk a Server Core kezeléséhez. A parancssor
igen hatásos- sok esetben többet érhetünk el parancsokkal, beállításokkal és kapcsolókkal, rnint
a grafikus felülettel-, de kezdetben elrettentőnek tűnhet.
Az alábbiakban felsorolunk néhány dolgot, amelyek hiányoznak a Windows Server 2008 Server
Core-ból:
•
Hiányzik a .NET keretrendszer, illetve az egységes nyelvi futtatókörnyezet (CLR).
•
Nincs Microsoft kezelőkonzol, illetve hiányoznak a hozzá kapcsolódó beépülő modulok.
•
A Vezérlőpult kisalkalmazásainak nagy többsége hiányzik.
•
Nincs "Futtatás" ablak, sőt Start menü sem.
Telepítési forgatókönyvek
A Server Core alapszinten csak fájlkiszolgálóként, nyomtatókiszolgálóként, tartományvezérlőként,
Active Directory Lightweight Directory Services (LDS) kiszolgálóként, multimédiafolyam-kiszolgá
lóként, DHCP-kiszolgálóként, DNS-kiszolgálóként vagy Windows Server V irtualization kiszolgáló
ként működhet. Szerepelhet fürtökben és terheléselosztó csoportokban, futtathatja a Unix-alkal
mazásokhoz készült alrendszert, fejlettebb adottságainak köszönhetően készíthet biztonsági máso
latokat, valamint kezelhető az SNMP-vel, illetve annak segítségével állapotjelentéseket is adhat.
A Server Core rendelkezik még néhány másodiagos adottsággal is, de a rendszer annyira lecsupa
szított, hogy jelenleg még csak a fentiekben felvázolt alapvető szerepkörök betöltésére alkalmas.
A késóbbi kiadások már tartalmazhatnak a mag alapú operációs rendszer által betölthető több
szerepkört is, de ezek még nem állnak rendelkezésre. A Windows Server 2008 Server Core szerep
köreit és szolgáltatásait a 9.l. táblázatban soroltuk fel.
9. fejezet • A Windows Server 2008 Server Care
Nyomtatószolgáltatások SNMP-szolgáltatások
WINS-kiszolgáló
Ez nem csak azt jelenti, hogy nem futtathatunk egyéni webalkalmazásokat, hanem elveszítjük
a hozzáférést a Windows ezen kiadásával együtt járó jobb kezelőprogramokhoz is, beleértve
a Windows PowerShellt (amely korábban a Monad kódnévre hallgatott). E tekintetben a Server
Core nem egy szokványos .NET-gép, ezért a webalkalmazásokhoz és egyéb saját programokhoz
telepítenünk kell az operációs rendszer szokásos, teljes értékű Longhorn Server kiadását.
Külső alkalmazások
Főként olyan programokkal kapcsolatban találkozunk majd problémákkal, amelyeket úgy ter
veztek, hogy a rendszertálcán vezérlőelemeket jelenítsenek meg, mint például egyes vírusirtó és
rendszerhéj-módosító alkalmazások. Egyes felügyeleti prögramok esetében is felmerülhetnek
gondok, noha ezek az alkalmazástípusok a háttérben dolgoznak, és grafikusan semmit sem jele
nítenek meg. Az SMS 2005 és a MOM 2005 termékcsalád egyes ügynökprogramjainak például
kitűnően kell működniük a Server Core rendszerű számítógépeken, mivel a műveleteik főként
a felszín alatt mennek végbe, és a felhasználó számára nem jelennek meg grafikus formában.
Végül néhány esetben érzékeny pontot jelenthet az illesztőprogramok telepítése -vagy olyan
hardvereszközöket kell használnunk, amelyeknek az illesztőprogramjai megtalálhatók a Server
Core-ban, vagy a megfelelő illesztőprogramokat előre be kell töltenünk a Drvload segédprog
rammaL Az illesztőprogramok aláírásával kapcsolatban is felmerülhetnek problémák, bár ezek
mérsékelhetők, ha a cspportházirendek segítségével a Server Core gépen megváltoztatjuk
a illesztőprogramok aláírási házirendjét - de ezt természetesen távolról kell elvégeznünk.
-:Iul Windows Server 2008
Telepítés
A Windows Server 2008 Server Core kiadásának telepítése nem sokban különbözik a Windows
Server 2008 normál, teljeskörű telepítésétőL A telepítés során egyetlen Irulesfontosságú képer
nyővel találkozunk - a termékválasztó párbeszédablakkal -, amelyen a teljeskörű telepítés
helyett a "core" telepítését választjuk Ezt követően az egyes telepítési módok között már
nem lesz különbség. Ezt a képernyőt a 9.2. ábra mutatja.
lJ Install Windows
Windows Version
If you enter you r product key. \r'/i.ndrn.vs can automaticaily determine which edition you purcha.sed.
To enter your produrt key, dic.k the Bad: button t� return to the previou.r page.
ff you choose not to enter your product key now. make sure that you select the edition of Windows
thatyou purchased.lf you select the wrong edition, you will need to purchase that edition, or you
will need to reinstall the correct edition of Windows later and potentialfy lose fi les and information.
9.2. ábra
A Wi"ndows Server 2008
D I have selecte dthe edition ofWindows that l purchased Server Care kiadásának
választása a telepítés
során
A Server Core telepítéséhez 512 MB RAM szükséges a célgépen. A telepítés után maga a Server
Core már nem igényel sok memóriát. A lemezterület nem jelent gondot: a Server Core szokásos
telepítési helyigénye a Windows Server 2008 telepítési helyigényének csak a 20%-t teszi ki.
Kezdeti beállítás
Sok más kiszolgálóhoz hasonlóan a Server Core rendszer beállításait is finomítanunk kell, illetve
meg kell adnunk bizonyos információkat, mielőtt a rendszert munkára is használhatnánk.
Az alábbi részben áttekintjük a Windows Server 2008 Server Core rendszerű számítógépek
beállításának néhány kezdeti lépését:
Control timedate.cpl
Date:.
Wodn�ay. Octi>liir 1G,,2íl07
Tune:
3:44i51PM.
9.3. ábra
A Date and Time vezérlőablak
a Server Core-ban, a parancssorból
megjelenítve
Windows Server 2008
Ehhez hasonlóan a Regional and Language Options (területi és nyzelvi beállítások) kisalkalma
zás is elérhető a parancssorból:
Control intl.cpl
To change the way your computer displays numbe<>. currencies, dates. and
time. select an entry from the forrnat list.
kUn:ent forrnat
Number: 113,456,789.00
Currency: S123.456,789.00
Time 3:45:49 PM
Shorl:date: 10/10/.2007
9.4. ábra
For additional formats. keyboard<, and1ools, go to the Microsoft website.
A Regional and Language Options
vezérlőablak, ismét csak a parancssorból
megjelenítve
pnputil -i - a driver.inf
Első lépésként vizsgáljuk meg, hogy alapértelmezés szerint rnilyen felületeket kapunk a Server
Care gépünkhöz. Az alábbi parancs segítségével hívhatjuk elő a Server Care összes beállított
hálózati felületét:
Amint azt a parancs kimenetébó1láthatjuk, a gépen két hálózati felület található. A rni szempon
tunkból a fontosabbikhoz - amely a várakozásnak megfelelően a Local Area Connection (Helyi
kapcsolat) névre hallgat - a 10-es "idx" (indexszám) tartozik. Ez a számérték az alább bemutatott
parancsok szempontjából fontos, rnivel azonosítja, hogy melyik LAN-csatalót célozzuk meg
az egyes parancsokban.
Most pedig adjunk a keverékhez néhány DNS-kiszolgálót is. Legyen a 24.25.5.150 az első (az el
sóbbséget egy adott kiszolgálóhoz az index kapcsolóval rendeljük hozzá, ami nem ugyanaz,
mint a name vagy az Idx kapcsaló és egyéb jellemzők, amelyekkel már találkoztunk),
a 24.25.5.149 pedig a második DNS-kiszolgáló:
Ha a parancs végrehajtása után nem érkezik hibaüzenet, akkor az átállítás sikeresen befejeződött.
Az eredményt az ipconfig l al l parancs segítségével kényelmes formátumban ellenőrizhetjük.
Az alábbiakban egy mintakimenet látható, amely tanúsítja, hogy a beállításaink a megfelelő he
lyekre kerültek:
Windows IP Configuration
>hostname
WIN-1UUMA7JYIC8
Ügyeljünk arra, hogy- amint az várható- a számítógépet a névváltozás után újra kell indítani.
Miután újraindult, a kiszolgálót valószínűleg egy tartományhoz szeretnénk kapcsolni. Például, ha
az újonnan elnevezett WS08-CORE-1 gépünket a HASSELLTECH tartományhoz kívánjuk csatla
koztatni, használjuk az alábbiakban látható parancsot. Győződjünk meg róla, hogy a plusz "d"
betűt a bemutatott módon auserd és passwordd kapcsolók végére írtuk, mivel ezek jelzik,
hogy az adott azonosítójú felhasználó megfelelő engedélyekkel rendelkezik ahhoz, hogy a gépet
az adott tartományhoz csatlakoztassa:
Az automatikus frissítés engedélyezése a Server Care esetében azt jelenti, hogy a Windows
az alábbi parancs hatására automatikusan letölti és telepíti a frissítéséket (a frissítések listájának
megjelenítéséhez és az elemek egyenkénti jóváhagyásához nem áll rendelkezésre megfelelő
eljárás):
wuauclt /detectnow
-Ul Windows Server 2008
A kiszolgáló aktiválása
A kiszolgáló beállításához szintén használható másik parancsfájl az slmgr.vbs. A scregedit.wsfpa
rancsfájltól eltérően ez az állomány megtalálható a Windows Vistában és a Windows Server 2008
teljeskörűen telepített változatában is. Az slmgr parancsfájl felügyeli a felhasználási engedélyekkel
és az aktiválással kapcsolatos feladatokat, amelyeket a rendszergazdának egy windowsos gépen
el kell végeznie. A Server Core gépeken négy ilyen fontos műveletet kell elvégeznünk; ezeket
olyan sorrendben mutatjuk be, amilyen sorrendben azokat végrehajtjuk, hogy megjelenítsük és
végül aktiváljuk egy Windows Server 2008 Server Care felhasználási engedélyét.
Az alábbi parancs telepíti a termékkulcsot, feltéve ha azt a termék telepítésekor nem adtuk meg:
A következő parancs ellenőrzi a gép aktiválásához sZÜkséges, jelenleg érvényben lévő felhasz
nálási engedély állapotát és lejárati idejét, beleértve az aktiválás előtti türelmi időszakot is:
Végül az utolsó parancs visszaállítja az aktiválás türelmi időszakát. A visszaállító eljárást csak
korlátozott mértékben használhatjuk; jelenleg ez három alkalmat jelent:
Lehet, hogy szeretnénk, ha Server Core gépünkre a legújabb biztonsági és hitelesítési techno
lógiákkal még nem rendelkező, régebbi RDP ügyfelek is kapcsolódhatnának. A biztonsági
beállításokat ilyen esetben az alábbi paranccsal állíthatjuk át:
logoff
9. feiezet • A Windows Server 2008 Server Care
A fent említett szerepkörök a Windows Server 2008 teljeskörűerr telepített kiadásában a Server
Manager MMC-konzol segítségével telepíthetők. A Server Care gépek esetében ez nyilvánvaló
an lehetetlen, hiszen a grafikus héj szinte nem is létezik.
Rendelkezésünkre áll azonban egy ocl ist nevű parancssori segédprogram, amely lehetővé
teszi, hogy áttekintsük a Windows Server 2008 Server Care által betölthető szerepköröket.
Ha lefuttattuk az oclist segédprogramot, és azonosítottuk a kívánt szerepkör nevét, a nevet
megadva a segédprogrammal bármikor telepíthetjük vagy eltávolíthatjuk azt, illetve a választha
tó összetevőket. Az oclist segédprogram kimenetére a 9.5. ábrán láthatunk mintát.
9.5. ábra
Az oc/ist. exe
parancs kimenete
egy Server Care
munkamenetben
ocsetup DHCPServerCore
A rendszer ekkor dolgozik egy ideig, és a műveletnek hiba nélkül kell befejeződnie. Az oclist
segédprogram ismételt futtatásával győződjünk meg róla, hogy a telepítés befejeződött, és ellen
őrizzük, hogy a DHCPServerCore szerepkör most már telepítettként szerepel-e.
Egy unattend.txt nevű fájlban (vagy bármilyen tetszőleges nevű fájlban, feltéve, hogy nem
felejtjük el a nevét) legalább az alábbi kilenc beállírásra van szükség:
[DCinstall]
ReplicaOrNewDomain=Domain
NewDomain=Forest
NewDomainDNSName=hasselltech.local
AutoConfigDNS=Yes
DNSDelegation=Yes
DNSDelegationUserName=username
DNSDelegationPassword=password
RebootOnSuccess=NoAndNoPromptEither
SafeModeAdminPassword=breakincaseofemergency
dcpromo /unattend:unattend.txt
Először is, a WinRS figyelőt aktiválnunk kell a Server Core gépen. Ehhez használjuk az alábbi
parancsot:
WinRM quickconfig
9.6 ábra
A Windows távoli
rendszerhéj figye
lőjének beállítása
a Server Care
gépen
Miután a figyelőt beállítottuk, bármely Windows Vista, illetve (teljes kiadású) WindowsServer
2008 rendszert futtató számítógépről küldhetünk a winrs-sel a Server Core gépünknek szánt
parancsokat. Ha például az oclist parancs eredményét szeretnénk megtekinteni, egy Vista
gépen a következőket írjuk be a parancssorba:
Én a WMI-szűrőket részesítern előnyben, mivel ez a módszer nem kényszerít minket arra, hogy
az AD hierarchiát az operációs rendszerekre alapozva hozzuk létre, de a kívánt hatás tekintetében
mindkét eljárás egyformán jól működik. A WMI-szűrők használatakor az OperatingSysternSKU
tulajdonság szerint szűrünk a Win32_0peratingSystern osztályban. A felhasználható értékek
a következóK:: a 12 a DatacenterServer Care, a 13 aStandardServer Care, a 14 pedig
az Enterprise Server Care kiadást jelenti.
Zárszó
Ebben a fejezetben a WindowsServer 2008Server Care kiadását mutattuk be, amelyen a grafikus
rendszerhéj hiányában minden felügyeleti tevékenységet a parancssorból kell elvégeznünk.
Beszéltünk aServer Care telepítéséró1, kezdeti beállításáról, kezeléséről és felügyeletéről is.
Mivel a Server Care lecsupaszított rendszer, nem sok témát kellett érintenünk. Alapvetőerr "beál
lítjuk és elfelejtjük" jellegű gépekről van szó, ami pontosan tükrözi a Server Care eredeti célját:
olyan rendszert nyújtani, amely a teljeskörűerr telepített Windows Server 2008 gépekhez képest
sokkal inkább berendezésszerűen működik.
Terminálszolgáltatások
Bár a személyi és asztali számítógépek elterjedése nagy hatással volt az amerikai üzleti szférára,
néhány esetben még ma is használják a buta terminálokat Cvagy modernebb szóhasználat
szerint "sovány ügyfeleket"). A Windows Terminal Services (Terminálszolgáltatások, TS) olyan
prograrnak és segédprogramok összessége, amelyek intelligensebb és korunknak megfelelőbb
szinten biztosítják számunkra ezt a szolgáltatást. Tulajdonképpen lehet, hogy kicsinyített
módban már megismerkedtünk a terminálszolgáltatásokkal. A Windows XP Remote Assistance
(Távsegítség) és Remote Desktop Connection (Távoli asztali kapcsolat) segédprogramja a termi
nálszolgáltatások egy-egy példája. A terminálszolgáltatások egy a kiszolgálón futó programnak
csak a felhasználói felületét továbbítják az ügyfélgépnek, amely aztán visszajuttatja a megfelelő
billentyűleütéseket és egérkattintásokat. A terminálszolgáltatásokat futtató kiszolgáló, amely
egyidejűleg több ügyfél számára is hozzáférhető, zökkenőmentesen irányítja a kapcsolatokat és
az aktív programokat. A felhasználónak úgy tűnik, mintha a saját gépét használná, nem pedig
egy olyan gépet, amely ugyanakkor más aktív alkalmazásokat is szolgáltat.
Hogy ez miért hasznos? Sok vállalat csökkenteni szeretné az asztali gépek támogatásával kap
csolatos ügyfélszolgálati feladatoknak és az eszközök beszerzésének a költségeit, ezért inkább
sovány ügyfeleket helyez üzembe, amelyek korlátozott mértékű ügyféloldali szolgáltatásokkal
bírnak. A sovány ügyfelek a felhasználó rendelkezésére bocsátanak egy ablakot, amely egy
kiszolgálóhoz kapcsolódik, és futtatja a számukra szükséges alkalmazásokat. A Microsoft Office,
sok könyvelőprogram és rengeteg más alkalmazás is hatékonyan működik a terminálszolgálta
tások keretében, és bizonyos cégeknek kezdetben megéri a beállításokra több időt szánni, hogy
a felügyelet a késóbbiekben minél kevesebb fejfájást okozzon.
Windows Server 2008
Gondoljunk csak arra, hogy így mennyivel alacsonyabb költséggel jár a javítócsomagok telepí
tése, a prograrnak frissítése vagy a régi prograrnak eltávolítása. A telepítést, frissírést és eltávolí
rást csak egyszer kell végrehajtanunk, és bingó: a teljes vállalati informatikai környezet frissül.
Ennek az előnyeit nehéz lenne cáfolni. A terminálszolgáltatásoknak ezt a használati módját
egyszerűen terminálszolgáltatásoknak hívjuk.
A terminálszolgáltatásoknak azonban van egy másik gyakori felhasználási területe is: a távoli
rendszerfelügyelet A segítségével gond nélkül kapcsolódhatunk olyan gépekhez, amelyeken
a terminálszolgáltatásokkal összeegyeztethető operációs rendszer fut, és pontosan úgy használ
hatjuk a gép felületét, mintha ott ülnénk előtte. A Windows 2000, a Windows XP, a Windows
Server 2003 és a Windows Server 2008 felhasználási engedélye (licenc) egyaránt megengedi ezt.
Ez igazi áldás a rendszergazdák számára: nem kell elhagynunk a kényelmes irodánkat, hogy
a gépteremben lévő kiszolgálón felügyeljük a Windows elemeit.
A távoliasztal-protokoll
A Remote Desktop P rotocol (RDP, távoliasztal-protokoll) az a szabvány, amely a terminálszol
gáltatásokat működteti. Az RDP a T.120 protokollszabvány-családon alapul, és egyben annak
bővített változata. Többcsatornás protokoll, amely egymástól elkülönített, virtuális csatornákon
teszi lehetővé, hogy a kiszolgálóról az eszközök vezérlésével és a megjelenítéssel kapcsolatos
adatokat továbbítsák az ügyfélnek, valamint titkosírva továbbítsák az ügyfél egér- és billentyű
műveleteit. Az RDP jól bővíthető alapot teremt, amelyre sok további lehetőség épülhet: akár
64 OOO önálló adatátviteli csatornát támogat, és a többpontú adatátvitelt is megengedi.
Az RDP felépítését és szerepét egy magasabb nézőpontból a 10.1. ábra mutatja be.
1 O. fejezet • Terminálszolgáltatások IfJ-
Hangátvitel
Megosztott vágólap
True Color-támogatás
Helyi meghajtó-csatlakoztatás
10.1. ábra
Automatikus AzRDP
nyomtatócsatlakoztatás
áttekintése
A Windows Server 2008 telepítése után rninden a rendelkezésünkre áll, hogy az RDP-vel lássuk
el egy kiszolgáló távfelügyeletét, a szaigáitatás azonban biztonsági óvintézkedésként ki van
kapcsolva. Könnyű visszakapcsolni, mégpedig ugyanúgy, mint a Windows XP-ben. A vissza
kapcsoláshoz kövessük az alábbi lépéseket:
-fil Windows Server 2008
1 . A vezérlőpulton nyissuk meg a System (Rendszer) kisalkalmazást
2. Kattintsunk a Remote settings (távoli beállítások) hivatkozásra, és ha szükséges, erősítsük
meg a kilérunket az UAC ablakban.
3. A Remote Desktop elnevezésű alsó rész alatt jelöljük be az Allow connections from
computers running any version of Remote Desktop (less secure) - a Távoli asztal bármely
változatát futtató számítógépek kapcsolódásának engedélyezése (kevésbé biztonságos) -
választógombot, ha az RDP-ügyfél összes előző változatának meg szeretnénk felelni, vagy
válasszuk az Allow connections only from computers running Remote Desktop with
Network Level Authentication (more secure) - csak a hálózati szintű hitelesírést alkalmazó
Távoli asztalt használó számítógépek kapcsolódásának engedélyezése (biztonságosabb) -
lehetőséget, ha a hozzáférést az RDP 6.0-s változatára korlátozzuk
4. Kattintsunk az Apply, majd az OK gombra.
A Windows ekkor megjelenít egy párbeszédablakot, amely emlékeztet minket arra, hogy
a jelszóval nem rendelkező fiókoknak megtiltja az RDP-hez való hozzáférést. Ez védi meg
a számítógépünket az internetes betörőkkel szemben. Ha tűzfalat használunk, akkor biztosan
azt is szeretnénk, hogy a 3389-es kapu nyitva legyen, és ha szükséges, a kapu-átirányítás is be
legyen kapcsolva az útválasztón, illetve tűzfalon. A Windows erre is figyelmeztetni fog minket.
Távoli asztal módban egyszerre legfeljebb két rendszergazda felhasználó kapcsolódhat a kiszol
gálóhoz, és úgy használhatják, mintha csak előtte ülnének A fejezet hátralevő része azonban
a terminálszolgáltatás módra összpontosít, amelynek köszönhetően több felhasználó kapcsolód
hat egy kiszolgálóhoz, és igazi alkalmazáskiszolgálóként használhatja azt.
Az ROP-ügyfél használata
A Windows XP-ben és a Windows Vistában egy beépített ügyfelet-Remote Desktop Connection
-találunk, amely ismeri az RDP nyelvét. Az elérési útja a következő: Start, All programs,
Accessories, Communications, Remote Desktop Connection. A program elindítása után a 10.2. áb
rán láthatóhoz hasonló felület jelenik meg.
Írjuk be a kiszolgáló nevét, hogy egy alapvető, egyszerű kapcsolatot hozzunk létre egy másik
géppel. Ha testre akarjuk szabni a környezetet, amelyben dolgozunk, kattintsunk a Remote
Desktop Connection ablak jobb alsó sarkában az Options gombra. Ekkor megjelenik előttünk
egy hat lapból-General (általános), Display (megjelenítés), Local Resources (helyi erőforrások),
Programs (programok), Experience (élmény minősége) és Advanced (speciális)-álló párbeszéd
ablak. Nézzük végig a lapokat:
General
A Generaliapon választhatjuk ki azt a terminálszolgáltatásokat nyújtó számítógépet,
amelyre be szeretnénk jelentkezni. Az érvényben levő beállításokat a Save As (Mentés
másként) gombra kattintva egy RDP fájlba menthetjük, amelyet késóbb megnyithatunk,
de az Open (Megnyitás) gombbal megnyithatunk egy már létező RDP fájlt is.
1 O. fejezet • Terminálszolgáltatások IfJ-
·.iid:''4
� Remote De?ktop
•1-� Connectaon , .. .-lf,if•ii•\\ : -�'
����------��--�����_,
10.2. ábra
A Remote Desktop Connection képernyő
Display
A Display lapon azt adhatjuk meg, hogy a munkamenet ablaka milyen felbontásban jelen
jen meg (a jelenlegi felbontás mellett teljes képernyős méretig), valamint a színmélységet is
megválaszthatjuk Ahhoz, hogy az új beállítások életbe lépjenek, bontanunk kell a kapcso
latot, majd újra kell építenünk. Végül, teljes képernyős munkamenet esetén jelöljük be
a kapcsolatjelző megjelenítését engedélyező beállítást- ez egy kis panel a munkamenetab
lak tetejének középén. A kapcsolatjelzővel egyszerűen válthatunk az ikonállapot és a teljes
méret között, valamint bonthatjuk a kapcsolatot a munkamenettel.
Local Resources
A Local Resources lapon átirányíthatjuk a hangot az ügyfélgépre, illetve választhatunk,
hogy egyáltalán ne legyen hang, vagy csak a távoli gépen lehessen hallani (talán néhány
munkatárs Örömére). A szokásos Windows-billentyűparancsok- ALT+TAB, CTRL+ Esc
CTRL+ALT+DEL stb.- alkalmazását is beállíthatjuk, hogy válthassunk a helyi és a távoli
,
szárnítógép, illetve a távoli számítógép teljes képernyős módja között. Végül eldönthetjük,
hogy az ügyfélgép lemezmeghajtóit, nyomtatóit és soros kapuit hozzáférhetővé tesszük-e
a terrninálszolgáltatások munkamenetei számára.
Programs
A Programs lapon egy olyan végrehajtható fájlt választhatunk ki, amelyet csatlakozáskor
automatikusan futtatni szeretnénk. Ez azt jelenti, hogy mihelyt a felhasználó bezárja a prog
ramot, a kapcsolat megszakad; a munkamenethez nem marad rendszerhéj-hozzáférés.
A Human Resources (emberi erőforrások) felhasznáJók zárolását is választhatjuk, ha
meghatározzuk, hogy csak People5oft alkalmazást futtathatnak; ha bezárják a PeopleSoftot,
a kapcsolatuk megszakad a terminálszolgáltatásokat nyújtó állomássaL Ezenkívül az Open
és a Save párbeszédablakok számára is megadhatunk egy alapértelmezett munkakönyvtá
rat a program futásának idejére.
-f1:1 Windows Server 2008
Experience
Az Experience lapon a Microsoft ajánlatai alapján beállíthatjuk a kapcsolat rninőségét és
a sávszélesség kezelését a munkamenet során. Megválaszthatjuk a megfelelő kapcsolatse
bességet és egyértelműen engedélyezhetjük vagy elutasíthatjuk a következők továbbítását:
az asztal háttérképe, betűsimítás, asztalösszeállítás, az ablakok tartalma mozgatás közben,
ablak- és menüanimációk (gördítés és halványítás), Windows-asztaltémák és a bitképek
gyorstárazása.
Advanced
Az Advanced lapon a kiszolgáló hitelesítési szintjét állíthatjuk be, hogy a rendszer figyel
meztessen minket, ha a hitelesítés sikertelen. Eldönthetjük, hogy a hitelesítés eredményétől
függetlenül csatlakozunk, vagy sikertelen hitelesítés esetén nem csatlakozunk. A TS-átjáró
beállításait is megadhatjuk, amely lehetővé teszi a számunkra, hogy olyan állomásokon
indítsunk munkameneteket, amelyek egy tűzfal mögött találhatók.
To:
OK l! Cancel L �J'
10.3. ábra
A terminálszolgáltatások felhasználóinak tulajdonságai az Active Directory-ban
1 O. feiezet • Terminálszoln"'lt"t"'<""�
A Remote Desktop Connection lapon azt adhatjuk meg, hogy egy rendszergazda távolról
irányíthatja vagy megfigyelheti-e a felhasználók munkameneteit. Azt is beállíthatjuk, hogy egy
ilyen művelethez szükség van-e a felhasználó engedélyére, továbbá azt is körülhatárolhatjuk,
hogy a munkamenet milyen mértékű irányítása legyen megengedett - hogy a rendszergazda
csak éppen megtekintheti a munkamenetet, vagy be is avatkozhat abba.
Más ROP-ügyfelek
Előfordulhat, hogy más - például Linux vagy Mac OS X - rendszerű gépekről szeretnénk hozzá
férni Windows 2000 Server és Windows Server 2008 állomásokon tárolt TS-munkamenetekhez.
Az alábbiakban megtaláljuk a rendelkezésre álló és kellően hatékony RDP-ügyfélsegédprogramok
listáját, amelyek a Windowsan kívül más operációs rendszerek számára is elérhetők:
rdesktop
Az rdesktop egy nyílt forrású RDP-ügyfél, de a Citrix ICA-tól eltérően nem szükséges
hozzá kiszolgálóbővítmény. Az rdesktop jelenleg a legtöbb olyan Unix alapú rendszeren
mi:Iködik, amelyen megtalálható az X Window System. (Ez magába foglalja a legtöbb
kereskedelmi forgalomban lévő Linux rendszert.) Könyvünk írásakor az rdesktop legújabb
stabil változata az 1.4.0 volt. A program a http.//www.rdesktop.org honlapról tölthető le.
-fui Windows Server 2008
Remote Desktop Client for Mac
Maga a Microsoft adta ki a Remote Desktop Client for Mac programot, amely a Mac OS X
felhasználóinak teszi lehetővé, hogy a saját környezetükből kezdeményezhessenek TS
munkameneteket Windows XP vagy Windows Server 2003 rendszerű gépekkeL Az ügyfelet
a Microsoft Mac-webhelyéről lehet letölteni az alábbi círnről: http://www .microsojt.
com/mac/otherproducts/otherproducts.aspx?pid=remotedesktopclient.
A terminálszolgáltatások felügyelete
Terminálszolgáltatásokat futtató gépet három helyről lehet felügyelni:
Vtew
B Help
10.4. ábra
A Terminal Services Manager ablak alapértelmezett állapota
Csatlakozás munkamenethez
Egy távolról dolgozó rendszergazda számára hasznos eszköz lehet, hogy kapcsolódhat egy
munkamenethez egy kiszolgálón; például megoldhatja egy felhasználónak a Microsoft Office
beállításaival kapcsolatos problémáját, mialatt az érintett ebédel. Aktív és leválasztott kapcsolatú
munkamenetekhez egyaránt kapcsolódhatunk, valamint a jelenlegi biztonsági környezetünkbe
(ez lényegében a felhasználónevünket jelenti) bejelentkezett munkamenetekhez is, illetve bár
mely munkamenethez, ha rendelkezünk a megfelelő- Full Control vagy User Access- jogosult
sággal a terminálszolgáltatások munkameneteihez. Ha kapcsolódni szeretnénk egy munkame
nethez, kövessük az alábbi lépéseket:
1. A TSM középső ablaktáblájában található Sessions lapon kattintsunk az egér jobb gomb
jával a megfelelő munkamenetre, illetve ha egy felhasználó által futtatott munkamenethez
szeretnénk kapcsolódni, a Users (Felhasználók) lapon a megfelelő felhasználó nevére.
Mindkét esetben válasszuk a Connect parancsot.
2. Szükség esetén meg kell adnunk a jelszavunkat, máskülönben a vezérlés az új munkame
nethez kerül, és az aktív munkamenet megszakad.
Munkamenet leválasztása
A leválasztott munkamenet annyiban szárnít egyedinek, hogy továbbra is fut a kiszolgálón, de
a tényleges hálózati kapcsolat az ügyfél és a terminálszolgáltatásokat nyújtó gép között megsza
kad. Leválasztott munkamenet esetén a felhasználó a kapcsolat újralétesítésével bármikor vissza
térhet egy előző munkamenethez, ami megkönnyíti a ki- és bejelentkezést. A csapdát az jelenti,
-:§ti Windows Server 2008
hogy a kiszolgálói erőforrások végesek, és ha a munkameneteit rninden felhasználó leválasztva
hagyja, a leveleket az összes Outlook-példány továbbra is fogadja majd, és rninden PowerPoint
bemutató szerkeszthető állapotban nyitva marad. Mielőtt ebédelni megyünk, a munkamenet
leválasztása a képernyő törlésének egyszerű módja, rnivel tudjuk, hogy ha visszatérünk,
az Asztal ugyanolyan állapotban fogad rninket, rnint amilyen állapotban otthagytuk Néha akkor
is hasznos lehet egy munkamenet leválasztása, ha a távoli asztalnak nem sikerül újraépítenie egy
régi kapcsolatot.
Kijelentkezés munkamenetból
A munkamenetből való kijelentkezés befejezi az adott felhasználó munkamenetét a kiszolgálón,
ezáltal mások számára is elérhetővé teszi azokat a RAM- és CPU-erőforrásokat, amelyeket az adott
munkamenet foglalt le. A felhasználónak legközelebb újra be kell jelentkeznie, ha kapcsolódni
kíván a terminálszolgáltatásokat nyújtó kiszolgálóhoz.
logoff 8
10.
reset session 8
Munkamenetadatok megtekintése
A TSM-ben részletes adatokat kaphatunk a terminálszolgáltatásokat nyújtó gépen futó munka
menetekkel kapcsolatban, beleértve a következőket:
• A kezdeményező számítógép
• A futó folyamat
• A munkamenet képfelbontása és színmélysége
•
Az adatok titkosítási szintje
Tegyük fel azonban, hogy egy adott terminálszolgáltatásokat nyújtó gép, tartomány vagy akár
egy egész hálózat összes munkamenetével kapcsolatban szeretnénk adatokhoz jutni, beleértve
az egyes folyamatokat és a bejelentkezett felhasználókat. Mindez megvalósulhat a TSM-mel:
egyszerűen csak jelöljük ki a gépet, tartományt vagy hálózatot a TSM bal oldali ablaktáblájában,
majd a jobb oldalon található Users, Sessions illetve Processes lapokon szabályozzuk az adatok
megjelenítését.
-=Ul Windows Server 2008
Mindezt a gyakorlatban a 10.5. ábra mutatja be.
3ll12
WIN·... adrrinist... 1160 sph\·ow..
WlN .. administ ... Console 27S SnagPri...
WIN·... administ... Console 2360 TscHeL
WIN·.. . adrrVnist... Console 940 SnagiL
W!N·. administ... Console 1232 mmc.exe
WIN·. administ.. Con501e 2212 wuaudl:..
WIN·... NETW... SeMces o 2900 msdtc.exe
WIN ·.. NETW... Services o 460 WmiPrv...
WIN·.. admínist ... Console 245& explorer..
WIN-... administ ... Console 2
245 dwm.exe
W!N·... administ... Console 2524 taskeng..
W!N- .. SYSTEM Services 2iW mscorsv... 10.5. ábra
WIN . .
WIN·... SYSTEM
WIN·..
SYSTEM
Services
Services
o
o
2744
2488
1252
i:netinfo...
svchosL.
Több munka-
menet adatainak
megtekintése
a TSM-ben
C: \>query process
USERNAME SESSIONNAME ID PID IMAGE
>adrninistrator rdp-tcp#lO l 4900 rdpclip.exe
>adrninistrator rdp-tcp#lO l 4980 explorer.exe
>adrninistrator rdp-tcp#lO l 3488 ducontrol.exe
>adrninistrator rdp-tcp#lO l 5 780 ctfmon.exe
>adrninistrator rdp-tcp#lO l 3 308 sqlmangr.exe
>adrninistrator rdp-tcp#lO l 5056 cmd.exe
>adrninistrator rdp-tcp#lO l 3088 query.exe
>adrninistrator rdp-tcp#lO l 5 844 qprocess.exe
C:\>query session
SESSIONNAME USERNAME ID STATE TYPE DEVICE
console O Conn wdcon
rdp-tcp 65536 Listen rdpwd
>rdp-tcp#lO administrator l Active rdpwd
C:\>query user
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON
>administrator rdp-tcp#lO l Active
7/15/2004 5:49 PM
C:\>query terruserver
NETWORK NETWORK
mercury hasselltech.local
1 O. feiezet • Terminá
Az érintett felek értesítést fognak kapni. Egy példát a 10.6. ábrán láthatunk.
rd rathe< be golfing
10.6. ábra
Üzenet küldése
egy felhasználó
nak a terminál
szolgáltatáson
keresztül
Üzenetet küldhetünk a parancssoron keresztül is, ami akkor hasznos, ha az üzenetet egy ese
ményhez rendelt parancsfájllal szeretnénk elküldeni. Az üzenetek küldéséhez az msg parancsot
használjuk. Az alábbiakban láthatunk néhány példát:
A fejezet egy késóobi részében azt is megnézzük, hogy az értesítés hogyan kapcsolható ki és be
kiszolgálónként
shadow
10. fejezet • Terminálszolgáltatások Iif-
Level of cootiDI
•
Speafy the level of cootiDI you 'Non! to have over a user's sesston
l
gVIewthe ._.•• -
:!'11ntetact wih the session
10.7. ábra
A felhasználó értesítésének letlitása
OK )l! Help
távvezérlés esetén
shadow 2 /server:WTS2 /v
Attól függően, hogy a terminálkiszolgáló gépünk egy fürt tagja-e, az Edit Settings hat vagy hét
beállítási lehetőséget kínál. Az egyes beállítások szerepét az alábbiakban olvashatjuk:
Új kapcsolatfigye/ó létrehozása
Ha a Terminal Services Configuration kisalkalmazással új terminálszolgáltatási kapcsolatot
szeretnénk létrehozni, kövessük az alábbi lépéseket:
A terminálszolgáltatásokat futtató gépeken a Windows hálózati kártyánként csak egy RDP alapú
kapcsolatot engedélyez. A rendszergazdák általában úgy találják, hogy a terminálszolgáltatások
telepítése során előre beállított kapcsolat az egyetlen szükséges kapcsolat. Ha viszont több RDP
kapcsolatra van szükségünk, kapcsolatonként új hálózati csatalót kell telepítenünk
Tttkosftási szintek
A terminálszolgáltatások több titkosítási szintet is támogatnak, hogy biztonságossá tegyék
az ügyfél és a kiszolgáló közötti kommunikációt. Ha a Terminal Services Configuration beépül6
roadulban meg akarjuk változtatni ezeket a szinteket, kövessük az alábbi lépéseket:
High (erős)
Erős 128 bites eljárással titkosítja az ügyfél és a kiszolgáló közötti kétirányú kommuniká
ciót; csakis akkor hasznos, ha a terminálkiszolgáló kizárólag 128 bites (értsd: valarnilyen
Windows Server 2008 operációs rendszert futtató) ügyfelekből álló környezetben helyez
kedik el. A nem megfelelő operációs rendszert használó ügyfélgépek nem fognak tudni
kapcsolódni, amíg a Microsoft honlapjáról a http://www.microsojt.com/downloadsldetails.
aspx?FamilyiD= 33AD53D8-9ABC-4E15-A 78F-EB2AABAD 74B5&displaylang=en címről
le nem töltik az erős titkosírást támogató Terminal Services-ügyfelet.
Client Compatible (ügyfél-megfelelő)
Az ügyfél és a kiszolgáló közötti kétirányú kommunikációt az ügyfél által támogatott
lehető legmagasabb szinten (a lehető legerősebb kulccsal) titkosítja. Ez a beállítás akkor
a legjobb, ha a terminálkiszolgáló vegyes ügyfélkörnyezetben működik.
Low (alacsony)
Csak az ügyféltől a kiszolgálóra irányuló kommunikációt titkosítja, 56 bites eljárássaL
Ügyeljünk arra, hogy az előbbiekben említett, csoportházirendet alkalmazó eljárás csak a helyi
biztonsági házirendek beállításai esetében fog működni. Ha viszont tartományi környezettel
rendelkezünk, és a fent említett házirendet egy létező tartományban vagy szervezeti egységen
belül kívánjuk alkalmazni, a tartományvezérlőhöz egy rendszergazdai jogokkal rendelkező fiókorr
keresztül kell kapcsolódnunk A változtatást a csoportházirend-kezelő konzolorr hajthatjuk végre.
Ezenkívül azt sem szabad elfelejtenünk, hogy a kiszolgálóról az ügyfélnek (és nem fordítva)
küldött adatok nem titkosítottak
1 O. fejezet • Terminálszolgáltatások 10-
A táwezérlés engedélyezése
Beállítható az is, hogy a rendszergazdák hogyan "árnyékolhatnak" egy adott terminálszolgáltatási
munkamenetet. A felhasználó jogosultságát korlátozhatjuk csak a munkamenetek figyelésére,
illetve lehetővé tehetjük a számára, hogy a billentyűzethez és az egérhez egyaránt teljes hozzá
férést élvezzen. Az alábbi lépéseket követve a Terminal Services Configuration segítségével
módosítsuk a beállításokat:
A Terminal Services RemoteApp arra szolgál, hogy a felhasználóval elhitesse, hogy nem szaigál
tatott alkalmazást használ. Talán az egyetlen árulkodó jel a Tálcán megjelenő leírás, amely jelzi,
hogy a terminálszolgáltatásokat használjuk, de árulkodhat az időnkénti lassú válasz is, ami
a hálózati késleltetés vagy a kiszolgáló túlterheltségének eredménye. Összességében azonban
úgy runhet, mintha az alkalmazás a helyi gépen futna.
A távolról szolgáltatott prograrnak telepítése ugyancsak egyszeru. Egyszeruen csak .rdp fájlokat
kell létrehoznunk, amelyek a rendelkezésre álló szolgáltatott alkalmazások formázott profiljaiként
viselkednek Az RDP fájlokat bánnilyen módon közzétehetjük: Csoportházirendek segítségéve!,
egy adott honlapon keresztül, e-mailben vagy egy rendszerkezelő eszközzel, és így tovább.
Terminálszolgáltatási átjáró
A Terminal Services Gateway (Terminálszolgáltatási átjáró)- amely a nagyobb vállalatok szem
pontjából igen hasznos, rnivel sok távoli felhasználónak még rnindig RDP alapú alkalmazástele
pítésre van szüksége- lehetővé teszi a felhasználóknak, hogy szolgáltatott alkalmazásokhoz
férjenek hozzá a 443-as kapun (vagy bármely más általunk választott kapun) és egy HTTPS
csatornán keresztül elérhető központi webportálon keresztül.
- Annak érdekében hogy a könyv angol változata megjelenjen a Windows Server 2008
hivatalos kiadásáig, a TS-átjáróval csak érintőlegesen foglalkoztunk. A kapcsolatenge
délyezési és erőforrás-engedélyezési házirendek létrehozásához szükséges részletes ismertetést
az O'Reilly honlapján, tJietve a könyv hivatalos honlapján olvashatjuk el.
1 O. feiezet • Terminálszolgáltatások
Parancssori segédprogramok
A fejezetben elszórva bemutatott elegáns segédprogramok, amelyeknek egy részét nem tárgyaltuk
kellő mélységben, lehetővé teszik, hogy a terminálszolgáltatások grafikus kezelőfelületén elérhető
legtöbb szolgáltatáshoz a parancssorból is hozzáférjünk Az alábbi összefoglalásban gyorsan
megtaláll1atjuk az egyes segédprogramokat és parancsokat:
change logon
Zárszó
A Windows Terminal Services a Windows Server 2008 hasznos eleme, amely a rendszergazdák
számára lehetővé teszi, hogy a kiszolgálójukat úgy felügyeljék, hogy ne kelljen közvetlenül a kon
zol előtt ülniük; a vállalatoknak pedig szintén lehetővé teszi, hogy központilag szolgáltassanak
egyes alkalmazásokat, csökkentve ezáltal a telepítési, kezelési és felügyeleti költségeket Jelen
fejezetben a terminálszolgáltatások felhasználói, illetve rendszergazdai oldalát egyaránt megvizs
gáltuk, valamint bemutattuk, hogy miként járulnak hozzá a Windows-infrastruktúra értékének
növeléséhez.
A DHCP és hálózatvédelem
Ebben a fejezetben áttekintjük a Windows Server 2008-ban általánosan használt két fő kommu
nikációs és hálózati szolgáltatást: a DHCP-t (Dynarnic Host Configuration Protocol, dinamikus
állomásbeállító protokoll), amely a rendszergazdákat az IP címek kezelésében segíti, és a háló
zati hozzáférés-védelmet (N AP, Network Access Protection), amely megvédi a hálózatot a nem
megbízható számítógépektőL
A címbérleteket egy úgynevezett címbérleti időszakra adják ki. Az időszak 50o/o-ának letelte után
az ügyfélgép bérlethosszabbítási kérelmet küld annak a DHCP-kiszolgálónak, amelyik a címet
eredetileg kiutalta a számára - hivatalosan ez a címbérlet megújítása. Ha az ügyfél a bérleti idő
szak 87,5o/o-áig nem kap választ ettől a kiszolgálótól, akkor megpróbálja megújítani a címbérletet
az alhálózaton rendelkezésre álló valamelyik másik DHCP-kiszolgáló segítségéveL Ha egyik
DHCP-kiszolgáló sem méltatja válaszra az ügyfelet, akkor az felhagy a jelenlegi IP címének
a használatával, és úgy viselkedik, mintha új gép lenne a hálózaton, a korábban leírtak szerint.
Ezt a szolgáltatást kényelmi okokból vezették be, rnivel a legtöbb kisvállalati és otthoni háló
zatüzemeltető nem szeretne DHCP-szolgáltatásokkal bajlódni, egyszerűen csak szeretné, ha
a hálózata működne. Ugyanakkor, ha egy hálózati kapcsolódási hibát kell elhárítani, akkor
az automatikus ügyfélbeállítás ( Automatic Client Configuration, ACC) nagyon megnehezítheti
a dolgunkat. Ilyenkor sokat segít, ha értjük a szolgáltatás működését:
•
Ha egy ügyfél rendelkezik érvényes DHCP-címbérlettel, de nem tud kapcsolódni
a DHCP-kiszolgálóhoz, akkor visszhangkérést (ping) küld a címbérletben megadott alap
értelmezett átjárónak, illetve útválasztónak Ha az ügyfél választ kap erre az üzenetre,
akkor az ACC úgy tekinti, hogy a gép még mindig a hálózaton van, és tovább használja
a jelenlegi címbérletét _
•
Ha az útválasztó nem válaszol, akkor az ACC eldobja az éppen beállított IP címet, és
választ egyet a 169.254.0.0-es tartományból.
•
Minden esetben, amíg az ACC aktív, addig az ügyfél rninden ötödik percben megpróbál
találni egy DHCP-kiszolgálót, hogy megújítsa a címbérletét, illetve egy újat szerezzen be
egy új IP címmel.
•
A fentieken felül megadható, hogy az ügyfél másik címet használjon abban az esetben,
ha nem tud IP címet bérelni egy DHCP-kiszolgálótól. Az alternatív cím megadása és
a beállítások megtekintése a Start menüben, a hálózati kapcsolatok között lehetséges.
11. fejezet • A DHCP és hálózatvédelem l@-
A DHCP-kiszolgáló telepítése
Most, hogy már rendelkezünk némi ismerettel a DHCP működéséről, lépjünk tovább, és telepít
sünk egy igazi DHCP-kiszolgálót! Ez meglehetősen egyszerű művelet. A Server Managerben
(Kiszolgálókezelő) válasszuk az Add Role (Szerepkör hozzáadása) pontot, majd válasszuk ki
a DHCP-kiszolgálói szerepkört. A rendszer meg fogja kérdezni a szülőtartomány nevét, amelyet
az ügyfélgépek a círnfeloldások során fognak használni, valamint a DHCP-kiszolgálók IP címeit,
amelyek segítségével a címfeloldás történik. Ugyanitt lesz lehetőségünk arra, hogy hatóköröket
adjunk meg (erre majd a következő részben térünk ki részletesebben), és hogy engedélyezzük
vagy letiltsuk a DHCPv6 állapot nélküli üzemmódját, amely egyfajta automatikus öncímzés,
amelyeket az ügyfelek használhatnak Végül, lehetőséget kapunk arra is, hogy a kiszolgálónkat
felvegyük az Active Directory-ba.
Új DHCP-hatókör létrehozása
A DHCP-hatókör létrehozása annak az IP címtartománynak a kijelölését jelenti, amelyet majd
a kérelmező gépek rendelkezésére szeretnénk bocsátani. Az IP címek ezen tartományát nevezzük
hatókörnek.
A New Scope Wizard megjelenik egyrészt a DHCP-kiszolgáló telepítésekor, másrészt amikor saját
kezú1eg indítjuk el a DHCP felügyeleti konzoláról, amely a Start menü Adrninistrative Tools
(Felügyeleti eszközök) pontján keresztül érhető el. A DHCP-kiszolgálón egy új hatókör létreho
zásához a következő lépéseket kell végrehajtanunk:
lP Address Ralge
You def01e lhe scope address range by identifying a set of coosect.iive IP
add�ses.
A subnet maok defl!leS how many bb of an IP address to use for lhe netwod<IIUbnet
lOs and how many bb to use for lhe host to. You can specily lhe lObnel maok b)•
length or as an IP addres.s
Length:
Subnet maok:
<llack
11.1. ábra
Az IP Address Range képernyő
•
Add Exdusions
Exclusions are addresses or a renge of addres.ses that are not distributed by the
server.
...
Twelhe IP addressrangelhal you wan! to exclode. l youwant to exclode a
addre typa an address in Start IP address only
Slng!e
Start IP address:
11.2. ábra
A kizárások megadására szalgá/ó
képernyő
11. feiezet • A DHCP és hálózatvédelem
NewScopeW12ard
� "�,
lease Ot.alion
The lease du"ation spedieshow long a clieri can use an IP address from this
scope.
lease duratíons should t)'IIICaly be equal \o the av..age time lhe computer IS
connected to the same physocal nelwak. Formobile networi<s.\hal consist main)f of
portable compt4m or d!ai<JP clen!s. shorter lease duratlons can be uselul
UkewiSe. for a stable network that consiots manly ol detktop compt4em at fíxed
loco!ions , longer lease duRiions ..., more "PPlffO)tiooe
Umitedto;
liouJs. Mint.tes:
�
·�- _El
11.3. ábra
A címbérlet időtartamának megadására
szalgá/ó képernyő
NewScopeWaard
:ö+;;:W.
•
R<Ue.- (Oefa<Jt Gateway)
You can specifythe rooters. or default gatewoys, to be dsúibut
i ed bythis scope.
11.4. ábra
Az útválasztó (alapértelmezett átjáró)
J
megadására szalgá/ó képernyő
-rfl Windows Server 2008
11. Ekkor a WINS Servers (WINS-kiszolgálók) képernyőre kerülünk, amely a 11.6. ábrán lát
ható. Ezen a képernyőn a hálózatunkon fellelhető WINS-kiszolgálók címeit adhatjuk
meg, pontosabban azokét, amelyeket az ebbe a hatókörbe eső ügyfélgépekró1 használni
szeretnénk. Megadhaták teljesen minősített tartománynevek - ilyenkor a névhez tartozó
IP címet a Resolve gombra kattintva kaphatjuk meg -, de közvetlenül a kiszolgáló IP cí
mét is megadhatjuk, és az Add gombra kattintva felvehetjük a listára. Használjuk az Up,
Down és Remove gombokat igény szerint. Ha elkészültünk, lépjünk tovább.
12. Végül az Activate Scope (hatókör aktiválása) képernyő jelenik meg. A hatókör aktiválásá
val a hozzá tartozó DHCP-szolgáltatás elindul. Válasszuk ki a nekünk megfelelőt, majd
kattintsunk a Next gombra.
You can speafy the p"'"" domain you want the clíent computers on your networlc to use for
DNS name res.o!utíon.
P"""'doma1n: "1-----
To configtre scope díents to use DNS sewers on)'Otlrnetworlc, enterthe IP addressesforthose
Servername� IP�s:
11.5. ábra
A tartománynév és a DNS-kiszolgálók
megadásása szalgá/ó képernyő
WINS Serv<=
Computers ruming Wndows con use WINS seiVers to convert NetBIOS computer
names to l P addresses.
Eníeting serve< IP addre,.es here enables Windows clients to quOJY WINS belore they use
broadcasis to register and reselve NetBIOS names.
Setvername· lPaddress.
l'"""i"'------::'0
To change this beh.-for Windows DHCP clentslllOdty op!ion 04&. WINSiN BT Node
Type. in Scope Oplíons.
11.6. ábra
A WINS-kiszo!gá/ók megadására szalgá/ó
képernyő
11. feiezet • A DHCP és hálózatvédelem
.- 1+ 1 !!5íml@1�J. R -
DHCP Address Pool
8 lll win-Q4zq7z3070w.wi1do
8 �1Pv4 Address End IP Address Description
.rn w.o.o. 10 Address range for distrit.
8 (:8 Scupe [10.0.0.0] Busá1e 10.0.0.225
� 10.0.0. 100 10.0.0.109 IP Addresses exduded f
�t-USM:t®'
ll:) Address leases
lll � Reservations
� Scope Options
[ill Server Options
lll lit !Pv6
11.7. ábra
A DHCP-felügyeleti
konzol
Egy adott hatókör jellemzőit ezután a DHCP-konzolon találjuk meg (lásd a 11.7. ábrát). Minden
hatókör alatt láthatjuk a címtartományt, új kizárásokat adhatunk meg, megnézhetjük az éppen
érvényben levő IP címeket, foglalásokat adhatunk meg (erről késóob), és újra beállíthatjuk
a hatókör jellemzőit. Az éppen érvényes címbérletek kiíratásához egyszerűen válasszuk ki
az Address Leases (címbérletek) elemet a minket érdeklő hatókör alatt.
DHCP-k.iszolgál6 engedélyezése
Jóllehet bármely Windows Server 2008-at futtató számítógépre telepíthetünk DHCP-kiszolgálót,
az először telepített kiszolgálónak fel kell vennie magát az Active Directory címtárba, és egy olyan
gépen kell futnia, amely tagja egy Windows-tartománynak. Az engedélyezett DHCP-kiszolgálók
látszanak a címtárban, és a tartományban müködő minden DHCP-kiszolgáló ellenőrzi ezt a címtá
rat, hogy jogosult-e az adott tartományban a szolgáltatásra. Ha nem találja meg magát a címtárban,
akkor nem válaszol a DHCP-kérelmekre. Az önálló gépeken futó, tartományba nem tartozó
DHCP-kiszolgálók ugyan engedélyezés nélkül is válaszolhatnak a DHCP-kérelmekre, ez azonban
biztonsági kockázatot jelent, mivel egy álkiszolgáló közbelépve más címekre irányíthatja az ügyfe
leket.
Name IF ?ddress
WIN-04ZQ7Z3070'N."mdowsser... 192. Hi8.16.22
11.8. ábra
Az engedélyezett kiszolgálók kezelésére szalgá/ó
képernyő
Foglalások
A foglalások segíthetnek abban, hogy a DHCP-n keresztül statikus IP címeket osszunk ki. Bár
a foglalást használó ügyfélgépek ugyanúgy dinamikus címkiosztás használatára lesznek beállít
va, a DHCP-kiszolgáló adatbázisa egy-egy foglalást jegyez be ezeknek az ügyfélgépeknek a szá
mára - amelyeket a DHCP-kiszolgáló a kérelmező gépek hálózati kártyájának MAC címe alapján
azonosít-, így elérhető, hogy az adott kérelmező gép mindig ugyanazt a hozzárendelt IP címet
kapja meg.
ResONolion name:
IP addreso:
Descriptíon:
�ed��------�--�
r. Both
BOOTPonly
11.9. ábra
DHCP-fog/a/ás létrehozása
Az osztályok lényege
Az osztályok az egyes rendszereket és felhasználókat különböztetik meg abból a célból, hogy kü
lönböző beállításokat rendelhessünk hozzájuk vagy engedélyezzünk a számukra. Kétfajta osztály
létezik a DHCP-ben: a gyártói osztályok, amelyeket a gyártók adnak meg, és amelyeket emiatt
nem lehet módosítani, valamint a felhasználói osztályok, amelyeket az ügyfélgépek szintjén,
az ügyfeleken állítanak be, és amelyeket a rendszergazdák használhatnak, illetve módosíthatnak.
A gyártói osztályok alapján DHCP-beállításokat küldhetünk szét azoknak az ügyfélgépeknek,
amelyek egy adott osztályba tartoznak- ilyen például, amikor útválasztók vagy DNS-kiszolgálók
egy bizonyos osztályát szeretnénk beállítani. A Windows Server 2008 gyártói osztályaival megte
hetjük, hogy bizonyos megadott rendszerek számára olyan beállításokat ajánlunk fel, mint
a NetBIOS használatának letiltása, a címbérlet visszaadása kikapcsolás előtt, vagy az útválasztás
hoz szükséges adatok gyors és hatékony beállítása az átjárókon.
A gyártók saját maguk határozzák meg a gyártói osztályaikat, ezért annak megállapítá
Figyelem!
sához, hogy az egyes hálózati csatolóink me/y osztályokra reagálnak, minden esetben
a gyártó leírásához kell fordulnunk. A gyártói osztályok nem csak a hálózati kártya gyártóját jelenthetik,
de az azt tartalmazó számítógépét is - mindig azt, amelyik a mi hálózatunk szempontjából érdekes.
A Windows 98, illetve későbbi Windows rendszereken futó DHCP-ügyfe!eket a Microsoft az MSFT
előtaggal osztályozza.
Display name:
Binar;<:
11.10. ábra
A New Class ablak
A:z új osztály ezennel létrejött Most adjuk meg azokat a DHCP-beállításokat, amelyeket csak
ennek az osztálynak szeretnénk elküldeni:
Fóhatókörök
Ajőhatókörtöbb hatókört foglal magába, amelyek az azonos fizikai hálózati közegen, de eltérő
alhálózaton működő ügyfelektől érkező kérelmeket szalgálják ki. A DHCP-kiszolgálón egy több
hatókört felölelő főhatókör beállításával egyszerre biztosíthatunk DHCP-szolgáltatást több
alhálózatnak Ha több alhálózaton működő gépek számára szeretnénk címbérleteket kiosztani
egyetlen DHCP-kiszolgálóval, akkor használjunk főhatóköröket.
11. fejezet • A DHCP és hálózatvédelem lrf.
Egy főhatókör beállításához a következő lépéseket kell végrehajtanunk:
Üközések észlelése
Annak érdekében, hogy megbizonyosadhasson afelől, hogy ugyanazt az IP címet nem adja bérbe
több ügyfélnek, a Windows Server 2008 DHCP-kiszolgálója képes az ütközések észlelésére, és
egy úgynevezett visszhangkérő teszt (ping) segítségével ellenőrzi, hogy a kiosztásra szánt IP cím
nincs-e már használatban az adott alhálózaton.
The fullowing lhree set!ln9S are applied to ali comectioo• ";ih "fCPjlP
enabfed. For respiUlion ofunquaUJied names;
11.11. ábra
A kapcsolat címének bejegyzése a DNS-be
You car> setup the DHCf' serverio automaticaDy updatie autho<tative DNS
servers "'[h ihe host (A$ and pointer lf'TR}reco!ds cl 01-!Cf' deots.
11.12. ábra
A DNS DHCP alapú frissítéseinek beállítása
Hálózatvédelem
Az asztali gépeken futó szaftveres védelem igen gyakran sikerrel állítja meg a vírusokat és
egyéb rosszindulatú programokat. A vírusirtó, kémprogram-elhárító és egyéb biztonsági progra
rnak piaca rövid idő alatt jövedelmező iparággá nőtte ki magát. Bár ezek a védelmi eszközök
nagyon hatékonyak, a legjobb megoldás mégis az marad, ha sosem engedjük meg, hogy ezek
a veszélyek megjelenjenek a hálózatunkon - ahogy a régi mondás is tartja: az okos emberek
megoldják a problémákat, a zsenik pedig megelőzik azokat.
A Windows Server 2008-ba beépítettek egy technológiát, amely lehetővé teszi, hogy a számító
gépek még a hálózatra való csatlakozás előtt alapvető ellenőrzésen essenek át, amelyet a rend
szergazda határozhat meg. Amennyiben a gép nem felel meg az elvárásoknak, úgy meg lehet tó1e
tagadni a hálózathoz való hozzáférést, vagyis karanténba lehet helyezni a gépet, elzárva az egész
séges számítógépekről, egészen addig, amíg a gép felhasználója nem pótolja a hiányosságokat.
A szolgáltatás neve hálózatvédelem (Network Access Protection, NAP).
Rendszerállapot-érvényesítés
Ez az a folyamat, amikor a csatlakozást megkísérlő gépet átvizsgálják, és számos, a rend
szergazda által megadott egészségi követelmény alapján ellenőrzik. Ilyen követelmény
lehet például a megfelelő biztonsági frissítések, javítócsomagok megléte, a vírusirtó
prograrnak jelenléte és aktív állapota, és így tovább.
Állapotmegfelelés
Az állapotházirendek beállításával gondoskodhatunk róla, hogy a rendszerfelügyeleti
kiszolgálón (Systems Management Server) vagy más felügyeleti szoftveren keresztül sor
kerüljön azoknak a felügyelt gépeknek az automatikus frissítésére vagy javítására, amelyek
nem felelnek meg az állapotházirendnek Ez nem kötelező, de nagyon hasznos része
az NAP-nak. Beállíthaták olyan eljárások, amelyekkel biztosítható, hogy a hálózaton mű
ködő számítógépek mindegyike betartsa az állapotházirendeket, és ugyanakkor mindvégig
egészséges is legyen, amíg a mi hálózatunkban működik.
-11·1 Windows Server 2008
Korlátozott hozzáférés
A hozzáférés korlátozása az NAP kikényszerítő eljárása. Az NAP működtethető csak figye
lő módban, amikor is csak naplózza a hálózathoz csatlakozó számítógépek állapotát, aktív
módban futtatva azonban azokat a számítógépeket, amelyek nem felelnek meg a háziren
dünknek, a hálózat egy korlátozott részére helyezzük át, amely általában letiltja szinte
az összes hálózati kapcsolatot, és a forgalmat néhány különlegesen megerősített kiszol
gálóra korlátozza, amelyek tartalmaznak minden olyan eszközt, amely a kérdéses gép
megfelelő formába hozásához szükséges.
------------
1
Gyógyító
'
1 1
Rendszerállapot- �
1 kiszolgálók 1 1 kiszolgálók 1
l l l l
l l l l
l l l l
..... ___________ / ..... ___________ /
Frissítések Állapotházirendek
11.13. ábra
Egy alapszintű NAP-rendszer felépítése
11. feiezet • A DHCP és hálózatvédelem
Kényszerítő eljárások
Az NAP számos módon korlátozhatja az ügyfélgépek hálózati hozzáférését. A Windows Server
2008 pillanatnyilag az alábbiakban felsorolt öt módot támogatja:
A hálózatvédelem beállítása
Minden NAP-beállítás középpontjában a hálózati házirend-kiszolgáló áll. Kezdjük a beállításokat
a 802.1x alapú kényszerítésset Először is győződjünk meg arról, hogy a hálózati házirend-ki
szolgálói szerepkör (Network Policy and Access Services, hálózati házirend- és hozzáférési
szolgáltatások) telepítve van a gépünkön:
Polides
C Connection ReQ•JestPoli<Id
Cj Network Policies
i:j He:alth Polides
8 � Network Access Protection
� System Health Validators
ifi Remediatien Server Select a configl..ration scenatlo from the bst and then dick the Inc. below to open the scenario wizard.
A=<Xlting
__________________ 3
Networlc Access Protection (NAP)
..
'Mlen you corligure NPS as a N...a.P policy setVer. you create health poicies that alow NPS to validate the
corf!QlntiOO á NAP-capable cient compulet> belore they connect to your net'O!k. Clents tha! are not comptiart
v.:ith heath poicy can be piaced on a restricted netv.'Ork and al.i:omaticaltyupdated to bmg them i'lto comp&ance.
a Leammore
11.14. ábra
A hálózati
házirend
kiszolgáló
képernyője
Vendor name:
l l
Confnm shared secre!:
"
L -
.e� JI
Addruonal Optjons
r A:cess-Request messege9ll>JSI contaln the Message·Autherkator-
OK 11.15. ábra
Az új RAD/US-ügyfél megadására szalgá/ó ablak
��---�
OK
11.16. ábra
Az új állapotházirend létrehozására szalgá/ó ablak
Policy.--:
L
pNetwOikcomectionmethad r� �-- ,_ = �
l Select the type ol nelwori< occess seiVerthat '""'ds the cl)l1(l<!C!íon request !o NPS� You con select eiher !he netwOik � se.ver
type or Vend« spedlic.
�·.·Type of network access. server
�
Vend« spedllc:
.----".::::í'!
J'o....,. ., Eit
11.17. ábra
Az új hálózati házirend
létrehozására szalgá/ó
ablak
6. Ekkor a Create New Health Policy (állapotházirend létrehozása) ablak jelenik meg
(lásd a 11.16. ábrát). Itt adhatjuk meg, hogy rnilyen alapszintű ellenőrzéseket szeretnénk.
A követelményeknek eleget tevő gépekhez a Client passes all SHV checks (az ügyfél
az összes SHV-ellenőrzésen átment) lehetőséget választva és a Windows Security Health
Validator (Windows állapot-érvényesítő) négyzetet bejelölve rendelhetünk házirendet,
míg a nem megfelelő gépekhez bármely másik beállítást megadva a Client SHV Checks
(ügyfél SHV-ellenőrzések) listábóL
7. Bontsuk ki a Policies csomópontot a bal oldalon, kattintsunk az egér jobb gombjával
a Network Policies elemre, majd válasszuk a New menüpontot.
8. Ekkor a New Network Policy (új hálózati házirend) képernyőt láthatjuk, amelyet
a 11.17. ábra mutat. Adjunk nevet a házirendnek, válasszunk egy "ismeretlen" típusú
hálózati hozzáférés-kiszolgálót, majd lépjünk tovább.
•=111 Windows Server 2008
9. Ekkor a Specify Conditions (feltételek megadása) képernyőre jutunk. Nyomjuk meg
az Add gombot a Select condition (feltétel kiválasztása) ablak megnyitásához (lásd
a 11.18. ábrán). Itt feltételként a 6. pontban megadott állapotházirendek szerepelnek, ami
azt jelenti, hogy amennyiben az egészségi feltételek valamelyike teljesül, úgy életbe lép
nek az ebben a hálózati házirendben megadott szabályok. A feltételeket betartó vagy
egészséges gépek, illetve a beteg vagy a feltételeket nem teljesítő gépek számára külön
külön házirendet adhatunk meg. Ha készen vagyunk, lépjünk tovább.
1 O. Ekkor a Specify Access Perrnission (hozzáférési engedélyek megadása) képernyőre kerü
lünk. Itt adhatjuk meg, hogy az előző lépésben megadott feltételek teljesülése esetén rnit
szeretnénk engedélyezni, illetve letiltani. Ha megadtuk a beállításokat, lépjünk tovább.
Select condition
"' :t�
Windows <inqJs
The Windows Groups conditioo specifies that tha connecting user or COOlpUter must belong to one of the selected
Machine<in:qJs
The Machine Groups conditioo specifies that tha connecting COOlpUter JroSt beleng to one of the selected qroups.
Us�GrcqJS
The User Groups condition specifies that the connecting user must beloog to one of the selected groups.
Localion Groups
The HCAP Location Groups condition specifies the Host Credential Authorization Protocol (HCAP) localion groups
required to match this policy. The HCAP protocol js used for communication between NPS and "Some third party
network access servers {NASs). See your NASdocumentation before using this condition.
11.18. ábra
A feltétel kiválasztására
szalgá/ó ablak
EAl' types are negollated -- NPS and tha clíent in the «der in "tlich they are isted.
EAP Types:
11. Ekkor a Configure Authentication Methods (hitelesítési eljárások beállítása) képernyő je
lenik meg (lásd a 11.19. ábrát). A 802. lx alapú NAP-kényszerítéshez fel kell venni a Mic
rosoft védett EAP (Microsoft: Protected EAP) módot az EAP-típusok listájába. Ehhez kat
tintsunk az Add gombra, és válasszuk ki a megfelelő elemet a listábóL Ugyanitt további,
kevésbé biztonságos módokat is megadhatunk. A folytatáshoz lépjünk tovább.
12. Ekkor megjelenik a Configure Constraints (megszorítások megadása) képernyő, amelyet
a 11.20. ábrán láthatunk. Itt a hálózati házirendhez tartozó további feltételeket adhatunk
meg. Ha ezek nem teljesülnek, akkor az NPS megtagadja a hozzáférést a kérelmező gép
től. Beállítható a maximális üresjárati idő is, a maximális kapcsolati idő, a MAC cím (a
RADIUS-ban állomáscímnek hívják), egy nap- és idóoeli korlát, valarnint a készülék típu
sa. A folytatáshoz lépjünk tovább.
13. Ekkor a Configure Settings képernyőre kerülünk. Itt a házirend egyéb jellemzőit adhatjuk
meg. Minket leginkább az NAP-kényszerítés érdekel, úgyhogy váltsuk át az NAP
Enforcement elemre a bal oldali listában (lásd a 11.21. ábrát). Itt választhatjuk ki, hogy
az NAP melyik "szakaszát" szeretnénk megvalósítani az adott házirenddel - teljes hozzá
férés, késleltetett kizárás, azonnali kizárás. Figyeljünk arra, hogy ez a beállítás csak az ép
pen létrehozott házirendre fog vonatkozni. V álasszuk a teljes hozzáférést a házirendet
betartó és a másik kettő közül valamelyiket a beteg gépekre vonatkozóan. A beteg gé
pekre vonatkozó házirend számára itt engedélyezhetjük az automatikus gyógyítást is.
Ez után kattintsuk a Next, majd a varázsló következő oldalán a Finish gombra.
14. Most, hogy beállítottuk a hálózati és az állapotházirendünket, be kell állítanunk azokat
az ellenőrzéseket, amelyeket a Windows SHV-nek végre kell hajtania. Bontsuk ki
a Network Access Protection csomópontot, válasszuk a System Health Validatars (állapot
érvényesítők) pontot, majd kattintsunk duplán a Windows Security Health Validator
(Windows rendszerállapot-érvényesítő) pontra a jobb oldalon.
policy.
Confill!JI" the conátl!inta forll1s netwak
f .a...-s�we notmateiJed by the C<imection request. netwak ecceoo isdenied.
Specify the maximum time in minutes that the server can remain idle belore the connection
is díscomecte d
11.20. ábra
A megszorítások
megadására szalgá/ó
Ne>! nr
�
ablak
Windows Server 2008
Configure Settings
NPSapplies :settings to the connection requestif ali of the networkpo!icyconditions and constraints forthepolicy
are matched.
RADIUS�- Spedfy 'tl.ilether you want to erlforce Network Access Protection for this pohcy.
��Standard
!ZJ Vende< Specific € .:AJ!ow full netwofk access
.A1Io'l\'� unrestrtcted networl< access for dients when the connection request matdles
Networkkcess the policy. Use this option for reporling mode.
Protectioo
�] NAP Enforcement 0 �ow fufl neh-.otk access for a limned tíme
AJkv.vs unrestricted nehvori< access until the specified date and time. Afterthe speclied
M!J Extended State
date and time. heatth policy is enforced and non-compliant computers can access only
Routing and Rende the restricted net'.vork.
Aixess
e Multilink and D-9te: Time:
Ban&Nidth Alloc."líoo
Protoccl (BAP) C Allow Umited access
Non..:ompliant clients are aHowed access only to a restricted network for updates.
A IPFilters · · ··-·· ········· ·· ··· ···· ·· -·
Remedialion ServerGroup and Troobleshooting URl· · -
ilfl Encryptioo 1 To configure a Remediatien ServerGroup, a Troubleshooting URL, or both, clir.:k 11.21. ábra
� '"""
'"""'"""' ""
"""'
"�
�.. [:j _LC_o:ovlg�ure;-=""'"'=�,���-==-=-c=-==""!E!!!!''!!F-Jii' Kényszerítések
megadása a hálózati
házirend-beállítások
ablakában
11.22. ábra
Bydefá\Al;'ó""'ts can recelveseamtyu;xlatesfr�mMicrosoftUpdale. Ifaddilioria! �C<SarereQ!Wed lor.:\""" �_.,t, se!ectooeo< A Windows
bothofthe�sourc<s.
Security Health
Validator ablak
Windows Vista
lapja
11. fejezet • A DHCP és hálózatvédelem l@-
Use the settiogs below tn deflne a Wír1clo>vs SeOJrity Healtl1 Volid.otnr policy. Your selections deflne the reqUJrements for c!Jent computer> comec.ting
-ro your network.
�
�
Firewal -
r;;;tA firewal os er1abled for al networlc connecbOns
-� r..·-- v<
-
� ..". "�."{,-,.--�
--- --
-- -
--
--
--'""
P' AntivirusiSuptndeto
*"
r'· Restrlcta<o!Ss for clte<lts !hot do not have al ••aiable sea.Jrlty Ujldetes ínstated
Spoófy the """"""" - ofhoors a1loo.;<d siru:e the dient nos <hed<ed f<>r now socunty ..,;xlates:
f"ii"'i'tl
B'; default. dients can rece.� secunty ..,;xlates from MicrosoftUpdate. If addí!ional sourcesare requred f<>r your deployment, selectone
11.23. ábra
oc both of the fi>loWI'lS!:so<rces.
A Windows
P' WJnówsU!l<fa!:e Security Health
Validator ablak
WindowsXP
OK
lapja
15. Ekkor megjelenik a Windows Security Health Validator Properties képernyő. Az Error Code
Resolution (hibakódfeloldás) részben választhatjuk ki, hogy az SHV hogyan reagáljon, ha
bizonyos feltételek teljesülnek, beleértve az időtúllépést, a kapcsolódási problémákat és
a hibakódokat Felül a Configure gombbal juthatunk az ellenőrzések beállításához- kattint-
·
sunk is rá.
16. Ekkor a Windows Security Health Validator képernyőt láthatjuk (11.22. ábra), amelynek két
lapja van; egy a Windows Vistához, egy pedig a Windows XP-hez (11.23. ábra). Itt adhatjuk
meg a kívánt tűzfal-, vírusvédelmi és kémprogram-elhárítási beállításokat (ez utóbbit csak
a Windows Vistához), az automatikus frissítést, a javítócsomagokat és így tovább. Állítsuk
be a kívánt követelményeket, majd nyomjuk meg az OK gombot a befejezéshez.
Idáig eljutva mindent beállítottunk, amit a kiszolgálóoldalon beállítani szükséges volt. Jegyezzük
meg, hogy mindig két hálózati házirendet kell megadni - egyet az egészséges és egyet a beteg gé
pek számára, csakúgy, mint ahogyan két állapotházirendet is- szintén egyet az egészségeseknek,
és egyet a betegeknek. Ha rendelkezünk ezzel a négy házirenddel, és beállítottuk a Windows
biztonsági állapotellenőrzőjét a megfelelő követelményekkel, már csak az marad hátra, hogy
az ügyfélgépekre telepítsük a megfelelő beállításokat. Ezt a legegyszerúoben egy csoportházi
renden keresztül tehetjük meg. A megfelelő beállításokat a Computer Configuration, Windows
Settings, Security Settings, Network Access Protection ágban találjuk A lehetséges beállítások
a következők:
•
TS Gateway Quarantine Errforcement Client (terrninálszolgáltatási átjáró karantén
kényszerítési ügyfél)
•
EAP Quarantine Errforcement Client (EAP karantén-kényszerítési ügyfél)
Előnyök és hátrányok
Az NAP igazán nagyszerű szolgáltatása a Windows Server 2008-nak, amelynek a használata szám
talan előnnyel jár. Nagyon hatékony védelmet ad a rosszindulatú prograrnak ellen még azelőtt,
hogy beszivároghatnának a rendszerünkbe. A kiszolgáló ára tartalmazza ezt a szolgáltatást, és
a felhasználóknak új lehetőséget ad arra, hogy megerősítsük őket abban, hogy komolyan vegyék
a biztonságot. Egy beteg géppel nem fogják tudni befejezni a munkájukat, így a rendszer egészsé
ge egységesen elsóbbséget élvez nem csak az IT-szakemberek, de a felhasználók körében is.
Talán mondani sem kell, hogy az NAP alkalmazása nem ad első osztályú jegyet a biztonság
nirvánája felé. A használata valójában számos hátránnyal is jár. Az egyik az, hogy vannak olyan
esetek, amelyek veszélyeztetik az NAP hatékonyságát. Az egyik ilyen például az, amikor a DHCP
alapú kényszerírést egy rutinosabb felhasználó azáltal cselezi ki, hogy saját kezűleg megadja
a címbérletbó1 hiányzó beállításokat (alapértelmezett átjáró, DNS kiszolgáló, és így tovább).
A másik probléma, hogy a hálózatra csatlakozó eszközök biztonságos észlelése és hitelesítése
nehézségekbe ütközhet, különösen azoké, amelyek üzenetszórással működnek. Végül, a legjobb
telepítési mód, a 802. lx, megfelelő hardvert igényel, ami nem csak drága mulatság, de komoly
tesztelést is igényel, rnielőtt élesben használhatóvá válik.
Akkor hát bízhatunk az NAP-ben? A válasz határozottan igen- amennyiben megfelelően telepít
jük, és egy több rétegű védelem részeként működik. Természetesen további védelmi eszközök
használata is szükséges, az NAP ugyanis nem mindenható megoldás a biztonsági problémákra-
de mindenképpen fontos szerepet játszhat (és kell is játszania) a megfelelő biztonság kialakítá
sában.
Zárszó
Ebben a fejezetben áttekintettük a hálózati rendszereket és eljárásokat. A DNS és a DHCP
együttes használata automatikus és önmagát karbantartó megoldást ad az IP címek kiosztására.
Az NAP nagyszerű eszköz a hálózat sértetlenségének, valamint a távoli gépek megfelelő egész
ségi szintjének elérésére és fenntartására, amely kizárja a kártékony programokat, még mielőtt
meg tudnák fertőzni a hálózatot
A fürtök célja, hogy hibatűrést biztosítsanak rendszerek egy csoportjának, hogy az általuk nyúj
tott szolgáltatások mindig elérhetők legyenek, vagy legalábbis a lehető legrövidebb ideig tartson
a kiesés. A fürtök ezen kívül a rendszerhalmazt egyetlen felületként tárják a külvilág felé, ami
azt jelenti, hogy a végfelhasználó és mindenki más, aki a fürt tagjainak erőforrásait használja,
nincs tudatában, hogy a fürt egynél több számítógépből áll - ő csupán egyetlen egységet lát
a hálózaton, miközben a számítógépek közötti terheléselosztás piszkos munkáját a fürtkezelő
szaftver végzi a színfalak mögött.
A Microsoft a Windows Server 2008-ban két, jól elkülöníthető típusú fürtözési szolgáltatást kínál:
Milyen esetekben vehetjük hasznát az egyes fürttípusoknak? Az NLB használata igen költséges
módja annak, hogy magas TCP/IP-rendelkezésre állást érjünk el a webszolgáltatásokat vagy más
internetes és belső hálózati alkalmazásokat nyújtó kiszolgálókon. Az NLB lényegében terheléski
egyenlítőként működik, amely egyenlően osztja el a terhelést a számítógépeken, amelyek mind
egyike saját, független, elszigetelt példányt futtat az liS szoftverből. Az NLB csak az ellen nyújt
védelmet, ha az egyik kiszolgáló kiesik a hálózatból; vagyis ha az egyik gép liS-példánya nem fut,
Windows Server 2008
a munkáját az NLB fürt más kiszolgálói között osztja el. A munkamenetekkel dolgozó dinamikus
weboldalak nem nyernek túl sokat ezzel a fajta fürtözéssel, mivel a fürt tagjai önálló, egymással
kapcsolatban nem álló IlS-változatokat futtatnak, és így nem képesek folytatni más gépek munka
meneteit.
Ugyanakkor a webes tartalmak jelentős része statikus, és vannak olyan dinamikus webhely
megvalósítások is, amelyek nem használnak munkameneteket, ezért az NLB-nek van esélye
arra, hogy növelje egy üzemi webhely megbízhatóságát. Az NLB ezen kívül az olyan IP alapú
alkalmazások számára jelent előnyt, mint az FfP vagy a VPN.
• Az NLB takarékos módja annak, hogy egy TCP/IP-függő alkalmazást némileg hibatűrővé
tegyünk, mert nem igényli egy hibatűrő összetevőkből álló valódi kiszolgálófürt fenntar
tásának költségeit. Az NLB fürtök létrehozásához nem szükséges különleges hardver, sőt
a hardvereszközöket tekintve igen olcsó, mivel csak két hálózati csatoló kell, hogy
enyhítsük az egyetlen meghibásadási pontból eredő problémákat.
12. fejezet • Bevezetés a fürtözés i eljárásokba
• A2 NLB a "semmi sem megosztott" megközelítésnek köszönhetően - ami alatt azt értjük,
hogy mindegyik kiszolgáló a saját erőforrásaira támaszkodik, és nem osztja meg azokat
a fürt többi tagjával felügyeleti célokból - könnyen kezelhető és a megvalósítása kevésbé
költséges, bár a kiszolgálók közötti adatátvitelben a tagok közötti információtovábbítás
miatt mindig jelentkezik némi késleltetés. (Mindazonáltal ennek a megközelítésnek
vannak hátrányai is: az NLB az ügyfeleket csak tartalék kiszolgálókhoz vagy a fürttől
függetlenül többszörözött adatokhoz tudja irányítani.)
•
A2 NLB a hálózati réteg szintjén hibatűrést nyújt, mivel gondoskodik róla, hogy a hálózati
kapcsolatok ne olyan kiszolgálóra irányuljanak, amely éppen nem üzemel.
•
A webes vagy FTP-erőforrások esetében a teljesítmény nő, mert a terhelés automatikusan
eloszlik az NLB fürt összes tagja között.
Az NLB látszólag egyszerűen működik: a fürt minden tagja saját IP címmel rendelkezik, mint
manapság minden hálózatba kötött számitógép, de emellett egy fürtcímen is osztoznak, ami
minden tagnak lehetővé teszi, hogy válaszoljon az erre az IP címre érkező kérelmekre. A2 NLB
gondoskodik az IP-címütközések elhárításáról, és a megosztott IP címhez csatlakozó ügyfeleket
automatikusan a fürt egyik tagjához irányítja.
Az NLB fürtöknek legfeljebb 32 tagja lehet, ami azt jelenti, hogy a terheléselosztási és megosztá
si szolgáltatásokat 32-nél több számítógép nem veheti igénybe. Azok az alkalmazások, amelyek
nagyobb terhelést rónak a hálózatra annál, amit egyetlen 32 tagú fürt kezelni képes, több fürtre
támaszkodhatnak, és valarnilyen DNS-terheléselosztó módszerrel vagy eszközzel oszthatják el
a kérelmeket az egyes fürtök között.
Ha azon gondolkodunk, hogy egy alkalmazáshoz NLB fürtöt hozunk létre, a következő kérdése
ket kell feltennünk magunknak: "Milyen hatással lenne egy számítógép leállása az alkalmazásra
"
és a fürt többi tagjára? , "Ha nagy forgalmú e-kereskedelmi webhelyet üzemeltetünk, és a fürt
egyik tagja kiesik, a fürt többi tagja megfelelően fel van szerelve a megnövekedett forgalom
kezeléséhez?". Sok fürtmegvalósítás megfeledkezik erről a fontos kérdésről, és csak késóob
szembesül a következménnyel - a hiba továbbgyűrűzésével, amit a folyamatosan növekvő terhe
lés miatt kieső kiszolgálók okozta még nagyobb terhelés miatt leálló számítógépek jelentenek.
Ez a forgatókönyv nagyon gyakori, és tökéletesen ellentétes a fürt céljával. A problémát úgy
kerülhetjük el, ha gondoskodunk róla, hogy a fürt minden tagja kellő hardverrel rendelkezzen
a nagyobb forgalom kezeléséhez is, ha szükséges.
Meg kell vizsgálnunk az alkalmazást is, amelynek a fürtözését tervezzük. Milyen fajta erőforrá
sokat használ kiterjedten? A különböző típusú alkalmazások a fürtben részt vevő rendszerek
más-más összetevőire raknak terhet. A legtöbb üzleti alkalmazáshoz tartozik valamilyen teljesít
ménymérő segédprogram: végezzünk méréseket tesztkörnyezetben, és határozzuk meg, hogy
hol lehetnek szűk keresztmetszetek.
NLB-illesztőprogram
Ez az illesztőprogram ott csücsül a fürt minden tagjának a memóriájában, és az a feladata,
hogy kiválassza, hogy a fürt melyik csomópontja fogadjon és dolgozzon fel egy adott
csomagot. A kapuszabályokat és az ügyfelek fogadóképességét (mindkettőt lásd alább)
megvizsgálva az illesztőprogram eldönti, hogy a csomagot felküldi-e a TCP/IP-veremben
az alkalmazáshoz az adott számítógépen, vagy továbbadja azt, mivel a fürt egy másik
kiszolgálója fogja kezelni.
Egycímes mód
Egycímes módban az NLB-állomások a csomagokat egyetlen címzettnek küldik.
Többcímes mód
Többcímes módban az NLB-állomások a csomagokat egyszerre több címzettnek küldik.
Kapuszabályok
A kapuszabályok határozzák meg azokat az alkalmazásokat, amelyeken az NLB úgymond
"
"varázslatot hajt végre . Bizonyos alkalmazások adott kapukon várják a nekik küldött
csomagokat; a webkiszolgálók például általában a 80-as TCP-kapura irányított csomagokat
figyelik. A kapuszabályokkal utasíthatjuk az NLB-t a kérelmek megválaszolására és a ter
helés elosztására.
Fogadóképesség
A fogadóképesség ("affinitás " ) egy olyan beállítás, amely azt szabályozza, hogy azokat
az adatokat, amelyek a fürt egy adott tagjáról származnak, vissza kell-e küldeni az adott
fürtcsomópontnak Lényegében tehát azt határozza meg, hogy melyik fürtcsomópont
milyen típusú adatokat fogad.
•
Kiszolgálónként egyetlen hálózati kártyával, egycímes módban
• Kiszolgálónként több hálózati kártyával, egycímes módban
•
Kiszolgálónként egyetlen hálózati kártyával, többcímes módban
• Kiszolgálónként több hálózati kártyával, többcímes módban
A fürt tagjai között az egycímes (unicast) és többcímes (multicast) módok nem keverhetők.
Minden tagnak vagy egycímes, vagy többcímes módban kell futnia, bár az egyes tagok
különböző számú hálózati kártyát tartalmazhatnak
A másik hátrány, hogy a fürt állomásai nem kommunikálhatnak egymással az olyan szokásos
módszerekkel, mint a visszhangkérés (ping), mivel ezeknek a használata nem lehetséges, ha
egyetlen csatalót használunk egycímes módban. Ennek oka a MAC címekben és a címfeloldási
protokollban (ARP, Address Resolution Protocol) keresendő. Ezenkívül ebben a módban
a NetBIOS sem támogatott. Az ehhez a működési módhoz tartozó felépítést a 12.1. ábra mutatja.
12.1. ábra
@········· ®· Kiszolgálónként egyetlen kártya
Az állomások nem kommunikálhatnak egymással,
csak külső hálózatokkal egycímes módban
!"""'·�·:.-���-�-�-���-t ��ló
---------------
...i UniCasi
12.2. ábra
A normál állomásközi kommunikáció engedélyezett Kiszolgálónként több kártya
A NetBios az első NIC-n támogatott egycímes módban
-fil Windows Server 2008
----
r··· - � � �-�-�-�-�-�-�-�-�-�-�-� --------------.
Kapcsoló ----- · -·--·
:
·
:
· ····-· ··
l
: l
NetBioS
: NetBioS B :
Net ioS
'' ::
''
''
NICl --· .
_ ���1Cast
NIC2
1. kimllgáló 3. kimllgáló
: ..
__ �
---··············--······-------- --------'······ .. ··-- -- � ............ !
Az állomásközi kommunikáció
akkor is engedélyezett, ha
egyes állomások csak egyetlen
hálózati csatolóval rendelkeznek. 12.4. ábra
A NetBios támogatott 4. kimllgáló Kiszolgálónként több kártya
többcímes módban
Kapuszabályok
Az NLB fürtökben lehetőségünk van kapuszabályokat beállítani, amelyekkel egyszerűen utasít
hatjuk a Windows Server 2008-at az egyes TCP/IP-kapuk hálózati forgalmának kezelésére.
Az NLB-ben három módban végezhetjük ezt a fajta szűrést: az első a kikapcsolt állapot, arnikor is
az egy adott kapuhoz vagy kapukhoz társított teljes hálózati forgaimat letiltjuk; a második
az egyállomásos mód, amelyben az adott kapu vagy kapuk hálózati forgalmát a fürt egy kijelölt
12. fejezet • Bevezetés a fürtözési
•
Azt a virtuális IP címet, amelyre a szabályt alkalmazni szeretnénk
•
Azt a kaputartományt, amelyre az adott szabályt alkalmazni szeretnénk
• Azokat a protokollokat, amelyekre az adott szabályt alkalmazni szeretnénk - ez lehet
a TCP, az UDP, vagy rnindkettő
•
A szűrési módot (lásd a három mód tárgyalását feljebb), amely meghatározza, hogy a fürt
hogyan kezeli a kaputartomány és a protokollok által leírt forgalmat
Ezenkívül az ügyfél-fogadóképességre (vagyis, egyszerűen szólva, arra, hogy a fürt rnilyen típusú
ügyfelektől fogad el kérelmeket) is háromféle beállítást adhatunk meg: az első a None (nincs),
amely azt jelzi, hogy az adatok a fürt bármelyik állomásához kerülhetnek; a második és a harma
dik pedig a Single (egyetlen) és a Class C (C-osztályú). A Single és a Class C beállítást egyaránt
arra használhatjuk, hogy biztosítsuk, hogy a hálózaton áthaladó minden adat, ami egy adott
ügyféltől származik, a fürtnek ugyanahhoz az álomásához kerüljön.
Amikor kapuszabályokat határozunk meg egy NLB fürtben, fontos, hogy emlékezzünk rá, hogy
a kapuszabályok számának és tartalmának pontosan egyeznie kell a fürt rninden tagján.
Ha olyan új csomópontot próbálunk csatlakoztatni egy NLB fürthöz, amelyen a kapuszabályok
száma vagy tartalma nem egyezik meg a meglevő tagcsomópontok szabályainak számával vagy
tartalmával, a csatlakozni kívánó számítógéptől a fürt megtagadja a tagságot. A kapuszabályokat
saját kezűleg kell összehangolnunk az NLB fürt tagjain.
Connect to one host that ill to be part of the new ci!Jster and select lhe eiuster lnterlace
Host:
[Comec!Jon status
l interiace IP
12.5. ábra
A New C/uster: Connect képernyő
���IP:::IP addre,..s
j Subnet mask
l -==;,
··....... =�� r;=;:;:=;==;
;,:::::;;=.:;:=. ��
�oo�stme·���----�--,
Default otme:
r Retam ·� stme afterccmpuler restarts
12.6. ábra
A Host Parameters képernyő
12. fejezet • Bevezetés a fürtözés i """r<>c:n�
9. A következő képernyő a Cluster Parameters (fürt paraméterei), amelyet a 12.7. ábra mutat.
Itt kell megadnunk a fürt nevét és annak az IP címnek a részleteit, amelyen más szánútógé
pek elérhetik a fürtöt. Írjuk be az IP címet, az alhálózati maszkot és a teljes internetnevet
(vagyis a kanonikus DNS nevet). Emellett választanunk kell a fentebb tárgyalt egycímes és
többcímes mód között. Ha minden adatot megadtunk, lépjünk tovább.
Subnet mask;
Fullintemet name:
Networi< address:
MuliCMI
12.7. ábra
<Back Nexl)
A Cluster Parameters képernyő
� ����
12.8. ábra
� ed:- 1 fnsh
A Port Rules képernyő
1 O. Az utolsó ablak a Port Rules (kapuszabályok), amely a 12.8. ábrán látható. Itt tetszés szerint
megadhatunk és beállíthatunk kapuszabályokat, ahogy korábban tárgyaltuk Ha készen
vagyunk, kattintsunk a Next gombra.
Az NLB fuit ezzel létrejön, és a rendszer beállítja és a fürthöz adja az első csomópontot
Windows Server 2008
1. Az Administrative Tools menüből nyissuk meg a Network Load Balancing Manager konzolt.
2. A bal oldali ablaktáblában kattintsunk az egér jobb gombjával arra a fürtre, amelyikhez
csomópontot szeretnénk hozzáaadni, majd válasszuk az Add Host to Cluster (állomás
hozzáadása fürthöz) menüpontot a megjelenő helyi menüből.
3. Ekkor a Connect képernyő jelenik meg, ahol meg kell adnunk annak az állomásnak
a DNS-nevét vagy IP címét, amelyet a fürtl1öz szeretnénk csatlakoztatni. A Connect gombra
kattintva feltölthetjük az állomás hálózati csatolóit mutató listát, ahonnan aztán kiválaszt
hatjuk a nyilvános adatforgaimat kezelő kártyát. Ha ezt megtettük, lépjünk tovább.
4. A következőként megjelenő képernyő a Host Parameters. Itt az állomás kívánt elsóbbségi
szintjét adhatjuk meg (ezzel a beállítással azt határozhatjuk meg, hogy melyik számítógép
kapja a legtöbb kérelmet, ami akkor hasznos, ha egy fürtben két számítógépünk van,
amelyek közül az egyik nagyobb teljesítményű), valamint a fürt ezen tagjának kijelölt IP
címét, illetve kezdőállapotát a Windows Server 2008 első elindításakor. A kezdőállapot
Started (elindítva), Stopped (leállítva) vagy Suspencled (felfüggesztve) lehet.
5. Az eljárás befejezéséhez kattintsunk a Finish gombra.
A csomópontot ezzel a kijelölt NLB fürthöz adtuk. Onnan tudjuk, hogy a művelet befejeződött,
hogy a csomópont állapota a Network Load Balancing Manager konzolorr Converged-re (hozzá
adva) változik.
1. Az Administrative Tools menüből nyissuk meg a Network Load Balancing Manager konzolt.
2. A bal oldali ablaktáblában kattintsunk az egér jobb gombjával a Network Load Balancing
Clusters (hálózati terheléselosztó fürtök) elemre, és a megjelenő helyi menüből válasszuk
a Connect to Existing (csatlakozás meglevő fürthöz) pontot.
3. Írjuk be annak az állomásnak a nevét, amelyhez csatlakozni szeretnénk, és kattintsunk
a Connect gombra, majd a Connect ablak alján jelöljük ki a fürtöt, és kattintsunk a Next
gombra.
4. A konzolra visszatérve kattintsunk az egér jobb gombjával az eltávolítani kívánt csomó
pontra a bal oldali ablaktáblában, és válasszuk a Delete Host (állomás törlése) pontot
a megjelenő helyi menüből.
Ha csak frissítünk egy fürtcsomópontot, és nem akarjuk végleg törölni a fürtből, több módszer is
a rendelkezésünkre áll, hogy fokozatosan csökkentsük az állomás forgalmát, majd elérhetővé te
gyük a frissítésre. Az úgynevezett "bedugaszolás" (drainstop) megakadályozza, hogy új ügyfelek
hozzáférjenek a fürthöz, illiközben a már meglevő ügyfeleknek továbbra is lehetővé teszi, hogy
folytassák a munkát, amíg be nem fejezték a folyamatban levő műveleteiket. Miután minden
ügyfél végzett ezekkel, a fürtműveletek leállnak az adott csomóponton. A bedugaszoláshoz
kövessük az alábbi lépéseket:
Teljesftmény-optimalizálás
Az NLB fürtöknek gyakran akadnak gondjaik a kapcsolókkal (switch). A kapcsolók abban külön
böznek a hálózati elosztéktól (hub), hogy az elosztóhoz kapcsolt ügyfélszámítógépek közötti
adatátvitel pont-pont rendszerű - a kapcsolók gyorstárazzák az összes számítógép MAC címét,
és az adatforgaimat közvetlenül a kapcsaló végpontjára irányítják, míg az eloszték egyszerűen
szétsugároznak minden adatot a csatlakoztatott számítógépek felé, azoknak pedig ki kell válogat
niuk a nekik címzett csomagokat. A kapcsolók működése azonban ellentétes az NLB fürtökével,
mivel a fürtnek küldött minden adatcsomag áthalad a kapcsaló összes olyan kapuján, amelyhez
a fürt tagjai kapcsolódnak, mert (ahogy korábban tanultuk) a fürt minden tagja ugyanazon az IP
címen osztozik, ami nyilvánvalóan gondot okozhat.
Kiszolgálófürtözés
Ha az NLB fürtök szolgáltatásai nem elegendőek a számunkra, érdemes lehet valódi kiszolgá
lófürtöt használnunk. Egy valódi kiszolgálófürtben a számítógépek csoportja egyetlen azonosító
névvel rendelkezik, és együttesen kezeli, illetve hiba esetén együttműködve telepíti át az alkal
mazásokat a problémás csomópontokról a működőképesekre. A fürt csomópontjai közös,
megosztott erőforrás-adatbázist használnak, valamint egy naplótárolót, amelyet egy olyan fizikai
tárolóeszköz biztosít, amely a fürt minden tagja által közösen használt hardversínen található.
A Windows Server 2008-ban rendelkezésre áll egy kevert módú fürtözési típus, amely a Windows
Server 2003-ból ismert döntnöki és csomóponttöbbség-beállítású fürtöket váltja fel. Ebben az új
kevert döntnöki modellben szerepet kap a "szavazat" fogalma, és a fürtök alapértelmezés szerint
egy szavazat elvesztését még elviselik. A fürt minden csomópontja egy szavazattal rendelkezik,
akárcsak a fürt tárolóforrása. Így ha a lemezdöntnök nem áll rendelkezésre, a fürt akkor is műkö
dőképes marad, mert csak egyetlen szavazat esik ki.
Ha újra szeretnénk alkotni a Windows Server 2003 régi modelljét, amelyben a fürt működéséhez
elengedhetetlen egy közösen használt lemezdöntnök, csak annyit kell tennünk, hogy egy szavaza
tot rendelünk a lemezdöntnökhöz (amelynek az új neve tanúlemez), a fürt csomópontjainak
pedig nem adunk szavazati jogot. Ami még jobb, hogy a tanúlemeznek még csak fizikai lemeznek
sem kell lennie: lehet egy megosztott fájl is a hálózaton, és egy ilyen megosztott fájl akár több ki
szolgálófürt tanúja is lehet. A szavazatok elvét tehát, mint láthatjuk, lényegében azért vezették be,
hogy a fürtök beállítási lehetőségeit és hibatűrő képességét rugalmasabbá tegyék, mint korábban.
Hálózatok
A hálózatok, más néven csatlakozási pontok (interconnect) azokra a módokra utalnak,
ahogy a fürt tagjai egymással, illetve a nyilvános hálózattal kommunikálnak. A hálózatok
a fürtcsomópontok leggyakoribb meghibásadási pontjai, ezért egy valódi kiszolgálófürtben
mindig lennie kell kellő számú tartalék hálózati kártyának.
Csomópontok
A csomópontok a fürt tényleges tagjai. A fürtözési szaigáitatás csak a Windows Server
2008 Enterprise Edition vagy Datacenter Edition rendszert futtató tagcsomópontokat
támogatja. A további követelmények közé tartozik a TCP/IP protokoll használata,
a csatlakozás egy megosztott tárolóeszközhöz, és a többi csomóponthoz legalább egy
csatlakozási pont megléte.
Erőforrások
Minden olyan dolog erőforrásnak számít, amit a fürtözési szaigáitatás kezelhet és felhasz
nálhat arra, hogy szolgáltatásokat nyújtson az ügyfeleknek Az erőforrások lehetnek fizikai
és logikai erőforrások, és jelképezhetnek valódi eszközöket, hálózati szolgáltatásokat,
valamint fájlrendszeri objektumokat is. Különleges fizikai lemezerőforrás a lemezdöntnök,
amely a fürtözési szolgáltatásnak tárolóhelyet biztosít a helyreállítási naplók és a saját
adatbázisa tárolására. Kicsit lejjebb felsorolunk majd néhány erőforrást.
Csoportok
Az erőforrások erőforráscsoportokba gyűjthetők, amelyek egyszerűen olyan egységek,
amelyek segítségével átvételi és visszatérési házirendeket határozhatunk meg. Egy csoport
minden erőforrásának átvétele és visszahelyezése a csoportra alkalmazott házirendeknek
megfelelően történik, és meghibásodás esetén a csoport erőforrásai együtt települnek át
más csomópontokra.
Lemezdöntnök
A lemezdöntnök (quorum) az a megosztott tárolóhely, amely a fürt erőforrás-adatbázisát
és naplóit tárolja. Ahogy korábban említettük, a lemezdöntnöknek SCSI alapú valódi
lemezmeghajtónak kell lennie, egyedi szoftverszolgáltatások nélkül.
Szolgáltatás- és alkalmazástípusok
A Windows Server 2008 átvételi fürtözési szaigáitatása alapállapotban különféle szolgáltatások
és alkalmazások fürtözésére képes, többek között az alábbiakéra:
DFS-névtérkiszolgáló
A DFS Namespace Server (DFS-névtérkiszolgáló) szerepkör a DFS megosztott mappáinak
tárolására szaigál a fürtön belül. A DFS-ről a 3. fejezetben beszéltünk bővebben.
DHCP
Ez a fajta erőforrás a DHCP szolgáltatást kezeli, amelyet egy fürtben arra használhatunk,
hogy biztosítsuk a szaigáitatás elérését az ügyfélszámítógépeknek A DHCP-adatbázisnak
a fürt megosztott tárolóeszközén (más néven a lemezdöntnökön) kell lennie.
Windows Server 2008
A fürt megtervezése
Egy kiszolgálófürt felépítése nem mindig egyszerű, de ha a céljainkat világosan megtervezzük,
nem sok találgatásra lesz szükség. Hibatűrést és egyidejűleg a terhelés elosztását is el szeret
nénk érni? Nem számít a terhelés elosztása, csak arra szeretnénk összpontosítani, hogy
a szolgáltatás mindig elérhető legyen? Vagy csak hibatűrést szeretnénk a meghibásadások
esetére, hogy csökkentsük a fürt létrehozásának és üzembe helyezésének költségét?
�00 ............
: :
�---······:
�----- t�� ?- �-
..........:
J !
12.9. ábra
1. csomópont 2. csomópont
Ha az 1. csomópont meghibásodik, Egyensúly a terheléselosztás és
a 2. csomópont veszi át a szerepét a magas rendelkezésre állás között
-1:!1 Windows Server 2008
Ha az egyetlen célunk az, hogy valóban magas rendelkezésre állást érjünk el, érdemes a fürt
egyik tagját üzem közben beállítható tartalékként futtatni, amely készen áll arra, hogy átvegye
a meghibásodott csomópontok szerepét. Ebben az esetben, ha n fürtcsomópontunk van, a fürt
alkalmazásainak és erőforrásainak n-l csomóponton kell futniuk, rníg a fennmaradó csomópont
normál működés esetén tétlen marad.
Jelmagyarázat
Ü= Üzemi fürtcsomópont
Ü A)JT ,
t
Ha egy csomópont meghibásodik,
a terheit az üzem közben beállítható
tartalék veszi át
12.10. ábra
Csak a magas rendelkezésre állást figyelembe vevő felépítés
Web
Ezek a csomópontok
meghibásodnak
12.11. ábra
Példa a terhelése/vető felépítésre
12. fejezet • Bevezetés a fürtözési eljárásokba
r·�--··��li!li
Fie Action VIe
w Help
-·=:_:,
Afailover eiuster is a set d indepenclent computers that work togetherto increase the Vieltv'
avaaabitity ot services<IDd applications. {caUed nodes)
The dusl.ered server.o are corw
physical cables and by software. If one of the nodes fails. another node begins to prot lJ Help
seMces (a process knOV\.'11 as faílover).
111 Miqpt!Jgsett!Jgsfrom • d
n..nWlqWndows Setver2
12.12. ábra
A fürtkezelő képernyője
12. feiezet • Bevezetés a fürtözési
Az új fürt ezzel működésbe lép, és az első tag hozzáadódik a fürthöz. A varázsló bezárásakor
visszakerülünk a Failover Cluster Management konzolra, ahol most már megjelennek a kezelési
lehetőségek, valamint az új fürtcsomópont a bal oldali ablaktáblában (lásd a 12.12. ábra).
Nézzük végig a High Availability Wizard képernyőit, és állítsuk be a saját hibatűrő alkalmazá
sunkat- a Notepad-et Qegyzettömb; végtére is nagyon fontos alkalmazásról van szó):
Parancssori segédprogramok
A cluster segédprogram segítségével a kiszolgálófürtökkel kapcsolatban szinte minden keze
lési és felügyeleti feladatot elvégezhetünk a parancssorból is, ami megkönnyíti, hogy ezeket
a műveleteket parancsfájlokba vagy dinamikus weboldalakba építsük be. Ebben a részben
a cluster program különböző lehetőségeit tekintjük át.
Mielőtt azonban belefognánk, egy dolgot meg kell jegyeznünk: a cluster használatakor annak
a felhasználói fióknak a helyre vonatkozó beállításai (locale), amelybe bejelentkeztünk, meg
kell hogy egyezzenek a fürt kezelésére használt számítógép alapértelmezett locale-beállításaivaL
Az a legjobb, ha a helyre vonatkozó beállítások a fürt minden csomópontján, illetve minden olyan
szárnítógépen, amelyen a parancssori segédprogramot használni fogjuk, azonosak.
Az l add kapcsoló használatával egy vagy több csomópontot is a fürthöz adhatunk, mint
az alábbi példában, ahol három csomópontot veszünk fel testl, test2 és test3 néven
a testcluster fürtbe:
A fenti paranccsal kapcsolatban egy dolgot meg kell jegyeznünk: ha módosítjuk a lemezdöntnök
helyét, semmiképpen ne hagyjuk ki a meghajtó betűjelét, a kettőspontot, illetve a fordított
perjelet Az elérési utat pontosan úgy kell megadnunk, mintha egy teljes elérési utat írnánk be
a parancssorban.
cluster node testl /start (vagy /stop vagy /pause vagy /resume)
Ez a parancs elindítja, leállítja, szünetelteti vagy újraindítja a fürtszolgáltatást a megadott
csomóponton.
cluster node testl /evict
Ezzel a paranccsal kizárhatunk egy csomópontot a fürtbőL
cluster node testl /listinterfaces
Ez a parancs a csomópont hálózati csatolóit sorolja fel.
A fürtszolgáltatás kezelése
Van még egy segédprogram, a clussvc, amely azt teszi lehetővé, hogy elhárítsunk néhány
dolgot, ami hibákat okozhatna a fürtszolgáltatás működésében. Csak akkor használjuk ezt
a parancsot, ha a fürtszolgáltatás nem képes elindulni, és csak helyben, a problémás csomó
ponton adjuk ki.
Ezt a parancsot akkor lehet érdemes használni, ha egy adott helyen minden csomópont
elvesztette a képességét arra, hogy egy másik hely csomópontjaival kommunikáljon.
-ftl Windows Server 2008
Zárszó
Ahogy ebből a fejezetből megtudtuk, a Windows Server 2008 kétféle fürttípust támogat:
a hálózati-terheléselosztó (NLB) fürtöket, amelyek egyszerűen terheléselosztási képességekkel
ruháznak fel bizonyos IP alapú alkalmazásokat, valamint a valódi kiszolgálófürtöket, amelyben
számítógépek nagyobb csoportjai számára biztosíthatunk hibatűrést.
Az NLB akkor igen hasznos, ha egy web alapú alkalmazást szeretnénk több számítógépről
szolgáltatni. A hardvernek nem kell nagyon erősnek lennie, ezért az NLB használata nagyszerű
módszer a régebbi, használt számítógépek munkára fogására, miközben gyorsítja a szolgáltatást
a jobb felhasználói élmény érdekében. Az olyan közepes méretű hálózatokban, ahol olyan
létfontosságú üzleti alkalmazások múK.ödnek, amelyeknek minden körülmények között elérhető
nek kell lenniük, a valódi kiszolgálófürtök kétségkívül jobb megoldást nyújtanak Természetesen
a magasabb rendelkezésre állás magasabb költséggel is jár, és a valódi hibatűréshez szükséges
hardver jelentős befektetést igényel, amiről ugyancsak nem szabad megfeledkeznünk.
A PowerShell
Ezekkel az a baj, hogy nem tudnak "mindent" elvégezni - így aztán elő-előfordul, hogy az ember
a VBScript, sőt akár közvetlenül az adott rendszer alkalmazásprogramozási felületének (API)
igénybevételére kényszerül, a C++ vagy a C# nyelven keresztül. Nem elhanyagolható az a tény
sem, hogy ezek az eszközök nem tudnak jól együttműködni: nem oldható meg például az LDP
kimenetének átadása a Regedit számára. Minthogy nem állt rendelkezésre olyan eszköz, amely
rnindent képes lett volna elvégezni, a rendszergazdák a felmerülő nehézségek elhárításakor elté
rő elven működő eszközök garmadáját kényszerültek munkára fogni.
Ezek az eszközök tökéletesen megoldották az eredetileg nekik szánt feladatok ellátását, ugyan
akkor a látásmódjuk és a képességeik nagyban különböztek egymástól. Sok rendszergazda
tapasztalta meg a saját bőrén, hogy arnikor elindult egy irányba - például az operációs rendszer
biztosította eszközök használatával megírt egy kötegfájlt -, akkor gyakran jutott vakvágányra,
mert a választott eszköz képtelen volt egyik-másik feladat elvégzésére. Másik eszközt választott
hát (például a VBScript-et és a COM-automatizálást), ez azonban az addigi munka részleges
vagy teljes újrakezdésével járt.
A Windows újabb változataival (Windows XP, Windows Server 2003 és most a Windows Server
2008) a Microsoft nagy lépést tett előre, főként a parancssori eszközök tekintetében. A helyzet
lényegesen javult, de ennél többre van szükség. A Microsoft válasza az említett problémákra
a PowerShell.
A PowerShell telepítése
A PowerShell alapértelmezés szerint a Windows egyetlen változatában sincs jelen. A Windows
korábbi kiadásaihoz (Windows XP, Windows Server 2003) a Microsoft honlapjáról kell letölteni
a telepítéshez szükséges állományokat, a Windows Server 2008 esetében azonban igazán nagyon
egyszerű a PowerShell telepítése, hiszen a telepítőlemez állományai között megtalálunk rninden
szükségeset.
13. feiezet • A PowerShell
•
A HKEY_ CLASSES_ROOTkulcs alatt három új fájltípus jelenik meg: a psl (PowerShell
parancsfájl), a pslxml (PowerShell megjelenítő XML) és a pscl (PowerShell konzol).
•
A telepítési folyamat értékekkel látja el a rendszerleíró adatbázis
HKEY_LOCAL_MACHJNE\SOFTWARE\Microsojt\PowerShell\ 1 kulcsát.
•
A telepítőprogram módosítja a PATH környezeti változót: kibővíti
a %systemroot%\system32\ WindowsPowerShell\vl.O mappával.
A PowerShell és a biztonság
A PowerShell a többi jó felügyeleti eszközhöz hasonlóan rendelkezik azzal a képességgel, hogy
hibás használat mellett jelentős rongálást okozhat a rendszerben. A PowerShell használható
kulcsfontosságú állományok eltávolítására, a rendszerleíró adatbázisban tárolt beállítások
megváltoztatására vagy eltávolítására, tanúsítványok törlésére, és a sort még folytathatnánk -nos,
ezek mindegyike veszélyt rejthet.
-Nl Windows Server 2008
A kockázatok csökkentésének szándékával a PowerShell fejlesztőcsapata az alábbi lépéseket tette:
A PowerShell elindítása
Ha a fenti lépésekkel végeztünk, a PowerShell elérhetővé vált a rendszerünkön. A PowerShellt
úgy futtathatjuk, hogy a Start menüben a Run lehetőséget választjuk, majd az Open (Megnyitás)
mezőbe beírjuk a PowerShell szöveget, végül pedig vagy az OK gombra kattintunk, vagy
megnyomjuk az ENTER-t. Ekkor, ha minden jól ment, az alapértelmezett PowerShell-képernyőt
látjuk magunk előtt.
• %ALLUSERSPROFILE%\Documents\PSConfiguration\Profile.ps1
• %ALLUSERSPROFILE%\Documents\PSConfiguration\Microsoft.Powershell_Profile.ps1
• %USERPROFILE%\My Documents\PSConfiguration\Profile.ps1
• %USERPROFILE%\My Documents\PSConfiguration\Microsoft.Powershell_Profile.ps1
Ezen állományok mindegyike egy PowerShell parancsfájl, mint ahogy arról rövidesen szó esik.
Négy profilfájl talán túlzásnak tűnhet, de jó indok támasztja alá ennek a megközelítésnek
a létjogosultságát. A PowerShellt lehet úgy használni, ahogy telepítettük, de megírhatjuk a saját
különbejáratú parancsainkat (cmdlet) tartalmazó héjunkat is (erró1 bővebben a következő
részben olvashatunk). A testreszabott héj példájául e helyt az Exchange 2007 Management Shellt
említjük meg.
Egy cmdlet meghívása úgy történik, hogy a nevét az alábbiakban látható módon a PowerShell
készenléti jele után írjuk:
Ebben a példában a Get-Process nevű cmdlet megszerzi a számítógépen futó folyamatok lis
táját, és a folyamatok néhány egyéb jellemzőjével együtt a képernyőre írja. Azokat a jellemzőket
(vagyis a leírók számát, a nem lapozható magmemóriát, a lapozható magmemóriát, a munkahal
mazt, a VM méretét, a felhasznált processzoridőt és a folyamat nevét), amelyeket a képernyőn
látunk, a Get-Process parancs alapértelmezés szerint megjeleníti, mégpedig a folyamat neve
alapján rendezve. Az egyes erndiet-ek paraméterezhetők, ahogy azt itt is láthatjuk:
Minden paraméter kötőjellel C-) kezdődik, amelyet a paraméter neve követ. Az egyik legfontosabb
paraméter, amelyet minden cmdlet támogat, a súgókérő -?. Például:
NAME
Get-Process
SYNOPSIS
Gets the processes that are running on the local computer.
SYNTAX
Get-Process [[-name] <string[]>] [<CommonParameters>]
Get-Process -id <Int32[]> [<CommonParameters>]
DETAILED DESCRIPTION
The Get-Process cmdlet retrieves a process object for each process.
Without parameters, "Get-Process" gets all of the processes on the computer,
as though you typed "Get-Process *" . You can also identify a particular
process by process name or process ID (PID), or pass a process object
through the pipeline to Get-Process. For Get-Process, the default method is
by process name. For Stop-Process, the default method is by process ID.
RELATED LINKS
Stop-Process
REMARKS
For more information, type: "get-help Get-Process -detailed".
For technical information, type: "get-help Get-Process -full".
A Get-Help cmdlet paramétere azt jelzi, hogy milyen tárgyban óhajtunk segítséget kapni.
Figyelemreméltó képessége a cmdlet-nek, hogy a paraméterében elfogadja a helyettesítő
karakterek használatár, ha egy dolognál többről szeretnénk információt kapni. Íme:
SHORT DESCRIPTION
A language command for running a command black or blocks based on the
results of one or more conditional tests
LONG DESCRIPTION
conditional test evaluates to true. You can also specify one or more
-·!e!•l Windows Server 2008
additional conditional tests to run if all prior tests evaluate to
false. Finally, you can specify an additional code black that is run if
no other prior conditional test evaluates to true.
Directory: Microsoft.PowerShell.Core\FileSystem::D:\foo
Directory: Microsoft.PowerShell.Core\FileSystem::D:\foo\bar
Hive: Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE
4 0 HARDWARE {}
87 0 SOFTWARE {}
8 0 SYSTEM {}
13. tejezet • A PowerShell 1\el-
PSH [HKLM:\]: dir .\software\microsoft\powershell
Hive: Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\software\
microsoft\powershell
4 2 l {Install, PID}
Clear-Item
Törli egy elem tartalmár, de nem törli magát az elemet.
Clear-ItemProperty
Törli egy tulajdonság értékét, de nem törli magát a tulajdonságot.
Copy-Itern
Egy elemet a névtéren belül egyik helyről a másikra másol.
Copy-ItemProperty
Egy tulajdonságot az értékével együtt egy megadott helyről egy másikra másol.
Get-ChilcHtem
V isszaad egy elemet és annak leszármazottait egy vagy több megadott helyről.
Get-ItemProperty
Egy megadott elem tulajdonságait adja vissza.
Get-Itern
Egy megadott helyen lévő elemet ad vissza.
Invoke-Item
Meghívja a szolgáltató esetében alapértelmezett eseményt a megadott elemre.
Move-Item
Áthelyez egy elemet.
New-Itern
Új elemet hoz létre a névtéren belül.
Move-ItemProperty
Áthelyez egy tulajdonságot.
Rename-Itern
Átnevez egy elemet egy Windows PowerShell-szolgáltatói névtéren belül.
New-ItemProperty
Egy adott helyen lévő elem számára új tulajdonságot állít be.
Remove-rtem
Törli a megadott elemet.
Remove-ItemProperty
Törli az elem megadott tulajdonságát és a tulajdonság értékét.
Rename-ItemProperty
Átnevezi egy elem egy tulajdonságát.
-"'fl Windows Server 2008
Set-Itern
Aparancsban megadott értékre változtatja egy elem értékét
Set-ItemProperty
Beállítja a megadott helyen lévő tulajdonság értékét.
Nem árt, ha a rendszergazda ismeri a fent felsorolt cmdlet-eket. Hogy a tanulás gördülékenyeb
ben menjen, a PowerShell megad pár általánosan használható álnevet a fenti erndiet-ek mind
egyikéhez, példának okáért a Get-Childitem a gci, a dir és az ls álnevekkel is elérhető.
Az egyes erndiet-ek álneveit a következő utasítással tudhatjuk meg:
Ezek az álnevek lehetővé teszik, hogy a DOS-ból, a Windowsból, a Unixból vagy a Linuxból szár
mazó, már ismerősnek számító parancsok neveivel azon nyomban nekikezdhessünk a PowerShell
és a PowerShell-szolgáltatók használatának, továbbá szükségtelenné teszik a erndiet-ek neveinek
megtanulását ahhoz, hogy a PowerShellt rábírjuk az egyszerúbb műveletek elvégzésére.
Ezeken a meghajtókan olyan műveletek végezhetők el, mint a dir ENV:, amely megadja
a környezeti változók listáját, vagy a dir Variable:, amely viszont a használatban lévő
változókat sorolja fel. Ha a szolgáltatókról további információkra vagyunk kíváncsiak, írjuk be
-Nl Windows Server 2008
a Get-Help about_providers parancsot a PowerShell készenléti jeiénél. A szolgáltatókról
részletesebb felvilágosítást a http://msdn2.microso.ft.com/en-us/library/ms 714636.aspx
weboldalon kaphatunk, és itt tudhatjuk meg azt is, hogy miként hozhatunk létre új szolgáltatót.
A csővezeték
A csővezeték (pipeline) kifejezés a PowerShellnek azt a képességét takarja, hogy egy cmdlet
kimenetét átvezethetjük (egy "csövön") egy másik cmdlet-hez, ahogy a fejezet néhány korábbi
példájában már láthattuk is. A PowerShell csővezetéke nagyon hasonlít a Unix és a Linux rend
szerek csővezetékéhez- és valószínú1eg ez a PowerShell legnagyobb jelentőségű képességeinek
egyike. Az egyik legfontosabb különbség az, hogy a Unix és a Linux rendszereken a csővezeté
ken szállított adat formázatlan szöveg, amit utóbb át kell alakítani- gyakran nevezik az ilyet
imaszerű értelmezésnek. A ps Unix-parancsot például a folyamatok kiíratására használjuk, és
a kimenetét például egy formázó alkalmazáshoz továbbíthatjuk feldolgozásra. A csővezeték
a végei között a PowerShell-objektumokat- ezek lehetnek .NET vagy más objektumok- továbbít.
Nézzünk egy példát, amelyben a Get-Process cmdlet kimenetét az alábbiakban ismertetett
módon csővezetéken a Sort-Object erndiet-hez továbbítjuk
o o o 28 o o Idle
21 l 192 432 4 0.22 1568 smss
31 3 1224 307 2 32 0.05 968 shstat
35 2 1040 3212 27 0.06 3940 Mctray
{a táblázat fennmaradó részét eltávolítottuk}
ProcessName Id Handles
-------- - - - ---- - -
-
gps l where {$_.handles -gt 500} l sort handles -desc l select processname,
id, handles l ft -a
Attól függően, hogy éppen mit csinálunk, nekünk kell megválasztani, hogy többet vagy
kevesebbet gépelünk Ha a parancsokat a PowerShell készenléti jelénél gépeljük be, az álnevek
használata megkönnyíti a dolgunkat. Ha azonban tartós használatra szánt héjprogramot fejlesz
tünk, akkor igen jó ötletnek számít a erndiet-ek és a paraméternevek teljes kiírása.
_GENUS 2
_CLASS Win32_MemoryDevice
_SUPERCLASS Win32_SMBIOSMemory
_DYNASTY CIM_ManagedSystemElement
_RELPATH Win32_MemoryDevice.DeviceiD="Memory Device 0"
PROPERTY_COUNT 39
SERVER XP21
_NAMESPACE root\cimv2
PATH \\XP21\root\cimv2:Win32_MemoryDevice.DeviceiD=
"Memory Device O"
Access
AdditionalErrorData
Availability
BlackSize
Caption Memory Device
ConfigManagerErrorCode
ConfigManagerUserConfig
CorrectableError
CreationClassName Win32_MemoryDevice
Description Memory Device
DevieeiD Memory Device O
EndingAddress 639
{ more details snipped}
•
A PowerShell elsőként a formázási előírásokat tartalmazó, .pslxml kiterjesztésű fájlokat
vizsgálja át, a formázandó objektumnak megfelelő nézet után kutatva. Ha a formázási
utasításokat tartalmazó XML állományok tartalmaznak megfelelő nézetet, a PowerShell
ezek alapján hozza létre a kimenetet. A PowerShell sok olyan objektumot tartalmaz,
amelyhez tartozik meghatározott nézet. Ezeket könnyedén az igényeinkhez igazíthatjuk
Az itt tároltakat bármely objektumhoz tartozó nézettel kibővíthetjük, ideértve azokat
az objektumokat, amelyekhez a PowerShell nem tartalmaz alapértelmezett nézetet, és
az általunk meghatározott PowerShell-objektumokhoz tartozó nézetekkel is.
•
Ha az objektumhoz nincs nézet megadva, a PowerShell a formázandó objektumhoz meg
adott, alapértelmezetten megjelenítendő tulajdonságok után kutatva böngészi át
a .pslxml kiterjesztésű fájlokat Ha a PowerShell talál ilyet, akkor a megnevezett tulajdon
ságokat összegyűjti, és továbblép. Ha nincsenek alapértelmezés szerinti megjelenítendő
tulajdonságokra vonatkozó tulajdonságok, akkor a PowerShell begyűjti az összes tulaj
donságot, és úgy lép tovább.
•
Az előző lépéstől függően a megjelenítés elvégzésére a PowerShell a Format-List vagy
a Format-Table cmdlet-et hívja meg. Ha öt vagy annál kevesebb tulajdonságot kell
megjeleníteni, akkor a Format-Table, ennél több tulajdonság esetén a Format-List
cmdlet kapja meg a feladatot a PowerShelltől.
-'le!:l Windows Server 2008
A PowerShell formázási lehetőségeiről a http:l/blogs.msdn.com/powershell/archive/2006/04/30/
586973.aspx oldalon található további információ.
Változók
A PowerShell lehetővé teszi, hogy egy cmdlet, esetleg erndiet-ek sorozatából álló csővezeték ki
menetét egy változóban tároljuk A változó olyan, névvel rendelkező objektum, amely bármi
lyen típusú érték tárolására alkalmas, ideértve az egyszerű típusokat (számok, karakterláncok,
logikai értékek) éppúgy, mint a tömböket vagy a még összetettebb típusokat (amilyenek példá
ul az objektumok). A változók használhaták egy objektum egyes tulajdonságainak a tárolására,
vagy egy parancsfájlban használt egyéb értékek tárolására.
PSH [D:\foo]: $a = l
PSH [D:\foo]: $b=l2.123
PSH [D:\foo]: $c="this is a string"
PSH [D:\foo]: $a
l
PSH [D:\foo]: $b
12.123
PSH [D:\foo]: $c
this is a string
A változók típusát a PowerShell automatikusan határozza meg, bár ezt felülbírálhatjuk Példánk
ban a $a egészként, a $b double-ként, a $c pedig karakterláncként jön létre. A PowerShell
az adattípus ismeretében dönt az objektumok formázásáróL
TypeName: System.Int32
TypeName: System.Double
A változó típusát pontosan megadhatjuk, ha a típus nevét a változó előtt a következő példában
látható módon szerepeltetjük:
TypeName: System.Double
SMBIOSBIOSVersion A04
Manufacturer Dell Inc.
Name Phoenix ROM BIOS PLUS Version 1.10 A04
SerialNumber DDC2H2J
Version DELL - 27d60a0d
PSH [D:\foo]: $bios.SMBIOSBIOSVersion
A 04
PSH [D:\foo]: $bv = $bios.SMBIOSBIOSVersion
PSH [D:\foo]: if ($bv -eq "A04") {write-host "Latest BIOS"}
Latest BIOS
PSH [D:\fao]:
Példánkban a Windows Management Interface visszaadja a BIOS adatait, amelyek közül kiol
vassuk a változatazonosító karakterláncot, és a kimenetre küldjük. A BIOS változatazonosító
karakterlánca egy if paranccsal megvalósított feltételes elágazás útválasztója lesz, ahol, ahogy
láthattuk, a feltétel igaznak bizonyul, hiszen a Windows Management Interface az A04 értéket
adja vissza, és eképp a PowerShell kiírja az üzenetünket.
A még nagyobb szintű biztonság kedvéért a parancsfájlokat digitálisan alá is írhatjuk Ezt a lehe
tőséget a PowerShell kódvégrehajtási házirendjével együttesen használva megoldható, hogy
a rendszergazdák csak a cégük által digitálisan aláírt parancsfájlokat futtathassák A PowerShell
parancsfájlok digitális aláírásáról a http://www.hanselman.comlblog/SigningPowerShellScripts.aspx
oldal megtekintésével juthatunk további információkhoz.
A világon a legrövidebb olyan parancsfájl, amely kiírja a "Hello World" szöveget - és amely
egyébiránt a helloworld.psl állományban található-, a következő:
Ez az igen rövid héjprogram a Hello World karakterlánc megjelenítésén túl semmit nem csi
nál. Nem különösebben hasznos darab. A rendszergazdai gyakorlatban használt parancsfájlok
általában többre alkalmasak· a Hello World szöveg megjelenítésénéL Íme egy jobban használ
ható héjprogram, amely az egyes lemezegységek méretét és a rajtuk található szabad helyet je
leníti meg, nem megfeledkezve a csatlakoztatott hálózati meghajtókról sem:
If-then-else
A PowerShell a .NET keretrendszer képezte alapokra épült, és mint ilyen, lehetővé teszi a keret
rendszer majdnem összes osztályának elérését és használatát Az egyetlen megszorítás, hogy
a PowerShell l-es változatában nem használhatunk aszinkron osztályokat, illetve tagfüggvényeket
TypeName: System.IO.Directoryinfo
TypeName: System.IO.Fileinfo
A fenti példában az ls parancs System. IO. Directoryinfo és System. IO. Fileinfo ob
jektumokkal tért vissza. Sok olyan Windows-rendszergazda számára, aki nem mozog otthono
san a .NET világában, mindez meglehetősen összetettnek tűnhet, de némi gyakorlással a legter
mészetesebbé válik majd. A System. IO. Directoryinfo objektumokról
a http://msdn2. microsoft.com/en-us/library/system.io. directoryinfo.aspx, míg
a System. IO. Fileinfo objektumokról a http://msdn2.microsoft.com!en
us!library/system.io.fileinfo.aspx weboldalon kaphatunk további információt.
Ha két egyéb szám (mondjuk l és 10, esetleg 4 és 16) közötti véletlenszámot akarunk előállíta
ni, akkor az alábbiakban láthatóhoz hasonlóan megadhatunk egy alsó és felső határt
a . next ( ) tagfüggvény meghívásakor:
PSH [D:\foo]: # determine global open ports (NB there aren't any!)
PSH [D:\foo]: $profile.GloballyOpenPorts l ft name, port
PSH [D:\foo]: # determine authorized applications
PSH [D:\foo]: $profile.AuthorizedApplications l ? {$_.Enabled} l ft name
Name
localsrv
SMTPServer
Virtual PC 2007
WS_FTP 95
iTunes
Microsoft Office OneNote
Microsoft Office Groove
PSH [D:\foo]: # determine enabled services
PSH [D:\foo]: $profile.Services l ? {$_.Enabled} l ft name
Name
Ezen felül számos megfontolásra érdemes tanfolyam létezik. Elsősorban a Microsoft 6434-es
hivatalos tanfolyamára gondolhatunk itt, amely 2008 elejétől választható. Egy háromnapos gya
korlati tanfolyamról van szó, ahol a Windows Server 2008 rendszert üzemeltető rendszergazdák
számára oktatnak PowerShell-alapismereteket.
Néhány forrás:
Quest AD erndiet-ek
A Quest cég ingyenesen letölthető, az Active Directory kezelésével foglalkozó cmdlet-eket
adott közre. Ezeket térítésmentesen letölthetjük a http:llwww.quest.com/activeroles-seroer/
arms.aspx webhelyről.
PowerShell Community Extensions
A http.//www.codeplex.com/PowerShellCX webhelyen széles körben használható további
ingyenes cmdlet-ek, szolgáltatók, álnevek, szűrők, függvények és parancsfájlok érhetők el.
Reskit.net
A http://www.reskit.net/powershellwebhelyen néhány példaprogram és egyéb hasznos
leírás található.
PowerGUI
Ez a név egy PowerShell parancsfájlok fejlesztéséhez használható ügyes szerkesztőprog
ramot takar, amely ingyenes, és megtalálható a http://powergui.org/downloadsjspa
webhelyen.
Zárszó
A PowerShell elképesztően hasznos és szerteágazó tudású termék. A rendszergazdák igényeit
tartja szem előtt, és úgy tervezték, hogy együtt tudjon működni szinte az összes, napjainkban
készülő Microsoft-szoftverrel csakúgy, mint más cégek alkalmazásaivaL Ha pedig nem találjuk
meg benne, ami nekünk kell, a PowerShell viszonylag egyszerűvé teszi új függvények és szol
gáltatások kifejlesztését. Röviden: a PowerShell üt!
Hyper-V
A virtualizációt általánosságban már ismerhetjük, de lehetséges, hogy nem tudjuk, mire a nagy
felhajtás. Ebben a fejezetben górcső alá vesszük a Hyper-V-t: megnézzük, hogyan működik, mik
a legfontosabb előnyei, és rnikorra várhatjuk, hogy üzemi környezetben is telepíthetjük ezt
a szolgáltatást. Ezenkívül felvázolunk egy virtualizációs stratégiát is, amely segít, hogy a Hyper-V-t
vagy az egyéb virtualizációs megoldásokat beépítsük a munkafolyamatunkba.
A fejezet célja, hogy a Hyper-V-t a lehető legfrissebben még a végleges kiadás előt
Figyelem!
ti állapotában bemutassa, olyan közel a Windows Server 2008 kiadásának idejéhez,
amennyire csak lehetséges. A fejezetben szereplő információk és konkrét eljárások tehát elavulhatnak,
mire a Hyper-V a nagyközönség elé kerül, de a felépítéssel kapcsolatos adatok és a Hyper-V kezelésé
nek általános lépései valószínűleg nem nagyon fognak változni.
A Hyper-V működése
Ahhoz, hogy megérthessük a Hyper-V működését, ismernünk kell a három fő összetevőjét:
a ruperfelügyelőt (hypervisor), a virtualizációs vermet és az új virtualizált I/0-modellt. A Windows
hiperfelügyelőjének feladata lényegében azoknak a különböző lemezrészeknek" (partícióknak)
"
a létrehozása, amelyeken belül az egyes virtuálissá tett kódpéldányok futni fognak. A virtualizáci
ós verem és a bemeneti-kimeneti (input/output, I/0) összetevő az interaktivitást biztosítja magá
val a Windows rendszerrel és a létrehozott különféle partíciókkaL
-'t1•1 Windows Server 2008
Az említett három összetevő egymással összehangoltan működik. Az olyan kiszolgálókon, ame
lyek az Intel VT vagy az AMD-V technológiával felszerelt processzorokra épülnek, a Hyper-V
együttműködik a Hypervisor nevű hiperfelügyelővel, amely egy nagyon kicsi szaftverréteg
közvetlenül a processzoron. Ez a szaftver horgokat biztosít a folyamatok és szálak kezeléséhez
a feldolgozóegységen, amelyek segítségével a gazda operációs rendszer hatékonyan kezelhet
egyszerre több virtuális számítógépet és virtuális operációs rendszert, amelyek egyetlen fizikai
processzoron futnak. Mivel nincs szükség semmilyen külső szaftver vagy illesztőprogram
telepítésére, az összeegyeztethetőség szinte tökéletesen biztos, hogy megvalósul, azok nélkül
a nehezen kijavítható hibák nélkül, amelyeket a szaftverhibák okozhatnak a rendszerben.
•
Készítsünk biztonsági másolatot a rendszerünkön található összes adatróL
•
Írjunk össze minden virtuális számítógépet, amelyet át szeretnénk telepíteni a Hyper-V-t
futtató számítógépre, a virtuális hardverre vonatkozó összes beállításukkal együtt.
•
Készítsünk biztonsági másolatot az esetleg áttelepíteni kívánt virtuális merevlemezekről
(VHD, virtual hard disk) is.
•
Engedélyezzük a hardveresen támogatott virtualizációt. Az erre szolgáló kapcsolót rend
szerint a számítógép BIOS-ában találhatjuk meg, ezért célszerű kapcsolatba lépnünk
a gyártóval, vagy fellapoznunk a számítógéphez kapott leírást, hogy megtaláljuk a megfe
lelő beállítást és annak bekapcsalási módját.
•
Telepítsük a Windows Server 2008-at. Mi most a teljes telepítést választjuk, bár a Hyper-V
a Server Care telepítéseken is használható.
•
A célszámítógépre ne telepítsünk másik szerepkört; a virtuális számítógépeknek helyet
adó számítógépen a Hyper-V-nek az egyetlen szerepkörnek kell lennie. A Hyper-V egyik
előzetes változata egyenesen kék képernyős hibát ad, ha egy virtuális számítógépet egy
olyan állomáson próbálunk elindítani, amelyre telepítették az Active Directory-tartomány
szolgáltatásokat.
A Hyper-V telepítése
Most, hogy készen állunk, telepítsük a Hyper-V szerepkört. Jelentkezzünk be rendszergazdaként,
és hajtsuk végre az alábbi műveleteket:
Comect to a Microsoft rftper-V servefto maoage iL You can use a Hyper-V New 'N'i1dow fra...
server to create. corf�gure and manage virtual machines. You can use virtual
..
machines to run different woridoads. Each Virtual mactine :n...ns in an isolated
execution envlronmen1, which gíves you the flexibility to n:n different operating
systems and applications on one ph}'S.ical complil:er.
fi Help
14.1. ábra
A Hyper-V felügyeleti konzolja
A Hyper-V Manager konzolon az adott gépre és a más, távoli gépekre telepített Hyper-V szerep
köröket is kezdhetjük, az előzetes változatok azonban nem engedik, hogy a Hyper-V Managert
egy másik gép távoli asztaláról használjuk.
1. Indítsuk el a New Virtual Machine (új virtuális számítógép) kezelőt a Hyper-V Manager_
konzolróL
2. Az első megjelenő képernyő a Before You Begin. Itt létrehozhatunk egy virtuális számító
gépet, anélkül, hogy végrehajtanánk a varázsló többi lépését. Ha a Finish (Befejezés)
gombra kattintunk, egy új virtuális számítógép jön létre az alapértelmezett beállításokkaL
Ha tovább szeretnénk lépni, kattintsunk a Next (Tovább) gombra.
3. A következő képernyő a Specify Name and Location (név és hely megadása). Itt adhatunk
nevet a virtuális számítógépünknek és határozhatjuk meg a tárolási helyének az elérési
útját. Ha készen vagyunk, lépjünk tovább.
14. fejezet • Hyper-V IfJ-
4. Ekkor az Assign Memory (memória kiosztása) képernyő jelenik meg. Gondoskodjunk
róla, hogy megfelelő mennyiségű memória álljon a virtuális gép (VM, virtual machine)
·
Amikor új virtuális számítógépeket hozunk létre, figyelembe kell vennünk néhány dolgot.
Az egyik, hogy a Hyper-V a 32 és 64 bites vendég operációs rendszereket egyaránt támogatja, és
támogatni fog különféle tárolási módszereket is, amilyen az iSCSI és az üvegszálas SAN. Egy-egy
virtuális számítógéphez legfeljebb 64 GB memóriát rendelhetünk, és bekapcsolhatunk egy
beépített virtuális kapcsolót, amellyel sZÜkségtelenné tehetjük a virtuális-fizikai-virtuális rétegek
bejárását a hálózati tevékenységek elvégzéséhez.
Amennyiben a Hyper-V egyik első előzetes változatát használjuk, a Windows Server 2003 és
a Windows Server 2008 egyaránt jó eredményt ad. A Service Pack 1-gyel ellátott SuSE Enterprise
Linux Server 10-et szintén tesztelték, és ennek a használata is javasolt. Más operációs rendszerek
is működőképesnek bizonyulhatnak, de a Hyper-V előzetes kiadásain futva teljesítménygondok
és összeegyeztethetőségi problémák merülhetnek fel. Az előzetes változaton emellett csak négy
virtuális processzort futtathatunk a Windows Server 2008 egy vendégpéldányával, más vendég
operációs rendszerekkel pedig csak egyet.
A Hyper-V eltávolítása
A Hyper-V eltávolítása jelenleg meglehetősen egyszerű: csak töltsük be a Server Managert, és
a jobb oldali ablaktáblában a Roles Summary alatt kattintsunk a Remove Roles (szerepkörök
eltávolítása) lehetőségre, majd válasszuk a Hyper-V elemet a Remove Roles Wizardban (szerep
körök eltávolítása varázsló), és indítsuk újra a 'rendszert- ezzel az eltávolítás be is fejeződik.
Virtualizációs stratégia
A virtualizációt - a valódi, fizikai hardverről virtuális hardverre történő átállást- az információ
technológia egyik következő "nagy dobásának" tartják, a Hyper-V pedig egyértelműen kitűnő
szoftver, még a végleges kiadás előtti állapotában is. Ha azonban mindez újdonság a számunkra,
lehet, hogy nem tudjuk, hol is kezdjük.
Windows Server 2008
Számos szakember fordult már hozzám azzal a kérdéssel, hogy mi a legjobb stratégia a virtuali
záció bevezetésére egy üzemi környezetben, és írtam is a kérdésről a Computerworld-ben.
Alább egy frissített változatát olvashatjuk az általam javasolt eljárásnak, amellyel felmérhetjük,
hogy szükségünk van-e a virtualizációra, és ha igen, hogyan hozhatjuk működésbe azt.
•
Gondoljuk végig a felügyelet kérdéseit! Hogyan fogják kezelni az alkalmazottak
a virtuális számítógépeket? Milyen parancsnyelveket és alkalmazásprogramozási
felületeket támogat a virtuális kiszolgálószoftverünk? Képesek vagyunk bizonyos
vezérlőket elérni a parancssoron keresztül, hogy egyszerű táveléréssei hajthassunk
végre felügyeleti feladatokat?
• Ne feledkezzünk meg a tárolóegységekről! Ahhoz, hogy a virtuálissá tett kiszolgá
lóinkból a lehető legnagyobb teljesítményt hozzuk ki, nagyon gyors lemezes al
rendszerre lesz szükségünk. A legjobb ár-érték arányt valószínűleg az iSCSI alapú
lemezekkel érhetjük el, amelyek gyorsak, megfizethetők, és jól hangolható beállí
tásokkal rendelkeznek.
5. Végezzünk megfigyelést, felmérést, finomhangolást és javításokat! Amikor végre elindítjuk
a virtuálissá tett operációs rendszert, még nem ér véget a munkánk. Tartsuk szemmel
a rendszert, ahogy a felhasználókat és szolgáltatásokat áthelyezzük az új felületre.
Határozzunk meg irányelveket és küszöbértékeket a teljesítményre és a használatra vonat
kozóan, majd a méréseink alapján folyamatosan finomítsunk a beállításokon. Igény szerint
a hardverkiépítésnek és a hálózati szerkezetnek a módosítására vagy a sávszélesség növe
lésére is szükség lehet.
Zárszó
Már csak az a kérdés, hogy mikor vehetjük használatba a Hype-V összes szolgáltatását, és mikor
élvezhetjük azok előnyeit? A jó hír az, hogy a terméket már most is kipróbálhatjuk: jelenleg egy
bétaváltozat áll rendelkezésre, amelyet letölthetünk a Microsoft.com-ról. A Microsoft tervei sze
rint a Hyper-V végleges változatát a Windows Server 2008 gyártásának megkezdésétől számított
180 napon belül hagyják jóvá, és különböző, a Hyper-V-t tartalmazó, illetve nem tartalmazó
Windows Server 2008 csomagokat fognak kínálni.
Ha már bernháztunk némi időt és pénzt a virtualizált infrastruktúrába, bizonyára örülni fogunk,
mert a Microsoft Virtual Server 2005-öt használók viszonylag zökkenőmentesen állhatnak majd
át a Hyper-V-re, amikor az elkészül, anélkül, hogy a Virtual Serverbe fektetett erőfeszítéseik
eredményét elvesztenék. Mindazonáltal egyes esetekben új hardvereszközökre lehet szükség,
mivel a Hyper-V 64 bites hardvert igényel, és nem is lesz x86-os (32 bites) kiadása.
A Hyper-V a természetes következő lépés azon az úton, amelyen a Microsoft a virtualizáció felé
halad. Ha megfelelő hardverrel rendelkezünk, készen állunk arra, hogy számos olyan előnyt
élvezzünk, ami korábban elképzelhetetlen volt.
Tárgymutató
%systemroot% 51 Account lockout threshold 272
.BAT 255 Account Policies 268
.COM 255 ACL 59, 267_
.NET 412 Active Directory 52, 137
.NET keretrendszer 412 Active Directory Domain Services 137
.ps1 395, 410 Active Directory Domain Services
.ps1xml 395, 406 Installation Wizard 148
.pscl 395 Active Directory Domains and Trusts 171
.rdp fájlok 342 Active Directory-ba beágyazott zónák 121
/boot kapcsaló 261 Active Directory-előkészítő eszköz 153
/d kapcsaló 88 Active Directory-tartományszolgáltatások
/force kapcsaló 261 138
Ilagoff 261 Active Directory-tartományszolgáltatások
/target kapcsaló 261 újraindítása 193
/tsweb 343 AD DS 137
/verbose kapcsaló 390 adatbiztonsági követelmény 267
_gc 101 adatkövetkezetesség-ellenőrző 177
_kerberos 101 adatok hozzáfűzése 55
_kpasswd 101 adatok írása 55
_ldap 101 adatok olvasása 55
<system.webserver> 303 adatok szintje 267
3389-es TCP-kapu 322 adatszintű védelem 267
53-as kapu 135 adattár 400
802. lx alapú kényszerítés 361, 363 Add Roles Wizard 39
ADMIN$ 51
A, Á Administrator 268
ADSI 140
ABE 46 adsiedit 269
ablakméret XII affinitás 374
ACC 348 AGE 120
Account lockout duration 272 aktív szűrés 70
-·f1:1 Windows Server 2008
aktiválás 316 asztalösszetétel 324
aláírás nélküli adatcsere 273 átalakítófájl 245
alapértelmezett átjáró 351 átirányítás 124
alapértelmezett formázó 406 átirányítási házirend eltávolítása 251
alapértelmezett lemezkvóták 73 átjáró 14
alapértelmezett megosztás 51 átruházás 53, 95, 115, 166
alapértelmezett tartományi házirend 276 áttelepítési tábla 230
alapértelmezett telepítési lemezkép 28 áttelepítő eszközök 424
álerdő 145 attribútum 55
alhálózatokra osztás 267 átvételi házirend 382
alias 98 átvitelkiszolgáló 23
alkalmazáskészlet 295, 298 auditálás 60
alkalmazáskiszolgáló 291 automatikus frissítés 315
alkalmazáskiszolgálói szerepkör telepítése automatikus kijelentkeztetés 273
291 automatikus kilépterés 273
alkalmazásnapló maximális mérete 282 automatikus kvóták 65
alkalmazásnapló megőrzése 282 automatikus privát IP címzés 348
alkalmazások szintje 267 automatikus ügyfélbeállítás 348
alkalmazásszintű védelem 267 AutoRetry kapcsaló 91
alkalmi jelentés 71 autosize paraméter 407
ali kapcsaló 91 AXFR 102
állapotházirend 359 azonnali kényszerítés 363
állapotházirend létrehozása 365
állapotmegfelelés 17, 359
állapottanúsítvány 362
B
Állomás-bejegyzés 97 BDC 167, 190
állomáscím 367 beágyazás 142, 143
almappák és fájlok törlése 56 beállítás jogának átruházása 303
álnév 108 beállításjegyzék 97
álnevek 98, 402 beállítások megosztása 303
általános csoportok 142 beállítófájlok 303
altartomány 115, 116, 144, 153 bedugaszolás 381
alternatív cím 348 bejelentkezés naplózása 280
AMD-V 420 bejelentkezési idő 273
APIPA 348 bejelentkezési parancsfájlok 254
APPCMD 289 belső hálózat határa 267
appcmd.exe 12, 301 belső hálózat szintje 267
Application Log 284 betörést érzékelő rendszer 267
Application Pools 299 BitLoeker ll, 15
Application Server 291 bizalmasság 266
applicationHost.config 303 bizalmi viszony 139
árnyékmásolat 38, 77 biztonság 395
ARP 375 biztonsági adatbázis 235
asztal távoli felhasználói 325 biztonsági azonosító 32, 288
asztali élmény 324 biztonsági beállítások 200, 268
�
biztonsági csoport142,212 CNAME-bejegyzés98,108
biztonsági megfontolások265 COM412
biztonsági mentés132,227 COM-objektumok414
biztonsági napló maximális mérete282 compatws.inf233
biztonsági napló megőrzése282 Computer Configuration204
biztonsági sablonok232 Copy-ltemProperty401
biztonsági szint267 Core kiszolgálók XI
BOOT.WIM27 cprofile345
BOOTP355 CTRL+ALT+DEL311
bővített jellemzők írása56 CTRL+ALT+DEL lenyomása bejelentkezéshez
bővített jellemzők olvasása55 274
buta terminál321 Custom (advanced)16
csatlakozás munkamenethez331
D DNS-többszörözés124
DnsUpdateProxy357
dátum311 Dokumentumok mappa250
DC security.inf233 dollárjel408
Dcdiag194 DOS 308
DCPROMO148, 153, 318 Do-Unti! 411
Default Domain Policy276 döntnöki modell382
DefaultAppPool300 drainstop381
DefaultRegistrationRefreshinterval118 Drvload 309
DFS ll, 38, 80 DSADD 165
DFS Replication Log284 DSREVOKE 167
DFS-névtérkiszolgáló383 DTC384
DFSR ll
DFS-többszörözés86
DHCP347, 357, 383
E, É
DHCP alapú kényszerítés361 EasyPrint 324
DHCPACK347 EC361
DHCP-beállítások350 EFS15, 38
DHCP-címbérlet beállítási információi348 egyállomásos mód 376
DHCPDISCOVER347 egycímes mód374, 375, 381
DHCP-foglalás354 egyéni biztonsági sablon234
DHCP-hatókör létrehozása349 egyéni lemezképek29
DHCP-kiszolgáló117 egyéni nézet létrehozása285
DHCP-kiszolgáló engedélyezése353 egyéni telepítési lemezkép31
DHCP-kiszolgáló telepítése349 egyetlen hálózati kártya376
DHCPOFFER347 egyrnesteres többszörözés168
DHCPREQUEST 347 egyszeri bejelentkezés324
DHCPServerCore317 egyszerű fájlmegosztás44
digitális aláírás252, 273, 410 élettartam100,107
digitálisan aláírt parancsfájlok410 ellenőrző kulcs15
dinamikus állomásbeállító protokoll 347 ellenőrző parancsfájl359
dinamikus DNS 117 előkészítetlen erdő154
dinamikus DNS-bejegyzés előre haladó keresési zóna105
megakadályozása120 előre haladó keresési zónák94
dinamikus DNS-frissítés105 elosztott fájlrendszer38, 80
Directory Service Log284 elosztott tranzakciók koordinátora384
Directory Services Restore Made195 elsőbbségi szám99
DisableDynamicUpdate121 elsődleges kiszolgáló107
discover image30 elsődleges tartományvezérlő167, 190
DNS 93, 258, 357 elsődleges zóna105
DNS DHCP alapú frissítése 358 elvont hardverréteg15
DNS Server Log284 e-mail értesítések62
DNSCmd133 Email Notifications62
DNS-forgatás97 Enable Remote Management301
DNSLint134, 194 engedékeny írás73
�
engedélyek 43, 53 FAZAM 260
engedélyek módosítása 56 Feature Delegation 303
engedélyek olvasása 56 feladatátvételi házirend 382
engedélyezett DHCP-kiszolgálók 353 felderítési lemezkép 30
engedélyezett protokollok 295 felhasználási engedély 322
engedélykiszolgáló 322 felhasználási szerződés 16
engedélykiszolgáló keresésének módja 338 felhasználóhoz rendelt alkalmazások 239
enyhe korlát 74 felhasználói elsődleges név 165
erdő 138, 144, 230 felhasználói környezet 328
erdő működési szintje 149 felhasználói osztályok 355
erdő-gyökértartomány 145 felhasználói profil 158
eredetjelző USN 183 felhasznáJók 154
erőforrás 383 felhasznáJók korlátozása egy
erőforrás-bejegyzés 96 munkamenetre 337
erőforráscsoport 383 feltételes átirányítás 127, 129
erőforrás-engedélyezési házirend 344 felügyelet nélküli mód 318
erőforrásrekord 96 felügyelet nélküli telepítés 32
értesítés 63 felügyeleti feladatok 164
értesítési küszöb 62 felügyeleti megosztott mappák 51
eseménynaplók 284 felügyeleti sablonok 199
eseménynaplózás 279, 282 felügyelt beállítások 205
esődlegesirányadó-bejegyzés 99 felügyelt kód 309
Event Viewer 283 felügyelt számítógép 205
Exchange Management Console 415 felvett lemezkép 30
Exchange Management Shell 396 File Replication Service Log 284
File Screen Policy 49
K kivonatszabály 252
klasszikus mód 298
kanonikus név 108 kódvégrehajtási házirend 396
kanonikusnév-bejegyzés 98 korábbi fájlváltozatok 77, 79
kapcsolat nélküli fájlok 75, 76 korlátozott csoportok 236
kapcsolat nélküli mappák 90 korlátozott hozzáférés 360
kapcsolat nélküli szerepátadás 174 költséghányad 189
�
kötegfájlok254 Local Security Policy268, 272
kötet37 logikai összetevők138
kötet-árnyékmásolat38, 78 logoff332, 345
központi telepítési kiszolgáló23 Logon Hours273
központi Windows-telepítési szolgáltatások Longhorn Server287, 307
21 LSDOU 201
központosított beállítások300
közzététel147
közzététel elosztott fájlrendszerbeli névtér
M
50 MAC375
kulcskezelő szaigáitatás20 MAK20
különleges engedélyek53 Manage Policy Links231
külső névkiszolgáló128 managedBy 231
kvóta48 Management Service301
kvótabeállítás89 mappa bejárása55
kvótabejegyzések meghatározása74 mappa-átirányítás199, 251
kvóták39, 65 mappahivatkozás82
kvóták beállítása65 mappahivatkozások80, 85
kvótakezelés66 mappák létrehozása55
kvótasablon67 mappatartalom kiíratása55
kvótatulajdonságok66 MaskSourceMAC382
másodiagos keresési zóna112
l másodiagos kiszolgáló94
másodiagos névkiszolgáló lll
lassú kapcsolatok észlelése211 másodiagos névkiszolgáló előléptetése112
LDAP140,164 másodszintű tartomány94
legfelső szintű tartomány93 MaxCacheEntryTtlLimit97
legkisebb futtatható kódrészlet397 Maximum password age268
legmagasabb USN-ek megtekintése187 megbízhatósági kapcsolat139
legrövidebb jelszó268 meghajtó37
lemez37 megkülönböztető név felvétele270
lemez alapú kvóták73 megosztási elérési útja46
lemezdöntnök382, 383 megosztási engedélyek43
lemezkép21 megosztási protokollok46
lemezképek létrehozása29 megosztott konfiguráció 300
lemezkötet37 megosztott mappa helye44
lemezkvóták 39 megosztott mappa létrehozása43
lemezmeghajtó37 megosztott mappák147
lemezrész 37 Megosztott mappák közzététele52
lemezrészek17 Microsoft hálózati házirend-kiszolgáló360
lemezterület korlátozása 39 Microsoft lnstaller240
leválasztott munkamenet 331 Microsoft Network Policy Server360
levélkiszolgáló-bejegyzés98 MIME-típusok297
licenc322 Minimum password length268
licenckiszolgáló322 mmc ls233
-'fil Windows Server 2008
moduláris felépítés289 NETLOGON51
MOF217 netsh103, 313
Monad309 netsh interface ipv4 312
Move-Item 401 Network Load Balancing Manager 377
Move-ItemProperty 401 név szerint értelmezett paraméterek 398
msDS-PSOAppliesTo 270 névfeloldás93
MSFT 355 névjegy147
msg335, 345 névkiosztá hatóság96
MST fájl245 névkiszolgáló 94, 101
működési mód374 névkiszolgáló-bejegyzés99
multicast374 névtelen felhasznáJók 272
munkamenet323 névtelen hozzáférés csak külön
munkamenet alaphelyzetbe állítása333 engedéllyel272
munkamenet leválasztása331 névtér80
munkamenet vezérlésének átvétele336 névtér létrehozása83
munkamenetadatok333 New Scope Wizard349
mutató110 New-Itern 401
mutatóbejegyzés100 New-ItemProperty401
műveleti mester167 New-Object413
műveletmesteri szerepkör169 New-PSDrive403
MX-bejegyzés98 NLA 323
MX-bejegyzések 109 NLB371
MX-elsóobség98 NLB fürt létrehozása377
My Documents 250 NLB-illesztőprogram 374
No Override 258
N,Ny no topology 87
node kapcsaló 390
nagy vörös gomb187 Notification Limits62
NAP347, 359 NS-bejegyzés99, 108
NAP felépítése 361 nslookup96
napló259 NTCONFIG.POL201
naplórend 60, 192, 280 NTDS.DIT139, 150, 195
naplózás281 NTDSUtil174, 195
Naplózó mód218 NTFS-engedélyek43, 45
NAQC359, 361 nyomtatókiszolgáló384
nem fürtképes alkalmazások384
nem tanúsított szaftver233
NET Global Assembly Cache 395
O, Ö
NET keretrendszer 393 objektum53, 138
net share90 objektum-hozzáférés naplózása 280
net use88 objektumjellemző180
net user311 objektumok412
NetBIOS375 oclist317
netdom 314 OperatingSystemSKU 319
NetiQ Group Policy Administrator261 OSCDIMG 31
Tárgymutató
S, Sz sovány ügyfelek321
SRV-bejegyzés100
SACL280 SSL-beállítások297
saját tulajdonba vétel56 Starter GPO206
SAM140 statikus IP címek354
�
Storage Reports 63 tartományi szint 149
support.cab 133 tartománynév-kiosztó 171
SUPPTOOLS.MSI 186 tartománynévrendszer 93
switch 381, 411 tartományra nézve globális csoportok 142
sysprep 31, 32 tartományra nézve helyi csoportok 142
System Log 284 tartományvezérlő 123, 138
System.Random 413 tartományvezérlő alapértelmezett
SYSVOL 51 biztonsági házirendje 277
szabványos engedélyek 53 tartományvezérlő érvényben levő
számítógép szintje 267 biztonsági házirendje 278
számítógép-házirendek 204 tartományvezérlő hozzáadása 152
számítógép-házirendek frissítése 208 távoli alkalmazás indítása 343
számítógépre nézve helyi csoportok 142 távoli asztal 316, 325
szavazat 382 távoli asztal mód 326
szélesvásznú monitor 323 távoli beállítások 326
szerepkör elvétele 175 távoli differenciális tömörítés 81
szerepkörök 290 távoli kapcsolatok engedélyezése 301
szerepkörök átadása 174 távoli rendszerfelügyelet 322
szervezeti egység 138, 140 távoli rendszerhéj 318
szoftverházirendek 200 távoli telepítés 21
szoftverkorlátozási házirendek 252 távoliasztal-protokoll 322
szaftvertelepítés 239 távsegítség 336
szolgáltatás-bejegyzés 100 távvezérlés 336
szolgáltató 400, 402 távvezérlés engedélyezése 341
szolgáltatott alkalmazások 342 telephely 139, 141, 176
szótár alapú támadás 268 telephelyek közötti többszörözés 187
szűrés 206 telephely-kapcsolatok 187
szűrőkivétel 70 telepítés 15
telepítési lemezkép 28, 31
w WPAS 290
WQL 215
WDS 21
WDS-kiszolgáló 23
WDSUTIL 23
x
Web Management Service 300 XPS 324
web.config 288, 303
webhely létrehozása 294
webhely tulajdonságainak beállítása 295
z
webkezelési szolgáltatás 300 ZAP 240
webkiszolgálói szerepkör telepítése 291 zárolás 271
Where-Object 405 zónafájl 94, 95
While 411 zónafájlok kézi szerkesztése 113
WIM 21 zónafrissítés 101, 113
Windows 2000 erdő működési szint 149 zónák 94
Windows 2003 erdő működési szint 149 zónamódosítási értesítés 114
Windows 2008 erdő működési szint 149
Záradék
A Windows Seroer 2008- Az első számú útmutató borítóján látható állat az albatrosz
(Diomedeidae), amely az egyik legnagyobb tengeri madár. Alfajai közül a vándorló albatrosz
(Diomedea exulans) súlya akár tíz kiló, szárnyának fesztávolsága pedig közel négy méter is
lehet. Az albatroszokat a legméltóságteljesebb déli-sarki madaraknak tartják: szárnyuk
hosszú és keskeny, nagy fejük jellegzetes horgas csőrű. Bár az egyes alfajok színe változó,
az albatrosz jellemzően fehér tollú, szürke, barna vagy fekete foltokkal.
Az albatrosz kiváló siklórepülő. Erőfeszítés nélkül képes egy nap több ezer mérföldet meg
tenni, miközben halakra, tintahalakra és krillekre vadászik. Egy szürke fejű albatroszról
(Diomedea chrysostoma) feljegyezték, hogy mindössze 46 nap alatt körülrepülte a Déli-sar
kot. Az albatrosz szárnya azzal az egyedülálló képességgel rendelkezik, hogy kiterjesztett
helyzetben "rögzíthető", ami csökkenti a terhelést az ilyen hosszú távú repüléseknéL A madár
a legtöbbször zord időjárási körülmények között látható, amikor a magas hullámok erős fel
hajtó légáramlatokat keltenek, ami lehetővé teszi a számára, hogy akár több órán át a levegő
ben maradjon szinte egyetlen szárnycsapás nélkül. A vándorló albatroszról úgy tartják, hogy
követi a déli tengereken járó hajókat, így nem véletlen, hogy a hajósok történeteiben régóta
szerepel. A matrózhagyomány szerint az albatroszban halott tengerészek lelke él, ezért ha egy
hajós megöl egyet közülük, élete végéig balszerencsre fogja sújtani.
Ma már az albatrosz számos alfaja veszélyeztetett állatnak számít. A biológusok szerint közel
l 00 OOO albatroszt ölnek meg évente a halászok, akik közül sokan illegálisan végzik a tevé
kenységüket. A vándorló albatraszak bekapják a tonhalra vadászó halászok hosszú horgain
ülő csalit, ami lehúzza őket a víz alá, és megfulladnak, de a halászhálókba is gyakran bele
akadnak, ami ugyancsak jelentősen hozzájárul ahhoz, hogy folyamatosan csökken a számuk.
A kormányok, a környezetvédők és a halászati ipar képviselői együtt igyekeznek megoldáso
kat kidolgozni a problémára: például olyan, súlyokkal ellátott hálók használatát javasolják,
amelyek gyorsan lesüllyednek, így az albatraszak kevésbé veszik őket észre, illetve élénk szí
nű madárhálókat feszítenek ki, amelyek elriasztják a madarakat a halászhajóktóL
A borítón szereplő kép forrása Wood Animate Creation című munkája. Az angol eredeti borító
betűtípusa Adobe ITC Garamond, a szövegé Linotype Birka, a címeké Adobe Myriad Conden
sed, a kódoké pedig a LucasFont TheSans Mono Condense betűje.