Windows - Server.2008.az - Elso.szamu - Utmutato.2009.ebook DigIT

Windows Server 2008
Az elsőszámú útmutató
Windows Server 2008
Az első szám ú útmutató
fonathan HasseU
O'REILLY �
A kiadvány a következő angol eredeti alapján készült:
Windows Server 2008: The Definitive Guide
Copyright © 2008 by Jonathan Hassell. Ali rights reserved!
© Kiskapu Kft. 2009
Authorized translation of the English edition of WINDOWS SERVER 2008: THE DEFINITIVE GUIDE
© 2008 by Jonathan Hassell. This translation is published and sold by permission of O'Reilly Media, Inc.,
the owner of ali rights to publish and sell the same.
No part of this book, induding interior design, cover design, and icons, may be reproduced or transmitted
in any form, by any means (electronic, photocopying, recording, or otherwise) without the prior written
permission of the publisher.
Trademarked names appear throughout this book. Rather than list the names and entities that own the
trademarks or insert a trademark symbo! with each mention of the trademarked name, the publisher states
that it is using the names for editorial purposes only and to the benefit of the trademark owner, with no
intention of iruringing upon that trademark
Fordítás és magyar változat © 2009 Kiskapu Kft. Minden jog fenntartva!
A szerzők és a kiadó a lehető legnagyobb körültekintéssel járt el e kiadvány elkészítésekor. Sem a szerző,
sem a kiadó nem vállal semminemű felelősséget vagy garanciát a könyv tartalmával, teljességével
kapcsolatban. Sem a szerző, sem a kiadó nem vonható felelősségre bármilyen baleset vagy káresemény
miatt, mely közvetve vagy közvetlenül kapcsolatba hozható e kiadvánnyal.
Lektor: Rézműves László

Fordítás: Fodor Dániel, Jákó Balázs, Kmeczkó Csilla, Rézműves László, Varga Péter
Műszaki szerkesztő: Csutak Hoffmann Levente
Tördelés: Kis Péter
Felelős kiadó a Kiskapu Kft. ügyvezető igazgatója

© 2009 Kiskapu Kft.
1134 Budapest, Csángó u. 8.
Fax: (+36-1) 303-1619
http:!/www.kiskapukiado.hu/
e-mail: kiado@kiskapu.hu
ISBN: 978 963 9637 54 2
Készült a debreceni Kinizsi Nyomdában

Felelős vezető: Bördős János
Tartalomjegyzék
1. fejezet • A Windows Server 2008 - bevezetés
A legnagyobb változások 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Server Care .................................................. 2

.
Javítások az liS-ben ............................................. 3

Javítások a hálózatkezelésben . ... . 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A továbbfejlesztett TCP/IP-verem 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Változások a terminálszolgáltatásokban 5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Active Directory: írásvédett tartományvezérlők 6 . . . . . . . . . . . . . . . . . . . . . . . .
Biztonsági javítások . . ... .. .6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Az operációs rendszer fájljainak védelme . 7 . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bitloeker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Az eszköztelepítés vezérlése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o • • • • • o • •8
Fokozott biztonságú Windows-tűzfal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
Hálózatvédelem . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . .9
A rendszer kezelésében végrehajtott javítások . . . . . o • • • • • • • • • • • • • • • • o • • • •9
A kiszolgálókezelő . . . . . . . . . . . . . . . . . . . . . . . . . . o • • • • • • • • • • • • • • • • • • 10
Windows Deployment Services . . . . . . . . . o • o • o • • • • • • o • • • • • • • • • • • • • • lO
Megnövelt teljesítmény és megbízhatóság . . . . . . . . o • • • • • • o • • • • • • • • • • • • • • lO
A Windows Server 2008 változatai . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ll
Hardverkövetelmények . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Zárszó . . . . . . . . . . . . . . . .. o • • • o • • • • • • • • • • • • • • o • • • • • • o • • • • • • • • • • • • • 12
2. fejezet • Helyi és távoli telepítés
A Windows Server 2008 15 telepítése . . . . o • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •
Kezdeti beállítások . 18 . . . . . . . . . . . . . . . o • • • o • • • • • • • • • • • • • o • • • • • • • • • • • •
A termékaktiválás lényege 19 . . . . . o • • • • • • • • • • • • • • • • • o • • • • • • • • • o • • o • •
Távoli telepítés . . . . 21 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o • •
Windows Imaging Forrnat . . 21 . . . . . . . . . . . o • • • • • • o o • • • • • o • • • • • • o • • • •
Windows PE . . . . 21 . . . . . . . . o o • • o • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •
Windows Deployment Services ................................... 22

A Windows Deployment Services telepítése és beállítása 23 . . . . . . . o • • • • • • •
Az indítómenü . . 29 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o • • • • • • • • • •
Windows Server 2008
Lemezképek létrehozása és módosítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Felügyelet nélküli telepítés parancsfájlok segítségével . . . . . . . . . . . . . . . . . . 32
Zárszó . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3. fejezet • Fájlszolgáltatások
Fájl- és nyomtatókiszolgálói szolgáltatások . . . . . . . . . . . . . . . . . . . . . . . . . . 38

A fájlmegosztási szolgáltatások beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Megosztott mappa létrehozása saját kezűleg . . . . . . . . . . . . . . . . . . . . . . . . . 43
Alapértelmezett megosztások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Megosztott mappák közzététele az Active Directory-ban . . . . . . . . . . . . . . . . 52
NTFS fájl- és mappaengedélyek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Szabványos és különleges engedélyek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Engedélyek beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Öröklés és tulajdonjog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
A hatályos engedélyek meghatározása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Hozzáférés alapú számlálás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Naplórend . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
A fájlkiszolgálói erőforrás-kezelő . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Az FSRM beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Kvóták beállítása az FSRM segítségével . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Fájltípusok szűrése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Tárolójelentések előállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Lemez alapú kvóták . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Alapértelmezett lemezkvóták beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Önálló kvótabejegyzések meghatározása . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Kapcsolat nélküli fájlok és mappák használata . . . . . . . . . . . . . . . . . . . . . . . . . . 75
A kapcsolat nélküli fájlok engedélyezése . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Néhány dolog, amit észben kell tartanunk . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Fájlok korábbi változatainak használata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
A korábbi fájlváltozatok engedélyezése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
A korábbi fájlváltozatok mentésének ütemezése . . . . . . . . . . . . . . . . . . . . . . 80
Az elosztott fájlrendszer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Parancssori segédprogramok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
A megosztott mappák használata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
FSUTIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
A kapcsolat nélküli mappák kezelése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
VSSADMIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Zárszó . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
4. fejezet • A tartománynévrendszer
Építőkockák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Zónák vagy tartományok? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Zónafájlok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
�
Előre haladó és fordított keresési zónák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Erőforrás-bejegyzések . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Állomás-bejegyzések ( "A" bejegyzések) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Kanonikusnév-bejegyzések (CNAME-bejegyzések) . . . . . . . . . . . . . . . . . . . . 98
Levélkiszolgáló-bejegyzések (MX-bejegyzések) . . . . . . . . . . . . . . . . . . . . . . . 98
Névkiszolgáló-bejegyzések (NS-bejegyzések) . . . . . . . . . . . . . . . . . . . . . . . . 99
Elsődlegesirányadó-bejegyzések (SOA-bejegyzések) . . . . . . . . . . . . . . . . . . . 99
Mutatóbejegyzések (PTR-bejegyzések) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Szolgáltatás-bejegyzések (SRV-bejegyzések) . . . . . . . . . . . . . . . . . . . . . . . . 100
Elsődleges és másodlagos névkiszolgálók használata . . . . . . . . . . . . . . . . . . . . 101
Teljes és fokozatos zónafrissítés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Névkiszolgálók felépítése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
A fokozatos zónafrissítés engedélyezése . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Előre haladó keresési zóna létrehozása . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
" 105
"A bejegyzések megadása egy zóna számára . . . . . . . . . . . . . . . . . . . . . . .
A forgatásos terheléselosztás vezérlése . . . . . . . . . . . . . . . . . . . . . . . . . . . . l06

SOA-bejegyzések megadása és szerkesztése . . . . . . . . . . . . . . . . . . . . . . . . 106
NS-bejegyzések létrehozása és szerkesztése . . . . . . . . . . . . . . . . . . . . . . . . . 108
CNAME-bejegyzések létrehozása és szerkesztése . . . . . . . . . . . . . . . . . . . . . 108
MX-bejegyzések létrehozása és szerkesztése . . . . . . . . . . . . . . . . . . . . . . . . 109
Fordított keresési zóna létrehozása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
PTR-bejegyzések létrehozása és szerkesztése . . . . . . . . . . . . . . . . . . . . . . . . 110
Másodlagos névkiszolgáló beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . lll
Másodlagos névkiszolgáló előléptetése elsődleges névkiszolgálóvá . . . . . . 112
A zónafájlok kézi szerkesztése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
A zónafrissítés folyamatának szabályozása . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Altartományok és átruházás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Tartomány átruházása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Altartomány létrehozása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Dinamikus DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Takarítás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
A dinamikus DNS-bejegyzés megakadályozása . . . . . . . . . . . . . . . . . . . . . . 120
Az Active Directory-ba beágyazott zónák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
A változások többszörözése a tartományvezérlőkre . . . . . . . . . . . . . . . . . . . 123
Átirányítás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
Szolgák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Feltételes átirányítás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Osztott DNS-felépítés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Csonkzónák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Biztonsági megfontolások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Biztonsági mentés és helyreállítás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
DNSCmd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
DNSLint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Zárszó . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
-@l Windows Server 2008
5. fejezet • Az Active Directory
Active Directory-tartományszolgáltatások: fogalmak és objektumok . . . . . . . . . 138

Tartományok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Szervezeti egységek . . . . . . . . . . . . . . . . . . . . . . . . ........ . . . .. . ... . . 140
Telephelyek . . . . . . . . . . . . . . .. . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . 141
Csoportok . . . ... . . . . . . . . . . . . . . . . . . .... . . . . . . . . . . . . . . . . . . .. . . 141
Fák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Erdők . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . 144
Megosztott mappák és nyomtatók . . . . . . . . . . . . . . . . . . . . . . ... . . . . . . . 147
Névjegyek . . . . . . . . . . . . . . . . . . . . . ... . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Globális katalógus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
AD DS-szerkezet felépítése . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Az első tartomány . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Az AD DS eszközeinek használata . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Új tartományvezérlő hozzáadása egy tartományhoz . . . .. . . . . .. . . . . . . . . 152
Új tartomány felvétele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . .. . .. 153
Felhasználók és csoportok kezelése . . . . . . . . . . .. . . . . . . . . . . . .. . . . . . . 154
A műveleti mester szerepkörei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . 167
Sémamester . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Tartománynév-kiosztó mester . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
RID-mester . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
PDC-utánzó . . . . . . . . .. . . . . . . . . ... . . . . . . . . . .... . . . .. . . . . . . . . . . 172
Infrastruktúra-mester . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Szerepkörök átadása és elvétele saját kezűleg . . . . . . . . . . . . . .. . . . . . . . . 174
A címtár-többszörözés alapjai . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
A telephelyek belseje: hurkok és hálók . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
Időegyeztetés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... . . . . . . . . . . . 177
Többszörözési topológiák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
A frissítési ütközések kezelése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Frissítési sorszámok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
A többszörözés kezelése a REPADMIN segítségével . . . . . . . . . . . . . ... . . . 186
Telephelyek közötti többszörözés: átnyúló fák és telephely-kapcsolatok . . 187
Írásvédett tartományvezérlők . . . . . . . . . . . . . . . . . . . . . . . ... . . . . . . . . . . 190
Hibaelhárítás és karbantartás az Active Directory-ban . . . . . . . . . . . . . . . . . . . . 191
Tevékenységvizsgálat az Active Directory-tartományszolgáltatásokban . . . . 192
Az Active Directory-tartományszolgáltatások újraindítása . . . . . . . . . . . . . . . 193
Hibaelhárítás az Active Directory-ban a DNSLint segítségével . .. . . . . . . . . 194
Az NTDS adatbázis kapcsolat nélküli töredezettség-mentesítése . . . . . . . . . 194
A címtár metaadatainak kitakarítása . . . . . . . . . . . . . . . . ... . . . . . . . . . . . . 195
Zárszó . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
�
6. fejezet • A Csoportházirendek és az lntelliMirror
Bevezetés a Csoportházirendek világába . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199

A Csoportházirendek magvalósítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
A csoportházirend-kezelő konzol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
A csoportházirend-objektumok hatóköre . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Kényszerítés és öröklés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
WMI -szűrők . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
A házirendek eredményhalmaza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Egyéb felügyeleti feladatok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Helyi Csoportházirendek . . . . . . . . . . . . . . . . . . . . . . . . o • • • • • o • • • o • • • • • • • 232
Biztonsági sablonok . . . . . . . . . . . . . . . . . . o • o • • • • • • • • • • • • • • • • • • • • • • 232
Egyéni biztonsági sablon létrehozása . . . . . . . . . . . o • • • • • • • • • • • • • • o • • • 234
A biztonsági adatbázis összeállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
Tartományi Csoportházirendek . . . . . . . . . o • • • o • • • o • • o • • • o • • o • • • • • • • • • 235
Biztonsági beállítások . . . . . . . . . . . . . . . . . . o • • o o • • • • • o o • • o • • • • • • • • • 236
IntelliMirror: szaftvertelepítés . . o o • • • • • o • • • • • • o • • o o • • • • • • • • • • • • • • • 239
IntelliMirror: mappa-átirányítás . . . . . . . o • • • • • • • • • • • • • • • • • • • • • • • o • • 249
Szoftverkorlátozási házirendek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
Parancsfájlok . . . . . . o • • • • • • • • • • • • • • • • • • • • • • • • • • • • • o • • o • • • • • • • • 254
A telepítéssei kapcsolatos megfontolások . . . o • • • • • • • • • • • • • o • • • • • • • • o • • 257
A csoportházirendekkel kapcsolatos hibák elhárítása . . . . . o • • • • • • o • • • • • • • 258
A DNS-hibák elhárítása . . . . . . . . . . . . . . . . . . . . o • • • • • • • • • • • o • • • • • • • 258
Az öröklés elemzése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
GPO-k közzététele és összehangolása . . . . . . . . . . . o • • • • • • o • • • • • • • • • • 258
Részletesebb naplók . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o • o o • • • 259
Az ügyféloldali bővítmények GUID-jének meghatározása . . . . . . . o • • • • • • 259
GPT fájlok keresése a tartományvezérlőkön . . . . . . . . . . . . . . o • • • • • • • • • 260
Egyéb csoportházirend-kezelő eszközök . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
Parancssori segédprogramok . . . . . . . . . . . . o • • • • • • • • • • • • • • • • • • • • • • • o • • 261
GPUpdate . . . . . . . . . . . . . . . . . . . . . . . . o • • • • • • • • • • o • • • • • • • • • • • • • • • 261
GPResult o • • o o • • • o • • • o • • • • • • • • • • • o • • • o • • • • • • o • • • • • • o • • o • • o • • 261
Zárszó . . . . . . . . .. . . . . . o • • • • • • • • • • • • • • • • • • o • • • • • • • • • • o • • • • • • • • • • • 264
7. fejezet • A Windows biztonsági beállításai és a javítócsomagok kezelése
A biztonsági megfontolások alapjai . . . . . . . . . . . . . . . . o • • • • • • o • • o • • • • • • • 265

A kiszolgálók biztonsági elvei . . . . . . . . . . o • • • • • • • • • • • • • • • • • • • • • • • • 266
A Windows lezárása . . . . . . . o • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 268
Jelszóházirendek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
Fiókzárolási házirendek . . . . o • • • • • • • • • • • • • • • • • • • • • • • • • o • • • • • • • • • 271
Helyi beállítási lehetőségek . . . . . . . . . . . . . . . . . . . . . . . o • • o • • • • • • o • • • 272
Hálózati beállítások a csoportházirendeken keresztül . . . . . . . . . . . o • • • • • 275
Tevékenységvizsgálat és eseménynaplózás . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
- Windows Server 2008
Amit érdemes vizsgálni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

.
Eseménynaplózás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . 282
Zárszó . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
.
8. fejezet • Intemet Information Services 7
Jelentősebb fejleszrések . 287 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . .
Az IlS 7 felépítése . 289 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Újdonság: a Windows folyamataktiválási szolgáltatás 290 . . . . . . . . . . . . . . . . . . . .
Szerepkörök .. . . . . . 290 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Az IlS grafikus kezelése . .. ... . 293 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Új webhely létrehozása 294 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Webhely tulajdonságainak beállítása . :....... 295 . . . . . . . . . . . . . . . . . . . . .
Virtuális könyvtárak . . . 297 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Alkalmazáskészletek . 298 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Központosított beállítások engedélyezése . . 300 . . . . . . . . . . . . . . . . . . . . . . . .
A Web Management Service használata . 300 . . . . . . . . . . . . . . . . . . . . . . . . . . .
Az IlS parancssoros elérése . . . 301 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
AppCmd.exe: minden egy helyen . . . 301 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Beállítás XML fájlokkal . .. . . . 303 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zárszó .
. . . . . .. . . 306
. . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9. fejezet • A Windows Server 2008 Server Core
A rendszerhéj hiánya 307 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Telepítési forgatókönyvek 308 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nincs felügyelt kód . . 309 . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Külső alkalmazások . ... 309 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Telepítés . . . . . .. ... 310

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kezdeti beállítás ... . . 310 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A rendszergazda jelszavának beállítása . 311 . . . . . . .. . . . . . . . . . . . . . . . . . . .
Dátum-, idő- és helybeállítások . 311 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hardver-illesztőprogramok telepítése és alkalmazása . . 312 . . . .. . . . . . . . . . .
Hálózati kapcsolatok beállítása . 312 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A kiszolgáló elnevezése és tartományhoz csatlakoztatása 314 . ... . . . . . . . . . .
Az automatikus frissítés engedélyezése 315 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A kiszolgáló aktiválása . .... 316 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Távoli asztali szolgáltatások engedélyezése . 316 . . . . . . . . . . . . . . . . . . . . . . . .
A Windows Server 2008 Server Core gépek felügyelete 317 . . . . . . . . . . . . . . . . . .
Az Active Directory tartományszolgáltatások telepítése a Server Core-ra 318 . . .
Windows távoli rendszerhéj . 318 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A Server Core vezérlése Csoportházirendek segítségével . . 319 . . . . . . . . . . . . .
Zárszó . .. . . . . . . . . . 319 . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . .
�
1 O. fejezet • Terminálszolgáltatások
A távoliasztal-protokoll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
A terminálkiszolgálói szerepkör felvétele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Távoli asztal engedélyezése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
A felhasználó oldaláról nézve . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
Az RDP-ügyfél használata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
A felhasználói környezet beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
Más ROP-ügyfelek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
A terminálszolgáltatások felügyelete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Terminal Services Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
Terminal Services Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
A terminálszolgáltatások webes elérése . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
Terrninálszolgáltatási átjáró . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 344 .

Zárszó . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
11. fejezet • A DHCP és hálózatvédelem
A dinamikus állomásbeállító protokoll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347

A DHCP működési elve . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
A DHCP-kiszolgáló telepítése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
Új DHCP-hatókör létrehozása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
DHCP-kiszolgáló engedélyezése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
Foglalások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
Az osztályok lényege . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
Főhatókörök . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . 356
Üközések észlelése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
A DHCP és a DNS együttműködése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
Hálózatvédelem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Az NAP működési elve . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Kényszerítő eljárások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
-
A hálózatvédelem fokozatos megvalósítása . . . . . .................... 362
A hálózatvédelem beállítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Előnyök és hátrányok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
Zárszó . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
12. fejezet • Bevezetés a fürtözési eljárásokba
Hálózati terheléselosztó fürtök . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372

Az NLB-vel kapcsolatos fogalmak . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
Az NLB működési módjai . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
Kapuszabályok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
NLB fürt létrehozása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
További csomópontok hozzáadása a fürthöz . . . . . . . . . . . . . . . . . . . . . . . . 380
-�� Windows Server 2008
Csomópontok eltávolítása a fürtből . . . 380

... . .. . ..
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
Teljesítmény-optimalizálás 381
..
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kiszolgálófürtözés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
A fürtökkel kapcsolatos fogalmak 383
. ... ...... ..
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Szolgáltatás- és alkalmazástípusok 383

.. .. .
. . . . . . . . . . . . . . . . . . . .
A fürt megtervezése 385

. . .. . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Valódi kiszolgálófürt létrehozása 387

.. .
. . . . . . . . . . . . . . . . . . . . . . . . . . .
Parancssori segédprogramok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390

Az egyes csomópontok kezelése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
A fürtszolgáltatás kezelése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Zárszó . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
13. fejezet • A PowerShell
Miért érdemes a PowerShellt használni? 393

... . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A PowerShell telepítése 394

. . ... .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A PowerShell és a biztonság 395

. . .. .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A PowerShell elindítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396

A PowerShell szíve: a cmdlet-ek 397
. . 398
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Segítség kérése a PowerShellben

... . .... .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Az adattárak használata és a PowerShell-szolgáltatók 400

. . .
. . . . . . . . . . .
A csővezeték 404
.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Alapvető formázási tudnivalók 405

. ..
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Változók 408
. . . .. ..
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Parancsfájlok írása 410

. ... . ... ...
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A .NET, a WMI és a COM objektumai 412

.
. . . . . . . . . . . . . . . . . . . . .
A PowerShell új távlatokat nyit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415

Hogyan tudhatunk meg többet a PowerShellről? . . . . . . . . . . . . . . . . . . . . . . . . 416
Zárszó . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
14. fejezet • Hyper-V
A Hyper-V működése . 419

.. . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Magas rendelkezésre állás 420

. . .. .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A Hyper-V használatának első lépései . . . . . . . . . . . . . . . . . . . . . . . . . . . 420

A Hyper-V telepítése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
Ismerkedés a Hyper-V felügyeleti eszközeivel 422
.
. . . . . . . . . . . . . . . . . . . . . . .
A Hyper-V eltávolítása 423

. ....
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Virtualizációs stratégia 423

. . ... . .. . ..
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zárszó . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
Tárgymutató 427
Záradék 443
Előszó
A Microsoft kiszolgálóközpontú Windows operációs rendszerei képességeiket, összetettségüket és
a szolgáltatásaik puszta számát tekintve is hatalmasat fejlődtek azóta, hogy az 1990-es évek elején
megjelent a Windows NT Server. A rendszergazdák minden kiadásban számtalan új fogalommal
találkozhattak, a tartományoktól, a címtárszolgáltatásoktól és a virtuális magánhálózatoktól kezdve
az ügyfelek karanténba zárásáig, a lemezkvótákig és az univerzális csoportokig. Arnint sikerült
az új ismereteket elsajátítani, máris ott voltak a még újabbak, és ismét küzdeni kellett, hogy tartsuk
a lépést. Ez azóta sem változott - az informatikai ipar ördögi kör.
Az egyik forrás, ahonnan a gondban levő rendszergazdák segítséget meríthettek, mindig is a mű
szaki könyvek piaca volt, illetve a szerzők, a kiadók és a felhasználók közösségei. A népszerű
operációs rendszerek fóbb változatainak kiadását mindig a támogatásukra íródott könyvek megje
lenése kísérte, mely könyveket gyakran a szaftvergyártók támogatták Egyes kiadványok úgy
reklámozzák magukat, mint az adott szaftver teljes útmutatója, míg mások olyan óvatosan közelí
tenek meg egy témát, mintha nem bíznának az olvasó értelmi képességeiben. Az évek során sok
könyv ugyanolyan összetett lett, mint az általa leírt operációs rendszer, és ugyanannyi hordalékat
is halmozott fel. Ha bemegyünk egy helyi könyvesboltba, a polcokon 1200 oldalnál is hosszabb
szörnyetegeket láthatunk, amelyeket hasznosnak találhatunk ugyan, de csak akkor, ha élvezzük,
hogy 20 kilónyi papírt kell emelgetnünk, és olyan fejezeteken kell átgázolnunk, amelyek azt írják
le, hogy miként működött valami négy WindowsNT-változattal ezelőtt. Végsősoron van egy határ,
amelyen túl már nem érdemes újra átdolgozni egy művet, hanem célszerúbb az elejétől újraírni,
hiszen az elavult információk tömkelege nem biztos, hogy segíti a hatékony munkát.
Fogadni mernék , hogy az Olvasónak tényleg nincs szüksége ilyen információkra, és ez volt az,
ami a Windows Server 2008- Az elsőszámú útmutató megírására ösztönzött. A kötet tartalmát
igyekeztem annyira megnyirbálni, hogy csak annyi háttérinformáció legyen benne, ami feltétlenül
szükséges ahhoz, hogy megértsük, hogyan működnek az egyes szolgáltatások ebben a Windows
változatban. Azt szeretném, ha az Olvasó az egyes részek elolvasása után világosan értené, hogy
rni zajlik a rendszer színfalai mögött, de anélkül, hogy úgy érezné, leckéket kellett vennie az ope
rációs rendszerek elméletébőL A könyvet elsősorban gyakorlati útmutatónak szántam, amely segíti
a munkánkat, és elmagyarázza, hogy mi hogyan működik, és hogy miként kell elvégezni bizonyos
feladatokat.
Windows Server 2008
A könyv tehát, amelyet a kezünkben tartunk (vagy elektronikus formában olvasunk az Interneten),
a piacon levő más könyvekhez képest tömörebb, olcsóbb és jobban összpontosít a gyakorlati fel
adatokra. Remélem, hogy nem okoz csalódást, és az Olvasó újra és újra fellapozza, hogy megértse
azt a hatalmas szoftvert, amelyet úgy hívnak, hogy Windows Server 2008.
Kinek szól ez a könyv?

A könyvet a kezdő és középhaladó rendszergazdák rendkívül hasznos segítségnek fogják találni
ahhoz, hogy megtanulják, hogyan működik a Windows Server 2008, és hogy rniként felügyelhe
tók
' az ezt az operációs rendszert futtató számítógépek. A kötet lépésről lépésre elmagyarázza
az olyan bonyolult fogalmakat és eljárásokat, mint a többszörözés az Active Directory segítségé
vel, a DFS névterek, a hálózati hozzáférés-szabályozás, a Server Care, a Windows PowerShell
vagy a kiszolgálófürtök A mindennapi rendszerfelügyelet szempontjából nem létfontosságú
ismereteket nem tárgyaljuk, de a fejezetek ennek ellenére tömve vannak hasznos információkkaL
A haladó rendszergazdák számára ugyancsak hasznos ez a könyv, mert olyan új fogalmakat és

rendszerösszetevőket fedezhetnek fel benne, amelyekkel kapcsolatban még nincsenek tapaszta
lataik. Úgy találtam, hogy a tapasztalt rendszergazdák egy-egy terméknek gyakran csak egy
vagy két területére összpontosítanak, é� az operációs rendszer más részeit kevésbé ismerik.
Kötetünk talán felfedezésre és a rendszer rejtettebb részeinek tanulmányozására ösztönzi őket.
Még egy dologra külön ki szeretnék térni: a könyv során végig igyekeztem a parancssor
használatát is bemutatni a grafikus felület mellett (illetve egyes esetekben azzal szembeállítva).
A parancssor - legalábbis az én véleményem szerint - kitűnő eszköz arra, hogy gyorsan és haté
konyan hajtsunk végre feladatokat, és arra is na·gyszerűen alkalmas, hogy ismétlődő feladatok
végrehajtására írt parancsfájlokat futtasson. A Microsoft remek munkát végzett, amikor beépítet
te a parancssor szolgáltatásait a Windowsnak ebbe a változatába, ezért én is igyekeztem, hogy
az erről a témáról szóló részek se valljanak szégyent. Mindazonáltal ha a grafikus felületért
rajongunk, akkor sem kell megijednünk: a kötetben a megszakott munkamódszerünkhöz is
minden információt megtalálunk
A könyv felépítése
A könyv tartalmának megszerkesztésekor igyekeztem logikus sorrendben bemutatni a rendszert,
az összefoglaló áttekintéstől a fóbb összetevők részletesebb tárgyalása felé haladva. A kötet
a következő részekből épül fel:
Az l. fejezet (A Windows Server 2008- bevezetés) a rendszert általánosságban tárgyalja:

bemutatja, hogy rnilyen Microsoft-filozófia áll a termék mögött és hogy rnilyen különböző
elérhető változatai vannak a rendszernek, összefoglalja a Windows Server 2008 új vagy
a korábbi kiadásokhoz képest továbbfejlesztett szolgáltatásait, és teljes áttekintést nyújt
a rendszer felépítéséró1. Ennek a fejezetnek az a célja, hogy a rendszergazdáknak teljes és
rendszerezett képet adjon a termékről.
A 2. fejezet (Helyi és távoli telepítés) részletes útmutatót ad a rendszer telepítéséhez a külön
féle környezetekben, valamint a tömeges telepítést is tárgyalja, amit a korábban kínált
telepítési lehetőségekhez képest jelentős előrelépést jelentő Windows Deployment
Services (Központi Windows-telepítési szolgáltatások) segítségével hajthatunk végre.
�
A 3. fejezet (Fájlszolgáltatások) a Windows Server 2008-ba épített fájlkezelési szolgáltatásokat
mutatja be. A fejezetet a fájlmegosztás és a megosztott állományok létrehozásának áttekin
tésével, az Actíve Directory-ban való közzététellel, a megosztott meghajtók csatlakoztatá
sával, a My Network Places (Hálózati helyek) kisalkalmazás használatával és a megosztott
állományoknak a Start, Run (Start, Futtatás) paranccsal, illetve az Internet Explorerbó1
történő elérésével kezdjük, majd részletesen bemutatjuk a Windows engedélyeit, a jogo
sultsági szinteket, a "különleges" jogosultságokat, az öröklést és a tulajdonlást. A fejezet
az engedélyek beállításához is útmutatást ad, valarnint áttekinti az elosztott fájlrendszert
(DFS, Distributed File System), annak üzembe helyezésével és kezelésével együtt.
A 4. fejezet (A tartomá nynévrendszer) a tartománynévrendszert (DNS, Domain Name
System) tárgyalja. Mivel a DNS alapvető része az Actíve Directory-nak, külön tárgyaljuk
a működését, beleértve a különféle támogatott erőforrásrekordokat és zónafájlokat,
a DNS együttműködését az Actíve Directory-val, az osztott DNS-architektúrát, illetve
a DNS-adatok biztonsági mentését és visszaállítását.
Az 5. fejezet (Active Directory) témája az Actíve Directory, amelyet a Windows Server 2008
legtöbb telepített változata tartalmaz, rnivel számos termék, amely ezt a kiszolgálórend
szert igényli, szarosan együttműködik az Actíve Directory-val. A fejezetben részletesen
leírjuk az Actíve Directory technikai oldalát, beleértve a címtár logikai és fizikai szerkeze
tét, a hierarchikus összetevőket (tartományok, fák, erdők és szervezeti egységek), és szót
ejtünk a méretezhetőségről és a többszörözésről is. Az LDAP-szabványok, valarnint
az áttelepítés és a biztonság kérdései ugyancsak szóba kerülnek. A fejezetet a tervezési
stratégiák, az Actíve Directory telepítése a Windows Serverre és a rnindennapi felügyeleti
feladatokat segítő eszközök ismertetése zárja.
A 6. fejezet (A Csoportházirendek és az IntelliMirror) a csoportházirendekkel- bármely
kiszolgálórendszernek az egyik leginkább alulértékelt felügyeleti szolgáltatásával -foglal
kozik. A fejezetet a GP (Group Policy, csoportházirendek) rendszer felépítése és működé
se bemutatásának szenteltük. Először áttekintjük a Csoportházirendek és az Actíve Dirctory
együttműködését, a részt vevő objektumokat, valamint az öröklést, majd gyakorlati útmu
tatót adunk a Csoportházirendek érvényesítéséhez a felhasználói és számítógép-házirende
ken, valamint a felügyeleti sablonokon keresztül, bemutatjuk a GP-n keresztül végzett
szoftvertelepítést, a felügyeletet segítő parancsfájlokat, a mappák átirányítását, illetve
a felhasználói felület egyéb elemeit. Ezen kívül szóba kerül az alkalmazások megosztását
segítő remek technológia, az IntelliMirror is (amely a Novell ZENworks-jéhez hasonlít).
A 7. fejezet (A Windows biztonsága és a javítócsomagok kezelése) ahhoz nyújt segítséget,
hogy tudjuk, miként zárhatjuk le a rendszereinket, hogy megvédjük mind a saját számítógé
peinket, mind az egész internetes közösséget a támadásoktól. A fejezetben foglalkozunk
a biztonsági házirendekkel, beleértve azoknak a készen kapott sablonokkal, valarnint
a testreszabott házirend-beállításokkal történő kezelését, és áttekintjük a SCAT (Security
Configuration and Analysis Tool, Biztonságkonfigurálás és -elemzés) eszköz használatát is,
majd bemutatjuk a Windows hálózati kiszolgálók és a szokványos Windows ügyfélrendsze
rek lezárásához szükséges eljárásokat (annak ellenére, hogy ez a könyv elsősorban a ki
szolgálókkal foglalkozik -a rendszergazdák ugyanis gyakran a teljes hálózatért felelnek,
az ügyfelek és a kiszolgáló biztonsága pedig kéz a kézben jár).
-· Windows Server 2008
A 8. fejezet (Internet Information Services 7) az ebben a Windows-változatban jelentősen
továbbfejlesztett liS részleteit fedi fel - az liS 7 valószínűleg a legjobb webkiszolgálói
szoftver, ami jelenleg elérhető. Bemutatjuk az új kiadás szerkezeti javításait és új szolgál
tatásait, majd a fejezetet az liS mindennnapi felügyeleti feladatainak gyakorlati ismerteté
sével zárjuk.
A 9. fejezet (Windows Server 2008 Server Care) a Windows Server 2008 új Server Care
kiadásaival foglalkozik, beleértve azok üzembe helyezését, aktíválását és az operációs
rendszer ezen GUI-mentes változatainak használatát
A 10. fejezet (Terminálszolgáltatások) témáját a terminálszolgáltatások adják, amelyeknek
a működését először a kiszolgáló rendszergazdájának, majd az átlagos felhasználónak
a szemszögéből tekintjük át. Ezt követően maguknak a terminálszolgáltatásoknak és
az olyan alkalmazásoknak és más eszközöknek a Terminal Services környezetbe telepítése
kerül terítékre, mint a Microsoft Office. Ez után útmutatót adunk a terrninálszolgáltatások
beállításához, beleértve az általános beállítási eljárásokat, a távvezérlési lehetőségeket,
a környezeti beállításokat, a bejelentkezést, a munkameneteket és az engedélyek ellenőr
zését. A fejezet végén a Terminal Services Manager (Terrninálszolgáltatások kezelője),
az Active Directory felhasználói eszközei, a Task Manager (Feladatkezelő), illetve a pa
rancssori eszközök segítségével végzett mindennapi rendszerfelügyelettel foglalkozunk.
A ll. fejezet (A DHCP és a hálózatvédelem) az operációs rendszer hálózati architektúráját is
merteti, beleértve a címzési és útválasztási kérdéseket, majd a különféle hálózati alrend
szereket mutatja be: a tartománynévrendszert (DNS, Domain Name System), a dinamikus
állomásbeállító protokollt (DHCP, Dynarnic Host Configuration Protocol), a virtuális
magánhálózatokhoz (VPN, Virtual Private Network) való kapcsolódást, annak különböző
szakaszait, a protokollbújtatást és a titkosítást, a .NET Server részét képező RADIUS
kiszolgálót, valamint az internetes hitelesítő szolgáltatást (lAS, Internet Authentication
Service). A fejezet végén az IPSec-ről, annak támogatásáról az operációs rendszerben,
illetve az IPSec telepítésének, beállításának, használatának és kezelésének módjáról
ejtünk szót, és kitérünk az ügyfelek karanténba zárására is.
A 12. fejezet (Bevezetés a fürtözési e!járásokba) a Windows fürtözési szolgáltatásaival foglal
kozik. Először ismertetjük a rendelkezésre álló különféle fürtözési szolgáltatásokat, majd
bemutatjuk, hogy miként kell helyesen megtervezni egy alapszintű fürtöt és annak
elemeit: az alkalmazásokat, a számítógépek csoportosítását, a kapacitást, a hálózat fel
építését, a felhasználói fiókok felügyeletét, illetve a lehetséges meghibásadási pontok
kezelését. Ezt követően a hálózati terheléselosztó fürtökkel foglalkozunk, a fejezetet
pedig a kiszolgálófürtök létrehozásának és kezelésének bemutatása, illetve az operációs
rendszerhez kapott felügyeleti eszközök áttekintése teszi teljessé.
A 13. fejezet (PowerShel[) témája a Windows PowerShell, a Windows Server 2008-ba
beépített erőteljes objekturnközpontú parancsfájl- és parancssori program-végrehajtó
technológia lesz.
A 14. fejezet (Hyper- 0 a Microsoft jelenleg megjelenés előtt álló virtualizációs megoldásának,
a Hyper-V-nek az alapjait, a szerkezetét, a működését és a Windows Server 2008-ra történő
telepítését ismerteti. A fejezetben ezen kívül a virtuális gépek létrehozásáról is szót ejtünk,
befejezésül pedig arra is vetünk egy pillantást, hogy mit várhatunk a Hyper-V hivatalos
kiadásátóL
�
A könyvben használt jelölések
A könyv tipográfiai jelölései a következők:
Normál betű
A menünevek, menüelemek, parancsgombok és gyorsbillentyűk (például az ALT és
a CTRL) normál betűkkel jelennek meg.
Dőlt betű
Dőlt betűvel írtuk az új fogalmakat, az URL-eket, az e-mail címeket, a fájlneveket és
-kiterjesztéseket, az elérési utakat, a könyvtárneveket és a parancssori prograrnak nevét.
Állandó szélességű betű (írógépbetű)
Ezt a betűstílust a parancsok, a kapcsolók, a változók, a jellemzők, a kulcsok, a függvé
nyek, a típusok, az osztályok, a névterek, a tagfüggvények, a tulajdonságok, a paraméte
rek, az értékek, az objektumok, az események, az eseménykezelők, az XML- és HTML
címkék, a makrók, a fájltartalmak, illetve a parancskimenetek jelzésére használjuk.
Félkövér, állandó szélességű betű
A felhasználó által a megadottal megegyezően beírandó parancsokat, illetve más szöve
geket jelöli.
Dőlt, állandó szélességű betű
Azokat az elemeket szedtük így, amelyek helyére a felhasználónak a megfelelő értékeket
kell beírnia.
Ez az ikon jelzi az általános megjegyzéseket.

Megjegyzés
Ez az ikon jelzi a tippeket, javaslatokat.
Ez a jelzés a lehetséges veszélyekre hívja fel a figyelmet.

Figyelem!
A kódpéldák használata
Ezt a könyvet azért készítettük, hogy segítsen a munkánk elvégzésében. A benne szereplő kódok
általában felhasználhatók a programjainkban és dokumentációinkban, tehát nem kell engedélyért
folyamodni a kiadóhoz, hacsak nem jelentős mennyiségű kódot kívánunk lemásolni. Például ha
olyan programot írunk, amely több kisebb kódrészletet használ fel a könyvből, nincs szükség
engedélyre, de ha terjeszteni vagy eladni szeretnénk egy O'Reilly-könyvből származó példákat
tartalmazó CD-ROM-ot, akkor igen. Ha a könyvet, illetve egy benne szereplő példakódot idézve
válaszolunk egy kérdésre, ugyancsak nem kell engedélyt kérnünk, de ha termékünk dokumentá
ciója jelentős mennyiségű példakódot emel át ebbó1 a könyvbó1, már engedélyre lesz szükségünk.
Örülünk neki, de nem követeljük meg, ha valaki feltünteti a forrást. A forrás feltüntetése általában
a szerző, a cím, a kiadó és az ISBN-szám jelzését jelenti, például így: ,Jonathan Hassell: Windows
Server 2008: The Definitíve Guide, Copyright 2008, Jonathan Hassell, 978-0-596-51411-2".
Ha a kódpéldákat olyan formában szeretnénk felhasználni, ami érzésünk szerint a fent említett
szabad felhasználási körökön kívül esik, lépjünk kapcsolatba a kiadóval a permissions@oreilly.com
címen.
Windows Server 2008
Elérhetőségeink
A könyvvel kapcsolatos megjegyzéseket és kérdéseket a következő címre várjuk:
O'Reilly Media, Inc.

1005 Graveostein Highway North
Sebastopol, CA 95472
Telefon- és faxszámaink
(800) 998-9938 (az Egyesült Államokban, illetve Kanadában)
(707) 829-0515 (nemzetközi/helyi)
(707) 829-0104 (fax)
Könyvünkhez egy webhely is kapcsolódik, ahol megtalálhatjuk a kötet hibajegyzékét,

a példafájlokat, valarnint további információkat Az oldal a következő címen érhető el:
http:!/www.oreilly.com/catalog/9 780596514112
Ha a könyvvel kapcsolatban technikai kérdéseink vagy észrevételeink vannak, erre a címre

küldhetünk e-mailt:
bookquestions@oreilly.com
Könyveinkről, konferenciáinkról, forrásközpontjainkról és az O'Reilly hálózatáról az alábbi

webhelyen kaphatunk tájékoztatást:
http:llwww.oreilly.com
Safari® Books Online
Safarr>
Ha kedvenc szakkönyvünk borítóján felfedezzük a Safari® Books Online
ikont, az arra utal, hogy a könyv elérhető az O'Reilly Network Safari
Books Online
Bookshelf nevű elektronikus könyvtárban.
A Safari az e-könyveknél színvonalasabb szolgáltatás: olyan virtuális könyvtár, amelyben több

ezer kiváló, műszaki témájú könyvben kereshetünk, összeollózhatjuk a példakódokat, letölthet
jük az egyes fejezeteket, és ha a legfrissebb, legprecízebb információra van szükségünk, hamar
választ kaphatunk a kérdéseinkre. A szaigáitatás ingyenesen kipróbálható
a http://safari.oreilly.com címen.
Köszönetnyilvánítás
Mindig is tetszett, hogy a műszaki könyvekben a köszönetnyilvánírások általában a könyv ele
jén találhatók, mert így a mozifilmekkel ellentétben, miközben olvassuk a könyvet, már tudjuk,
kinek köszönhetjük. De minden további körítés nélkül álljanak is itt a nevek:
A könyv elindításában jelentős szerepe voltJohn Osbomnak az O'Reilly-től, aki a kezdeti

szakaszban hasznos tanácsokkal és visszajelzésekkel is ellátta a szerzőt. A hibákat és hiányos
ságokat a szakmai lektorok kötelességtudó csapata gyomlálta ki, amely olyan informatikai
szakemberekből állt, rnint Dan Green, Eric Rezabek és Debbie Timmons.
Előszó It-
Külön köszönet jár a Microsoft és a Waggener-Edstrom számos munkatársának, akikkel a könyv
írása során kapcsolatba kerültem. Segítségük és a tőlük kapott naprakész információk nélkül
sokkal nehezebb lettt volna megszerkeszteni ezt a könyvet.
Végül, köszönet illeti a családomat, különösen a feleségemet, Lisát, aki minden alkalommal
türelemmel fogadta azt az egyébként elfogadhatatlan választ, hogy "Még nem", amikor újra és
újra feltette a jogos kérdést, hogy Elkészültél már azzal a könyvvel?".
"
A szerzőről
Jonathan Hassell a legkülönfélébb informatikai témákról ír könyveket és tart előadásokat, vala
mint tanácsadóként is tevékenykedik. Korábbi könyvei között olyanokat találunk, rnint
a Learning Windows Server 2003 és a RADJUS (mindkettő az O'Reilly kiadó gondozásában je
lent meg). Rendszeresen jelennek meg cikkei olyan folyóiratokban, rnint a Windows IT Pro,
a PC Pro és a TechNet Magazine.
A Windows Server 2008 - bevezetés
Minden a Windows NT-vel, a Microsoft első komoly olyan rendszerével kezdődött, amellyel a cég
belépett a hálózati kiszolgálók piacára. A Windows NT 3.1-es és 3.5-ös változata a NetWare uralta
piacon nem kapott különösebb figyelmet, már csak azért sem, mert ezek a rendszerek lassúak
voltak, és nem működtek együtt a többi rendszerrel. Aztán megérkezett a Windows NT 4.0, amely
a Windows 95 külsejét öltötte magára (amelyet csak azok tartottak forradalminak, akik nem ismer
ték az Apple Macintosh operációs rendszerének felhasználói felületét), és így barátságosabb arc
mögé rejtette az egyszerű, de alapvető szerkezeti változtatásokat. A 4.0-s változat ráébresztette
a nagyobb vállalatokat, hogy a Microsoft komolyan be szeretne lépni a vállalati számítógépek
piacára, még ha a termék akkor kínált változata még rnindig korlátozott méretezhetőségi és
rendelkezésre állási lehetőségeket biztosított is. Mindazonáltal a Microsoft engedményeket tett
a NetWare-felhasználóknak, és megkönnyítette számukra, hogy az új NT hálózathoz kapcsolód
janak. A biztonsági szolgáltatásokat ugyancsak átdolgozták, a jogosultságok (engedélyek) rend
szerét finom szintekre bontották, és bevezették a tartományokat: mindez jelezte, hogy a Microsoft
a vállalati számítógép-használatot a Windows fontos részének tekinti.
A rekordszámú (hat és fél) javítócsomag után az NT 4.0 sokak részéró1 kivívta magának a valaha
volt legstabilabb redmondi operációs rendszer címét. A legtöbb Unix-tapasztalatokkal rendelkező
rendszergazda azonban egy olyan operációs rendszerre vágyott, amely hitelesebb a vállalati kör
nyezetben: olyan rendszerre, amely a piacot régóta megkérdőjelezhetetlenül uraló hatalmas Unix
gépekhez mérhető. Ez a vágyuk csak :2"000 februárjában teljesült: ekkor jelent meg a Windows
2000 Server, amelyhez teljesen átdolgozták az NT 4.0-t, és amelynek tervezésekor a stabilitás és
a méretezhetőség volt az elsőrangú szempont
Valami azonban még mindig hiányzott. Míg a Sun és az IBM ipari hatékonyságú rendszerei -
a Solaris és az AIX - alkalmazás-kiszolgálói programokat és fejlesztőközpontú szolgáltatásokat
is tartalmaztak, a Windows 2000 nem rendelkezett ezekkel a képességekkel. Ezen felül
a Windows 2000-be beépített Internet Information Services (IlS) webkiszolgáló hírhedt bizton
sági problémái sötét felhóbe burkolták a jövőt, és kétségessé tették, hogy a Windows valaha is
életképes internetes vállalati operációs rendszerré válhat. A .NET webszolgáltatási megoldások
bevezetését sokan különösen kockázatosnak tartották a cég részéről, ezért létfontosságú volt,
hogy a Microsoft legközelebb valami jóval rukkoljon elő, és megőrizze a hírnevét
-� Windows Server 2008
Még nem volt késő, de sok vásárló igencsak aggódott a számos biztonsági hiányosság és
az ezek kiküszöbölését célzó javítócsomagok kényelmes kezelését lehetővé tevő rendszer
hiánya rniatt. Mindenképpen változásra volt szükség.
És ekkor színpadra lépett a Windows Server 2003. Mi különböztette meg ezt a kiadást az előzőtől
a hosszabb néven és a kettő megjelenési dátuma között eltelt három éven kívül? Nos, elsősorban
a biztonság. A Windows Server 2003 dobozában egy biztonságosabb rendszer bújt meg, ami
nagyrészt annak volt köszönhető, hogy 2002 márciusában az új fejlesztéseket egy teljes hónapra
leállították- ez volt a Trustworthy Computing Initiative kezdete, amikor is az összes fejlesztő és
termékmenedzser más sem csinált, rnint felülvizsgálta a meglevő forráskódot, biztonsági hiányos
ságokat keresve, és a biztonságos kódok írásának javasolt eljárásait oktató továbbképzésre járva.
A Windows Server 2003-ban a teljesítmény is javult, nagy hangsúlyt fektettek az operációs rend
szer méretezhetőségére, a vállalati rendszerfelügyeletet pedig általánosságban hatékonyabbá és
könnyebben automatizálhatóvá tették. A Microsoft a beépített programokat a Windows Server
2003 R2 kiadásban frissítette, egyszerűsítve a személyiségek kezelését a különböző címtárszolgál
tatások és biztonsági határok között, a fájlok megosztását és a könyvtárszerkezetek többszörözé
sét a kiszolgálók között, és még sok minden mást.
Természetesen soha nincs tökéletes szoftver, ezért rnindig lehet még jobbat alkotni. Ahogy
az üzleti követelmények változtak, a Microsoft fejlesztői egyidejűleg dolgoztak a Windows
Vistán és a következő kiszolgálói változaton. Arnikor a Windows Vista a gyártósorra került,
a csapatok ismét szétváltak: a Windows Server 2008 csapata felvett a rendszerbe néhány új
szolgáltatást, majd a kiadásig a teljesítményre és a megbízhatáságra összpontosított.
A legnagyobb változások
A Windows 2000 Server és a Windows Server 2003 közötti átmenettől eltérően, ami inkább csak ki
sebb frissítés volt, a Windows Server 2008-ban radikálisan átírták a termék kódjának magját. A Win
dows Server 2008 alapkódjának jelentős része megegyezik a Windows Vistáéval, amelyet közvetle
nül a biztonságos fejlesztési modell (SDM, Secure Development Model) eljárásaira építve írtak.
Ez a modell hatalmas változást jelentett a Microsoft programozási megoldásaiban, mert mindent
a kód biztonságosssá tételének rendelt alá. A termékben található számos új és továbbfejlesztett
szolgáltatás tehát egy biztonságosabb alapkódnak, illetve a rendszer következetességére és megbíz
hatóságára fektetett hangsúlynak az eredménye. A Windows Server 2008-ban a legjelentősebb vál
tozások a kiszolgálómag CServer Core) megjelenése és az Internet Information Services 7.0.
Server Care
A Server Core (kiszolgálómag) a Windows Server 2008 telepítési lehetősége, amely csak egy
részhalmazát tartalmazza a végrehajtható fájloknak és a kiszolgálói szerepeknek. A kiszolgáló
kezelését a parancssoron vagy egy önállóan futó beállítófájlon keresztül végezhetjük. Nézzük
a Microsoft meghatározását:
A Server Core-t azoknak a szervezeteknek szánjuk, akik vagy sok kiszolgálót üzemeltetnek,
amelyeknek csak bizonyos kijelölt feladatokat kell végrehajtaniok, de azokat kiemelkedő
stabilitással, vagy olyan környezetet tartanak fenn, ahol magasak a biztonsági követelmé
nyek, és a kiszolgálónak csak rninimális felületet szabad nyújtania a támadásoknak
1. fejezet • A Windows Server 2008 - bevezetés 1-
Ennek megfelelőerr a Care kiszolgálók csak bizonyos szerepeket tölthetnek be:
•
DHCP- (Dynamic Host Configuration Protocol, dinamikus állomásbeállító protokoll)
kiszolgáló
•
DNS- (Domain Name System, tartománynévrendszer) kiszolgáló
• Fájlkiszolgáló, beleértve a fájltöbbszörözési szolgáltatásokat, az elosztott fájlrendszert
(DFS, Distributed File System), az elosztott fájlrendszeri többszörözést (DFSR, Distributed
File System Replication), a hálózati fájlrendszert és az egypéldányos tárolást (SIS, Single
Instance Storage)
•
Nyomtatási szolgáltatások
•
Tartományvezérlő, beleértve az írásvédett tartományvezérlőket
• AD LDS- (Active Directory Lightweight Directory Services, Active Directory könnyűsúlyú
címtárszolgáltatások) kiszolgáló
•
Windows Server Virtualization (virtuális Windows-kiszolgáló)
•
US, bár a szokásos lehetőségeknek csak egy részével (statikus HTML-tárolás, a dinamikus
webalkalmazások támogatása nélkül)
• Windows-médiaszolgáltatások (WMS, Windows Media Services)
A Server Care gépek ezen kívül részt vehetnek Microsoft-fürtökben, hálózati terheléselosztást
alkalmazhatnak, helyet adhatnak Unix-alkalmazásoknak, titkosíthatják a meghajtóikat a Bitloeker
segítségéve!, távolról kezelhetők a Windows PowerShell segítségével egy ügyfélgépről, és
megfigyelhetők az SNMP-n (Simple Network Management Protocol, egyszerű hálózatkezelési
protokoll) keresztül. A legtöbb rendszergazda valószínűleg fiókirodákban helyezi majd el
a Server Core-t futtató szárnítógépeket, ahol azok tartományvezérlői feladatokat látnak el, és
kitűnőerr hasznosíthatják a némileg régebbi hardvereszközöket, amelyeket másképp le kellene
selejtezni. A Server Care kisebb mérete lehetővé teszi az operációs rendszernek, hogy kevesebb
rendszererőforrást használjon fel, a támadásokra kevés alkalmat adó felülete és a stabilitása pe
dig nagyszerű választássá teszi az említett feladatokra. Ezenkívül egy fiókirodában könnyűsúlyú,
biztonságos megoldást jelent, mert a Server Core-ral a kiszolgáló írásvédett tartományvezérlőként
is működhet, amelyen mindent titkosíthatunk a BitLoeker segítségéveL
Javftások az liS-ben
A Microsoft már tisztes korú webkiszolgálója jelentős változásokon esett át a Windows Server
2008-ban. Az US 7 -az US történetében először- teljes mértékben bővíthető, és teljes egészében
összetevőkön alapul: csak azt kell telepítenünk, arnire szükségünk van, így kisebb rendszerigé
nyű, válaszképesebb és a támadásoknak kevésbé kitett szolgáltatást kapunk. Az US felügyeleti
felületét is teljesen újratervezték A legfontosabb fejlesztések a következők:
Újraépített, összetevőkből felépülő szerkezet

Az US történetében először a rendszergazdák teljesen kézben tarthatják, hogy az IlS-nek
pontosan mely részei települjenek és fussanak egy adott időben. Pontosan azokat a szolgál
tatásokat futtathatjuk, amelyekre szükségünk van- se többet, se kevesebbet. Ez természe
tesen nagyobb biztonságot is jelent, nem beszélve a könnyebb kezelhetőségről és a jobb
teljesítményó1.
-·1 Windows Server 2008
Rugalmas bővíthetőség
Az IlS 7 lehetővé teszi a fejlesztőknek, hogy egy teljesen új AFI-készletet érjenek el,
amely képes közvetlenül együttműködni az IlS magjával, ami minden korábbinál
könnyebbé teszi a modulfejlesztést és a testreszabást. A fejlesztők ráadásul az IlS beállítá
si, parancsfájlkezelési, eseménynaplózási és felügyeleti területeihez is kapcsolódhatnak,
ami- inkább előbb, mint utóbb - sok ajtót megnyit a vállalati rendszergazdák és az IlS
képességeit bővíteni igyekvő külső szaftvergyártók előtt.
Egyszerűsített beállítás és alkalmazás-közzététel
A beállítás teljes egészében végrehajtható XML fájlokon keresztül. Az IlS központi beállí
tásait több fájlba is eloszthatjuk, ami lehetővé teszi, hogy az ugyanazon a kiszolgálón
található különböző webhelyek és alkalmazások önálló és mégis könnyen kezelhető beál
lításokkal rendelkezzenek. A Microsoft egyik kedvenc IlS 7-bemutatójában egy webfarm
kialakítása szerepel, amelyben egyformán beállított számítógépek kapnak helyet. Ahogy
a farm új gépeit üzembe helyezik, a rendszergazdának elég egyszerűen az XCOPY pa
ranccsal az új kiszolgálóra másolnia a meglevő beállítófájlokat, és az IlS másodpercek alatt
ugyanolyan beállítású lesz az új gépen, mint a régieken. Ez valószínűleg a legértelmesebb,
leghasznosabb változás az IlS 7-ben.
Átrnházott kezelés
Igen hasonló módon ahhoz, ahogy az Active Directory-rendszergazdák bizonyos felügyele
ti feladatok elvégzésére engedélyt adhatnak más felhasználóknak, az IlS-rendszergazdák is
átruházhatnak egyes feladatokat másokra.
Hatékony felügyelet
Az IlS Managert (IlS-kezelő) teljesen újratevezték, és ellátták egy új parancssori felügyeleti
eszközzel, amelynek a neve appcmd.exe.
Javítások a hálózatkezelésben
A Windows Server 2008 csapata külön erőfeszítéseket tett annak érdekében, hogy javítson
a hálózatkezelés sebességén és hatékonyságán. Most először két IP-réteg működik egyszerre
az 1Pv4 és az 1Pv6 támogatására. (Ha már próbáltuk beállítani az 1Pv4-et és az 1Pv6-ot egy
Windows Server 2003 rendszerű számítógépen, tudjuk, hogy kínszenvedés megfelelő együttmű
ködésre bírni a kettőt.) A kommunikáció biztonságát az IPsec jobb beépülése a TCP/IP-verem
különböző részeibe növeli. A Windows Server 2008 hatékonyabban használja a hardvert, így nö
velve a hálózati átvitel sebességét, a rendszeresen lefutó intelligens finomhangoló és optimalizá
ló algoritmusok biztosítják a hatékony kommunikációt, a hálózati verem alkalmazásprogramozá
si felületei pedig közvetlenebbül elérhetők, ami megkönnyíti a fejlesztőknek, hogy műveleteket
végezzenek a veremmeL Nézzünk is meg néhányat azok közül a fejleszrések közül, amelyeknek
a csapat a Next Generation Networking (új generációs hálózatkezelés) nevet adta!
A továbbfejlesztett TCP/IP-verem
Ahogy korábban már utaltunk rá, a Windows Server 2008-ban végrehajtott változtatások jelentős
része magát a TCP/IP-vermet érinti. Az egyik ilyen fejlesztés a TCP ablakméretének automatikus
hangolása: a Windows Server 2008 önműködően képes a fogadási ablak méretét beállítani
minden kapcsolathoz, ami növeli a nagy mennyiségű adatok átvitelének hatékonyságát
az ugyanazon a hálózaton található számítógépek között. A Microsoft példája szerint " ...egy
10 Gigabit Ethernet hálózatban a megállapodás szerinti csomagméret akár 6 megabájt is lehet".
A Windows Server 2003-ban megtalálható, halott átjárót észlelő algaritmusan apró javításokat
eszközöltek: a Windows Server 2008 időről időre megkísérel TCP-csomagokat átküldeni az általa
halottnak érzékelt átjárókon. Ha az átvitel nem ad hibát, akkor a Windows az alapértelmezett
átjárót automatikusan a korábban halottként érzékelt átjáróra állítja, amelyet most már élőként
tart nyilván. Emellett a Windows Server 2008 arra is képes, hogy a hálózati feldolgozó műveletek
terhét a CPU-ról a hálózati kártya áramköreire helyezze át, hogy a CPU más folyamatokkal foglal
kozhasson.
A hálózat méretezési lehetőségeit is továbbfejlesztették. A Windows Server korábbi változataiban

például egy hálózati kártya (NIC, Network Interface Card) egyetlen fizikai processzorhoz társult.
A Windows Server 2008 ezzel szemben-megfelelő hálózati kártya esetén-a kártyákat és a raj
tuk átluladó forgaimat több CPU között is képes elosztani (ezt a szolgáltatást hívjákfogadóoldali
méretezésnek), ami lehetővé teszi, hogy egy-egy hálózati kártya sokkal nagyobb adatmennyiséget
fogadjon egy jelentős terhelésű kiszolgálón. Ennek különösen a többprocesszoros kiszolgálók
látják hasznát, mivel a méretezés egyszerűen újabb processzorok vagy hálózati kártyák hozzáadá
sával végrehajtható, és nem kell hozzá teljesen új kiszolgálógépeket üzembe helyezni.
Változások a terminálszolgáltatásokban
A hálózati alkalmazások népszerűsége napról napra nő. Ez az oka annak is, hogy a Windows
Server 2008 a terminálszolgáltatások, illetve a távoli asztal területén a vártnál több változást tartal
maz, és az új képességek némelyike igen örvendetes. A három teljesen új szaigáitatás mellett
a fejlesztőcsapat javított a terminálszolgáltatás magfolyamatain is: például csak egyszer kell
bejelentkezill a terminálszolgáltatások munkameneteibe, amelyek most már több monitorra és
nagy felbontásban is kiterjeszthetők, a képernyő és az erőforrások jobb kihasználását a Windows
System Resource Managerrel (Windows rendszererőforrás-kezelő) való együttműködés segíti,
a terminál-munkameneteket pedig az ügyfél számára témák teszik gördülékenyebbé.
Amint említettük, a Windows Server 2008-ban három kulcsfontosságú új terminálszolgáltatás

található. Az első a Terminal Services RemoteApp. Néhány éve a Citrix MetaFrame kínált hason
lót, a Windows Server 2008 pedig most már alapállapotban támogatja, hogy közvetlenül futtas
sunk programokat egy kiszolgálóról, amelyen bekapcsoltuk a terminálszolgáltatásokat, és ezek
a prograrnak a Windows helyi példányába épülnek be, önálló gombokkal a feladatsávon, illetve
átméretezhető alkalmazásablakokkal, amelyek között az ALT+ TAB billentyúkkel válthatunk,
a rendszer Tálcáját távolról tölthetjük fel ikonokkal, és így tovább. A felhasználóknak fogalmuk
sem lesz, hogy az alkalmazás egy másik gépről fut, legfeljebb azt látják, hogy néha lassan
válaszol, ha a hálózaton késleltetés lép fel, vagy a kiszolgáló túlterhelt. A szolgáltatást ráadásul
egyszerűen bekapcsolhatjuk a rendszergazdának csak .RDP fájlokat kell létrehoznia, amelyek
lényegében szöveges profilok egy-egy terminálkapcsolat számára, amelyeket az ügyfél elolvas,
és a fájl alapján beállítja az adott program RDP- (Remote Desktop, távoli asztal) munkamenetét.
A rendszergazda ezenkívül .MS!fájlokat is készíthet, amelyek feltöltik a profilokat- ennek
az a fő előnye, hogy az .MS!fájlok hagyományosan nagyon könnyen közzétehetők az olyan
automatizált rendszerfelügyeleti megoldásokon keresztül, mint a Systems Management Server,
a Group Policy (csoportházirendek), az IntelliMirror, és így tovább.
Windows Server 2008
A második új szolgáltatás a Terminal Services Gateway (Terminálszolgáltatási átjáró), amely lehe

tővé teszi a felhasználóknak, hogy a terminálszolgáltatások által nyújtott alkalmazásokat bármilyen
webes portálról elérhessék az Interneten, biztonságosan, titkosított HTrPS-csatornán keresztül.
Az átjáró tűzfalakon keresztül is képes kapcsolatokat kialakítani, és helyesen kezeli azokat a NAT
fordítási helyzeteket is, amelyek korábban hátráltatták ennek a technológiának a használatát
Ennek köszönhetően a vállalatok már nem kényszerülnek arra, hogy VPN-elérést kelljen adniuk
a távoli felhasználóknak csak azért, hogy azok hozzáférjenek egy terminálszolgáltatásokat nyújtó
számítógéphez, ráadásul mivel az adatok átvitele HTTPS-en keresztül történik, a munkamene
tekhez szinte bárki hozzáférhet, ·még olyan helyeken is, ahol az RDP protokollt tűzfal blokkolja.
A rendszergazda kapcsolatengedélyezési házirendeket (CAP, connection autharizarion policy)
állíthat be, amelyek meghatározzák azokat a felhasználói csoportokat, amelyek jogosultak
a terminálszolgáltatások elérésére a terminálszolgáltatások átjárágépén keresztül.
A Windows Server 2008-ban a harmadik, a Terminal Services RemoteApp-pal együttműködő új

szolgáltatás a TS Web Access (Terminálszolgáltatások webes elérése), amelynek révén a rend
szergazda nyilvánosan közzéteheti a hozzáférhető távoli terminálprogramokat egy weboldalon.
A felhasználók a listában böngészve megkereshetik a futtatni kívánt alkalmazást, kattintással
elindíthatják, és gördülékenyen használhatják - a távoli terminálprogramok minden szolgáltatá
sával -, miközben továbbra is képesek maradnak más prograrnak elindítására ugyanarról
a webhelyrőL A szolgáltatás elég okos ahhoz, hogy felismerje, hogy az adott felhasználó által
elindított programoknak ugyanabban a terminálszolgáltatási munkamenetben kell futniuk, ami
megkönnyíti az erőforrások kezelését. A TS Web Access ráadásul SharePoint webhelyekbe is
beépíthető.
Active Directory: frásvédett tartományvezérlők

A Windows Server 2008-ban új fogalom az írásvédett tartományvezérlő (RODC, read-only
domain controller), amelynek olyan helyeken vehetjük hasznát, ahol a tartományvezérlő szere
pét betöltő számítógép nem látható el ugyanolyan fizikai védelemmel, mint egy adatközpont
gépei. Az írásvédett tartományvezérlők egy csak olvasható másolatot tárolnak az Active
Directory-ról, aminek azonnali haszna, hogy a bejelentkezés és a hálózati erőforrások hitelesíté
se felgyorsul, de hosszú távon a biztonságot is javítja. A támadók nem hajthatnak végre olyan
módosításokat egy fiókiroda könnyen hozzáférhető tartományvezérlőjén, amelyek feljebb ha
ladhatnának a fában a központ felé, hiszen a tartományvezérlő írásvédett. Ezen kívül az RODC
a fiókiroda felhasználóinak azonosítóit gyorstárazhatja is, és mindössze egyszer kapcsolatba
lépve egy a fában feljebb található szokványos, írható tartományvezérlővel, közvetlenül kiszol
gálhatja a felhasználók bejelentkezési kérelmeit Mindazonáltal ezt a gyorstárazást a Password
Replication Policy Qelszó-replikációs házirend) alaphelyzetben kikapcsolja.
Biztonsági javítások
A biztonsági problémák a Windows megszületése óta sújtják a Microsoftot, de a hibákat a rossz
indulatú támadók csak az utóbbi években kezdték kiaknázni, ahogy egyre több felhasználó
került kapcsolatba egymással. A javítócsomagokkal befoltozott termékek sebezhető pontjait
sokszor rossz tervezési döntések eredményezik; az ilyen hibáktól igyekezett megszabadulni
a Microsoft a Windows Server 2008-ban. Ebben az új rendszerben a szolgáltatások felépítése
jelentősen megváltozott: többek között az eddigieknél több rétegen kell áthaladnunk, ha el
akarjuk érni a rendszer magját; a szolgáltatások részekre oszlanak, ami csökkenti a tártúlcsor
dulás esélyét; és a magas kockázatú, előjogokkal rendelkező rétegek mérete kisebb, hogy
csökkentsék a támadási felületet.
Miközben alapvetően módosították az operációs rendszer felépítését, a Windows Server 2008

fejlesztői számos olyan szolgáltatást is beépítettek, amelyek célja a támadások és a rosszindulatú
prograrnak okozta fertőzések elhárítása, valarnint az érzékeny adatok kiszivárgásának és ellopá
sának megakadályozása. Nézzünk is meg néhányat a biztonságot érintő javítások közül!
Az operációs rendszer fájljainak védelme

A kiszolgálók indítási folyamatának egységességét a rendszerfájlvédelem nevű új szolgáltatás
biztosítja. A Windows Server 2008 a használatban levő magfájl, a rendszerhez tartozó elvont
hardverréteg (HAL, hardware abstraction layer), valarnint a rendszerindításkor elinduló
meghajtóprogramok alapján egy ellenőrző kulcsot hoz létre. Ha az ellenőrző kulcs létrehozása
után az említett fájlok bármely rendszerindításkor megváltoznak, az operációs rendszer tudni
fog róla, és leállítja a rendszerindítási folyamatot, hogy elháríthassuk a problémát.
Az operációs rendszer fájljainak védelme a lemezmeghajtón található minden bináris rendszerle

nyomatra (lemezképre) kiterjed. A rendszerfájlvédelem ebben a módban egy fájlrendszeri szűrő
meghajtóprogramból áll, amely minden lapot elolvas, ami betöltődik a memóriába, megvizsgálja
azok hasítóértékét, és ellenőriz minden lemezképet, amely egy védett folyamatba próbálja betöl
teni magát (általában ezek a folyamatok a legérzékenyebbek a szintváltási támadásokra).
A hasítóértékeket egy különleges rendszerkatalógus vagy egy a lemezen egy biztonságos fájlba
ágyazott X.509 tanúsítvány tárolja. Ha az említett tesztek bármelyike meghiúsul, a rendszerfájlvé
delmi szaigáitatás leállítja a folyamatot, hogy a számítógép biztonságos maradjon, ami aktív vé
delmet nyújt a rosszindulatú prograrnak ellen.
Bitloeker
A meghajtótitkosítási lehetőségek igénye már jó ideje felmerült a biztonsággal foglalkozó fórumo
kan, és azóta is népszerű a téma, a Microsoft pedig válaszképpen mind a Windows Vistába, mind
a Windows Server 2008-ba beépítette a BitLoeker nevű szolgáltatást. A BitLockert kifejezetten
az olyan helyzetekre tervezték, arnikor egy támadó fizikai hozzáférést próbál szerezni egy merev
lemezes meghajtóhoz. Titkosítás nélkül a betörő egyszerűen elindíthat egy másik operációs rend
szert, vagy egy betörőprogramot futtatva fájlokat érhet el, teljesen megkerülve az NTFS fájlrend
szer engedélyeit A Windows 2000 Serverben és a Windows Server 2003-ban megtalálható titkosí
tott fájlrendszer (EFS, Encrypting File System) egy lépést már tett a helyes irányba azzal, hogy
a biteket összekeverte a meghajtón, de a fájlok visszafejtéséhez szükséges kulcsok védelme nem
volt megfelelő. Ezzel szemben a BitLoeker a kulcsokat vagy egy TPM (Trusted Platform Module)
lapkában tárolja az alaplapon, vagy egy USB flash-meghajtón, amelyet rendszerindításkor kell
csatlakoztatnunk
A BitLoeker teljes megoldást nyújt: ha bekapcsoljuk, a szolgáltatás a teljes Windows-lemezkötetet

titkosítja, beleértve a rendszer- és a felhasználói adatokat, a hibernációs fájlt, a lapozófájlt és
az ideiglenes fájlokat is. A BitLoeker magát a rendszerindítási folyamatot is védi: az egyes rend
szerindító fájlok tulajdonságai alapján kivanatot hoz létre, így ha valamelyiket módosítják vagy
-:1 Windows Server 2008
lecserélik (például egy trójai programmal), a BitLoeker észleli a változást, és megakadályozza
a rendszerindítást Ez egyértelműen előrelépés az EFS korlátozásaihoz képest, és a titkosíratlan
meghajtókkal szemben lényegesen nagyobb biztonságot nyújt a rendszernek.
Az eszköztelepftés vezérlése
A vállalatokat egy másik biztonsági probléma is sújtja: az USB-kulcsok elterjedése. Nem számít,
milyen gondosan állítottuk be az engedélyeket a fájlkiszolgálókon vagy hangoltuk be a dokumen
tumtörlési lehetőségeket, és mindegy, hogy milyen belső szabályozás védi a szigorúan titkos" do
"
kumentumokat, egy felhasználó egyszerűen bedughat egy USB-kulcsot egy szabad USB-aljzatba,
és adatokat másolhat rá, teljesen megkerülve a fizikai védelmet. A lemezek általában olyan bizal
mas adatokat tárolnak, amelyeknek ideális esetben soha nem lenne szabad elhagyniuk a vállalat
számítógépeit, mégis gyakran akadnak rájuk elvesztett kulcscsomókon, reptéri várókban magukra
hagyott laptoptáskákban és más, hasonlóan veszélyes helyeken. A probléma mára olyan mérete
ket öltött, hogy egyes cégek ragasztóval betömik az USB-aljzatokat, hogy megakadályozzák azok
használatár, ami hatékony módszer ugyan, de nem túl elegáns.
A Windows Server 2008-ban azonban a rendszergazda letilthatja minden új eszköz telepítését,

beleértve az USB-kulcsokat, külső mereylemezeket és más új eszközöket is. Tehát egyszerűen
üzembe helyezhetünk egy számítógépet, és megtilthatjuk, hogy ahhoz hardvereszközöket adja
nak. Mindazonáltal az eszköz osztálya vagy azonosítója alapján kivételeket is megadhatunk,
például egy billentyűzet vagy egér telepítését megengedhetjük, miközben semmilyen más
eszközt nem, vagy engedélyezhetünk bizonyos eszközazonosítókat, vagyis egy adott márkájú
terméket, míg mások termékeit nem. Mindezt a csoportházirend-szerkesztőn keresztül állít
hatjuk be, a házirendek pedig a számítógép szintjén érvényesülnek.
Fokozott biztonságú Windows-tűzfal

A Windows Firewall (Windows tűzfal) Windows Server 2003 Service Pack l-ben található
változata pontosan megegyezett azzal, amelyet a Windows XP Service Pack 2-be csomagoltak
A Microsoft ezt a tűzfalváltozatot átmeneti megoldásként tette a Service Pack l-be: "telepítsék
most ezt, hogy legyen valamilyen védelem, mi pedig dolgozunk rajta, hogy a következő
Windows-változatban már jobb tűzfal legyen".
Nos, az idő elérkezett. Az új, fokozott biztonságú Windows-tűzfal (Windows Firewall with
Advanced Security) egyetlen, kényelmesen használható MMC-beépülőmodulban egyesíti a tűz
falszolgáltatásokat és az IPsec-kezelést Magát a tűzfalmotort is újratervezték, hogy csökkentsék
a szűrés és az IPsec összehangolása okozta többletterhelést Most már több szabályt lehet megha
tározni, és igen egyszerűen adhatunk meg olyan konkrét biztonsági követelményeket, mint a hi
telesítés vagy a titkosítás, a beállítások pedig számítógépenként vagy felhasználói csoportonként
érvényesíthetők. A kimenet szűrésére is lehetőség nyílik; a Windows Firewall korábbi változatai
ban kizárólag csak bemenetszűrést végezhettünk. Végül, a profilok támogatásán is javítottak
most már számítógépenként külön profilokat adhatunk meg a tartományhoz kapcsolódó gépek,
a magánhálózati kapcsolatok, illetve az olyan nyilvános hálózati kapcsolatok számára, mint
a nyilvános drót nélküli állomások (hotspot). A házirendek egyszerűen betölthetők (import) és
átvihetők (export), ami a több számítógépre vonatkozó tűzfalbeállítások kezelését egységessé és
egyszerűvé teszi.
1. fejezet • A Windows Server 2008 bevezetés
- 1-
Hálózatvédelem
A vírusokat és más rosszindulatú programokat gyakran szaftveres védelem állítja meg, mielőtt
egy felhasználó munkamenetében futhatnának, de a tökéletes védelem az lenne, ha egyáltalán
nem érnék el a hálózatot A Windows Server 2008-ban a Microsoft azt találta ki, hogy minden
számítógépnek eleget kell tennie a rendszergazda által beállított alapkövetelményeknek, és ha
azok közül akár csak egyet nem teljesít, a rendszer megakadályozható abban, hogy hozzáférjen
a hálózathoz, vagyis elszigetelhető az egészséges rendszerektől, amíg a felhasználó el nem
hárítja a számítágépén jelentkező problémát. Ezt a szolgáltatást hívják hálózatvédelemnek (NAP,
Network Access P rotection).
A hálózatvédelemnek három kulcseleme van:
Rendszerállapot-éroényesítés
Az érvényesítés során a kiszolgáló megvizsgálja a hálózathoz kapcsolódni próbáló számí
tógépet, bizonyos egészségi feltételek alapján, amelyeket a rendszergazda állít be.
Állapotmegfelelés
Az állapotházirendek gondoskodnak arról, hogy az ellenőrzésen elbukó felügyelt számí
tógépek automatikusan frissíthetők vagy kijavíthaták legyenek a Systems Management
Serveren vagy egy másik felügyeleti szoftveren keresztül, illetve a Microsoft Update vagy
a Windows Update segítségéveL
Korlátozott hozzáférés
A hozzáférés-védelem kényszerítő ereje a hozzáférés korlátozása. A NAP csak figyelő
módban is futtatható - ilyenkor naplóba írja a hálózathoz csatlakozó számítógépek
megfelelőségi és ellenőrzési állapotát-, aktív módban azonban az ellenőrzésen elbukó
számítógépek a hálózat egy korlátozott hozzáférésű területére kerülnek, amely általában
szinte rninden hálózati hozzáférést megakadályoz, és az adatforgaimat olyan különle
gesen megerősített kiszolgálókra korlátozza, amelyeken megtalálhatók a számítógépek
helyreállításához leggyakrabban szükséges eszközök.
Nem szabad elfelejtenünk, hogy a hozzáférés-védelem csupán egy felület, amelyen az ellenőrzés
elvégezhető- a Windows Server 2008 üzembe helyezése után további összetevőkre is szükség
van, például a rendszer egészségét vizsgáló rendszerállapot-ügynökökre (SHA, system health
agent), illetve a rendszer egészségét ellenőrző segédprogramokra, a rendszerállapot-érvényesí
tőkre (SHV, system health validator), amelyek gondoskodnak róla, hogy minden ügyfélgép
ellenőrzésére sor kerüljön. A Windows Vista alapállapotban tartalmaz testreszabható SHA és SHV
segédprogramokat.
A rendszer kezelésében végrehajtott javítások

Egy kiszolgáló csak akkor lehet hatékony, ha a rendszergazda megfelelően állítja be. A Windows
Server termékek hagyományosan könnyen működtethetők, a Windows Server 2008-ban azonban
sokat javítottak a kezdeti telepítésen és beállításon. A részleteket a könyv írása idején is finomítot
ták, így elképzelhető, hogy a végleges kiadásban egyes elemek megváltoztak, de így is érdemes
áttekinteni, hogy rnilyen újdonságokat kínál a Windows Server 2008 a rendszer kezelése terén.
-lel Windows Server 2008
A kiszolgálókezelő
A kiszolgálókezelőben CServer Manager) egy helyen tekinthetünk meg rninden információt
a kiszolgálóval kapcsolatban: vizsgálhatjuk annak stabilitását és épségét, kezelhetjük a telepített
szerepeket, és elháríthatjuk az esetleges beállítási hibákat. A Server Manager a Configure Your
Server, Manage Your Server (A kiszolgáló beállítása/kezelése) és Security Configuration Wizard
(biztonsági beállítások varázslója) felületeket váltja fel. Az MMC 3.0 számos beépülő modulját
gyűjti egy központi helyre, így egy pillantással felmérhetjük, hogy az adott gépen milyen
szerepek és szolgáltatások vannak telepítve, és az egyes elemeket egy helyről kezelhetjük
Windows Deployment Services

Sok rendszergazda megszerette a Windows 2000 Serverhez és a Windows Server 2003-hoz
bővítményként elérhető távtelepítési szolgáltatásokat (RIS, Remote Installation Services), amellyel
az ügyfél és kiszolgáló operációs rendszerek telepítését ki lehetett terjeszteni a hálózatra, és
a testreszabott telepítést mindössze néhány billentyű lenyomásával el lehetett indítani. A Windows
Server 2008-ban a Microsoft radikálisarr átdolgozta az RIS-t, és átkeresztelte Windows Deployment
Services-re (WDS, Központi Windows-telepítési szolgáltatások). A WDS is a rendszerindítás előtti
végrehajtási környezettel (PXE, pre-boot execution environment) és az egyszerű fájlátviteli proto
kollal (TFfP, trivial file transfer protocol) működik, de a vállalati Windows rendszereket az NT 3.0
óta sújtó csúnya, nehezen kezelhető, szöveges kék képernyős telepítést a Windows PE nevű grafi
kus felületre cserélte.
Megnövelt teljesítmény és megbízhatóság

A Windows Server 2008 további javításai közé tartozik a teljes rendszer megnövelt teljesítménye és
megbízhatósága. A Windows Server korábbi változataiban például két alapszintű eszköz- a fel
adatkezelő (Task Manager) és a teljesítményfigyelő (Performance Monitor) -állt rendelkezésre
ahhoz, hogy megtekintsük a folyamatokat, és ezek kiadásról kiadásra lényegében változatlanok
maradtak. A Windows Server 2008-ban az említett eszközöket egyetlen felületen, a Performance
Diagnostics Console-on (Teljesítménydiagnosztikai konzol) egyesítették, és beépítették a korábban
tárgyalt Server Managerbe, hogy megkönnyítsék a statisztikák és figyelmeztetések megtekintését,
amelyek leírják, hogy mennyire jól végzi a feladatait a számítógép.
Az erőforrásnézet egyszerű, de hatékony nézet, amely egyéb mérőszámok mellett megmutatja,

hogy a gépen az egyes folyamatok és szolgáltatások miként használják az elérhető erőforrásokat.
A megbízhatóságfigyelő (Reliability Monitor) részletes képet ad arról, hogy pontosan rnilyen ese
mények történnek rendszeresen vagy alkalomszerűen, amelyek rontják a kiszolgáló stabilitását.
A problémákat és a teljesítményt rontó eseményeket szoftvertelepítési tevékenységek, alkalmazás
hibák, hardverhibák, Windows-hibák és más, kategóriába nem sorolt problémák szerint tekinthet
jük meg. A Reliability Manitor ezek alapján előállít egy "stabilitási indexet", ami viszont sajnos
meglehetősen véletlenszerű szám, amely elvileg a rendszer egészségét mutatja egy l-től 10-ig
terjedő skálán.
1. fejezet • A Windows Server 2008 - bevezetés ll-
A Windows Server 2008 változatai
Mint mindig, a Microsoft most is úgy alakította ki a Windows Server 2008 különféle változatait,
hogy (legalábbis elméletben) minden vásárlói réteg megtalálja a számára megfelelő szolgáltatáso
kat megfelelő áron nyújtó terméket A Windows Server 2008 a következő változatokban érhető el:
Windows Web Server 2008

A Windows Server 2008-nak ezt a változatát úgy finomhangolták, hogy az IlS segítségével
webhelyek üzemeltetéséhez legyen optimális, ezért korlátozott hardvertámogatást és
szolgáltatásokat nyújt. Kifejezetten webkiszolgálónak szánták, így az IlS-en, az ASP.NET-en
és néhány más webhely-kezelési képességen kívül nem sok mindent találhatunk benne.
Kerüljük ezt a kiadást, hacsak nem rendelkezünk olyan számítógépekkel, amelyeknek
az egyetlen feladata webes és más internetes tartalmak szolgáltatása.
Standard Edition (SE)
Ez a Windowsnak az a "mezei" változata, amelyet a legtöbb vállalat valószínú1eg választ
majd. Két processzort és legfeljebb 4 GB memóriát támogat, és a többi változat legtöbb
szolgáltatását tartalmazza, beleértve a .NET keretrendszert, az IlS 7-et, az Actíve Directory-t,
az elosztott és titkosított fájlrendszereket, illetve a különböző felügyeleti eszközöket.
Emellett hálózati terheléselosztásra is lehetőségünk nyílik (Network Load Balancing- ezt
korábban az NT "prémium" kiadásai számára tartották fenn), valamint kapunk egy egysze
rű POP3- (Post Office Protocol 3) kiszolgálót, amely az IlS-ben már meglevő SMTP
(Sirnple Mail Transfer Protocol) kiszolgálóval együtt internetes levélkiszolgálóvá képes
változtatill egy Windows Server 2003-as számítógépet
Enterprise Edition (EE)
Ezt a változatot kifejezetten a teljesítményigényes környezetekhez tervezték: fürtözési tá
mogatást nyújt, legfeljebb nyolc processzort, x86-os alapokra épülő rendszereken 64 GB
RAM-ot, x64-es rendszereken pedig akár 2 TB memóriát támogat, ami akár a kiszolgáló
futása közben is bővíthető, valamint többek között korlátlan számú hálózati kapcsolatot
tesz lehetővé.
Datacenter Edition (DE)
Ez a megnövelt teljesítményű és méretezhetőségű Windows Server 2008-kiadás 8-32
processzorral tud együttműködni, amelyek üzem közben telepíthetők és cserélhetők,
memóriatámogatása pedig megegyezik az Enterprise Edition változatévaL A bővebb
tűzfalszolgáltatásoktól és a valamivel több virtuális gép engedélyezésétől eltekintve a DE
·
kiadás megegyezik az EE változattaL
Ha az egyes kiadásokról többet szeretnénk tudni, látogassuk meg a Microsoft webhelyét

a http:llwww.microsoft.com/windowsserver2008/en!us/editions-overview.aspx címen.
-fl Windows Server 2008
Hardverkövetelmények
A Microsoft által a Windows Server 2008 futtatásához meghatározott minimális és javasolt rend
szerkövetelményeket az 1.1. táblázatban soroltuk fel.
1.1. táblázat A Windows Server 2008 minimális és javasolt rendszerkövetelményei
Hardver Minimális követelmény Javasolt

Processzor l GHz (x86-os processzor) vagy 2 GHz vagy gyorsabb
1,4GHz (x64-es processzor)
Memória 512 MB RAM 2 GB vagy több RAM
Szabad lemezterület 10GB 40 GB vagy több
Optikai meghajtó DVD-ROM
Megjelenítő Super VGA (800 x 600) vagy nagyobb

felbontású manitor
Egyéb Billentyűzet és Microsoft egér vagy annak

megfelelő mutatóeszköz
Akinek vannak már korábbi tapasztalatai a Windows operációs rendszerekkel, az valószínűleg

tudja, hogy a Microsoft rninimális rendszerkövetelményei az alkalmi kiszolgálói feladatok végre
hajtásától eltekintve fájdalmasan elégtelenek (sőt gyakran a javasolt követelmények is). A kívánt
teljesítménytől (és persze az áraktó!) függően ezért mi az alábbiakat javasoljuk minden,
a hagyományos csatornákon keresztül beszerezhető Windows Server 2008-változathoz (erre
hivatkazunk a könyv során "reális minimumként" ):
•
Pentium III-as, l GHz-es processzor
•
Két processzor használatára alkalmas kiszolgáló számítógép
• Legalább 512 MB RAM
•
Legalább 9 GB szabad lemezterület
Manapság szinte naponta változik a PC-hardvereszközök ára, sebessége és hozzáférhetősége,

ezért hacsak nem az az egyetlen feladatunk, hogy rendszeresen meghatározzuk, hogy az ügyfél
és kiszolgáló számítógépeinknek milyen harciveren kell futniuk, elég egy hétnyi fejlesztésről
lemaradnunk, és máris nagyobb sebességű processzorok, javított lapkakészletek és gyorsabb,
megbízhatóbb merevlemezek kerülnek a piacra.
Természetesen a hardvereszközök kiválasztását vezérlő tényezők függetlenek az operációs rend

szertől: a fájlkiszolgálókan a lemezek sebessége a legfontosabb, rníg az alkalmazáskiszolgálókan
a lassabb processzor és memória az, ami a leginkább képes visszafogni a teljesítményt.
Zárszó
A Windows Server 2008 izgalmas szolgáltatásokat nyújt, amelyek sok rendszergazdának haszno
sak lehetnek. A termék Server Core változata valószínűleg hosszú ideje a leghasznosabb új tele
pítési lehetőség a Windows kiszolgálókban, és jól használható minden olyan helyzetben, amikor
sziklaszilárd kiszolgálókra van szükség. Ha a kiszolgálófarmunk a hálózatra erőteljesen támasz-
1. fejezet • A Windows Server 2008 - bevezetés If-
kodó alkalmazásokat futtat, a TCP/IP-verem változásait és a hálózat sebességét növelő egyéb
javításokat örömmel fogjuk fogadni, a hálózat méretezése pedig a hardvertámogatásnak köszön
hetően sokkal olcsóbbá válik, mert a korábbiaknál kevesebb fizikai kiszolgálóra lesz szükség.
A biztonság természetesen kiemeit fontossággal bír, az NAP pedig önmagában megéri, hogy
befektessünk a Windows Server 2008-ba. Ezen kívül a rendszerkezelési lehetőségeken is sokat
javítottak
Azokat az embereket és szervezeteket, akiknek jó okuk lehet nyomban a Windows Server 2008-ra
átállniuk, két általános csoportba sorolhatjuk:
Akik még mindig a Windows NT vagy a Windows 2000 Seroer valamelyik változatát
juttatják
Az NT Server 4.0 támogatása 2004. december 31-ével megszűnt. A Windows 2000 Server
általános támogatása 2005. június 30-ával ugyancsak; bár kiegészítő támogatás még 2010.
július 13-ig elérhető hozzá, célszerű megfontolni az átállást. A Windows Server 2008
alapvetően módosított kiadás, amellyel új szolgáltatásokhoz jutunk hozzá, igaz, ha még
mindig Windows NT-t vagy Windows 2000-et üzemeltetünk, valószínűleg hardverfrissí
résre lesz szükség.
Akik olyan friss Microsoft Select, Sojware Assurance vagy Open License engedéllyel rendel
keznek, amely lehetővé teszi nekik, hogy kiegészítő díj fizetése nélkül frissítsenek a legújabb
változatra
Ha a frissítésnek nincsenek anyagi vonzatai, a Windows Server 2008 előnyeit minimális
költséggel élvezhetjük.
Ha egyik fenti csoportba sem tartozunk, a Windows Server 2008-ra történő átállás előnyei már
nem ennyire nyilvánvalóak, bár a frissítés mellett komoly érveket lehet felhozni. Ha elégedettek
vagyunk Windows Server 2003-as vagy R2-es rendszerünkkel, és a fejezetet elolvasva nem talál
tunk olyan szolgáltatásokat, amelyekre feltétlenül szükségünk lenne mostanában, illetve
a Microsofttal sincs előnyös frissítési megállapodásunk, valószínűleg átugorhatjuk a rendszernek
ezt a kiadását, és megvárhatjuk a Windows Server 2009-et (vagy amelyik évben majd megjelenik).
A legtöbb cég számára minden időzítés kérdése. Vegyük figyelembe, hogy a Windows következő
jelentősen módosított változata még úgy három évre van tőlünk az asztali rendszerek esetében,
a kiszolgálói változatot tekintve pedig mintegy négy-öt évig kell várnunk. Ebben az időszakban
bőven lesz időnk átállni a Windows Server 2008-ra. Másoknak az anyagiak jelentik az elsődleges
szempontot: ha nem engedhetjük meg magunknak, hogy a Windows Server 2008-ra váltsunk,
nincs min gondolkodnunk. Ha elégedettek vagyunk Windows Server 2003-as vagy R2-es rend
szerünkkel, és megfelelően gondoskodtunk a biztonságáról, a Windows Server 2008-ban semmi
olyat nem találunk, ami egyértelműen nélkülözhetetlen, és ugyanez vonatkozik azokra is, akik
a Windows Server 2003 eredeti kiadását futtatják a Service Pack 1-gyel, a kiegészítő R2-es frissítés
nélkül.
Helyi és távoli telepítés
Most, hogy alaposan megismertük a Windows Server 2008 újdonságait, és megtudtuk, milyen iz
galmas dolgokat tartalmaz az új rendszer, illetve mi az, amit nem találunk meg benne, itt az ideje,
hogy telepítsük az operációs rendszert a szárnítógépeinkre. A Windows Server 2008 telepítése
egyszerű: a kihívást a rendszer beállítása és testreszabása jelenti. Először a telepítési folyamatot te
kintjük át; a fejezet nagy részét a felügyelet nélküli telepítésnek, az automatizált távoli telepítésnek
és a rendszerlemezkép kötegelt közzétételének szenteljük, mivel jelentős időt takaríthatunk meg,
ha a lehető legtöbb unalmas telepítési feladatot a számítógépre bízzuk. Vágjunk hát bele!
A Windows Server 2008 telepítése

A Windows Server 2008 telepítése új számítógépekre lényegében erőfeszítés nélkül végrehajtható.
Íme a lépések:
1. Kapcsoljuk ki a szárnítógépet, és helyezzük be a Windows Server 2008 DVD-t az optikai

meghajtóba. Ha a telepítő megkér, hogy válasszuk ki, honnan szeretnénk indítani a telepí
tést, döntsünk a CD-ről (DVD-ről) történő rendszerindítás mellett. Ekkor elindul a rendszer,
és megkezdi a telepítés folyamatát. Az először megjelenő Install Windows (A Windows
telepítése) képernyőt a 2.1. ábrán láthatjuk. Válasszuk ki a megfelelő nyelvet, idő- és pénz
nernformátumot, valamint a billentyűzet nyelvét, és kattintsunk a Next (Tovább) gombra.
2. Kattintsunk az Install Now (Telepítés most) gombra a képernyő közepén.
3. Amikor megjelenik a 2.2. ábrán látható következő ablak, a telepítő a termékkulcs beírását
kéri. Nem kell most rögtön beírnunk a kulcsot, de a telepítés befejezése után egy bizonyos
idő elteltével szükséges lesz egy érvényes kulcsot megadnunk. Ha tehát ezt most szeret
nénk elvégezni, írjuk be a kulcsot, és majd ügyeljünk rá, hogy (a következő képernyőn) azt
a változatot válasszuk, amelyik megfelel a beírt kulcsnak (erre különösen figyeljünk oda,
ha a kulcsot késóbb fogjuk megadni), különben késóbb a rendszer újratelepítésére lehet
szükség.
4. Amennyiben nem adtunk meg termékkulcsot, a 2.3. ábrán látható ablak jelenik meg, és
arra kér, hogy válasszuk ki a megvásárolt Windows-kiadást. (Ha a kulcsot beírtuk, annak
tartalma alapján a Windows önrnüködően kiválasztja a megfelelő változatot.) Jelöljük ki
a telepítendő rendszerváltozatot - szokványos vagy Server Core (kiszolgálómag) telepítési
móddal-, majd kattintsunk ismét a Next gombra.
-[l Windows Server 200 8
2.1. ábra
A Windows telepítésének kezdete
P Install WindD'h-s
-
Type your product key for activalion
Vou can find you r p roduct key on you r comput�r or on th4!! insU!Iation disc helder insidEc the:
WrndOW'5 package. Althcugh you a� notrequired to entl!!.ryour product key now to install, failure
to �terit may resu/t in thi!!. Iess of data, information. and programs. You may berequired to
se anothe:r edt
purcha i ion ef Windows. Wf! rtrcnglf advise that yo-u V�ter your p rodoct ide:ntific:l!tion
key now.
The product key st:icker loeles !ik e this:
... -
.-AU..�II.l!lt1'Jt�.1':UJ.J.••V:U•u.J..•II:
lll 11!1 !II[OlllllltiUU
P.ro duct key (da5hes w-tU be added automatica!ty):
JI
P Automatil:.ally actfv<1te: Windows when I'm online
t{hat is �ctivttion?
Bead cur privacy statemeflt 2.2. ábra

A termékku/cs beírása
5. Olvassuk el a felhasználási szerződést. Ha elfogadjuk (amit természetesen meg kell

tennünk, ha folytatni szeretnénk a telepítést), jelöljük be az ablak alján található
jelölőnégyzetet, és lépjünk tovább.
6. Ekkor a Which type of installation do you want? (Milyen típusú telepítést szeretne?) kép
ernyő jelenik meg, amelyet a 2.4. ábrán láthatunk. Ha a telepítőt egy korábbi Windows
rendszerből futtatjuk, az Upgrade (Frissítés) lehetőség is elérhetővé válik, amely lehetővé
teszi, hogy a legtöbb programunkat, fájlunkat és beállításunkat változatlan formában átvi
gyük a Windows Server 2008-ra. Ez nem a javasolt útvonal: példánkban tiszta telepítést
fogunk végezni egy üres, formázott merevlemezre, mely esetben az egyetlen elérhető
lehetőség a Custom (Egyéni) telepítés. Kattintsunk hát a Custom (advanced) - Egyéni
(haladó) -lehetőségre, és lépjünk tovább.
2. fejezet • Helyi és távoli telepítés If-
l' Install Windows;
,S.elect the edítion of Windows that you purchased
Wínlioll.sV'mion
Windows Server 2008 Standard (fulllnrtallationJ
WMf!Wfi#jlijij!Jif!ibii!iltW@@
Windows Sffif� 2008 Oatacl!.nter (Fulllnstallation)
\Vindows: Server .2008 Standard (St:rver Corelnitallation)
Windows Server 2008 Enterprise (Se!Vf!f c� lnstallation)
Windows Seiver 2008 Datacentl!.r (ServE!" Core lnstallation)
1f you enter your produrt k.ey, Windows can automaticaily drlumine which edition you purchased.
To enter your product key, did� the Bad: button to retum to the pr�Jicus page.
H you cheese not to mtu your product key now, m<�ke sure. that you .select the editiOn of Windows
that you purchas:e<:f.lf you select the wrong edition, you will n� to purchas:e that edition, or you
will n�d to reinsta ll the corred edition ef W'indOWl- !<Iter and potentially lo� files and information.
P' [have ��.&ted�-�- editi�-�-�!��-<!� th�i_I_e�rch�� 2.3. ábra

A Windows Server 2008 telepítendő
változatának kiválasztása
,. lnst.!IWindcw<
Which type of installation do you want?
yPgrade
Keep your files., settm.gs, ctnd programs and upgrade Windows.
Be sure. t o bad. up ycur fúes before upgrading.
(ustom (advanced)
Jnsb!l a d�ao copy cl Window� s�e:ct wh!"rto: you want to in�aiJ it. or m11k1:- e-hang l":�<
to disles and panitions.
� his option do�1. not k.t.tp ycm files, sdtings. .Hid pH;grams.
------��·�-------
.!::::!:elp me decide
Upgrade has been disabiM
- To up-grade, rtart the installottion from Windows.
2.4. ábra
A telepítés típusának kiválasztása
7. Ekkor megjelenik a jelenlegi lemezrészek (partíciók) listája (lásd a 2.5. ábrát); itt kedvünk
szerint hozhatunk létre, törölhetünk és formázhatunk lemezrészeket Ha rendelkezünk
egy legalább 15 GB szabad területet tartalmazó lemezrésszel, tovább haladhatunk.
Ha a lemezrészt még nem formáztuk, a telepítő ezt a műveletet is elvégzi.
8. Végül a telepítő átmásolja a fájlokat, és véglegesíri a beállításokat (2.6. ábra).
Ez akár 30 percig is eltarthat, ezért nyugodtan otthagyhatjuk a gépet.
Miután a rendszer néhányszor újraindult, a telepítés befejeződik. Az első ablak, ami ezt követően
megjelenik, a rendszergazdai jelszó megadását kéri. Ha visszagondolunk, rájöhetünk, hogy a tele
pítés folyamán sehol nem hoztunk létre felhasználói fiókot. A Windows önműködően hozza létre
a rendszergazda fiókját, amelyhez egy bonyolult ideiglenes jelszót is rendel, hogy a telepítés és
az első rendszerindítás közben védje a fiókot, de ezt az első bejelentkezéskor meg kell változtatni.
-1:1 Windows Server 2008
r- Jn�taU Windows
Where do you want to install Windows?
� Disk. O Unallocated Space
Drive options @d-".anced)
LoadOrtm
2.5. ábra
Lemezrészek törlése,
létrehozása és formázása
t'- Install Wtndows
Installing Windows.-
That's ali the information we need right now

. Ycur ccmput6 will restart seve-ral time; during
inst.!ltation.
Copying fil� (O%) .

Expanding fi!es
lnstalling fearures
tnstalhng updates:
Compk>ting msb1tatic;n
2.6. ábra
A telepítés befejezése
Kezdeti beállítások
Miután módosítottuk a jelszót, a Windows Server 2008 rendszergazdaként beléptet rninket, és
megjelenik az Initial Configuration Tasks (Kezdeti konfigurációs feladatok) képernyő, amelyet
a 2.7. ábrán láthatunk. Ebben az ablakban jónéhány-igaz, néha fárasztó-lépést elvégezhetünk
az újonnan felállított rendszer rnindennapi használatra történő beállításához: például megadhatjuk
az időzónát, IP címeket vehetünk fel és állíthatunk be, elnevezhetjük a számítógépet és egy
munkacsoporthoz vagy tartományhoz csatlakoztathatjuk, frissítést hajthatunk végre, és így tovább.
Melegen ajánlott, hogy az első művelet, amelyet ebben az ablakban végrehajtunk, a Download
and install updates (Frissítések letöltése és telepítése) lehetőségre történő kattintás legyen (feltéve,
hogy aktív hálózati kapcsolattal rendelkezünk az Internet felé), mert ezzel hozzájutunk a legfris
sebb biztonsági javításokhoz és javítócsomagokhoz, rnielőtt a számítógépet üzembe helyeznénk.
2. fejezet • Helyi és távoli telepítés IQ-
...,!!.f_x'
� Perform the falowing tasks to nmly canfigure thS seiVer l! WindowsServenooa

• Errterpnse
O I'mvide Computer Inforotalion

-
------------------------ ----------�-------- ------------------- - -- - ------�--��-��
r:fs..-- T�meZone: {GMT-08.00) Padíc Tlrl!e {JS _Carillda}
� """""'" """""""'" local Are� Conned.ion: iPv4 ad!n!S$ a� ey DHr.P. !Pvfi en�
ProvideCOI1'1lt(ernameand hdiCompute.-Hame: WJN-508LT-OHLELY

""""" Workgroup.: 'NORKGROUP
e .l!!'�'!�C:_!�is �!:".!:�---- ---·- --- ---- -- -�-��···� " ""'-�"""�"""": __
l.t2 � atiomatic �ing and Updatesz Nct ccd�

CiCI feecback feedbaGk: '1/lndo·.vs Error P.eportu;g off
Nol:partiopatiogr.Cusl.3ffi'S'f��ernert.Prv17Cm
.. DoY«ioad andrmal !4)dates Check� fur UpdatH: Nevel"

Installed Updates: Never
fl ÚJSklrjJizl'lg )'01.6 server -

Q Customize This Server
atddroles ..,..., None
�Add{eattMeS fe<�tur�: None L

co 2.7. ábra
r Qo not show-Ú'Iiu•
..ndow at bgon
� A kezdeti beállítások
• _llif{ lnitial <e!>flou,..�o T .,j Jiil(h
l ,,""... � képernyője
MAM A mai ellenséges internetes környezetben erősen javallott a rendszert egy olyan
számítógépre telepíteni, amelyet legalább egy hardveres tűzfal véd, és lehetőség
szerint egyáltalán nem kapcsolódik hálózatra, hacsak nem hálózati telepítést végzünk (erről a fejezet
későbbi részében olvashatunk). A Windows Server 2008 tűzfala már az első rendszerindításkor bekap
csolt állapotban van, de biztos, ami biztos: még soha nem hallottam olyan vírusról, féregről vagy trójai
program ról, amely olyan rendszerre került volna, amelyik nem rendelkezett hálózati hozzzáféréssel.
A UnkSys, a D-Link és más gyártók hardveres tűzfalai ezenkívül olcsók, újrahasznosíthatók, és a legkü
lönfélébb helyzetekre kínálnak megoldást. Sok-sok órányi fejfájástól kímélhetjük meg magunkat, ha
élünk ezzel az egyszerű lehetőséggel.
A termékaktiválás lényege
A Windows Server 2008 kiskereskedelmi forgalomban kapható példányait aktíválni kell.
Az aktiválás a Microsoft által bevezetett kalózkodás elleni óvintézkedés, amelynek a lényege,
hogy amikor a Windowst egy adott engedélykulccsal telepítünk egy számítógépre, a kulcs és
a hardver egyes jellemzői-többek között a hálózati kártya MAC címe-alapján létrejön egy
kivonat (a kivonat létrehozásának pontos módja természetesen titkos), amely ugyan nem képes
egyedileg azonosítani egy szárnítógépet, de a Windows telepített példányát igen. Az aktiválás
során a rendszer ezt a kivanatot küldi el a Microsoftnak. Elméletileg ha késóbb ugyanazzal
a termékkulccsal más hardverre (például egy másik számítógépre) próbáljuk telepíteni a rend
szert, különböző kivonat jön létre, így az aktiválás meghiúsul, mert valószínűsíti, hogy egynél
több példányban kíséreltük meg telepíteni az adott Windows-példányt, miközben az engedé
lyünk csak egy telepítésre szál.
_.,lal Windows Server 2008
A kiskereskedelmben vásárolt Windows Server 2008 esetében az első telepítés után 30 nap áll
rendelkezésünkre, hogy a terméket aktiváljuk Ha túllépjük a határidőt, nem leszünk képesek
bejelentkezni a rendszerbe, bár az konzolos hozzáférés nélkül tovább fut, amíg újra nem indítjuk
Az aktiválás hátránya, hogy ha több hardvereszközt is megváltoztatunk a rendszerben, a kivonat

megváltozhat, ezért a Windows panaszkodni fog, és a szoftver ismételt aktiválására kérhet rninket.
Ehhez viszont fel kell hívnunk egy ingyenesen hívható számot, és a cég képviselőjének el kell
magyaráznunk, rniért változott meg a hardver. A szolgáltatás heti 7 napban és napi 24 órában
rendelkezésre áll, de a probléma előadása nem kis időnket rabolja el. Maga a szolgáltatás gyors,
és sok felhasználó arról számolt be, hogy az ügyfélszolgálaton dolgozók segítőkészek és általában
elég rugalmasak, a helyzet azonban akkor is kínos.
A Windows Server 2008-hoz kétféle termékkulcsot bocsátanak ki. Az első típus az, amelyikről
korábban már szót ejtettünk: az önálló, egyetlen számítógépre szóló engedélykulcs, amelyet új
számítógépekhez, a Windows Server 2008 kiskereskedelmi forgalomban kapható példányaihoz
stb. adnak ki. (Ezek a kulcsok kis mértékben különböznek egymástól; például az OEM típusú
kulcsokat nem szükséges a felhasználónak aktiválnia, de ennek tárgyalása kívül esik fejezetünk
keretein). A másik kulcstípus a vállalati felhasználási szerződések hatálya alá tartozó rendszerek
hez tartozik. A Volume Activation 1.0-tól eltérően (amellyel a Windows Server 2003-ban találkoz
hattunk), amely olyan kulcsokat állított elő, amelyek megkerülték a termékaktiválást, a Volume
Aerivation 2.0- bár szintén többpéldányos engedélyekhez ad kulcsokat- nem kapcsolja ki
az aktiválást. Ehelyett ezek a kulcsok többszöri aktiválást is engedélyeznek - ezért is hívják őket
többször használható aktiválási kulcsoknak (MAK, multiple activarion key). A Microsoft így fogal
maz: "a számítógépek önállóan vagy egy központi számítógép segítségével aktiválhatók" (lásd
a következő részt), "amely egyszerre több számítógép aktiválását is elvégezheti" .
Az aktiválást és az egyes számítógépek termékkulcsait a hálózaton a Key Management Service

(KMS, kulcskezelő szolgáltatás) segítségével kezdhetjük, amelyet a Service Pack 1-gyel vagy egy
későbbi javítócsomaggal ellátott Windows Server 2003 vagy Windows Server 2008 rendszerű szá
mítógépen futtathatunk. A KMS-t futtató gépek a hálózat belső, Windows Vista Business, Win
dows Vista Enterprise vagy bármelyik Windows Server 2008 rendszerrel felszerelt számítógépei
nek aktiválását anélkül intézhetik, hogy az aktiválási kérelmeket a Microsoft nyilvános aktiválási
szolgáltatásához kellene továbbítaniuk Ez első pillantásra kényelmes módszernek tűnhet az akti
válás megkerülésére, de nem egészen egyszeri beállításról van szó: az operációs rendszernek azo
kat a példányait, amelyeket a vállalat KMS-én keresztül aktiválunk, 180 naponként egyszer újraak
tiválás céljából ismét csatlakoztatnunk kell a KMS-t futtató számítógéphez. Ezen kívül ahhoz, hogy
a KMS működjön, a hálózaton fizikailag legalább 25 Windows Vista rendszerű számítógépnek
vagy 5 Windows Server 2008-at futtató gépnek kell lennie. Természetesen a KMS-t futtató számító
gépnek is aktiválnia kell önmagát, amelyet egy KMS-kulccsal végezhet el. Ez a kulcs érvényesítés
után jogosulttá teszi az adott számítógépet az alárendeltjei aktiválására.
Érdekes módon a Windows Server 2008 alapértelmezett beállítása szerint KMS-ügyfélként viselke
dik, így ha a KMS-szerkezetet megfelelően alakítottuk ki, az új Windows Server 2008 rendszerek
a telepítésükkor automatikusan észlelik a hálózaton található KMS-kiszolgálókat, és aktiváltatják
magukat.
2. fejezet • Helyi és távoli telepítés 1)-
Távoli telepítés
A távoli vagy tömeges telepítés a Windows Server 2008-ban (és ha már itt tartunk, a Windows
Vistában is) radikálisan megváltozott. A régebbi RIS-t (Remote Installation Services, távoli telepítési
szolgáltatások), amely a Windows 2000 és a Windows Server 2003 része volt, a WDS (Windows
Deployment Services, Központi Windows-telepítési szolgáltatások) váltotta fel. A WDS számos
javítást és új szolgáltatást tartalmaz, amelyek közül talán a legfontosabb és leghasznosabb az új
Windows Imaging Forrnat (WIM) olvasásának, kezelésének és áramló átvitelének képessége.
A WIM-támogatást először a Windows Vistába építették be, és számos olyan problémát megold,
amivel már talán találkoztunk, ha dolgoztunk korábban Windowshoz készült rendszerlemezkép
kezelő programmal. A WDS továbbra is képes "örökölt" lemezképekről (image) telepíteni-
például kezeli a Windows XP-nek az RIS-sel használt telepítési formátumát -, de igazi erejét akkor
mutatja meg, ha különböző kiépítésű és felületű rendszerekre különböző rendszerindítási és
telepítési lemezképeket tartalmazó WIM fájlokat állítunk be.
Némi előzetes munkával (ami finomao szólva elég kimerítő lehet), jelentősen csökkenthetjük
az időt, ami ahhoz szükséges, hogy tömeges távoli telepítést hajtsunk végre különböző típusú,
felépítésű és beállítású számítógépeken. Nézzük is meg, milyen létfontosságú elemekből áll
a Windows Server 2008 távoli telepítő rendszere!
Windows Imaging Forrnat

A Windows Imaging Format, amely egy hardverfüggetlen formátum, amely az operációs rendszer
lenyomatát tárolja, a Windows Vistában jelent meg. A WIM előnye, hogy egy WIM fájlon belül
több rendszerindító lemezkép is lehet. Mivel a Windows Vistát modulárisnak tervezték, az operá
ciós rendszer alapjának 95%-áról tetszőleges számú lemezkép készíthető; ennek eredményekép
pen a Microsoftnak elég csak egy-egy bináris lemezképet terjesztenie minden processzortípushoz
(x86 és x64), ráadásul az egypéldányos tárolásnak és a jobb tömörítésnek köszönhetően
a lemezképfájlok mérete kisebb lehet. Saját célra mi is nagyon könnyen készíthetünk, illetve
módosíthatunk meglevő WIM fájlokat
A WIM formátum használhatóságát talán az javítja a leginkább, hogy a lemezképeket olyan szok
ványos fájlkezelő eszközökkel is szerkeszthetjük, mint a Windows Explorer (Windows Intéző).
A lemezképhez fájlokat és mappákat adhatunk, például az RIS-ben nehézkes módon tudtunk csak
egy lemezmeghajtót felvenrii a lemezképbe, most viszont közvetlenül beejthetjük a meghajtót egy
WIM lemezképbe, és az a későbbi telepítéskor automatikusan elérhetővé válik. Ami pedig
a legjobb, hogy nem kell külön lemezképet készítenünk minden módosított változathoz- minden
bővítés, módosítás és törlés megfér egymással egyetlen lemezképben, ami jelentősen megkönnyíti
a lemezképek kezelését.
Windows PE
A Windows Pre Environment vagy Windows PE egy végrehajtási környezet, amely az operációs
rendszer telepítését segíti, illetve a telepítés során fellépő problémák orvoslására hivatott. Az NT
korábbi változataival szemben, ahol kék hátterű, szöveges telepítőképernyővel találkoztunk,
a Windows PE grafikus felületű, és mindenféle eszközt tartalmaz, ami szükséges lehet ahhoz,
hogy egy lemezmeghajtóra telepítsük a Windows Server 2008 vagy a Windows Vista rendszert.
A Windows PE-ben az az izgalmas, hogy a Windows szabványos hálózati illesztőprogramjai
alapállapotban együttműködnek vele, így nem kell külön hálózati telepítésre szánt NDIS
illesztőprogramokra vadásznunk Ezen kívül a Windows PE egy beépített tűzfalat is tartalmaz,
ami védi az operációs rendszert annak legsérülékenyebb állapotában, vagyis amikor még csak
részben települt, valamint bármilyen cserélhető adathordozóról képes illesztőprogramokat
betölteni a telepítés közben. Emlékezhetünk rá, rnilyen bosszantó volt korábban, hogy csak úgy
tölthettünk be (és csak hajlékonylemezről) egy illesztőprogramot, ha a telepítés megfelelő pilla
natában lenyomtuk az F6 billentyűt - a Windows PE-nek köszönhetően rnindez már a múlté.
Windows Deployment Services

A Windows Deployment Services a Windows 2000 és a Windows Server 2003 RIS-ének következő
nemzedéke. Először a Windows Server 2003 Service Pack 2-ben jelent meg, a Windows Vista
pedig csak rajta keresztül telepíthető hálózaton át, ezért ha Vista-lemezképeket szeretnénk asztali
és hordozható számítógépekre átvinni az Interneten keresztül, az említett javítócsomaggal frissíte
nünk kell az RIS-kiszolgálóinkat, majd telepítenünk kell a WDS-t. A WDS az x86-os és x64-es
lemezképeket is támogatja.
Az RIS-hez hasonlóan a WDS is kihasználja a legtöbb mai BIOS és hálózati kártya PXE- (Preboot
Execution Environment, rendszerindítás előtti végrehajtási környezet) lehetőségeit, hogy elindít
san egy Windows PE munkamenetet. A Windows PE ez után megjelenít egy menüt a felhasználó
nak, amelyben a WDS futtató gépen elérhető minden lemezkép és telepítési lehetőség szerepel.
A felhasználó kiválasztja a célt, a telepítő pedig elhelyezi a (természetesen WIM formátumú) le
mezképet a célszámítógép merevlemezén. Ha a beállításaink helyesek, az egész folyamat roppant
elegáns, és elképzelhető, hogy egy rendszert- egyes esetekben az alkalmazásokkal és beállítások
kal együtt- kevesebb mint 30 perc alatt lemásoljunk. Ez a rendszergazda álma: ahelyett, hogy órá
kat vesztegeme valamilyen rejtélyes probléma felderítésére, egyszerűen átküld egy új lemezképet
a felhasználó számítógépére, amíg az ebédel - és a probléma máris megoldódott! Mi most persze
egy ideális esetet vázoltunk, de a WDS-nek és a WIM-nek köszönhetően mindez reális lehetőség.
Mi az, ami megváltozott az RIS-hez képest? A Microsoft alábbi listájának köszönhetően gyorsan
végigfuthatunk a változásokon:
• Nem csak Windows XP és régi NT alapú operációs rendszereket, hanem Windows Vistát
és Windows Server 2008-at is telepíthetünk távolról.
•
Rendszerindító operációs rendszerként telepítéshez és hibaelhárításhoz egyaránt
a Windows PE-t használhatjuk
•
A WDS támogatja a WIM lemezképek távoli telepítését.
• Az adatokat és lemezképeket adatszórással vihetjük át, ami jelentősen növeli a hálózaton
keresztül végrehajtott tömeges telepítés méretezhetőségét és hatékonyságát.
•
Továbbfejlesztett PXE kiszolgálócsonk áll a rendelkezésünkre.
•
Az új, felhasználóbarát rendszerindító menü könnyebben használható és egyszerúoben
beállítható.
• Új kezelőkonzolt kapunk, amely segít a hálózat WDS-kiszolgálóinak, illetve az azokon
található rendszerindító és telepítési lemezképeknek a kezelésében.
2.
Kétféle WDS-kiszolgálót hozhatunk létre: átvitelkiszolgálót és központi telepítési kiszolgálót.

Az átvitelkiszolgáló csak alapszintű hálózati szolgáltatásokat nyújt, tehát nem biztosítja a WDS
minden lehetőségét, viszont hasznos, ha az adatszórás előnyeit nagyobb környezetekben sze
retnénk kiaknázni. A központi telepítési kiszolgáló ezzel szemben a WDS minden képességével
rendelkezik, beleértve az átviteli szolgáltatásokat is. A fejezet további részében leírtak azt felté
telezik, hogy központi telepítési kiszolgálót alkalmazunk.
A Windows Deployment Services telepítése és beállítása

A WDS telepítéséhez egy olyan Windows Server 2008 rendszerű számítógép szükséges, amelyet
valarnilyen módon egy tartományhoz csatlakoztattunk Ezen kívül a hálózaton működnie kell
a DHCP-nek, valamint érvényes DNS-felépítéssel, egy NTFS formázású lemezrésszel és a WDS-t
futtató kiszolgálón egy olyan felhasználói fiókkal kell rendelkeznünk, amely egyszerre a tartomány
felhasználója és helyi rendszergazda. Ha mindezeket a követelményeket teljesítjük, a WDS-t úgy
telepíthetjük, hogy betöltjük a Server Marragert (Kiszolgálókezelő), a Roles Summary (Szerepkörök
összegzése) ablaktáblán az Add Roles (Szerepkör hozzáadása) lehetőségre kattintunk, majd
a Windows Deployment Services (Központi Windows-telepítési szolgáltatások) pontot választjuk
Miután felvettük a szerepet, be kell állítanunk a WDS-kiszolgálót. Erre egy parancssori segéd
programot használhatunk, amelynek a neve nem meglepő módon WDSUTIL, de a programnak
van grafikus felületű párja is, amelyet az MMC beépülő moduljaként érhetünk el. Az alábbi
példában a WDS grafikus felületét fogjuk használni.
Az első lépések a következők:
1. Létre kell hoznunk egy megosztott mappát, amely a PXE alapú hálózati rendszerindítást
lehetővé tevő programokat és támogató fájlokat tárolja, valamint a Windows PE fájljait,
amelyeket az egyes számítógépek egy dinamikus RAM-lemezben fognak tárolni, magának
a Windows PE-nek a rendszerindító lemezképeit, hogy a PE teljes egészében az ügyfélgé
peken futhasson, illetve az operációs rendszereink telepítési lemezképeit (ezek azok
a WIM fájlok, amelyeket telepíteni szeretnénk a célgépekre).
2. Ezt követően meg kell adnunk a WDS-nek, hogy miként válaszoljon a hálózatról érkező
PXE-kérelmekre, vagyis hogy a bejövő ügyfélkérelmeket teljesítse vagy figyelmen kívül
hagyja-e, attól függően, hogy a telepítést mennyire biztonságos módon szeretnénk végre
hajtani.
3. Ez után meg kell változtatnunk a DHCP-beállításokat, aszerint, hogy a DHCP szolgáltatást
egy Windows Server 2008 rendszerű számítógép vagy valamilyen más hálózati eszköz
nyújtja. Az ügyfeleknek a 67-es UDP kapun át zajló minden DHCP-adatszórását közvetle
nül a DHCP-kiszolgálóra, illetve a Windows Deployment Services PXE-kiszolgálóra kell
továbbítanunk, és ezen kívül az ügyfélgépekről a 4011-es UDP kapura érkező minden for
gaimat megfelelőerr át kell irányítanunk a Windows Deployment Services PXE-kiszolgáló
hoz. Erről a lépésről a legtöbb környezetben a központi Windows-telepítési szolgáltatások
beállító varázsiója (Windows Deployment Services Configuration Wizard) gondoskodik.
A Windows Deployment Services Configuration Wizard a fenti feladatok többségének elvégzé

sében segít, ezért hát töltsük be, és a varázsló segítségével adjuk meg az alapbeállításokat
-{l Windows Server 2008
Ha még nem tettük meg, telepítsük a WDS szerepkört az Add Roles Wizard (Szerepkörök hozzá
adása varázsló) segítségéve!, amelyet az Initial Configuration Tasks oldal alján található megfelelő
hivatkozásan keresztül indíthatunk el. Ez után a Start menü Adrninistrative Tools (Felügyeleti
eszközök) almenüjéből válasszuk a Windows Deployment Services elemet. A bal oldali ablaktáb
lában bontsuk ki a kiszolgálók listáját, kattintsunk az egér jobb gombjával a jelenlegi kiszolgálóra,
és válasszuk a Configure Server (Kiszolgáló konfigurálása) lehetőséget, ami elindítja a varázslót.
1. A Select Server Roles (Kiszolgálói szerepkörök kiválasztása) képernyőn, amelyet

a 2.8. ábrán láthatunk, kapcsoljuk be a Windows Deployment Services jelölőnégyzetet, és
kattintsunk a Next gombra.
� Select SeJVer Roles
······��
Sefure You Begln Select one or m
ore- r�to l'lsfaliJXt thS' server.
&otes: DesC'Ii'ption:
Wj)S �0�,7��.��.-.,�-.�c�-..�,�-.re�s�-�-.5--��- of
RoleSet>i<es D A..'bve Directory DomainSeiV!ces
Canfirmalion
l'ro!ir$>
D A..�
D Active Dl"ectory Federation Sen.'tes
Di"ectory Ught-Height Directory Services
[J Adive Directory Rights Management Services
R-'l$ QAppikationSe<Ve
C DHCPServer
D DNS Server
O FaxServer
O FileServices
D Hyper-V
D Network Policy and Access Servr--es
O PríntServices
C TerminalServices
D LODI Sen'ice:s
D Web Server {!IS)
[il N11!MMrtMifitMI§n:q
2.8. ábra
A kiszolgálói szerep
körök kiválasztására
szalgá/ó képernyő
2. Ekkor megjelenik az Overview of Windows Deployment Services (Központi Windows-te

lepítési szolgáltatások- áttekintés) képernyő, amelyet a 2.9. ábra mutat. Olvassuk el a le
írást és a követelményeket, majd ha végeztünk, kattintsunk a Next gombra.
3. A következő ablak a Select Role Services (Szerepkör-szolgáltatások kiválasztása), amelyet
a 2.10. ábrán láthatunk. Itt választjuk ki, hogy a WDS két szerepe közül melyiket szeret
nénk telepíteni, de mindkettő mellett is dönthetünk A Deployment Server (Központi te
lepítési kiszolgáló) szerep a WDS rninden képességét és szolgáltatását biztosítja, és
a Transport Server (Átvitelkiszolgáló) szerep összetevőit is igényli, amelyek az operációs
rendszer lemezképében található bitek és bájtok tényleges mozgatását végzik a hálóza
ton. A Transport Server szerepet a Deployment Server szerep nélkül is telepíthetjük, de
ez fordítva nem igaz. Próbáljuk ki: ha megpróbáljuk eltávolítani a Transport Server szere
pet, miközben a Deployment Server szerepet megtartjuk, az Add Roles Wizard hibaüze
net jelenít meg. A szemléltetés céljából jelöljük most ki mindkét szerepet, majd kattint
sunk a Next gombra.
4. Ekkor a telepítéshez választott beállítások megerősítését kérő képernyő jelenik meg.
Ellenőrizzük a varázslóban választott beállításokat, és ha mindent rendben találtunk,
kattintsunk az Install (Telepítés) gombra. Elképzelhető, hogy a számítógépet újra kell
indítanunk.
Add Roles Wr.tard � «�'h x
Overview of Windows Deployment Services
�foteYoo� Introdud:ion to Windows Oeployment 5erYíces

SeverRoles You can use Wndo1NS Depfoyment Services to mtai and configure Mi&.osoft Windows operating systems
remotefy on �ter.s that are PXE-enabled� Window DeploymentSe'vkes replt�ces Remote Instalabtf'l
Services (JUS) and aSSists With the rapid adoption and deployment of\.Vindows VIsta, W�s Server ZOOS,
Wmdows XP and Wrdows Server 2003. T'he WnckYxs Oeployment Servk:es"""" SI'VJP"ittalc!NS '/(lU to maoage
RdeSerW:rs al aspects oh\'indows Deployment Sef\iees. Wl'ldows DeplovmentSer\ices also orovides end-users .,;th an
Confi'matian expenern thet iS eoosistent 'Mth \-�Setup,
Progress
RWts Oepfoyme:nt Setverrequíres that Actve Dir&tory Domain Se'vns, OHCP, and DNS serv:iC6 are availbl:>le
on you- network. Transport 5@rver does not requfre any adcitional roles or services. Both of tilese se:rvic�
reqt.ke anNTFS �tionfor the� sue.
Beftire you begin, vou need to conf�Qlre Wndows Deployment Se'vices
by t1Xlrli1g .eithe- the\�·
Depbyment Services Confiqlntion Waard or Y'IDSUtf.exe. You d also need to add at !.east one: boot
ifM9e MCt one Íf'l$tal-fmage to tM� store.
(DToinstbll Wfldows opereting system ftom a Windows Oeployment Services servert. either the dient
COIT{!Ute:rS truSt be PXE'«labled, or you must USI! the Windows Setver 200S·version--ofW'ndows
PreinstalatiOO Environment {WJ'ldo:....s PE).
AdditionaiiJIIonna-.
Overviewof'NfldowsOep!oymentSeryic.es
2.9. ábra
ConfigtmgWfldowsDepioyment SeMces A központi
ManagingwndowsOep!oymentSeryio;s
Windows-te/epítési
sza/gáitatások
�·-�>� l �s�O cance :�1 áttekintő képernyője
Select Role Services
Be:fnreYou� Select the rt*: services to Tlstcf for Windows Deployment Services:
Se<verRoles Roie se-vic:es: 05aiption:
\\US ..., - . Transpo JtServerptovi des a subsetof
the functlonality of Windows
ROie:SerJ>C"'$ Deployment Services�It cont1ins ordy
Confi'maticn
the core nd:worldng parts,
v.nich you
i
canuse to transrnítdataus ng
-= multicasting onastand-aloneserver.
Y ou should use thisrole service ifyou
i
�<=Als want to tritll sm.itdataus ng
multicasting, butdo not want to
incorporateall of'lllind ows
Deploymen t Services.
2.10. ábra
A szerepkör-szolgá/ta
tások kiválasztására
Cancel
Miután a WDS-szerepek telepítése megtörtént, ideje, hogy elindítsuk a beállítóvarázslót Ennek

első képernyője az üdvözlő oldal, amelyet a 2.11. ábrán láthatunk. Olvassuk el a bevezetőt, és
Amint a 2.12. ábra mutatja, a következő ablak a Remote Installation Folder Location (a távoli
telepítési könyvtár helye). Itt mondhatjuk meg a WDS-nek, hogy hol tárolja az ügyfelekre szétsu
gárzandó lemezképeket Ennek a mappának mindenképpen egy NTFS formázású köteten kell
-}l Windows Server 2008
lennie. A legnagyobb sebesség érdekében olyan kötetet javasolt választani, amely nem tartalmaz
za a Windows rendszerfájljait, bár semmi nem akadályozza meg, hogy a rendszerlemez mellett
döntsünk, csak egy figyelmeztetést kapunk. Válasszuk ki tehát az elérési utat, és kattintsunk
a Next gombra.
(}! Wmdows Oeplovment Sennces Configurabon Wozard , ilii?%

Welcume Page
You <:an
usefuis W>Zard to eonf�gure Wmdows llepily;ment Services, Mer cofjiple!íng
con!i� You may optmll)' add Image�� to the """"o"' r cho"""to add imag'"'
la!er.
To �ully inStall ....t use Windows Oepl_.. Senices. J'CIU will

need:
- This cDl11PU!erto be a membe< o! Adive DirectQry Domain �

- M aáive OHCP seiVet on your netwod<
- flnactlveONSse!Yeron)'Ot.O'�
- f>n NTFS partition on ll)eWmdows � &;rverforstOIÍflgímage. 2.11. ábra
A Windows Deployment Services
Configuration Wizard üdvözlő
képernyője
The remole im!allaljon folder structdie oMII cOltain the operaling sy>lem il\age. to be
deployed from !his setver. CI'IPose ao NTFS partition 'll'ilh eoough available �ace !nr ali
i!l11:ic4:>ated ímage..
Sier !he path and foldername forthe remot" installalior> folder.
Path:
l!'!'�_titSJI_
2.12. ábra
A Remote lnsta!!ation
Folder Location képernyő
Ekkor megjelenik a 2.13. ábrán látható PXE Server Initial Settings (PXE-válaszbeállítások) képer
nyő. Itt adhatjuk meg, hogy a WDS-t futtató számítógép válaszoljon-e azoknak az ügyfélgépeknek,
amelyekről a WDS-nek nincs tudomása a telepítés megkezdése előtt. Ha azt szeretnénk, hogy
bármely számítógép képes legyen letölteni a lemezképeket a lemezmeghajtójára (feltéve termé
szetesen, hogy a felhasználó rendelkezik az ehhez szükséges jogosultságokkal), akkor válasszuk
a Respond to all known and unknown client computers (Válaszadás minden (ismert és ismeretlen)
ügyfélszámítógépnek) lehetőséget. Úgy is dönthetünk, hogy az ismeretlen ügyfeleknek előbb egy
kérelmet kelljen kiadniuk, amelyet a rendszergazda hagyhat jóvá. Ha meg szeretnénk követelni,
hogy az ügyfelek a WDS számára ismertek legyenek, válasszuk a második lehetőséget, ha pedig
a WDS-sel történő hálózati rendszerindítást teljesen ki szeretnénk kapcsolni, döntsünk az első
lehetőség mellett. A varázslót ez után bezárhatjuk a Finish (Befejezés) gombbal. A varázsló ekkor
egy ideig dolgozik a kezdeti beállítások véglegesítésén, majd megjelenik a beállítás befejeztét jelző
Configuration Complete ablak, amelyet a 2.14. ábrán láthatunk.
2. fejezet • Helyi és távoli telepítés ll-
PXE Setver lnitial Settings
Preiloot oxea1i<>n � (PXE) elen! COilli"Í"" may be pre-s!ll!Jed in AdiYe

DirectOI'f � Servicet When a clentcomputer�P!'t-stll!Jed. l is aloo caled a
kno"n cliert. Oien!s which are 1101 P!'t-stll!Jed are called Ll1known. Use thi:! page to
seled which clent type the Windows Deployment Sernceo ...".,.�to. and
what aclítln,. takenY.'hen the oerverresponds to a koown orLI1kno>\n clent computer.
Owote the app'<Jilriale """".,..pOlicy below:
�� Do not respond to any eliert COilli"Íer

Respond only to koown clent computeB
C Respond to ali !<nown and unknown) clert computers
L FG!u�cÍI��,'I"!EifiJi�!ii\I'F��.;ll "''�!'&'alc
To <XIf'lf1gue the Windows Deploymenl Sernceo teM>r, cllck Finish.

More riorma!abO!A !on PXEaertersellj!l!ls
<Back Finish
2.13. ábra
A PXE Server lnitial Settings képernyő
Corliguation Complel:e
Ü>ngl!IUiallons! The Wilard has successlully configured Wondows Deploymenl

Sernceo on )'OU' COOljXÍer.
To be abielo !IXltOe Wondows Deploymenl Services, you wil need to addmage(s)to

the sei'Vef,
You can choose to add images now or to add !hem laer using the Add 1mll!JO Wlzard.
R'thld meges to the Wondows Deployment Seiver now
�
More riOI!!!a!!O!labO!Aadding 1111ages
2.14. ábra
A Configuration Camp/ete képernyő
A következő lépés a rendszerindító lemezképek megadása. Ezek azok a lenyomatok, amelyek le
töltődnek a PXE alapú hálózati kapcsolaton keresztül, és felállítják a Windows PE környezetet,
amelyben a távoli telepítés varázslata történik. Bontsuk ki azt a kiszolgálót, amelyhez rendszerin
dító lemezképeket szeretnénk adni, kattintsuk az egér jobb gombjával a Boot Images (Rendszerin
dító lemezképek) mappára, és válasszuk az Add Boot Image (Rendszerindító lemezkép
hozzádása) lehetőséget. Ezt követően helyezZÜk be az operációs rendszer adathordozóját a helyi
CD- vagy DVD-meghajtóba, és keressük meg rajta a BOOT W'1ll1 fájlt (a Windows Server 2008
DVD-jén a lemez gyökérkönyvtárának \Sources alkönyvtárában található). Kattintsunk az Open
(Megnyitás) gombra, adjunk meg egy barátságos nevet és leírást, kattintsunk a Next gombra, és
várjuk meg, amíg a lemezképek a WDS-t futtató számítógépnek abba a megosztott mappájába
másolódnak, amelyet a beállítóvarázslóban határoztunk meg.
Utolsó lépésként a telepítési lemezképeket kell megadnunk, amelyek - ahogy emlékezhetünk rá -
a tényleges céllenyomatok, amelyeket szétsugárzunk a hálózaton azokra a számítógépekre, ame
lyekre telepíteni kívánunk egy operációs rendszert. Kezdetnek azt javaslom, hogy a WDS-t futtató
gépre egy alapértelmezett Windows Vista- vagy Windows Server 2008-lemezképet tegyünk.
Ez a lemezkép nem az igényeinkhez szabott, és nem tartalmaz alkalmazásokat és előre megadott
beállításokat, de nagyon hasznos, ha egy tiszta Windows rendszert szeretnénk a hálózaton át
telepíteni, és más célokra is jól jöhet. Ezenkívül megtehetjük, hogy egy ilyen tiszta lemezképbó1
indulunk ki, és miután átvittük egy számítógépre, testreszabjuk, majd rögzítjük a módosított
lemezképet, és visszatöltjük a WDS-t futtató gépre -és mindezt anélkül, hogy valarnilyen adathor
dozó lemezhez kellene nyúlnunk. A Windows Server 2008 alapértelmezett telepítési lemezképét
a következőképpen vehetjük fel a WDS-kiszolgálóra:
1. Kattintsunk annak a kiszolgálónak a nevére, amely majd a telepítési lemezképet tárolni

fogja, és bontsuk ki ezt az elemet, hogy lássuk az alatta levő könyvtárfát
2. A bal oldali ablaktáblában kattintsunk az egér jobb gombjával az Install Images
(Telepítési lemezképek) mappára, és válasszuk az Add Install Image (Telepítési
lemezkép hozzáadása) menüpontot.
3. Ekkor megjelenik a 2.15. ábrán látható Image Group (Lemezképcsoport) képernyő.
Írjunk be egy nevet a lemezképcsoport számára - a csoportok egyszerű módszert adnak
arra, hogy a lemezképeket gyűjteményekbe szervezzük. A csoportnév megadására szolgáló
mezőben adjuk meg például a Windows Server 2008 Installations nevet. Késóbb további
lemezképeket is adhatunk a csoporthoz, és egyszerűen kezelhetjük azokat a WDS MMC
beépülőmodulján keresztül. Ha ezzel megvagyunk, kattintsunk a Next gombra.
Image groups are used !o group logether sítnílar images.
Entertheimage gn::rupfortheimagesyou w-ant tQ- add:
1f{mdowsS<lfVer_200Binstallatlonsl
2.15. ábra
Az Image Group képernyő
4. A következő ablak az Image File (Lemezképfájl). Itt keressük meg az adathordozó lemezen
az INSTALL. WlM fájlt. A Windows Server 2008 esetében ezt a lemezképet a lemez gyökér
könyvtárának \sources alkönyvtárában találhatjuk meg. Ha megvan, kattintsunk az Open
(Megnyitás) gombra.
5. Ezt követően az elérhető lemezképek listáját mutató képernyőt láthatjuk (2.16. ábra).
Itt választhatjuk ki, hogy a termék mely telepíthető változatait kívánjuk elérhetővé tenni
az ügyfelek számára. Töröljük a jelet azoknak a lemezképeknek a jelölőnégyzeteiből,
amelyeket ki szeretnénk zárni a WDS-kiszolgálóról, majd kattintsunk ismét a Next gombra.
2.
...
list ol Available Images
The follow,.,gimagesare availobleln the file. Selectthe imagesyoowant to odd.
NMie=-
0 Wl!1dows Longhom SERVERSTAND...
0 Wlf\dows Longhom SER... xG4 Wl!1dows Longhom SERVERENTER...
0 W111dows longhom SER . . . xG4 Windows Longhom SERVEADATAC.. .
0 W"dows lol!1ghom SER ... xG4 W111dows Longhom SERVERSTAND .. .

0 WK1dows lol!1ghom SER... xG4 W111dows Longhom SERVERENTER .. .
0 Wondows Longhom SER ... xG4 W111dows lol!1ghom SERVERDATAC...
"• Use delaut name alf1d desaiption for ..ach <i the seleded image
2.16. ábra
Az elérhető lemezképek listáját
cance1
mutató képernyő
6. Ekkor megjelenik az összegző ablak. Ha itt a Next gombra kattintunk, felvesszük a lemezké
peket a tárolóba. Ez eltarthat egy ideig, mivel a varázslónak sok mindent át kell másolnia.
Ezzel a rendszerindító és telepítési lemezképeket beállítottuk a WDS-kiszolgálón.
Az indítómenü
Az indítómenü egy szöveges képernyő, ami akkor jelenik meg, amikor a WDS először töltődik
be a PXE hálózati környezet létrejötte után. Az indítómenü lehetőséget ad a felhasználónak,
hogy kiválassza a rendszerfelépítést - az x86 rendszerű ügyfelek kiválaszthatják a megfelelő
változatot, és külön az x64-es rendszerekhez is kapunk egyet -, és később ez határozza meg,
hogy a telepítőmenüben rnilyen lehetőségek jelennek meg.
A WDS és a 64 bites ügyfelek: egy gyors tipp

Néha előfordul, hogy a hardver, illetve a PXE szaftver nem ismer fel megfelelően egy
x64 alapú hardvert. Ilyen esetben kifejezetten utasítanunk kell a WDS-t, hogy az indító
menüben az x86-os lehetőségek mellett az x64-et is mutassa. Ezt a legegyszerubben
a parancssorból végezhetjük el, mégpedig a következőképpen:
WDSUTIL /Set-Server /Defaultx86x64ImageType:both
Lemezképek létrehozása és módosítása

Most, hogy képet kaptunk arról, hogy rniként kell üzembe helyeznünk a WDS-t, és a kiszolgálón
elhelyeztünk néhány tiszta telepítési lemezképet, nekiláthatunk az egyéni lemezképek létreho
zásának Az alapértelmezettől különböző, az igényeinkhez szabott rendszerindító és telepítési
lemezképeket is készíthetünk.
-lel Windows Server 2008
Rendszerindftó lemezképek létrehozása és módosftása
Igényeinknek megfelelően két különböző típusú rendszerindító lemezképet hozhatunk létre:
felvett lemezképet (capture image), amelyet elindítva az ügyfélszámítógép merevlemezéről pilla
natfelvételt készíthetünk egy későbbi telepítéshez, illetve felderítési lemezképet (discover image),
amellyel akkor telepíthetünk egy operációs rendszert a WDS-en keresztül egy számítógépre, ha
az hardver- vagy szaftvertámogatás hiányában nem engedi meg egy PXE környezet létrehozását.
A felvett lemezképek a telepítő helyett automatikusan a Windows-telepítési szolgáltatások pilla

natfelvétel-készítő segédprogramját indítják el. A felvett lemezképet egy olyan számítógépen
használhatjuk, amely készen áll arra, hogy lemezképet készítsünk róla. Elindítás után egy varázsló
létrehoz egy telepítési lemezképet a forrásgépről, és .wim fájlként menti. Ezt a WIM fájlt aztán
feltölthetjük a WDS-kiszolgálónkra, ahonnan más számítógépekre telepíthetjük a lemezképet,
vagy CD-re, illetve DVD-re írhatjuk a felvett lemezképet az ImageX parancssori segédprogrammal
együtt, és erről a lemezről indítva a leképezett rendszert, az ImageX segítségével létrehozhatjuk
a WIM fájlt, a hálózaton egy számítógéphez csatlakozhatunk, és.a lemezképet feltölthetjük a táro
lóba. Sosem árt, ha van egy ilyen, felvett lemezképet tartalmazó DVD-nk, még ha általában nem is
a fenti módszerrel fogunk lemezképeket létrehozni. Felvett lemezképet így hozhatunk létre:
1. Nyissuk meg az MMC Windows Deployment Services beépülő modulját.

2. Bontsuk ki a Boot Images (Rendszerindító lemezképek) elemet a bal oldali ablaktáblában.
3. Kattintsunk az egér jobb gombjával arra a lemezképre, amelyet az egyéni felvett lemezkép
alapjául szeretnénk használni, és válasszuk a Create Capture Boot Image (Felvett rendszer
indító lemezkép létrehozása) lehetőséget.
4. Írjunk be egy nevet, és adjuk meg a lemezkép leírását, illetve a helyet, ahová a lemezképet
menteni szeretnénk.
5. Zárjuk be a varázslót, majd kattintsunk az egér jobb gombjával a rendszerindító lemezké
pek mappájára, és válasszuk az Add Boot Image (Rendszerindító lemezkép hozzáadása)
pontot a megjelenő helyi menüből.
6. Keressük meg az imént létrehozott felvett lemezképet, majd kattintsunk a Next gombra.
7. Zárjuk be a varázslót, és a felvett lemezképünk máris készen áll a telepítésre.
A rendszerindító lemezképek másik típusa, amelyet létrehozhatunk, a felderítési lemezkép,

a Setup.exe programot arra kényszeríti, hogy Windows Deployment Services módban induljon
el, és visszhangkéréssel (ping) keressen a hálózaton egy aktív WDS-számítógépet. Egy ilyen
lemezképet egy CD-n vagy DVD-n elhelyezve a WDS-en keresztül olyan számítógépekre tele
píthetjük a rendszert, amelyek nem támogatják a PXE környezetet. Felderítési lemezképet
az alábbi lépéseket végrehajtva hozhatunk létre:
1. Nyissuk meg az MMC Windows Deployment Services beépülő modulját.

2. Bontsuk ki a Boot Images (Rendszerindító lemezképek) elemet a bal oldali ablaktáblában.
3. Kattintsunk az egér jobb gombjával arra a lemezképre, amelyet az egyéni felderítési
lemezkép alapjául szeretnénk használni, és válasszuk a Create Discover Boot Image
(Felderítési rendszerindító lemezkép létrehozása) lehetőséget.
4. Írjunk be egy nevet, és adjuk meg a lemezkép leírását, illetve a helyet, ahová a lemezképet
menteni szeretnénk.
l
2. fejezet • Helyi és távoli telepítés ll-

5. Zárjuk be a varázslót, majd kattintsunk az egér jobb gombjával a rendszerindító lemez
képek mappájára, és válasszuk az Add Boot Image pontot a megjelenő helyi menüből.
6. Keressük meg az imént létrehozott felderítési lemezképet, majd kattintsunk a Next gombra.
7. Zárjuk be a varázslót, és a felderítési lemezképünk máris készen áll a telepítésre.
Ha a felderítési lemezképet CD vagy DVD lemezre szeretnénk írni, töltsük le a Windows

Autamated Installation Kit-et (automatizált Windows-telepítő csomag) a Microsoft webhelyéről,
és telepítsük. Ez után nyissunk meg egy parancsablakot, váltsunk a C: \Program Files\ Windows
AJK\ Tools\PETools mappára, és hajtsuk végre az alábbi műveleteket:
1. Hozzunk létre egy Windows PE környezetet a Copy PE {felépítéSi c:\ WinPE paranccsal,
ahol a {felépítés) helyére a kívánt rendszerindító lemezkép architektúráját írjuk.
2. Másoljuk a felderítési lemezképet a kívánt célkönyvtárba a következő paranccsal:
copy /y c:\boot.wim c:\winpe\iso\sources
3. Térjünk vissza az első lépés PETools mappájához, és hozzuk létre az indítható ISO lemez
képet a Windows Autamated Installation Kit részét képező OSCDIMG segédprogrammaL
Ehhez írjuk be az alábbi parancsot:
oscdimg -b -bc:\winpe\ISO\boot\etfsboot.com c:\windpe\ISO c:\winpe.iso
4. Írjuk az eredményként kapott c:\winpe.iso fájlt egy CD-re vagy DVD-re a kedvenc CD-író
programunkkaL
Telepftési lemezképek létrehozása

Megfelelően előkészített számítógépekről egyéni telepítési lemezképeket is készíthetünk (ezek
a lemezképek az operációs rendszer mellett a csomagba felvenni kívánt módosításokat is
tartalmazzák), és feltölthetjük azokat a tárolóba, hogy onnan telepíthetők legyenek a célszámí
tógépekre. A lemezkép létrehozása általában úgy történik, hogy szokványos módon elindítjuk
a forrásgépet, a sysprep segédprogramot futtatva kinyerjük a fizikai számítógépre vonatkozó
információkat és biztonsági azonosítókat, majd újraindítással átlépünk egy WDS alapú felvett
lemezképbe, WIM formátumú lemezképet készítünk az ügyfélről, a lemezképet feltöltjük vala
hová, majd újraindítjuk a gépet.
Miután a forrásszámítógépet (vagy "referencia-számítógépet" , ahogy a Microsoft hívja) beállítottuk

annak megfelelően, ahogy lemezképet szeretnénk készíteni róla, adjuk ki a következő parancsot
a parancssorban:
sysprep /oobe /generalize /reboot
Miután a segédprogram végzett a munkájával, és a számítógép újraindult, nyomjuk le az F12

billentyűt, és válasszuk ki a felvett lemezképet a megjelenő indítómenüből. Válasszuk ki azt
a lemezmeghajtót, amely azt az operációs rendszert tartalmazza, amelyen az imént a sysprep-et
futtattuk, adjunk nevet és leírást a lemezképnek, majd lépjünk tovább a Next gombbal. Ez után
keressünk egy helyet a számítógépen, ahol tárolhatjuk az eredményként előálló WIM fájlt,
írjunk be egy nevet a lemezképfájl számára, és kattintsunk a Save (Mentés) gombra. Végül
válasszuk az Upload image to WDS Server (lemezkép feltöltése WDS-kiszolgálóra) lehetőséget,
írjuk be a WDS-kiszolgáló nevét, a csatlakozáshoz kattintsunk a Connect gombra, és írjuk be
az azonosítóinkat, ha szükséges. (Ha a program kéri, a művelet során ki kell választanunk
a megfelelő lemezképcsoportot is.)
Ha ezzel megvagyunk, kattintsunk a Finish (Befejezés) gombra, és létrejön a lemezkép, hogy

előkészítve és feltöltve készen álljon arra, hogy a célszámítógépekre telepítsük.
Sysprep: a rendszerelókészftó eszköz

A lemezképek használata során a leggyakoribb problémát az jelenti, hogy a lemezképből ki kell
nyernünk a biztonsági azonosítókat (security identifier, SID). Ha egy lemezképet több számító
gépre szeretnénk telepíteni ugyanazokkal a biztonsági azonosítókkal, magunk keressük a bajt,
de a sysprep szerencsére megoldást nyújt a problémára.
··- A sysprep nem készít lemezképet tartományvezérlőről, bármilyen fürt tagjáról, illetve
olyan gépről, amely tanúsítványkiszolgálóként üzemel, mert ezek a sza/gáitatások
eredendően számítógépfüggő jellemzőkkel bírnak. Mindazonáltal a sysprep futtatása után ezek a szal
gáitatások is támogatottak és telepíthetők maradnak.
Nézzük át röviden, hogyan is működik a sysprep:
1. Létrehozunk egy lemezkép-prototípust, és az adott rendszeren rnindent beállítunk

az igényeinknek megfelelően.
2. Ezt követően az egyéni beállításainkat tartalmazó fiók profilját az alapértelmezett felhasz
nálói profilba másoljuk, hogy a rendszer minden késóbbi felhasználója hozzájusson
ezekhez a beállításokhoz.
3. Lefuttatjuk a sysprep-et, amely kinyeri a biztonsági azonosítókat és személyes informáci
ókat a prototípusból, majd leállítja a szárnítógépet.
4. Következő lépésként a WDS felvett lemezképből elindítjuk a szárnítógépet, és előállítjuk
a WIM fájlt. Másik lehetőségként fel is tölthetjük a lemezképet
5. Végül újraindítjuk a gépet a hajlékonylemez nélkül, és újra végigmegyünk a illinitelepítő
lépésein, hogy minden személyes információ visszaállítható legyen, és új biztonsági
azonosítókat lehessen előállítani. (A folyamat parancsfájlba is írható, így felügyelet nélküli
rninitelepítést is végrehajthatunk.)
Felügyelet nélküli telepítés parancsfájlok segítségével

Ha még inkább önmúK.ödővé szeretnénk tenni az operációs rendszerek telepítését a WDS segít
ségéve!, telepítő parancsfájlokkal felügyelet nélküli telepítést is végrehajthatunk Parancsfájlokkal
nem csupán elindíthatjuk egy rendszer telepítését a hálózaton, de testreszabhatjuk a telepítő kér
déseire adott válaszokat, a telepítendő programokat, a termékkulcsokat, és így tovább, így még
ha nem is lemezképből telepítünk, akkor is egységes rendszerünk lehet minden szárnítógépen.
A Windows Server 2008-ban és a Windows Deployment Servicesben lényegében kétféle felügye

let nélküli telepítőfájl létezik a WDS-ügyfél felügyelet nélküli telepítőfájlja, amelyet a WDS-kiszol
gáló tárol, és amely a WDS-ügyfélfelületet a megfelelő lemezkép telepítésére és a lemezrészek
helyes kialakítására utasítja, illetve magának a lemezképnek a felügyelet nélküli telepítőfájlja, ami
már ismerősebb lehet. Ezt a Windows 2000 és a Windows Server 2003 idejéből származó $OEM$
szerkezet vagy az \ Unattend könyvtár tárolja, és a telepítésnek azt a részét automatizálja, amelyet
a felügyelet nélküli WDS-telepítőfájl nem tud kezelni.
Ha bonyolultabb felügyelet nélküli telepítőfájlokat szeretnénk létrehozni, nagy hasznát vehetjük

a Windows Autamated Installation Kitnek, különösen a csomagban található Windows System
Image Manager (lemezkép-kezelő) programnak, amely végigvezet minket a felügyelet nélküli
telepítőfájl létrehozásának lépésein, majd a fájlt egy adott kiszolgáló ügyfeleihez, konkrét ügyfe
lekhez, illetve különböző x86-os vagy x64-es felépítésű számítógépekhez társíthatjuk
A WDS-ügyfél felügyelet nélküli telepítőfájljának formátuma könnyen olvasható, mivel XML

nyelvű, így a nyelvtan és a szerkezet ismerős lehet. Lássunk egy példát:
<?xml version=" l. O" ?>

<unattend xmlns="urn:schemas-microsoft-com:unattend">
<settings pass="windowsPE">
<component name="Microsoft-Windows-Setup" publicKeyToken="31bf3856ad364e35"
language="neutral" versionScope="nonSxS" processorArchitecture="x86">
<WindowsDeploymentServices>
<Login>
<WillShowUI>OnError</WillShowUI>
<Credentials>
<Username>username</Username>
<Domain>domain</Domain>
<Password>password</Password>
</Credentials>
</Login>
<ImageSelection>
<Installimage>
<ImageName>Windows Vista x86</ImageName>
<ImageGroup>Windows Vista</ImageGroup>
<Filename>Install.wim</Filename>
</Installimage>
<InstallTo>
<DiskiD>Ü</DiskiD>
<PartitioniD>l</PartitioniD>
</InstallTo>
< limageSelection>
</WindowsDeploymentServices>
<DiskConfiguration>
<Disk>
<DiskiD>Ü</DiskiD>
<WillWipeDisk>false</WillWipeDisk>
<ModifyPartitions>
<ModifyPartition>
<Order>l</Order>
<PartitioniD>l</PartitioniD>
<Letter>C</Letter>
<Label>CLIENTMACHINE</Label>
<Format>NTFS</Format>
_,. Windows Server 2008
<Active>true</Active>
<Extend>false</Extend>
</ModifyPartition>
</ModifyPartitions>
</Disk>
</DiskConfiguration>
</component>
<component name="Microsoft-Windows-International-Core-WinPE"
publicKeyToken=" 31bf3856ad364e35"
language="neutral" versionScope="nonSxS" processorArchitecture="x86">
<SetupUILanguage>
<UILanguage>en-US</UILanguage>
</SetupUILanguage>
<UILanguage>en-US</UILanguage>
</component>
</settings>
</unattend>
Most pedig nézzük meg, hogyan lehet a felügyelet nélküli telepítőfájlokat felhasználni
a WDS telepítés során- az első lépés a felügyelet nélküli telepítőfájl (unattend) hozzárendelése
a megfelelő lemezképhez:
1. Hozzuk létre az unattend.xml fájlt a WDS-ügyfél számára. Erre a Windows Autamated

Installation Kit részét képező Windows System Image Managert javasolt használni.
2. Miután elkészítettük az unattend.xml fájlt, töltsük fel a WDS-kiszolgáló
\Remotelnstall\ WDSClient\ Unattend könyvtárába.
3. Indítsuk el a Windows Deployment Services Managert.
4. Kattintsunk az egér jobb gombjával annak a WDS-kiszolgálónak a nevére, amelyen
az a lemezkép található, amelyhez a felügyelet nélküli telepítőfájlunkat hozzá szeretnénk
rendelni, és válasszuk a Properties (Tulajdonságok) menüpontot.
5. Váltsunk a Client (Ügyfél) lapra.
6. Jelöljük be az Enable unattended installation (Felügyelet nélküli telepítés engedélyezése)
jelölőnégyzetet, keressük meg a felügyelet nélküli telepítőfájlt a \Remotelnstall
\ WDSC!ient\ Unattend mappában (a teljes hálózati nevet használjuk, ne menjünk keresz
tül a WDS-kiszolgáló helyi C: meghajtóján), és kattintsunk az Open (Megnyitás) gombra.
7. Kattintsunk az OK-ra.
A következő lépés, hogy a felügyelet nélküli telepítőfájl számára engedélyezzük a lemezkép

teljes telepítését. Ezt a következőképpen hajthatjuk végre:
1. Indítsuk el a Windows Deployment Services Managert.

2. Bontsuk ki azt a lemezképcsoportot, amelyik azt a lemezképet tartalmazza, amelyet
telepíteni szeretnénk.
3. Kattintsunk az egér jobb gombjával a kívánt lemezkép nevére, és válasszuk a Properties
menüpontot.
4. Váltsunk a General (Általános) lapra.
2. fejezet • Helyi és távoli telepítés 1§-
5. Jelöljük be az Allow image to install in unattend made (A lemezkép felügyelet nélküli
módban való telepítésének engedélyezése) lehetőséget, majd a Select file (Fájl kiválasztása)
gombra kattintva keressük meg a felügyelet nélküli Windows-telepítőfájlt, és ha megvan,
kattintsunk az OK gombra.
6. Az OK gombbal zárjuk be a tulajdonságlapot
Zárszó
Ebben a fejezetben a Windows jónéhány telepítési módszerével megismerkedtünk, és megtudtuk,
hogyan mú'ködik az aktiválás, hogyan állíthatjuk helyre a rendszert egy elrontott telepítés után, és
mit kell tennünk, ha a Windows Server 2008 egyszerűen nem hajlandó elindulni. Emellett a termék
önműködő telepítési lehetőségeivel is foglalkoztunk, és megnéztük, hogyan telepíthetjük a rend
szer példányait felügyelet nélkül az ügyfelekre.
A következő fejezetben a Windows Server 2008 fájlkezelési és nyomtatási szolgáltatásainak

részleteivel ismerkedhetünk meg.
Fájlszolgáltatások
A Windows Setver 2008-nak egy szokványos vállalati környezetben az az egyik elsődleges
feladata, hogy állományokat tegyen elérhetővé, és számítógépeket kapcsoljon nyomtatókhoz.
A Windows Setver 2008-ban tetszőleges számú megosztott mappát hozhatunk létre, amelyek
olyan dokumentumokat vagy programokat tartalmaznak, amelyeket a felhasználók a Windows
Exploreren (Windows Intéző), a Network Neighborhoodon (Hálózat vagy Hálózati helyek) vagy
csatlakoztatott meghajtókan keresztül érhetnek el. Az operációs rendszer azt is megengedi,
hogy több számítógépre elosztott, hierarchikus rendszert alakítsunk ki a megosztott mappákból,
amelyet a végfelhasználók úgy látnak, rnintha az egyetlen kiszolgálón tárolódna.
A nyomtatási szolgáltatások egyszerűen beállíthaták és kezelhetők. A Windows Setver 2008

lehetővé teszi, hogy megosszunk egy nyomtatót, amely fizikailag a kiszolgálóhoz vagy egy olyan
nyomtatókiszolgáló eszközhöz kapcsolódik, amely közvetlenül csatlakozik a hálózatra, és
illesztőprogramokat is tárolhatunk a különböző operációs rendszerek számára, amelyek közül
a Windows a megfelelő illesztőprogramot önműködően telepíti az ügyfélrendszerekre. Ahhoz,
hogy a fejezetben szereplő leírásoknak valóban hasznát vehessük, tisztában kell lennünk
az alábbiakban felsorolt fogalmakkaL Ha már jól ismerjük a Windows rendszert, ezt a részt
nyugodtan átugorhatjuk.
Lemez
A lemez a számítógépben található, fizikai merevlemez.
Lemezmeghajtó
A lemezmeghajtó Cvagy röviden meghajtó) a Windowsban történő használatra formázott
logikai objektum, amely egy teljes fizikai lemez vagy egy lemezrész lehet.
Lemezrész
A lemezrész (partíció) egy fizikai lemez olyan része, amelyet kötetként használhatunk.
Kötet
A kötet Cvagy lemezkötet) egy lemezmeghajtó vagy lemezrész a Windowsan belül
(a kifejezést mindkettőre használják).
Ebben a fejezetben részletesen bemutatjuk a Windows Setver 2008 által nyújtott valamennyi
fájlkezelési és nyomtatási szolgáltatást.
Fájl- és nyomtatókiszolgálói szolgáltatások
A Windows Server 2008 számos olyan képességgel rendelkezik, amelyek a fájl- és nyomtatási
szolgáltatások gyorsabb és gördülékenyebb elérését teszik lehetővé a hálózaton. Bár a fájlkezelő
és nyomtató rendszerek szerkezetét nem tervezték teljesen újra, végrehajtottak rajtuk néhány
módosítást, amelyek egyszerúbb használatot tesznek lehetővé, fokozzák az adatok következe
tességét, valamint segítik az önműködő és felügyelt biztonsági mentést. Ezenkívül további
Irulesfontosságú szolgáltatásokkal is találkozhatunk; többek között az alábbiakkal:
Elosztott fájlrendszer (DFS, Distributed File System)

A DFS olyan szaigáitatás a Windows Server 2008-ban, amely lehetővé teszi a rendszergaz
dának, hogy egyetlen logikai fájlrendszert hozzon létre annak ellenére, hogy a megosztott
mappák a hálózat különböző kiszolgálóin szétszórva találhatók. Ez megkönnyíti az ügyfe
leknek a fájlok megtalálását és egységes tárolását, és elősegíti az eszközök jobb kihasználá
sát. Egy kiszolgáló több DFS-gyökérnek adhat otthont, amelyek a megosztott mappák "kez
dőpontjaként" viselkednek Ezenkívül a Windows Server 2008 rendszert futtató kiszolgálók
az Actíve Directory szerkezetét használl1atják az ügyfelektől érkező DFS-kérelrneknek
a legközelebbi elérhető kiszolgálóra való továbbításához, ami csökkenti a válaszidőt
Titkosított fájlrendszer (EFS, Encrypting File System)
A Windows Server 2008 által használt NTFS fájlrendszer beépítve tartalmaz titkosítási
képességeket. Csak be kell jelölnünk egy jelölőnégyzetet a védeni kívánt fájl vagy mappa
tulajdonságlapján, és egyszerűen titkosíthatjuk, a jel törlésével pedig egyszerűen vissza
fejthetjük azt. Ez a szaigáitatás különösen hasznos a hordozható számítógépeken, ahol
nagyobb az adatvesztés, illetve az adatok elfogásának kockázata, mint a hagyományos
vállalati asztali számítógépeken.
Kötet-árnyékmásolat (Volume shadow copy)
A Windows Server 2008-nak talán az egyik leghasznosabb szolgáltatása, hogy a kötetekről
árnyékmásolatot készíilietünk. A kiszolgáló ekkor a nap során megadott időközönként
pillanatfelvételt készít a fájlokról, így azok korábbi változataiból egy könyvtár jön létre,
amelyhez hozzáférhetünk. Ha egy felhasználó véletlenül felülír egy fájlt, rossz változatot
ment, vagy valamilyen más módon megsemmisíti az elsődleges példányt, elég, ha a map
pa intézőnézetében a Previous Versions (Előző verziók) lehetőségre kattint, és elérheti
az árnyékmásolatokat
Windows keresési szolgáltatás (Windows Search Service)
A Windows keresési szolgáltatás, amely újdonság a Windows Server 2008-ban, katalogi
zálja és indexeli a kiszolgáló merevlemezeinek a tartalmát, ami lehetővé teszi a felhaszná
lóknak, hogy különböző formátumú és nyelvű fájlokban keressenek számukra szükséges
adatokat. A keresőmotort többször is átdolgozták, hogy felgyorsítsák a keresés folyamatát,
és hogy a motor kevesebb processzoridőt használjon fel a fájlok katalogizálásakor és inde
xelésekor.
Ebben a fejezetben a Windows Server 2008 fájlszolgáltatásairól teljes és részletes áttekintést

adunk, beleértve a mappák megosztását, a jogosultságokat (engedélyeket), az árnyékmásolatokat,
a DFS-t, valamint a biztonsági másolatok készítésének módszereit. Ezenkívül bemutatjuk a ván
dorló profil nevű felhasználói szolgáltatást is, ami lehetővé teszi, hogy a felliasználó a kedvenc
asztalbeállításait magával viliesse a hálózat bármelyik munkaállomására, amelyet éppen használ.
3. fejezet • Fájlszolgáltatások lij-
A fájlmegosztási szolgáltatások beállítása
A fájlkiszolgálói szerepkör hozzárendelése egy számítógéphez a következőkből áll:
A számítógép beállítása fájlkiszolgálóként

Ez a művelet a fájlmegosztás bekapcsolásából és az első megosztott mappa létrehozásá
ból áll. A Windows ezenkívül alapértelmezés szerint is létrehoz néhány saját megosztott
mappát, amelyeket a fejezet késóbbi részében tárgyalunk részletesebben.
A lemezterület korlátozása a lemezkvóták igény szerinti bekapcsalásával
A lemezkvótákkal egyszerűen korlátozhatjuk és vezérelhetjük, hogy a felhasználók
mekkora lemezterületet használhatnak fel az adataikhoz. A kvóták lemezrészenként vagy
kötetenként figyelik és szabályozzák a felhasználók lemezterületét, tehát nem terjedhet
nek ki több lemezre. A varázslóban azt is beállíthatjuk, hogy a Windows alapértelmezett
kvótabeállításokat léptessen életbe bármely NTFS fájlrendszer minden új felhasználójára
vonatkozóan. Ez a lépés nem kötelező a fájlmegosztási szolg�ltatások beállításához, de
hasznos lehet. A kvóták kezelésére másik módszer is létezik: a File ServerResource
Manager (Fájlkiszolgálói erőforrás-kezelő) használata, amelyben mappánként állíthatunk
fel kvótákat, és fájltípus szerint további korlátozásokat is érvényesíthetünk
A tárhelyhasználat-figyelés beállítása
A tárhelyhasználat-figyelővel arra utasíthatjuk a Windows Server 2008-at, hogy figyelje,
hogy az egyes kötetek mekkora részét használják fel a lemeznek, és jelentést küldjön
a rendszergazdának, ha azok túllépnek egy előre meghatározott küszöböt. A jelentés le
het egyszerű figyelmeztetés, de részletesen is leírhatja a nagy fájlokat, tulajdonos, csoport
stb. szerint, ami segít, hogy pontosan meghatározzuk, mely állományokat célszerű archi
válnunk vagy törölnünk ahhoz, hogy lemezterületet szabadíthassunk fel.
A Windows keresési szolgáltatás bekapcsolása
A Windows Search Service kiolvassa a kiszolgálón található legtöbb fájl tartalmát, és kata
lógust készít róluk, amelyben késóbb könnyen kereshetünk Mivel ezt a lehetőséget
az Add Roles Wizard (Szerepkörök hozzáadása varázsló) felhasználói felülete biztosítja,
itt csak megemlítjük; részletesen a 13. fejezetben fogunk foglalkozni vele.
Felügyeleti eszközök telepítése
Amikor először beállítjuk a fájlkiszolgálói szerepkört az egyes Windows Server 2008
rendszerű gépeken, az Add Roles Wizard hozzáadja a File Services (Fájlszolgáltatások)
összetevőt a Server Managerhez (Kiszolgálókezelő), amely lehetővé teszi, hogy egyszerű
en elérjük a megosztott mappákat és tárolókat kezelő szolgáltatásokat, illetve a klasszikus
Disk Management (Lemezkezelés) konzolt.
Megosztott mappák létrehozása és az egyes mappák megosztási engedélyeinek beállítása
Végül nyilván megosztott mappákat hozunk létre, és engedélyeket állítunk be azokra.
Végül is ezért kezdtük el az egészet, nem igaz?
Ha egy számítógépet fájlkiszolgálóként szeretnénk beállítani, indítsuk el a Server Managert a Start

menüből, válasszuk aRoles (Szerepkörök), majd az AddRoles (Szerepkörök hozzáadása) lehető
séget a jobb oldali ablaktáblából, és haladjunk végig az AddRoles Wizard képernyőin. A bevezető
képernyőn kattintsunk a Next (Tovább) gombra, jelöljük ki a Files Services (Fájlszolgáltatások) ele
met az elérhető szerepkörök listájából, majd ismét lépjünk tovább. Ekkor az Introduction to File
Services (A Fájlszolgáltatások bemutatása) círnű szöveget tartalmazó ablak jelenik meg (3.1. ábra).
-'lel Windows Server 2008
File Setvices
��
Berore You ilegin
ServerRdes
le Servtees
Ft
Introductioo to Fole Sei'Vices
Ale Services provides tedmo!ogtes that help manage. storage, enable file repikatitint maoage shared fotders.
ens!Jfe fast file searchirtg_, ;;md enable .,ccess fix UNIX dent computers. W!th FBe Services! organlzatioos: can
store files 1n a centrallocatíon and then share ·thefn Y..ith usersacross the company network. You can ildex
these shared fies to help u<ers find flles qutddy. ln oddition, youcan synchronae folders on multiple servers U>
Role Service< provide fault-�t access to shared resources. file services also enables you to provision starage on Fibfe
Chonnel aod !SCSI dtsk storage subsystems.
Coofirmation
Progress
3.1. ábra
Az lntroduction to File Services ablak
Ha ezen a bevezető képernyőn a Next gombra kattintunk, a Select Role Services (Szerepkör-szol
gáltatások kiválasztása) ablak jelenik meg (lásd a 3.2. ábrát).
ServerRdes Oesaiption:
FleService;. r-""0"�"""'·e'""Serv,-e-:r---- File SeNermanages: sharedfolderso
M@+1Jejii§ EJ 0 Distrbuted Rle System
O OFS Namespaces
;�� ::�:;��:��a;��=� n
DFS RepiKation
Coofinmation
D
Progress O File Server Re:source Man�
Results D Services for Network File System
O Windows Search Service
BD Windows Server 2003 Rle Services
D File Repicalion Sevice
D Indomg Service
3.2. ábra
A Select Ro/e Services ablak
Ebben az ablakban választhatjuk ki azokat a különböző szolgáltatásokat, amelyek a "szerepkör"

szélesebb értelmű meghatározása alá esnek a fájlkiszolgálón. A felsorolás tetején található File
Server (Fájlkiszolgáló) szerepkör feltétlenül szükséges, ezért jelöljük be, majd igény szerint
válasszuk ki a különböző részösszetevőket. Megjegyzendő, hogy az Indexing Service (Indexelő

szolgáltatás) a Windows XP és a Windows Server 2003 maradványa, és csak bizonyos helyze
tekben lehet rá szükség. Az új Windows Search Service összehasonlíthatatlanul jobb teljesít
ményt és pontosabb keresést nyújt, és a legtöbb keresési feladatra tökéletesen helyettesíti
az indexelő szolgáltatást. Végül, a Services for Network File System lehetőség az NFS-támogatást
telepíti, amelynek az olyan vegyes környezetekben vehetjük hasznát, ahol Linuxot, bármilyen
Unix-változatot, illetve egyes esetekben Mac OS X-et futtató számítógépek számára szükséges
hozzáférést nyújtanunk a megosztott hálózati mappákban található fájlokhoz.
Ugyanazon a gépen nem futtathatjuk egyszerre az indexelő szolgáltatást, illetve

a Windows Search Service-t.
Ha kiválasztottuk a kívánt részösszetevőket, kattintsunk a Next gombra. (Példánkban jelöljük ki

a File Server, File Server Resource Manager és Windows Search Service összetevőket.) Ekkor
a Configure Storage Utilization Manitoring (Tárhelyhasználat-figyelés konfigurálása) képernyő
jelenik meg, amelyet a 3.3. ábrán láthatunk.
- - ----------- �-�-�*�
Add R.oles. WtZard � ,,�� ,"" IX
Configure Storage Usage Manitoring
Berore You Ilegin You ""'monítor the amoont of spa<:e used on ea<:h vokJme on Ihs �ter and generate storage reports
whena,'Oiume readles o specifiedusoge threshold. Ausage threshold is • porcen!a9eofthellltalstorag•
S<rver Roles
� ofavoiJme. First, select thevolumes vouwanttomonitor. Then, foreachvoiJme,demethe
Fie s.rv.ces usoge threshold and choose the reports to generale.
RoleSevices
Y.oluines (NTFS volumes only):
Storage Montonng
VOlmes lll Index
Canfi-matien
Progress
ilesUis
3.3. ábra
A Configure Starage Utilization Manitoring képernyő
Ebben az ablakban egy a Windows Server 2003 R2-ben megjelent új szolgáltatást használhatunk
ki, amely lehetővé teszi, hogy arra kérjük a Windowst, hogy figyelje a lemezkapacitást és
az elérhető szabad terület nagyságát egy adott köteten, elemezze, hogy rni veszi el a helyet, és
küldjön egy előre meghatározott formájú jelentést a rendszergazdának, amely ezeket az infor
mációkat tartalmazza. Erről a lehetőségről a fejezet késóbbi részében bővebben is beszélünk,
-·fl Windows Server 2008
amikor a File Server Resource Managert tárgyaljuk, de most elég, ha bejelöljük a C: lemezmeg
hajtó figyelését előíró jelölőnégyzetet, és elfogadjuk az alapértelmezett jelentést, amely a Files
by Owner (Fájlok tulajdonos szerinti jelentése) és Files by File group (Fájlok típus szerinti
jelentése) lehetőségeket tartalmazza. Ha ezzel megvagyunk, lépjünk tovább a Next gombbal.
Ekkor a Set Reports Options Qelentésbeállítások megadása) képernyő jelenik meg, ahol beállít
hatjuk, hogy hová kerüljön a tárfigyelő által előállított jelentés. Egyelőre fogadjuk el az alapér
telmezést, és kattintsunk a Next gombra.
A következő képernyő a Select Volumes to Index for Windows Search Service (A Windows
keresőszolgáltatása által indexelendő kötetek kijelölése), amelyet a 3.4. ábra mutat.
Add Ro!es Wtzard "'• ='ii-'1i x
Select Volumes to Index for Windows Search Setvice
Be.fure You Begón Windows Seard!5ervice enables you t o perform fastfile searches onthis server from computers running
Windows Vista-�" cr from computers runnlngWindows XP or Windows server 21)03, With Windows Desktop
Serve' Roles Search instaUed.
fie ServiCes
Indexing a volume is an operatien that can affect system performan<e, espedally when thevo1ume being
Role Services indaed is the system volume. For bestresults� you should select to indexvolumes that are used only for
hosting shared folders. For moreinformci:ion, seeWindows Sear<h Service: .and rndextrtq Service.
S!Drage McritDI'ing
Report Options Seiert the vol umes that you want to index.
Vo!umes to lndel<
�olumes:
Continnalion
Progress D Local Disk (C:)
Rerut.
Other localiops on this <omputer wil be indexed by default. even if you do oot select a volume. You"""
d1ange the indexng locabons by using Indexing Opbons in Control Panel.
3.4. ábra
A Select Volumes to Index for Windows Search Service képernyő
A varázslónak ezen az utolsó oldalán választhatjuk ki azokat a lemezeket, illetve köteteket,

amelyeket a Windows Search Service-nek indexelnie kell. Amint már említettük, a Windows
Search Service a fejezetben később kerül terítékre, ezért most csak jelöljük ki a C: meghajtót
indexelésre, és lépjünk tovább.
A megerősítő ablakban kattintsunk az Install (Telepítés) gombra, és megjelenik a 3.5. ábrán

látható Installation Progress (Telepítési folyamat) ablak, amely tudatja, hogy a Windows Server
2008 a kívánságunk szerint telepíti a File Server szerepkör részösszetevőit
Add Roles \V"IZatd -.ff..,_; �
..
.. Installation Progress
Before You Begln The folowing roles, role se(Vices, Of reatures are being ínstaled:
ServerRoles,
File Services
FleServices
Roles..vkes
Stnrage Monlloring
ReportOptwns
Volumes IDll'\dex
Confrmation
Progress
Results
6 Instalong ...
3.5. ábra
Az lnstal/ation Prograss képernyő
Megosztott mappa létrehozása saját kezűleg

Alapértelmezés szerint csak az Adrninistrators (Rendszergazdák), a Server Operators
(Kiszolgálófelelősök) és a Power Users (Kiemelt felhasználók) csoportok tagjai engedélyezhetik
a mappák megosztását, bár a felület lehetővé teszi más felhasználóknak is, hogy megpróbálják
a megosztást, rnielőtt megjelenne a User Account Control (UAC, Felhasználói fiókok kezelése)
ablak.
Mindazonáltal a hálózati csoportházirendeket úgy is beállíthatjuk, hogy más felhasználóknak és

csoportoknak ne legyen ilyen lehetőségük. A Windows Server 2008-ban létrehozott megosztott
mappák alapértelmezés szerint olvasási hozzáférést adnak a hitelesített felhasználók csoportjá
nak (ide tartoznak rnindazok a felhasználók, akik sikeresen bejelentkeztek a számítógépre vagy
a hálózatba). A Windows Server egyes korábbi változataiban alapállapotban minden felhasználó
teljes hozzáférést kapott a megosztott mappákhoz, ami igen kényes helyzetekhez vezetett a fel
tört számítógépeken.
A megosztási engedélyek különböznek a fájl- és mappaszintű engedélyektől, amelyek finomab

ban szabályozhaták A fájl- és mappaszintű engedélyekkel (amelyeket NfFS-engedélyek néven is
ismerhetünk) a fejezet későbbi részében foglalkozunk. Ha kis céget vezetünk, kevés alkalmazottal
és kisebb hangsúllyal a biztonságon, az egyszerű megosztásszintű engedélyeket elegendőnek
találhatjuk a bizalmas tartalmak védelmére. Egy nagyvállalatnál azonban a megosztásszintű enge
délyek gyakran nem elég rugalmasak, és nem kezelhetők megfelelően. Ezenkívül a nagyvállalatok
tárolási és megosztási hierarchiája általában bonyolultabb, rnint a kis cégeké, ami a megosztás
szintű védelem biztosítását nehézkessé teszi, ha a hálózaton sok megosztott mappa található.
_.,. Windows Server 2008
IMf'W!t'dW Egyes fájlmegosztási lehetőségek korlátozottak lehetnek, ha bekapcsoljuk az egysze-
rű fájlmegosztást. Ha olyan munkaállomásokon engedélyezzük ezt a szolgáltatást,
amelyeken Windows XP Professional fut, a megosztott mappák távoli létrehozása és kezelése, illetve
az engedélyeik módosítása lehetetlenné válik, mert ezekre a számítógépekre minden távolról kapcso
lódó gép a Guest (Vendég) fiókkal csatlakozik. Ezért üzleti hálózati környezetben javasolt kikapcsofni
az egyszerű fájlmegosztást. Ha többet szeretnénk tudni az egyszerű fájlmegosztás működéséről a Win
dows XP-ben, olvassunk el egy jó könyvet, ami ezzel a rendszerrel foglalkozik.
Megosztást háromféleképpen hozhatunk létre: a Provision a Shared Folder Wizard (Megosztott

mappa létesítése varázsló) segítségéve!, az Explorer grafikus felületén keresztül, illetve a pa
rancssorból. Ha az említett varázslót szeretnénk egy mappa megosztására használni, kövessük
az alábbi lépéseket:
1. Indítsuk el a Server Managert, annak bal oldali ablaktáblájában bontsuk ki a Roles, File
Services elemet, és kattintsunk a Share and Starage Management (Megosztások és tárolók
kezelése) elemre.
2. A jobb oldali ablaktáblában kattintsunk a Provision Share (Megosztás létesítése) hivatko
zásra, amely megnyitja a Provision a Shared Folder Wizard ablakát.
3. A Shared Folder Location (Megosztott mappa helye) lapon, amelyet a 3.6. ábrán láthatunk,
jelöljük ki a megosztandó mappát A könyvtárfát a Browse (Tallózás) gombbal érhetjük el.
Azt is megtehetjük, hogy a Provision Starage (Tároló létesítése) gombra kattintva elindítunk
egy varázslót, amely el6készíti azokat a rendszeren található köteteket, amelyeket még nem
formáztunk meg vagy jelöltünk ki, így nem kell varázslók és vezérl6ablakok között válto
gatnunk, hogy hozzájussunk egy meghajtóolvasóhoz. Ha megtaláltuk a megfelel6 helyet,
.. .
� Shared Folderloculion
=r==�======�=-M=��=============1
St..,.:
JISpecíythefolderthatyouwartto shae Onavdume-_..edlar.!d.-.o.
Shared Folder location ;l and space, select � folder orcreate B new one. r appropriae volume does.
\lnot e:llist, dck ProVISIOf'l Starage and create one
an an
NTFS Pemissions .
CM>ta Poicy
Fie Screen Poicy 1'-
Review Setfings and Create
Share
Shadow copoes· Not conflgUed

ltldemg· Notconf�d
Highfy available serve.-: Volume IS not dustered
3.6. ábra
A Shared Folder
Loeat/on lap
3. fejezet • Fájlszolgáltatások lij-'
4. Ekkor az NTFS Perrnissions (NTFS-engedélyek) lap jelenik meg, amelyet a 3.7. ábra
mutat. Itt, ha szeretnénk, módosíthatjuk a kijelölt objektumra jelenleg érvényes NTFS
engedélyeket -vagyis azokat az engedélyeket, amelyek a fájlrendszer szintjén vannak
érvényben, és nem csupán az egyes megosztott mappákra kényszerítjük ki -, de úgy is
dönthetünk, hogy fenntartjuk a meglevő jogosultságokat. Jelöljük be a megfelelő válasz
tógombot, kattintsunk az Edit Permissions (Engedélyek szerkesztése) gombra, hogy
megnyissuk a jól ismert engedélyszerkesztő párbeszédablakot, majd lépjünk tovább.
(Az NTFS-engedélyekről a fejezet későbbi részében bővebben is beszélünk.)
!\l ProVISIOn a Shared FoldetWaard """', :2'fW2

IM],] NTFS Permissions
Steps:
Specify NTFS penni� to coriral how in<lvidual � and �s accetS this folder
�..-ed foide< Loca;on iocatJ. For netwcwk �to a shMed fokier, the moteJestncbve oflhe NTFS
' � ondthe ohanopemlisOON � forthe shareprotocol del- the
NTFS Pem11sSI0!1S levet rA access granted to users and groups
ShCR Protoco/s
Oualo Polcy
ReS=en Poky
�SettingsandCreate
Sh""
Oa- you wan!: to ch<ll'lqe the NTFS penl1I$SI(InS forths fcilder?
Commotion
y... char>oe NTFS pemlissions
To cllange NTFSpemusions,clck Ed< p."",...",.
3.7. ábra
Az NTFS Permissions lap
� Share Prulocols
�
Steps:
Shared Foldes l.ocaJoo
NTFS p."",...",. �. :>MB
SMBSetmgs
SMB Perrnissions
Quot.s Policy
ReS...." Poky
DFS Namespace f\b�
Review Setmgs and úeate
!;h...,
3.8. ábra
A Share Protocals lap
-·!1 Windows Server 2008
5. A következő képernyő, amelyet látunk, a Share Protocals (Megosztási protokollok; lásd
a 3.8. ábrát). Itt választhatjuk ki, hogy a megosztott mappa hogyan jelenjen meg a hálóza
ton az ügyfelek számára a különböző protokollok - SMB (a Windows szabványos fájlmeg
osztási protokollja, amelyet az olyan nyílt forrású eszközök is használnak, mint a Samba) és
NFS (ez, ahogy korábban már említettük, a Linux és Unix rendszerű ügyfeleket szolgálja ki)
- használatakor. Írjuk be a megosztási nevet, és ellenőrizzük a megosztási útvonalat, amely
az UNC Cuniversal naming convention, univerzális elnevezési rendszer) szabványos formá
tumában jelenik meg, hogy azt tükrözi-e, amit beírtunk. Ha az Add Roles Wizardban nem
telepítettük az NFS-t, az NFS jelölőnégyzete kiszürkítve jelenik meg. Ha készen vagyunk,
SMB Settings
--"i�ciyhowthls Wredfolder 10to beuoedby dieru ae<:es$11g• overthe SMB

You ean use the descripfton to add comments aboáhowthe. $hared folder
ou can sJw control advanced SMB setting$ incJI.Jd1ng the mexitnum
aUowed_ accessi>ased �ion. and offtine avaiabülty.
Share Protocels
SMBSettrlgs
SMB Pemissions
Quota Polcy
Re Screen Polcy
DFS N..,.." ace f'lblsh01g
Review Se:l:trlg$ and Cre�e

Share
3.9. ábra
Az SMB Settings lap
6. Ekkor a 3.9. ábrán látható SMB Settings (SMB-beállítások) lapra kerülünk, ahol továbbra is
láthatjuk az előző képernyőn szereplő Share Path (Megosztási elérési útja) mezőt.
A Description (Leírás) mezőben megadhatjuk a megosztott erőforrás leírását is, de ez nem
kötelező. A leírások a rendszergazdának és a felhasználónak is segíthetnek, hogy mire
szolgál az adott megosztott mappa, feltéve ha egy olyan világos szöveget adunk meg, mint
az ,,1999-es év harmadik negyedévi könyvelési dokumentumai" vagy az "el nem fogadott
előterjesztések". Az Advanced Settings (Speciális beállítások) keretben felhasználói korlátot
állithatunk be a megosztott mappára, ami segít, hogy a hálózaton futó régebbi progra
moktól friss szaftverengedélyeket követeljünk meg; bekapcsolhatjuk a hozzáférés alapú
számbavételt (ABE, access-based enumeration), amellyel elrejthetjük azokat a megosztott
mappákat egy felhasználó elől, amelyekhez az adott felhasználónak nincs hozzáférése, így
nem kell megjeleníti azokat, és utána megjeleníteni a "hozzáférés megtagadva" ablakot, ha
a felhasználó mégis megpróbálja elérni őket; illetve a kapcsolat nélküli hozzáférésre is
megadhatunk beállításokat. Ha az említett beállítások bármelyikét módosítani szeretnénk,
3. fejezet • Fájlszolgáltatások If-
kattintsunk az Advanced (Speciális) gombra. Az Advanced párbeszédablak Caching
(Gyorsítótárazás) lapján azt határozhatjuk meg, hogy az adott megosztott mappa tartalmát
hogyan érhetik el azok a felhasználók, akik jelenleg nem kapcsolódnak a hálózatra. Ennek
módját a kapcsolat nélküli (offline) beállítások között adhatjuk meg. Ha további finomhan
golást szeretnénk végezni, kattintsunk a gombra.
A három lehetőség eléggé magától értetődő: az első megengedi a felhasználónak, hogy
szabályozza, mely dokumentumok legyenek kapcsolat nélkül is elérhetők, a második
minden dokumentumot elérhetővé tesz, a harmadik pedig egyetlen dokumentumot sem
enged kapcsolat nélkül elérni. Megjegyzendő, hogy ha bekapcsoljuk az Optiillized for
performance (Teljesítmény optimalizálása) jelölőnégyzetet, a dokumentumok automati
kusan a gyorstárba kerülnek, hogy a felhasználók helyben dolgozhassanak velük, ami
nagy segítséget nyújt a leterhelt alkalmazáskiszolgálóknak, mivel csökkenti a teljes adat
forgaimat a kiszolgáló és az ügyfelek között. Ha végeztünk a beállításokkal kattintsunk
az OK gombra, majd lépjünk tovább.
t'tJ Provrs10n a Shared Folder Waard J@' -.or'X

SMB Perm issOns
11
Spedyohare�lorSMB-basedaccesstolheshan•H<>Ider R>r
Shacod Foide< i.ocaOOo accesstoaSharedfolder, themore restndive-of_the share pemúsion$ and NTFS
it�s detmmtne theievel d�gartedtousers��
NTFSPemissions
Sha<ei'lotocols
SMBSertr>g$ ____
..;..
SMBP"""""""'
l Ouolo!IPolicy 'l•SeiectOI'eofthotolowngbaslceh.sre�ucteatecustomllhare�.
Rle Saeen Poky
DFS-ace� 0l � usec and- have only Read"""""'
Review Setmgs o3'ld Cn!ae

Sha<e <:i�..., have ftJI Cortrol; al otherusec and- have only Read """""'
Commaöon r. �""'have ftJICorirol. al Olhe<use.s and- have only Read access
and Wtite ac:ceM·
!,!oel>and-hovecustomohare�·
For more information about sharing and permi:asions, see Manaqino Pemisskm:
faS!wed Foldern.
3.10. ábra
Az SMB Permissions lap
7. Ekkor a 3.10. ábrán látható SMB Permissions (SMB-engedélyek) lapra kerülünk, ahol azokat
a megosztásszintű engedélyeket -nem pedig a fájlrendszer szintjén érvényes engedélyeket
-állíthatjuk be, amelyeket ki szeretnénk kényszeríteni a megosztott mappát a hálózaton
keresztül elérő felhasználókra vonatkozóan. A konzolnál ülő felhasználók továbbra is
megtekinthetik a megosztott mappa tartalmát, hacsak a fájlszintű NI'FS-engedélyek meg
nem akadályozzák ezt. Ahogy a képernyőn is olvashatjuk, a megosztásszintű és az NI'FS
engedélyek közül mindig a korlátozóbb beállítás érvényesül. A rendelkezésre álló megosz
tásszintű engedélyek a következők:
Minden Jelhasználó csak olvasási hozzáféréssel rendelkezik
Mind a rendszergazdák, mind a normál felhasználók csak olvashatják az adott
megosztott mappa fájljait, felülírni vagy módosítani nincs lehetőségük.
-·!:1 Windows Server 2008
A rendszergazdák teljes hozzáférést kapnak, a többi felhasználó csak olvasási jogot
Az Administrators csoport tagjai teljes hozzáférést kapnak a megosztott mappához,
beleértve új NTFS-fájlengedélyek beállításának lehetőségét is, rníg rnindenki más
csak olvashatja a mappát Ez a legjobb beállítás egy olyan megosztott mappa
számára, amely a hálózaton futtatható progamot tartalmaz.
A rendszergazdák teljes hozzáférést kapnak, a többi jelhasználó pedig olvasási és
írási engedélyeket
Minden felhasználó írhatja és olvashatja a mappát, de az NTFS-fájlengedélyek
módosítására csak az Administrators csoport tagjai jogosultak.
Egyéni megosztási és mappaengedélyeket állítunk be
Az egyéni engedélyekkel külön jogosultságokat és tiltásokat állíthatunk be
az egyes felhasznáJókra és csoportokra vonatkozóan. Így lehet megváltoztatui
a minden felhasználóra alapértelmezett csak olvasási jogot, arnivel lényegében
szélesre tárjuk a kaput, ami a bizalmas állományok esetében nem kívánatos.
8. Ekkor a 3.11. ábrán látható Quota Policy (Kvótaházirend) ablak jelenik meg, ahol megha
tározhatunk egy kvótát, amely korlátozza, hogy a mappa legfeljebb mekkora méretet
érhet el. A kvótát helyi szinten rendeljük a mappához - figyeljük meg, hogy az elérési út
most a kiszolgáló helyi lemezmeghajtójától indul, és nem azt az UNC hálózati útvonalat
látjuk, mint a korábbi néhány képernyőn. Egy kvóta életbe léptetéséhez jelöljük be
a találó nevű Apply quota (Kvóta alkalmazása) jelölőnégyzetet, majd válasszuk ki, hogy
egyszerűen egy kvótát kívánunk-e alkalmazni az adott útvonalon elérhető mappára, vagy
egy kvótasablon segítségével az útvonalon jelenleg megtalálható mappákra és az ott ké
sőbb létrehozandó almappákra is kvótát szeretnénk életbe léptetni. A fejezetben késóbb
bővebben is szót ejtünk a kvótákról és a kvótasablonokról, ezért most elég, ha elfogad
juk az alapértelmezett100MB-os korlátot, és a Next gombra kattintunk.
---1
� Quol8 Poicy
Steps:
Shared F-LDca!ion
NTFS PenmSIOnS P>\h·

91are Protocols
SMB Settllgs
Qenve �from this quota t_emplme:
Review Settíng$ and Create

Jt;I:IIM;IIrtelftlfitlti:l@i@é •
Sha"'
Cornrmation 8-0uota:c.\�\Publlc
i- SOISCe ternplate: 200 MB !..ini wth 50 MB &ttension
·lJmi· 200 MB (Ham)
8- �:l.
3.11. ábra
A Ouota Policy ablak
3. fejezet • Fájlszolgáltatások ��-
9. Ezt követően a File Screen Policy (Fájlszűrési házirend) ablakot látjuk (3.12. ábra).
A fájlszűrő lehetővé teszi, hogy megakadályozzuk bizonyos típusú fájlok tárolását egy
megosztott mappában, ami remek módja annak, hogy távol tartsuk a kiszolgálót leterhelő
különböző multirnédiafájlokat. Egy könyvelési dokumentumokat tároló megosztott
mappában például nem sok keresnivalója van a hang- és videofájloknak.
Ha fájlszűrőt szeretnénk alkalmazni, jelöljük be az Apply file screen (Fájlszűrő alkalmazása)
jelölőnégyzetet, majd válasszunk ki egy előre beállított fájlszűrősablont a lenyíló listábóL
A fájlszűrőkről és a sablonokról a fejezetben késóob bővebben is beszélünk, ezért most
elég, ha elfogadjuk az alapértelmezést, és a Next gombra kattintunk.
red Fokfer Waatd
� File Screen Policy
St-
You can apply a file screen to a sharedfolderto-cimtrolthe typ.es offfes that thefokfer
Shared Folder locatfoo cancortaio;
NTFS Pemlssions P$·

SMe Protocelo IC\Users'IJ'Wic
SMBSel!ngs
!;;' f:Wy fie screen
SMBPll!ll'I$SIOI'lS
Q.ertve _.....from tmfile ,_., •..,.".•.
ji:I!@Mtifüfii G
S.""""'Ydflesaoenpropert;es.
DFS N"""soace Pub1is11no
e- Ae screen: c:\Users\Plblic
Review Settings and Create - Sotsce t�ate· Block hJdto and V'ldeo Flles
SMe
Screerino .",.. ·-·
Commalioo Fie groups: AJd,o n Vtdeo Ries
Notkatiomo Emal. Evert log
To create oredit Ile $cteen tenplates, use File Setver Re1iource Manager.
Formore information about file screens, seeF-tle ScreentooManagement.
(f_tevioUs �� 3.12. ábra

A File Screen Policy ablak
,N1Il'li111"G':<
� OFS Nomespace Pubisiling
Steoo:_
You canpOO!ish an SMB share to a: DFS �by speofying an existinQ
Shaml Folder locatioo namespace andthe fo!ders )'QU wari to createinihenamespace. The !ast falderrthe
namespacepath v.il havethenew shate as akddertarget
NTFS Permissions
Sh�R Protoem
SMB Se!mo•
:lí,, �111e SMBsharetoaDFSna""'"'"""
SMB Pemlssions
B.!Pw�
OldaPoky
&.ni>lo:\\Oomaon\Nane\folder
Fi< Saoen Poky
OFS Namespace Pubhol'ino
Review Settirgs and Create
Share �:.Name or Newfolder\Name
Cor{'""""'
For rnoreinfometiooabout OFS Namespaces. see�

3.13. ábra
<frevious �� A DFS Namespace
Pubfishing ablak
-pel Windows Server 2008
1 O. A következő ablak a DFS Namespace Publisbing (Közzététel elosztott fájlrendszerbeli
névtérben) képernyő, amelyet a 3.13. ábra mutat. Itt az újonnan létrehozott megosztott
mappát közzétehetjük egy DFS-névtérben. A DFS-t is késóbb tárgyaljuk részletesen, ezért
most kattintsunk a Next gombra, hogy a varázsló utolsó lapjára lépjünk.
11. Az utolsó ablak a Review Settings and Create Share (Beállítások áttekintése és megosztás
létrehozása), amelyet a 3.14. ábrán láthatunk. Ellenőrizzük a varázsló lapjain megadott
beállításokat, és ha mindet rendben találjuk, kattintsunk a Create (Létrehozás) gombra.
Rövid várakozás után az ellenőrző képernyőn egy zöld pipának kell megjelennie, ami
a megosztás sikeres létrehozását jelzi.
-
�p�vtSJOn a Shared Folder Waard v�� - o x
111 Review Settings ond Creote Silere
rStepo:
To províSIOr'l a sharedfolderwlhthefolo.•A� set:tings. cickCreate. To change M'tj of
Sha<ed Foldeo- l.oc<fu> t:he$e �. díck Pre\4ous or select the appropliate page Jn the orientation pane.
NTFS Penníssioos
s-tare Protocols
SMB Se<mgs
Share locabon: c:\Users\Publc
SMB Pem��ssions NTFS..."....,..
CREATOR OWNER • illow:Ful Cortrol(e><plcl)
Ouol• Paicy NT AUTHORJTY\BATCH • Alaw:Read &. Execute; llit Folder C!
AUTHORIT'r\BATCH ,.AJow:ModtyJRead & Exect(el Ust
NT
Fle .SO..O Paicy
NT AUTHORJTYIINTEAPCTIVE • !low:Modify l Read & E><eoU:
l OFS Namoopace P�
�i ��=:�;�:r;l:�'f�!t�=.!��
Review Settinos and Create NT AUTHORITY\SERVICE ,. �w:Rei:IC & Execute t Ust Fclder
5I1...
Urlomaüon
��,g�v;.r:�=2!.�)
Share over SMB. Public
l
Sha<e path: \\WDSTESl\Pubic

�:
Userimi: Mamun alo;�.-ed
Offine setting: Selected fies and prograrr,s available offline
SMB penmssions:
...
Everyom !Jow:Change l Read
BUlLTIN\Ad-rnstrators: Alkrx·Full Control
3.14. ábra
A Review Settings and
Create Share képernyő
,.,_ M."..,.,. (WDSTEST)

8 !PRoles
BiSFüe"""'kes -...andstorao-�
1±1�
d ProvisionStor ...
�±� �F·Sii··J.itti€1§1 sertrie$
EB �
l±J Wndows �yment Servt
Features
00Qnosbcs
Share; Na ... l Protocol J localPath ··
Provision Shar, , ,
Mariage Sl!ssi...
00 coo�a� ��
B �
� tooo
�'I � ��B�(�S��·�m�s) __________
��--------�
1±1 Storage lill AOMINS SMS C:\Windov.<s 8
G
ai> cs SMS
SMB
ü\
� .. fresh
-·------
c:\,Jse"s'ftüc G G lll....,
C:�teinstall G
3.15. ábra
A Share and Starage
Management
Shares lapja
3. fejezet • Fájlszolgáltatások 11-
Alapértelmezett megosztások
Telepítéskor a Windows Server 2008 több alapértelmezett megosztott mappát is létrehoz,
amelyek különféle célokat szolgálnak. Ezeket a mappákat a Server Manager Share and Starage
Management nevű szolgáltatásán keresztül vizsgálhatjuk meg. Nyissuk meg a Server Manager
ablakát, bontsuk ki a Files Services szerepkört, és kattintsunk a Share and Starage Management
elemre. Az alapértelmezés szerint megjelenő ablakot a 3.15. ábra mutatja, a Shares (Megosztások)
lapon a számítógépen beállított megosztott mappákkaL
Nézzük végig az alapértelmezett megosztott mappákat és szerepüket:
C$ és más hasonló lemezmeghajtó-betűjelek

Ezek a megosztások a felügyeleti megosztott mappák, amelyek segítségével gyorsan
elérhetünk egy adott számítógépet a hálózaton, és megvizsgálhatjuk a lemezmeghajtója
tartalmát. A Windows Server 2008 az egyes rendszerek minden helyi meghajtójához
létrehoz egy-egy felügyeleti megosztott mappát, amelyektől nem szabadulhatunk meg
könnyen véglegesen, mert ha rendszerindításkor nincsenek jelen, akkor újra létrejönnek.
Ezenkívül ezeknek a mappáknak a megosztási engedélyeit sem módosíthatjuk, távoli
felügyelet és hibaelhárítás céljaira azonban hasznos eszköznek bizonyulnak
ADMIN$
Ez is egy felügyeleti megosztott mappa, amely közvetlenül a Windows Server 2008 rend
szerfájljainak helyét képezi le, vagyis ugyanaz a szerepe, mint a %systemroot% környezeti
változónak. A mappa haszna az operációs rendszer frissítéseinek terjesztésekor mutatkozik
meg, különösen ha több különböző operációs rendszert működtetünk. Emlékezhetünk rá,
hogy a Windows 2000 a \ WINNT mappát használta, a Windows Server 2008-ban azonban
a régi jó \WINDOWS mappa szerepel. Ha egy parancsfájlt írunk, amellyel egy fájlt minden
kiszolgálótípusnak át szeretnénk adni, és helyként mindegyik gépen az ADMIN$ megosztott
mappát használjuk, ezzel a különbséggel nem kell törődnünk.
IPC$
Ez a megosztott mappa az erőforrások megosztását segíti a Windows Server 2008-ban, nem
pedig fájlokét más számítógépekkel. A fájlmegosztást kivéve minden távoli felügyeleti
szolgáltatás ezt a megosztott mappát használja.
NETLOGON
Ennek a mappának a jelenléte kötelező a tartományvezérlőkön. Ide kerülnek a bejelent
kezési és kijelentkezési parancsfájlok, illetve programok, valamint azok a profiladatok,
amelyekhez a felhasználóknak hozzá kell férniük, mielőtt bejelentkezhetnének a hálózat
ba. A mappa helye a kiszolgáló fájlrendszerében
a %SystemRoot%\Sysvol\tartománynév\SCRIPTS.
PRINT$
Ebben a megosztott mappában a hálózaton megosztott (általában az operációs rendszer
korábbi változataihoz való) nyomtató-illesztőprogramok tárolódnak, amelyeket az ügyfelek
egy nyomtató telepítésekor igényelnek. A mappa helye a kiszolgáló fájlrendszerében
a %SystemRoot%\System32\spool\drivers.
SYSVOL
Ezt a mappát a belső tartományvezérlői műveletek használják, és nem szabad módosítani
vagy törölni. A mappa helye a kiszolgáló fájlrendszerében a %SystemRoot%\Sysvol\Sysvol.
_.fl Windows Server 2008
Rejtett megosztott mappa létrehozása

Előfordulhat, hogy úgy kell megosztanunk egy erőforrást, hogy ennek ténye ne legyen
nyilvános. A fizetési osztálynak például nyilván szüksége van egy saját megosztott mappá
ra, de a cég többi részének nem kell hozzáféréssel rendelkeznie ehhez a mappához, és
a bizalmas adatok védelme érdekében célszerű elrejteni a mappát a közönség szeme elől.
Ezt úgy tehetjük meg, hogy a megosztott erőforrás nevének utolsó karaktereként a$ jelet
írjuk be. A felhasznáJók úgy csatlakoztathatnak egy meghajtót egy ilyen megosztott map
pához, ha konkrétan megadják annak a nevét (beleértve a végén található$ jelet is), maga
a mappa azonban nem jelenik meg a távoli gép Explorer vagy My Computer (Sajátgép)
ablakában, és a net view paranccsal sem jeleníthető meg ott.
Megosztott mappák közzététele az Active Directory-ban

Ha a megosztott mappákat közzétessZÜk az Active Directory-ban, a felhasznáJók a Windows-asztal
Start menüjében található Find (Keresés) paranccsal azonosító vagy leírás alapján megtalálhatják
a távoli megosztásokat, ami jól jöhet, ha egy új és egyszerű programot közvetlenül a hálózatról
futtatnak, de egy a nap folyamán korábban lezajlott elektronikus PowerPoint-bemutató letöltésére
is használható. Jegyezzük meg, hogy ahhoz, hogy egy megosztott mappát közzétegyünk az Active
Directory-ban, mindenképpen tartományi vagy vállalati szintű rendszergazdai jogosultságokkal
rendelkező fiókot kell használnunk.
A megosztott mappák közzétételéhez kövessük az alábbi lépéseket:
1. A Control Panel (Vezérlőpult) Adrninistrative Tools (Felügyeleti eszközök) elemén keresz

tül nyissuk meg az Active Directory Users and Computers (Active Directory - felhasznáJók
és számítógépek) ablakot.
2. Az egér jobb gombjával kattintsunk a megfelelő szervezeti egységre (OU, Organizational
Unit).
3. A New (Új) menüből válasszuk a Shared Folder (Megosztott mappa) elemet.
4. Írjunk be egy nevet, és adjuk meg a megosztott mappa leírását.
5. Adjuk meg a megosztani kívánt mappa elérési útját (hálózati helyét), és kattintsunk
a Finish (Befejezés) gombra.
A megosztott mappát ezzel hozzáadtuk a címtárhoz.
NTFS fájl- és mappaengedélyek

A fájl- és mappaszintű engedélyek beállítása a rendszergazda egyik legijesztóbb és legfárasztóbb,
ám ugyanakkor elengedhetetlen feladata, amelynek célja, hogy megvédje a hálózaton található
adatokat a jogosulatlan használattóL Ha már volt dolgunk a Unix engedélyeivel, akkor tudjuk,
rnilyen nehéz a megfelelő beállítások meghatározása és életbe léptetése. Bonyolult chrnod
parancsokat kell kiadnunk, amelyekben számok jelzik az egyes engedélyek bitjeinek értékét, és
nagyon könnyű elveszni közöttük Ezzel szemben a Windows Server 2008 figyelemreméltóan
3. tejezet • Fájlszolgáltatások lj-
teljes és hatékony halmazát nyújtja az engedélyeknek -többet, rnint bármelyik manapság
elterjedt Unix- vagy Linux-változat. Azzal sem vitatkozhat senki, hogy a Windowsban mennyivel
könnyebb a jogosultságokat beállítani, rnint más operációs rendszereken. Ez persze nem jelenti
azt, hogy a Windows engedélyei pofonegyszerűek
Szabványos és különleges engedélyek

A Windows az engedélyeket két különböző nézetben tárja elénk: vannak szabványos (szokásos)
és különleges engedélyek. Egy lemez fájljaira és mappáira gyakran elegendő a szabványos
engedélyeket alkalmazni, míg a különleges engedélyek a szabványos engedélyeket finomabb
kombinációkra bontják, és pontosabban szabályozhatóvá teszik, hogy ki milyen formában érheti
a lemezen található fájlokat és mappákat (összefoglaló néven objektumokat). Az Active Directory
csoportjaival együtt használva a Windows Server 2008 engedélyei különösen hatékonyak
az erőforrások elérésének dinamikus kezelésében (például a csoporttagság megváltoztatása
révén), amikor nem a rendszergazda, hanem más felhasználók férnek hozzá azokhoz. (Az Active
Directory-nak ezzel a szolgáltatásával, amelyet képviseletnek vagy átruházásnak- delegation
neveznek, az 5. fejezetben foglalkozunk majd.) A Windowsban elérhető szabványos engedélye
ket a 3.1. táblázat sorolja fel.
3.1. táblázat A Windows Server 2008 szabványos engedélye/
Típus leírás
Read (R, olvasás) A felhasználó vagy csoport olvashatja a fájlt.
Write (W, írás) A felhasználó vagy csoport írhatja a fájl vagy mappa tartalmát, és
létrehozhat új fájlokat és mappákat. Írási jogosultságot olvasási
jogosultság nélkül is lehet adni.
Read and Execute (RX, A felhasználó vagy csoport olvashatja a fájl vagy mappa tulajdon
olvasás és végrehajtás) ságait, megtekintheti annak tartalmát, és olvashat fájlokat egy map
pán belül. Az RX engedélyekkel rendelkező mappákban található
fájlok öröklik a mappának ezeket a jogosultságait
List Folder Contents (L, Ugyanaz, rnint az RX, de az L engedéllyel rendelkező mappákban
mappatartalom kiíratása) található fájlok nem öröklik az RX engedélyeket- ezeket csak
az új fájlok kapják meg automatikusan.
Modify (M, módosítás) A felhasználó vagy csoport olvashatja, írhatja, végrehajthatja és
törölheti a fájlt vagy mappát
Full Control (FC, Ugyanaz, rnint az M, de a felhasználó vagy csoport a fájl vagy mappa
teljes hozzáférés) tulajdonosává is válhat, és módosíthatja az engedélyeket.
A felhasználó vagy csoport törölheti egy mappa fájljait vagy
almappáit, ha a mappa FC jogosultsággal rendelkezik.
Az engedélyek működésének megértéséhez az alábbi kulcsfontosságú dolgokkal kell tisztában

lennünk:
•
A fájlengedélyek rnindig előnyt élveznek a mappaengedélyekkel szemben. Ha egy
felhasználó végrehajthat egy programot egy mappában, akkor ezt akkor is megteheti, ha
a programot tartalmazó mappára nincs olvasási és végrehajtási engedélye.
_.,. Windows Server 2008
•
Az előző ponthoz hasonlóan egy felhasználó minden olyan fájlt olvashat, amelyhez kifeje
zetten rendelkezik ezzel az engedéllyel, akkor is, ha a fájl egy olyan mappában található,
amelyhez nincs jogosultsága, csak ismernie kell a kérdéses fájl helyét. Elrejthetünk például
egy fájlt, amely az alkalmazottak társadalombiztosítási számait sorolja fel a fizetési osztály
egy védett mappájában, amelyhez a Mark Jones nevű felhasználó nem rendelkezik
mappaszintű engedélyekkel, de ha Marknak az adott fájlra olvasási jogot adunk, a fájl
teljes elérési útjának ismeretében Mark megnyithatja a fájlt a parancssorból vagy a Start
menü Run (Futtatás) parancsán keresztül.
• Az engedélyek összeadódnak egy felhasználó annyi jogosultsággal rendelkezik,
amennyihez az összes csoporttagságából adódóan hozzájut.
•
A tiltás mindig felülbírálja az engedélyezést. Ez akkor is érvényes, ha egy felhasználót
egy olyan csoportba veszünk fel, amelytől megtagadtuk egy fájl vagy mappa elérését:
a felhasználó számára korábban az egyéb csoporttagságai miatt engedélyezett hozzáférés
megszűnik.
A Windows a fentieken kívül különleges engedélyeket is biztosít, amelyek valójában a szabványos

engedélyeket alkotó finomabb jogosultságok. A különleges engedélyeket tetszőlegesen kever
hetjük, hogy új szabványos engedélyeket állítsunk elő; a Windows szabványos engedélyei csupán
a szokványos jogosultságok kiosztásár könnyítik meg a rendszergazdának
14 alapértelmezett különleges engedély létezik, amelyeket a 3.2. táblázatban soroltunk fel.

A táblázatból az is kiolvasható, hogy ezek az alapértelmezett különleges engedélyek hogyan
viszonyulnak a korábban tárgyalt szabványos engedélyekhez.
3.2. táblázat A Windows Server 2008 különleges engedélyei
Különleges engedély R W RX L M FC
Traverse Folder/Execute File x x x x
(Mappa bejárása/Fájl
végrehajtása)
List Folder/Read Data x x x x x

(Mappatartalom
kiíratása/Adatok olvasása)
Read Attributes x x x x x
Qellemzők olvasása)
Read Extended Attributes x x x x x

(Bővített jellemzők olvasása)
Create Files/Write Data (Fájlok x x x

létrehozása/Adatok írása)
Create Folders/Append Data x x x

(Mappák létrehozása/Adatok
hozzáfűzése)
Write Attributes Qellemzők írása) x x x

3. fejezet • Fájlszolgáltatások l}-
3.2. táblázat A Windows Server 2008 különleges engedélye/ (folytatás)
Különleges engedély R W RX l M FC
Write Extended Attributes x x x
(Bővített jellemzők írása)
Delete Subfolders and Files x

CAlmappák és fájlok törlése)
Delete (Törlés) x x
Read Permissions x x x x x
(Engedélyek olvasása)
Change Permissions x
(Engedélyek módosítása)
Take Ownership x
(Saját tulajdonba vétel)
Full Control (Teljes hozzáférés) x x x x x x
Az alapértelmezett különleges engedélyeket részletesebben a következő felsorolás írja le:
Mappa bejárása/Fájl végrehajtása

A Traverse Folder jogosultság lehetővé teszi egy fába beágyazott mappa elérését akkor is,
ha a fa szülőmappái megtiltják a felhasználónak, hogy hozzáférjen a kérdéses mappák
tartalmához. Az Execute File engedéllyel prograrnak futtatását engedélyezhetjük.
Mappatartalom kiíratása/Adatok olvasása
A List Folder engedély egy mappa fájl- és mappaneveinek megtekintését engedélyezi,
míg a Read Data engedély fájlok megnyitását és megtekintését teszi lehetővé.
jellemzők olvasása
Ez az engedély egy objektum alapjellemzőinek (attribútumok; írásvédett, rendszer-,
archív és rejtett) megtekintését teszi lehetővé.
Bővített jellemzők olvasása
Ez az engedély egy objektum bővített jellemzőinek (kiterjesztett attribútumok; egy
Word-dokumentum esetében például összegzés, szerző, cím stb.) megtekintését teszi
lehetővé. Ezek a jellemzők programról programra változnak.
Fájlok létrehozása/Adatok írása
A fájllétrehozási engedély új objektumok létrehozását engedélyezi egy mappán belül,
míg az adatírási jogosultság egy meglevő fájl felülírását (amibe nem tartozik bele adatok
hozzáfűzése a mappa meglevő objektumaihoz).
Mappák létrehozása/Adatok hozzáfűzése
A mappák létrehozási jogosultsága beágyazott mappák létrehozását teszi lehetővé, míg
az adathozzáfűzési jogosultság adatok hozzáfűzését engedélyezi egy meglevő fájlhoz,
de magának a fájlnak vagy a benne található adatoknak a törlését nem (ez a fájiméreten
alapuló szolgáltatás).
jellemzők írása
A fájlok alapvető jellemzőinek a módosítását teszi lehetővé.
_.11 Windows Server 2008
Bővített jellemzök írása
A fájlok bővített jellemzőinek a módosítását teszi lehetővé.
Almappák és fájlok törtése
Lehetővé teszi egy mappa tartalmának törlését, függetlenül attól, hogy a kérdéses
mappában található egyes fájlok vagy mappák kifejezetten engedélyezik vagy megtiltják-e
a törlést.
Törlés
Egyetlen fájl vagy mappa törlésére ad engedélyt, de a benne található más fájlok és
mappák törlését nem engedi meg.
Engedélyek olvasása
Lehetővé teszi, hogy megtekintsük egy objektum NTFS-engedélyeit, de azok módosítását
nem engedélyezi.
Engedélyek módosítása
Az objektumok NTFS-engedélyeinek mind a megtekintésére, mind a módosítására
engedélyt ad.
Saját tulajdonba vétel
Lehetővé teszi, hogy egy fájl vagy mappa tulajdonosává váljunk, ami az öröklés révén
arra is feljogosít minket, hogy módosítsuk az objektum engedélyeit Ezt a jogosultságot
a rendszergazda szintű felhasználók alapértelmezés szerint megkapják
Az engedélyeket tetszőlegesen párosíthatjuk, így különleges engedélyeket határozhatunk meg

a Windows Server 2008 alapértelmezett engedélyei mellett. Ennek módjával egy kicsit később
foglalkozunk részletesen.
Engedélyek beállítása
Az engedélyek beállítása meglehetősen egyszerű művelet, amelyet a grafikus felületen hajtha
tunk végre. Ha be szeretnénk állítani egy fájl vagy mappa NTFS-engedélyeit, kövessük az alábbi
lépéseket:
1. Nyissuk meg a My Computer vagy a Windows Explorer ablakát, és keressük meg azt
a fájlt vagy mappát, amelyiknek az engedélyeit be szeretnénk állítani.
2. Kattintsunk az egér jobb gombjával a fájira vagy mappára, és válasszuk a Properties
(Tulajdonságok) menüpontot.
3. Váltsunk a Security (Biztonság) lapra.
4. Az engedélyek módosításához kattintsunk az Edit (Szerkesztés) gombra.
5. A felső ablaktáblában vegyük fel azokat a felhasználókat és csoportokat, akiknek
az engedélyeit szerkeszteni szeretnénk, majd kattintsunk egyenként az egyes elemekre,
és az alsó ablaktáblában adjuk meg vagy vonjuk meg a megfelelő engedélyeket.
A 3.16. ábrán azt láthatjuk, hogyan rendelhetünk írási jogosultságot a Jonathan Haskell nevű
felhasználóhoz egy adott mappára.
Ha az Allow (Engedélyezés) vagy a Deny (Megragadás) felirat alatti valamelyik jelölőnégyzet

szürkén jelenik meg, az két dolgot jelenthet: vagy azt, hogy a megjelenített jogosultságok
a szülőobjektumtól öröklődnek (az öröklésről részletesebben a fejezet következő részében
3. fejezet • Fájlszolgáltatások lj-
beszélünk), vagy azt, hogy olyan további különleges jogosultságok vonatkoznak az adott elemre,
amelyeket nem lehet logikusan megjeleníteni az alapszintű Security lapon. Ha felülvizsgálni vagy
módosítani szeretnénk ezeket a különleges engedélyeket, egyszerűen kattintsunk az Advanced
gombra. A megjelenő ablakban az Add gombbal a Windows Server 2008 által alapértelmezetterr
telepítettek mellett saját különleges engedélyeket is meghatározhatunk. Ezen kívül azt is megte
kinthetjük, hogy a jogosultságok hogyan terjednek lefelé a fában, ha egy jogosultságot úgy
állítunk be, hogy csak az adott mappára, minden fájira és airnappára vagy ezek valamilyen
kombinációjára vonatkozzon.
l Permtss10ns for fmployee Survey R.esuft:s
Sea.ny 1
Object nome C\U•ers\Nllíc\En�loyee Sulve'/ Re!ouii>Jti
PetmSSioos for Jonathan Hassefi
FtJI""""' D
Mod;y D
Read & exea.te D
�d D
Wrte �j
3.16. ábra
leamabotAaccesscontrolandpem!SSÍOf!S
Felhasználói engedélyek megadása
OK l Cancel l'" ""'*' J
egy adott mappára
Öröklés és tulajdonjog
A jogosultságok felülről lefelé öröklődnek. Ez lehetővé teszi, hogy azokhoz a fájlokhoz és
mappákhoz, amelyeket egy már meglevő mappában hozunk létre, automatikusan rendeljünk
engedélyeket. Például ha egy mappára RX jogosultságok vonatkoznak, és a mappában létre
hozunk egy új almappát, az almappa felhasználói automatikusan olvasási és végrehajtási
engedéllyel fognak rendelkezni az almappa elérésekor. Az öröklési fát úgy tekinthetjük meg, ha
a kérdéses fájl vagy mappa tulajdonságablakának Security lapján az Advanced gombra kattin
tunk. Ez a 3.17. ábrán látható ablakot jeleníti meg, ahol az Inherited From (Öröklődés forrása)
oszlopban világosan láthatjuk, hogy honnan erednek a jogosultságok.
Az öröklést kikapcsolhatjuk, ha a 3.17. ábrán látható ablakban az Edit gombra kattintunk, és tö
röljük a jelet az Include inheritable permissions from this object's parent (Szülőobjektum örö
kölhető engedélyeinek hozzávétele) jelölőnégyzetbőL Annak a mappának, amelyiknek megtil
tottuk az öröklést, minden gyermeke csak az adott mappa engedélyeit kapja meg, a fában fel
jebb levő mappákét nem. Ha a szabványos engedélyöröklést vissza szeretnénk állítani egy
olyan objektumra, amelynél ezt kikapcsoltuk, csak újra be kell jelölnünk az említett jelölőnégy
zetet Az egyénileg meghatározott engedélyek ekkor megmaradnak, az egyéb engedélyek pedig
a szokásos módon, automatikusan terjednek lefelé.
BATCH Spea� Parert Objed

Admíni&retore tVIDSTEST\Administra.. Fui control Parern Object
INTERACTIVE Speaal Parent Objed
SERVICE Special ParentObject
3.17. ábra
Az örökölt engedélyek eredetének
OK
megtekintése
Tisztában kell lennünk a tulajdonjog fogalmával is. Egy fájl v�gy mappa "tulajdonosának" teljes
hozzáférése van az adott objektumhoz, így annak engedélyeit is megváltoztathatja, függetlenül
attól, hogy az objekturnra vonatkozó többi engedélynek milyen hatása van a fájira vagy mappá
ra. A fájlok és mappák tulajdonos.a alapértelmezés szerint az az objektum, amelyik létrehozta
őket. Ezenkívül létezik egy Take Ownership (Saját tulajdonba vétel) nevű különleges engedély,
amelyet a tulajdonos bármely más felhasználónak vagy csoportnak megadhat, ami lehetővé
teszi, hogy a kérdéses felhasználó vagy csoport a tulajdonos szerepét betöltve tetszés szerint
módosítsa az engedélyeket. Ezt az engedélyt a rendszer alapértelmezés szerint a rendszergazdai
fiókhoz rendeli, aminek a révén az informatikai osztály dolgozói elérhetővé tehetik azokat
az adatfájlokat, amelyeknek az elérését egy azóta kilépett vagy más okból elérhetetlen alkalma
zott megtiltotta a többi felhasználónak.
Ha látni szeretnénk egy fájl tulajdonosát, váltsunk az Owner (Tulajdonos) lapra az Advanced
Perrnissions (Speciális biztonsági beállítások) párbeszédablakban. Az első mezőben a jelenlegi
tulajdonos nevét láthatjuk. Ha meg szeretnénk változtatni a tulajdonost - feltételezzük, hogy
ehhez rendelkezünk a megfelelő jogokkal -, egyszerűen kattintsunk az Edit gombra, erősítsük
meg a kilétünket az DAC-ablakban, válasszuk ki a kívánt felhasználót az alul látható fehér
mezőből, és kattintsunk az OK gombra. Ha a fehér mezóben nem jelenne meg annak a felhasz
nálónak a neve, akire át szeretnénk ruházni a tulajdonjogot, kattintsunk az Other Users and
Groups (Egyéb felhasználók és csoportok) lehetőségre, majd az Add gombra, és keressük meg
a kérdéses felhasználót. Úgy is dönthetünk, hogy az adott objektum tulajdonjogát kiterjesztjük
a fájlrendszeri hierarchiában alatta található összes objekturnra. Ez a lehetőség akkor jöhet pél
dául jól, ha egy kilépett alkalmazott fiókjának minden adatát szeretnénk egy másik tulajdonos
hatáskörébe rendelni. Ehhez csak annyit kell tennünk, hogy a képernyő alján bejelöljük
a Repiace owner on subcontainers and objects (tulajdonos cseréje az altárolókban és objektu
mokban) jelölőnégyzetet Ha készen vagyunk, kattintsunk az OK gombra. (A művelet eltarthat
egy ideig.)
3.
A hatályos engedélyek meghatározása

Annak eredményeképpen, hogy a Microsoft beépítette az RSoP- (Resultant Set of Policy, hatályos
házirendek) eszközöket a Windows Server 2008-ba, lehetőségünk nyílik arra, hogy az Advanced
Permissions ablak Effectíve Perrnissions (Hatályos engedélyek) lapján megtekintsük, hogy egy
adott objekturnra ténylegesen milyen engedélyekkel rendelkezik az Actíve Directory egy felhasz
nálója, illetve egy helyi felhasználó vagy csoport. A Windows megvizsgálja az objektum örökölt
engedélyeit, valarnint a kifejezett, beleértett és alapértelmezett hozzáférés-szabályozási listáit
(ACL, access control list), meghatározza, hogy egy adott felhasználó milyen hozzáférést kapna
az objekturnhoz, majd az összes engedélyt részletesen felsorolja a lapon (lásd a 3.18. ábrát).
f:mployee Survey Results ·• 'l�.
The falo�T>Q is! dooplays the pen11isooons that would be g<arted to the selected grovp or user; based $Oiely Ofl the
�g<arteddi"ed!ytlroughgrovp�
otjed name. C:\U.,..\Ptmlic\Employee Survey Result..ttt
�or user name·
l Seled. l
aJecttve pem!issiOnS:
li'lMAcor<roi
li!! Tr;,versefolder/exeo.J:efie
i1l us! foldor /reed dota
li!! Read <rtnibutes
i1l Read ex!ended o!lliWes
li! Create fies l wrie datl!
� Creae f� lappend data
Itt Wnte attOOutes
i1l Write e>tended otl!ibutes
How areeffectl-iepermiSS!Of1Sdetenmned?
3.18. ábra
Az Effective Permissions ablak
Az Effectíve Perrnissions ablak két tekintetben korlátozott. Először is, nem mutatja meg a megosz
tásszintű engedélyeket, csak az NTFS fájlrendszerben érvényes ACL-ekkel, vagyis a fájlrendszer
objektumaival törődik. Másodszor, a felhasználék és csoportok engdélyeit csak a saját fiókjukra
vonatkozóan adja meg, tehát nem képes helyesen megjeleníteni az engedélyeket, ha egy felhasz
náló táveléréssei vagy a terminálszolgáltatásokon keresztül jelentkezett be, és azoknak a felhasz
nálóknak az esetében is részben helytelen információkat mutat, akik a helyi Network szolgáltatás
fiókon keresztül érik el a rendszert. Bár ezek elég jelentős korlátok, az Effectíve Perrnissions ablak
mégis hasznos, mert sok órányi fejvakarástól kímél meg rninket, amikor arra próbálunk rájönni,
hogy miért jelenik meg folyton egy idegesítő "hozzáférés megtagadva" üzenet, illetve arra is kitű
nő eszköz, hogy teszteljük a tudásunkat arról, hogy miként terjednek lefelé a jogosultságok, és
rniként bírálják felül időnként azok öröklését az engedélyek és tiltások.
Hozzáférés alapú számlálás

Az ABE (Access-Based Enumeration, hozzáférés alapú számlálás vagy számbavétel) nagyszerű
szolgáltatás, amelynek a beépítése a Windows Serverbe már régóta időszerű volt. A szolgáltatás
"
lényegében eltávolít minden "hozzáférés megtagadva hibaüzenetet, és a felhasználóknak csak
azt mutatja meg, amihez ténylegesen hozzáférhetnek: ha egy fájl használatához, egy mappában
való tallózáshoz vagy egy dokumentum megnyitásához nem rendelkeznek engedéllyel, akkor
Windows Server 2008
az nem fog megjelenni az általuk használt fájlkezelő eszközben. Ezzel egy kétségkívül jelentős
biztonsági rést is sikerült betörnni, hiszen ha a felhasználók olyan mappákat is láthatnak,
amelyeket nem érhetnek el, az betörésre vagy a biztonsági korlátozások másféle áthágására
ösztönözheti őket, rníg egy dolgot, arniről nem is tudnak, hogy létezik, kevésbé valószínű, hogy
támadás ér - legalábbis elméletben.
Jelenleg úgy tűnik, hogy a megoldásnak a következő hátrányai vannak:
• Az ABE csak akkor működik, ha UNC-n keresztül kapcsolódunk egy hálózati megosztott
mappához, a helyi fájlok esetében nem. Természetesen ez nem tűnik rettenetes hátránynak,
rnivel nem sok felhasználó tallózik helyben egy Windows Server 2008-as szárnítógépen,
akik pedig mégis, azok remélhetőleg amúgy is rendszergazdai szinten állnak.
• A szolgáltatás használatához rnindenképpen Windows Server 2008 vagy Service Pack 1-gyel
ellátott Windows Server 2003 rendszert kell futtatnunk. A hálózat más operációs rendszerei
nem nyújtják ezt a lehetőséget, ami a felhasználók számára zavaró lehet.
Ha hozzáférés alapú számlálást szeretnénk alkalmazni egy megosztott mappára, indítsuk el

a Server Managert, bontsuk ki a Roles and File Services elemet, majd kattintsunk a Share and
Starage Manager elemre. A középső ablaktáblában kattintsunk duplán arra a megosztott mappá
ra, amelyikre a hozzáférés alapú számlálást életbe szeretnénk léptetni, kattintsunk az Advanced
gombra, és jelöljük be az Enable access-based enumeration jelölőnégyzetet
Mit fognak látni a felhasználók, miután ezt megtettük? Semmit -vagyis semmi olyat, amihez
nincs hozzáférési engedélyük.
Naplórend
Az objektum-hozzáférés naplózása (auditálása) azt jelenti, hogy naplózzuk az objektumokon
végzett műveletekre vonatkozó engedélyek sikeres vagy sikertelen alkalmazásáról tájékoztató
üzeneteket. A Windows Server 2008 ezeket az üzeneteket a Security Event Log (biztonsági
eseménynapló) naplóba írja, amelyet a Vezérlőpult felügyeleti eszközei között található Event
Viewer kisalkalmazással tekinthetünk meg. Először persze be kell kapcsolnunk a naplózást a ki
szolgáló szintjén, majd engedélyeznünk kell azt a megfigyelni kívánt konkrét fájlokra és map
pákra is.
A teljeskörű naplózást kétféleképpen engedélyezhetjük: vagy rendszerenként a helyi rend

szerházirendek szerkesztésével, vagy kijelölt számítógépekre (akár az összesre), amelyeket
csoportházirendekkel felveszünk egy tartományba. Ebben a részben a helyi rendszerházirendek
szerkesztésére összpontosítunk. Kövessük az alábbi lépéseket:
1. Válasszuk a Start, All Programs, Administrative Tools (Start, Minden program, Felügyeleti
eszközök) menüpontot, majd kattintsunk a Local Security Policy (Helyi biztonsági
házirend) lehetőségre.
2. Bontsuk ki a Local Policies (Helyi házirend) elemet a bal oldali fában, és jelöljük ki
az Audit Policy (Naplórend) lehetőséget.
3. Kattintsunk duplán az Audit Object Access (Objektum-hozzáférés naplózása) elemre.
3. fejezet • Fájlszolgáltatások 11-
4. A naplózás engedélyezéséhez válasszuk ki, hogy mely eseményeket- fájl vagy mappa
sikeres elérése, sikertelen kísérletek vagy mindkettő- szeretnénk vizsgálni, majd kattint
sunk az OK-ra.
5. Zárjuk be a Local Security Policy ablakot.
A megfelelő típusú hozzáférések vizsgált eseményei ezt követően bekövetkezésükkor

a biztonsági eseménynaplóba íródnak.
Foglaljuk össze röviden azt is, hogy miként engedélyezhetjük a naplózást tartomány alapú cso
portházirendeken keresztül: hozzunk létre egy új csoportházirend-objektumot (GPO), amelyet
számítógépek egy kijelölt tárolójához kapcsolunk, és a Computer Configuration, Windows
Settings, Security Settings, Local Policies (szárnítógép beállításai, Windows-beállítások, biztonsági
beállítások, helyi házirend) útvonalon jussunk el az Audit Policy elernhez. Válasszuk ki a megfele
lő eseményeket, majd kattintsunk az OK gombra. Adjunk néhány percet a tartományvezérlőnek,
hogy a házirendet átmásolhassa a tartomány többi tartományvezérlőjére is, majd frissítsük a házi
rendet az ügyfélgépeken agpupdate /force paranccsal vagy a számítógépek újraindításávaL
Ez után válasszuk ki a fájlrendszernek azokat az objektumait, amelyeket vizsgálni szeretnénk, és

kattintsunk rájuk az egér jobb gombjávaL Válasszuk a Properties menüpontot, és a megjelenő
párbeszédablakban váltsunk a Security lapra. Itt kattintsunk az Advanced lehetőségre, és vá
lasszuk az Auditing lapot. Ekkor egy olyan ablaknak kell megjelennie, rnint arnilyet a 3.19. ábrán
láthatunk.
Q Advanced �nty Settings tor volshext �:,�
To view or edi detaisfor-an audítilg ertrj, selectthe enbyaod then·ckk Edi!:
Object name: C:\U...\h!r

. ro1i�r5or\volshex!Jog
&ll...
P ljjduoe. mfletitablea;!tlitlw •"Jil" �trnihi•d.líeie• Pa<J;l]);
What eretheregt!fJ!T1ef'!ts forau!linqobiedaccess?

3.19. ábra
Naplózás engedélyezése
egy objektumra
A naplózott objektumok kijelölése a Windowsban nagyon hasonlít az engedélyek meghatározá

sához. Egyszerűen kattintsunk az Edit, majd az Add gombra, és megjelenik egy párbeszédablak,
ahol beírhatjuk a vizsgálni kívánt felhasználókat. Jegyezzük meg, hogy a naplózási utasítások
mind felhasználókra, mind csoportokra vonatkozhatnak- lehet, hogy nem törődünk vele, hogy
az Adrninistrators csoport tagjai rnit csinálnak, de a Finance csoport tevékenységére már nem árt
egy kicsit jobban odafigyelnünk. Válasszuk ki a kívánt csoportot, majd azokat a műveleteket
sikeres objektum-hozzáférés vagy sikertelen kísérlet-, amelyeket egy esemény során naplázni
szeretnénk. A különböző engedélyek szerint más-más naplózási beállításokat is meghatározha-
-gl Windows Server 2008
tunk, például megadhatjuk, hogy az nem érdekel minket, ha valaki nem tudta olvasni az adott
objektumot, de arról már tudni szeretnénk, ha valaki hozzáadott valamit. Ha végeztünk, kattint
sunk az OK gombra, és az Apply gombbal mentsük a beállításokat.
A naplózás sokat segít abban, hogy nyomon követhessük, mi történik a megosztott fájlokkal.
A fájlkiszolgálói erőforrás-kezelő
A Windows Server 2008 része a File Server Resource Manager (FSRM, Fájlkiszolgálói erőforrás
kezelő) nevű egyesített konzol, amelyen különféle eszközöket és jelentéskészítőket találunk,
amelyek segítségével meghatározhatjuk, szabályozhatjuk és felügyelhetjük a fájlkiszolgálókon
tárolt adatok mennyiségét és típusát. Az FSRM-ben egyetlen kényelmes helyen állíthatunk be
kvótákat mappákra és kötetekre, szűrhetjük a visszautasítandó fájltípusokat, és átfogó jelentése
ket készíttethetünk, amelyek pontosan megmutatják, hogy mi emészti fel a lemezterületet
Az erőforrás-kezelő eléréséhez indítsuk el a Server Managert, bontsuk ki a Files Services szerep

kört, majd a Share and Storage Manager elemet a bal oldali ablaktáblában, és kattintsunk a File
Server Resource Manager elemre. Az erőforrás-kezelő alapértelmezett ablaka a 3.20. ábrán látható.
3.20. ábra
A File Server
Resource
Manager
konzol
Az FSRM beállítása
A fájlkiszolgálói erőforrás-kezelő használata során az első lépés azoknak a beállításoknak
a megadása, amelyeket a konzol majd használni fog. Az Actions (műveletek) ablaktáblában
kattintsunk a Configure Options hivatkozásra, hogy megnyissuk a 3.21. ábrán látható ablakot.
Az FRSM-et arra tervezték, hogy elektronikus Ivéiben figyelmeztetéseket és jelentéseket küldjön.

Az Email Notifications (e-mail értesítések) lapon írjuk be a kimenő SMTP-kiszolgálót (ami lehet
az adott gépre telepített SMTP szolgáltatás vagy egy másik levélkiszolgáló, amelyet a cégünk vagy
az internetszolgáltatónk üzemeltet), valamint a címzett és a feladó címét. A megfelelő gombbal
ellenőrzésképpen tesztlevelet is küldhetünk.
A 3.22. ábrán a Notification Limits (értesítési küszöb) lapot láthatjuk.

To vedy )'016 selbngs yoo can ..en<l a test e-mai to the defaul. �·
3.21. ábra
!ie!PI OK
A fájlkiszolgálói erőforrás-kezelő beállítása
file Server Resource Manager Ophons ��R

Err.ail Notmcotion•
Toreduoethe 11U11Í>e<o! nctticaboos .....Cforrepeate<Jyexeeeding a quoto"'

de!edlng .., 1.61aUtho!ízed Ile. you con set alOníl fO< eoch n-." l)?e. The
limit spedfies o period o! u,... belore al'lOiherno!i'oeatiC>n of the...., ll?e WJ11 be
f'Medforthe sameissue,
Thelímits opplyto ol-· but yoo canovemde !hem u....g the Fle SoM<
Aeso<Jee Monoger(FSRM}commandbtools.
3.22. ábra
OK
A Notification űmits lap
Ezen a képernyőn arra állíthatunk be határértékeket, hogy milyen gyakran küldjön a FSRM,
illetve a Windows Server 2008 értesítést ugyanazokról az eseményekről. Ha az erőforrás-kezelő
például kvótatúllépési eseményt észlel, és a felhasználó továbbra is a kvóta túllépésével kísérle
tezik, az értesítési küszöbnek megfelelően az erőforrás-kezelő vár a megadott ideig, mielőtt
e-mailben értesítést küldene, a naplóba írna, illetve parancsértesítést vagy jelentést küldene.
A határértékeket minden értesítéstípus esetében percben adhatjuk meg.
A 3.23. ábra a Starage Reports (tárolójelentések) lapot mutatja.

_,. Windows Server 2008
You can override these<fefautts when-rou�e: a report taskor generale a

r
e!)Oft on demand .
3.23. ábra
OK
A Starage Reports lap
Ezen a lapon az erőforrás-kezelő által előállított egyes jelentésfajrákra vonatkozó beállításainkat

adhatjuk meg. Például ha kijelöljük a File Screening Audit jelentést, és az Edit Parameters gomb
ra kattintunk, kiválaszthatjuk, hogy mely felhasználók kerüljenek bele a jelentésbe. Ha a jelenté
sek összes paraméterét meg szeretnénk tekinteni, kattintsunk a Review Reports gombra.
Az alapértelmezett beállítások elég jól működnek, de ahogy mélyebbre merülünk az FSRM
lehetőségeiben, valószínűleg kisebb módosításokat szeretnénk majd végrehajtani, hogy a jelen
téseket az adott környezethez igazítsuk. A 3.24. ábrán a Report Locations lapot láthatjuk.
·�,..,oo , -ge� .UOO)laticalywhen a user- a quotalhroshold

ormas.:to�an!..111aUttlonz.edfile
Scheduledrepotts -�ed I"'Íodicoiltba<eó on a scheOOieórepott task,
On-demand reporto -�ed manuaib' upon requeot.
llroy;se...
3.24. ábra
OK
A Report Locations lap
3. fejezet •
Ezen a képernyőn adhatjuk meg, hogy hová mentse az erőforrás-kezelő az egyes jelentésfajtákat.
A jelentéseket a helyi lemezmeghajtón vagy egy hálózati köteten tárolhatjuk A 3.25. ábrán
a File Screen Audit lap látható.
File SetVer �scxxce Manager allows you to record fite 9CR!eninQ activly n an
audmg datobose wt1i<:h can be latermvtewed by running • File SC",en f.<Jdting
Report
r BeCOld file screeoog activly in aodl!ong database
3.25. ábra
OK
A File Screen Audit lap
Itt azt adhatjuk meg az FSRM-nek, hogy naplózza-e a szűrési műveleteket a vizsgálati adatbázis
ban. Ha nincs szükségünk fájlszűrési jelentésekre, töröljük a jelet a megfelelő jelölőnégyzetből,
mert ennek a kiegészítő naplózásnak az elhagyásával némi sebességnövekedést érhetünk el.
Kvóták beállítása az FSRM segítségével

A fájlkiszolgálói erőforrás-kezelóben egyszerúbb a kvóták meghatározása, mert a felülete átlát
hatóbb, és a szabályok is valarnivel rugalmasabbak Az FSRM-ben adott mappákra és kötetekre
állíthatunk fel kvótákat, és beállíthatjuk azokat a jelentéseket is, amelyeket a Windows ezeknek
a kvótáknak a túllépésekor küld. Az erőforrás-kezelő jobb, rnint a lemezeken alapuló kvótaszol
gáltatás (amellyel a fejezet következő részében foglalkozunk), mert testreszabott "automatikus
kvótákat" is felállíthatunk, amelyek önműködően életbe lépnek rnind a meglevő, mind a késóbb
létrehozott mappákra, és kvótasablonokat is meghatározhatunk, amelyeket a cégünk informati
kai rendszerében bárhol felhasználhatunk.
Cteate Quota �"J
r' P:!hl apply template ..,d aeate QUotas 011 e:ós!Jng ....d new !U>
oid<ml
Ouota propelltes ,:";,= ' ;;,, ,,, �-
Y-ou can either use propedie5 from a quota temp(ate or def!f'le custom
(J.IOlaPft)perties.
Howdo you wan! to C<lriigure quota properties>

r."" Derive properties � this quota temolat• �ded);
IlE!! MB U"!_�-- __3�
�"'Y of quota propedl03:

B-Ouota:
; Sooo:e template: 100MB Lrnit
�l.mit: 100MB (Hard)
8- NotfiCa!ion: 4
;, , Waming(85"4): Email
L Wamn�(95%): Email, Event bQ
��-- -
r- 3.26. ábra
A Create Ouota ablak
-11 Windows Server 2008
Kezdjük azzal, hogy egyetlen mappára alkalmazunk egy kvótát! Ehhez a fájlkiszolgálói erőforrás
kezelóDen kattintsunk duplán a Quota Management (Kvótakezelés) elemre a középső ablaktáb
lában, majd kattintsunk duplán a Quotas (Kvóták) lehetőségre. A jobb oldali ablaktáblában
kattintsunk a Create Quota (Kvóta létrehozása) hivatkozásra, és egy a 3.26. ábrán láthatóhoz igen
hasonló ablak jelenik meg.
Írjuk be a mappa elérési útját a legfelső mezőbe, vagy a Browse gombra kattintva keressük meg
a mappát grafikus felületen. Jelöljük be a Create quota on path (kvóta létrehozása az elérési
úton) lehetőséget, majd válasszunk vagy egy kész sablont, amely előre meghatározott határérté
keket kínál, vagy a Define custom quota properties (egyéni kvótatulajdonságok meghatározása)
lehetőséget, és kattintsunk a Custom Properties (egyéni tulajdonságok) gombra. Ha az utóbbi
lehetőséget választjuk, megjelenik a Quota Properties (k:vótatulajdonságok) ablak, ahol beírhat
juk a lemezterület korlátját, megadhatjuk, hogy a kvóta "szigorú" vagy "enyhe" legyen, és beál
líthatjuk az értesítési küszöböket. Ha készen vagyunk, kattintsunk az OK gombra, és nézzük át
a Create Quota ablak összegző mezőjében a kiválasztott beállításokat. Ha mindent rendben talá
lunk, kattintsunk a Create (Létrehozás) gombra, és ezzel a kvóta meghatározását befejeztük.
Az egyszeri kvótabeállításokhoz a fenti lépések megfelelőek, de tegyük fel, hogy központosítani

szeretnénk a kvótakezelést rninden mappára és kötetre. Ennek az a legjobb módja, ha a fájlki
szolgálói erőforrás-kezelő kvótasablonjait használjuk. Ha kvótasablont alkalmazunk a mappák
ra, elég egyszer módosítani a sablon beállításait, és rninden mappa, amelyre a sablont életbe
léptettük, tükrözni fogja a változásokat. Erre a szolgáltatásra gondolhatunk úgy, mint "kvótacso
portokra", amelyek megkönnyítik a mappák csoportos felügyeletét
3.27. ábra
A Create Ouota Template ablak
3. fejezet • Fájlszolgáltatások lz-
Ha kvótasablont szeretnénk létrehozni, kattintsunk duplán a Quota Management (Kvótakezelés)
elemre a fájlkiszolgálói erőforrás-kezelő középső ablaktáblájában, majd szintén duplán a Quota
Tempiates (Kvótasablonok) elemre. A jobb oldali ablaktáblában kattintsunk a Create Quota
Template (Kvótasablon létrehozása) hivatkozásra, és megjelenik a 3.27. ábrán látható ablak.
A felső lenyíló listából kész sablont választhatunk, és a benne levő beállításokat a létrehozandó
sablonba másolhatjuk, amivel jelentős időt takaríthatunk meg, ha csak kisebb változtatásokat
szeretnénk végrehajtani. Más esetben írjuk be a sablon nevét (adhatunk barátságos nevet is, ha
úgy tetszik), majd adjuk meg a lemezterületre vonatkozó korlátot és annak szigorúságát.
A kvóta elérésekor kapott értesítések határértékeit is beállíthatjuk Az Add gombbal új értesítést
határozhatunk meg, amikor is megjelenik az Add Threshold (küszöb hozzáadása) ablak, amelyet
a 3.28. ábrán láthatunk.
Add Threshold if�...

�eoerate-notlications when U\l�ge reaches fl;.}:
Format: accotJI"t@doman . Use �to sepaf'l!l:e accounts-.
r Seod e,mai!to the !!Ser who exceeded the lllreshold
E-madme�ge
Type thete>i to use forthe Subjed line and message
To ídon!lythe quota,lmt. usoge, �r other iniOIITlotlon obot.t the Cl.lJre!1t l�Yeshold. you
can use Insert Vanahle to insert a- nyourtext.
3.28. ábra
!jelp Az Add Threshold ablak
Figyeljük meg az első mezőt, amely a Generate notifications when usage reaches (%) (értesítés
küldése, ha a felhasználás eléri a megadott százalékot) névre hallgat. Ebben a mezőben adhatjuk
meg a tényleges határértéket, amelynél az általunk meghatározott művelet végrehajtására sor ke
rül. A rendszergazdák a leggyakrabban elektronikus levelet küldetnek, mind a felhasználónak,
aki túllépte a korlátot, mind saját maguknak. Az E-mail Message (elektronikus levél) lapon jelöl
hetjük be, hogy kinek szeretnénk ilyen üzeneteket küldeni, és itt adhatjuk meg az üzenet szöve
gét is. Az Event Log (eseménynapló) lapon az eseménynaplóba kerülő figyelmeztetések szövegét
szabhatjuk testre, a Command (parancs) lapon pedig egy parancsfájlt vagy programot határozha
tunk meg, amelynek le kell futnia, ha egy felhasználó átlépi a beállított határértéket
Végül a Report (jelentés) lapon arra utasíthatjuk az erőforrás-kezdőt, hogy automatikusan
tárolójelentést készítsen (erről kicsit késóbb beszélünk részletesebben), ha a kvótát túllépték
Az említett lapok mindegyikének világos felülete van, így a beállítások nem jelenthetnek
gondot. Ha készen vagyunk, kattintsunk az OK gombra, hogy befejezzük a sablon létrehozását.
Ha a sablon a helyére került, a segítségével kvótákat alkalmazhatunk megadott mappákra.

Ha egy adott sablon által szabályozott minden mappára fel szeretnénk emelni a kvótát, csak
a területi korlát mezőjét kell szerkesztenünk a sablonmeghatározásban, és rninden mappa
tükrözni fogja az új korlátot.
Fájltípusok szúrése
A fájlkiszolgálói erőforrás-kezelő másik hasznos szolgáltatása, hogy képes bizonyos típusú fájlokat
kiszűrni, és azok tárolását megakadályozni a fájlkiszolgálókon. Ha a tárolóhelyünk korlátozott, és
a minél nagyobb szabad lemezterület elsődleges fontosságú, nyilván indokolatlan tonnányi MP3
és WMA fájlt tárolni a felhasználék alapkönyvtáraiban. Még ha bőven van is szabad terület
ezekben a könyvtárakban, ezekről a fájlokról akkor is valószínűleg biztonsági másolat készül,
márpedig nem a legjobb felkészülés egy katasztrófára, ha az értékes biztonsági adathordozókat
a legújabb Mariah Carey CD tárolására pazaroljuk. A fájlszűrés ezt a fajta pazarlást segít a mini
murnra szorítani.
A fájlkiszolgálói erőforrás-kezelő meglehetősen rugalmas; többek között az alábbiak szerint

szűrhetünk a segítségéve!:
•
Megakadályozhatjuk rninden zenefájl tárolását a kiszolgálón, miközben kivonjuk ebből
a körből az adott nevű fájlokat (amelyek például a cég reklámjaiban szereplő zenei
anyagokat tárolják) vagy azokat az állományokat, amelyeket egy adott személy vagy
csoport helyezett el a cég hálózatán.
•
Figyelmeztető levelet küldethetünk magunknak, ha egy megosztott kötetre egy gyanús
parancsfájl vagy végrehajtható program kerül, így időben értesülhetünk egy lehetséges
betörésről vagy vírusfertőzésrőL
•
A fájlszűrő figyelmeztetéseit az eseménynaplóba is írhatjuk, így ha van egy esemény
napló-elemző programunk, amely minden kiszolgálónkon fut, a fájlszűrési jelentéseket
megtekinthetjük közvetlenül az érintett kiszolgálóróL
A kvótákhoz hasonlóan a fájlszűrési szolgáltatással is létrehozhatunk fájlcsoportokat, amelyek

egyszerűen hasonló jellemzőkkel bíró fájlok kiterjesztéseinek gyűjteményei (például egy média
fájl csoportba helyezhetünk MP3, WMA, OGG stb. fájlokat). A fájlcsoportok segítségével egy
adott szűróbe vagy fájlszűrő sablonba belefoglalhatunk vagy onnan kizárhatunk fájlokat
A fájlszűrő sablonok előre meghatározott szabályokat tartalmaznak a különböző típusú fájlok
szűrésére; kiterjedt használatukkal úgy hajthatunk végre módosításokat minden fájlszűrést alkal
mazó kiszolgálón, hogy csak egy-két változtatásra van szükség a sablonban.
3. fejezet • Fájlszolgáltatások 1%11111
Fájlcsoport meghatározása
Fájlcsoportot a fájlkiszolgálói erőforrás-kezelóben a következőképpen határozhatunk meg:
1. A Server Manager jobb oldali ablaktáblájában bontsuk ki a Roles, File Services, Share and
Storage Management, File Server Resources Manager, File Screening Management elemet.
2. Kattintsunk az egér jobb gombjával a File Groups elemre, majd válasszuk a Create file
group lehetőséget.
3. Írjunk be egy nevet a fájlcsoport számára.
4. A Files to indude mezóoe írjunk be egy fájlnévmintát (például .exe) a csoportba bele •
foglalni kívánt fájlok számára, és kattintsunk az Add gombra. A Files to exclude mezóben
a csoportból kizárni kívánt fájlokat adhatjuk meg.
5. Kattintsunk az OK gombra.
Fáj/szr1ró létrehozása
Egyedi fájlszűrőt az alábbiak szerint hozhatunk létre:
1. A File Screening Management elem alatt kattintsunk az egér jobb gombjával

a File Sereens elemre, majd válasszuk a Create file screen menüpontot.
2. Ekkor megjelenik a Create File Screen párbeszédablak, amelyet a 3.29. ábrán láthatunk.
Itt először adjuk meg annak a mappának az elérési útját, amelyre a fájlszűrőt alkalmazni
szeretnénk (a szűrő alapértelmezés szerint a megadott mappa almappáira is vo
natkozni fog).
Create File Screen x

(,ll$ -"'"!...·-"""
.
Flle",_Qillh:
.f T=m --..�H· '

-File screenproperoes --------��,
You can eiher use properties from a He screen t� or define custom
tie """""' properties
Howdoyou Wl!I'Jito corf�g�nfilesaeenproperoes?
€i Dertve )1topetb08 from thiS fie screen [emplate ._,mmended):

,.,... l
�d file screen pn:>petbes:

B R1e screen:
!.... Source template: Block A.Jdio and Video Ries
�· ScreerWlg type: Active
'- Rle grows: !IOOo ond \/Ideo Ries
L NotfJc.:tions: Email, Evert log
3.29. ábra
A Create File Screen párbeszédablak
3. Jelöljük be a Define custom file screen properties (egyéni fájlszűrő-tulajdonságok megha

tározása) választógombot, és kattintsunk a Custom Properties (egyéni tulajdonságok)
gombra.
4. A megjelenő File Screen Properties (fájlszűrő tulajdonságai) ablakban választhatunk,
hogy egy meglevő sablont kívánunk-e használni, vagy saját szűrőt szeretnénk létrehozni.
Windows Server 2008
5. A Screening type (szűrő típusa) részben válasszuk ki, hogy aktív szűrést szeretnénk-e,
amely megakadályozza, hogy a felhasználók olyan fájlokat mentsenek, amelyek a letiltott
fájlcsoportba tartoznak, és értesítést küld az ilyen műveletekről, vagy passzív szűrést,
amely csak értesítést küld, de nem gördít akadályt a kizárt fájlok mentése elé.
6. A File Groups részben válasszunk ki minden fájlcsoportot, amelyet bele szeretnénk
foglalni a szűrőbe. Egy adott fájlcsoport jelölőnégyzetét úgy jelölhetjük be, hogy duplán
a fájlcsoport címkéjére kattintunk.
7. A fájlszűrő által e-mailben küldött értesítésekre az E-mail Message lapon a következő
beállításokat adhatjuk meg:
•
Ha adott személyeket szeretnénk értesíteni, amikor valaki megkísérel egy nem
engedélyezett fájlt menteni, válasszuk a Send email to the follawing administrators
(e-mail küldése a következő rendszergazdáknak) lehetőséget, és adjuk meg
az értesíteni kívánt rendszergazdai fiókokat. Ha több fiókot adunk meg, pontos
vesszővel válasszuk el azokat egymástól.
•
Ha a házirend megsértésére készülő felhasználót akarjuk figyelmeztetni, válasszuk
a Send email to the user who attempted to save an unatharízed file (e-mail
küldése annak a felhasználónak, aki nem engedélyezett fájlt próbált meg menteni)
lehetőséget.
•
A tárgysort és az üzenet törzsét is módosíthatjuk. Ha további változókat szeretnénk
beszúrni a szövegbe, kattintsunk az Insert Variable (változó beszúrása) gombra, és
válasszuk ki a megfelelő változót a képernyőn felsoroltak közül.
8. Az Event Log lapon jelöljük be a Send warning to event log (figyelmeztetés küldése az ese
ménynaplóba) jelölőnégyzetet, és szerkessZÜk az alapértelmezett naplóbejegyzést Ez a két
művelet nem kötelező. Ezenkívül a Command lapon arra is utasíthatjuk a Windowst, hogy
egy programot vagy parancsfájlt futtasson, ha valaki megsérti a szabályokat, a Report lapon
pedig beállíthatjuk, hogy automatikusan készüljön-e ilyenkor jelentés.
9. A fájlszűrő mentéséhez kattintsunk a Create gombra.
Jegyezzük meg, hogy amikor egy "egy alkalomra szóló" fájlszűrőt hozunk létre, azt fájlszűrősab
lonként is menthetjük, így egyrészt később újrahasznosíthatjuk, ha ugyanazokat a beállításokat
egy másik célpontra szeretnénk alkalmazni, másrészt az FSRM emlékezni fog a szűrő célpontja
és az újonnan létrehozott sablon közötti kapcsolatra - lényegében létrehozza a sablont, és
a szűrőre alkalmazza, így élvezhetjük a sablonhasználat előnyeit
Szúrókivétel meghatározása
A fájlszűrők számára meghatározott kivételek lényegében felülbírálnak minden szűrési beállítást,
ami egyébként egy mappára és annak almappáira vonatkozna, vagyis kikapcsolják a szülőmap
pából származó szabályok alkalmazását. Ugyanakkor olyan mappával nem tehetünk kivételt,
amelyre már alkalmaztunk fájlszűrőt: a kivételt vagy egy almappára alkalmazhatjuk, vagy
a meglevő szűrőt kell módosítanunk. Szűrőkivételt így határozhatunk meg:
1. A File Screening Management elemben kattintsunk az egér jobb gombjával a File Sereens
elemre, majd válasszuk a Create file screen exception (szűrőkivétel létrehozása) parancsot.
2. A megnyíló Create File Screen Exception párbeszédablakban írjuk be az elérési utat,
amelyre a kivételt alkalmazni szeretnénk.
3.
3. A File groups részben válasszuk ki azokat a fájlcsoportokat, amelyeket bele szeretnénk

foglalni a kivételbe.
Tárolójelentések elóállftása
A fájlkiszolgálói erőforrás-kezelő egyik nagyszerű szolgáltatása, hogy pontos képet tud adni arról,
hogy milyen állapotban van a tárolónk. Megnézhetjük, hogy mostanában milyen állományok
foglalnak lemezterületet, és láthatjuk a kvótát túllépő vagy fájlszűrőkkel letiltott fájlokat menteni
próbáló felhasználék figyelmeztetéseit és egyéb értesítéseit A jelentéseket elkészítterhetjük
automatikusan, megadott időközönként, de igény szerint alkalmi jelentéseket is kérhetünk.
Alapállapotban a következő fajta jelentések állnak rendelkezésre:
• Jelentés a többször szereplő fájlokról

• Fájlszűrési vizsgálat
• Fájlok fájlcsoportonként
• Fájlok tulajdonos szerint
• Nagy fájlok
• A legrégebben megnyitott fájlok
• Az utoljára megnyitott fájlok
• Kvótahasználat
Ha alkalmi jelentést szeretnénk előállíttatni, tegyük a következőket:
1. A kiszolgálói erőforrás-kezelő bal oldali ablaktáblájában kattintsunk az egér jobb gombjával

a Storage Reports Management (tárolójelentések kezelése) csomópont alá, és válasszuk
a Generate reports now (jelentések készítése most) menüpontot.
D Dupicate Aes
D Ae Screenng Aud�
D Aes by Fie Group
D Aes by o.mer
DLargeRle.
D least Recertly Acce
..ed Fies
J
3.30. ábra
A Starage Raparts Task Properties ablak
2. Ekkor a 3.30. ábrán látható Starage Reports Task Properties (tárolójelentések tulajdonsá
gai) párbeszédablak jelenik meg. Itt vegyük fel azokat a köteteket vagy mappákat
a Scope (hatókör) mezóbe, amelyekről jelentést szeretnénk kérni, és a Report data (ada
tok jelentése) keretben válasszuk ki a kívánt jelentéseket, illetve adjuk meg a jelenrésbe
belefoglalni kívánt adatokat. Ha egy jelentés paramétereit módosítani szeretnénk, jelöljük
ki a jelentés nevét, és kattintsunk az Edit Parameters gombra. Ha végeztünk a paraméte
rek szerkesztésével, kattintsunk az OK gombra.
3. A Starage Reports Task Properties ablakba visszakerülve adjuk meg, milyen fájlformátu
mokban szeretnénk menteni a jelentést.
4. A Delivery (kézbesítés) lapon kérhetjük, hogy a rendszergazdák az elkészülte után
e-mailben megkapják a jelentést. Ehhez jelöljük be az E-mail report to the follawing
adrninistrators jelölőnégyzetet, és írjuk be azoknak a személyeknek az e-mail címeit,
akiknek el szeretnénk küldetni a jelentést. Ha több fiókot adunk meg, azokat pontos
vesszővel kell elválasztanunk egymástól.
5. Ha készen vagyunk, kattintsunk az OK gombra, majd adjuk meg, hogy az elkészültük
után meg is szeretnénk-e nyitni a jelentéseket, vagy késóbb kívánjuk megtekinteni azokat.
Ütemezett jelentéseket is kérhetünk, így rendszeres időközönként megvizsgálhatjuk a tárolókat

Ehhez az alábbiakat kell tennünk:
1. A kiszolgálói erőforrás-kezelő bal oldali ablaktáblájában kattintsunk az egér jobb gombjá

val a Starage Reports Management csomópont alá, és válasszuk a Schedule a new report
task (új jelentési feladat ütemezése) menüpontot.
2. Kövessük az előző eljárás 2-4. pontját a jelentés tulajdonságainak meghatározásához.
3. Váltsunk a Schedule (ütemezés) lapra, és az ütemezés meghatározásához kattintsunk
a Create Schedule (ütemezés létrehozása), majd a megjelenő ablakban a New gombra
(lásd a 3.31. ábrát).
Schedule ' �1: •
3.31. ábra
Ütemezett jelentési feladat létrehozása
4. Adjuk meg, milyen időközönként szeretnénk jelentést kapni (naponta, hetente vagy
havonta lehet, illetve egyszeri jelentésre is lehetőség van).
3. fejezet • Fájlszolgáltatások 'i-
5. Az időköz lenyíló listája alatti lehetőségek aszerint változnak, hogy milyen időközt
választottunk. Ha szükséges, adjuk meg a további beállításokat.
6. A Start time (kezdő időpont) mezőben adjuk meg a jelentés előállításának időpontját.
7. Az ütemezés mentéséhez kattintsunk az OK gombra.
8. Mentsük a feladatot is az OK gombbal.
Lemez alapú kvóták

A lemez alapú kvóták, amelyek a Windows 2000-ben jelentek meg, lehetőséget adtak
a rendszergazdának, hogy korlátokat állítson fel arra nézve, hogy az egyes felhasznáJók milyen
mértékben foglalhatnak el lemezterületet A Windows Server 2008 kvótakezelési szolgáltatásai
néhány érdekes jellemzővel rendelkeznek:
•
A Windows Server 2008 meg tudja különböztetni a köteteket, így ha bizonyos típusú
adatokat el szeretnénk különíteni egymástól, vagy egy lemezt kizárólag egy adott napi
munkára szeretnénk felhasznáJók egy csoportjának átengedni, a különböző kötetekre
más-más kvótát állíthatunk fel.
•
Lemezkvótát csatlakoztatott hálózati meghajtókhoz is rendelhetünk, amennyiben azokat
a fizikai köteteket, amelyekre a csatlakoztatott meghajtók mutatnak, a Windows 2000
Server vagy a Windows Server 2003 segítségével hoztuk létre, vagy a Windows NT 4.0-ról
frissítettük az említett újabb rendszerekre.
•
Egyes külső programoktól eltérően a Windows Server 2008 nem engedi meg az engedé
keny írást, ami azt jelenti, hogy a felhasználó akkor is folytathat egy műveletet- például
egy fájlmásolást -, ha közben túllépi a lemezkvótát. A Windows Server 2008 ezt nem
engedi meg, tehát a kvóta elérésekor megszakítja a műveletet.
A tetszetős szolgáltatásoknak persze mindig vannak gyenge pontjai is. Először is, a kvóták csak
az NTFS fájlrendszerű lemezeken támogatottak Ez nem túl meglepő, mivel a legtöbb progresszív
fájlrendszeri szolgáltatás nem áll rendelkezésre a FAT különböző változatain. Másodszor- és talán
ez a zavaróbb -, a felépítés korlátai miatt a lemez alapú (vagyis kötetszinten alkalmazott) kvóták
csak egyes felhasználókhoz rendelhetők. Ez elég nagy fejfájást okoz, mivel a legtöbb hálózati
operációs rendszer megengedi egy alapértelmezett kvóta felállítását a csoporttagság alapján. Így
minden szokványos felhasználónak lehetne mondjuk 500 MB helye, a kiemelt felhasználóknak és
a vezetőknek 1,5 GB, a rendszergazdák pedig belátásuk szerint használhatnának fel lemezterüle
tet, vagy a pénztárban dolgozóknak adhatnánk 250 MB-ot, az eladási osztálynak pedig -a tenger
nyi PowerPoint-bemutató miatt- fejenként l GB-ot. A Windows Server 2008 azonban alapálla
potban sajnos nem támogatja ezt lemezszinten- késóob azonban mutatunk egy múK:ödőképes,
bár nem problémamentes megoldást ennek a korlátnak a megkerülésére.
Alapértelmezett lemezkvóták beállítása

Alapértelmezett lemezkvótákat a Windows Exploreren keresztül az alábbi lépéseket követve
állíthatunk fel:
1. Nyissuk meg a Computer (Számitógép) ablakot, kattintsunk az egér jobb gombjával arra
a lemezmeghajtóra, amelyiken engedélyezni szeretnénk a kvóták támogatását, és válasszuk
a Properties menüpontot.
-41 Windows Server 2008
2. Váltsunk a Quota lapra.
3. Jelöljük be az Enable quota management jelölőnégyzetet, ha nem lenne bejelölve.
Ha a jel hiányzik a négyzetből, a kvóták nem támogatottak, ezért ha folytatni szeretnénk,
be kell jelölnünk ezt a lehetőséget.
4. Igényeink szerint válasszunk ki egyet vagy többet a rendelkezésre álló lehetőségek közül:
Deny disk space to users exceeding quota limit Cl emezterület megtagadása a kvótát
túllépő felhasználóktól)
Ha bejelöljük ezt a jelölőnégyzetet, akkor a felhasználók a számukra beállított
lemezhasználati korlátot elérve nem elég a lemezterület" hibaüzenetet kapnak
"
a Windowstól, így nem írhatnak a lemezre több adatot, amíg meg nem változtatnak
vagy nem törölnek egyes fájlokat, hogy felszabadítsanak némi helyet. Az egyes
alkalmazások számára, amelyek különbözőképpen kezelik ezt a helyzetet, úgy fog
tűnni, mintha a kötet betelt volna. Ha a lehetőséget nem jelöljük be, a felhasználók
túlléphetik a rájuk vonatkozó lemezkvótát, arninek a segítségével hatékonyan és
egyszerűen nyomon követhetjük az egyes felhasználók lemezhasználatát, anélkül,
hogy korlátoznánk a tárterület használatát
Limit disk space to (lemezterület korlátozása a megadott méretre)
Itt megadhatjuk, hogy az újonnan létrehozott felhasználók mekkora részét
használhatják fel a lemeznek, illetve hogy mennyi területet foglalhatnak el, mielőtt
figyelmeztetés kerülne az eseménynaplóba (ez a ,:enyhe korlát" vagy figyelmez
tetési szint). A beállítások finomhangolásához tizedes értékeket és különböző
mértékegységeket használhatunk.
Log event when a user exteeds his quota limit (esemény naplózása, ha egy felhasználó
túllépi a számára felállított kvótát)
Ha a kvótákat engedélyezzük, a rendszer óránként rögzíti a lemezműveleti esemé
nyeket a rendszer eseménynaplójába, ha egy felhasználó eléri a szigorú korlátot",
"
vagyis a hivatalos kvótát.
Log event when a user exceeds her warning level (esemény naplózása, ha egy felhasz
náló túllépi a számára beállított figyelmeztetési szintet)
Ha a kvótákat engedélyezzük, a rendszer óránként rögzíti a lemezműveleti esemé
nyeket a rendszer eseménynaplójába, ha egy felhasználó eléri az "enyhe korlátot",
vagyis a figyelmeztetési szintet.
Önálló kvótabejegyzések meghatározása

Hasznos lehet, ha egyes felhasználók számára önálló lemezkvótákat határozunk meg, ami fel
mentést ad nekik az egyébként felállított alapértelmezett, szigorúbb kvóta alól. Ezeket az önálló
kvótákat a grafikus felületen úgy állíthatjuk be, hogy a kérdéses lemez tulajdonságablakának
Quota lapján a Quota Entries gombra kattintunk, a Quota Entries for Drive mező lenyíló listájá
ból a Quota elemet választjuk, majd a New Quota lehetőségre kattintunk (lásd a 3.32. ábrát).
Ez után válasszuk ki azt a felhasználót, akihez új lemezkvótát szeretnénk rendelni, majd állítsuk
be a felhasználó lemezterületére vonatkozó megszorításokat.
3.
ll\. User: jhasaeil@s--corplocal
Se! lhe.quota Imi forthe se!eded USO!\•):
QJ,imd .tak opoce to ��"""""' ,.,!;J

1 l ...----.-o'"�
Se! warmg levelto • ·
3.32. ábra
Új lemezkvóta-bejegyzés megadása
Kapcsolat nélküli fájlok és mappák használata

Az Offline Files and Folders (kapcsolat nélküli fájlok és mappák) hasznos szolgáltatás, amely
először a Windows 2000 Professionalben jelent meg. Célja a fájlok és mappák összehangolása,
amikor a hálózatra csatlakozunk vagy leválunk onnan. Hasonlóan működik a Windows 95-ben
látott Briefcase-hez (Táska), csak sokoldalúbb és automatizáltabb annál: egy számitógép merevle
mezének kiválasztott fájljairól és mappáiról tárol másolatot, és arnikor az említett számítógép
bármilyen okból kifolyólag leválik a hálózatról, a Windows kiolvassa a gyorstár tartalmát, és elfog
ja azokat a kérelmeket, amelyek a gyorstárban található fájlokra és mappákra vonatkoznak. Ennek
köszönhetőerr a végfelhasználó továbbra is megnyithatja, mentheti, törölheti és átnevezheti
a megosztott hálózati mappákban található fájlokat, rnivel a Windows továbbra is abban a hitben
tartja, hogy azok még mindig a hálózaton és nem egy gyorstárban találhatók. A Windows minden
változást rögzít, és legközelebb, amikor megfelelő hálózati kapcsolatot észlel, feltölti a módosítá
sokat a hálózatra és a gyorstárba, és összehangolja azokkal a ténylegesen a hálózati tárolókban
levő fájlokat
MM®Qn%{9 Mi történik, ha egy közösen használt hálózati mappát- mondjuk a Contracts {Szerző-
dések) nevűt- két különböző felhasználó is módosítja, miközben nem kapcsolódnak
a hálózatra? Ebben az esetben az dönt, hogy ki csatlakozik újra először. Ha az A" felhasználó, akkor
"
a hálózaton található fájlokat a rendszer az ő fájljaival hangolja össze, és az általa módosított változatok
lesznek elérhetők a hálózati köteten. Amikor a " B " felhasználó is megpróbálja az összehangolást,
a Windows megkérdezi, hogy meg kívánja-e tartani az aktuális változatot (azt, amelyiket az "A" felhasz
náló módosította), vagy felül akarja írni azt a saját módosításaival.
A kapcsolat nélküli fájlok nyilvánvalóan előnyösek a hordozható számítógéppel dolgozó fel

használók számára. Én is, miközben írom ezt, a Georgia állambeli Augusta mellett, az Interstate
20 autópályán található pihenő parkolójában ülök az autómban, és lazítok egy hosszú út után.
A fájl megnyitásához a Windows Explorerben megkerestem a könyv és a hozzá tartozó különfé
le fájlok hálózati tárolómappáját, és nem érzékeltem semmiféle különbséget az irodában és
az autóban látott állományok között, legalábbis ami a Windows hálózati felületét illeti. Holnap
azonban, amikor visszamegyek az irodába, bedugarn az Ethernet kábelt a laptopomba, és
a Windows összehangolja a mappában módosított fájlokat az irodai kiszolgáló fájljaivaL Ennek
a szolgáltatásnak köszönhetőerr rnindig a legfrissebb fájlváltozat van nálam, bárhol is legyek -
úton vagy az irodáruban -, és nem is kell foglalkoznom a kérdéssel. A dolognak ezen kívül van
még előnye, arnire talán nem is gondolnánk: ha a kapcsolat nélküli fájlokat nem csak a hordoz
ható, hanem a szokványos asztali számítógépeken is engedélyezzük, máris rendelkezésünkre
-Il Windows Server 2008
áll "a szegény ember hibatűrő hálózata" . (A hibatűrésért csupán sávszélességgel fizetünk.)
Amikor a hálózati kapcsolat megszűnik, a Windows nem törődik vele, hogy egy nagy számító
géptornyot vagy egy ultravékony noteszgépet használunk. Asztali géppel rendelkező felhaszná
lóink tehát boldogan és biztonságosan használhatják a hálózat erőforrásait még akkor is, ha
nem kapcsolódnak a hálózatra, a rendszergazda pedig nyugodtan pihenhet, tudván, hogy
bármit is csinálnak a felhasználók, a hálózati kapcsolat helyreállásával az állományok biztosan
frissülnek Természetesen egy minőségi elemekből összerakott, jól megtervezett hálózatot sem
mi sem helyettesít, de a kapcsolat nélküli mappák jelentősen csökkentik a felhasználói pánikot,
és megtakarítanak jónéhány felesleges telefonhívásr az ügyfélszolgálatra.
A kapcsolat nélküli fájlok engedélyezése

Ha kapcsolat nélkül elérhetővé szeretnénk tenni egy kiszolgáló megosztott tartalmát a Control
Panel segítségéve!, kövessük az alábbi lépéseket:
1. Indítsuk el a Server Managert.

2. A bal oldali ablaktáblában bontsuk ki a Roles, File Services elemet, majd kattintsunk
a Share and Starage Management elemre.
3. A középső ablaktáblán láthatjuk a megosztott mappák listáját (amennyiben a Shares lapot
választottuk); itt kattintsunk az egér jobb gombjával a kívánt megosztott mappára, és
válasszuk a Properties menüpontot.
4. A Sharing lapon az Offline Settings mező alatt állapítsuk meg, hogy a mappára jelenleg
milyen gyorstárazási beállítás vonatkozik. Ennek módosításához kattintsunk az Advanced
gombra, majd váltsunk a Caching lapra.
5. Adjuk meg a kívánt beállításokat (ezeket rövidesen ismertetjük), majd ha végeztünk,
kattintsunk kétszer az OK gombra.
Ha egy megosztott mappa tartalmát a Windows Exploreren keresztül szeretnénk kapcsolat

nélkül elérhetővé tenni, a következőket kell tennünk:
1. Nyissuk meg a Windows Explorert.

2. Kattintsunk az egér jobb gombjával a kívánt megosztott mappára, és válasszuk
a Properties menüpontot.
3. Váltsunk a Sharing lapra, majd kattintsunk az Advanced Sharing gombra, és ha az UAC
ablak kéri, erősítsük meg a kilétünket.
4. Kattintsunk a Caching gombra.
5. Adjuk meg a kívánt beállításokat, és ha végeztünk, kattintsunk az OK gombra.
Bármelyik módszert válasszuk is, ugyanazok a kapcsolat nélküli beállítások állnak a rendelke
zésünkre:
• Az első lehetőség bekapcsalásával a felhasználó határozhatja meg, hogy mely dokumen

tumok legyenek kapcsolat nélkül elérhetők.
• A második lehetőség minden dokumentumot elérhetővé tesz.
• A harmadik lehetőség egyetlen dokumentumot sem enged elérni kapcsolat nélkül.
A kapcsolat nélküli fájlokat és mappákat Windows 2000 és Windows XP ügyfeleken úgy

engedélyezhetjük, hogy megnyitunk egy tetszőleges mappát, és a Tools (Eszközök) menüből
a Folder Options (Mappa beállításai) pontot választjuk, majd az Offline Files (Kapcsolat nélküli
fájlok) lapra váltunk, és ott bejelöljük az Enable Offline Files (Kapcsolat nélküli fájlok engedé
lyezése) jelölőnégyzetet
Néhány dolog, amit észben kell tartanunk

Nem szabad elfelejtenünk, hogy amikor új megosztott mappát hozunk létre, a kapcsolat nélküli
hozzáférés alapállapotban mindig engedélyezett. Ha bizalmas adatokat tárolunk egy olyan meg
osztott helyen, amely hordozható számítógépekkel elérhető, komoly üzleti kockázatot jelent, ha
valamelyik mobil felhasználó laptopját ellopják vagy feltörik, ezért célszerű kikapcsalni azoknak
a megosztott mappáknak a kapcsolat nélküli elérését, amelyek olyan céges információkat tartal
mazhatnak, amelyeket nem szeretnénk, ha olyan számítógépre kerülnének, amely elhagyhatja
a cég területét.
Észben kell tartanunk azt is, hogy a kapcsolat nélküli fájlok és mappák hamis biztonságérzetbe
ringatják a felhasználót. Ha úgy megyünk ki a repülőtérre, hogy a hordozható gépünket nem
csatlakoztattuk a hálózatra közvetlenül indulás előtt, az utolsó csatlakozás óta módosított fájlok
ból nyilvánvalóan nem a legfrissebb változattal fogunk rendelkezni, és azok a fájlok is hiányoz
hatnak a gépünkről, amelyek azóta kerültek a mappába. Egyszerű alapszabályként tartsuk ma
gunkat ahhoz, hogy közvetlenül az iroda elhagyása előtt mindig csatlakoztassuk a laptopunkat
a hálózathoz, majd válasszuk le, és indítsuk újra a gépet. Így még egy utolsó összehangolást
végezhetünk, és arról is meggyőződhetünk, hogy a segédprogram megfelelően működik-e.
Ez a megoldás még mindig jobb annál, mintha úgy érkeznénk meg egy konferenciára, hogy
nincsenek nálunk az előadásunk legnagyobb részét kitevő PowerPoint-diák. (Nem mintha
lennének saját tapasztalataim ezzel kapcsolatban...)
Az is megjegyzendő, hogy ha bekapcsoljuk az Optimízed for Performance lehetőséget a Windows

grafikus felületén, a rendszer automatikusan gyorstárazza a dokumentumokat, hogy a felhaszná
lók helyben használhassák azokat, ami segít a leterhelt alkalmazáskiszolgálóknak, mivel csökkenti
a kiszolgáló és az ügyfelek közötti adatforgaimat
Fájlok korábbi változatainak használata

A korábbi fájlváltozatok (korábbi nevükön: árnyékmásolatok) előbányászásának lehetősége
viszonylag új a Windows termékekben. A szaigáitatás révén a kiszolgáló pillanatfelvételt készíthet
egy lemez dokumentumairól, hogy rögzítse az állapotukat az adott időpontban. Ha egy felhaszná
ló véletlenül töröl vagy felülír egy fájlt, megnyithatja valamelyik korábbi változatot, amelyet
a kiszolgáló korábban mentett, így nem kell újra elvégeznie ugyanazt a munkát vagy kapcsolatba
lépnie a rendszergazdával, hogy állítsa vissza neki a fájlt a legutóbbi biztonsági másolatbóL
Ha a korábbi fájlváltozatok mentését engedélyezzük egy lemezen, az ott található megosztott
mappákhoz kapcsolódó felhasználók megtekinthetik és elérhetik a korábban készült másolatokat,
akár egyes fájlokról, akár teljes könyvtárakról legyen szó.
-:1 Windows Server 2008
A szolgáltatás felszíne mögött ugyanakkor további előnyök is rejtőznek. Az árnyékmásolatokról
gondoskodó szolgáltatás, a Volume Shadow Copy Service (VSS, kötet-árnyékmásolat készítő szol
gáltatás) valójában egy újonnan kifejlesztett alkalmazásprogramozási felületre (API-ra) épül, amely
lehetővé teszi az olyan kiszolgálói alkalmazásoknak, mint az Exchange vagy az SQL Server, illetve
a biztonságimásolat-készítő programoknak, hogy éljenek az árnyékmásolatok nyújtotta előnyök
kel. Ennek talán a legjobb példája egy olyan biztonsági mentés, ami átugorja a megnyitott fájlokat,
vagy azért, mert a felhasználó éppen dolgozik rajtuk, vagy mert egy másik folyamat zároita azokat.
Régebben ez hiányos biztonsági másolatot eredményezett: a biztonsági mentés vagy elakadt, mert
ezt a hibát nem tudta kezelni, vagy egyszerűen kihagyta a kérdéses fájlt. Ha a megnyitott fájl
mondjuk az Exchange-levéladatbázisunk, ez elég kellemetlen. A kötet-árnyékmásolatoknak kö
szönhetően azonban a biztonságimásolat-készítő program most már az új API-n keresztül pillanat
felvételt tud készíteni bármelyik megnyitott fájlról, és a pillanatfelvételt menteni tudja a biztonsági
másolatba. Adatbázisunkról tehát tetszőleges időpontban azonnali biztonsági másolatot készíthe
tünk, és ez nem akadályozza a felhasználó hozzáférését. Remek szolgáltatás.
A korábbi fájlváltozatoknak a felhasznáJók is nagy hasznát vehetik. A kötet-árnyékmásolatot

készítő szolgáltatás része egy olyan ügyfélprogram, amelyet megtalálhatunk a Windows V ista és
Windows XP Service Pack 2 rendszereken (tehát nincs szükség külön telepítésre), a Windows
2000-et futtató ügyfelek pedig letölthetnek a http.//go.microso.ft.com/fwlink/?LinklD=22346
címrőL Ha a felhasználó gépén rendelkezésre áll az említett ügyfélprogram, a Windows egy új
lappal egészíti ki minden dokumentum tulajdonságablakát (lásd a 3.33. ábrát) .
• volshext Properties :P'tt
Previous vers!Ons come from sh&dow copjes, v.>hlch

are saved automatfcaUy to your compute{s harci d1sk.
orlrorobad<upcr>pies. Howdo luseprevlous
�
.. Date modified "" • Loc;,tion
lhere are no previous versions ava4able
3.33. ábra
OK
A tulajdonságablak Previous Versions lapja
Ha vissza szeretné állítani egy fájl korábbi változatát, a felhasználónak csak annyit kell tennie,
hogy kiválasztja a kívánt változatot, és vagy egy másik helyre másolja azt a Copy gombbal, vagy
a Restore gombbal visszaállítja arra a helyre, ahol a pillanatfelvétel készítésekor eredetileg volt.
(Ezzel viszont felül fogja írni az újabb változatot, mert a program feltételezi, hogy ha a felhasz
náló a korábbi változat visszaállítását választotta, az újra nincs szüksége.) Megjegyzendő, hogy
ha végrehajtható fájlról van szó, annak megtekintésével egyben futtatjuk is a fájlt.
A kavarodás elkerülése érdekében amikor a felhasználó egy megosztott mappa Previous Versions
(Előző verziók) hivatkozására kattint a mappa intézőnézetében, csak az egyedi másolatok listáját
fogja látni, vagyis azokét a változatokét, amelyek különböznek egymástól (és így feltételezhető,
3.
hogy a fájl vagy mappa módosult). Ezen kívül a korábbi változatok csak olvashatók: a felhasz
nálók lemásolhatják vagy az egérrel áthúzva új helyre ejthetik őket, illetve mindenféle műveletet
végezhetnek rajtuk- kivéve a felülírást és a törlést.
A korábbi fájlváltozatok engedélyezése

A jó hír: a korábbi fájlváltozatok mentése alapállapotban be van kapcsolva, ezért a rendszergaz
dának kevesebb a dolga. De hogyan működik a szolgáltatás a szükséges rendszererőforrások
szempontjából? A rendszer alapértelmezés szerint az adott köteten létrehoz egy System Volume
Information (rendszerkötet-információ) nevű mappát, amelyben magukat a pillanatfelvételeket
és a műveletek naplófájljait tárolja. Ez a mappa alapértelmezés szerint a kötet teljes lemezterüle
tének 10%-át foglalhatja el, a Windows lomtárához hasonlóan. A korábbi változatokról készített
pillanatfelvételekhez legalább 300 MB szabad területre van szükség.
Amikor először engedélyezZÜk a korábbi változatok mentését, a Windows pillanatfelvételt készít

a kötetró1, hogy a lemezen található fájlok jelenlegi "állapotát" tárolja. Ezeknek az állapotadatok
nak a segítségével állapítja meg a rendszer, hogy a fájlok megváltoztak-e azóta, hogy rögzítette
a pillanatképet Tegyük fel például, hogy egy titkárnő szokásos formázási műveleteket végez egy
Excel-munkafüzeten, és a nap végén hazamegy, a fájlt tároló Windows Server 2008-at pedig úgy
állították be, hogy éjszaka -legyen az időpont mondjuk hajnali 5:30 -minden fájlról pillanatfel
vételt készítsen. Amikor a pillanatfelvétel elkészül, az Excel-munkafüzet állapotinformációja be
kerül a System Volume Information mappába. Reggel, amikor a titkárnő megérkezik az irodába,
és újra előveszi a munkafüzetet, hogy munkához lásson, ugyanazt a változatot fogja látni, mint
amit az előző nap végén mentett, és ami -ne feledjük- egyben a pillanatfelvétel alapjául is
szolgált. Amikor befejezi a délelőtti munkát, menti a munkafüzetet, mielőtt a szokásos keddi
munkaértekezletre sietne. A VSS szolgáltatás észleli, hogy az említett Excel-fájlról már rendelke
zésre állnak állapotadatok, és azt is észreveszi, hogy a fájl megváltozott, ezért nyomban elérhe
tővé teszi a korábbi változat 5:30-kor készült másolatát a fájl tulajdonságablakának megfelelő
lapján. Így amikor a titkárnő visszatér az értekezletró1, és rájön, hogy akaratlanul törölt egy teljes
lapot a munkafüzetből, miközben formázta a fájlt, visszanyerheti az előző esti változatot, és
elkerül egy szívrohamot.
Mindazonáltal három lényeges dologgal tisztában kell lennünk azzal kapcsolatban, hogy
a korábbi változatok mikor (és főleg mikor nem) képesek megmenteni minket vagy a felhasz
nálóinkat a katasztrófától:
•
Egy fájlnak csak azt az árnyékmásolatát tudjuk visszaállítani, amelyikről a legutóbbi pilla
natfelvétel készült. Ha a fájlt a nap folyamán többször is módosítjuk, akkor is csak abba
az állapotba állíthatjuk vissza, amelyben közvetlenül a legutóbbi pillanatfelvétel elkészülte
után volt, ezért létfontosságú, hogy a felhasználók ne mankóként támaszkodjanak a ko
rábbi fájlváltozatokra, hanem tanulják meg csak akkor igénybe venni ezt a szolgáltatást, ha
valóban nagy a baj.
• Ha egy fájlt átnevezünk, a fájl egyetlen korábbi változatához sem férhetünk hozzá, még
ha készültek is róla árnyékmásolatok A VSS kizárólag a fájlnév és az állapot alapján talál
ja meg a korábbi változatokat, ezért ha a fájlnév megváltozik, a VSS (legalábbis jelenleg)
nem képes arra, hogy azonosítsa az állományt.
Windows Server 2008
A korábbi fájlváltozatok mentésének ütemezésa

Alapértelmezés szerint a korábbi fájlváltozatok mentése reggel 7:00-kor, illetve munkanapokon
7:00-kor és délben történik. Ha gyakrabban, mint 60 percenként készíttetünk árnyékmásolatokat,
az ronthatja a kiszolgáló teljesítményét.
··- Mivel az árnyékmásolatokat általában a munkanap egymástól távol eső időpontjaiban

készíttetjük el, nem árt, ha figyelmeztetjük a felhasználókat, hogy ez a szaigáitatás
nem mankó, és az adatvesztés elkerülésére az a legjobb módszer, ha gyakran mentik a munkájukat.
A fentieken kívül tudnunk kell, hogy a rendszer kötetenként legfeljebb 64 árnyékmásolatot

tud tárolni, ezért amikor eléri ezt a számot, a legrégebbit törli, így az elérhetetlenné válik, mivel
új árnyékmásolatok váltják fel.
Ha meg szeretnénk változtatill az árnyékmásolatok készítésének ütemezését, kövessük az alábbi

lépeseket:
1. Nyissuk meg a Computer ablakot, és kattintsunk az egér jobb gombjával arra a kötetre,
amelyikre be szeretnénk állítani az árnyékmásolatok ütemezését.
2. Váltsunk a Shadow Copies (árnyékmásolatok) lapra.
3. Válasszuk ki azt a lemezt, amelynek az árnyékmásolat-készítési beállításait módosítani
szeretnénk, és kattintsunk a Settings gombra.
4. A megjelenő ablakban kattintsunk a Schedule gombra.
5. Módosítsuk az ütemezést az igényeink szerint.
Az elosztott fájlrendszer
Az elosztott fájlrendszer (Distributed File System, DFS) olyan megoldás, amely lehetővé teszi,
hogy több különböző, akár különböző kiszolgálókan található fájlrendszert csatlakoztassunk egy
helyről, és azok egyetlen logikai egységnek látszádjanak Az egyes megosztott mappák, amelyek
valószínűleg különböző kiszolgálógépek más-más lemezmeghajtóin találhatók, egyetlen mappá
ból érhetők el: ezt a mappát hívják névtémek. A megosztott mappákra mappahivatkozások
mutatnak, és ezekből áll össze egyfajta könyvtárfa, amelynek a szerkezete az igényeknek megfe
lelően módosítható. Az elosztott fájlrendszer azt is megengedi az ügyfeleknek, hogy csak
a megosztási pont nevét tudják, vagyis annak a kiszolgálónak a nevét nem, amelyen a megosztá
si pont található, ami igen előnyös, mert így nem kell olyan kérdéseket feltenni, hogy "Melyik
kiszolgálón található az utolsó költségvetési javaslat?".
A DFS-névtereknek két fajtája van: önálló névterek, amelyek helyben tárolják a mappaszerkezet
re vonatkozó információkat, és tartomány alapú névterek, amelyek a mappaszerkezetet
az Active Diretory-ban tárolják, és az információkat többszörözéssei (replikációval) másolják
a többi tartományvezérlőre. Ez utóbbi esetben, ha több névterünk van, ugyanazokhoz az adatok
hoz egyszerre több kapcsolaton keresztül is hozzáférhetnek, csak éppen azok más-más megosz
tott mappákban jelennek meg. Azt is megtehetjük, hogy két fizikailag elkülönülő kiszolgálón
két különböző megosztási pontot állítunk fel ugyanazoknak az adatoknak a számára, mert a DFS
elég intelligens ahhoz, hogy ki tudja választani a kérelmet kiadó ügyfélhez helyileg legközelebb
eső mappaszerkezetet, ami csökkenti a hálózati forgaimat és az adatcsomagok utazási idejét.
3.
Az elosztott fájlrendszer a Windows Server 2008-ban lényegében két összetevőből áll:
DFS-névterek
Ezek teszik lehetővé, hogy a különböző kiszolgálókan tárolt megosztott mappákat cso
portosítsuk, és egyetlen egységes fában tárjuk a felhasználók elé, így a fájlok és mappák
tényleges helye a számukra lényegtelenné válik.
DPS-többszöröző
A többszöröző motor támogatja az ütemezést, a sávszélesség-szabályozást és a tömörítést
is. A motor a Remote Differential Compression (RDC, távoli differenciális tömörítés) nevű
algoritmust használja, amely egy korlátozott sávszélességű hálózatban is hatékonyan
frissíti a fájlokat, mert megvizsgálja, hogy milyen adatokat szúrtak be, távolítottak el,
illetve rendeztek át a fájlokban, és csak a megváltozott fájlblokkokat többszörözi, ami
jelentős megtakarírást eredményez.
A DFS-tranzakciók szokványos menetét a Windows Server 2008-ban a 3 .34. ábrán láthatjuk.
NewYork-i NewYork-i
felhasználó kiszolgáló
.._
....,
.
DFS-többszörözés
_o
-- gr
�
-
Névtér
3.34. ábra
e A DFS-adatforgalom
-·
a Windows Server
Londoni felhasználó Londoni kiszolgáló 2008-ban
-:fl Windows Server 2008
Nézzük végig a folyamatot! Amikor egy végfelhasználó meg szeretne nyitni egy mappát, amely
egy DFS-névtéren belül található, az ügyfélgép üzenetet küld a névtérkiszolgálónak (amely egy
szerűen a DFS-nek a Windows Server 2008-ban vagy a Windows Server 2003 R2-ben található
változatát futtató számítógép). A kiszolgáló ekkor átadja az ügyfélnek azoknak a kiszolgálóknak
a listáját, amelyek másolatot tárolnak a kért megosztott mappákról (ezeket a másolatokat hívjuk
mappahivatkozásoknak). Az ügyfélgép a hivatkozási lista másolatát a gyorstárába helyezi, majd
sorban végighalad a listán, amelyben a kiszolgálók automatikusan közelségi sorrendbe rende
ződnek, hogy az ügyfél először mindig a saját Active Directory-jában található kiszolgálókkal
próbálkozzon, és csak ezt követően járja be a hálózatán kívül található számítógépeket
De ássunk kicsit mélyebbre, hogy jobban lássuk, hol kap szerepet a DFS-többszörözés. A legegy
szerubb forgatókönyv, ha egy mappát például egy New York-i, illetve egy londoni kiszolgálón tá
rolunk, és többszörözéssei tartjuk a mappa másolatait összhangban. A felhasználók természetesen
nem is sejtik, hogy a mappák földrajzilag egymástól távol eső helyeken találhatók, mert a többszö
röző hihetetlenül hatékony: meghatározza, rni változott meg a fájlokban, és a távoli differenciális
tömörítés segítségével csak a különbséget küldi el a hálózaton keresztül. Lassú vagy korlátozott
sávszélességű kapcsolat esetén ez jelentősen csökkenti a költségeket Az előnyöket leginkább ak
kor érzékeljük, ha nagy fájlokon hajtunk végre viszonylag kis változtatásokat. A Microsoft szerint
egy 2 MB-os PowerPoint-bemutató módosítása csupán 60 KB-nyi adat elküldését jelenti, ami
az adatforgalomban 97,7% megtakarítással egyenlő. Ha tovább olvassuk a Microsoft leírását, erre
a magyarázatra bukkanhatunk a termék csapatátóL "A teszt során 780 kölönböző (.doc, .ppt és
.xls) Office-fájlt többszöröztünk a forráskiszolgálóról a célkiszolgálóra a DFS-többszöröző és
az RDC algoritmus segítségéveL A célkiszolgáló a fájlok n változatát, a forráskiszolgáló pedig
az n+ változatát tartalmazta, a kettő között pedig jelentős eltérések voltak. A megtakarítás az átvitt
bájtokat tekintve átlagosan 50 százalék volt, de a nagyobb fájlok esetében ennél lényegesen jobb
eredmény mutatkozott."
A DFS-sel természetesen a hibatűrés előnyeit is élvezhetjük, mert ha valamelyik kiszolgálón

a cél nem felel, egy másik, működő kiszolgálóhoz fordulhatunk. A Windows Server korábbi vál
tozataiban található DFS-ben nem volt egyszerű mód arra, hogy az ügyfeleket hiba esetén arra
utasítsuk, hogy térjenek vissza a helyi DFS-kiszolgálóikhoz, amint azok ismét elérhetővé válnak
a hálózaton, de most már megadhatjuk, hogy az ügyfélgépek egy közelebbi, kevésbé költséges
kiszolgálóhoz kapcsolódjanak, arnikor a szolgáltatás helyreáll.
Bár a Windows Server 2008 DFS-összetevői két különálló technológiát képviselnek, együttesen
használva valós üzleti problémákat oldanak meg. Vegyük például a fiókirodák biztonsági menté
seit: ahelyett, hogy az egyes irodák rendszergazdáit bíznánk meg a szalagos meghajtók karbantar
tásával, a biztonsági másolatok elkészítésével, az adatok hálózaton kívüli tárolásával és minden
mással, ami a katasztrófák elhárításával kapcsolatos, egyszerűen beállítjuk a DFS-t, hogy többszö
rözze a fiókiroda kiszolgálóill tárolt adatokat egy adatközpontban található központi kiszolgálóra,
majd a biztonsági mentést onnan végezzük el. Ez három szempontból is előnyös:
•
Megspóroljuk a szalagos meghajtók árát.
•
A DFS-többszörözés hatékonyságának köszönhetően időt takarítunk meg.
•
Kevésbé terheljük a fiókirodák informatikai dolgozóit, rnivel nem azzal kell tölteniük az ide
jüket, hogy felügyelik a biztonsági mentést, hanem más problémákkal foglalkozhatnak
3. fejezet • Fájlszolgáltatások l:f-
És mi a helyzet a prograrnak elosztásával? A DFS nem csak a dokumentumok közzétételekor
teljesít kiválóan, hanem akkor, is, ha alkalmazásokat és más fájlokat szeretnénk elérhetővé tenni
a földrajzilag más-más helyen dolgozó felhasználók számára. A névterek és a többszörözés
együttes használata révén adatok és prograrnak több példányát tárolhatjuk szerte a világon, és
biztosíthatjuk azok zökkenőmentes elérését és gyors átvitelét, miközben a felhasználók számára
láthatatlan marad, hogy honnan kapják a fájlokat A DFS-többszörözés és a névterek az Active
Directory-szerkezet vizsgálatával automatikusan gondoskodnak róla, hogy a legalacsonyabb
költségű kapcsolatot használjuk, ha egy helyi névtérkiszolgáló éppen nem tud válaszolni
a kérelmekre.
A DFS kezelésére szolgáló felhasználói felület is sokat fejlődött a Windows 2000-ben és

a Windows Server 2003 eredeti változatában található, nehézkes és kevésbé összerakott MMC
beépülő modulhoz képest. Az új beépülő modulban a névtereket és más olyan lehetőségeket is
beállíthatunk, amelyeket korábban csak a parancssoros felületen keresztül érhettünk el.
Névtér létrehozása
A Server Manager bal oldali ablaktáblájában, a File Services szerepkör Namespaces csomópontja
alatt találhatjuk meg az általunk létrehozott névtereket, illetve azokat a már létező névtereket,
amelyeket felvettünk a konzolra. A fában minden névtér alatt mappák hierarchikus rendszerét
láthatjuk. A hivatkozással rendelkező mappákat egy különleges ikon különbözteti meg
a szokványos mappáktóL Ezt a felületet fogjuk most használni, hogy létrehozzunk egy új névteret,
mappákat és mappahivatkozásokat adjunk hozzá, majd a szolgáltatást szemléltetendő többszörö
zést állítsunk be két számítógép között.
Ahhoz, hogy új névteret hozhassunk létre, a következő feltételeknek kell teljesülniük:
• Legalább két olyan kiszolgálóra van szükség, amelyeken a Windows Server 2008 vagy
a Windows Server 2003 R2 fut, valarnint a DFS rendszert is telepítenünk kell, amit a feje
zet korábbi részében bemutatott Add Roles Wizard segítségével tehetünk meg.
• Ha a mappaszerkezetet az Active Directory-ba szeretnénk ágyazni, az Active Directory-t
telepítenünk kell a hálózatra. A gyakorlatban azt feltételezzük, hogy még nem telepítettük
az Active Directory-t, ezért a DFS-nek azokra a szolgáltatásaira összpontosítunk, amelyek
nem kapcsolódnak az AD-hez.
Az új névtér létrehozásához kattintsunk az egér jobb gombjával a bal oldali ablaktábla

Namespace csomópontjára, és a helyi menüből válasszuk a New Namespace (új névtér) elemet.
Ezt követően hajtsuk végre az alábbi műveleteket:
1. A Namespace Server (névtérkiszolgáló) lapon, amelyet a 3.35. ábrán láthatunk, írjuk be

annak a kiszolgálónak a nevét, amely majd helyet ad a névtérnek, majd kattintsunk
a Next gombra.
2. A Namespace Name and Settings lapon adjunk meg egy nevet az új névtér számára.
Arnint a 3.36. ábrán láthatjuk, én az új névteremet Files-nak neveztem el.
3. Ekkor a Namespace Type képernyő jelenik meg (lásd a 3.37. ábrát). Itt válasszuk
a Standalone namespace (önálló névtér) lehetőséget, majd lépjünk tovább.
_:,1 Windows Server 2008
Namespoce Senoer
l""""'-""""'""'""""" ,r,'é, ,".".;;_------------.� l

Namespaoelype
:;..v..-
rtowse ...
) Re-.iew Selmgs 5'ld Create

""""'-"
""'"""""'
3.35. ábra
A Namespace Server
képernyő
Gl §.
� �· - Nomesp8Ce Name and Set1ings
�Type
Re\ie'..,. 5ettJ1gs and Create
...,....."
Comrmáion
f!"'eCflMry,thewÍVJrdv.oJCR!atea Wredfo&d..-onfile�oe��e�Ver. To
modfythe$eilrg:
. tdthe�folder.suci'la$Ubc.!ipalh/Kidpe!'!l�ÍSSG\s cb:
""" -
3.36. ábra
A Namespace Name and
Settings képernyő
Adomeín� �C4JiS�MMI ononeormmnamezp� &ertetsandf'l Act� Dlectoly

� Semces. You CMirx:reaethe avatl11biiity� .a�4la!ll!d nametpae& b>;• ll»"�g
mt.tde$8MlB. \%en createdi'l Wi'ldow11 Server ll)OO:mode, thename"'ace �
inaeMedscalabftyn:faccess..Wsed �.
Corlirmation
Att"""��&l$éQI1!:Óonas.nglen�oeserver.Yoocanncte!i!setM
alttlllabftydast��by�tonafaloV«dlster
3.37. ábra
A Namespace Type
képernyő
3. tejezet • Fájlszolgáltatások l:f-
'ii;UewHamespa�Waard - 4AM � �
_
f-f Review SettOgs and CreBte Nflmespece

...,
-. 'IcomK'f,clíok
Youoe�ectedthe"""" " -;«the _..,the-""
_
N� Seiver <AaletoCR'Ii!teyour{l!IW �. To ohange a aettng ..clíck

�-or eeledthe�epage iotheanenl&impane
� Naneand � !. Namespace�.
Narnespac:eT�
Name!pace
flo- s.<tlnoo andúeale Nsrlesp�tcenmne: \\sc:::i:Jne!techmeóacorpJocai\Payrol
� t�acetype: Dornain (lflndows Server 2008mode}
t�seN«":wd:Sest
eomm..oo Roct �fotder: A hred fc»der wi be cre«ed l ono doet not e:mt.
local path cl M� sh�folder:C:\DFSRoru\P4)'!tll
PernusD'ls for namespace sha"ed !older. Eve!yone m&d oriy
3.38. ábra
A Review Settings and
Create Namespace
képernyő
4. A Review Settings and Create Namespace képernyőn, amelyet a 3.38. ábra mutat,
ellenőrizzük a választott beállításokat, majd lépjünk tovább.
5. Utolsóként a Compietion képernyő jelenik meg. Miután meggyőződtünk róla, hogy
a létrehozás folyamata során nem történtek hibák, zárjuk be a varázslót.
Mappák és mappahivatk.ozások hozzáadása és kezelése a névtérben

Egy már létező névtérhez nagyon egyszerű hozzáadni egy mappát: a bal oldali ablaktáblában
kattintsunk az egér jobb gombjával a névtér nevére, és válasszuk a New Folder parancsot, ami
a hasonló nevű ablakot nyitja meg. Írjunk be egy tetszőleges nevet a mappa számára a Name
mezőbe.
Ha szeretnénk, folytathatjuk, és mappahivatkozásokat is adhatunk a fenti mappához, rniközben

létrehozzuk azt. Emlékezzünk vissza, hogy a mappahivatkozások teszik lehetővé, hogy a DFS
névtér egy mappáját átirányítsuk egy megosztott mappákat tartalmazó fizikai helyre. Ha azt sze
retnénk például, hogy az Office mappa megjelenjen a DFS-névtérszerkezetben, létrehozhatunk
egy mappahivatkozást, amelyet egy olyan DFS-mappához csatolunk, amely az Office mappa
tényleges helyére mutat. A mappahivatkozások egyszerű és tiszta módot adnak arra, hogy egy
ségesítsük a hálózaton található fájlok és mappák megjelenését.
Ha egy adott mappát át szeretnénk helyezni vagy el szeretnénk távolítani, egyszerűen kattint
sunk az egér jobb gombjával a mappa nevére a konzol bal oldali ablaktáblájában, válasszuk
a Move or Rename parancsot, és hajtsuk végre a kívánt műveletet. A többiről a DFS szaigáitatás
gondoskodik; az áthelyezés különösen gördülékenyen végrehajtható.
Mappahivatkozás hozzáadásához kattintsunk az Add gombra, amely az Add Folder Target abla
kot nyitja meg. Itt írjuk be a hivatkozott hely elérési útját, és ha készen vagyunk, kattintsunk
az OK gombra.
-:ll Windows Server 2008
Egy mappához több mappahivatkozást is adhatunk, amivel javíthatjuk a hibatűrést. Így ha
a felhasználót a rendszer egy olyan számítógéphez irányítja, amely éppen nem működik,
az ügyfélgép a névtérkiszolgálótól kapott hivatkozási listából kipróbálhatja a következő olyan
kiszolgálót, amelyen megtalálható a hivatkozott mappa másolata. A hivatkozás módját az adott
hely hálózatán belülre és kívülre is beállíthatjuk, ha az egér jobb gombjával a névtér nevére
kattintunk a konzol bal oldali ablaktáblájában, és a Properties menüpontot választjuk,
a Referrals lapra váltunk, majd az Ordering Method mezóből kiválasztjuk a megfelelő beállítást.
Választhatjuk a "legalacsonyabb költs�g" módszerét, amely a helyeket és a hivatkozásokat
az Active Directory beállításai szerint veszi figyelembe, dönthetünk a véletlen rendezés mellett,
amely pontosan azt csinálja, mint amit a neve sugall, de az ügyfél hálózatán kívül eső célgépe
ket is kizárhatjuk, így az ügyfelek a külső célpontokat nem érhetik el.
Megjegyzendő, hogy ha egy olyan mappához próbálunk meg mappahivatkozást rendelni,

amelynek már van egy hivatkozása, az MMC DFS beépülő modulja megkérdezi, hogy szeret
nénk-e létrehozni egy többszörözési csoportot, hogy összehangoljuk a két hivatkozott célpontot
- a következő részben erről fogunk bővebben beszélni.
Többszörözési csoport létrehozása egy mappa számára

Ha hibatűrési célból egynél több mappahivatkozással rendelkezünk, célszerű beállítanunk egy
többszörözési csoportot, hogy a mappák tartalma összhangban maradjon, és a felhasználók egy
"láthatatlan" felületen keresztül érjék el a bennük található elemeket.
A többszörözési csoport olyan kiszolgálókból áll, amelyek többszörözött mappák frissítéseit

küldik el vagy fogadják. Ha a DFS-többszörözést egy hivatkozásokkal rendelkező mappára en
gedélyezzük, a hivatkozott mappáknak helyet adó kiszolgálók automatikusan a többszörözési
csoport tagjai lesznek, a hivatkozott mappákat pedig a rendszer a többszörözött mappához tár
sítja. Az olyan tulajdonságok, mint a csoport, illetve a mappa neve, szintén azonosak lesznek.
A DFS-többszörözést önálló és tartomány alapú névterekben is használhatjuk, tehát az alábbi

gyakorlatot attól függetlenül elvégezhetjük, hogy milyen típusú névteret hoztunk létre az előző
részben. Az Active Directory telepítésére viszont szükségünk lesz, és a Domain Administrators
csoport tagjainak kell lennünk. (Az Active Directory-val az 5. fejezetben fogunk foglalkozni.
Ha előbb el szeretnénk olvasni azt a fejezetet, nyugodtan megtehetjük, és elvégezhetjük utána
az alábbi gyakorlatot.) Megjegyzendő ugyanakkor, hogy ez a követelmény megakadályozza,
hogy másra ruházzuk át a DFS-szerkezet feletti rendelkezést.
Egy mappához a következőképpen hozhatunk létre többszörözési csoportot:
1. A konzol bal oldali ablaktáblájában kattintsunk az egér jobb gombjával a mappára

a létrehozott névtérben, és válasszuk a Replicate Folder parancsot.
2. Ekkor megjelenik a Replication Group and Replicated Folder ablak. Itt írjunk be egy nevet
a többszörözési csoport számára (a legtöbben itt a mappa elérési útját adják meg a névtér
ben), majd adjunk nevet a többszörözött mappának is. Ha készen vagyunk, lépjünk tovább.
3.
3. Ekkor a Replication Eligibility képernyő jelenik meg. Ebben a lépésben a Replicate

Folder Wizard meghatározza, hogy van-e olyan mappahivatkozás, amely részt vehet
a többszörözésben. Gondoskodjunk róla, hogy a hivatkozások közül legalább kettő,
amelyek különböző kiszolgálón találhatók, alkalmas legyen, majd lépjünk tovább.
4. A következő képernyő, amely megjelenik, a Primary Folder Target (elsődleges mappahi
vatkozás). Itt adhatjuk meg azt a hivatkozott mappát, amelyik a többszörözési csoport
elsődleges tagja lesz, vagyis amelyiknek a tartalma mesterpéldányként kezelendő.
Ha megadtuk, lépjünk tovább.
5. Ekkor a Topology Selection képernyő jelenik meg. Itt választhatjuk ki, hogy a többszörö
zési csoportban részt vevő kiszolgálók között rnilyen kapcsolat legyen. Ha a többszörö
zési csoportnak három vagy több tagja van, válasszuk a hub and spoke (agy és küll6)
felépítést, amelyben a tagok egymáshoz kapcsolódnak, az adatok pedig a központból
terjednek a küllőkön kifelé. A full mesh (teljes háló) lehetőséget választva minden tag
minden adatot többszöröz a többi tagra, míg a no tapofogy (saját felépítés) választása
esetén saját felépítést határozhatunk meg. A példa céljainak a teljes háló felel meg
a legjobban, ezért válasszuk ezt, majd lépjünk tovább.
6. A következő képernyő a Replication Group Schedule and Bandwidth, ahol választhatunk,
hogy folyamatosan (7 napban és 24 órában) többszörözni akarunk, vagy meghatározott
ütemezés szerint. Az ütemezés beállításához kattintsunk az Edit Schedule gombra. Ezen
kívül azt is megadhatjuk, hogy a többszörözés mekkora sávszélességet használhat, így na
gyobb sávszélességet biztosíthatunk a szokásos feladatok számára. Ha a teljes sávszélessé
get fel akarjuk használni, hogy mindent a lehető leggyorsabban többszörözzünk, a listából
válasszuk a Full lehetőséget Ha készen vagyunk, kattintsunk a Next gombra.
7. Ekkor a Review Settings and Create Replication Group képernyő jelenik meg. Ellenőrizzük
az összes választott beállítást, és ha meg kell változtatnunk valamit, kattintsunk a Back
gombra. Ha nem, lépjünk tovább, és a varázsló létrehozza a többszörözési csoportot.
8. Következőként a Confirmation képernyőt látjuk. Győződjünk meg róla, hogy nincsenek
hibák, majd kattintsunk a Close gombra.
9. Az utolsó képernyő a Replication Delay. Az itt megjelenő üzenet arról tájékoztat, hogy
némi időbe telik, amíg a többszörözési csoport beállításait a csoport minden tagja
megkapja. Nyugtázzuk a figyelmeztetést az OK gombbal.
A többszörözési csoportunkat ezzel létrehoztuk Ha valamelyik számítógépen hozzáadunk egy

fájlt a hivatkozott mappához, vagy más módon módosítjuk azt, a DFS-többszöröző észleli a vál
tozást, és többszörözi azt a többszörözési csoport többi számítágépén található célmappákba,
így a felhasználók zökkenőmentesen elérhetik a fájlokat és mappákat, amíg az Explorer segítsé
gével keresik a névtérben található fájlokat
A Replication csomóponton keresztül a DFS-többszöröző minden tulajdonságát és beállítását

kezelhetjük, így az ütemezést, a sávszélesség-korlátozást, a hálózatfelépítést, és így tovább.
Ezenkívül az MMC konzol Details ablaktáblájának Repiicated Folders lapján a többszörözött
mappának vagy mappáknak megfelelő, a névtérben érvényes elérési utat is megtekinthetjük
-:!:1 Windows Server 2008
Parancssori segédprogramok
Ebben a részben azokkal a módszerekkel ismerkedhetünk meg, amelyekkel a fájlkezelési,
nyomtatási és felhasználókezelési szolgáltatásokat a parancssorból vezérelhetjük.
A megosztott mappák használata

Néha nehézkes a Windows grafikus felületét használni egy lemezmeghajtó csatlakoztatásához -
különösen egy bejelentkezési parancsfájlban. De hogyan irányíthatjuk az egérmutatót
a My Network Places ikon fölé egy kötegfájl segítségéve!? Nos, van jobb megoldás: a net use
paraneccsal bármely lemezmeghajtót a hálózat bármely kiszolgálójához csatlakoztathatjuk, sőt
egyes esetekben akár a hálózaton kívülre is. Az utasításforma a következő:
net use lemezmeghajtó \\kiszolgáló\megosztott mappa
Lássunk néhány hétköznapi példát! A H: meghajtót például így csatlakoztathatjuk a MERCURY

kiszolgálón Lisa Johnson kezdőkönyvtárához:
net use H: \\mercury\users\lmjohnson
Ha ugyanehhez a könyvtárhoz az első szabad meghajtó-betűjelet szeretnénk rendelni, adjuk ki

a következő parancsot:
net use * \\mercury\users\lmjohnson
Néha előfordul, hogy egy olyan tartományban található megosztott mappához kell csatlakoznunk,
amelyben a saját tartományunk nem bízik meg. Ha az adott tartományban rendelkezünk fiókkal,
a segítségével csatlakozhatunk, mégpedig így:
net use H:
\\idegen_gép\megosztási_név
/user:idegen_tartomány\felhasználónév
(Ha a belépéshez jelszára van szükség, a rendszer kérni fogja.)
Ha a kapcsolatot meg kell szakítanunk a kiszolgálóval, a 1 d kapcsolót használjuk:
net use \\mercury\users\lmjohnson /d
Ha minden meghajtó-hozzárendelést meg akarunk szüntetni az adott gépen, a következő

parancsra lesz szükségünk:
net use * /d
Egy idegen számítógéphez (a példában 152.1.171.133) így kapcsolódhatunk az Interneten vagy

egy belső hálózaton keresztül anélkül, hogy névfeloldásra támaszkodnánk:
net use H: \\152.1.171.133\c$
Az IP címmel egy másik fiókot is használhatunk:
net use ·H:

\\152.1.171.133\c$
/user:hasseltech\hassel
3. fejezet • Fájlszolgáltatások l:f-
Azt is megadhatjuk, hogy a hozzárendelés csak a jelenlegi munkamenetre érvényes, tehát nem
kell visszaállítani bejelentkezéskor. (Ezt utóbbi szolgáltatást hívom én megmaradó hozzárende
lésnek, mert több munkameneten át megtartja a meghajtó-hozzárendeléseket, ami jelentős időt
takarít meg a felhasználóknak.) Ehhez ezt a parancsot kell kiadnunk
net use H:
\\152.1.171.133\c$
/persistent:no
FSUTIL
Ha a parancssorból szeretnénk beállítani az alapértelmezett kvótákat, illetve módosítani akarjuk
azokat, írjuk be a következő parancsot a készenléti jel után:
fsutil quota modify [KötetVagyMeghajtó] [figyelmeztetési_szint]

[szigorú_kvóta] [felhasználónév]
A szögletes zárójelben levő szövegek helyére a megfelelő információt kell írnunk, amelyhez
az alábbi felsorolás ad segítséget:
KötetVagyMeghajtó
Annak a lemeznek a meghajtó-betűjele vagy kötetneve, amelynek a kvótabeállítását
módosítani szeretnénk. A kötetneveket nem egyszerű megadni, mert ehhez a globálisan
egyedi azonosítót (GUID, globally unique identifier) kell használnunk, ami általában egy
látszólag véletlenszerű számokból álló hosszú karakterlánc
figyelmeztetési_szint
A:z a szabad lemezterület-mennyiség, amelynél figyelmeztetés kerül a rendszer
eseménynaplójába.
szigorú_kvóta
A szabad helynek az a mennyisége, amelynél a felhasználó eléri a számára engedélyezett
lemezterület nagyságát.
felhasználónév
A felhasználó, akire az adott kvótabeállítás vonatkozik.
Az ftutil.exe segítségével olyan parancsfájlokat hozhatunk létre, amelyek automatikusan beállít

ják a kvótát, amikor új felhasználót hozunk létre, megkerülve a kvóták csoportokhoz való
hozzárendelésének a fejezetben korábban említett korlátjá t. A:z fsutil.exe révén gyorsabban és
hatékonyabban érhetjük el a lehetőségeket, mint a grafikus felületen. A:z alábbi példautasítások,
amelyeket a parancssorból kell kiadnunk, jól szem! éltetik az ftutil.exe prograrnon keresztül
elérhető kvótakezelési lehetőségeket:
A kvóták támogatását így kapcsolhatjuk ki a C: meghajtón:
fsutil quota disable C:
A kvóták támogatását így kapcsolhatjuk be az E: meghajtón:
fsutil quota enforce E:

Windows Server 2008
Lisa Johnson (felhasználóazonosítója: lmjohnson) számára így állíthatunk be 250 MB-os kvótát
a C: meghajtón:
fsutil quota modify C: 250000000 lmjohnson
A D: meghajtón jelenleg érvényben levő kvótákat így írathatjuk ki:
fsutil quota query D:
A lemezterület-felhasználást Cvagyis hogy mely felhasználók mekkora részét használják fel

a helynek) az F: meghajtón így követhetjük nyomon:
fsutil quota track F:
Így soroltathatunk fel minden olyan felhasználót, aki túllépte a kvótát a kiszolgáló bármely
kötetén:
fsutil quota violations
A kapcsolat nélküli mappák kezelése

Ha egy megosztott mappa tartalmát kapcsolat nélküli elérhetővé szeretnénk tenni a parancssorból,
a készenléti jel után írjuk be a következő parancsot:
net share
megosztott_mappa_neve
/CACHE: [manual l documents l programs l none]
A l CACHE: manual a megadott megosztott mappában található prograrnak és dokumentumok

kézi gyorstárazását, a l CACHE: documents a dokumentumok automatikus gyorstárazását,
a ICACHE: programs pedig a (fájlkiterjesztésük által megkülönböztetett) dokumentumok és
prograrnak automatikus gyorstárazását teszi lehetővé az ügyfeleken, míg a l CA CHE :none
letiltja a mappa tartalmának gyorstárazását.
VSSADMIN
Az árnyékmásolatok kezelésére szolgáló grafikus felület kissé bonyolult, mégsem ad lehetősé
get rá, hogy megadjuk, hogy az árnyékmásolatok melyik lemezen vagy köteten tárolódjanak
Ezenkívül a rendszergazda konkrét árnyékmásolat-fájlokat nem törölhet a grafikus felületen
keresztül, pedig erre szükség lehet, ha az egyik felhasználó hibás változatot hoz létre egy fájl
. ból, majd hazamegy, másnap pedig a munkatársának szüksége lenne a fájlra. Ilyenkor a rend-
szergazdának minél hamarabb törölnie kell a hibás változatot, hogy az új felhasználó véletlenül
ne azzal kezdjen dolgozni.
Szerencsére a parancssoros vssadmin.exe segédprogramot azért készítették, hogy lehetővé tegye

a rendszergazdának a fentihez hasonló feladatok elvégzését. Az alábbiakban ennek a programnak
a használatára nézünk meg néhány példát.
vssadmin Add ShadowStorage /For=C: /On=D: /MaxSize=l50MB

3. fejezet • Fájlszolgáltatások ll-
J
A fenti parancs azt adja meg (ezt hívják társításnak), hogy a C: meghajtó árnyékmásolatait a D:
meghajtón kell tárolni. Ha nem adunk meg maximális értéket, az árnyékmásolatok bármekkora
területet elfoglalhatnak Az árnyékmásolatokhoz legalább 100MB szabad terület szükséges,
a maximumot pedig kilobájtban (KB), megabájtban (MB), gigabájtban (GB), terabájtban (TB),
petabájtban (PB) és exabájtban (EB) is megadhatjuk Ha a mértékegységet nem adjuk meg,
a program az értéket bájtban értelmezi.
vssadmin Create Shadow /For=E: /AutoRetry=2
Ez a parancs új árnyékmásolatot készít az E: meghajtóróL Az l AutoRetry kapcsaló arra utasít

ja a programot, hogy ha egy másik folyamat is ugyanakkor próbál árnyékmásolatokat készíteni,
mint a vs sadmin, akkor két percenként automatikusan próbálkozzon újra.
vssadmin Delete Shadows /For=C: /Oldest
A fenti parancs törli a legrégebbi árnyékmásolatot a C: meghajtón. Ha ehelyett minden törölhető

árnyékmásolatot szeretnénk törölni, az l all kapcsolót használhatjuk Ezenkívül a l Shadow= ID
kapcsolóval- ahol az ID a kicsit lejjebb tárgyalt List Shadows paranccsal kinyerhető hexadeci
mális szám - egy konkrét árnyékmásolatot is kijelölhetünk törlésre.
vssadmin Delete ShadowStorage /For=C: /On=D:
Ez a parancs törli azt a tárolót a D: meghajtón, ahol a C: meghajtó árnyékmásolatai tárolódnak.

Ha kihagyjuk az /On kapcsolót, a C: meghajtóhoz társított minden árnyékmásolat-tároló törlődik.
vssadmin Resize ShadowStorage /For=C: /On=D: /MaxSize=150MB
Ez a parancs a D: meghajtón a C: meghajtóhoz tartozó árnyékmásolat-tároló legnagyobb meg

engedett méretét módosítja. Ne feledjük, hogy a maximális méretnek legalább100MB-nak kell
lennie. Ha csökkentjük a maximális méretet, a régebbi árnyékmásolatok törlődhetnek, hogy
helyet csináljanak a frissebb árnyékmásolatoknak
Egyéb hasznos parancsok:
vssadmin List Providers
Ez a parancs a kötet-árnyékmásolatok bejegyzett szolgáltatóit sorolja fel.

vssadmin List Shadows
Ezzel a paranccsal a létező kötet-árnyékmásolatokat és azok azonosítószámait (ID) írat
hatjuk ki, amelyeket a Delete Shadows parancsban használhatunk fel.
vssadmin List ShadowStorage
Ez a parancs az árnyékmásolatokat támogató lemezeket mutatja meg.
Windows Server 2008
Zárszó
Ebben a fejezetben a Windows Server 2008 rninden fájlkezelési, nyomtatási és felhasználókezelési
szolgáltatásáról szót ejtettünk. A megosztott mappák létrehozásának, megosztásának és az Active
Directory-ban való közzétételének, illetve a lemezmeghajtók csatlakoztatásának az áttekintésével
kezdtük, majd részletesen ismertettük a Windows engedélyeinek rendszerét, beleértve az enge
délyszinteket, a "különleges" engedélyeket, valarnint a engedélyek öröklését és tulajdonjogát.
Ezt követően összefoglaltuk a tudnivalókat az elosztott fájlrendszerről, illetve annak beállításáról
és kezeléséről, és bemutattuk, hogyan működnek a kapcsolat nélküli fájlok és mappák. Végül
a fejezetet azzal tettük teljessé, hogy megmutattuk, hogyan állíthatjuk be az említett szolgáltatások
többségét a parancssorbóL
A következő fejezetben a Windows Server 2008 Actíve Directory szolgáltatásának alapjait ismer
tetjük: a tartománynévrendszert, más néven a DNS-t.
A tartománynévrendszer
A tartománynévrendszer (DNS, Domain Name System) a nyilvános Internet alapja, és egyaránt

választott névfeloldási rendszere a kis és nagy hálózatoknak A DNS egy IP címekből és az azok
nak megfelelő gépnevekből (állomásnevekből) álló címtár, tehát a működését tekintve a telefon
könyvre hasonlít. A DNS azonban bonyolultabb a telefonkönyvnéL sokféle hozzárendelést tárol,
valamint információkat a hálózatunkon található kiszolgálók nyújtotta szolgáltatásokról.
Míg a Windows NT a névfeloldás sor:'ln a Windows internetes névszolgáltatására (WINS, Win

dows Internet Naming Service) és a NetBIC)S-ra támaszkodott, a Windows Server 2008 a DNS-re.
Valójában a DNS-re mindenkinek szüksége van, aki használni szeretné az Active Directory-t,
mert annak mélyén is a DNS bújik meg- a kettő elválaszthatatlan egymástól. A WINS elavult,
legalábbis ami a tisztán Windows rendszerű, az Active Directory-t használó hálózatokat illeti,
ahol minden számítógépen Windows 2000 vagy késóbbi Windows-változat és a DNS-sel együtt
működni képes alkalmazások futnak.
Ebben a fejezetben a DNS alapjait - a felépítését, illetve az általa támogatott és megkövetelt kü
lönféle adattípusokat - tárgyaljuk, majd telepítünk és beállítunk egy Windows DNS kiszolgálót,
és megmutatjuk, hogyan bírhatjuk együttműködésre az Active Directory-val.
Építőkockák
Nézzük végig a DNS alapvető épító'kockáit, mielőtt a bonyolultabb eljárásokkal foglalkoznánk!
Először rövid bevezetést nyújtunk a DNS működésébe, majd a rendszer minden részét megvizs
gáljuk közelebbről is, részletes magyarázatokkal és példákkal. Az összefoglalást tekintsük úgy,
mintha egyeztetnénk, hogy mi az, amit tudnunk kell, mielőtt a technikai részletekbe merülnénk.
A DNS fő feladata a névfeloldási szolgáltatások biztosítása, vagyis a felhasználóbarát szöveges

számítógépnevek (állomásnevek) megfeleltetése a hozzájuk tartozó IP címeknek A DNS
a névfeloldás de facta szabványa az Interneten, illetve az adatátviteli protokollként a TCP/IP-t
használó más modern hálózatokban. A DNS alapját a tartományok jelentik, amelyek valójában
csak szöveges nevek, amelyek számítógépek logikai csoportjaira utalnak. A tartományok között
vannak legfelső szintű tartományok (TLD, top-level domain), amelyek némelyike már ismerős
-·;1 Windows Server 2008
lehet a számunkra: ilyen a .COM, a .NET, az .ORG, illetve az ehhez hasonlók. Léteznek másod
szintű tartományok, amelyek szűkebb körűek, és általában a név.tld formát öltik. A szerző
tartománya például a jonathanhassell.com, az O'Reilly kiadóé az oreilly.com, a CNN-é pedig
a cnn.com.
Politikai szinten létezik egy szervezet, amelyet ICANN-nek (Internet Consortium of Assigned
Names and Numbers) hívnak, és a legfelső szintű tartományokat felügyeli. Ők vigyáznak arra,
hogy ne legyen teljes a kavarodás, ha több ezernyi felső szintű tartományt határoznának meg.
A magánszemélyek és az üzleti felhasználók másodszintű tartományneveket (például
hasselltech.net) jegyeztethetnek be a legfelső szintű tartományok alatt.
A DNS a neveket zónák alapján oldja fel. A zónák tárolják a számítógépek, szolgáltatások és
IP címek adatait számítógépek egy adott csoportjára vonatkozóan. A zónák általában DNS-tarto
mányoknak felelnek meg, de ennek nem feltétlenül kell így lennie. Egy zónában az a DNS ki
szolgáló vagy azok a DNS kiszolgálók számítanak irányadónak, amelyek a zónafájl (ez a fájl
tartalmazza az összes információt a számítógépekről, szolgáltatásokról és címekről) olvasható és
írható másolatát tárolják. Ahhoz, hogy a DNS működjön, zónánként legalább egy irányadó
kiszolgálóval kell rendelkeznünk A zónán belül minden más DNS-kiszolgáló másodiagos
kiszolgálónak számít, ami azt jelenti, hogy ezek a kiszolgálók a DNS-zónafájlból csak olvasható
példányt tárolnak
A zónáknak két típusa van: az előre haladó keresési zónák, amelyek a számítógépneveket
IP címekké oldják fel, valamint a fordított keresési zónák, amelyek ennek az ellenkezőjét teszik,
és az IP címeket alakítják át számítógépnevekké. A fordított keresési zónák egy különleges
legfelső szintű tartomány alá tartoznak, amelynek a neve in-addr.arpa, és amelyet a hétköznapi
felhasznáJók és ügyfelek soha nem látnak a mindennapi munka során.
Most pedig vizsgáljuk meg közelebbről a DNS-nek ezeket az elemeit!
Zónák vagy tartományok?

Ahogy az előző részből megtudhattuk, a DNS-tartományok a legegyszerúob formájukban
másodszintű nevek, amelyek után egy az ICANN által jóváhagyott legfelső szintű tartomány
neve áll (például hasselltech.net). A DNS szóhasználatában a zóna számítógépek és címek egy
olyan csoportját jelenti, amelyeket egy adott névkiszolgáló felügyel. A zónáknak nem feltétlenül
kell megfelelniük DNS-tartományoknak, ami azt jelenti, hogy a szerző hasselltech.net tartomá
nyában több DNS-zóna is lehet. Lehet például egy zóna a sales.hasselltech.net, egy másik
a billing.hasselltech.net és egy harmadik a hosting.hasselltech.net számára, amelyek mind
egyikét a saját névkiszolgálója felügyeli, de mindegyik a hasselltech. net tartomány hatáskörébe
tartozik.
De mi szükségünk lehet több DNS-zónára egyetlen DNS-tartományon belül? Nos, erre gyakran
azért van szükség, hogy átruházhassuk a felügyeleti feladatokat. Ha a cégünk hálózata az egész
országra kiterjed, és minden fiókirodában dolgozik egy-egy rendszergazda, valószínűleg a helyi
rendszergazdák a legalkalmasabbak arra, hogy a saját irodájuk DNS-beállításait kezeljék, hiszen
ők dolgoznak az irodai számítógépekkel, nem pedig a központ rendszergazdája. Ezért a központ
4. fejezet • A tartománynévrendszer Itillllill
névkiszolgálóját úgy állítják be, hogy a kiszolgálóknak és a központi iroda számítógépeinek
a neveit és címeit tárolja, míg a helyi irodák számítógépeinek zónáját a fiókirodák névkiszolgálói
szalgálják ki. Ebben a felépítésben, ha egy számítógép egy fiókirodához kapcsolódó IP címhez
kér egy nevet a kiszolgálójától, a központi iroda névkiszolgálója a kérelmező állomást annak
a fiókirodának a névkiszolgálójához irányítja, amelyik az adott zóna neveit és címeit tárolja: ezt
a folyamatot hívják a névfeloldás más kiszolgálókra való átruházásának. Ezenkívül a fiókiroda
kiszolgálója az adott zóna irányadó kiszolgálója, ami azt jelenti, hogy ez a kiszolgáló tárolja
a zónában található számítógépek érvényes név-cím megfeleltetéseit
A tartományok természetesen nem korlátozódnak csupán egy másodszintű névre meg egy
ICANN-megfelelő kiterjesztésre. A neveknek több szintje is lehet: a customers.extranet.
microsoft.com például érvényes név, akárcsak a payjon.corp.hasselltech.net. Ahogy előre hala
dunk a fejezetben, látni fogunk olyan helyzeteket, amikor egy hosszabb, bővebb tartománynév
·
a megfelelő.
Zónafájlok
A zónainformációk zónafájlokban tárolódnak, amelyek alapértelmezés szerint szöveges ASCII
fájlok a %SystemRoot%\system32\dns könyvtárban. A zónafájlok neve a <tartomány>.dns formát
követi (például hasselltech.net.dns) Ezek az ASCII fájlok tárolják az előre haladó és fordított
keresési zónákban található különböző típusú információkat (a két zónafajtáról hamarosan szót
ejtünk).
A DNS a zónainformációkat az Active Directory-ban is képes tárolni (alkalmazás-lemezrészként);

ezzel a lehetőséggel a fejezetben később részletesebben is foglalkozunk. Egyelőre úgy folytatjuk,
hogy feltételezzük, hogy a zónafájlok ASCII formátumban tárolódnak.
Előre haladó és fordított keresési zónák

A DNS a neveket IP címekké alakító előre haladó keresést és az IP címeket nevekké alakító
fordított keresést is kezeli. Az előbbi esetében az adatok egy előre haladó keresési zónában
tárolódnak, de létezik olyasmi is, hogy fordított keresési zóna, amely pontosan az ellenkezőjét
teszi annak, mint az előre haladó keresési zóna: egy adott hálózati tartomány összes számító
gépét tartja számon. A fordított keresési zónák nevét elég furcsa módon építhetjük fel. A legegy
szerúob módszer, ha megnézzük a számunkra kiosztott IP-címtartományt, elvetjük az utolsó
pont utáni részt, amely a mi hatáskörünkbe tartozó számokat tartalmazza, megfordítjuk a többi
ponttal elválasztott rész sorrendjét, majd hozzáadjuk az . in-addr.arpa végződést.
Ha az IP címünk például 64.246.42.130, akkor a hozzá tartozó fordított keresési zóna neve
42.246.64.in-addr.arpa lesz.
A fordított keresési zónák attól függően némileg másképp épülnek fel, hogy A, B vagy C osztá
lyú IP címmel rendelkezünk. A fordított keresési zónák nevét az egyes címosztályoknak megfe
lelően előállító módszereket a 4.1. táblázat mutatja.
-·!1 Windows Server 2008
4.1. táblázat A fordított keresési zónák nevének előállítása
Címosztály A kapott zónanév és a zónanév előállítási módja

A osztály (12. O. O. O l 8) 12. in-addr. arpa
Csak az első negyed adott, ezért csak annak kell a fordított
keresési zónában lennie.
B osztály (152 .100. O. 0/16) 100.152. in-addr .arpa

Mivel itt csak két ponttal elválasztott negyed szerepel,
csak kettőt kell jeleznünk a fordított keresési zónában.
C osztály (209 .197.152.0/24) 152.197.209. in-addr. arpa

Az IP-címtartományban beállított minden ponttal elválasztott
negyednek szerepelnie kell a fordított keresési zóna
nevében.
A gyakorlatban igen valószínű, hogy a nyilvánosan elérhető DNS-kiszolgálóinkon nincs szükség

fordított keresési zónára, és ugyanilyen valószínű az is, hogy a rendszer technikailag meg is
akadályozza, hogy létrehozzunk egyet. (Ahogy hamarosan láthatjuk, a belső DNS-kiszolgálókra
ez nem vonatkozik.) Az előre haladó keresési zónák állomásnevekkel és DNS-tartománynevek
kel dolgoznak, amelyek a mi hatáskörünkbe tartoznak, mivel mi vásároljuk meg azokat egy
hiteles forrásból, a fordított keresési zónákat azonban főleg az IP címek és azok tulajdonosai
érdeklik, amelyek felett viszont mi nem rendelkezünk befolyássaL Hacsak nem lépünk kapcso
latba az lANA-val (Internet Assigned Names Authority, internetes névkiosztá hatóság) és szer
zünk be tőlük egy IP-címtömböt, a címek tulajdonosa valószínűleg az internetszolgáltatónk lesz,
ezért az ő feladata a fordított keresési zónák fenntartása.
Valójában kevés dolog teszi indokolttá, hogy magunk felügyeljük a saját fordított keresési
zónánkat. Először is -és ez a legfontosabb -, egyes levélkiszolgálók nem hajlandóak
az Interneten keresztül leveleket váltani a kiszolgálóinkkal, ha a fordított keresés azt fedi fel, hogy
az internetszolgáltatókra jellemző dinamikusarr kiosztott IP címeket használnak. Ez valóban gon
dot jelenthet, de az internetszolgáltatónk többnyire segíthet a kérdés megoldásában. Másodszor,
attól függően, hogy miként kapcsolódunk az Internethez, az nslookup parancs csúnya (bár ártal
matlan) hibaüzenetet adhat, miszerint nem talál a jelenlegi IP címünkhöz tartozó kiszolgálónevet
Bár ez az üzenet idegesítő, valójában csak annyit mond, hogy az adott számítógéphez nincs
beállítva megfelelő fordított keresési zóna. Ezért ha az Active Directory telepítése után kiadjuk
az nslookup parancsot, hogy ellenőrizzük, hogy minden rendben van-e, és eredmény helyett
ezt kapjuk, annak valószínűleg az az oka, hogy még nem állítottunk be fordított keresési zónát.
Erőforrás-bejegyzések
A DNS-zónák különféle bejegyzéseket (rekordokat) tartalmaznak, amelyeket erőforrás-bejegyzé
seknek (erőforrásrekordoknak) hívnak. Az erőforrás-bejegyzések jelentik a DNS-zónák lelkét:
információt adnak a számítógépnevekről, az IP címekről, és egyes esetekben az egyes számító
gépek által kínált szolgáltatásokról is. A bejegyzéseknek különböző osztályai léteznek, amelyek
közül a legfontosabbakat most részletesebben is megnézzük.
4. fejezet • A tartománynévrendszer li-
Állomás-bejegyzések (,.A" bejegyzések)
Az állomás-bejegyzések vagy más néven "A" bejegyzések (host record, A record) egyszerűen
egy állomásnevet párosítanak egy IP címmel. Általában a hálózatunk minden számítógépéhez
létrehozunk egy-egy állomás-bejegyzést.
A zónafájlban az "A" bejegyzések valahogy így néznek ki:
colossus A 192.168.0.10
Az állomás-bejegyzések révén valósíthatjuk meg a DNS-forgatás (round-robin DNS) néven ismert

terheléselosztó megoldást. A DNS-forgatás során több "A" bejegyzést adunk meg ugyanazzal
az állomásnévvel, de különböző IP címekkel, amelyek más-más számítógépnek felelnek meg.
Így amikor a számítógépek egy adott állomásnévvel egy névkiszolgálóhoz fordulnak, egyenlő
eséllyel kaphatják meg bármelyik "A" bejegyzéssei rendelkező számítógép címét. Például ha van
egy webhelyünk a www.hasselltech.netcímen, és három webkiszolgálónk a 192.168.0.50,
192.168.0.51 és 192.168.0.52 címeken, megadhatunk három "A" bejegyzést, amelyek neve
egyaránt "www", de a hozzájuk rendelt IP címek a fentiek szerint különböznek, így amikor egy
ügyfélgép a névkiszolgálóhoz kapcsolódik, és a www .hasselltech.netiP címét kéri, 33% eséllyel
kaphatja a 192.168.0.50, a 192.168.0.51 és a 192.168.0.52 címet is a webkiszolgáló címeként.
Ez a szegény ember terheléselosztó rendszere.
a webkiszolgálóval próbálnak kapcsolatot teremteni, amelyiknek megkapták a címét az elsőnévfelol

dásnál. Az ügyfeleken a DNS-gyorstár elévülési ideje alapértelmezés szarint 86 400 másodperc (egy
nap). Ha ezt az értéket az ügyfélen egy másodpercre változtatjuk, jobb az esélyünk elérni a kiszolgálót.
Az értéket a rendszerleíró adatbázis (új nevén: beállításjegyzék) következőku/csában módosíthatjuk:
HKEY_LOCAL_MACH/NE\SYSTEM\CurrentContro!Set\Services\Dnscache\Parameters
Itt változtassuk a MaxCacheEntryTt lL im i t értékét a kívánt szám ú másodpercre.
Ha a webhelyeket tároló számítógépek különböző alhálózatok tagjai, a DNS rendszer a DNS

forgatási bejegyzéshalmazból képes visszaadni a "legjobb" címet, vagyis azt, amelyik a legköze
lebb esik a kérelmet kiadó ügyfélhez. Ez a szolgáltatás alapértelmezés szerint be van kapcsolva.
Például ha van egy "A" bejegyzésünk a www.hasselltech.netszámára a 192.168.0.51 IP címmel,
és egy másik ugyanezzel az állomásnévvel, de a 10.0.0.25 IP címmel, a 10.0.0.0 alhálózaton
található ügyfélgép válaszként a 10.0.0.25 "A " bejegyzést fogja kapni, míg az az ügyfél, amelyik
a 192.168.0.0 alhálózatnak a tagja, a 192.168.0.51 bejegyzést.
A DNS-forgatásos terheléselosztásnak többek között a következő előnyei vannak:
• Megfelelő az ár- minden névkiszolgáló ingyen nyújtja a szolgáltatást.

• Kevésbé bonyolult, mint más, szabadalmaztatott terheléselosztási megoldások.
• A terheléselosztó rendszer könnyen karbantartható. A zónafájlba egyszerűen felvehetünk
"
"A bejegyzéseket minden újonnan üzembe állított számítógép számára, illetve ugyanilyen
egyszerűen törölhetjük onnan a már nem üzemelő állomások bejegyzéseit
-·1:1 Windows Server 2008
Lássunk a hátrányok közül is néhányat:
• Kevésbé bonyolult, mint más, szabadalmaztatott terheléselosztási megoldások. Igen, ez

egyszerre előny és hátrány, mivel egy egyszerúbb rendszer egyben kevésbé rugalmas is.
• Amennyiben valamelyik webkiszolgáló kiesik, a DNS nem fog tudni róla, és az IP címét
továbbra is hozzáférhetővé teszi, függetlenül attól, hogy a kiszolgáló elérhető-e.
• Nem veszi figyelembe az egyes rendszerek képességeit és határait: a terhelést több-kevésbé
egyenlően osztja el, függetlenül attól, hogy egyes számítógépekben Pentium II, más gépek
ben pedig Pentium IV Xeon egység végzi-e a feldolgozást.
Kanonikusnév-bejegyzések (C NAME-bejegyzések)
A CNAME- vagy kanonikusnév-bejegyzések révén egyetlen IP címhez több állomásnevet
rendelhetünk, tehát egy adott IP címen levő számítógépre különböző számítógépneveken hivat
kozhatunk A www.hasselltech.net, Jtp.hasselltech.net és mail.hasselltech.net így rnind elérhető
lehet egyetlen IP címen, a 192.168.1.2-n. A CNAME-bejegyzések tehát lényegében álnevekként
működnek.
Mindazonáltal ezeknek a bejegyzéseknek van egy hátrányuk: több azonos kanonikus név nem
lehet, tehát ha van egy bejegyzésünk a www-secure.hasselltech.net-hez a 192.168.1.2 címmel,
nem lehet egy másik CNAME-bejegyzésünk www-secure.hasselltech.net névvel, de másik
IP címmel. A CNAME-bejegyzések csak több név egyetlen IP címhez rendelését, nem pedig
több IP cím egyetlen névhez társítását teszik lehetővé. Ezenkívül megjegyzendő, hogy ezek
a nevek zónafüggőek, nem pedig kiszolgálófüggőek.
A Windows a CNAME-bejegyzésekre néha álnévként (alias) hivatkozik, keverve

MM®Q!&jd a műszaki és a hétköznapi kifejezéseket, ami némi zavart okozhat.
A zónafájlokban a CNAME-bejegyzések ilyen formájúak lehetnek:
ftp CNAME colossus.hasselltech.net
Levélkiszolgáló-bejegyzések ( MX-bejegyzések)
A levélkiszolgáló-bejegyzések (Maii exchanger, röviden MX-bejegyzések) egy adott zóna vagy
tartomány levélkiszolgálóját vagy levélkiszolgálóit azonosítják, és egyszerűen arra utasítják
a csatlakozó számítógépeket, hogy az adott tartományba tartó összes levelet egy adott számító
gépnek küldjék el, amelyet kijelöltek az internetes levelezés lebonyolítására.
A gyakorlatban egy DNS-zónához több MX-bejegyzés tartozhat, amelyek rnindegyike egy el
sőbbségi számot kap, ami jelzi, hogy a levelet küldő gépnek milyen sorrendben kell próbálkoz
nia az internetes levélkiszolgálókkaL Minél alacsonyabb ez a szám, annál előrébb kerül az adott
kiszolgáló a listában. Tegyük fel például, hogy a következő MX-bejegyzésekkel rendelkezünk:
• Hasseltech.net, MX-elsőbbség 10, mail.hasseltech.net

• Hasseltech.net, MX-elsőbbség 100, queue.perigee.net
Ez a kapcsolódó számítógépeket arra utasítja, hogy a hasselltech.net-nek szánt internetes elektro

nikus leveleket az alacsonyabb számmal (10) rendelkező mail.hasselltech.net számítógépre küld
jék, illetve ha az nem válaszol, próbálkozzanak az elsőnél hátrább sorolt (100) queue.perigee.net
géppel. Az MX-elsőbbségi számok némi védelmet nyújtanak, ha a cégünk levélkiszolgálója
akadozó vagy ideiglenes kapcsolaton keresztül érhető csak el.
MM®Q!fdN Ha két MX-bejegyzést adunk meg ugyanazzal az elsőbbségi számmal, a terhelés

nagyjából egyenlően oszlik meg a két számítógép között, igen hasonlóan a több
"A" bejegyzést használó forgatásos DNS-terheléselosztáshoz.
Az MX-bejegyzések formája a zónafájlokban így fest:
@ MX 10 mai1.hasse11tech.net
@ MX 100 queue.perigee.net
Névkiszolgáló-bejegyzések ( NS-bejegyzések)
A névkiszolgáló-bejegyzések (nameserver, röviden NS-bejegyzések) azokat a névkiszolgálókat ha
tározzák meg, amelyek egy adott tartomány kérelmeire válaszolnak, valamint más zónákra ruház
zák át a különböző altartományok névfeloldási feladatait. Beállíthatunk például egy NS-bejegyzést
a "sales" altartomány számára úgy, hogy a névfeloldási feladatokat az adott zónát kezelő
salesns.hasselltech.net számítógépnek adja át, vagy egy másik NS-bejegyzést a billing"
"
altartomány számára, amely a feladatokat a billing-dns.hasselltech.net számítógépre ruházza át.
Az NS-bejegyzések formája a zónafájlokban a következő:
@ NS co1ossus.hasse11tech.net.
@ NS ns2.hasse11tech.net.
Elsődlegesirányadó-bejegyzések (SOA-bejegyzések)
Egy zóna elsődlegesirányadó-bejegyzése (start of authority, röviden SOA-bejegyzése) azokat
az elsődleges névkiszolgálókat határozza meg, amelyek az adott zónában irányadóak, illetve
megadja a zóna elsődleges rendszergazdájának elérési adatait. Ezen kívül azt is szabályozza,
hogy egy nem irányadó névkiszolgáló rnilyen hosszú ideig tarthatja meg a kinyert információt
a saját gyorstárában, mielőtt ismét ellenőriztetnie kellene az adatokat az irányadó kiszolgálóvaL
Az SOA-bejegyzésekkel kapcsolatban három időköz jelentésével kell tisztában lennünk:
Frissítési időköz
A frissítési időköz azt adja meg a másodiagos névkiszolgálóknak, hogy mennyi ideig
tarthatnak másolatot az elsődleges névkiszolgáló zónáiról, mielőtt a zóna frissítését kell
kérniük.
Újr a próbálkozási időköz
Az újrapróbálkozási időköz azt adja meg, hogy a másodiagos névkiszolgálónak mennyi
ideig kell várnia, mielőtt újra megkísérelhet kapcsolatba lépni az elsődleges névkiszol
gálóval, ha a zónák frissítése a frissítési időköz letelte után nem sikerült
-Ulti Windows Server 2008
Minimális (alapértelmezett) élettartam
Ez az érték azt jelzi a többi névkiszolgálónak, hogy mennyi ideig használhatják a korábban
az irányadó névkiszolgálótól megszerzett információkat, rnielőtt ismét hozzá kellene fordul
niuk frissebb adatokért. Az alapértelmezés 60 perc. Tn-értéket (time to live, élettartam)
az egyes bejegyzésekhez külön is megadhatunk, amely felülbírálja a zóna alapértelmezett
rninimumbeállítását.
Az SOA-bejegyzések formája a zónafájlokban a következő:
@ IN SOA colossus.hasselltech.net. admin.hasselltech.net.

200509171203; serial number
100; refresh
50; retry
86400 ; expire
3600 ) ; default TTL
Mutatóbejegyzések ( PTR-bejegyzések)
A mutatóbejegyzések (pointer, PTR) hasonlóan működnek, rnint az ,,A" bejegyzések, csak éppen
fordítva: állomásneveket rendelnek IP címekhez a fordított keresési zónákban.
A PTR-bejegyzések formája a zónafájlokban a következő:
6l.l30.98.66.in-addr.arpa. IN PTR alpha.enablehosting.com
Szolgáltatás-bejegyzések (SAV-bejegyzések)
A szolgáltatás-bejegyzések (service, SRV) egy adott zóna vagy tartomány szolgáltatásainak körét
és elérhetőségét jelzik. Összegyűjtik a zóna adott kapuin keresztül hozzáférhető protokollokat
és szolgáltatásokat, egyfajta Yellow Pages"-t hozva létre a kapcsolódó számítógép számára,
"
amelyben azok megkereshetik az egyes kérelemtípusokat a zónában kezelő számítógépeket
Az MX-bejegyzésekhez hasonlóan az SRV-bejegyzésekhez is tartozik egy elsóbbségi szám,
amelynek a segítségével egyszerű terheléselosztást és hibaillrést is megvalósíthatunk. Az SRV
bejegyzések némileg több magyarázatot igényelnek, mert fontos szerepet játszanak az Actíve
Directory-ban. A zónafájlok SRV-bejegyzései így festenek:
_kerberos._tcp._sites.dc._msdcs 600 SRV 100 88 colossus.hasselltech.net.
A bejegyzés bal szélső eleme a szolgáltatás (esetünkben ez a Kerberos), a _tcp pedig arra utal,
hogy a szolgáltatás a TCP vagy az UDP átviteli protokollon keresztül működik-e. A bejegyzés jobb
szélső eleme (itt a colossus. hassell t ech. ne t) azonosítja azt a számítógépet, amelyik a be
jegyzésben megnevezett szolgáltatásra irányuló kérelmeket figyeli. A bejegyzés közepén az első
szám (600) a bejegyzés élettartamát jelöli másodpercben, a jobb szélső szám (88) pedig annak
a kapunak a számát, amelyet a szolgáltatás figyel. Végül, a 100 a bejegyzés elsőbbségi száma, ami
pontosan úgy mú1<ödik, rnint a korábban bemutatott MX-bejegyzések elsóbbségi számai.
Miért létfontosságúak az SRV-bejegyzések az Actíve Directory számára? Nos, azért, mert ezek
jelzik, hogy az Actíve Directory egyes szolgáltatásait a tartomány mely gépei futtatják Az Actíve
Directory valójában csak négy szolgáltatás közzétételét vizsgálja az SRV-bejegyzésekben:
4. tejezet • A tartománynévrendszer IUl-
kerberos
Ez a szolgáltatás a felhasználók és számítógépek hitelesítését végzi KDC (Kerberos Key
Distribution Center, Kerberos kulcselosztó központ) kiszolgálók segítségéveL
_kpasswd
Ez a szolgáltatás a Kerberos-jelszavak biztonságos kicserélését teszi lehetővé.
_ldap
Ez a szolgáltatás a Lightweight Directory Access Protocol (könnyűsúlyú címtárelérési
protokoll) révén arra szolgál, hogy külső prograrnak kommunikálhassanak és adatokat
cserélhessenek az Active Directory-val.
_gc
Ez a szolgáltatás a globális katalógus (Global Catalog), amely az adott Active Directory
erdóben található összes objektum jellemzőinek részhalmazát tárolja.
Elsődleges és másodlagos névkiszolgálók használata

A DNS beépített tartalékrendszert alkalmaz, mivel egy adott tartomány vagy zóna számára több el
sődleges és másodlagos névkiszolgálót is megadhatunk. A zónafájlból minden kiszolgáló - legyen
az elsődleges vagy másodiagos - tárol egy-egy másolatot, és annak tartalmához igazítja a működé
sét. A másodlagos névkiszolgálók az elsődleges névkiszolgálókkal megegyezően mindenféle
szerkezeti korlátozás nélkül válaszolhatnak a kérelmekre, viszont rendszeresen kérniük kell a zó
na frissítését az elsődleges névkiszolgálótól, hogy a bejegyzéseik mindig érvényesek maradjanak.
Az egyes zónáknak csak egyetlen elsődleges, de tetszőleges számú másodiagos névkiszolgálója
lehet. A zónát érintő minden változtatás, törlés és más módosítás az elsődleges névkiszolgálón
történik, míg a másodlagosként kijelölt névkiszolgálók csak olvasható másolatot tartanak fenn
a zónatartalomról, tehát a másodlagos névkiszolgálókan a zónák nem módosíthatók közvetlenül.
A másodlagos névkiszolgáló automatikusan, a zóna SOA-bejegyzéseinek vizsgálatával határozza
meg a zóna elsődleges névkiszolgálóját, és rendszeresen kapcsolatba lép azzal, hogy kikénysze
rítse a zónafájl frissítését.
A másod/agos névkiszolgálók nem csak az elsődleges névkiszolgálótól fogadhatnak

Megjegyzés
zónafrissítést hanem más másod/agos névkiszolgálóktól is.
A zónafrissítés kikényszerítésére több módszer is létezik. Az egyik, hogy az összes másodlagos

névkiszolgáló frissítést kér az elsődleges névkiszolgálótóL Az ilyen frissítés általában nem közzé
tevő (push), hanem lekérő (pull) típusú, tehát a számítógépek egy adott gépről szerzik meg
a zónákat, ugyanakkor ha újraindítjuk egy zóna másodlagosként azonosított névkiszolgálóját
vagy annak DNS szolgáltatását, az önműködően frissítést kér a bejegyzett elsődleges kiszolgáló
tól. Ezen kívül úgy is kikényszeríthetünk zónafrissítést, ha a másodiagos névkiszolgálón egysze
rűen a zónára kattintunk az egér jobb gombjával a DNS-kezelő (DNS Management) beépülő
modulban, és a Transfer from Master vagy a Reload from Master (letöltés vagy újratöltés a mes
terről) lehetőséget választjuk az első csak a változásokat tölti le, míg a második a teljes zónafájlt
-lefl Windows Server 2008
A frissírést az adott zóna lejárati időpontja és frissítési időköze, illetve közvetetten az újrapróbálko
zási időköze is kiváltja. A másodiagos névkiszolgáló a frissítési időköz által jelzett idő leteltével
frissítést kér az elsődleges kiszolgálótól: ez alapértelmezés szerint általában 15 perc, de a hálóza
tunk forgalmától és az igényeinktől függően ezt szükséges lehet megváltoztatni. Amennyiben
a zóna SOA-bejegyzésének sorozatszáma (serial number) magasabb az elsődleges névkiszolgálón,
mint a másodlagoson, a frissítés átvitelére sor kerül. Ha azonban a másodiagos névkiszolgáló nem
tud kapcsolatot teremteni az elsődleges névkiszolgálóval a frissítési időköz leteltekor, a másodia
gos névkiszolgáló az újrapróbálkozási időközben megadott ideig várakozik, majd ismét próbálko
zik. Ha a bejegyzésben megjelölt lejárati időn belül minden kísérlet sikertelennek bizonyul,
a másodiagos névkiszolgáló egyszerűen nem válaszol többé a DNS-kérelmekre, hogy ne kelljen
pontatlan és elévült információkat szolgáltatnia az ügyfeleknek
Teljes és fokozatos zónafrissítés

A DNS viszonylag új szabványleírása, az RFC 1995, már a fokozatos zónafrissírést (röviden IXFR,
incremental zone transfer) is megengedi, amivel az egyik legnagyobb akadályt gördíti el a DNS
kezelésének útjából. Korábban, ha egy zóna frissítésére volt szükség, a DNS nem tudta elkülöní
teni az elsődleges névkiszolgálón végrehajtott változtatásokat, ezért ha csak egy sor változott
meg egy 6000 soros zónafájlban, a másodiagos névkiszolgálóknak akkor is a teljes zónafájlt le
kellett tölteniük ezt a folyamatot hívjuk teljes zónafrissítésnek (AXFR, full zone transfer). Ha csak
egy másodiagos névkiszolgálónk volt, ez nem okozott különösebb gondot, de az olyan hálóza
tokban, ahol különböző földrajzi helyeken másodiagos névkiszolgálók tucatjait vagy százait
üzemeltették, igen komoly fejfájást jelentett. Az RFC 1995-nek köszönhetően azonban a névki
szolgálók most már képesek észlelni a különbséget két zónafájl között, így csak a megváltozott
információkat kell letölteniük, ami sávszélességet, átviteli időt és CPU-teljesítményt takarít meg.
Névkiszolgálók felépítése
Ebben a részben lépésről lépésre ténylegesen is felépítünk egy névkiszolgálót, majd a fejezet
hátralevő részében kibővítjük a szolgáltatásait, hogy felkészítsük az Actíve Directory-val való
együttműködésre.
A névkiszolgálóknak állandó internetkapcsolattal és nem módosuló IP címmel kell rendelkezni

ük, amelyet vagy statikusan magán a kiszolgálón állítunk be, vagy DHCP-foglaláson keresztül
szerzünk meg. A névkiszolgálóként beállítani kívánt számítógépnek nem kell különösebben
erősnek lennie: egy gyors Pentium III-as gép mintegy 512 MB RAM-mal több mint elegendő.
MMf'l@f'dd A következő példákban a kitalált hasselltech.net tartománynevet fogjuk használni,

a szintén nem létező "colossus" gépnévvel és a 792.768.0.5 IP címmel. Ezeket
természetesen tetszés szerint lecserélhetjük, ahogy követjük a lépéseket a saját gépünkön.
Az első lépés a névkiszolgáló szaftver telepítése a Windows Server 2008-at futtató számítógé
pünkre. Ehhez kövessük az alábbi lépéseket:
1. Indítsuk el a Server Managert (Kiszolgálókezelő).

2. A bal oldali ablaktáblában kattintsunk a Roles (Szerepkörök) elemre, majd a jobb oldali
ablaktáblában az Add (Hozzáadás) lehetőségre.
4. fejezet • A tartománynévrendszer luf-
3. Az Add Roles Wizardban (Szerepkörök hozzaádása varázsló) kattintsunk a Next (Tovább)
gombra.
4. Keressük meg a DNS Server (DNS-kiszolgáló) elemet a listában, jelöljük be a hozzá
tartozó jelölőnégyzetet, majd lépjünk tovább.
5. Lépjünk tovább az Introduction to DNS Server bevezető képernyőről is.
6. Kattintsunk az Install gombra, várjuk meg, amíg a művelet befejeződik, majd zárjuk be
az Add Server Roles ablakot.
IMjtil(il!@M Ha a számítógépünket úgy állítottuk be, hogy DHCP-n keresztül kapjon IP címet.
a DNS-kiszolgálói szerepkör telepítő/e élénken tiltakozni fog, hogy a DNS-t nem arra
tervezték, hogy dinamikusan kiosztott IP címen működjön. A példa kedvéért vegyük tudomásul
a figyelmeztetést, és folytassuk a műveletet. Ahogy korábban említettük, gondoskodnunk kell róla,
hogy a nem tesztkörnyezetben. hanem élesben üzemelő névkiszolgálóknak állandó IP címe legyen.
Következő lépésként az új névkiszolgálónkat úgy kell beállítanunk, hogy a nevek feloldása

céljából saját magához forduljon, hogy amikor teszteket futtatunk, ne az ·internetszolgáltatónk
névkiszolgálóit használja. Valójában a legtöbb névkiszolgáló önmagára, és nem más névkiszol
gálókra mutat, amikor névfeloldást végez. Azt javaslom, hogy ezt a parancssoron keresztül állít
suk be a netsh parancs segítségéve!, valahogy így:
netsh int ip set dns "Helyi kapcsolat" static 192.168. O. 5 primary
A Helyi kapcsolat helyére azt a nevet írhatjuk, amelyet a hálózati kapcsolat tulajdonságai
között találunk, a 192.168.0.5 helyére pedig a helyi névkiszolgáló IP címét kell írnunk.
A névfeloldáshoz használt névkiszolgálókat természetesen a Windows grafikus felületén is
megadhatjuk, mégpedig a következő lépéseket követve:
1. A Control Panelen kattintsunk duplán a Network Connections elemre.

2. A Network Connections párbeszédablakban kattintsunk az egér jobb gombjával a hálózati
kapcsolatunk nevére, és a megjelenő helyi menüből válasszuk a Properties pontot.
3. V áltsunk a General lapra, majd válasszuk az Internet Protocol (TCP/IP) lehetőséget.
4. Kattintsunk a Properties gombra.
5. Jelöljük be a Use the follawing DNS server address választógombot, majd írjuk be
a névkiszolgáló IP címét a megfelelő mezóbe.
Most, hogy a DNS-kiszolgáló szoftverét telepítettük, el kell indítanunk a DNS szolgáltatást. Ehhez
válasszuk a Start menüből az Administrative Tools, DNS elemet, amely a DNS Management
beépülő modult jeleníti meg, amelyet a 4.1. ábrán láthatunk (kivéve, hogy a mi gépünkön nem
fogjuk látni az ábrán szereplő összes előre haladó keresési zónát).
A DNS-t a fejezetben késóbb saját kezűleg fogjuk beállítani, ezért hagyjuk figyelmen kívül
az üzenetet, amely a Configure Your DNS Server Wizard használatát javasolja. Jelenleg egy mű
ködőképes névkiszolgálóval rendelkezünk, amely "csak gyorstárazó" szolgáltatást nyújt, vagyis
nem tárol semmilyen rá nézve egyedi DNS-információt, viszont tudja, hogyan kell kapcsolatba
-"'' Windows Server 2008
lépni az ICANN (az Interneten a DNS felügyelője) 13 gyökérkiszolgálójával az internetcímek
feloldása érdekében. A Windows Server 2008 DNS-programja alapállapotban képes erre; ehhez
nekünk semmilyen beállítást nem kell megadnunk.
J_msd<s.hasselte<h.local 7 record(s)
8- � mercury
Oc1c
.
i t.tHiillt Event Viewer
: éJ LJ Forward lookup Zones CJdomains
j \ r�l- �g'dc"M""IM' f'loc

EE-Cl domaóns E:lpdc
ElJ-0 QC @ (s.we as parent folder) Start of Authority (SOA) [30]1 merctJy.hasseDtech.lo.. ,
áCJ pdc � (some as parent folder) NameServer (NS) mercury.hasselltech.local.
8-� hasselltech.local @ 4ec40953-81ca-42ef-bBf5-dc... Ahas (CNAME) mercury.hasse!ltech.local.
�-6iJ _msdcs
e-LJ _sites
[il-0 _tcp
l !BEJ udp
j til-Cl ÖomainDnsZones 4.1. ábra
liJ. CJ
! . B:J CJ ForestDnsZones
Reverse Lookup Zones
ADNS
EE-9 SHOTS
Management
L beépü!ő modu/
A fokozatos zónafrissítés engedélyezése

A Windows Server 2008 DNS-összetevője megfelel az RFC 1995 szabványnak, tehát képes a fo
kozatos zónafrissítésre is (vagyis- a DNS szóhasználatával élve- az IXFR-re, amelyről koráb
ban beszéltünk), más olyan Windows Server 2003 vagy Windows Server 2008 rendszerű kiszol
gálókkal kapcsolatba lépve, amelyek támogatják ezt a szolgáltatást. Emellett az említett szab
ványt nem teljesítő névkiszolgálók, illetve nem Windows Server 2003 vagy Windows Server
2008 rendszerű számítógépek esetében természetesen a régi stílusú teljes zónafrissítést (AXFR)
is végre tudja hajtani. A Windows Server 2008-at semmiféle módon nem utasíthatjuk arra, hogy
rnindig, minden kiszolgálónak teljes zónafájlokat küldjön el, függetlenül attól, hogy azok meg
felelnek-e a szabványnak, arra azonban igen, hogy fokozatos frissítést hajtson végre minden
olyan kiszolgálón, amely ezt támogatja, akár Windows Server 2003-at vagy Windows Server
2008-at futtatnak, akár nem. Ennek módja a következő:
1. Nyissuk meg a DNS Management beépülő modult.

2. Kattintsunk az egér jobb gombjával a kiszolgálónk nevére, és a megjelenő helyi menüből
válasszuk a Properties pontot.
3. Váltsunk az Advanced lapra, és töröljük a jelet a BIND Secondaries (másodlagos BIND
kiszolgálók) feliratú jelölőnégyzetbőL
4. A befejezéshez kattintsunk az OK gombra.
Ezt követően a kiszolgáló minden olyan névkiszolgálón fokozatos zónafrissítést fog végrehajta
ni, amely ezt támogatja, nem csak azokon a gépeken, amelyek Windows Server 2003 vagy Win
dows Server 2008 rendszerűek
4. fejezet • A tartománynévrendszer l"f-
Előre haladó keresési zóna létrehozása
A kiszolgálón további beállításokat is végre kell hajtanunk; először is létre kell hoznunk egy
előre haladó keresési zónát. A DNS beépülő rnodulján belül bontsuk ki a kiszolgáló nevét a bal
oldali ablaktáblában, majd végezzük el a következő rnűveleteket:
1. Az egér jobb gombjával kattintsunk a Forward Lookup Zorres (előre haladó keresési zónák)
elemre, és válasszuk a New Zone rnenüpontot, amely a New Zone Wizardot indítja el.
2. Válasszuk a Prirnary Zone (elsődleges zóna) lehetőséget, majd kattintsunk a Next gornbra.
3. Íij uk be a zóna nevét (a példában a hasselltech.net nevet használjuk), majd lépjünk tovább.
4. Adjunk meg egy nevet az új zónafájl számára, amely ASCII formátumban tárolódik.
Az alapértelmezett név a tartományunk neve a DNSvégződéssei (tehát például
hasselltech.net.dns). A zónafájlok tárolási helye a %SystemRoot%\system32\dns. Ha ezzel
rnegvagyunk, lépjünk tovább.
5. A Dynarnic Update képernyőn engedélyezzük rnind a biztonságos, rnind a nem biztonsá
gos dinamikus frissítéseket (a dinamikus DNS-frissítésről egy kicsit később beszélünk),
majd lépjünk tovább.
6. A zóna létrehozását fejezzük be a Finish gombbal.
Ezzel a hasselltech.net zónát létrehoztuk
"A" bejegyzések megadása egy zóna számára

A DNS beépülő rnoduljában kattintsunk az egér jobb gombjával a bal oldali ablaktábla
hasselltech.net csomópontjára, és a megjelenő helyi rnenüből válasszuk a New Host (A) - új
állomás (A)- rnenüpontot. Ekkor a 4.2. ábrán látható New Host párbeszédablak jelenik meg.
!'jame (uses parent domain name t blank)'

p
r �reate associated poi1tef (PTR) record

r AIQw et:ry autherticated user to update DNS records with the
same ownername
AddJ:jost
4.2. ábra
"
Új A bejegyzés megadása
"
Írjuk be annak a számítógépnek a nevét, amelyikhez a bejegyzést készítjük, majd a gép IP círnét.
Miközben a gépnevet beírjuk, a teljesen rninősített tartománynév (FQDN, fully qualified dornain
name) úgy rnódosul, hogy a teljes, a tartományt is tartalmazó számítógépnevet rnutassa, hogy
ellenőrizhessük a beírtakat. Azt is rnegtehetjük, hogy bejelöljük a Create associated pointer (PTR)
record- társított rnutatóbejegyzés (PTR-bejegyzés) létrehozása - jelölőnégyzetet is, amely egy
PTR-bejegyzést helyez el a fordított keresési zónában, ha az létezik. (Ha még nem állítottunk be
ilyet, a program hibaüzenetet ad.) Ha készen vagyunk, kattintsunk az OK gornbra.
Windows Server 2008
A forgatásos terheléselosztás vezérlése

A forgatásos (round-robin) terheléselosztást a névkiszolgáló Advanced Properties ablakában
kapcsolhatjuk be vagy ki. Ezt az ablakot úgy hívhatjuk elő, hogy az egér jobb gombjával a névki
szolgáló nevére kattintunk a DNS Management beépülő modul bal oldali ablaktáblájában, majd
a megjelenő helyi menüből a Properties pontot választjuk A tulajdonságablak Advanced lapját
a 4.3. ábra mutatja.
mercury Propertles � th}
Name checking:
load zone data on startup:
C fnable automatic scavenging of stole records
st;avong:ngep!!J1lJJ lo
t-,-,.---..,...,
4.3. ábra
Ol(
A DNS-kiszolgáló speciá/is tula;donságai
A forgatásos terheléselosztás engedélyezéséhez jelöljük be a Server options mező Enable round

robin jelölőnégyzetét, ha pedig le szeretnénk tiltani ezt a lehetőséget, töröljük a jelet a négyzetbőL
IMf'ij!tfJW A DNS-forgatást kiszolgálónként nem pedig zónánként engedélyezhetjük.
Ezen kívül, ha ki szeretnénk kapcsoini az alhálózati maszk szerinti rendezést, töröljük a jelet
a Server options mező Enable netmask ordering Calhálózati maszk szerinti rendezés engedélye
zése) jelölőnégyzetéből, amelyet szintén a 4.3. ábrán látható Advanced Properties ablakban
találhatunk meg.
SOA-bejegyzések megadása és szerkesztése

Amikor új zónát hozunk létre a Windows Server 2008-ban, egy alapértelmezett SOA-bejegyzés jön
létre. Ennek módosításához kattintsunk duplán a DNS Management beépülő modulban a bejegy
zésre. A megjelenő ablak valahogy úgy fog festeni, mint a 4.4. ábrán. Az itt látható mezők jelenté
se a következő:
Serial number (sorozatszám)

A sorozatszám jelzi, hogy az SOA-bejegyzés megváltozott-e az utolsó frissítés óta egy
nem irányadó névkiszolgálón. Ha meg szeretnénk változtatni ezt a számot, kattintsunk
az Increment (növelés) gombra, mert a mező közvetlenül nem módosítható.
4. fejezet • A tartománynévrendszer luf-
:i.efialnumben
fö
Retry interyal:
Elg:Jiresafter:
� (defu) TTL:
lTl for this record: 10
4.4. ábra
ll! - {lpjl!Y Egy zóna SOA-bejegyzésének tulajdonságai
Primary server (elsődleges kiszolgáló)

Ebben a mez6ben adhatjuk meg a zóna els6dleges, irányadó névkiszolgálóját
Respansib/e person (felelős személy)
Ebben a mezóben az adott zóna beállításáért felel65' rendszergazdát adhatjuk meg. Az érték
valójában a rendszergazda e-mail címét határozza meg, de a szokásos kukac jel (@)helyett
egy pontot tartalmaz, és a karakterlánc is pontra végz6dik. Tehát ha a rendszergazda címe
például hostmaster@hasselltech.net, akkor ebbe a mezóbe a hostmaster.hasselltech.net
karakterláncot kell írnunk.
Refresh interval (frissítési időköz)
A frissítési id6köz azt adja meg a másodiagos névkiszolgálóknak, hogy mennyi ideig
tarthatnak másolatot az els6dleges névkiszolgáló zónáiról, miel6tt a zóna frissítését kell
kérniük.
Retry interval (újrapróbálkozási időköz)
Az újrapróbálkozási id6köz azt adja meg, hogy a másodiagos névkiszolgálónak mennyi
ideig kell várnia, miel6tt újra megkísérelhet kapcsolatba lépni az irányadó névkiszolgá
lóval,.ha a zónák frissítése a frissítési id6köz letelte után nem sikerült
Expires after (lejárati idő)
Ez az érték lényegében azt határozza meg, hogy a zónafájl meddig érvényes egy üzemi
környezetben. A másodiagos névkiszolgálók ennyi ideig próbálkoznak zónafrissírést
kérni az els6dleges névkiszolgálótóL Ha a lejárati id6 letelik, a zóna a másodiagos
névkiszolgálón érvényét veszti, és a kiszolgáló többé nem válaszol a kérelmekre.
Minimum (default) TII (minimális (alapértelmezett) élettartam
Ez az érték azt jelzi a többi névkiszolgálónak, hogy mennyi ideig használhatják a korábban
az ett61 a névkiszolgálótól megszerzett információkat, miel6tt ismét az irányadó kiszolgáló
hoz kellene fordulniuk frissebb adatokért. Az alapértelmezés 60 perc. TTL-értéket az egyes
bejegyzésekhez külön is megadhatunk, amely felülbírálja a zóna alapértelmezett
minimumbeállítását
-It!:! Windows Server 2008
TIIfor this record (az adott bejegyzés élettartama)
Ez az érték felülbírálja a fentebb leírt minimális (alapértelmezett) élettartamot, és csak
erre az SOA-bejegyzésre vonatkozik.
NS-bejegyzések létrehozása és szerkesztése

Ahogy a fejezetben korábban megtanultuk, az NS-bejegyzések kapcsolják a névkiszolgálók
állomásneveit az IP címükhöz. NS-bejegyzés létrehozásához kattintsunk az egér jobb gombjával
a kérdéses zónafájl nevére a DNS Management beépülő modulban, és válasszuk a Properties
menüpontot, majd váltsunk a Name Servers lapra, amelyet a 4.5. ábrán láthatunk.
Itt az elsődleges NS-bejegyzés látható, amelyet a rendszer alapértelmezés szerint létrehoz, amikor
létrehozzuk a zónát. Új NS-bejegyzés (például egy másodiagos névkiszolgáló) beszúrásához kat
tintsunk az Add gombra. A megjelenő mezóbe írjuk be az újonnan felvenni kívánt számítógép
teljesen illinősített tartománynevét, és kattintsunk a Resolve (feloldás) gombra. A Windows
Server 2008 fordított kereséssel határozza meg a beírt állomásnévhez tartozó IP címet. Ha a talált
címet helyesnek találjuk, kattintsunk az IP cím melletti Add gombra, és ezzel felvesszük az NS
bejegyzést. Az ablakok bezárásához kattintsunk kétszer az OK gombra.
IP Address
[192.168.0.2]
4.5. ábra
OK
Zóna NS-bejegyzéseinek szerkesztése
CNAME-bejegyzések létrehozása és szerkesztése

Emlékezhetünk rá, hogy a CNAME-bejegyzések különböző állomásneveket rendelnek már létező
"A" bejegyzésekhez, lehetővé téve, hogy egy számítógépnek több DNS-neve legyen. Ha ilyen be
jegyzést szeretnénk létrehozni, kattintsunk az egér jobb gombjával a hasselltech.net csomópontra
a DNS Management beépülő modul bal oldali ablaktáblájában, majd válasszuk a New Alias
(CNAME)- új álnév (CNAME)- pontot a helyi menüből. Ekkor a New Resource Record párbe
szédablak jelenik meg, amelyet a 4.6. ábrán láthatunk.
Írjunk be egy álnevet annak a számítógépnek, amelyiknek a számára a bejegyzést készítjük (ez
lesz a kanonikus név), majd adjuk meg az állomás teljesen Illinősített tartománynevét Miköz
ben beírjuk a CNAME nevet, alatta, a teljesen minősített tartománynév mezőjében megjelenik
a teljes állomásnév i tartománnyal együtt, hogy ellenőrizhessük a megadott adatokat.
4.
New Resource Record
E:tJy qualified domain name (FQDN) for target host:

l
Í AII!!W any autheoticated user to update al DNS records with the same
name . This setting apJ:ies ori)' to DNS records for a new name .
Gli' Cancel
4.6. ábra
Új CNAME-bejegyzés megadása
A befejezéshez kattintsunk az OK gombra.
MX-bejegyzések létrehozása és szerkesztése

Ahogy a fejezet korábbi részéből emlékezhetünk rá, az MX-bejegyzések azt adják meg, hogy
miként történjen a levelek kézbesítése egy adott DNS-zónába. Ilyen bejegyzés létrehozásához
kattintsunk az egér jobb gombjával a hasselltech.net csomópontra a DNS Management beépülő
modul bal oldali ablaktáblájában, majd válasszuk a New Mail Exchanger (MX) -új levélcserélő
(MX) - pontot a helyi menüből. Ekkor ismét a New Resource Record párbeszédablak jelenik
meg, olyan formában, ahogy a 4.7. ábra mutatja.
New Resource Record ; Ei1B1

� Exehanger-(MX) 'l
!:Jpst or child domain:
By default, DNS uses the parent domain name when

creating a Maii
Exchange record. You can specly a host or child name, but ln most
de!>loyments, the above fleld is left blank.
Fllf qualified domain name (FQDN):

lhasseltech.local.
E:tJy qualified domain name (FQDN) of maii server:
1 f!rowse...
M<!i :;erver priority:
��
4.7. ábra
OK
Új MX-bejegyzés megadása
Írjuk be a annak a tartománynak vagy zónának a nevét, amelyiknek a számára a bejegyzést

készítjük, majd adjuk meg annak a számítógépnek a teljesen minősített tartománynevét, ahová
az adott tartománynak vagy zónának a leveleit küldeni szeretnénk. Miközben beírjuk a nevet,
alatta, a teljesen illinősített tartománynév mezőjében megjelenik a teljes állomásnév a tarto-
-Iul Windows Server 2008
mánnyal együtt, hogy ellenőrizhessük a megadott adatokat. Végül a Maii server priority mezőbe
írjuk be a bejegyzésre alkalmazadnó MX elsőbbségi számot, és az ablak bezárásához kattintsunk
az OK gombra.
Fordított keresési zóna létrehozása

A fejezet korábbi részében megtanultuk, hogy a fordított keresési zónák IP címeket rendelnek
a megfelelő számítógépnevekhez. Fordított keresési zóna létrehozásához a DNS Management
beépülő modulban kattintsunk az egér jobb gombjával a Reverse Lookup Zones (fordított
keresési zónák) mappára, és válasszuk a New Zone elemet a megjelenő helyi menüből. Ekkor
elindul a New Zone Wizard. Lépjünk tovább a bevezető képernyőről, hogy a 4.8. ábrán mutatott
ablakot lássuk.
New Zone W1zard 9*"'f'
ll
Zone Type
The DNS server supports variaus typ esof zones and storage.
Selectthe type of zone you want to create:
r. fi!�.��
Creates a copy of a zone that can be updated directfy on this server.
r :i_econdary zone
Creates a copy of a zone that exists on another server, This option helps balance
the processing load of ptimary servers and provides fault tolerance.
r Stybzone
Creates a copy of a zone containing onty Name Server (NS), Start of Authority
(SOA), and possibly glue Host (A) records. A server containing a stub zone is not
authot1tative for that zone.
R: store the zone in B!:tive Directory (available only� DNS setver ls a domain controller)
< �ack ttext >

4.8. ábra
Fordított keresési zóna létrehozása
Ez után kövessük a következő lépéseket:
1. Válasszuk a Primary zone lehetőséget, majd kattintsunk a Next gombra.

2. Írjuk be a hálózat számszerű címét-például192.168.0.0-a Network ID (hálózatazonosító)
mezőbe, majd lépjünk tovább.
3. Ekkor a Dynamic Updates képernyő jelenik meg. Itt engedélyezzük mind a biztonságos,
mind a nem biztonságos frissítéseket, és lépjünk tovább.
4. A művelet befejezéséhez és a varázslóból való kilépéshez kattintsunk a Finish gombra.
Ezzel a fordított keresési zónát létrehoztuk
PTR-bejegyzések létrehozása és szerkesztése

Emlékezhetünk rá, hogy a PTR-bejegyzések IP címeket rendelnek a megfelelő állomásnevekhez,
és létfontosságúak a fordított keresési zónákban. Ha ilyen bejegyzést szeretnénk létrehozni, kat
tintsunk az egér jobb gombjával a megfelelő fordított keresési zóna nevére a DNS Management
beépülő modulban, majd válasszuk a New Pointer (PTR) -új mutató (PTR) -pontot a helyi
menüből. Ekkor újfent a New Resource Record párbeszédablak jelenik meg, ahogy a 4.9. ábrán
láthatjuk.
4. fejezet • A tartománynévrendszer lll-
New Resource Record �"'�
Host I�I"KJI!lber:
11. 92 1� ;,0. ;e
..
EtAY qualified domain name (FQDN):

,8.0.!68.!92.in-addr.arpa
!J
tjost name:
r AIIQw any authenticated user to update al DNS records with the same
name. This settinQ appies ordy to DNS records for o new name.
OK Cancel 4.9. ábra

Új ?TR-bejegyzés megadása
Ezen a képernyőn csak annyit kell tennünk, hogy beírjuk egy IP címből az utolsó pont utáni
negyedet, majd megadjuk azt az állomásnevet, amelyre a megadott IP címnek hivatkoznia kell.
A fordított keresési bejegyzés teljesen minősített tartománynevét a program automatikusan beírja.
A befejezéshez kattintsunk az OK gombra.
Másodlagos névkiszolgáló beállítása

Ebben a részben azt nézzük meg, hogy miként hozhatunk létre másodlagos névkiszolgálót egy
zóna kiszolgálásához. Mindazonáltal bizonyos előzetes lépésekre szükség lesz: a számítógépnek
a Windows Server 2008-at kell futtatnia, és a korábban tárgyaltak szerint telepítenünk kell rá
a DNS szolgáltatást. Ezen kívül a számítógép hálózati kapcsolatát úgy kell beállítanunk, hogy
az előnyben részesített névkiszolgáló maga az adott számítógép legyen. (A példában a másod
lagas névkiszolgáló neve ns2.hasselltech.net lesz, IP címe pedig a 192.168.0.6.)
New Zone W1zard :;; r>r
ll
Master DNS Servers
The zone is copied from one or more DNS servers.
Specify the DNS servers from which you want to copy the zooe. ServOI's are
contacted in the order shown.
Formore information about copying zooes, díck Help.

4.10. ábra
Elsődleges névkiszolgáló megadása
<�
másod/agos DNS-zóna számára
-Ifi Windows Server 2008
A következő műveleteket kell végrehajtanunk
1. Nyissuk meg az MMC DNS Management beépülő modulját.

2. Az egér jobb gombjával kattintsunk a Forward Lookup Zones elemre, és a megjelenő helyi
menüből válasszuk a New Zone menüpontot. Ekkor a New Zone Wizard jelenik meg,
amelynek a bevezető képernyőjén szokás szerint átlépünk.
3. A második ablakban válasszuk a Secondary lehetőséget, hogy egy másodiagos keresési
zónát hozzunk létre; ez jelzi a Windowsnak, hogy másodiagos névkiszolgálót szeretnénk
felállítani. Ha ezzel megvagyunk, lépjünk tovább.
4. Írjuk be egy létező zóna nevét a Zone Name ablakban, majd lépjünk tovább.
5. Adjuk meg azokat a névkiszolgálókat, amelyekről a Windows lekérheti a zónafájlokat
Elég, ha beírjuk a mezőbe az elsődleges névkiszolgáló nevét, majd az Add, végül pedig
a Next gombra kattintunk (lásd a 4.10. ábrát).
6. A zóna létrehozásához kattintsunk a Finish gombra.
Másodlagos névkiszolgáló előléptetése elsődleges névkiszolgálóvá

Előfordulhat- például arnikor egy felvásárolt céget integrálunk a saját cégünkbe -, hogy úgy
döntünk, nagyobb teljesítményre van szükségünk a DNS-kérelmek kiszolgálásához. Az is lehet,
hogy a DNS-kiszolgálóinkat fürtbe szeretnénk szervezni. Ilyen esetben egyes másodiagos névki
szolgálókat érdemes lehet elsődlegessé előléptetni. Egy meglevő másodiagos névkiszolgálót
egyszerűen előléptethetünk elsődleges névkiszolgálóvá:

2. Az egér jobb gombjával kattintsunk annak a zónának a mappájára, amelyet át szeretnénk
alakítani, és a helyi menüből válasszuk a Properties pontot.
3. Váltsunk a General lapra, amelyet a 4.11. ábrán láthatunk.
4. A Type mező mellett (ahol most vagy a Primary, vagy a Secondary feliratot kell látnunk)
kattintsunk a Change gombra. Ekkor a 4.12. ábrán látható Change Zone Type képernyő
jelenik meg.
hasselltech.local Propertles �·"::_�

Name Ser..-ers f 1 WINS j Zone Transfers
General Start of Authority (SOA)
Status: Running
Type: Active Directory-Integrated
Replitation: AR DNS servers in the Active Directory Cbange...

dOIT!ain
Data is stared in Active Directory.
DY!lamic updates: jSec�re only

& Altowing nonsecure dyoamic updates is a signíficant security
vulnerability because updatescan be accepted from untrusted
sources.
To set aging/scavenging properties, diCk.Aging.
4.11. ábra
OK Cancel
DNS-kiszolgáló előléptetése
4. tejezet • A tartománynévrendszer Ilf.
5. Az előléptetés végrehajtásához jelöljük be a Primary Zone választógombot
A kiszolgáló ezt követően a zóna elsődleges kiszolgálója lesz.
?T x
Select a zone type:
(ofr_�y-zOfiiij
Stares a copy of the zone that can be updated dir ect:ly.
r :;etondary zone
Stares a copy of an existíng zone. This option helps balance the processing load of
prirnary servers. and provicles faUt tolerance.
r St!,lbzone
Stares a copy of a zone contaning oriy NS, SOA , and possibly
glue A records. A server contalling a stub zone iS not
authoritative for that zone.
P' Store the zone in ll_ctive Directory (available only t DNS server is a domain controller) 4.12. ábra
OK Cancel '""'"l Másodlagos névkiszolgáló előléptetése

elsődleges névkiszolgálóvá
A zónafájlok kézi szerkesztése

Minden zónafájlt a %SystemRoot%\system32\dns mappa tárol, <tartomány>.dns (például
hasselltech.net.dns) néven. A zónafájlok szerkesztéséhez tetszőleges szövegszerkesztőt használ
hatunk, de parancsfájlt is írhatunk, ha nagyobb léptékű vagy automatizált műveletekre van
szükségünk.
Ha közvetlenül szerkesztjük a zónafáj/okat, ne felejtsük el növeini a sorozatszám

··- értékét a zóna SOA-bejegyzésében (az érték tetszőleges léptékkel növelhető), külön-
ben a zóna frissítésekor a másod/agos névkiszolgálók valószínűleg nem értesülnek a változásokról.
A zónafrissítés folyamatának szabályozása

Nyilvánvaló okokból szükség lehet rá, hogy szabályozzuk, hogy mely gépek hajthatnak végre
zónafrissírést a névkiszolgálókról - az Interneten szabadon kószáló felhasználóknak semmi
okunk sincs teljes másolatot biztosítani a zónáinkról, ha pedig valaki teljes listával rendelkezik
a csatlakoztatott szárnítógépeinkről, azzal elég jelentős biztonsági kockázatnak tesszük ki ma
gunkat. A Longhorn kiszolgálóban a zónafrissítés művelete alapértelmezés szerint zárolt. Erről
meggyőződhetünk, ha megnyitjuk a DNS Management beépülő modult, kibontjuk a névkiszol
gáló elemét, keresünk egy zónát a Forward Lookup Zones elem alatt, rákattintunk az egér jobb
gombjával, majd a Properties menüpontot választjuk, és a Zone Transfers lapra váltunk, ahol
megtekinthetjük a 4.13. ábrán látható képernyőt.
Itt láthatjuk, hogy minden zónafrissírést letilthatunk, ha töröljük a jelet az Allow zone transfers
(zónafrissítések engedélyezése) jelölőnégyzetbőL Ha azonban úgy döntünk, hogy a másodiagos
névkiszolgálókan engedélyezzük a zónafrissítést, a zónafájlokhoz való hozzáférést némileg
részletesebben is szabályozhatjuk Az első lehetőség, a To any server (bármely kiszolgálón)
szélesre tárja a kaput. A második, az Only to servers listed on the Name Servers tab (csak
a Name Servers lapon felsorolt kiszolgálókon) tűnik a legésszerűbb választásnak, mivel a frissí
rést azokra a kiszolgálókra korlátozza, amelyeket irányadóként adunk meg a tartomány számá-
-Ul Windows Server 2008
ra. A harmadik választógombot- Only to the follawing servers (csak a megadott kiszolgálókon)
- bejelölve még tovább szűkíthetjük a listát. Ha ezt a lehetőséget választjuk, az IP cím mezőjébe
írjuk be a kívánt IP címet, és kattintsunk az Add gombra. A lista tetszőleges hosszúságú lehet;
ha készen vagyunk, fejezzük be a műveletet az OK gombra kattintva.
A zone transfer sencis a copy of the zone to requesting servers.
C�]".'!'!.��"!:"J
<- tl>anr""'.J:ll""
r 01Jly ta�ers li!il;f'll POhl1eJ1a� �t"' tob
c Q;JjY.ta�t!lM'l;J -1[5
To specify secondary servers to be notified of zone updates, dick

Notify.
4.13. ábra
A zónafrissítések szabályozása
A Windows Server 2008 az RFC 1996-ban zónamódosítási értesítésnek nevezett szolgáltatást is tá
mogatja, amely némileg cáfolja a korábban mondottakat, rniszerint a zónafrissítés elsősorban leké
rő, és nem közzétevő folyamat. Ha kíváncsiak vagyunk ennek a szolgáltatásnak a beállításaira,
kattintsunk a Notify (értesítés) gombra a Zone Transfer lapon, hogy megjelenítsük a 4.14. ábrán
látható ablakot.
? ,x
To autornati<ally not{y secondary servers when the zone <hangos, select

the Automaticaily Notify check box, and tl-en specify the servers.
17\i\iJtomot��.!.'!!!if"Y�
('" áervers listed on the Name Servers tab
{.f Ih• folovMg servers
Cancel
4.14. ábra
A Notify párbeszédablak
Az értesítő szolgáltatás az ebben az ablakban felsorolt kiszolgálókkal lép kapcsolatba, amikor

a zónafájl módosul az elsődleges névkiszolgálón. Választhatjuk azt, hogy a kiszolgáló a zónának
vagy tartománynak a Name Servers lapon megadott irányadó névkiszolgáléit értesítse, de azt is,
hogy csak azokat a kiszolgálókat, amelyeket a Notify ablakban sorolunk fel. (A lista létrehozásá-
4.
hoz egyszerűen írjunk be egy IP círnet, és kattintsunk az Add gombra, majd ismételjük meg
ezt a lépést annyiszor, ahány kiszolgálót fel szeretnénk venni a listára.) Ha igényeinek szerint
bekapcsoltuk vagy leültottuk ezt a szolgáltatást, kattintsunk az OK gombra.
Altartományok és átruházás
Ritka az olyan saját DNS-t üzemeltető hálózat, amely túl kicsi ahhoz, hogy kihasználhassa az altar
tományok és az átruházás (más néven képviselet) előnyeit Átruházás alatt azt értjük, hogy egy
logikai vagy fizikai csoportra ruházzuk át a hálózat egy részének felügyeletét Nézzünk erre egy
példát!
Tegyük fel, hogy a cégünknek két irodája van: egy Bostonban és egy másik az észak-karolinai
Charlotte-ban. Van ugyan egy tartománynevünk, a mycompany.com, amely lefedi az egész háló
zatot, a két említett helyet külön szeretnénk választani egymástól. A bostoni számítógépek kaphat
nak például a north.mycompany.com tartományutótaggal ellátott neveket, rníg a Charlotte-ban
található gépek neve végződhet south.mycompany.com-ra. Mivel a helyi informatikuscsapat tagjai
az egyes irodákban jobban tudják, hogy mely gépek bonyolítanak bemenő, illetve kimenő forgal
mar a hálózaton, mint a központban dolgozó rendszergazdák, célszerű a fiókirodák rendszer
gazdáinak csoportját megbízni, hogy a saját altartományukban ők kezeljék a DNS-t. Ehhez három
műveletet kell elvégeznünk. Először is, az átfogó tartomány DNS-zónájának a tudomására kell
hoznunk, hogy altartományokat hozunk létre, amelyeket máshonnan fogunk felügyelni.
Másodszor, a központi névkiszolgálónak (a "gyökérkiszolgálónak", amely azonban nem a végső
TID-gyökér) meg kell adnunk az egyes altartományok névkiszolgálóinak a círnét Végül pedig
az altartomány névkiszolgálóját telepítenünk kell, majd megfelelően be kell állítanunk.
Tartomány átruházása
A DNS Management beépülő modulban kattintsunk az egér jobb gombjával arra a zónára, amelyik
a létrehozni kívánt altartomány szülője (példánkban ez a mycompany.com), és a megjelenő helyi
menüből válasszuk a New Delegation menüpontot Ekkor a New Delagation Wizard jelenik meg;
a bevezető képernyőről kattintsunk tovább a Delegated Domain Name ablakra. Itt egyszerűen
adjuk meg a létrehozni kívánt altartományt a felső mezőben. Az alsó mező ekkor kinyílik, hogy
megmutassa a beírt névhez tartozó teljes tartománynevet Ha mindent rendben találtunk, lépjünk
tovább, majd a következő képernyőn írjuk be a képviselőként kijelölni kívánt altartomány nevét,
és kattintsunk ismét a Next gombra. Ekkor a 4.15. ábrán látható Name Servers ablak jelenik meg.
---
New Delegatton W1zard ' fi
Name Servers
You can select one ormore name servers to host the delegated zone. Dl
lU
Specify the names and IP addresses of the DNS servers you want to heve host the
Server
delegated zone.
Name�vers;
I IP Address
I
Fu!lyQualf,ed Domain Name(FQDN)
---..
-·····-·· -
----- �....
4.15. ábra
A képviselőként kijelölni kívánt
<Bad<.
névkiszolgálók azonosítása
-lll Windows Server 2008
Ebben az ablakban írjuk be azoknak a névkiszolgálóknak a teljesen minősített tartománynevét
és IP címét, amelyek az új tartományért felelni fognak (a beírást a New Resource Record
ablakban hajthatjuk végre, amelyet az Add gombra kattintva hívhatunk elő). Ha ezzel készen
vagyunk, kattintsunk az OK, majd a Next gombra, végül pedig a Finish gombbal zárjuk be
a varázslót. Az újonnan átruházott tartomány megjelenik a DNS Management beépülő
modulban- kiszürkítve, hogy jelezze, hogy átruházott tartományról van szó. Hogyan módosít
ják a fentiek a DNS szolgáltatás zónafájljait? Először is, új NS-bejegyzéseket adnak a szülőtarto
mányhoz, amelyek megadják az adott altartományért felelős kiszolgálót. Ha a north.mycom
pany.com teljesen minősített nevű altartományt például a dnsl.north.mycompany.com nevű
névkiszolgáló hatáskörébe szeretnénk utalni, a bejegyzésnek valahogy így kell festenie:
north NS dns1.north.mycompany.com
"
Ezt követően az átruházás megvalósítását segítő varázsló egy "A bejegyzést ad a szülőzónához,
hogy az képes legyen megtalálni az új névkiszolgálót az IP címe alapján:
dns1.north A 192.168.1.105
"
Ezt az "A bejegyzést ragasztó bejegyzésnek hívják, mert ez az egyetlen módja annak, hogy
a DNS és a kérelmező ügyfelek tudják a képviselő névkiszolgáló IP címét, hiszen az elsődleges
zóna többé nem tárol információkat az adott zónáról, és nem vezérli azt. Az "A" bejegyzés meg
oldja ezt a problémát, és közvetlen módot ad arra, hogy kapcsolatba lépjünk a kijelölt névki
szolgálóvaL
Helytelen átruházás
Helytelen átruházásról akkor beszélünk, ha egy NS-bejegyzés nem a megfelelő számító
gépre mutat. Ennek oka az lehet, hogy a zónát egy olyan kiszolgáló hatáskörébe utaltuk,
amelyet nem állítottunk be megfelelően ahhoz, hogy a zóna irányadó névkiszolgálója le
gyen, vagy az irányadó névkiszolgál ón egy olyan NS-bejegyzés található, amely egy másik,
a zónában nem irányadó számítógépre mutat.
Ha helytelen átruházás áll fenn, a névkiszolgálók a kérelmeket olyan kiszolgálókhoz irá

nyítják, amelyek nem adnak irányadó választ (ha válaszolnak egyáltalán). Ez felesleges há
lózati forgalmat és többletmunkát jelent a kiszolgálóknak A Domain Health Survey szerint
az összes zóna 25%-ában fordul elő helytelen átruházás.
A fejezetben később bemutatunk egy DNSLint nevű segédprogramot, amely segít észlelni
és kijavítani a helytelen átruházásokat
Altartomány létrehozása
Az imént átruházott altartomány létrehozása logikailag nagyon egyszerű. A képviselő kiszolgálón
a DNS Management beépülő modulban kattintsunk az egér jobb gombjával a Forward Lookup
Zones mappára, és válasszuk a New Zone menüpontot, majd kövessük a fejezet korábbi, Előre
haladó keresési zóna létrehozása című részében leírt utasításokat.
l
4. fejezet • A tartománynévrendszer Ilf-

Dinamikus DNS
A Windows Server 2008-at a dinamikus DNS segíti abban, hogy a WINS egyik jó szolgáltatását -
az önműködő számítógép-bejegyzést és a bejegyzések automatikus frissítését- egyesítse a DNS
előnyét jelentő nyílt szabványokkal és rugalmassággal, ami az Internet alapköve. A dinamikus
DNS révén a Windows 2000, Windows XP, Windows Server 2003 és Windows Server 2008
rendszert futtató számítógépek a kapcsolatuk DNS-utótagjával automatikusan jelezhetik a jelenlé
tüket a zónát vezérlő névkiszolgálónak A fejezet eddigi példáinak esetében, ha van egy
salesl.north.mycompany.com nevű gépünk, ez a gép önműködően létrehoz egy "A" bejegyzést
az említett állomásnévhez és annak IP címéhez a north.mycompany.com tartományt felügyelő
névkiszolgálón - igazán hasznos szolgáltatás, nem igaz?
A dinamikus DNS-bejegyzés tényleges folyamatát a 4.16. ábra mutatja egy olyan munkaállomás
esetében, amely jelezni szeretné a jelenlétét.
Az irányadó kiszolgáló megkeresése
Eredmény (a zóna neve és az irányadó kiszolgáló neve,

Ügyfél Helyi
illetve IP címe)
névkiszolgáló
Kísérlet dinamikus frissítésre
4.16. ábra
'
'
:
Eredmény siker vagy kudarc) Irányadó A dinamikus DNS-bejegy
(
'
'
�__ _____________ kiszolgáló zés folyamata
A folyamat kissé eltér a fentitől, amennyiben az IP címeket egy Windows DHCP-kiszolgáló osztja
ki. Az ügyfél ekkor, miután megkapta az IP címét a DHCP-kiszolgálótól, csak egy "A" bejegyzést
hoz létre a névkiszolgáló előre haladó keresési zónájában. A PTR-bejegyzéseknek a névkiszolgáló
fordított keresési zónájában történő létrehozásáért (ha van ilyen) alapértelmezés szerint a DHCP
kiszolgáló felel.
Ha az említett viselkedést meg szeretnénk változtatm; beállíthatjuk úgy is

Megjegyzés
a DHCP-kiszolgálót, hogy a bejegyzés mindkét részéről gondoskodjon. Ezt a kérdé
ses DHCP-hatókör tulajdonságlapján tehetjük meg, a DHCP beépülő modulban. Nyissuk meg
az említett beépülő modult, bontsuk ki a számítógép nevét a bal oldali ablaktáblában, majd kattintsunk
a Scopes elemre. A jobb oldali ablaktáb/ában jelöljük ki a módosítani kívánt hatókört kattintsunk rá
az egér jobb gombjával, és válasszuk a Properties menüpontot. Ez után váltsunk a DNS lapra, és
válasszuk az Always Update DNS (mindig frissítse a DNS-t) lehetőséget. A DHCP-kiszolgáló ekkor
létrehoz egy "A" bejegyzést az előre haladó keresési zónában, és a címeket igénylő ügyfelek számára
létrehozza a megfelelő PTR-bejegyzéseket is a fordított keresési zónában
Windows Server 2008
Mikor kerül sor a fent leírt bejegyzési folyamatra? A DNS-bejegyzést az ügyfél részéró1 öt
művelet indíthatja el:
• A számítógépet újraindították
• A számítógép DHCP-igénylését- amennyiben a gép dinamikus IP címet használ - most
újították meg.
• A számítógéphez statikusan hozzárendelt IP cím megváltozott
• Az utolsó rögzített DNS-bejegyzés óta 24 óra telt el.
• A rendszergazdák egyike kiadta az ipconfig /registerdns parancsot a parancssorbóL
Bár a dinamikus DNS-újra bejegyzést előíró határidő alapértelmezés szerint 24 óra,

ezt az értéket az ügyfél rendszerleíró adatbázisában megváltoztathatjuk. Ehhez
aHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
kulcshoz adjunk egy új REG_DWORD értéket Defaul tRegistrationRefreshinterval néven,
és adjunk meg egy időtartamot másodpercben (egy nap például 86 400 másodpercből áll).
Takarítás
Ha sok számítógép jegyez be DNS-információkat rendszeresen egy nap folyamán, nyilvánvaló,
hogy azok lejáratakor takarítanunk kell. A Windows Server 2008 DNS-takarítója megkeresi
azokat a dinamikus bejegyzéseket, amelyeket egy ideje már nem frissítettek, majd egyszerűen
törli azokat, hogy biztosítsa, hogy a kiszolgálók frissítése után a zónainformációk a lehető
legfrissebbek legyenek a számítógépeken, és a legfrissebb címeket tartalmazzák.
Nézzük meg, hogyan szabályozható a leghatékonyabban a takarítás a felhasználói felületen ke

resztül! Ha egy adott névkiszolgálón minden zóna takaritását szabályozni szeretnénk, kattintsunk
az egér jobb gombjával a kiszolgáló nevére a DNS Management beépülő modulban, és válasszuk
a Set Aging/Scavenging for All Zones (lejárat/takarítás beállítása minden zónára) lehetőséget.
Ekkor a 4.17. ábrán látható Server Aging/Scavenging Properties ablak jelenik meg.
Setver Ag•ngjScavengmg Properttes �
The OOie between the earlest moment when a re<ord -"""!'

can be refreshecl and the earlest moment when the record can be
S<averged. The relresh interval must be � than the rnaxím\Jm
record refresh perlod.
4.17. ábra
A dinamikus DNS-takarítás beállítása
4.
Az ablak tetején a takarítás engedélyezésére, illetve letiltására szolgáló főkapcsolót találhatjuk,

alatta pedig két beállítást. Az egyik a frissítés nélküli időköz beállítására szolgál, vagyis azt
az időt adhatjuk meg itt, ameddig egy dinamikus bejegyzés "csak olvasható" módon érvényben
maradhat, mielőtt a takarító figyelembe venné. Ez azt is jelenti, hogy ez alatt az idő alatt
az ügyfélszámítógépek nem jegyeztethetik be magukat újra. A másik beállítás a frissítési időköz
megadására szolgál, ami azt az időtartaroot jelenti, ameddig egy bejegyzés fennmaradhat és fris
síthető a frissítés nélküli időköz letelte után, mielőtt a takarító eltávolítaná. A takarító lényegé
ben addig nem nyúlhat egy bejegyzéshez, amíg mind a frissítés nélküli, mind a frissítési időköz
teljes egészében le nem telt.
A takarítás engedélyezéséhez jelöljük be a felső jelölőnégyzetet, és kattintsunk az OK gombra.

Ha az Active Directory-ba ágyazott zónákkal rendelkezünk, a rendszer arra kér bennünket,
hogy ezekre vonatkozóan is erősítsük meg a döntésünket Kattintsunk hát ismét az OK gombra
-ezzel engedélyezzük a takarítást. Egyetlen lépés marad hátra: a takarírást be kell kapcsolnunk
a névkiszolgálón, amit úgy tehetünk meg, hogy az egér jobb gombjával a kiszolgáló nevére
kattintunk a DNS Management beépülő modulban, a Properties menüpontot választjuk, majd
az Advanced lapra váltunk, amelyet a 4.18. ábrán láthatunk.
Debug logging
lnterfares r
Serl!!'f options:
isable recursion (also dsables forwarders)
�IND secondaries
'[)Faij on load if bad zone data
{]Enable round robin
;�nable netmask ordering
1�ecure cache agaim;t poltution
[!!ame chocmg: r�lt>bY.t_e_�UTF�--

boad zone data on startup:
�
p: ��-��
5\:•venging period: 17 _. d-.y-.----a
. �.I<J:
... .., ·
Beset to Default l
4.18. ábra
Of( BPPIY
Takarítás beállítása a kiszolgá/ón
A képernyő alján jelöljük be az Enable automatic scavenging of stale records (az elévült bejegy
zések automatikus kitakarításának engedélyezése) feliratú jelölőnégyzetet, és adjuk meg azt
az időtartamot, amely után a takarító automatikusan működésbe léphet.
Ha egy adott zónára vonatkozóan szeretnénk szabályozni a takarítást és a hozzá tartozó időtar
tamokat, kattintsunk az egér jobb gombjával a zóna nevére a DNS Management beépülő
modulban, válasszuk a Properties menüpontot, majd váltsunk a General lapra, és kattintsunk
az Aging (elévülés) gombra. A megjelenő ablak megegyezik a kiszolgálószintű takarítás beállítá
sára szolgáló képernyővel, amelyet a 4.17. ábrán láttunk.
Windows Server 2008
Ahhoz, hogy a takarító szolgáltatás elvégezhesse a megadott időtartamok számon tartásához

szükséges számításokat, a DNS szolgáltatás egy nem szabványos információhitet ad az erőforrás
bejegyzés zónainformációihoz. Egy kiszolgálón vagy zónában, ahol engedélyeztük a takarítást,
egy ,,A" bejegyzés például így nézhet ki:
colossus [AGE:47363030] 36400 192.168.0.5
Az AGE rész a bejegyzés keletkezési ideje, egy adott időponttól valamilyen kis időegységben
mérve. Az, hogy a rendszer hogyan határozza meg ezt a számot, nem érdekes; csak az számít,
hogy ha bekapcsoljuk a takarítást, az AGE információ hozzáadódik a DNS-bejegyzéshez, hogy
a takarító helyesen kezelje a frissítés nélküli és frissítési időközöket Ha az időbélyeget emberi
szem által olvasható formában szeretnénk látni, kattintsunk az egér jobb gombjával bármelyik
bejegyzésre a DNS Management beépülő modulban, és válasszuk a Properties menüpontot.
A Record time stamp (bejegyzés időbélyege) mező (lásd a 4.19. ábrát) azt a dátumot és időpon
tot mutatja, amikor a bejegyzés létrejött a DNS-ben.
A bejegyzések időbélyegének megtekintéséhez válasszuk az Advanced pontot

IMf'Q!MM a konzol View menüjéből.
ClU5TER2 Propertles �=J& ? x
te_ address:
�1��-:168 .O __ .124
r l!P<Iate assodated pointer (PTR) record
B.ecord time stamp:
!ime to lve (TTL): 4.19. ábra

Bejegyzés időbélyegének megtekintése
a grafikus felületen
A dinamikus DNS-bejegyzés megakadályozása

Ha a hálózatunkban még nem múK:ödik az Active Directory, a mai Windows ügyfél-operációs
rendszerek alapértelmezett dinamikus DNS-bejegyzési beállításai bosszantóak lehetnek a rendszer
gazdák számára, mert a névkiszolgálókat elárasztják azoknak a Windows rendszereknek a sokszor
erőszakos bejegyzési kísérletei, amelyek azt hiszik, hogy be kell jegyeztetniük magukat a hálózat
Active Directory-jába. Ez természetesen nem feltétlenül igaz, de ez az alapértelmezett viselkedés.
Szerencsére ezt a viselkedést kikapcsolhatjuk, akár a rendszerleíró adatbázist módosítva

(ha nagyobb léptékű változtatást szeretnénk), akár a grafikus felületen keresztül. Ha a grafikus
felületen szeretnénk ezt a műveletet végrehajtani, kövessük az alábbi lépéseket:
4. fejezet • A tartománynévrendszer If)-
1. Nyissuk meg a kapcsolat tulajdonságlapját.
2. A Network lapon válasszuk a TCP/IP lehetőséget, majd kattintsunk a Properties gombra.
3. Váltsunk a DNS lapra.
4. Töröljük a jelet a Register this connection's acidresses in DNS (a kapcsolat címeinek
bejegyzése a DNS-be) jelölőnégyzetbőL
Ha a rendszerleíró adatbázist (új nevén beállításjegyzéket) szeretnénk használni, indítsuk el

a hozzá tartozó szerkesztőprogamot, és hajtsuk végre a következő lépéseket:
1. Keressük meg a HKEY_LOCAL_MACHINE\CurrentControlSet\Services\ Tcp!p kulcsot.

2. Kattintsunk a Parameters kulcsra.
3. Adjunk a kulcshoz egy új REG_DWORD típusú értéket DisableDynamicUpdate néven.
4. Az új bejegyzés értékét állítsuk l-re.
A másik lehetőség, ha beírjuk a következő utasítást a parancssorba:
reg add hklm\system\currentcontrolset\services\tcpip\parameters /v

DisableDynamicUpdate /t REG_DWORD /d l /f
Azt is megtehetjük, hogy a csoportházirend-szerkesztóben meghatározunk egy olyan házirendet,

amely letiltja a szolgáltatást a tartomány összes számítágépén vagy azok egy részhalmazán, de eh
hez mindenképpen szükséges az Active Directory jelenléte. Akárhogy is, a megfelelő objektumot
a Computer Conjiguration/Administrative Templates/Network!DNS client (számítógép beállítá
saVfelügyeleti sablonok/hálózat/DNS-ügyfél) pont alatt találjuk, Dynamic Update (dinamikus
frissítés) néven, a kikapcsolásához pedig az állapotát Disabled-re (kikapcsolva) kell változtatnunk.
A csoportházirend-szerkesztővel részletesebben a 6. fejezetben fogunk foglalkozni.
Az Active Directory-ba beágyazott zónák

Eddig a pontig a Windows Server 2008 DNS szolgáltatását úgy kezeltük, mint egy hagyományos
névkiszolgálót, ami nagyjából eleget tesz a megfelelő RFC-k követelményeinek, és egyaránt képes
egy zónában elsődleges és másadiagos "módban" működni. Ugyanakkor a Windows Server 2008
egy harmadik, csak a Windowsra jellemző módot is kínál, amely - bár nem szerepel az RFC-kben
-bizonyos előnyöket nyújt, ha a hálózatunk a Windowsra és az Active Directory-ra épül.
Ennek a harmadik módnak, az Active Directory-ba beágyazott DNS-nek két előnye van a ha
gyományos zónákkal szemben. Az egyik, hogy az Active Directory-ba beépített hibatűrés szük
ségtelenné teszi, hogy elsődleges és másadiagos névkiszolgálóink is legyenek. Lényegében
rninden névkiszolgáló, amely az Active Directory-ba beágyazott zónákat használ, elsődleges
névkiszolgáló. Ez a dinamikus DNS használatát is hatalmas mértékben segíti, mivel így számos
olyan névkiszolgáló áll rendelkezésre, amely bejegyzéseket fogadhat. Emlékezzünk vissza,
hogy a tartományvezérlők és a munkaállomások a dinamikus DNS segítségével jegyeztetik be
a helyüket és az elérhetőségüket a DNS-zónában. A hagyományos DNS-ben csak egy fajta név
kiszolgáló fogadhat ilyen bejegyzési kérelmet: az elsődleges kiszolgáló, mivel csak annak van
írható-olvasható másolata a zónafájlróL Ha létrehozunk egy az Active Directory-ba beágyazott
zónát, az összes Windows Server 2008 rendszert futtató névkiszolgáló, amely a zónaadatait
-ffl Windows Server 2008
az Active Directory-ban tárolja, fogadhat dinamikus bejegyzési kérelmet, és a változást közzéte
heti az Active Directory többrnesteres többszörözési szolgáltatásával (erről majd az 5. fejezetben
tanulunk). Ehhez csak annyit kell tennünk, hogy telepítjük a Windows Server 2008-at egy szá
rnítógépre, beállítjuk tartományvezérlőként, telepítjük a DNS szolgáltatást, és beállítjuk a zónát.
Ezután minden más önműködően történik. Hasonlítsuk ezt össze a szokványos, elsődleges és
másodiagos névkiszolgálót is használó felépítéssel, ahol az elsődleges kiszolgálót valószínűleg
igencsak leterheli a kérelmek és a zónafrissítések kezelése, még a dinamikus DNS-bejegyzés
jelentette többletteher nélkül is. Az Active Directory-ba beágyazott zónák jelentősen csökkentik
ezt a terhet, ráadásul azzal az előnnyel is bírnak, hogy a telephelyek közötti többszörözés során
tömörítést is alkalmazhatunk, így nincs szükség a régi stílusú, "tömörítetlen" zónafrissítésekre.
IM!'@mN Ahogy a fejezetben korábban olvashattuk_ a Windows Server 2008 dinamikus DNS
szolgáltatásának része a takarítás is, amelynek során a frissítés nélküli időköz meg
adásával küszöbölhetjük ki, hogy az egyes DNS-újra bejegyzések során túlzott adatforgalomra kerüljön
sor a tartományvezérlők között.
Az Active Directory-ba beágyazott zónák a biztonság szempontjából is nagy előnyt jelentenek,

mivel lehetőséget adnak a dinamikus DNS-szolgáltatás zárolására azáltal, hogy korlátozhatjuk
a felhasználók és számítógépek bejegyzését a rendszerbe. Ezekhez a zónákhoz csak a DNS-be
jegyzéseknek helyet adó Active Directory-tartományba tartozó számítógépek adhatnak dinamiku
san bejegyzéseket, illetve csak ezek a gépek frissíthetik azokat. Ahhoz azonban, hogy beágyaz
zunk egy zónát az Active Directory-ba, a névkiszolgálóinknak egy Active Directory-tartomány
tartományvezérlőinek kell lenniük
Ha más, nem tartományvezérlő névkiszolgálókat is használunk, azok csak hagyományos

másodiagos névkiszolgálóként működhetnek, vagyis csak olvasható másolatot tarthatnak fenn
a zónáról, és a változásokat a szokványos zónafrissítéssei adhatják tovább.
Ha már van egy tartományvezérlőként üzemelő névkiszolgálónk egy működő aktív zónával,
egyszerűen beágyazhatjuk azt az Active Directory-ba (és ugyanilyen könnyen visszaalakíthatjuk
elsődleges vagy másodiagos zónává, tehát nem visszavonhatatlan műveletről van szó).
Íme a szükséges lépések:

2. Kattintsunk az egér jobb gombjával annak a zónának a mappájára, amelyiket át szeretnénk
alakítani, és válasszuk a Properties menüpontot a megjelenő helyi menüből.
3. Váltsunk a General lapra, amelyet a 4.20. ábrán láthatunk.
4. A Type mező mellett (ahol most vagy a Prirnary, vagy a Secondary feliratot kell látnunk)
kattintsunk a Change gombra. Ekkor a 4.21. ábrán látható Change Zone Type képernyő
jelenik meg.
5. Jelöljük be a Store the zone in Active Directory (a zóna tárolása az Active Directory-ban)
jelölőnégyzetet
4. fejezet • A tartománynévrendszer IfJ-
hasselltech.local Propertles : ?..,_
Status: Running
Type� Active Oi'ectoryMintegrated
Repbtion: Al DNS servers in the Active Directory

domain
Data � stored in Active [);rectory.
Dyuamic updates: .Jiii:

J S ec
"-"'
ur "'
e,..
an,. ly:... .,.."""""'=c'-=
8:, AlowinQ nonsecure dynami<: updatesis a signift
l ant security
vuinarabiity be<ause updates can be aa:epted from untrusted
sources.
To set a9ng/scavenging pr operties, clíck Aging.
4.20. ábra
Zóna beágyazása az Active Directory-ba
Change Zone Type

, ,"'V
Select a zone type:
·!: ��t3.��1
Stores a copy of the zone that can be updated directly.
C. �ondary zone
stares a copy of an existi'lQ zone. T� option helps balante the proces�no loed of
primary servers and preMdes fault tolerance.
r·stl!bzone
Stores a copy of a zone containing only NS_. SOA_, and possibly
Qloe A records. A server containing a stub zone is not
author�ative for that zone.
P" store the zone in e,ctive [);rectory (available only if DNS server is a domain controller)
, 4.21. ábra
D�� ..._. ......
Zóna tárolása az Active Directory-ban
Észrevehetjük, hogy amint beágyaztuk a zónát az Active Directory-ba, a lehetőségek kibővülnek.

Térjünk vissza a zóna tulajdonságaihoz, és a Generaliapon figyeljük meg a következőket:
• A Dyoamic Updates mezóben a Secure Only (csak biztonságos) frissítés lehetőséget

érhetjük eL
• A zóna változásait az Active Directory valamennyi tartományvezérlőjére többszörözhetjük
Ez utóbbi lehetőséget vizsgáljuk meg közelebbről is.
A változások többszörözésa a tartományvezérlékre

A Windows Server 2008 lehetővé teszi, hogy finornhangoljuk, hogy az Active Directory rniként
többszörözze a DNS-információkat a többi tartományvezérlőre. (Az Active Directory-t teljes pom
pájában az 5. fejezetben tárjuk fel, de erről itt röviden szót kell ejtenünk.) A zónatulajdonságok
között kattintsunk a Replication mező melletti Change gombra, amely a Change Zone
Replication Scope (zónatöbbszörözési hatókör módosítása) ablakot jeleníti meg, amelyet
a 4.22. ábrán láthatunk.
-fll Windows Server 2008
Change Zone Rephcabon Scope , \

Choose how you wMt zone data to be replicated.
r To S!il DNS servers in the Ac�ve Directory forest hasseltech.local
• @]f�f�i�"'i:i1tt;'�-��!if:y_:_��J:i�i��
r To ol d2main controRersin � Arove Directory domain hasselkech.local
Choose this optK>n if the zone should be loaded by Windows 2000 DNS servers
running on� domain controllers in the same domain.
r Tc ali domain �b!ierS'�a� intf1� srope af the full<>wiflQ "f'l.'licatlom

�vpartítlJl!t
Appli!ti!P, <>n <ftt�J!IlJj:it;on name;.
4.22. ábra
A DNS-többszörözés vezérlése
OK
az Active Directory-ban
Az alapértelmezett beállítás a To all domain controllers in the Actíve Directory domain (minden
tartományvezérlőre az Actíve Directory-tartományban), ami arra utasítja a Windowst, hogy
pontosan úgy viselkedjen, mint a Windows 2000 Server, vagyis a DNS-információkat az Actíve
Directory minden tartományvezérlőjére többszörözze, függetlenül attól, hogy azok valóban
futtatják-e a DNS szolgáltatást. Nyilvánvaló, hogy ha a tartományunkban 20 tartományvezérlő
található, de csak 3 olyan, amely DNS-t futtat, ez igencsak pazarló többszörözési forgaimat
eredményez. Ebben az ablakban beállíthatjuk, hogy az erdóben vagy tartományban csak DNS-t
futtató tartományvezérlőkre többszörözzük a DNS-információkat. Ez igen hasznos, mert egy
nagy kiterjedéső hálózatban jelentősen csökkenti a hálózati forgaimat
Átirányítás
Az átirányítás a legegyszerúoben fogalmazva az a folyamat, amelynek során egy névkiszolgáló
a helyben nem teljesíthető kérelmeket egy másik kiszolgálónak adja át. Az átirányítást előnyünkre
fordíthatjuk, mert a segítségével lényegében egyesíthetjük több névkiszolgáló névfeloldási gyors
tárát Ezzel lehetővé tesszük az ügyfeleknek, hogy feloldják a korábban letöltött webhelyneveket
ebből a "megagyorstárból" , rnielőtt az adatok valódi frissítését igényelnék a nyilvános Internet
irányadó névkiszolgálóitóL
Nézzük, hogyan is mú-'ködik a dolog. Az alapértelmezett DNS-viselkedés először az előnyben ré

szesített névkiszolgáló megkeresése, hogy rendelkezik-e az ügyfél által keresett zónainformációk
kaL Ha az előnyben részesített névkiszolgálón megvannak a zónainformációk, az ügyfélnek nem
szárnít, hogy a kiszolgáló irányadó-e. Az információ megléte elég az ügyfélnek, így fogja a kapott
eredményt, és létrehozza a kapcsolatot. Ha a kiszolgáló fájljaiban azonban nincs rögzítve a zóna,
feljebb kell lépni a nyilvános Internet felé, és más névkiszolgálókat kell megkérdezni, hogy ren
delkeznek-e a szükséges zónainformációkkaL Ez idóoe telik, és késlelteti a kezdeti névfeloldást,
miközben az előnyben részesített névkiszolgáló keresi a választ az Interneten. Miután azonban
a névkiszolgáló kikereste az információt, a feloldott neveket a gyorstárába helyezi, hogy a legkö
zelebbi felhasználónak, aki ugyanezekre a feloldási információkra kiváncsi, már ne kelljen várnia:
a névkiszolgáló egyszerűen átadhatja a választ a gyorstárából, így az ügyfél szinte azonnal hozzá
jut az adatokhoz.
Az átirányítás ezt a gyorstárat terjeszti ki több névkiszolgálóra. Vegyünk például egy olyan háló
zatot, amelyben négy vagy öt névkiszolgáló található, amelyek közül az ügyfelek valószínűleg
más-más névkiszolgálót részesítenek előnyben. Ha valamelyik ügyfél olyan információt igényel,
amely nem található meg a választott névkiszolgálója gyorstárában, a névkiszolgáló kikeresi
a megfelelő adatokat, és visszaadja azokat, így késóob az adott névkiszolgáló minden felhasz
nálója hozzájuthat a kérdéses zóna adataihoz a gyorstárbóL A hálózat más felhasználói azonban
nem húznak hasznot a gyorstárazásból, mivel valószínűleg másik számítógépet részesítenek
előnyben névkiszolgálóként
Itt lép be a képbe az átirányító, amely egy újabb lépéssei egészíti ki a fenti folyamatot: amennyi
ben az előnyben részesített névkiszolgáló gyorstárában nincs jelen a keresett zónainformáció,
a kiszolgáló egy másik kiszolgálóhoz, az úgynevezett átirányítához fordul, hogy az rendelkezik-e
információkkal a kért zónáróL Az átirányító csupán egy másik névkiszolgáló, amely megkeresi
a zónainformációt az Interneten, és a saját gyorstárába helyezi, hogy később könnyen elérhető
legyen. Ha a hálózat minden névkiszolgálóját úgy állítjuk be, hogy ugyanannak az átirányítának
a gyorstárához forduljon, az összes névkiszolgáló kihasználhatja a gyorstár és a névfeloldási
kérelmekre adott szinte azonnali válasz előnyét. Az átirányító minden tekintetben úgy viselkedik,
mint egy szokványos névkiszolgáló; csupán arról van szó, hogy a hálózat névkiszolgálóit úgy
állítjuk be, hogy az átirányító gyorstárát használják. Ugyanakkor ha az átirányító számítógépnek
túl sokáig tart, hogy válaszoljon egy kérelemre, a feladatot az eredetileg előnyben részesített
névkiszolgáló veheti át, és a kérelmet továbbíthatja az Internetre, így nem veszítjük el a DNS
kérelmek teljesítésének képességét- csak hatékonyabbá tesszük azt. Ha aggódunk az egyetlen
kulcspont meghibásodásának lehetősége miatt, a hálózatban több átirányítót is működtethetünk,
de ezzel veszítünk az előnyökből, mert ismét egynél több gyorstáradatbázisunk lesz.
T� a fofWMder,-5electls DNS d0ffiau11 tYPe the foiWarder's IP address

below, and then clckAdd.
Selected domain's forwarder Ie address list:
r. - .
- � �
Num!J.er d seconds before forward queries time oot:
C,Do not Uie rec..-sion for this domain
4.23. ábra
OK
Átirányító DNS rendszer beállítása
Windows Server 2008
Az átirányítás beállításához a következőket kell tennünk:
1. Nyissuk meg a DNS Management beépülő modult azon a gépen, amelyikről a kérelmeket
máshová szeretnénk irányítani.
2. Az egér jobb gombjával kattintsunk a kiszolgáló nevére, és a megjelenő helyi menüből
3. Váltsunk a Forwarders (átirányítók) lapra, majd a Selected domain's forwarder IP address
list (a kijelölt tartomány továbbírási IP címei) mezóbe írjuk be azokat az IP címeket, ahová
a kérelmeket át szeretnénk irányítani (lásd a 4.23. ábrát).
4. Ahogy szintén a 4.23. ábrán láthatjuk, írjuk be az 5 értéket a Number of seconds before
forward queries time out (a továbbított kérelmek számára rendelkezésre álló idő
másodpercben) mezőbe. A szokásos érték azért öt másodperc, mert ez biztosít hatékony
névfeloldást, ha az átirányítók valarniért nem járnának sikerrel.
5. A művelet befejezéséhez kattintsunk az Apply gombra.
Szolgák
A szolgák alkalmazása az átirányítás logikai kiterjesztése. Azok a kiszolgálók, amelyeket egy adott
névkiszolgáló szolgáiként állítunk be, a kérelmeket az említett névkiszolgálóhoz továbbítják, és
teljesen rá bízzák a névfeloldást. Ezzel szemben a sima átirányításnál a lejárati idő letelte után
az eredeti névkiszolgáló maga is teljesítheti a kérelmet a gyökérnévkiszolgálók lékérdezésével.
Ha szolgákat alkalmazunk, a feljebb levő névkiszolgáló lesz az a közvetítő, amelyen keresztül
a szalgaként beállított névkiszolgálók elküldik a kérelmeket
Ennek leginkább olyankor vesszük hasznát, arnikor a hálózatunkban több névkiszolgálóra van
szükség az Internettel, illetve az Active Directory-val kapcsolatos feladatok végrehajtásához, de azt
szeretnénk, ha a külső kérelmek a tűzfalon kívül maradnának. Ekkor felállíthatunk egy nagyon
biztonságos névkiszolgálót a tűzfalon és a belső hálózatunkon kívül, amely a belülről kifelé
irányuló szolgáltatáskérelmeket átengedi, míg kívülről csak a hálózat bizonyos számítógépeihez
ad hozzáférést, majd a belső számítógépeket szalgaként a tűzfalon kívüli géphez köthetjük, hogy
teljesen az ellenséges környezetben levő géptől függjenek, de az a környezet a belső hálózaton
kívül maradjon, távol a helyben felügyelt névkiszolgálóktóL Mivel a legtöbb tűzfal állapotőrző
figyelő számítógép, amely csak azokat a csomagokat engedi a tűzfalon belülre, amelyek egy
belülről kezdeményezett kérésre válaszolnak, és rnivel a belső névkiszolgálóink csak a külső
névkiszolgálóhoz és nem magához az Internethez intéznek kérelmeket, a nyilvánosság nem fog
tudni a belső névkiszolgálóink létezéséről, és nem is lesz képes elérni azokat. A szolgákat
az átirányítással szemben mindössze egyetlen további jelölőnégyzet bejelölésével beállíthatjuk
Ehhez kövessük az alábbi lépéseket:
1. Nyissuk meg a DNS Management beépülő modult azon a gépen, amelyiket egyik másik
kiszolgáló szalgájává szeretnénk tenni.
3. Először engedélyezzük az átirányítást: váltsunk a Forwarders lapra, majd a Selected
domain's forwarder IP address list mezóbe írjuk be azt az IP címet, ahová a kérelmeket át
szeretnénk irányítani. Ezt a lépést a 4.24. ábra mutatja.
4.
Forworders ace setV«S that can resolve DNS queries not ans-ed by
this server. Forward queries for names in the folowi'lg DNS domains.
DNS domain:
ro add a forwarder, select a DNS doffiaii� tYl)e thefC>rWarder's IP address

below, and then dtk Add .
- l ..,... 1
�
l
�'
l
-
Num!!er of seconds before forward Queries time oot:
ls __ J 4.24. ábra
P"'��-,;;..J:�S§Y.i>r.JH.S...i§:�
Szaiga DNS rendszer beállítása
4. Ahogy szintén a 4.24. ábrán láthatjuk, írjuk be az 5 értéket a Number of seconds before
forward queries time out mezőbe. A szokásos érték azért öt másodperc, mert ez biztosít
hatékony névfeloldást, ha az átirányítók valamiért nem járnának sikerrel.
5. Most jelöljük be a Do not use recursion for this domain (ebben a tartományban ne legyen
önhívás) jelölőnégyzetet a képernyő alján. Ezzel a kiszolgálót a fenti mezőben felsorolt
átirányítók szalgájává tesszük.
6. A művelet befejezéséhez kattintsunk az Apply, majd az OK gombra.
Feltételes átirányítás
Egyes esetekben - különösen ha a következő részben bemutatott osztott DNS-felépítést alkal
mazzuk - arra lehet szükség, hogy adott névkiszolgálókat jelöljünk ki arra, hogy egy bizonyos
tartományra irányuló felhasználói kérelmekre válaszoljanak. A feltételes átirányítás több okból
is hasznos lehet, többek között azért, mert felgyorsítja a névfeloldást az ügyfelek számára, ami
kor például cégbővítés miatt szerkezeti változtatásokat kell végrehajtanunk a DNS-ben.
A feltételes átirányítást csak a Windows Server 2003 és a Windows Server 2008

Megjegyzés
támogatja.
A DNS Management beépülő modulon keresztül elérhető Forwarders ablakban több listát is
találunk, amelyek a tartományokat és a hozzájuk társított átirányítókat sorolják fel, és kifejezetten
a feltételes átirányítást segítik. A feltételes átirányítás beállításához tegyük a következőket:
1. Nyissuk meg a DNS Management beépülő modult azon a gépen, amelyiket feltételes
átirányításra szeretnénk beállítani.
3. Váltsunk a Forwarders lapra, és kattintsunk a DNS domain mezőtől jobbra található
New gombra.
4. A megjelenő New Forwarder ablakban írjuk be annak a DNS-tartománynak a nevét,
amelyikre az átirányítást be szeretnénk állítani, majd nyomjuk meg az OK gombot.
Windows Server 2008
5. Kattintsunk az új tartományra a DNS-tartományok listájában, majd- ahogy a 4.25. ábrán

látjuk- a Selected domain's forwarder IP address list mezóbe írjuk be azt az IP címet,
ahová a kérelmeket át szeretnénk irányítani.
6. A Number of seconds before forward queries time out mezőbe írjuk be az 5 értéket.
7. A képernyő alján található Do not u se recursion for this domain jelölőnégyzetet hagyjuk
üresen, mert nem szeretnénk a névkiszolgálónkat állandó szalgaként egy olyan átirányí
tához kötni, amely csak bizonyos tartományokat felügyel.
8. A művelet befejezéséhez kattintsunk az Apply, majd az OK gombra.
mercury Propertles · :�w� ? x
Debu<;l Logging Event logging l Mooitoring JI

Interfaces Forwarders l Advanced Root Hints
Forwarders are servers that can resoJve DNS queries not answered by
thi$ server. Forward queries fornamesin the follawing DNS domains.
DNS domain:
Ali other DNS domains
t
;d!!Mifti
To add a forwarder1 select a DNS domain, type the forwarder's IP address

below, and then ctick Add.
Selected domain's forwarder 1e_ address list:

166 .9!1 .13 .62 " l A!!d
NumQer of seconds beJore forward queries time out:
4.25. ábra
Feltételes átirányítást alkalmazó
DNS rendszer beállítása
Osztott DNS-felépítés
Most, hogy már rendelkezünk a megfelelő háttérismeretekkel a különböző DNS-megoldásokról,
vegyünk szemügyre egy igen elterjedt és meglehetősen biztonságos módszert a DNS üzemelte
tésére a hálózatunkban: az osztott DNS-felépítés használatát
Ahogy a fejezetben korábban már röviden említettük, az osztott DNS-felépítés belső névkiszol
gálókból áll, amelyeket a vállalati számítógépes környezetben a mindennapi műveletekhez
használunk, valamint még egy vagy több kifelé, az Internetre néző névkiszolgálóból, amelyhez
a kívülállók csatlakozhatnak, hogy elérjék a cégünk elektronikus szolgáltatásait, de amely
biztonsági okokból elkülönül a belső névkiszolgálóktól. A külső névkiszolgálóktól információt
kérő külső felhasznáJók nem képesek adatokat szerezni a hálózatunk belső összetételéről és
felépítéséről, rnivel a külső névkiszolgáló teljesen különválik a belsőktől, amelyek ezeket
az adatokat tárolják. A külső névkiszolgálók csak a kívülre néző kiszolgálók bejegyzéseit tartal
mazzák, nem pedig a teljes belső tartományét. Ezt a megoldást nevezik osztott DNS-fe/építésnek,
rnivel a DNS-információk megoszlanak a hálózat belső és külső része között.
4. fejezet • A tartománynévrendszer lff-
Csonkzónák
Ideje, hogy bemutassunk egy másik típusú zónát, amelyet a Windows Server 2003 vezetett be:
a csonkzónát. A csonkzónák csak egy részét tartalmazzák a szokványos előre haladó vagy fordí
tott keresési zónákban tárolt információknak az SOA-bejegyzést, az állandó NS-bejegyzéseket,
valamint a zóna irányadó névkiszolgálóinak "A" bejegyzéseit - semmi többet. A csonkzónáknak
az osztott DNS-felépítésben vesszük hasznát, ahol a belső számítógépek belső DNS-kérelmeket
szolgálnak ki, míg a külső DNS-kérelmeket máshol, például egy adatközpontban vagy
az internetszolgáltatónál kezelik.
De milyen szerepet játszanak a csonkzónák és a feltételes átirányítás az osztott DNS-felépítésben?

Nos, több módon is részt vesznek benne. Előfordulhat például, hogy egy olyan céggel bonyolí
tunk üzletet, amelynek időnként a vállalati tűzfalunkon belül található rendszereket is el kell
érnie, nem csak a külső gépeket Mivel a külső névkiszolgálók nem tárolnak adatokat a belső
rendszerekről, alapállapotban nem használhatunk osztott DNS-felépítést, hogy lehetővé tegyük
a kívülállóknak a tűzfalon belüli kanonikus nevek feloldását. A helyzetet csonkzónákkal oldhat
juk meg, amelyeket a partnercég hálózatának belső névkiszolgálóján helyezünk el, és amelyek
csak az NS- és SOA-bejegyzéseit tartalmazzák a mi belső névkiszolgálóinknak Így ha valaki
a másik cégből a rni erőforrásainkat szeretné elérni, a saját helyi névkiszolgálójához kell fordul
nia, amely a rajta levő csonkzónából kiolvassa a névkiszolgálóink nevét és IP címét. Egy cég
tehát, amely a mi tartományunkhoz csonkzónát tárol, lényegében rnindig ismerni fogja a névki
szolgálóink nevét és címét, és ami a legjobb az egészben, az az, hogy a szokványos zónafrissíté
sek gondoskodnak róla, hogy a csonkzónákban tárolt információk rnindig frissek maradjanak -
feltéve természetesen, hogy engedélyeztük a zónafrissítések lebonyolítását.
A feltételes átirányítás nagyon hasonlóan működik a csonkzónákhoz, de míg a csonkzónák egy

idegen tartomány névkiszolgálóiról tartalmaznak információkat, a feltételes átirányítást a helyi
névkiszolgálón alkalmazzuk, hogy a kérelmeket közvetlenül egy idegen névkiszolgálóra irányít
suk át. A csonkzónákkal ellentétben a feltételes átirányítók változáskor nem frissítik automatiku
san az adatokat, ezért saját kezű beavatkozásra van szükség, ha az idegen névkiszolgáló nevét
vagy címét módosítani kell. A feltételes átirányítás használatához ugyanakkor nem kell semmi
lyen különleges jogosultsággal rendelkeznünk az idegen névkiszolgálón, mivel zónafrissítésekre
nem kerül sor. Mindazonáltal a feltételes átirányítás némi többletterheléssei jár, ha sok címre kell
átirányítanunk, mert a kiszolgálónak minden egyes kérelmet össze kell vetnie a névlistával, és ha
a kiszolgáló leterhelt, a válaszideje jelentősen csökkenhet. Néhány zóna esetében azonban
a feltételes átirányítás lehet a legjobb megoldás, amely anélkül biztosítható, hogy az idegen DNS
felügyelő vagy rendszergazda tudna róla, vagy a jóváhagyását kellene kérnünk.
Mindkét említett megoldás jelentős szerepet játszik az osztott DNS-felépítésben. Vegyünk példának
egy olyan vállalatot, amely az Active Directory-t kívánja használni, és a DNS-t ennek figyelembe
vételével üzemelteti. A rendszer külső oldalára egy elsődleges és egy másodlagos névkiszolgálót
állítanak, a belső oldalon pedig további elsődleges és másodlagos névkiszolgálók működnek.
Windows Server 2008
Ennek a felépítésnek a vázlatát a 4.26. ábrán láthatjuk.
A belülről kifelé irányuló kérelmek nem a külső DNS-kiszolgálót használják
r= ·:,�,
1
Internet �
Külső
DNS-kiszolgáló
l
A kívülről érkező külső kérelmek
a DMZ-n található nyilvános
webhelyhez kerülnek
,____......, .
4.26. ábra
Az osztott DNS-felépítés elemei
Megfigyelhetjük, hogy a külső oldal elsődleges és másodiagos névkiszolgálója a vállalati tűzfalon

kívül található, és ezek gondoskodnak rninden külső kérelem kezeléséró1, amely a tartományhoz
érkezik. Valójában a vállalat tartományának regisztrációs jegyzéke ezt a két névkiszolgálót
a tartomány irányadó kiszolgálójaként tünteti fel, a rajtuk található zónafájlok azonban statikusak:
csak néhány ritkán változó elemet tartalmaznak, amelyek web-, FI'P- és levélkiszolgálók lehetnek
- a nagyközönségnek mindössze ennyit kell tudnia.
Ezzel a felépítéssel kapcsolatban két dolgot kell megjegyeznünk:
• A külső névkiszolgálók nem irányadók a belső, Active Directory alapú DNS-szerkezetre

nézve, csak a külső, Internet alapú kérelmeket illetően.
• Ha az internetszolgáltatónk ad helyet a névkiszolgálóinknak, nincs rá okunk, hogy ezt
megváltoztassuk Ez valójában könnyebben felügyelhető, rnint ha mindkét névkiszolgáló
csoportot a saját telephelyünkön üzemeltetnénk.
Most fordítsuk a figyelmünket a vállalat belső névkiszolgálóira. A belül található elsődleges névki
szolgálót úgy állították be, hogy a belső zóna elsődleges névkiszolgálója legyen, és elfogadja a di
namikus DNS-frissítéseket a belső munkaállomásoktól és kiszolgálóktóL Ezek a belső kiszolgálók
ugyanakkor (legalábbis jelenleg) nem látják, hogy a tűzfalon kívül további névkiszolgálók tárolják
ugyanazt a zónanevet, más bejegyzésekkeL Ezen kívül a cég munkaállomásai a tartomány irány
adó névkiszolgálóira belső kiszolgálókként tekintenek, és ott jegyeztetik be magukat dinamikus
DNS-en keresztül, valarnint ezeken a kiszolgálókan próbálják először feloldani az internetcímeket
Hogyan oldják fel a neveket az Interneten a belső felhasználók, ha nem látják a külső névkiszol
gálókat? Könnyen- a belső elsődleges és másodiagos névkiszolgálókat úgy állítják be, hogy
az internetes kérelmeket a külső elsődleges névkiszolgálóhoz továbbítsák, így ha az ügyfél által
kért cím nem található meg a belső névkiszolgáló gyorstárában (ami azt jelenti, hogy mostanában
4. tejezet • A tartománynévrendszer Ifi-
nem kérte azt egy másik ügyfél), a külső névkiszolgálóhoz kell fordulni a válaszért. Nincs szükség
zónafrissítésre, csak átirányításra, amelyet a fejezetben korábban bemutattunk. De hogyan oldják
fel a belső DNS-neveket a külső felhasználók? Röviden: sehogy, mégpedig biztonsági okokból.
Mivel a külső felhasznáJók csak a külső névkiszolgálókról tudnak, azok pedig csak magukról, és
a belső névkiszolgálókról nem, nincs rá mód, hogy a külső névkiszolgálók bármilyen információt
adjanak a tűzfalon belül található belső DNS-bejegyzésekről.
Az egyetlen probléma, amibe belefuthatunk, hogy egy belső felhasználó a vállalat saját erőfor
rásait a tűzfal külső oldalán próbálja elérni. Ennek engedélyezéséhez egyszerűen adjunk egy
statikus bejegyzést a belső névkiszolgálókhoz, amely a megfelelő külső erőforrásra mutat. Ezzel
semmilyen biztonsági kockázatot nem vállalunk, mert így sem hagyunk "ablakot", amelyen
a külső felhasznáJók beteltinthetnének a belső felépítésbe.
Összefoglalva tehát egy olyan DNS-felépítést láttunk, amely belső és külső névkiszolgálók között
oszlik meg. Ha magunk is hasonló felépítést szeretnénk kialakítani, a következő műveleteket kell
végrehajtanunk:
1. Állítsunk fel két kiszolgálócsoportot- egyet a tűzfal előtt, egyet pedig mögötte-, és
telepítsük a DNS szolgáltatást mindkettőre.
2. Állítsunk be rninden névkiszolgálót úgy, hogy a saját DNS-információit saját magától
szerezze be. Ezt a hálózati kártya tulajdonságai között tehetjük meg az IP cím megadásával.
Másodlagos névkiszolgáló beállítására itt nincs szükség.
3. Másoljunk át minden külső bejegyzést, amire a belső felhasználóinknak szüksége lehet
webkiszolgálók, levélkiszolgálók és FfF-kiszolgálók- a belső zónába. Ne feledjük, hogy
ha ezt nem tesszük meg, a felhasználóink nem lesznek képesek egyetlen olyan gépnek
sem feloldani a nevét, amely a tűzfalon kívül található.
4. Állítsunk be külső átirányítókat- ezek lesznek azok a számítógépek, amelyekre a belső
névkiszolgálók továbbítják a kérelmeket, hogy a belső felhasznáJók feloldhassák
az internetes neveket.
5. A belső névkiszolgálókat tegyük az előző lépésben létrehozott külső átirányítók
szolgáivá. Ezzel elrejtjük őket az Internet kívánesi szemei elől.
6. Állítsunk be úgy minden számítógépet a belső hálózaton, hogy csak a belső névkiszolgá
lókat használja. Ez lehetővé teszi, hogy bejegyezzék magukat az Actíve Directory-ba, ha
szükséges, így megtalálhatják a belső erőforrásokat, amelyeket nem lennének képesek
elérni, ha a tűzfalon kívül levő külső névkiszolgálókhoz kellene fordulniuk
Biztonsági megfontolások
Az osztott DNS-felépítés megvalósítása figyelembe veszi a biztonságot, de mindig tehetünk továb
bi lépéseket az ilyen DNS-rendszerek megerősítéséhez. Két műveletet már végre is hajtottunk
a folyamat során. Először is, azzal, hogy a belső névkiszolgálókat a külső átirányítók szaigáivá
tettük, kiköszöböltük annak a lehetőségét, hogy ha a tűzfal vagy valarnilyen átviteli probléma
megakadályozza a külső átirányítót a válaszolásban, a belső névkiszolgáló maga próbáljon keresni
az Interneten. Nyilván nem szeretnénk, hogy a belső névkiszolgálóink bármihez hozzányúljanak
a tűzfalon kívül, kivéve a külső átirányítókat. A másik lépés a tűzfal használata volt a két névki
szolgáló-csoport egymástól való elszigetelésére. Biztosítanunk kell, hogy a vállalati hálózatot
-ftl Windows Server 2008
az Internettől védő tűzfal helyesen legyen beállítva, és olyan szarosan zárjon, amennyire csak
lehetséges. Ha ebben a kérdésben részletes és alapos útmutatóra lenne szükségünk, ajánlom
Zwicky és mások Building Internet Firewalls című könyvét (O'Reilly, második kiadás). Különösen
arra kell ügyelnünk, hogy csak néhány kapu -például a DNS kapuja, az 53-as -legyen nyitva.
Ettől eltekintve a felépítés a megvalósítás után meglehetősen biztonságos.
Biztonsági mentés és helyreállítás

Ha úgy véljük, hogy a DNS beállítása bonyolult, a vele kapcsolatos biztonsági mentési és
helyreállítási eljárásokat üdítően egyszerűnek fogjuk találni. A rendszerleíró adatbázisban két
helyen, a fizikai fájlrendszerben pedig egy további könyvtárban készíthetünk biztonsági máso
latot a DNS szolgáltatásról.
1Mft!'!Q!ff19 Az alább leírt eljárás az Active Directory-ba beágyazott zónák esetében nem működik,
mivel a zónafájlok a címtárszolgá/tatáson belül találhatók, tehát nem érhetők el
a fáj/rendszerben.
Ha biztonsági másolatot szeretnénk készíteni egy olyan kiszolgáló adatairól, amely egy vagy
több elsődleges vagy másodiagos DNS-zónát tárol, kövessük az alábbi lépéseket:
1. A névkiszolgálón állítsuk le a DNS szolgáltatást a vezérlőpult Services alkalmazásán vagy

a parancssoron keresztül.
2. Nyissuk meg a rendszerleíró adatbázis szerkesztőprogramját: válasszuk a Start, Run
parancsot, írjuk be a regedit szót, és nyomjuk le az ENTER billentyűt.
3. Keressük meg a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Seruices\DNSkulcsot.
4. Az egér jobb gombjával kattintsunk a DNS mappára, és a helyi menüből válasszuk
az Export menüpontot.
5. Amikor a program egy fájlnevet kér, írjuk be azt, hogy DNS-CCS, majd válasszunk egy
megfelelő helyet, ami nem a kiszolgálón található.
6. Most keressük meg a HKEY_LOCAL_MACHINE\SOFIWARE\Microsoft\ Windows
NI\ Current Ver:s-ion \DNS Server kulcsot.
7. Az egér jobb gombjával kattintsunk a DNS Server mappára, és a helyi menüből válasszuk
az Export lehetőséget.
8. Ennek a fájlnak adjuk a DNS-CV nevet, majd ismét egy olyan helyet válasszunk, ami nem
a kiszolgáló n található. A két fájl neve DNS-CCS.REG és DNS-CVREG lesz.
9. A Windows Explorer segítségével keressük meg a %SystemRoot%\System32\dns könyv
tárat a rendszerindító lemezmeghajtón.
1 O. Keressük meg és jelöljük ki az összes .DNS kiterjesztésű állományt, és másoljuk azokat
ugyanoda, ahová a DNS-CCS.REG és DNS-CVREG fájlokat mentettük.
A DNS szolgáltatásról ezzel teljes biztonsági másolatot készítettünk. Ha folytatni szeretnénk

a DNS szaigáitatás használatár, indítsuk újra azt.
Ha helyre szeretnénk állítani a DNS-beállítófájljainkat, telepítsük a Windows Server 2008-at egy

számítógépre ugyanazzal a számítógépnévvel, DNS-utótaggal és IP címmel, és ne felejtsük el
telepíteni a DNS szolgáltatást sem. Ezt követően másoljuk az összes .DNS fájlt a biztonsági
4. fejezet • A tartománynévrendszer lff-
másolatból a %SystemRoot%\System32\dns könyvtárba, és állítsuk le a DNS szolgáltatást.
Kattintsunk duplán a DNS-CCS.REG fájlra, erősítsük meg, hogy annak tartalmát be szeretnénk
tölteni a rendszerleíró adatbázisba, majd tegyük meg ugyanezt a DNS-CVREG fájllal is. Végül
indítsuk újra a DNS szolgáltatást, és az újonnan felállított tartalék kiszolgálónknak normálisarr
működnie kell.
Ha csak egy adott zóna elsődleges szerepkörét szeretnénk áthelyezni egy másik
�
névkiszolgálóra, egyszerűen másoljuk a zónához tartozó .DNS fájlt a célszámítógépre,
indítsuk el a fejezetben korábban bemutatott New Zone Wizardot, majd utasítsuk arra, hogy egy
korábbi zónafájlt használjon.
Ebben a részben néhány hasznos programot mutatunk be, amelyeket a parancssorból való futta
tásra terveztek, és amelyekkel automatizálhatjuk a DNS telepítésének és beállításának folyamatát.
DNSCmd
A könyvben korábban már említett Windows Server 2008 Support Tools gyűjteménynek része
a DNSCmd nevű segédprogram, amely nagyszerű lehetőséget ad néhány DNS-beállító parancs
hatékony és gyors elérésére a parancssoron keresztül. A DNSCmd programot megtalálhatjuk
a Windows Server 2008 telepítő CD-jének Support/Toals könyvtárában található support.cab
fájlban, ahonnan lemásolhatjuk és beilleszthetjük egy kényelmesen hozzáférhető helyre.
A DNSCmd a DNS-kiszolgálók és -zónák, illetve az erőforrás-bejegyzések tulajdonságainak

megtekintésére és módosítására szolgál. Az eszköz egyes műveletei a DNS-kiszolgáló szintjén
működnek, míg mások zónaszinten. A DNSCmd-t Windows 2000 és XP rendszerű számító
gépeken is használhatjuk, amennyiben az alkalmazást futtató személy a célszámítógépen
az Administrators vagy a Server Operators csoport tagja. A felhasználó fiókja és a kiszolgáló
számítógép ugyanannak a tartománynak kell legyen a tagja, vagy megbízható tartományokon
belül találhatónak kell lenniük
A DNSCmd a következő esetek bármelyikében használható:
•
Információt szeretnénk szerezni egy DNS-kiszolgálóról.
•
Takarítást szeretnénk kezdeményezni.
• Meg szeretnénk tekinteni egy DNS-zóna tartalmát és adatait.
• Zónákat szeretnénk létrehozni, törölni vagy ideiglenesen "leállítani".
•
Meg szeretnénk változtatni egy zóna tulajdonságait.
•
Bejegyzéseket szeretnénk adni egy zónához, illetve törölni vagy kiíratni szeretnénk
meglevő bejegyzéseket
A DNSCmd használata egyszerű: egy-egy parancsban csak jellemzőket és hozzájuk tartozó érté
keket kell megadnunk. Új szabványos elsődleges zónát például úgy hozhatunk létre
corp.hasselltech.local néven egy dcl.corp.hasselltech.local nevű kiszolgálón, illetve tárolhatunk
a corp.hasselltech.local.dns fájlban, ha a következő parancsot adjuk ki:
Windows Server 2008
dnscmd dcl.corp.hasselltech.local /ZoneAdd corp.hasselltech.local /Primary /file

corp.hasselltech.local.dns
Ha a fenti parancsban a l Pr i mary kapcsolót l Secondary-ra cseréljük, a corp.hasselltech.local-t

másodiagos zónává tehetjük.
Új "A" bejegyzést, amely a www nevű számítógép bejegyzését adja a 192.168.1.23 IP címmel
a fenti példa DNS-kiszolgálójának zónájához, az alábbi paranccsal hozhatunk létre:
Dnscmd dcl.corp.hasselltech.local IRecordAdd corp.hasselltech.local www

A 192.168.1.23
Egy célszámítógép összes zónáját a következő paranccsal írathatjuk ki:
dnscmd dcl.corp.hasselltech.local /enumzones
Ha gondjaink támadnak a többszörözéssel, ezért a műveletet saját kezűleg szeretnénk elindítani,

a következő parancsot kell kiadnunk (feltéve, hogy ugyanazt a kiszolgálót szeretnénk a folyamat
elindításához használni, rnint a korábbi példákban):
Dnscmd dcl.corp.hasselltech.local /ZoneRefresh corp.hasselltech.local
Ugyanígy előfordulhat, hogy magunk szeretnénk elévültté tenni egy adott számítógép összes
bejegyzését. Ezt a DNSCmd-ben az alábbi paranccsal egyszerűen megtehetjük
dnscmd corp.hasselltech.local /ageallrecords dcl.corp.hasselltech.local
A döntést meg kell majd erősítenünk Ha megtettük, a kérdéses számítógép valamennyi

bejegyzésének ideje az aktuális időpont lesz.
Ha egy számítógép DNS-gyorstárát szeretnénk kiüríteni, írjuk be a következő parancsot:
Dnscmd dcl.corp.hasselltech.local /clearcache
A DNS szolgáltatást ezzel a paranccsal állíthatjuk le és indíthatjuk újra egy célszámítógépen:
Dnscmd dcl.corp.hasselltech.local Irestart
Ha egy adott zónát fájlba szeretnénk menteni, adjuk ki ezt a parancsot:
dnscmd /zoneexport corp.hasselltech.local corp.hasselltech.local.dns
Végül, zónát úgy törölhetünk egy célszámítógépről, ha a következő parancsot használjuk:
dnscmd dcl.corp.hasselltech.local /zonedelete corp.hasselltech.local
DNSUnt
A DNSLint szintén megtalálható a telepítő CD-n levő segédeszközök között. Ezt a segédprogra
mot az a vágy szülte, hogy önműködővé lehessen tenni a helytelen átruházásból és az Active
Directory-val végrehajtott többszörözés során a hibás DNS-bejegyzésekbó1 eredő hibák elhárítá
sát A DNSLint nagyszerű eszköz arra, hogy biztosítsuk, hogy a szolgáltatásainkról bejegyzéseket
tároló valamennyi DNS-kiszolgáló helyes bejegyzéseket tartalmazzon, és ne legyenek gondok
ezeknek a kiszolgálóknak az adataivaL (Ha kíváncsiak vagyunk, honnan ered az eszköz neve,
íme a magyarázat. A "lint" (foszlány) az, amit a farmernadrágunkon találunk egy szerencsétlen
centrifugálás után. Ha ilyesmit látunk, valószínűleg gyorsan megszabadulunk a haszontalan és
bosszantó foszlányoktól- és pontosan ezt kell tennünk az elavult vagy helytelen DNS-bejegyzé
sekkel is a hálózatunk létfontosságú számítógépein.)
A legjobb, amit tehetünk, hogy az alábbi paranccsal szabványos jelentést kérünk az adott DNS
tartományokról:
dnslint /d hasselltech.local /v
A DNSLint ekkor előállít egy HTML alapú jelentést, és elindítja az Internet Explorert, hogy megje
lenítse az eredményt. A jelentés színkódolt: a figyelmeztetések sárgával, a hibák pedig vörössei je
lennek meg, hogy könnyebben megtalálhassuk őket (de ha szeretnénk, sima szöveges jelentést is
kérhetünk). A fenti parancs által előállított jelentés részletesen felsorolja a corp.hasselltech.local
tartomány összes DNS-kiszolgálóját, és jelzi, hogy az egyes kiszolgálók válaszolnak-e az 53-as
kapun, amely a DNS szabványos kapuja. A jelentés megmutatja a kiszolgálók állapotát, és azt is,
hogy mely kiszolgálók irányadóak. A zóna MX-bejegyzéseit is láthatjuk, ami az SMTP-útválasztási
hibák elhárításához nyújt nagy segítséget.
Ha az elektronikus levelezéssei vannak gondjaink, a DNSLint segítségével megállapíthatjuk,

hogy a kijelölt levélkiszolgálók a megfelelő kaput figyelik-e. Ehhez a következő parancsra van
szükség:
dnslint /d tartománynév.tld /c
A fenti parancs által előállított jelentés megmutatja, hogy az MX-bejegyzésekben szereplő ki
szolgálók SMTP-, POP3- vagy I MAP4-kérelmeket figyelnek-e, illetve kiírja az általuk visszaadott
SMTP-fejlécet is, hogy segítse a vizsgálatot.
A hibaelhárításban a DNSLint következő parancsai segíthetnek:
dnslint /d tartománynév
Ezzel a paranccsal a fejezet korábbi részében tárgyalt "helytelen átruházás" és a DNS-sei
kapcsolatos más problémák lehetséges okait deríthetjük fel. Ha a program elvégezte
a vizsgálatot, HTML formátumú jelentést kapunk. Ha több információt szeretnénk kapni
a jelentésben felsorolt DNS-kiszolgálók állapotáról, adjuk meg a /v kapcsolót is.
Ha olyan hibaüzenetet kapunk, miszerint a megadott tartomány nem szerepel
az InterNIC jegyzékében, egyszerűen adjuk a parancshoz az ls kapcsolót.
dnslint /ql mylist. txt
Ezzel a paranccsal egy felhasználó által meghatározott DNS-bejegyzéshalmazt ellenőriz
hetünk több DNS-kiszolgálón. Az ellenőrzni kívánt bejegyzések halmazát egy sima szö
vegfájlban adhatjuk meg. A következő listával például egy meglehetősen jól ismert vállalat
"
tartománynevének és IP címének "A , PTR-, CNAME- és MX-bejegyzéseit ellenőrizhetjük:
microsoft.com,a,r ;A record
207.46.197.100,ptr,r ;PTR record
microsoft.com,cname,r ;CNAME record
microsoft.com,mx,r ;MX record
Windows Server 2008
dnslint /ad localhost

Ez a parancs egy adott állomásnak a kifejezetten az Active Directory-val végrehajtott több
szörözésre vonatkozó DNS-bejegyzéseit ellenőrzi (ebben az esetben azét a számítógépét,
amelyen a parancsot kiadjuk). Ha olyan hibaüzenetet kapunk, rniszerint a megadott
tartomány nem szerepel az InterNlC jegyzékében, egyszerűen adjuk a parancshoz az ls
kapcsolót.
Zárszó
Ebben a fejezetben láthattuk, rniért létfontosságú a DNS a számítógépek közötti hálózati kap
csolattartásban, különösen ha azok Windows-tartományok részei. A DNS olyannyira központi
eleme az Actíve Directory-nak, hogy feltétlenül meg kellett ismerkednünk vele részletesen,
rnielőtt rátérhettünk volna magának az Active Directory-nak a bemutatására. A következő feje
zetben azonban már az kerül górcső alá, hogy miként működik az Actíve Directory, és hogyan
támaszkodik a DNS-re.
Az Active Directory
A Windows NT-ben a rendszergazdák megismerkedhettek a tartomány fogalmával. Az Active

Directory Domain Services (AD DS, Active Directory-tartományszolgáltatások) arra az elvre épül,
hogy dinamikus, könnyen hozzáférhető szerkezetet hoz létre, amelyben a címtár- és felügyeleti
információk központosítva tárolhatók, és amelyen keresztül ezek az információk az egész háló
zatban elérhetők. Az AD DS használatával egy olyan szerkezetet hozunk létre, amely a berende
zések és az azokat használó személyek kezelésére hivatott, ami a legkisebb hálózatokat kivéve
mindenhol igen hasznos lehet.
Az Active Directory egészét használva számos ügyes felügyeleti eszközhöz jutunk hozzá, többek
között a csoportházirendekhez (Group Policy, GP), ahhoz a lehetőséghez, hogy csoportokat
ágyazhatunk egymásba több szinten, valarnint egy a felhasználókat, számítógépeket, nyomtató
kat és névjegyeket tároló elektronikus címtárhoz, amelyet könnyen elérhetünk a Windows fel
használói felületén keresztül. Bár természetesen anélkül is üzemeltethetünk egy Windows alapú
hálózatot, hogy az Active Directory-t bármilyen formában telepítenénk, ezzel sok hasznos szal
gáltatástál esünk el - ezekről fogunk tanulni ebben és a következő fejezetben.
Ebben a fejezetben megismerkedünk az Active Directory-val és a vele kapcsolatos fogalmakkal,

lépésről lépésre bemutatjuk, hogy rniként építhetünk fel egy AD DS-tartományt és -faszerkezetet,
valarnint hogy miként kezelhetjük a tartomány felhasználóit és csoportjait, és részletesen tárgyal
juk a címtártartalom többszörözésének folyamatát. Ezen kívül szót ejtünk a különféle szerepkö
rökről, amelyeket a tartományvezérlők betölthetnek egy AD DS-környezetben, az időegyeztetés
fontosságáról és végrehajtásának módjáról, valarnint hogy miként tarthatjuk az Active Directory
tartományszolgáltatásokat csúcsformában a szokásos karbantartási műveletekkel.
A fejezetben nagyon sok téma kerül terítékre, úgyhogy vágjunk is bele!

Windows Server 2008
Active Directory-tartományszolgáltatások: fogalmak és objektumok

Az első lényeges dolog, arnivel tisztában kell lennünk, hogy az AD DS összetevőit két csoportra
oszthatjuk: fizikai összetevőkre, amelyek közé a tartományvezérlők, a telephelyek és
az alhálózatok tartoznak, és olyan logikai összetevőkre, mint az erdők, a fák, a tartományok és
a szervezeti egységek. Az AD DS fizikai és logikai összetevőinek nem feltétlenül kell kapcsolód
niuk egymáshoz: egy tartományvezérlő lehet például egy Rómában található erdő tagja, miköz
ben valójában egy chicagói számítógépen található. Ezt nem árt, ha mindig észben tartjuk.
Mielőtt azonban tovább mennénk, tisztáznunk kell néhány alapfogalmat:
Címtár
A címtár egy önálló tároló, amely egy hálózat felhasználóinak és erőforrásainak az ada
tait tárolja. Az Active Directory olyan címtár, amely egy hálózat különféle erőforrásainak
tulajdonságait és elérési adatait tartalmazza, hogy mind a felhasználók, mind a rendszer
gazdák egyszerűen elérhessék azokat.
Tartomány
A tartomány a címtárban található olyan objekt\}mok gyűjteménye, amelyek egy felügye
leti vagy kezelési egységet alkotnak. Egy erdóben (ennek meghatározását lásd egy kicsit
később) több tartomány is létezhet, saját objektumokkal és szervezeti egységekkel (ezek
nek a meghatározását is a lista későbbi részében találjuk). A tartományok elnevezése
a szabványos DNS-protokollt követi, amelyet részletesen az előző fejezetben tárgyaltunk.
Tartományvezérlő
A tartományvezérlőtárolja egy adott tartomány biztonsági adatait és címtárobjektum
adatbázisát, és ő felel a hatáskörükbe tartozó objektumok hitelesítéséért. Egy tartomány
számára több tartományvezérlőt is kijelölhetünk, amelyek mindegyike adott szerepet tölt
be a címtárban, ugyanakkor ·a tartományokon belül minden tartományvezérlő minden
"
szempontból "egyenlő erejű. Ez eltér a Windows NT rendszerétől, amelyben elsődleges
és tartalék tartományvezérlőket is kijelölhettünk
Erdő
Az erdő a legnagyobb logikai tároló az AD DS-en belül, amely a látókörébe eső összes
tartományt átfogja, a tartományokat pedig automatikusan kialakított tranzitív (átvihetó)
bizalmi viszonyok kapcsolják össze. Így egy adott erdő minden tartománya automati
kusan megbízhat az erdőben található összes többi tartományban.
Szervezeti egység
A szervezeti egység (OU, organizational unit) egy olyan tároló, amelyben objektumok
(lásd alább) találhatók. Az OU-kat olyan hierarchikus, fához hasonló szerkezetbe
rendezhetjük, amely a legjobban megfelel a hálózatunk egységeinek, illetve a legjobban
megkönnyíti a felügyeleti feladatok elvégzését.
Objektum
Az AD DS-ben minden objektum, ami a címtár része lehet: a felhasználók, a csoportok,
a megosztott mappák, a nyomtatók, a névjegyek, sőt még a szervezeti egységek is.
Az objektumok a címtár egyedi fizikai elemei, amelyek közvetlenül kezelhetők.
Séma
A séma az AD DS-ben az adatbázis tényleges szerkezetét jelenti - a "mezőket", hogy egy
itt nem teljesen helyénvaló hasonlattal éljünk. Az AD DS-ben tárolt kölönböző típusú
adatok a jellemzők. Az AD DS sémája szabványos osztályokat, vagyis objektumtípusokat is
5. feiezet • Az Actíve o·
támogat. Az osztályok egy-egy objektumtípust és annak tulajdonságait írják le, amelyek

ahhoz szükségesek, hogy létrehozhassuk az objektum egy példányát. A user (felhasználó)
objektumok például a user (felhasználó) osztály "példányai", a computer (számítógép)
objektumok a computer (számítógép) osztályé, és így tovább. Gondoljunk úgy az osztá
lyokra, mint különböző típusú objektumokat leíró vezetősablonokra.
Telephely
A telephely az egy önálló földrajzi helyen található -vagy legalábbis állandó és megfelelő
sebességű hálózati kapcsolaton keresztül összekötött - számítógépek gyűjteményét jelen
ti. A telephelyeket általában arra használjuk, hogy meghatározzuk, hogyan kell frissíteni
a tartományvezérlőket. Az AD DS a frissítések közzétételének módját (ezt a műveletet
nevezzük többszörözésnek vagy idegen száva! replikációnak) annak alapján választja ki,
hogy miként állítottuk be a telephelyeket, hogy a költséges WAN kapcsolatokon keresz
tül zajló adatforgaimat a lehető legalacsonyabbra szorítsa.
Fa
Aja egyszerűen tartományok gyűjteménye, amely egy gyökérből kiindulva "gyermektarto
"
mányokra ágazik szét. A fákat össze is kapcsolhatjuk egy erdőn belül, és a fák egy megsza
kítatlan DNS-névteren is osztoznak, tehát a hasselltech.local és az america.hasselltech.local
ugyanannak a fának a része, de a mycorp.com és a hasselltech.local nem.
Bizalmi viszony
"
A bizalmi viszony ("megbízhatósági kapcsolat ) az AD DS-ben a tartományok, fák és erdők
közötti biztonságos kommunikáció módját jelenti. Hasonlóan ahhoz, ahogy a W indows
NT-ben működött, a bizalmi viszony lehetővé teszi egy Active Directory-tartomány felhasz
nálóinak, hogy bejelentkezzenek a címtár egy másik, önálló tartományának tartományve
zérlőire. A bizalmi viszony lehet egyirányú (csak A->B, de nem B->A irányú), tranzitív
(A megbízik B-ben, és B megbízik C-ben, ezért A is megbízik C-ben) vagy keresztkapcsolt
(A->C és B->D).
Tartományok
Amikor első alkalommal találkozunk az Active Directory-tartományszolgáltatásokkal, érdemes
először a tartományokat szemügyre venni, mert az AD DS nagyrészt a tartományokra épül.
A tartományok szerepét három alapfeladatra oszthatjuk:
• A tartomány számítógépeinek felhasználóneveit és jelszavait tartalmazó listák egyesítése,

és az egyesített lista használatának biztosítása
• Lehetőség biztosítása a tartomány objektumainak felosztására (szervezeti egységekre;
lásd feljebb) az egyszerúbb kezelés érdekében
•
A tartomány erőforrásairól központi lista fenntartása, amelyben a felhasznáJók és
a rendszergazdák egyszerűen megkereshetik a szükséges objektumokat
A tartományok legalább egy listát fenntartanak az összes jogosult felhasználó nevével és jelszavá
val, amelyet egy tartományvezérlőnek nevezett számítógépen vagy számítógépek csoportján,
az AD DS-ben tárolnak A címtárban-ami valójában egy NTDS.DfTnevű fájl egy tartományvezér
lő merevlemezén - azonban sok más objektum is található: telephelyek, szervezeti egységek,
felhasználói csoportok, számítógépcsoportok, csoportházirend-objektumok (GPO-k, lásd a 6. feje
zetben) és névjegyek - hogy csak néhányat említsünk.
Windows Server 2008
Ezt az információkat tároló adatbázist ugyanaz a motor működteti, mint a Microsoft Exchange
Server nevű erőművét A motor támogatja az adatbázis tartalmának átvitelét több tartományve
zérlőre a hálózaton keresztül - ezt a műveletet nevezik többszörözésnek. A többszörözés
(replikáció) a válasz arra, hogy miként tartalmazhatja egy tartományban több tartományvezérlő
is ugyanazokat az információkat Tegyük fel, hogy van egy tartományvezérlőnk Seattle-ben és
egy másik Charlotte-ban, és az utóbbi helyen egy új felhasználót adunk a rendszerhez. Mi törté
nik, ha ez a felhasználó megpróbál bejelentkezni az egyik seattle-i számítógépre? Honnan tud
hat a seattle-i tartományvezérlő a charlotte-i felhasználóról? A többszörözés segítségével az AD
DS a megváltozott adatokat átviheti a tartomány minden érintett tartományvezérlőjére, hogy
a címtár tartalma mindig friss legyen valamennyi tartományvezérlőn.
A jólértesült olvasák, akik ismerik a Microsoft Windows NT termékek tartományszerkezetét,

most biztosan felteszik a kérdést, hogy mi a helyzet a PDC-kkel és BDC-kkel? A Microsoft a tar
tományvezérlőknek ezt a megkülönböztetését nagyrészt eltávolította az AD DS környezetből,
ami azt jelenti, hogy néhány jelentéktelenebb kivételtől eltekintve minden tartományvezérlő
egyenlő: ezt hívják többrnesteres környezetnek.
Mivel a tartományvezérlők hatalmas mennyiségű információt tárolnak az adatbázisukban,

az AD DS rendelkezik néhány érdekes tulajdonsággal, amelyek az NT 4.0 SAM (Security Accounts
Manager, biztonsági fiókok kezelője) alapú fióklistáiban nem feltétlenül voltak jelen: például
a programozók olyan kódot írhatnak, amely közvetlenül érintkezik az AD DS-sel, és adatokat hív
le az adatbázisbóL Ehhez a programozók használhatják az LDAP (Lightweight Directory Access
Protocol) protokollt, amely mindenféle címtár elérésének szabványos protokollja az iparágban, de
a Microsoft-féle ADSI (Active Directory Services Interface) felületet is, hogy kihasználják
az AD DS-nek azokat a szolgáltatásait, amelyeket az LDAP szabvány nem támogat közvetlenüL
Ezenkívül az AD DS nem rendelkezik azokkal a méretkorlátokkal, mint a SAM: az AD DS könnye
dén képes kezelni néhány rnillió objektumot, míg a SAM nem tud többet 5000 fióknáL (Na, ez
az igazi méretezhetőség!) Az AD DS emellett a nagy adatmennyiségeknél is gyors, így a címtár
növekedése nem lassítja le a rendszert.
Szarvezeti egységek
A tartományok hatalmas, átfogó egységek lehetnek, amelyeknek a kezelésében a legtöbb környe
zetnek nagy segítséget nyújthat, ha van rá valarnilyen mód, hogy egy nagy, egységes tartományt
kisebb, kezelhetőbb darabokra bontsunk. Erre szalgálnak az AD DS-ben a szervezeti egységek.
A szervezeti egységek (OU, organizational unit) egy szokványos ügyfél operációs rendszerén
úgy viselkednek, mint egy mappa, amely bármilyen típusú objektumot tartalmazhat, amelyet
az AD DS támogat. A tartományunkat a következő módokon bonthatjuk szervezeti egységekre:
•
Egy egyetemi hálózatban létrehozhatunk egy tartományt, amelynek a neve megfelel
az egyetemének (például ncsu.edu), az intézmény egyes karait pedig egy-egy szervezeti
egységbe helyezhetjük.
•
Egy közepes méretű cég használhat egyetlen tartományt a teljes Active Directory-tarto
mányszolgáltatások igényeinek kielégítésére, de földrajzi hely szerint szervezeti egysé
gekbe csoportosítva az objektumokat, így lehet egy OU a Los Angeles-i iroda, egy másik
OU a birminghami iroda és egy harmadik OU a richmondi iroda részére.
5. fejezet • Az Active Directory 111-
•
Egy nagyobb vállalatnál célszerű a tartományt részlegek szerint felosztani. A business.com
tartományon belül például létrehozhatunk egy-egy szervezeti egységet az eladási,
az ügyfélszolgálati, a piackutatási, a fejlesztési és a minőségbiztosítási osztály számára.
•
A rendszergazdák is dönthetnek úgy, hogy szervezeti egységeket hoznak létre az objektu
mok típusa szerint, így lehet egy szervezeti egység a számítógépek, egy pedig a nyomtatók
számára, és így tovább.
A szervezeti egységek különösen érdekes tulajdonsága, hogy képesek átruházni a felügyeletüket

az AD DS felhasználóinak egy részhalmazára. Vegyük példaként az iménti felsorolás harmadik
esetét. Tegyük fel, hogy rni vagyunk a tartomány rendszergazdái, és minden osztályon ki szeret
nénk jelölni egy-egy műszakilag felkészült személyt hivatalos jelszómódosító rendszergazdaként,
hogy csökkentsük a ránk nehezedő terhet. A felhasználók jelszavainak módosítására csak a meg
felelő szervezeti egységeken keresztül adjuk át a jogot, így egyszerre ruházzuk fel a jelszómódosí
tókat hatalommal, és korlátozzuk finoman ezt a hatalmat az AD DS rendszer bizonyos területeire.
Ezt a műveletet hívják átruházásnak, és a fejezetben késóbb egy teljes részt szentelünk neki.
A szervezeti egységeket úgy tervezték, hogy tárolóként működjenek az Actíve Directory-ban;

a céljuk objektumok tárolása. Egy adott szervezeti egységen belül az objektumokra csoportházi
rendeket alkalmazhatunk (ahogy majd a 6. fejezetben láthatjuk), amelyek szabályozzák a felhasz
nálók Asztalát, megtiltják a felhasználóknak a rendszer beállításainak veszélyes módosítását, és
egységes felhasználói élményt biztosítanak a teljes tartományban.
Telephelyek
A telephelyek nagy segítséget jelentenek a sávszélesség-felhasználás szabályozásában a WAN
kapcsolaton keresztül végrehajtott AD DS-többszörözés során. Egy Actíve Directory-tartomány
rninden tartományvezérlőjének rendszeres időközönként fel kell vennie a kapcsolatot a többi tar
tományvezérlővel, hogy letöltse vagy továbbadja az adatbázison az utolsó frissítés óta végrehajtott
változtatásokat, másképp az információk elavulnak, és a címtárnak senki nem veszi majd hasznát.
Ez a többszörözési forgalom azonban költséges lehet, ha a tartományvezérlőink kölönböző orszá
gokban vannak, és lassú WAN kapcsolatot kell használnunk a kölönböző irodák összekötéséhez.
Ha telephelyeket jelölünk ki az Actíve Directory-ban (erről az eljárásról a fejezetnek a többszörö
zésről szóló részében beszélünk majd), az AD DS-t az átvitel sebességének növelése érdekében
a többszörözési forgalom tömörítésére utasíthatjuk, és a "költségszámítási" szolgáltatás révén
előnyben részesíthetünk egyes WAN kapcsolatokat, magasabb értéket rendelve a ritkábban
használni kívánt kapcsolatokhoz, és alacsonyabbat a leggyakrabban használni kívántakhoz.
Ez nagyszerű módja a telekommunikációs költségek kezelésének, amely ugyanakkor kihasználja
az AD DS jobb felügyeleti szolgáltatásaiból származó előnyöket.
Az elosztott fájlrendszer, amelyről a 3. fejezetben beszéltünk, tartományi környezetben szintén

az Actíve Directory telephely-szerkezetét használja a fájltöbbszörözési forgalom szabályozására.
Csoportok
A csoportok célja, hogy a rendszergazdák könnyebben rendelhessenek tulajdonságokat egyszerre
sok felhasználóhoz. Képzeljünk el például egy címtárat 2500 felhasználóval. Létrehozunk egy új
megosztott fájlt, és bizonyos alkalmazottaknak- például a könyvelési osztály összes dolgozójának
-UJ Windows Serve r 200 8
-hozzáférési engedélyt kell adnunk hozzá. Felírjuk egy listára az osztály rnind a 2500 alkalmazott
ját, és saját kezűleg válogatjuk ki a megfelelő felhasználókat a listáról? Persze hogy nem.
A csoportok viszont lehetővé teszik, hogy létrehozzunk egy Accounting (Könyvelés) nevű objek
tumot, és a csoportba felvegyük a kívánt felhasználókat. Nem kell tehát egyenként kiválasztanunk
a felhasználókat egy hosszú listából; elég ha kijelöljük az Accounting csoportot, és a csoport
összes tagja ugyanazokkal a jogosultságokkal fog rendelkezni a megosztott fájlunkhoz.
A Windows Server 2008-ban és az AD DS-ben négy csoporthatókör létezik, amelyek különböző

képpen ágyazzák be a csoportokat. Nézzük meg ezeket a csoporthatóköröket és a leírásukat:
Számítógépre nézve helyi csoportok

A számítógépre nézve helyi csoportok olyan objektumokat tartalmaznak, amelyek csak
az adott számítógépen (illetve pontosabban az adott számítógép SAM adatbázisában)
léteznek. Az ilyen típusú csoportok tagjai globális csoportok, az adott tartományra nézve
helyi csoportok, illetve az adott tartományba vagy egy másik megbízható tartományba
tartozó általános vagy globális csoportok lehetnek.
Tartományra nézve helyi csoportok
A tartományra nézve helyi csoportok csak tartományvezérlőn hozhatók létre, tehát közön
séges ügyfélszámítógépek, illetve egy tartomány tagkiszolgálói nem adhatnak helyet tarto
mányra nézve helyi csoportoknak A tartományra nézve helyi csoportok számítógépre
nézve helyi csoportok belsejébe is helyezhetők, amennyiben ugyanabban a tartományban
találhatók (ezt hívják beágyazásnak), ezenkívül tartalmazhatnak globális csoportokat
az adott tartományban megbízó tartományokból, valarnint más tartományra nézve helyi
csoportokat az adott tartományból. Ahogy a fejezetben később látni fogjuk, ennek
a csoporttípusnak korlátozott a haszna, hacsak nem egy nagyobb, több tartományból álló
környezetben dolgozunk.
Tartományra nézve globális csoportok
A tartományra nézve helyi csoportokhoz hasonlóan a tartományra nézve globális csopor
tok is csak tartományvezérlőkön hozhatók létre, viszont bármely számítógép bármely
helyi csoportjába beilleszthetők, amennyiben a számítógép az adott tartomány vagy egy
megbízható tartomány tagja. A tartományra nézve globális csoportok ezenkívül más
globális csoportokba is beágyazhatók, de minden beágyazott tartományra nézve globális
csoportnak ugyanabból a tartományból kell származnia. A tartományra nézve globális
csoportok nagyon hasznosak; a tartományra nézve helyi csoportok valamennyi szolgál
tatásával, sőt más képességekkel is rendelkeznek, és ez a csoporttípus az, amelyet
a leggyakrabban használnak a tartományokban.
Általános csoportok
Az általános csoportok amolyan "rnindenes" csoportok. Globális és más általános csoporto
kat is tartalmazhatnak, és ezek a beágyazott csoportok az Active Directory-erdőnk bármely
tartományából származhatnak.
Röviden meg kell említenünk azt is, hogy kétféle csoport létezik: a biztonsági csoportokat
a jogosultságok és engedélyek kiosztására, illetve visszavonására használjuk, míg a terjesztési
csoportokat kizárólag elektronikus levelek küldésére. A biztonsági csoportok ugyanakkor
terjesztési csoportként is működhetnek.
5. fejezet • Az Actíve Directory
Beágyazás
A beágyazás hasznos lehetőség, amely korlátozott formában már a Windows NT-ben is jelen
volt. A csoportok beágyazásával hozzájutunk ahhoz a képességhez, hogy gyorsan és fájdalom
mentesen adhassunk engedélyeket és jogosultságokat a különböző felhasználóknak Tegyük fel
például, hogy van egy COLORLASER nevű erőforrásunk, amelyhez szeretnénk, ha minden
teljesidejű alkalmazott hozzáférhetne. Nem rendelkezünk FTE (full-time employees, teljesidős
alkalmazottak) nevű csoporttal, amely a vállalat minden teljes munkaidőben dolgozó alkalma
zottját tartalmazná, de az egyes osztályok rendszergazdái olyan szerkezetet alakítottak ki,
amelyben a teljes- és részidős alkalmazottak külön csoportokban találhatók. A teljes vállalatra
kiterjedő FTE csoportot gyorsan létrehozhatjuk, ha fogjuk az egyes részlegek felhasználói cso
portjait (például ACCTG_FTE, ADMIN_FTE, PRODUCTION_FTE és SALES_FTE), és egy új, álta
lunk létrehozott, ALL_FTE nevű csoportba helyezzük azokat. Ezután egyszerűen megadhatjuk
a hozzáférési jogot a COLORLASER-hez, csak az ALL_FTE csoportnak kell engedélyt adnunk
az erőforrás használatára. Ebben a esetben tehát "beágyazott" osztálycsoportjainak vannak egy
nagyobb csoporton belül.
Ahogy a fentebb szereplő csoportlistában láthattuk, a különböző csoporttípusok más-más

beágyazási módokat támogatnak A csoporttípusok és a beágyazási lehetőségek kapcsolatát
az 5.1. táblázatban láthatjuk.
5.1. táblázat Beágyazás a csoport típusa szerint
Beágyazás Számítógépre Tartománvra Tartománvra Általános

típusa nézve helyi nézve helyi nézve globális
Önmagába Igen Igen (ugyanabból Igen (ugyanabból Igen
a tartományból) a tartományból)
Más típusokba Nincs Számítógépre Számítógépre Számítógépre

nézve helyi nézve helyi nézve helyi
Tartományra Tartományra
nézve helyi nézve helyi
Általános Tartományra
nézve globális
A Windows NT 4.0-nak és a Windows 2000-nek való visszamenőleges megfelelőséggel, illetve

a különböző csoportok lehetőségeivel kapcsolatban néhány fontos dologgal tisztában kell
lennünk:
•
Az AD DS csak akkor támogatja az általános csoportokat, ha legalább Windows 2000
Native szinten működtetjük, mivel az NT 4.0 a csoportokat csak egy szint erejéig engedi
egymásba ágyazni.
•
Egy csoportnak nem lehet 5000-nél több tagja, ha az erdő nem legalább a Windows
Server 2003 erdőszintjén működik. A működési szinteket a fejezet késóbbi részében
tárgyaljuk, de nem árt, ha ezzel a korlátozással már most tisztában vagyunk.
Fák
A fák az AD DS-ben létrehozott tartományi hierarchiák. Az első tartomány, amelyet az AD DS-ben
létrehozunk, automatikusan az első fánk gyökere lesz, az ezt követően létrehozott tartományok
pedig gyermektartományok, hacsak nem egy új fa gyökerében hozzuk létre azokat.
A gyermektartományok nevében mindig szerepel a gyökértartomány, tehát ha például létre
hozunk egy hasselltech.local nevű tartományt, annak minden gyermektartománya
az újtartománynév.hasselltech.!ocal formátumú nevet kell kapja. Lényegében tehát olyasmit
hozunk létre, amit a DNS szóhasználatában altartománynak hívunk. A gyermektartományoknak
annyi szintjét hozzuk létre, amennyire csak szükségünk van - a gyermekek lehetnek más
gyermekek gyermekei, és így tovább.
Az AD DS egyik hasznos szolgáltatása, hogy automatikusan kétirányú bizalmi viszonyt hoz létre
a szülő- és gyermektartományok között, tehát a létrehozott tartományok megbízhatóságát nem
saját kezűleg kell beállítanunk. A fentebb látott példában tehát az új gyermektartomány auto
matikusan meg fog bízni a szülőtartományában (hasselltech.local), és a szülő is a gyermekében,
mert automatikusan tranzitív bizalmi viszony jön létre közöttük A bizalom a gyermektartomá
nyok láncolatában továbbterjed, tehát a charlotte.eastcoast.us.northamerica.enterprise.com nevű
tartomány automatikusan meg fog bízni az eastcoast.us.northamerica.enterprise.com,
az us.northamerica.enterprise.com, a northamerica.enterprise.com és az enterprise.com tarto
mányban is.
Erdők
Az erdő a legegyszerűbben megfogalmazva csupán fák csoportja. Egy erdőben minden fa
automatikusan megbízik egymásban. Az erdőre gondoljunk úgy, mint egy bővebb családra,
az egyes tartományfákra pedig mint testvérekre. Ha egy családban öt testvér van, a gyermekeik
megbíznak a saját testvéreikben, és (általában) minden testvér családja megbízik a többi testvér
családjában - röviden, az unokatestvérek kijönnek egymással. Az erdő tehát olyan tartományfák
gyűjteménye, amelyek megbíznak egymásban.
Van azonban két buktató, amelyek elég jelentősek, ezért nem árt megemlítenünk őket:
•
Az egyetlen módja, hogy egy tartományt egy fához adjunk, ha a tartományt a semmiből
hozzuk létre, és létrehozáskor egy már létező fához rendeljük. A fákkal ugyanez a helyzet:
egy meglevő fát nem adhatunk közvetlenül egy már létező erdőhöz, csak ha töröljük,
majd újra létrehozzuk
•
A fentihez hasonlóan két meglevő önálló tartomány sem kapcsolható össze szülő-gyermek
viszonyban, tehát ha a hasselltech.local és a charlotte.hasselltech.local nevű tartományt
más-más, egymástól független hálózatban hoztuk létre, később nem köthetjük össze
azokat, mint szülőt és gyermeket. Ehhez a gyermeket vagy újra létre kell hoznunk, vagy
át kell telepítenünk.
Tranzitfv erd6gyökér-bizalmi viszony

A fent említett két korlátozás bosszantó lehet a számunkra - és ezzel nem vagyunk egyedül.
Szerencsére egy a szakértők által "hivatalos hacknek" tartott megoldás rendelkezésre áll,
amellyel a létező tartományainkat összekapcsolhatjuk egy faszerű szerkezetben, hogy bizalmi
5. fejezet • Az Active Directory Ilf-
viszony jöjjön létre közöttük Bár a dolog nem könnyű, és a megoldás nem olyan rugalmas,
mint egy erdő - az AD DS akkor teszi egyszerűvé a dolgunkat, ha rnindent úgy csinálunk,
ahogy előírja -, némi erőfeszítéssel és talán egy kis szerencsével működőképessé tehetjük.
A megoldás neve tranzitív erdőgyökér-bizalmi viszony, és arra tesz képessé két egymástól
független erdőt, hogy megbízzanak egymásban.
Tegyük fel, hogy van egy businessone.com nevű erdőnk. A Business One vállalat felvásárol egy
másik céget, amelynek már van egy AD DS-erdője businesstwo.net néven. Emlékezzünk vissza,
hogy a businesstwo.net-et nem ágyazhatjuk be csak úgy a Business One már meglevő erdőjébe
a tranzitív erdőgyökér-bizalmi viszony segítségével azonban elérhetjük, hogy a businessone.com
megbízzon a businesstwo.net-ben, és élvezhessük az egyesített erdők néhány előnyét.
A megoldásnak azonban korlátai és hátrányai is vannak:
• Minden erdőnek legalább Windows Server 2003 erdő működési szinten kell működnie.
Ezzel később foglalkozunk; most elég, ha annyit tudunk, hogy minden erdő minden tar
tományában minden tartományvezérlőnek Windows Server 2003-at vagy Windows Server
2008-at kell futtatnia, ami a többletköltségek miatt kivitelezhetetlenné teheti a megoldást.
• Erről a szolgáltatásról később részletesebben is tanulunk a fejezetben, de nem árt, ha már
most megjegyezzük: a tranzitív erdőgyökér-bizalmi viszony nem hoz létre automatikusan
egyetlen egyesített globális katalógust, tehát két önálló erdő továbbra is két önálló globá
lis katalógust jelent.
• A tranzitív erdőgyökér-bizalmi viszony nem terjed tovább. A businessone.com és
a businesstwo.net például megbízik egymásban, de ha a businessone.com megvásáralja
a businessthree.org-ot, és bizalmi viszonyt alakít ki vele, a businesstwo.net attól még
nem fog automatikusan megbízni a businessthree.org-ban - ehhez új bizalmi viszonyt
kell meghatároznunk, arnivel ismét a Windows NT 4.0 nehézkes bizalmi rendszerénél
találjuk magunkat.
A tranzitív erdőgyökér-bizalmi viszony nem ad megoldást minden problémára, de elég hatékony

módja annak, hogy már létező erdőkön belül "álerdőket" hozzunk létre.
A kijelölt erdőgyökér mode/1

Amikor telepítjük az Actíve Directory-t, védelmi rendszert is kiépíthetünk az AD DS jövőbeli
változásai ellen. Ha a cégünk egyik részlege más részlegek előtt helyezi üzembe az Actíve
Directory-tartományszolgáltatásokat, az újonnan belépő csoportok lényegében az alárendeltjei
lesznek ennek az első tartománynak. Hogyan oldja meg ezt a problémát egy okos rendszergaz
da? Nos, ha több tartományt hozunk létre, a tartományok önállóságának fenntartására a kijelölt
erdőgyökér modell nyújt módot. A modell felépítését az 5.1. ábra mutatja.
A kijelölt erdő-gyökértartomány lehet "üres tartomány", amely csak kis számú általános felhasz
nálót és erőforrást tartalmaz, vagy szokványos üzemi tartomány, amely véletlenül egy erdő
gyökerében található. Ez utóbbi azonban nem javasolt; több okból is előnyösebb egy olyan
üres erdő-gyökértartományt használni, amely nem üzemi tartományként szolgál. Először is,
a gyökértartomány tartományi rendszergazdáinak csoportja hatalommal bír az erdő felett,
márpedig ezt mi nem szeretnénk. Ha a gyökér üres, az lehetővé teszi, hogy anélkül adjunk át
-lll Windows Server 200 8
felügyeleti jogokat egyes tartományoknak, hogy mindent felfednénk- ez a biztonsági óvintéz
kedés segít, hogy a rendszergazdák becsületesek maradjanak. Ezen kívül az AD DS környezet
felépítését is megkönnyíti, mert az állandó gyökér logikus, könnyen megvalósítható és kezelhe
tő változtatásokat tesz lehetővé, például ha felvásárolunk egy céget, vagy új irodát nyitunk.
Az üres erdő-gyökértartomány ráadásul nagyon könnyen többszörözhető, és egyszerűen készít
hetünk róla biztonsági másolatot is. Ha pedig a felügyeleti jogokat a cégnél valamikor meg
kellene változtatnunk, a királyság kulcsait úgy adhatjuk át másoknak, hogy közben nem sértjük
meg a gyermektartományok rendszergazdáinak önállóságát.
Erdő
Felügyeleti felhasznáJók
Gyökértartomány
Tartományvezérlők elsődleges szerapkörrel
Gyermektartományok
bank. com
loanoffice.com
securities.com
'---·-·-··- 1 Jövőbeli gyermekegység
5.1. ábra
A kijelölt erdőgyökér made// így teszi lehetővé az önálló NT-tartományoknak, hogy
önállóak legyenek az AD DS-ben is
1Mf1ü$!md Az üres erdő-gyökértartománynak bármilyen nevet adhatunk- akár

az emptyroot.!ocal-t is-, mert a név csupán helyőrző. Mindazonáltal a legtöbb
ügyfél egy a vállalat tartománynevéből származtatott tartománynevet alkalmaz.
Az üres gyökér stratégiájának kulcsa azonban az, hogy a gyökeret üresen tartsuk: csak egyetlen
rendszergazdai fiók legyen benne - az Enterprise Administrator (a vállalati rendszergazda)
fiókja, amely természetesen alapértelmezés szerint létrejön, amikor létrehozzuk egy új erdő első
tartományát-, és azt is csak akkor használjuk, ha elengedhetetlenül szükséges. Ezt követően
minden szükséges tartományt ez alatt az első tartomány alatt hozzunk létre, így a hálózatban
nem lesz olyan tartomány, amely feleslegesen tartalmaz vállalati rendszergazda szintű fiókokat
Természetesen ennek a megoldásnak is vannak hátulütői. Egyrészt költséges: önálló felhasználási

engedély kell a Windows Server 2008-ra a kijelölt erdőgyökér-tartományvezérlőn, és a gyökértar
tomány naprakészen és hibamentesen tartása is felügyeleti többletterhet jelent. Ha viszont egy
gyorsan növekvő vállalatnál dolgozunk, amely a közeljövőben valószínűleg felvásárlások vagy
bővítések útján terjeszkedni fog, ez a legjobb módszer arra, hogy védekezzünk az AD DS felépí
tésének nagyobb változásai ellen.
5. fejezet • Az Active Directory 10.
Megosztott mappák és nyomtatók
Ahogy a 3. fejezetben láttuk, a megosztott mappák és nyomtatók az AD DS-ben valójában csak
"mutatók" a címtárban, amelyek a felhasználókat egy kiszolgáló fizikai fájlrendszeréhez vagy
egy nyomtatókiszolgálóhoz irányítják, ahol a megosztott könyvtár vagy nyomtató valójában
található. Ezt az eljárást hívják a megosztott mappák (vagy nyomtatók) közzétételének.
A megosztott mappák és nyomtatók közzétételének az a célja az AD DS-ben, hogy ezeket az erő

forrásokat mind a rendszergazdák, rnind az ügyfélgépek felhasználói megtalálják; az elóbbiek
az AD DS Users and Computers (Active Directory- felhasznáJók és számítógépek), az utóbbiak
a Start, Search vagy a Start, Find (Start, Keresés) menüponton keresztül. A megosztott mappák és
nyomtatók nevére kulcsszavak szerint kereshetünk, és az eredménymezóben megjelenik a kere
sett erőforrás helye.
Névjegyek
A névjegyek egyszerűen olyan objektumok a címtárban, amelyek személyeket jelképeznek, és
olyan jellemzőket tárolnak, amelyek eligazítanak rninket, hogy miként vehetjük fel a kapcsolatot
az adott személlyel. A névjegyek nem könyvtárak felhasználóit jelölik, és jogosulttá sem tesznek
senkit a hálózatba való bejelentkezésre, illetve a hálózati vagy tartományi erőforrások használatára.
A névjegyobjektumok azt a célt szolgálják, hogy az AD DS-ben egyfajta telefonkönyvet hozzunk

létre, a vállalaton kívüli fontos üzleti partnerek- üzlettársak, vásárlók, beszállítók, és így tovább
- nevével. Mivel az Actíve Directory rnint címtár az LDAP protokoll segítségével kérdezhető le,
amelyet a legtöbb csoportmunka-alkalmazás ismer, a névjegyobjektumok tartalma valószínűleg
közvetlenül elérhető ezekből az alkalmazásokbóL
Globális katalógus
A globális katalógus az AD DS környezetben egyfajta részcímtárként működik, amelyhez egy
adott erdő minden tartománya hozzájut. Az AD DS lehetővé teszi, hogy az Actíve Directory
fánkban bármely számítógéphez csatlakozzunk. Ha a hálózatunk kicsi, ez nem jelent gondot, de
egy nagy cégnél, amelynek a hálózata sok tartományból áll, a sebesség igencsak lecsökkenhet,
arnikor az AD DS (a) megpróbálja megtalálni a fiókunkat tároló tartományt, (b) felvenni vele
a kapcsolatot, majd (c) beléptetni rninket a tartományba. Ahhoz, hogy a kirakósjáték minden
darabja a helyére kerüljön, egy összetett AD DS rendszerben jelentős ideig kell várakoznunk.
Ezért az AD DS az erdő minden tartományából létrehoz egy részhalmazt, amelyet a globális kata
lógusnak (GC, global catalog) nevezett tárolába helyez. A globális katalógus az erdő minden
tartományát és az azokban található összes objektumot felsorolja, de az objektumoknak csak
néhány jellemzőjét tárolja. A címtár egészéhez viszonyítva ez meglehetősen kevés információ,
a kisebb méret viszont azt jelenti, hogy a katalógus könnyen átadható az erdő adott tartományve
zérlőinek Ennek eredményeképpen, amikor egy felhasználó kapcsolódik az erdő egyik tartomá
nyának valamelyik számítógépéhez, és a legközelebbi tartományvezérlő ellenőrzi a felhasználó
nevét a globális katalógusban, azonnal megtalálja a felhasználónak "otthont" adó tartományt, és
megkezdheti a hitelesítést. A globális katalógusra tehát úgy gondolhatunk, rnint a címtár tárgy
mutatójára, ami ugyanúgy segít a keresett objektum megtalálásában, rnint ahogy egy könyv
tárgymutatójában megkereshetjük, hogy mely oldalakon esik szó a rninket érdeklő témáról.
Windows Server 2008
A globális katalógus az erdő tartományaiban található valamennyi globális csoport nevét is tartal
mazza, valamint az erdő összes általános csoportjának nevét és azok tagjainak teljes listáját.
(Emlékezzünk vissza, hogy az általános csoportok az erdő bármely tartományából tartalmazhatnak
felhasználókat és más csoportokat.) Ezért nem árt, ha korlátok közé szorítjuk az általános csopor
tok alkalmazását, különben a felhasználók bejelentkezéséhez szükséges idő jelentősen megnőhet.
AD DS-szerk.ezet felépítése
Ahhoz, hogy a fejezet hátralevő részéhez megfelelő alappal rendelkezzünk, a 4. fejezetben látott
hoz hasonló módon felépítünk egy valódi AD DS-erdőt, -fát és -tartományt. A most következő
részben tehát lépésről lépésre bemutatjuk, hogy miként hozhatunk létre egy tartományt, hogyan
léptethetünk elő egy tartományvezérlőt, illetve vehetünk fel egy új tartományvezérlőt a tarto
mányba, miként adhatunk a felépítéshez egy második gyermektartományt, valamint hogy miként
egészíthetjük ki a rendszert néhány felhasználóval és csoporttaL
Az első tartomány
Az AD DS-ben az első tartomány mindig különleges, mégpedig több okból. Először is, amikor lét
rehozunk egy új tartományt, az automatikusan megkapja az első tartományvezérlőt. Ez a számító
gép, amelyen az Active Directory Domain Services Installation Wizardot (Active Directory tartomá
nyi szolgáltatások telepítővarázslója) futtatjuk Másodszor, az új tartomány a teljes erdő gyökere
lesz, ami azt jelenti, hogy különleges hatalommal bír az erdóben létrehozott többi tartomány felett,
még akkor is, ha a nevük különbözik (erre hamarosan kitérünk).
• . l - t
Welcome to the Active Directory

Domain Services Installation
Wizard
This v.1zard helps you instaH Active Da-edory Doma1n

Ser.tices (AD DS) on tns server. making the saveran
Act:ive Directorydornam corrtrolrle . To continue, dick Next
[j luse��al a�j
Lcam more aboU. the addilonal options that are
available n advanced mode installation.
More abolrt Active DirectoryDomain SeMces
5.2. ábra
Az Active Directory-tartományszolgáltatások
telepítésének kezdete
A művelet megkezdéséhez azon a számítógépen, amelyet az új tartomány első tartományvezérlő

jévé szeretnénk tenni, válasszuk a Run (Futtatás) parancsot a Start menüből, írjuk be a DCPROMO
parancsot, majd kattintsunk az OK gombra. A megjelenő képernyőt az után is elérhetjük, hogy
felvettük az AD DS szerepkört a Server Managerben (Kiszolgálókezeló), mert az utolsó ablakban
van egy hivatkozás, amellyel elindíthatjuk ezt a varázslót.
5. fejezet • Az Active Directory lf
Ekkor tehát elindul az Active Directory Domain Services Installation Wizard, amelynek első
képernyőjét az 5.2. ábrán láthatjuk.
Kattintsunk a Next (Tovább) gombra, hogy megjelenítsük a telepítési beállítások kiválasztására

szolgáló ablakot. Itt válaszhatunk, hogy a számítógépet tartományvezérlőként szeretnénk beállí
tani egy meglevő erdőben, egy már létező tartományhoz adva vagy új tartományt létrehozva
az említett erdóben, vagy egy új erdő új tartományába szeretnénk felvenni. A példa kedvéért
válasszuk a második lehetőséget, majd lépjünk tovább.
Ekkor az erdő gyökértartományának elnevezésére szolgáló ablakot láthatjuk, ahol az erdő

gyökértartományának teljesen minősített tartománynevét kell beírnunk. Ez legyen most
a corp.windowsservernet.com. Lépjünk ismét tovább, és a varázsló ellenőrzi, hogy a megadottt
erdőnév nincs-e már használatban. Ha nincs, a DCPROMO folytatja a műveletet.
Ekkor az erdő működési szintjének beállítására szolgáló képernyő jelenik meg, ahol megadhat
juk, hogy az új erdő milyen megfelelőségi szinten működjön. A következő lehetőségek álllnak
a rendelkezésünkre:
Windows 2000 erdő működési szint

Ez a mód rninden típusú (NT, 2000, Windows Server 2003 és Windows Server 2008
rendszerú) tartományvezérlőt támogat, de csoportonként csak 5000 tagot, és a globális
katalógus többszörözésének továbbfejlesztett lehetőségeit csak akkor használhatjuk ki,
ha a tartomány rninden tartományvezérlője Windows Server 2003 vagy Windows Server
2008 rendszert futtat.
Ezen a szinten elveszítjük a Windows NT és Windows 2000 rendszerű tartományvezérlők
támogatását, viszont átoevezhetjük a meglevő tartományokat, hatékonyabb AD DS-több
szörözésre nyílik módunk, és tranzitív bizalmi viszonyokat alakíthatunk ki az erdóK: között.
Furcsa módon ez a szint nem nyújt bővebb szolgáltatásokat a Windows 2003 erdő műkö
dési szinthez képest, az erdő új tartományainak azonban lehetővé teszi, hogy a Windows
Server 2008 tartományi szintjén működjenek, amelynek viszont már vannak új képességei.
Válasszuk ki a kívánt beállítást - a céljainknak most az felel meg a legjobban, ha az erdőt

a Windows Server 2008 szinten hozzuk létre, így hát válasszuk a harmadik lehetőséget a lenyíló
listából, és lépjünk tovább.
A DCPROMO ekkor egy ideig dolgozik, és megvizsgálja az adott számítógép DNS-beállításait.

Ha nem észlel DNS szolgáltatást, a következő, további tartományvezérlői beállításokra alkalmat
adó ablakban megkér rninket, hogy telepítsünk egyet. Választhatunk, hogy csak a DNS-kiszolgá
lót telepítjük, vagy egy globáliskatalógus-kiszolgálót (erről késóbb bővebben is szót ejtünk), illet
ve egy írásvédett tartományvezérlőt is (erró1 is a fejezet késóbbi részében beszélünk). A DNS
mindenképpen szükséges, és rnivel ez lesz az első kiszolgálónk az új erdóben, egyben globális
katalógus-kiszolgálónak is kell lennie, viszont nem lehet írásvédett tartományvezérlő. Telepítsük
a DNS-t, vagyis jelöljük be az első jelölőnégyzetet, és kattintsunk a Next gombra.
Windows Server 2008
a DNS nem talál irányadó szülőzónát. Ez csak akkor lényeges, ha olyan környezetben telepítjük a tarto
mányvezérlőt, amelyben a DNS-t már beüzemeltük. Mivel ennek az eljárásnak a során még csak most
fogjuk telepíteni a DNS-t, ezt a figyelmeztetést figyelmen kívül hagyhatjuk (amit az üzenet is jelez).
Ekkor az adatbázis- és naplómappák megadására szolgáló ablak jelenik meg, ahol meg kell
adnunk, hogy hol szeretnénk az AD DS adatbázist (emlékezhetünk rá, hogy ez egy N1DS.DIT
nevű fájl a tartományvezérlők merevlemezén), illetve a címtár változásait nyomon követő tran
zakciónaplót elhelyezni. Ha lehetséges, az adatbázist és a naplófájlt ne ugyanarra a lemezmeg
hajtóra tegyük, mert üzemi környezetben így érhetjük el a legjobb teljesítményt. A helyet
a Browse gombok segítségével kiválaszthatjuk a fizikai fájlrendszerből, de az elérési utat beírhat
juk közvetlenül is a megfelelő mezőkbe. Ha végeztünk a helyek kiválasztásával, lépjünk tovább.
A következő képernyő a rendszergazdai jelszót kéri a címtárszolgáltatások helyreállító módjához.

Itt adhatjuk meg azt a jelszót, amely ahhoz szükséges, hogy valaki hozzáférhessen az AD DS
helyreállító módjának eszközeihez, rnielőtt a Windows elindulna. Adjunk meg valarnilyen bizton
ságos jelszót, ami különbözik minden más rendszergazdai jelszótól, majd írjuk le és zárjuk el egy
biztonságos helyre. Valószínűleg nem lesz rá szükség túl gyakran. Ha beállítottuk a jelszót, kat
tintsunk a Next gombra.
ÓÍ Active D1rectory Dornam Serv&ces lnstallation Wtzard 't� x
Compieting the Active Directory

Domain Services Installation
Wizard
�- f.s IVe Oirectort Doman Services is now instaled on ths ,.,

omputerforthe domain COfp.'Nildowsservemet.com.
ktive ORdO!}' -•n controler � assig)ed to the

e Defauft..f=nt-Site-Name. You can manage sites wi!h
.Adive Oirect01y Sites and Services administrative
ol .
l
To dosethis wizard, dlck Finish.
5.3. ábra
Sikeres AD DS-telepítés
bázisában tárolódik, és csak bizonyos módszerekkel érhető el, amelyek közül az egyik a helyreállító
5.
mód használata. Ami még érdekesebb, hogy a címtárszolgáltatások helyreállító módja valójában
a Windows Server 2008 egyfelhasználás módja. A címtárszolgáltatások helyreállításához szükséges
jelszót a címtár egyáltalán nem tárolja, így az nem is többszöröződik más tartományvezérlőkre.
Miután továbbléptünk, az utolsó, összegző képernyőt látjuk. Ellenőrizzük, hogy a választásaink

megfelelőek voltak-e, majd a Next gombbal indítsuk el az AD DS telepítését és az adott számí
tógép előléptetését tartományvezérlővé az új tartományon belül. A telepítés eltarthat egy ideig.
Ha sikerrel járt, az 5.3. ábrán látható értesítés jelenik meg.
Gratulálunk! Felépítettünk egy új tartományt, és a számítógépünket előléptettük tartományve

zérlővé. A folytatáshoz újra kell indítanunk a számítógépet
Az AD DS eszközeinek használata
Mielőtt továbblépnénk, meg kell ismerkednünk azzal a három eszközzel, amelyet AD DS-rend
szergazdaként a leggyakrabban fogunk használni. Természetesen mindhárom eszközt a Server
Managerben, a megfelelő nevű szerepkör csomópontja alatt találhatjuk
Az első eszköz az Active Directory Users and Computers (Active Directory- felhasznáJók és
számítógépek), amelynek segítségével létrehozhatjuk az AD DS-felépítést egy tartományban,
felhasználókat és csoportokat adhatunk hozzá, beállíthatjuk a fiókok tulajdonságait, és általá
nosságban kezelhetjük a címtár mindennapi műveleteit. Az Active Directory Users and
Computers alapértelmezett ablakát az 5.4. ábra mutatja.
Active Directory Users

[j Saved Queries
B i'i! corp.Wíndowsservernet.com
�LJ Builtin
�Computers
lij l.l.iuff!iel3.l,iif!i·M
� ForeignSerurityPrindpa!s
Ü Users
5.4. ábra
Active Directory-felhasználók és -számítógépek
A következő eszköz az Active Directory Domains and Trusts (Active Directory - tartományok és
megbízhatósági kapcsolatok). Ennek a segédprogramnak a segítségével bizalmi viszonyt építhe
tünk ki a tartományok között, és megemelhetjük a tartomány működési szintjét, hogy hozzá
férjünk az Active Directory új szolgáltatásaihoz. Az Active Directory Domains and Trusts alapér
telmezett ablakát az 5.5. ábrán láthatjuk.
5.5. ábra
Active Directory-tartományok és -bizalmi viszonyok
Végül ismerkedjünk meg az Active Directory Sites and Services (Active Directory -helyek és
szolgáltatások) nevű grafikus eszközzel, amellyel az AD DS felépítését a hálózatunk földrajzi
kialakításához igazíthatjuk, így a többszörözési forgaimat a leggyorsabb és legalacsonyabb költ
ségű kapcsolatokra irányíthatjuk Azt is meghatározhatjuk, hogy a hálózatunk számítógépei
hogyan érhetők el különböző álhálózatok megadásával, ami növeli annak az esélyét, hogy
az ügyfelek a hozzájuk legközelebb eső tartományvezérlőre fognak bejelentkezni. Az Active
Directory Sites and Services alapértelmezett ablaka az 5.6. ábrán látható.
au Sites
Li Subnets
-a !d Inter-Site Transports
l±liWJIP
1±1 2j SMTP
El l Defauit.first-5ite-Name
B W Servers
a Jl WDSTEST
If NTDS Setfugs
5.6. ábra
Active Directory-telephelyek és -szolgáltatások
A fejezet hátralevő részében mindhárom eszköz használatára sor kerül, de most haladjunk tovább.
Új tartományvezérlő hozzáadása egy tartományhoz

Egy újabb számítógép előléptetése tartományvezérlővé egy meglevő tartományban még
könnyebb annál, mint ahogy az első számítógépet ruháztuk fel ezzel a ranggal az újonnan
létrehozott tartományban. A feladat végrehajtásához ebben az esetben is a DCPROMO varázslót
használhatjuk
5.
Először is indítsuk el ugyanúgy a DCPROMO-t, rnint korábban, és abban az ablakban, amelyik

megkérdezi, hogy rnilyen műveletet szeretnénk végrehajtani, válasszuk az Additiorral domain
controller for an existing domain (tartományvezérlő hozzáadása egy meglevő tartományhoz)
lehetőséget. Ezt követően kattintsunk a Next gombra, és a megjelenő, a hálózati azonosítók
megadására szolgáló Network Credentials képernyőn írjuk be a tartományi rendszergazda
fiókjának felhasználónevét és jelszavát, majd lépjünk ismét tovább. Adjuk meg annak a tarto
mánynak a teljes kanonikus DNS-nevét, amelybe az adott gépet tartományvezérlőként szeret
nénk felvenni, majd haladjunk tovább a varázslóban a Database and Log Files ablaktól az előző
részben leírtak szerint. Ha a varázsló befejezte a műveletet, és újraindítottuk a számítógépet,
máris előttünk áll a tartomány egy hivatalos tartományvezérlője.
Új tartomány felvétele
A gyermektartományok felvétele hasonlóan egyszerű: elindítjuk a DCPROMO-t, és új tartomány
létrehozására utasítjuk, de új erdő létrehozása nélkül. Ezzel egy a/tartományt adunk a meglevő
tartományfához. A Network Credentials képernyő az erdő ahhoz a tartományhoz fogja kérni
a tartományi rendszergazda fiókjának azonosítóit, amelyben az új tartományt létre szeretnénk
hozni. Ha megadtuk a felhasználónevet és a jelszót, a Name the New.Domain (az új tartomány
elnevezése) képernyő jelenik meg, amelyet az 5.7. ábrán láthatunk.
Name the New Domain
'
Type the fuiy qualified doman name {FQON) r:i the parent domm or elek Browse to
select 4. Then 1;1>" the singi<Habel DNS name of the new child domain.
FODNoftheparentdomaltl:
jscnbnertechmediacorpJocal
� _
l'-Brow se�l
Exampie: corp .contoso .com
S'ltlgle1abel DNS name of the child domaín:
ldogfoodl
h_
&:amp�e:headciUarteti
FODN of the new child doman:

�od.oCilbnertechmediacorp.lbcal
JI
Í!xampie· headquerteTS.corp.contoso.com
=< Back Next> CaiiCel

5.7. ábra
Az új gyermektartomány elnevezése
Itt meg kell ruandanunk az AD DS-nek, hogy melyik tartományt szeretnénk bővíteni, majd ne
vet kell adnunk a szülőfához hozzáadni kívánt gyermektartománynak A Browse gombbal ke
reshetünk a címtárban, de magunk is beírhatjuk a nevet. A második mezőbe az új gyermektarto
mány nevének csak az első részét kell beírnunk, mert az alatta levő mező önműködően mutatja
a gyermektartomány teljes nevét. Ha készen vagyunk, lépjünk tovább.
Ezt követően előfordulhat, hogy hibaüzenetet kapunk, attól függően, hogy rnilyen típusú erdőbe
próbáljuk telepíteni az új tartományvezérlót (lásd az 5.8. ábrát). Esetleg futtatnunk kell az Active
Directory-előkészítő eszközt, amelyet a Windows Server 2008 telepító1emezének \sources\adprep
-f11 Windows Server 2008
mappájában találhatunk meg. Egyszerűen írjuk be az adprep /forestprep parancsot a pa
rancssorba, és a parancsfájl automatikusan végrehajtja a szükséges változtatásokat az erd6ben.
Ha a parancsfájl befejezte a működését, újra elindíthatjuk a DCPROMO-t, ismételten megadva
a tartomány adatait és az új beállításokat, és folytathatjuk a műveletet a varázslóban.
Ot Active Directory Domam Servtees Installation Wttard �«"'
To IlstaR a domaJn controler into this Active Directory forest, you

must first prepare the forest usilg 'adprep /forestprep". lhe
Adprep utility is avaiable on the Windows Server 2008 mtaOation
media in the \sourceslpdprep fulder.
5.8. ábra
OK A varázsló előkészítetlen erdőre
figyelmeztető hibaüzenete
A varázslóban ezt követően hasonlóan haladhatunk, mint ahogy az el6z6 részben leírtuk Egy
apróságra azonban fel kell hívnunk a figyelmet: ha a tartománynak sok adatot kell többszöröznie
az új tartományvezérlőre, az el6léptetés hosszú ideig tarthat. A varázsló utolsó ablaka felkínálja
a lehetőséget, hogy a többszörözést késóbb végezzük el, és kísértést érezhetünk, hogy éljünk ez
zel a lehetőséggeL Ez valóban csökkenti az ahhoz szükséges id6t, hogy egy új tartományvezérlőt
működésbe hozzunk egy már létez6 tai-tományban, a többszörözést mégis javasolt rögtön végre
hajtani. Csak olyan esetben nem célszerű ezt azonnal elvégezni, ha egy olyan fiókirodában
állítunk fel új tartományvezérlőt, amely nagyon lassú kapcsolaton keresztül éri el a központot
Ha ez a helyzet, akkor jobb, ha megvárjuk a munkaid6 végét, és hagyjuk, hogy a többszörözés
akkor menjen végbe. Minden más esetben azonban javasolt nyomban elvégezni a többszörözést,
és egyszerűen kivárni, amíg befejez6dik.
Felhasználók és csoportok kezelése

Egy többfelhasználás rendszerben természetesen kiemeit fontosságúak a felhasználói fiókok és
csoportok, amelyeket az AD DS-ben a kicsit feljebb tárgyalt Active Directory Users and Computers
eszközzel hozhatunk létre. (Ebben a részben az ADUC rövidítést fogom használni, hogy ne kelljen
újra és újra beírnom azt, hogy Active Directory Users and Computers.) Az ADUC-ban felhasználói
fiókokat hozhatunk létre, módosíthatunk és törölhetünk, kezelhetjük a csoportokat és a tagjaikat,
valamint csoportházirendeket határozhatunk meg. (Ez utóbbi témát meghagyjuk a 6. fejezetnek.)
Felhasmá/6k és csoportok létrehozása

Nézzük meg, hogyan hozhatunk létre felhasználókat és csoportokat az ADUC-ban! A dolog egy
szerű. Először el kell döntenünk, hogy rni legyen a felhasználó vagy csoport neve. A Windows
Server 2008-ban szinte bármilyen nevet választhatunk egy felhasználó vagy csoport számára, de
az alábbi korlátozásokat észben kell tartanunk:
• A névnek egyedinek kell lennie a tartományon belül (amennyiben tartományi felhasználót

hozunk létre) vagy a számítógépen (ha helyi felhasználói fiókot készítünk).
• A név legfeljebb 20 karakterból állhat.
• A név nem tartalmazhatja a következ6 karakterek egyikét sem: " l\ [l :; l = , + * ? < >
• A név nem állhat csak szóközökb61 vagy csak pontokból, bár ezek a karakterek (ha nem
adunk meg többet is egymás után belőlük) elfogadhatók egy névben.
5. fejezet • Az Active Directory lit}-
Felhasználó létrehozásához kövessük az alábbi lépéseket:
1. Nyissuk meg az ADUC ablakát.

2. A bal oldali ablaktáblában jelöljük ki azt a tárolót, amelyikbe fel szeretnénk venni az új
felhasználót. Kattintsunk rá az egér jobb gombjával, és a New menüből válasszuk a User
(Felhasználó) elemet.
3. Ekkor a New Object- User ablak jelenik meg, amelyet az 5.9. ábrán láthatunk. Írjuk be
a felhasználó keresztnevét, középső nevét és vezetéknevét a megfelelő mezőkbe;
a program automatikusan kitölti a Full name (Teljes név) mezőt. A User logon name
mezóben adjuk meg a kívánt bejelentkezési nevet a felhasználó számára, majd kattintsunk
a Next gombra.
t Createín; COfP.�emet.com/Us.,.
fntn-:
tast:name:
ft.i�:
lisortogon name:
·w:��-=��-��-:�" ffl�
___
5.9. ábra
Új felhasználó felvétele
l Creale1n: CQIP.Wíndo\\�-t\lseB
Passwml:
Confím1 pa$$W<ml;
�·Usermust <hange pa..,...."; at """'logon

U.on::annot change .,..._rt!
Ne:<!> 5.10. ábra

Az új felhasználó jelszavának megadása
4. A következő képernyő az, ahol megadhatjuk a felhasználó kezdeti jelszavát, illetve a fiók
néhány tulajdonságát (lásd az 5.10. ábrát). Írjuk be és erősítsük meg a jelszót, majd a követ
kező négy jelölőnégyzettel döntsük el, hogy az új felhasználónak meg kelljen-e változtatnia
a jelszót az első bejelentkezéskor, egyáltalán módosíthatja-e a jelszót, a jelszó a tartomány
lejárati házirendjét kövesse-e, illetve hogy a fiókot le kívánjuk-e tiltani. (A letiltott fiókok
felhasználói nem jelentkezhetnek be.) Ha ezekkel megvagyunk, lépjünk tovább.
5. Erősítsük meg az imént megadott beállításokat, és az OK gombra kattintva hozzuk létre
a felhasználót.
Ha csoportot szeretnénk létrehozni, a következő műveleteket kell végrehajtanunk:
1. Nyissuk meg az ADUC ablakát.

2. A bal oldali ablaktáblában jelöljük ki azt a tárolót, amelyikbe fel szeretnénk venni az új
csoportot. Kattintsunk rá az 'egér jobb gombjával, és a New menüből válasszuk a Group
(Csoport) elemet.
3. Ekkor a New Object- Group ablak jelenik meg, amelyet az 5.11. ábrán láthatunk.
Írjuk be a csoport nevét, hatókörét (tartományra nézve helyi, globális vagy általános),
illetve típusát (biztonsági vagy terjesztési), majd kattintsunk az OK gombra.
New ObJect - Group f':
Createi1: CQTP.windowsservemet.comftjsers
Groop type'"=�-+---,
• Securíty
('; Distribubon
r Universal
OK
5.11. ábra
Új csoport létrehozása
Ennyi az egész: ezzel létre is hoztunk egy új csoportot.
Ha felhasználót hoztunk létre, a teendőink nem értek véget, mert még be kell állítanunk néhány
tulajdonságot, rnielőtt a felhasználói fiókot valóban használatba vehetnénk. Kattintsunk az egér
jobb gombjával az új felhasználóra az ADUC-ban, és válasszuk a helyi menü Properties (Tulajdon
ságok) pontját. Az alábbiakban összefoglaljuk a tulajdonságablak lapjain található lehetőségeket:
General (Általános)
A Generaliapon olyan adatokat adhatunk meg, rnint a felhasználó keresztneve, középső
neve és vezetékneve, a felhasználó leírása, irodájának helye, elsődleges telefonszáma,
elektronikus levélcíme, illetve honlapja. A General lapot az 5.12. ábrán láthatjuk.
Address (Cím)
Az Address lapon a felhasználó földrajzi tartózkodási helyét és postai címét adhatjuk
meg. Az Address lap az 5.13. ábrán látható.
John Q. Pubtte Properties ::""
1
Telephone i1UI11b<r: 1.......,_."""" Jl1' �·-···
Eilllli:
Webpage
5.12. ábra
OK
A Generallap
John Q. Pubfte Properties , -:"'
Slree!:
P.O.BOJ<:
City:
State/pmvinCe
Zip/Postal Code:
Couriry!reg«m:
5.13. ábra
OK
Az Address lap
Aecount (Fiók)
Az Account lapon a felhasználó bejelentkezési nevét, elsődleges neve utótagját (ezt a fo
galmat egy kicsit később tisztázzuk) és engedélyezett bejelentkezési idejét módosíthatjuk,
illetve megadhatjuk azokat a munkaállomásokat, amelyeket használhat A bejelentkezés
re rendelkezésre álló időpontokat a Logon Hours (Bejelentkezési idő) gombra kattintva,
majd az engedélyezni vagy letiltani kívánt időtartamokat beállítva adhatjuk meg.
A használható munkaállomások beállításához kattintsunk a Logon To gombra, de
ne feledjük, hogy ennek a korlátozásnak az érvényre juttatásához a hálózaton működnie
kell a NetBIOS protokollnak
A fentieket kívül ezen a lapon további lehetőségeket is találunk. Megadhatjuk, hogy
a felhasználónak meg kelljen változtatnia a jelszavát, amikor legközelebb bejelentkezik,
hogy a jelszót nem módosíthatja, hogy a jelszava soha nem jár le, hogy a Windows
Windows Server 2008
a jelszót gyengébb, visszafejthető titkosítással tárolja, hogy a fiókot le akarjuk tiltani, hogy
a bejelentkezéshez a jelszó mellett okoskártyát is kell használni, hogy a fiók az olyan
szaftveres szolgáltatásokhoz készült, mint az Exchange, ezért képesnek kell lennie más
rendszererőforrások elérésére, hogy a fiók nem megbízható, hogy a fiókhoz DES titkosítás
szükséges, illetve hogy a Kerberos protokollnak egy másik megvalósítását kell használni.
Az Account lapot az 5.14. ábrán láthatjuk.
5.14. ábra
Az A ecount lap
5.15. ábra
A Profile lap
Profile (Profil)
A Profile lapon a felhasználó profiljának elérési útját adhatjuk meg. A felhasználói profil
a felhasználó Asztalának és Start menüjének tartalmát, valamint a felhasználó egyéb testre
szabott beállításait (tapéta, színséma stb.) tartalmazza. A profil tárolásának helyét a Profile
Path mezóbe írhatjuk be. A felhasználó kezdőkönyvtárának helyét is meghatározhatjuk; ez
5. fejezet • Az Active Directory l@-
az az alapértelmezett hely, ahol a legtöbb Windows-alkalmazás az adott felhasználó
adatait tárolja. Úgy is dönthetünk, hogy a felhasználó kezdőkönyvtárához automatikusan
hozzárendelünk egy konkrét meghajtó-betűjelet A Profile lapot az 5.15. ábrán láthatjuk.
Telephones (Telefon)
A Telephones lapon kölönböző telefonszámokat adhatunk meg, amelyek megfelelnek
az adott felhasználó otthoni vezetékes telefonjának, mobiltelefonjának, személyi hívójának,
faxának, illetve IP-telefonjának. A Telephones lapot az 5.16. ábra mutatja.
Organization (Szervezet)
Az Organization lap az a hely, ahol megadhatjuk a felhasználó hivatalos beosztását, a rész
leget, ahol dolgozik, a vállalat nevét, amelynek az alkalmazottja, a közvetlen feletteseit,
valarnint a főnökének a nevét. Az Organization lapot az 5.17. ábrán láthatjuk.
John Q. Pubhe Properties :r,

•·
IP phone
Notes:
:cl
5.16. ábra
OK
A Telephones lap
5.17. ábra
OK
Az Organization lap
-'1•1 Windows Server 2008
Remote control (Távvezérlés)
Ezen a lapon, amelyet az 5.18. ábra mutat, a terminálszolgáltatások tulajdonságait találjuk
Részletesen a 9. fejezetben mutatjuk be.
Terminal Services Profile (Terminálszolgáltatás profilja)
Ezen a lapon, amelyet az 5.19. ábrán tekinthetünk meg, szintén a terminálszolgáltatásokhoz
kapcsolódó tulajdonságokat találunk, ezért részletesen ezt is a 9. fejezetben mutatjuk be.
COM+(COM+)
A COM+ lapon a felhasználókat a különböző kiszolgálók COM+ lemezrészein található
alkalmazásokhoz rendelhetjük A COM+ lap az 5.20. ábrán látható.
Member Oj(Tagság)
A Member Of lap a felhasználó csoporttagságát mutatja. Alapértelmezés szerint minden fel
használó a Domain Users (tartományi felhasználók) csoport tagja. Ha a felhasználót további
csoportokba szeretnénk felvenni, kattintsunk az Add (Hozzáadás), ha pedig el szeretnénk
távolítani valamelyik csoportból, a Remave (Eltávolítás) gombra (lásd az 5.21. ábrát).
5.18. ábra
A Remo te controllap
5.19. ábra
A Terminal Services Proftie lap
5. fejezet • Az Active Directory ll§-
John Q. Pubtic Properties �1 "';
Ths user IS a memberof the followf"lg COM'$'partmon sei·
r:-� 3
�·'·'·'·
5.20. ábra
OK Caritel
A COM+ lap
John Q. Pubbc Properties ';�
5.21. ábra
A Member Of lap
�
�
John Q. Public Properties
5.22. ábra
OK A Dial-in lap
Windows Server 2008
Dial-in (Betárcsázás)
A2 5.22. ábrán látható Dial-in lapon különféle távelérési lehetőségeket és tulajdonságokat
állíthatunk be a felhasználó számára. A2 útválasztással és a táveléréssei részletesen
a ll. fejezetben foglalkozunk majd.
Environment (Környezet)
Az Environment lap, amelyet az 5.23. ábra mutat, ismét a terminálszolgáltatásokhoz
kapcsolódó tulajdonságokat tartalmaz, ezért részletesen ezt is a 9. fejezetben mutatjuk be.
Sessions (Munkamenetek)
A2 5.24. ábrán látható Sessions lap is a terminálszolgáltatások tulajdonságaival kapcsolatos;
a lehetőségek részletes magyarázatát lásd a 9. fejezetben.
John Q. Publte Properties � f%
Use this tab to corílgure the Tem1Írlal SeMces stamJp enWootnent. These
s<l!!!ngs ovenide dlent-specified se!tlngs
5.23. ábra
Az Environment lap
John Q. PubiK: Properties -.,ilj{ii

·.,
Use this tab to set TemW:la! SeMces l>n""" and roconnection se!Wlg•
�
Vtlhen a sesstOn limit JS readled or connection ls broken:

r. Dscomect from.....,.,
c End,..,...,
.Allow recoMeetion:
• From eny dlent

(' from Origonaling door< onfJ
5.24. ábra
OK
A Sessions lap
5. feiezet • Az Actíve Directory
Amikor új csoportot hozunk létre, kevesebb tulajdonságot kell beállítanunk. Ezeket a csoportokra
vonatkozó beállításokat részletezzük az alábbiakban:
General (Általános)
A General lapon olyan adatokat adhatunk meg, mint a csoport neve és rövid leírása,
a csoport elektronikus levélcíme, hatóköre és típusa, valamint bármely olyan megjegyzés,
amelyet magunknak vagy más rendszergazdáknak a csoporthoz szeretnénk fűzni.
Ezt a General lapot az 5.25. ábrán láthatjuk.
Members (Tagok)
A Members lap a csoport jelenlegi tagjait sorolja fel. Ha tagokat szeretnénk felvenni
a csoportba, vagy törölni szeretnénk egyes tagokat onnan, kattintsunk az Add, illetve
a Remave gombra. A Members lap az 5.26. ábrán látható.
Heipdeok Aeoresentativ..
Description:
E-mai:
Group scope ..
l'fGroup• type
for J� l� l� l , · • ..� Secuty
(:' Global • . .CJ DostributJon
l (' Un.venoi ;:. !.th .. l
Notes
5.25. ábra
A Generallap
Mlf!t§i·!§·ii%19rlffiMMZiK-- L __
__
J: />ctJve 0;n,ct01y Ilomain SeMces Folder
·c;;nc
5.26. ábra
OK el
A Members lap
-�� Windows Server 2008
A szokványos felügyeleti feladatok elvégzése
Az ADUC-ban néhány ügyes trükk segítségével egyszerre több fiókon végezhetünk műveleteket,
ami az ismétlődő módosítások végrehajtását némileg kevésbé fárasztóvá teszi. Az ADUC-ban
például egyszerre több fiókot is kijelölhetünk, ha az egyik fiókra kattintunk, majd végrehajtjuk
az alábbi két művelet egyikét:
• A SHIFT billentyűt nyomva tartva kijelölünk egy másik fiókot, és ezzel egyben a két fiók
közötti tartományban levő összes fiókot is kijelöljük
• A CTRL billentyűt nyomva tartva a kívánt fiókokra kattintunk, így egyenként a kijelöléshez
adhatjuk azokat.
Ezt követően az egér jobb gombjával a fiókok csoportjára kattinthatunk, és olyan műveleteket
végezhetünk, mint a közös tulajdonságok módosítása vagy elektronikus levelek küldése . Amikor
egyszerre több fiókra kattintunk az egér jobb gombjával, a Properties menüpontot választva
az 5.27. ábrán látható ablak jelenik meg.
To change • prope!yformt>líple ob]ec:b. fiB! soled the obecl<boxlo

et1able the cll
ange . and then type the change.
o.".nding on the Ollllbe<of ob,ecls selected. � migft have to waít while

the chonge. ...oppied.
5.27. ábra
Több fiók tulajdonságainak egyidejű módosítása
Ebben az ablakban egyszerre több fiókot módosíthatunk. Az egyes fiókokkal kapcsolatban elér
hető lehetőségek egy részéhez nem férünk hozzá, de az olyan szokványos feladatokat, mint
a fiókok UPN utótagjának megváltoztatása, a jelszó kötelező megváltoztatásának előírása vagy
az okoskártya megkövetelése a bejelentkezéshez, egyszerűen elvégezhetjük ezen a képernyőn.
Felhasználók létrehozása az LDAP segftségével

Az AD DS tartalmának elérésére és módosítására szolgáló alapprotokoll az LDAP. A felhaszná
lók és csoportok létrehozásának automatizálására is LDAP stílusú karakterláncokat használha
tunk, néhány parancssori eszközzel együttesen alkalmazva.
Először nézzük meg, hogyan épül fel egy LDAP-azonosító. Tegyük fel például, hogy a szerző,
Jonathan Hassell, az SBSUsers tárolóban található a hasselltech.local tartományon belül.
5. fejezet • Az Active Directory Ilf-
Ennek alapján az LDAP-neve ez lesz:
Cn="Jonathan Hassell",cn=SBSUsers,dc=hasselltech,dc=local
A "Cn" rövidítés a tárolóra (container) utal, míg a dc" egy tartománynév (domain name)
"
összetevőire (component). Az enterprise.com Charlotte tárolójába helyezett Marketing tárolóban
található Lisa Johnson nevű felhasználó LDAP-neve a fentiek szerint így alakul:
Cn="Lisa Johnson",cn=Marketing,cn=Charlotte,dc=enterprise,dc=com
A címtárban levő felhasználóneveket az úgynevezett felhasználói elsődleges név vagy UPN

(user principal name) jelöli. Az UPN-ek úgy néznek ki, mint az e-mail címek, és egyes esetekben
valódi elektronikus levélcímek is lehetnek, de az LDAP összefüggésében a címtár egy adott
felhasználójának azonosítására és kiválasztására szolgálnak. Tehát ha az én felhasználónevem
jhassell, az UPN-em ez lesz:
jhassell@hasselltech.local
Ha pedig Lisa Johnson felhasználóneve !johnson, az ő UPN-je így fest:
ljohnson@hasselltech.local
Most, hogy tudjuk, hogyan adhatunk meg bizonyos tulajdonságokat az LDAP-ben, a DSADD
segédprogram segítségével a parancssorból is létrehozhatunk felhasználókat. A DSADD haszná
latának előnye, hogy a parancsokat egy parancsfájlba gyűjthetjük, hogy önműködővé tegyük
a felhasználói fiókok létrehozását.
A DSADD egy felhasználót ad az AD DS-hez. Például ha egy JH-WXP-DSK nevű számítógépet

szeretnénk az Admin nevű szervezeti egységhez adni a tartományi rendszergazda fiókján ke
resztül bejelentkezve, a következőket kell beírnunk:
dsadd computer CN=JH-WXP-DSK,OU=Admin,DC=hasselltech,dc=local -u

administrator -p
A program természetesen kérni fogja a jelszót.
Vegyünk egy másik példát: ha az sjohnson (Scott Johnson, akinek az e-mail címe
sjohnson@hasselltech. net, kezdeti jelszava pedig changeme") nevű felhasználót kívánjuk a Sales
"
nevű szervezeti egységhez adni, és a Presales csoport tagjává szeretnénk tenni, az alábbi paran
csot használhatjuk
dsadd user cn=sjohnson,ou=sales,dc=hasselltech,dc=local -upn
sjohnson@hasselltech.lacal
-fn Scott -ln Johnson -display
"Scott Johnson" -password changeme -email
sjohnson@hasselltech.lacal
-memberof cn=presales,ou=sales,dc=hasselltech,dc=local
A program természetesen most is jelszót fog kérni.

Windows Server 2008
Most már valószínűleg képet tudunk alkotni arról, hogy miként működik a dolog. A DSADD
segítségével szervezeti egységeket (OU-kat) is felvehetünk. A "support" nevű OU felvétele
például a következő utasítással történhet:
dsadd ou cn=support,dc=hasselltech,dc=local
Átruházás
Az AD DS egyik messze leghasznosabb szolgáltatása, hogy lehetővé teszi, hogy megengedjük más
felhasználóknak, hogy részleges felügyeleti jogot gyakoroljanak a címtár egy része felett - ezt
az eljárást nevezzük átruházásnak. A felügyeleti jogkör átruházásával levehetünk némi terhet
a rendszergazda válláról, és valaki másra rakhatjuk Előfordulhat például, hogy a saját részlegünk
egyik dolgozóját fel szeretnénk hatalmazill arra, hogy visszaállíthassa a részleg többi dolgozójának
jelszavát, vagy részidős diákokat szeretnénk alkalmazni technikusként, és képessé szeretnénk ten
ni őket arra, hogy új felhasználókat hozzanak létre, illetve segítsenek megtalálni az alkalmazottak
elvesztett jelszavait Az AD DS-ben az átruházáson keresztül mindezt könnyen megtehetjük
Teendőinket még egy varázsló is segíti. A szükséges műveletek valahogy így festenek:
1. Válasszuk ki azt az Activde Directory-tárolót, amelyhez felügyeleti jogokat szeretnénk

biztosítani.
2. Hozzunk létre egy felhasználócsoportot (vagy jelöljünk ki egy már létező csoportot),
amelyre átruházzuk a felügyeleti jogkört.
3. A Delegation of Control Wizard segítségével adjuk meg a jogokat.
Lássunk is neki! Az ADUC-ban jelöljük ki azt a szervezeti egységet, amelynek a felügyeleti jogát
át szeretnénk ruházni másokra, kattintsunk rá az egér jobb gombjával, és a megjelenő helyi
menüből válasszuk az ellenőrzés átruházását lehetővé tevő Delegate Control lehetőséget. Ekkor
megjelenik a Delegation of Control Wizard. Ha továbblépünk a bevezető képernyőről, a Users
or Groups ablakot fogjuk látni, amelyet az 5.28. ábra mutat.
Ezen a képernyőn kattintsunk az Add gombra, és jelöljük ki azokat a felhasználókat vagy

csoportokat, akikre át szeretnénk ruházni a jogokat. Ha befejeztük a kívánt felhasználók
hozzáadását, lépjünk tovább a Tasks to Delegate ablakra, amelyet az 5.29. ábrán láthatunk.
' - l ' • • • � " • �
u.ers or Groups
Select one or more users or groups to Y\tlom you warrt. to delegate control
<Back
5.28. ábra
A Users or Groups képernyő
5.
Delegation of Control Waard ""'r -

��
Tasles lo
You canDelegale
sered common tasks or customize your o.,..,".
f\
(.;, Delegatethe folow111g common tasks:
D Create. delete. manage user accourts

and
D Reset user passwOJds and focce password next
change at klgon
D Read al user inionnalion
D Create, delet and manage
e groups
D Modify the membeBhip of a group
D Create. delete,and manage inetOtgP=on accoun!s
�.:e� '"�:�:·:��:d•:nd�::epass�orn cha�;a:.;J:
O. Create a custom lasic to
delegate
5.29. ábra
A Tasks to Delegate képernyő
Ebben az ablakban a leggyakrabban átruházni kívánt feladatokat láthatjuk, koztük olyanokat,

mint a felhasználói fiókok kezelése, a jelszavak visszaállítása, a csoportok kezelése, illetve
a Csoportházirendek felügyelete. A példa kedvéért jelöljük be a második lehetőséget (a felhasz
nálói jelszavak visszaállításának képességét), majd lépjünk tovább.
A varázsló utolsó ablakában meg kell erősítenünk a választásainkat Tegyük is meg a Finish
gombra kattintva, és ezzel az átruházást teljessé tesszük.
MMM Sajnos nincs rá mód, hogy naplózzuk az átruházási beállításokat, ezért mindig
készítsünk nagyon részletes és pontos leírást róluk, mivel a felhasználói felületen
nem tudjuk nyomon követni őket.
Mindazonáltal az új DSREVOKE eszköz a segítségünkre lehet. Ez az eszköz képes jelentést készíteni

egy adott felhasználó vagy csoport összes olyan jogosultságáról, amely szervezeti egységek egy adott
halmazára vonatkozik, és arra is lehetőséget ad, hogy az adott OU-k hozzáférés-szabályozási listáiból
(ACLJ töröljük ennek a felhasználónak vagy csoportnak az összes jogosultságát. Ezzel lényegében
visszavonhatjuk az átruházott felügyeleti jogkört, bár nem olyan egyszerűen, mint ahogy egy grafikus
felületű segédprogramban tehetnénk. Ha többet szeretnénk tudni erről az eszközről, keressük fel
a http://download.microsoft.com/download/b/7 If/b7 f527a9-5980-47 b0-b38e-6d7 a52a93da5
/Dsrevoke.doc oldalt.
A múveleti mester szerapkörei

Ahogy korábban említettük, az AD DS-ben minden tartományvezérlő majdnem egyenlőnek szá
mít, vagyis mindegyikük frissíthető, és a változásokat többszörözheti a többi tartományvezérlő
re. A központosításnak ez a hiánya éles ellentétben áll a Windows NT 4.0 tartományaival, ame
lyekben csak egy elsődleges tartományvezérlő (PDC) fogadta a címtárobjektumok módosításait,
és mellette tetszőleges számú tartalék tartományvezérlő (BDC) tárolt csak olvasható példányt
a fiókadatbázisról. A BDC-k hitelesíthették a felhasználókat, de a tartományi fiókok bármely jel
lemzőjének bármilyen módosítása csak a PDC-vel való közvetlen kommunikáció útján mehetett
végbe. Mivel a PDC tette közzé a fiókadatbázis - más néven SAM adatbázis - példányait a tarto-
Windows Server 2008
mány BDC-i számára, ezt a fajta többszörözést egyrnesteres többszörözésként ismerték, rnivel
egyetlen mesterszámítógép ("főkiszolgáló") közölte a változásokat a kevesebb képességgel
felruházott szolgákkal.
Az AD DS színrelépésével a legtöbb műveletet illetően lényegében eltűntek a különbségek

a tartományvezérlők között. Hacsak a tartományunk nem az NT köztes működési szintjén
üzemel (erről a fejezet későbbi, az áttelepítésről szóló részében ejtünk szót), a tartomány
rninden tartományvezérlője fogadhat adatmódosítást az adott tartományra vonatkozóan, és
az objektumok változásait többszörözheti a társaira. Ezt a fajta felépítést általában többrnesteres
többszörözésnek hívják, rnivel rnindegyik tartományvezérlő mesterként viselkedik, addig továb
bírva a változásokat a többi tartományvezérlőnek, amíg azokat teljesen át nem másolta.
A többszörözéssei részletesen foglalkozunk a következő részben, de a bevezetőnkkel kapcso

latban egy alapvető problémára fel kell hívnunk a figyelmet: a decentralizált megközelítésnek
vannak hátrányai. Az erdőkön és tartományokon belül végrehajott műveletek némelyike jókora
felfordulást okozhat, ha úgy végezzük el azokat egyidejűleg két tartományvezérlőn, hogy előtte
nem került sor többszörözésre. Vegyük például a következő eseteket:
• Két személy megváltoztatja az Active Directory-séma jellemzőit két különböző tartomány

vezérlőn, és létrehoz egy CC nevű jellemzőt. Az egyikük azt szeretné, ha ez a jellemző
a hitelkártyaszámokat (credit card) tárolná, míg a másik azt, ha a névjegykártyákon (calling
card) feltüntetett számokat. Melyik választás érvényesül, és rnilyen körülmények között?
•
Egy rendszergazda egy a vállalat központjától földrajzilag távol eső helyen létrehoz egy új
tartományt, majd nyolc órával később {még a következő többszörözés előtt) a központban
valaki más létrehozza ugyanezt a tartományt, azt gondolva, hogy ezt még senki nem tette
meg. Melyik tartomány nyer?
•
Két különböző tartományvezérlő biztonsági azonosítókat (SID) rendel néhány új objek
tumhoz, és az egyik objektum az egyik tartományvezérlőn véletlenül ugyanazt az SID-t
kapja, rnint egy másik objektum a másik tartományvezérlőn. Hogyan különbözteti meg
az AD DS a két objektumot, ha ugyanaz a biztonsági azonosítójuk?
•
A hálózatunkban még mindig vannak tartalék tartományvezérlőként működő NT
tartományvezérlők. (Ez ma még igen-igen gyakori.) Amint tudjuk, az NT rendszerű tarto
mányvezérlők nem képesek a többrnesteres többszörözésre, ezért rnindnyájuknak meg
kell egyezniük egy helyben, ahonnan frissíthetik a SAM adatbázisukat Melyik Windows
Server 2008 rendszerű tartományvezérlő tölti majd be ezt a szerepet?
•
Egy tartományvezérlőhöz kapcsolódva átnevezünk egy felhasználót vagy egy bizonyos
csoport tagjává tesszük, de a változást át kellene másolnunk arra a tartományvezérlőre,
amelyik a kérdéses felhasználó helyi tartományvezérlője. Hogyan gyorsíthatjuk fel
ezeknek a létfontosságú jellemzőknek a többszörözését az AD DS-ben - mondjuk hogy
előnyt élvezzenek a felhasználó telefonszámaiban bekövetkezett változások közzététe
lével szemben?
Világos, hogy egyes tartományvezérlők nagyobb hatalommal kell rendelkezzenek, rnint mások,
egyszerűen azért, mert néha minden számítógépnek szüksége van vezetőre. Nos, az AD DS
nem teljesen önirányító. A Microsoft a problémát úgy oldotta meg, hogy különleges szerepkörö-
5.
ket valósított meg, amelyeket az AD DS egyes tartományvezérlőihez rendelhetünk: ezeket

műveletmesteri szerepköröknek hívják (vagy "rugalmas egyműveletimesteres" szerepköröknek,
de az előbbi a hivatalos elnevezés). Öt ilyen szerepkör létezik, amelyeket itt abban a sorrend
ben sorolunk fel, ahogy a fenti forgatókönyvekre megoldást nyújtanak
• Sémamester (erdőnként egy)

• Tartománynév-kiosztó (erdőnként egy)
• RID-mester (tartományonként egy)
• PDC-utánzó (tartományonként egy)
• Infrastruktúra-mester (tartományonként egy)
A fenti szerepköröket tartományonként egy-egy számítógép töltheti be, a sémamestert és

a tartománynév-kiosztót kivéve, amelyekből erdőnként egy lehet. A séma változásai ugyanis
az egész erdőt érintik, két tartománynak pedig nem szabad, hogy pontosan ugyanaz legyen
a neve egyazon AD DS-erdőn belül. Az RID-k azonban tartományokra vonatkoznak, elsődleges
tartományvezérlője szintén egy adott tartománynak lehet, az infrastruktúra-mesterek pedig csak
a tartományokon végrehajtott változtatásokért felelnek, nem a teljes erdőért.
Egy erdő első tartományvezérlője egyszerre betölti mind az öt fenti szerepet, az erdő
második tartományának első tartományvezérlője pedig a három tartományi hatáskörű
szerepkört. Ha egy hálózatban csak egyetlen tartományvezérlő található, az mind az öt szerepkört birto
kolni fogja.
Sémamester
Egy erdóben a sémamester nagyon fontos szerepet tölt be: biztosítja, hogy a séma vagy
az AD DS adatbázis szerkezetének változásai következetesen történjenek. A sémamester akadá
lyozza meg a módosítási ütközéseket az erdóben, amelyek nagyobb gondot jelentenek, mint
képzelnénk, és az AD DS alapú hálózat növekedésével egyre nagyobb az esélyük. Bár azt hi
hetnénk, hogy a séma nem változik túl gyakran, néhány művelet mégis megváltoztatja; például
az Exchange 2000 vagy 2003 telepítése egy tartományba akkor is kibővíti az egész erdőre kiter
jedő sémát, ha egyes tartományok nem használják az Exchange-t. A sémát más, az AD DS-ről
tudomással bíró alkalmazások is módosíthatják, például a Microsoft ISA Server tűzfala, illetve
egyes hálózati és felhasználókezelő alkalmazások, például a NetlQ programjai.
Azt sem szabad elfelejtenünk, hogy az erdő Active Directory-sémája és a globális katalógus
összefüggnek. Emlékezzünk vissza, hogy a globális katalógus egy erdő összes tartományából
tartalmaz információkat Ha új jellemzőket adunk a sémához, és azt szeretnénk, hogy ezek be
kerüljenek a globális katalógusba, minden globáliskatalógus-kiszolgálóként működő tartomány
vezérlőnknek értesülnie kell a változásokról. Ehhez a Windows 2000-et használó tartományve
zérlőkön a teljes globális katalógust ki kell üríteni és újraépíteni minden tartományvezérlőn,
a Windows Server 2008 rendszerű tartományvezérlőkre azonban csak a változásokat kell átmá
solni. Egy nagy cégnél jelentős sávszélesség-megtakarítást jelent, ha a globális katalógusra épü
lő tartományvezérlők többsége Windows Server 2008-at futtat - ezt nem árt, ha észben tartjuk.
Windows Server 2008
A sémamester beállítására a Windows Server 2008-ban a Scherna Management (sémakezelés)

konzolt használhatjuk Ennek az MMC beépülő modulnak a DLL fájlját (schmmgmt.dl[)
a \ WINDOWS\system32 könyvtárban találhatjuk meg. Nyissunk meg egy parancsablakot,
váltsunk az említett könyvtárra, majd tegyük a következőket:
1. A regsvr3 2 sclumngmt. dll parancs kiadásával jegyeztessük be a COM-objektumot.

Miután ez megtörtént, a Windows egy párbeszédablakban értesít minket az objektum
bejegyzésérőL
2. Indítsuk el az MMC-t: a Start menü Run parancsa és az mmc név beírása mindig működik,
ha nincs kéznél egy parancsik:on.
3. A File menüből válasszuk az Add/Remove Snap-ln (Beépülő modul hozzáadása/eltávolí
tása) parancsot.
4. A megjelenő párbeszédablakban megjelenik az MMC elérhető beépülő moduljainak
listája. Jelöljük ki az Active Directory Scherna elemet, majd kattintsunk az Add gombra.
5. A modul felvételének érvényre juttatásához zárjuk be a párbeszédablakokat
6. Az egér jobb gombjával kattintsunk az MMC gyökércsomópontjára a bal oldali ablak
táblában, és a helyi menüből válasszuk az Operations Master (Műveleti főkiszolgáló)
lehetőséget.
7. Ekkor a Change Scherna Master párbeszédablakot láthatjuk, az első mezőjében a jelenlegi
sémamester teljes.nevével. Egy kisebb tartományban ez az elsőként telepített tartományve
zérlő lesz, nagyobb tartományokban azonban előfordulhat, hogy valaki már átadta ezt
a szerepet egy másik tartományvezérlőnek Az ablakot az 5.30. ábra mutatja.
Change Scherna Haster "'W

Thescherna master manages modiflcatiOns to the schema. Only one
..,,_in !he enlerprtseJ)elfurm<thís role
Crnent schema master (pnline):
lWDSTEST.co<p windowssavemet.com
=�;5l!;6 ;::td!��argeted O,ange
lWDSTEST.cotp.'o\1ndow<..servemel.com
5.30. ábra
A Change Schema Master képernyő
A sémamester megváltoztatásához (ehhez a Scherna Admins-sémagazdák-csoport tagjának

kell lennünk) a fentiek szerint betöltött Scherna Management konzolon kattintsunk az egér jobb
gombjával az Active Directory Scherna nevű gyökércsomópontra a bal oldali ablaktáblában, és
a helyi menüből válasszuk a tartományvezérlő módosítását lehetővé tevő Change Domain
Controller lehetőséget. A megjelenő párbeszédablakban írjuk be annak a tartományvezérlőnek
a nevét, amelyre át szeretnénk vinni a sémamester szerepét, majd kattintsunk az OK gombra.
Ez után folytassuk a műveletet a fenti eljárás 7. pontjától, és kattintsunk a Change (Módosítás)
gombra a Change Scherna Master párbeszédablakban. Erősítsük meg a döntésünket, és ha
a művelet befejeződött, kattintsunk a Close (Bezárás) gombra. Ezzel a Sémamesteri szerepkört
áthelyeztük
5. fejezet • Az Actíve Directory Ifj-
Tartománynév-kiosztó mester
A tartománynév-kiosztó mester (főkiszolgáló) egyike az erdőszintű szerepköröknek, ami azt je
lenti, hogy az egész erdóben csak egyetlen tartományvezérlő töltheti be ezt a szerepet. A tarto
mánynév-kiosztó mester feladata, hogy megakadályozza, hogy az erdóben azonos nevű tarto
mányokat hozzunk létre, mert ha ilyesmi történne, az AD DS nem tudna mit kezdeni az egyező
nevekkel, és pánikba esne.
Ne feledjük, hogy ezt a szerepkört arra tervezték, hogy nem csupán önálló kiszolgálón, hanem
a globáliskatalógus-kiszolgálón helyezzük el. Úgy tűnik, a szerepkör a globális katalógus egyes
információra támaszkodik (az erdő más tartományainak címtárkivonatára) a feladatai elvégzésé
hez, mindazonáltal ha Windows Server 2003 vagy Windows Server 2008 erdő működési szinten
üzemeltetjük a rendszert, ez a fajta elhelyezés szükségtelen.
A tartománynév-kiosztó mester módosításához (ehhez az Enterprise Admins- vállalati rendszer

gazdák - csoport tagjának kell lennünk) az Actíve Directory Domains and Trusts eszközt hasz
nálhatjuk Indítsuk el az említett segédprogramot az Administrative Tools (Felügyeleti eszközök)
menüből, majd hajtsuk végre a következőket:
1. Az egér jobb gombjával kattintsunk a gyökércsomópontra a bal oldali ablaktáblában, és

válasszuk az Operations Master elemet.
2. A szerepkör áthelyezéséhez kattintsunk a Change gombra.
RID-mester
AzRID-mester feladata, hogy kiossza és közzétegye az AD DS-ben levő objektUmok SID-inek
utolsó részét. Tudjuk, hogy amikor a Windowsban létrejön egy objektum, egy egyedi SID-t
(biztonsági azonosítót) kap. Az SID formája S-1-5-21-A-B-C-RID, ahol az S-1-5-21 minden SID-ben
"
közös, az azonosítószám "A", "B" "C részei pedig véletlenszerűen előállított 32 bites számok,
amelyek egy adott tartományra vagy számítógépre jellemzők (az utóbbi eset akkor áll fenn, ha
az AD DS-t nem telepítettük a kiszolgálóra, vagy ha a munkaállomás nem kapcsolódik tarto
mányhoz). Az SIDRID része (relative identifier, relatív azonosító) szintén egy 32 bites szám, és
az SID-nek ez az egyedi része, amely egy konkrét objektUmot azonosít a címtárban.
Az RID-mester szerepét betöltő tartományvezérlő 500-500 egyediRID-t oszt ki a testvér-tarto

mányvezérlőinek a tartományban, hogy amikor azok egyedi objektumokat hoznak létre,
az általuk ezekhez az objektumokhoz rendelt SID-k is egyediek legyenek. Hasonlóan ahhoz,
ahogy a DHCP gondoskodik róla, hogy két munkaállomásnak ne legyen azonos az IP címe,
azRID-gyűjtemények kiosztása azt biztosítja, hogy két tartományvezérlő ne azonosRID-csoport
ból osszon ki azonosítókat Ha azRID-mester szerepkörét át szeretnénk helyezni a tartomány
egy másik tartományvezérlőjére, kövessük az alábbi lépéseket:
1. Nyissuk meg az Active Directory Users and Computers ablakát.

2. A bal oldali ablaktáblában kattintsunk az egér jobb gombjával a tartomány nevére, és
válasszuk az Operations Master lehetőséget.
3. Váltsunk azRID lapra, és jegyezzük fel az RID-mester nevét (lásd az 5.31. ábrát).
4. Kattintsunk a Change gombra a szerepkör áthelyezéséhez.
Operabons f-tasters "' X� 7 x
RIO l POC J Wra.w:ture)

The _.tions mast..- "''"""'""the allocak>n of RIO pools to other Doman
�-Only one"""""" thedoman perl"""'tt;' mle.
5.31. ábra
Az RIO-gyűjtő mester meghatározása
PDC-utánzó
A PDC-utánzó műveleti mester igen fontos szerepet tölt be a kevert Windows NT Server, 2000
Server, Windows Server 2003 és Windows Server 2008 tartományokban. Ahogy ennek a résznek
az elején említettük, az NT rendszerű - akár elsődleges, akár tartalék - tartományvezérlők nem
támogatják a többrnesteres többszörözést, ezért ha a PDC-t Windows 2000 vagy Windows Server
2003 rendszerre frissítettük, nyilvánvalóan nem lesz olyan számítógép, amelyről a BDC-ket frissít
hetnénk, vagy legalábbis nem olyan, amelyet azok megértenének Akik ismerik a Microsoft régeb
bi hálózati protokolljait, tudják, hogy a Master Browser (mestertallózó) szolgáltatás - a munkaállo
másokon és kiszolgálókan a Network Neighborhood és My Network Places (Hálózat/Hálózati
helyek) ablakokat feltöltő segédprogram - jellemzően az elsődleges tartományvezérlőn fut egy
NT-tartományban. A Windows 95 rendszerházirendjeit szintén a PDC tárolja, nem valamelyik
tartalék tartományvezérlő, és az NT-, illetve AD DS-tartományok közötti bizalmi viszonyok kiépí
téséhez is egy PDC-re vagy PDC-utánzóra van szükség, mert az NT azt hiszi, hogy csak egyetlen
számítógép rendelkezik a SAM adatbázis írható-olvasható példányávaL
A PDC-utánzó (PDC-emulátor), amely a tartomány egyik tartományvezérlőjén fut, ezeket

a feladatokat látja el. Emellett segít felgyorsítani azoknak a módosításoknak az elterjesztését és
többszörözését is, amelyeket az AD DS felhasználó-objektumainak két jellemzőjén, a jelszón és
a fiókzároláson eszközöltünk Gondoljunk csak egy nagy vállalatra, illetve arra az időre, ami
ahhoz szükséges, hogy az egyik tartományvezérlőn végrehajtott módosításokat továbbadjuk
(A többszörözésró1 a következő részben sokkal részletesebben szálunk, de nem árt, ha már
most tudjuk, hogy a többszörözés jelentős időt emészthet fel, ha a hálózatunkban sok tarto
mányvezérlő végez AD DS-feladatokat.) Ha egy felhasználó vissza szeretné állítani a jelszavát,
de az illetékes rendszergazdák másik telephelyen találhatók, a jelszóváltozás először az ő telep
helyük helyi tartományvezérlőjén lép életbe, nem pedig annak a felhasználónak a helyi tarto
mányvezérlőjén, aki jelszót változtatott. Valóban órákat szeretnénk várni, amíg a változás tényle
gesen érvényre jut? Természetesen nem, ezért a rendszergazdák tartományvezérlője azonnal
kapcsolatba lép a tartományban a PDC-utánzó szerepét betöltő tartományvezérlővel, és az meg
kapja a módosított jelszót, így elkerülhetjük a többszörözés okozta késlekedést. Bár a felhaszná
ló helyi tartományvezérlőjén még nem áll rendelkezésre az új jelszó, a helyi tartományvezérlő
ellenőrzi a PDC-utánzón, hogy ott frissült-e, és ha igen, a felhasználó szabad utat kap a beje
lentkezéshez. (Természetesen a jelszóváltozások valójában nem lépnek hatályba azonnal; némi
késlekedéssei számolnunk kell.)
5. tejezet • Az Active Directory Ifi-
Ez a megoldás egy másik jellemzőre is kiterjed. Ha fiókzárolást alkalmazunk - arnikor egy jelszót
x alkalommal helytelenül írnak be, egy időre átmenetileg letiltjuk a fiókot -, valószínűleg nem
sok értelme van csak a jelszót gyorsan átadni a PDC-utánzónak, mert bár a felhasználó ekkor
rendelkezik a megfelelő jelszóval, sem a PDC-utánzó, sem a felhasználó helyi tartományvezérlője
nem tudja, hogy a fiók zárolva van-e vagy sem. Ezért a jelszó visszaállításával egyidejűleg a fiók
zárolási jellemzőt is átadjuk, hogy biztosak lehessünk benne, hogy a felhasználó nem kényszerül
malmozni, mert a tartományi fiókját nem képes elérni, amíg a tartományvezérlők a többszörözött
módosítások megérkezésére várnak.
Végül pedig, a PDC-utánzó kezeli az időegyeztetést is a tartományban.
Ideális esetben a PDC-utánzó szerepkör ugyanazon a tartományvezérlőn található, mint

az RID-mester szerep. A PDC-utánzó szerepkör áthelyezéséhez is az Active Directory Users and
Computers segédprogramot használhatjuk, az alábbiak szerint:

2. A bal oldali ablaktáblában kattintsunk az egér jobb gombjával a tartomány nevére, és vá
lasszuk a Connect to Domain Controller (kapcsolódás tartományvezérlőhöz) lehetőséget.
3. Adjuk meg annak a tartományvezérlőnek a nevét, amelynek át szeretnénk adni a szerep
kört.
4. Ez után kattintsunk ismét az egér jobb gombjával a tartomány nevére a bal oldali ablak
táblában, és a helyi menüből válasszuk az Operations Master lehetőséget.
5. Váltsunk a PDC lapra, és jegyezzük fel a PDC-utánzó nevét (lásd az 5.32. ábrát).
6. Kattintsunk a Change gombra a szerepkör áthelyezéséhez.
Operabons Masters �""- � �:El

Rlo-'POC
The openrttons master emulates the Mdions of a Pfinat'Y Domain Controller

(!'OC} for preWindows 20C1l diento <::1rtt one .....,., "'the domain perlomlO
thísrole.
ChaÖge.,
5.32. ábra
A ?DC-utánzó mester meghatározása
lnfr.astnuktúra-nnester
Az infrastruktúra-mester is ahhoz nyújt segítséget, hogy egyes információk elterjesztése és több
szörözése gyorsabb legyen a tartományvezérlők között. Az infrastruktúra-mester szerepkörét
nem egy globáliskatalógus-kiszolgálóként működő tartományvezérlőnek kell betöltenie, hacsak
a tartományunk valamennyi tartományvezérlője nem egyben GC-kiszolgáló is, vagy ha összesen
egy tartományunk van.
Windows Server 2008
Ha meg szeretnénk tudni, hogy melyik tartományvezérlő tölti be az infrastruktúra-mester szerepét,

illetve módosítani szeretnénk ezt a beállítást, ismét az Active Directory Users and Computers esz
közt használhatjuk Mint korábban, most is biztosak lehetünk benne, hogy ha a tartományunkban
csak egy tartományvezérlő található, akkor az az infrastruktúra-mester, de ha egy nagyobb háló
zatban keressük a megfelelő gépet, a következő lépéseket kell végrehajtanunk:

2. A bal oldali ablaktáblában kattintsunk az egér jobb gombjával a tartomány nevére, és
válasszuk a Connect to Domain Controller menüpontot.
3. Adjuk meg annak a tartományvezérlőnek a nevét, amelynek át szeretnénk adni
a szerepkört.
4. Ez után kattintsunk ismét az egér jobb gombjával a tartomány nevére a bal oldali
ablaktáblában, és a helyi menüből válasszuk az Operations Master lehetőséget.
5. Váltsunk az Infrastructure lapra, és jegyezzük fel az infrastruktúra-mester nevét (5 .33. ábra).
6. Kattintsunk a Change gombra, hogy a szerepkört áthelyezzük a kijelölt tartományvezérlőre.
Themastruduremaslore""-""' com;islenC)•<>f objecls furinter<lomaín

�s.Qnlyone".tverm!hedomainpe!!=!hisrole.
5.33. ábra
Az infrastruktúra-mester módosítása
Szerepkörök átadása és elvétele saját kezűleg

Néha arra lehet szükség, hogy a grafikus felület nélkül változtassuk meg a tartományvezérlők
műveletmesteri szerepköreit. Lehetséges például, hogy véletlenül túl korán választottuk le és
formáztuk újra a tartomány első tartományvezérlőjét, mielőtt még máshová helyeztük volna
az általa betöltött szerepköröket, de az is megtörténhet, hogy a kiszolgáló átmenetileg nem ér
hető el a hálózaton át, viszont egy szerepkört sürgősen át kellene helyeznünk róla.
repátadást néhányszor meg kell erősítenünk, mielőtt az érvényre jutna, de végül sikerrel fogunk járni.
A Windows Server 2008-nak része az NTDSUtil nevű parancssori segédprogram, amellyel olyan
AD DS-karbantartási feladatokat is elvégezhetünk, amelyek messze túlmutatnak a grafikus felületű
eszközök lehetőségem. Az említett esetekben a sémamester, a tartománynév-kiosztó mester vagy
az RID-mester szerepkörét kell átadnunk, illetve az áthelyezést kikényszerítenünk, amennyiben
a szerepet eredetileg betöltő kiszolgáló nem érhető el.
5. feiezet • Az Actíve o·
Ha egy szerepkört az NTDSUtil segítségével szeretnénk áthelyezni, nyissunk meg egy

parancsablakot, és indítsuk el az NTDSUtil-t, majd kövessük az alábbi lépéseket:
1. Írjuk be a roles parancsot, hogy FSMO Maintenance (műveletimester-karbantartó)

módba váltsunk.
2. Írjuk be a connections utasítást, hogy megadhassuk a kiszolgálói kapcsolatok
környezetét CServer Connections).
3. Adjuk ki a connect to <célszámítógép> parancsot, ahol a <célszámítógép>
az a kiszolgáló, amelyiknek át szeretnénk adni az adott szerepkört.
4. A quit paranccsal lépjünk ki a Seiver Connections környezetből.
5. A megfelelő szerepkört átadásához adjuk meg a transfer schema master, transfer
domain naming master vagy transfer rid master utasítást. Az NTDSUtil ekkor
megkísérel kapcsolatba lépni az adott műveletimester-szerepkört betöltő számítógéppeL
Ha sikerrel jár, és a kérdéses gép jóváhagyja az átadást, a művelet befejeződik.
Ha azonban valamilyen okból kifolyólag a segédprogram nem tudja elérni az említett
számítógépet, hibaüzenetet kapunk.
Ha egy szerepkör átadásának kísérletekor hibaüzenetet kapunk, a műveletet a SEIZE paranccsal

kényszeríthetjük ki. Ilyen esetben az előző eljárás 4. lépése után a következőképpen folytassuk
a műveletet:
1. Írjuk be a seize schema master, seize domain naming master vagy seize rid
master utasítást, hogy a megfelelő szerepkör áthelyezését kikényszerítsük a célszámító
gépre.
2. Ha a szerepkör elvétele megtörtént, a quit paranccsal lépjünk ki az NTDSUtil segéd
programbóL
Miután elvettünk egy szerepkört, soha ne engedjük vissza a szerepkör korábbi

Figyelem!
birtokosát a hálózatra, hacsak nem formáztuk újra annak lemezmeghajtóját.
Megismétlem: soha, de soha ne tegyünk ilyett A szerepet korábban betöltő számítógép ugyanis
nem tud róla, hogy a szerepet elvettük tőle, és nem is képes rájönni erre. Ami ezután következik,
az leginkább egy szörnyű gyermekelhelyezési perre emlékeztet.
A címtár-többszörözés alapjai
Lényegét tekintve a többszörözés egyszerűen arra szolgál, hogy az AD DS adatbázisának minden
példánya azonos legyen az adott tartomány összes tartományvezérlőjén. Ha egy rendszergazda
például eltávolít egy felhasználót egy csoportból, a változtatást azon a tartományvezérlőn hajtja
végre, amelyikre éppen bejelentkezett. A módosítás után néhány másodpercig ez a tartományve
zérlő az egyetlen, amely az adatbázis legfrissebb változatát tárolja, végül azonban a többszörözés
után minden tartományvezérlő pontosan ugyanazt az adatbázist fogja tartalmazni, beleértve
a csoporttagságon végrehajtott módosítást.
-fil Windows Server 2008
A telephelyek belseje: hurkok és hálók
Az AD DS az adatokat a hálózat kialakításától (topológiájától) és különösen attól függően, hogy
hány telephelyet állítottunk fel az AD DS rendszerben, különféle módszerekkel többszörözi a tar
tományvezérlők között. Ha egyetlen telephellyel rendelkezünk, a tartomány rninden tartományve
zérlője az AD DS-ben és a tartomány DNS rendszerében közzétett bejegyzéseken keresztül fedezi
fel a többieket. A hálózati forgalom csökkentése érdekében azonban nem minden tartományve
zérlőnek kell ténylegesen többszörözést végeznie az összes többi tartományvezérlőre - az AD DS
ehelyett egy hurkot használ. Vegyünk például négy tartományvezérlót A, B, C és D néven (lásd
az 5.34. ábrát). Ebben a példában az AD DS két hurok segítségével hajtja végre a többszörözést.
Tegyük fel például, hogy az A tartományvezérlőn hajtottunk végre valarnilyen módosítást.
A értesíti B-t és C-t, hogy új információkkal rendelkezik, végül pedig B és C elkéri az új adatokat
A-tól. Miután az adatokat megkapták, B és C egyaránt megkísérli értesíteni D-t a változásról, D
pedig attól a tartományvezérlőtől kéri el az új adatokat, amelyik először kapcsolatba lép vele. Azt
nem lehet megbízhatóan meghatározni, hogy ez az esetünkben a B vagy a C kiszolgáló lesz-e, de
amikor a változásról értesítő második üzenet is megérkezik D-hez, az válaszol, nyugtázva, hogy
már rendelkezik az információval, és ez egyben a kommunikáció végét is jelenti, mivel ekkor már
valamennyi tartományvezérlő a legfrissebb adatokkal rendelkezik.
·:·----
DC -··
-- ••
rocl
B :
L2J
.
�
· :
. .
' '
'
t ,
',
.
'
DC
c
•••
5.34. ábra
. ·.. - -· • ••
\ Egyetlen telephely négy tartományvezérlővel
Gondoljunk viszont bele, hogy mi történne, ha nem két, hanem csak egy hurkot használnánk.
Ebben az esetben A értesítené B-t, B értesítené C-t, C értesítené D-t, D pedig (feleslegesen)
értesítené A-t. Szerencsére nem ez történik. A valóságban az értesítés nagyon gyorsan megtörté
nik, a hálózati adatforgalom pedig kicsi, ami az egész eljárást hatékonyabbá teszi. A műveletre
valójában minden öt percben sor kerül, és ha vannak friss adatok, az eljárás lezajlik, ha pedig
nincs új információ, a tartományvezérlők nem küldenek el semmilyen adatot. Mindazonáltal ha
60 perc is eltelik új információk nélkül, a tartományvezérlők mindegyike elküld egy üzenetet
a társainak, hogy megbizonyodhassanak róla, hogy nem történt semmilyen változás.
l®'f'Qwdd Egy egyszerű hálózatban az egyes tartományvezérlőknek általában két többszörözési

partnerük van, az összetettebb környezetekben azonban több is lehet. Ha látni
szeretnénk egy adott tartományvezérlő többszörözési partnereit, nyissuk meg az Active Directory Sites
and Services ablakát, bontsuk ki a kérdéses telephely csomópontját a bal oldali ablaktáblában, majd
bontsuk ki az egyes tartományvezérlők csomópontjait. Kattintsunk az NTDS Settings (NTDS-beá/lítások)
elemre baloldalt, a jobb oldalon pedig nézzük meg a From Server oszlopban látható két kiszolgálót.
5. fejezet • Az Active Directory Ifi-
Talán kíváncsiak vagyunk rá, hogyan is működik az említett hurok. A KCC (Knowledge
Consistency Checker, adatkövetkezetesség-ellenőrzó) körülbelül 15 percenként felébred, és
annak alapján, hogy hány tartományvezérlőről tud, illetve hogy ismeretei szerint azok hol
találhatók, megkísérli észlelni a változásokat. A KCC megvizsgál rninden változást - előfordulhat
például, hogy karbantartás miatt egy tartományvezérlót leválasztottunk a hálózatról, vagy terhe
léselosztási célból új tartományvezérlót állítottunk csatasorba-, majd a hurkot a legjobb teljesít
ményhez igazítja.
Nagyobb telephelyeken a KCC szükségesnek láthatja, hogy minden tartományvezérlőhöz kettőnél

több többszörözési partnert társítson, például a forgalom szabályozása céljából. A még nagyobb
telephelyeken - még ott is, ahol tartományvezérlőnként csak két többszörözési partner található -
három ugrásnál többre lehet szükség a változások teljes átviteléhez. A KCC ezt is megvizsgálja, és
ha ilyen helyzetet észlel, egyszerűen további kapcsolatokat alakít ki a tartományvezérlők között,
az egyszerű hurok szerkezetet hálószerúobé alakítva.
Időegyeztetés
Ahhoz, hogy a többszörözés megfelelően működjön, létfontosságú, hogy a tartományban, illetve
az erdóben minden tartományvezérlő ideje összhangban legyen. Ennek okát a teljes AD DS
hitelesítési rendszerét adó Kerberos követelményeiben kell keresnünk: ha bármelyik tartomány
vezérlő ideje több rnint öt perccel eltér, a hitelesítés meghiúsuL
A Microsoft a Windows Time Service (Windows időszolgáltatás) nevű eszközzel segít rninket
abban, hogy egy teljes tartomány vagy erdő idejét pontosan összehangoljuk A Windows Time
Service egy hierarchiát állít fel az Actíve Directory-tartományok és -erdők tagjai számára, amely
ben a PDC-utánzó műveleti mester szerepét betöltő számítógép a "Big Mac", amely a megbízható
időt mutatja. A legfelső szinten levő megbízható órát nem kell összehangolni semmilyen hely
idejével - az összehangolás csak a tartományon belül lényeges, rnivel a tartomány tagjai attól füg
getlenül hitelesnek tekintik ezt az órát, hogy az valóban a tényleges időt mutatja-e. Más szavakkal,
ha mindenki ugyanazt hiszi, nem számít, ha mindnyájan tévednek.
Alulról felfelé haladva a hierarchia többi része valahogy így fest:
•
A nem tartományvezérlőként mú'Ködő kiszolgálók és a munkaállomások annak a tartomány
vezérlőnek az órájához igazítják az idejüket, amelyik bejelentkeztette őket a hálózatba.
• A tartományvezérlők az adott tartományban a PDC-utánzó műveleti mester szerepét betöltő
tartományvezérlőtó1 kérdezik le az időt.
•
A több tartományból álló erdőkben minden tartomány az erdő gyökerében- az erdő
első tartományában - levő PDC-utánzó műveleti mesterhez fordul, és a többi tartomány
PDC-utánzó tartományvezérlői ahhoz igazítják az idejüket.
A PDC-utánzó műveleti mester szerepét betöltő tartományvezérlő idejét többféleképpen is beál

líthatjuk a parancssoron keresztül, először azonban választanunk kell egy időforrást Az egyik
lehetőség a Microsoft time. windows. com állomásának használata, amely az Egyesült Államok
hadseregének atomórájához igazodik. Miután kiválasztottuk az időforrást, adjuk ki a következő
utasítást a PDC-utánzó tartományvezérlő parancssorában:
Windows Server 2008
net time /setsntp:

<időforrás>
Az <időforrás> helyére írjuk a választott időforrás teljes DNS-nevét. Ha időforrásként például

a time.windows.com-ot alkalmazzuk, a parancsnak így kell festenie:
net time /setsntp:time.windows.com
Miután beállítottuk a PDC-utánzó tartományvezérlő időforrását, az megpróbálja összehangolni

az idejét az időforrássaL Erre 45 percenként egyszer tesz kísérletet, addig, amíg háromszor egymás
után sikerrel nem jár. Ha ez megtörtént, 8 óránként visszhangkérést (ping) intéz az idóKiszolgáló
hoz. Ha saját kezűleg szeretnénk elindítani az időegyeztetést, adjuk ki a következő parancsot:
w32tm /resync
Az időegyeztetés során az időzónák szerepéről sem szabad elfeledkeznünk. A Windows belső

órája a greenwich-i középidő (GMT, Greenwich Mean Time) szerint jár, így bár az egyes kiszol
gálók a fizikai helyük vagy a számítógépet felügyelő rendszergazda helye szerint más-más időzó
nába tartozhatnak, a Windows a rendszeren belül mindig GMT-re fordítja az időt. Ezt tartsuk
mindig észben, az időzónák helyes beállításáról pedig gondoskodjunk minden kiszolgálónkon.
A cél az, hogy összehangoljuk a Windows belső óráit: bár az idő helyesnek tűnhet a számunkra,
ha az időzónát rosszul adtuk meg, a Windows az adott államban végzett Active Directory
műveletek során nem lesz elnéző.
Többszörözési topológiák
A hurkok és hálók csak két fajtáját jelentik annak, amit a Microsoft többszörözési tapológiának hív.
A többszörözési topológia lényegében azokat a módszereket jelenti, amelyekkel a tartományve
zérlők végrehajtják a többszörözést a többi tartományvezérlőre. Hogy a dolgunk ne legyen olyan
egyszerű, egy adott erdóben párhuzamosan szinte mindig több többszörözési topológia működik.
Vessünk is rájuk egy pillantást!
A tartományvezérlők között a többszörözés során négyféle adatot kell átmásolni:
• Azokat a frissített adatokat, amelyek az adott tartományon belül maradnak - módosított

felhasználóneveket és jelszavakat, illetve a felhasználói fiókokkal kapcsolatos más adatokat.
•
A séma- és konfigurációnév-környezetek változásait, amelyek egy erdő minden tartomá
nyára érvényesek, ahogy a fejezet korábbi részében láttuk.
• A globális katalógus módosításait, amelyek minden olyan tartományvezérlőre többszörö
ződnek, amely globáliskatalógus-kiszolgálóként működik.
• A DNS-partíciók és egyéni alkalmazáspartíciók frissítéseit
Ha egy erdóben sok tartományvezérlő üzemel, előfordulhat, hogy egy többszörözési topológia
nem elegendő, vagy nem a leghatékonyabb módja az információk átvitelének a tartományve
zérlők adott alcsoportjai között. Egy ilyen helyzetet láthatunk szemléletesen az 5.35. ábrán.
5. fejezet • Az Active
Két hurok sok olyan tranzakciót eredményez, amelyek nem hatékonyak
5.35. ábra
Egy erdő összes többszörözési topo!ógiája
Abban, hogy a saját hálózatunkban valahogy egyesítsük a többszörözési topológiákat, ismét

az Active Directory Sites and Services konzol segít. Nyissuk meg ezt a konzolt, és a bal oldali
ablaktáblában bontsuk ki a kérdéses telephely, majd az egyes tartományvezérlők csomópontját
Baloldalt kattintsunk az NTDS Settings elemre, a jobb oldali ablaktáblában pedig duplán
az <automatically genera ted> (<automatikusan létrehozott>) objektumokra.
Ha a képernyő alján található, a többszörözött névkörnyezeteket jelölő mezők egyikében

az <Enterprise Configuration> (<vállalati konfiguráció>) szerepel, az azt jelenti, hogy az adott
kapcsolat többszörözi a séma- és konfigurációnév-környezeteket Ha a Partially Repiicated
Naming Context (részlegesen többszörözött névkörnyezet) mezőben egy kiszolgáló nevét
látjuk, annak az a jelentése, hogy a kiszolgálónk globáliskatalógus-kiszolgálóként üzemel, és
az ebben a mezóben szereplő globáliskatalógus-kiszolgálótól kapja a frissítéseket. A nem globá
liskatalógus-kiszolgálóként üzemelő kiszolgálókan teljesen rendben levő, ha ez a mező üres.
A frissftési ütközések kezelése

A többszörözés önmagában jó dolog, de van egy komoly probléma, amelyet meg kell oldani:
az adatbázisból minden tartományvezérlő a saját példányára támaszkodik, függetlenül attól,
hogy az milyen gyakran frissül, ezért arnikor a hálózatban az adatbázis más példányait módosít
ják, az egyes másolatok addig a néhány másodpercig, amíg eljut hozzájuk az értesítés a végre
hajtott műveletekről, különböznek. Miért jelent ez gondot?
Vegyünk egy nagy telephelyet, amelyhez fiókirodák tartoznak Sydney-ben, Bostonban és

Los Angelesben, és a Robert Smith nevű alkalmazott átszervezés rniatt Los Angelesből Sydney-be
kerül. A cég a terjesztési listákhoz és az egyéb biztonsági határok kijelöléséhez a SYDUSERS és
az LAUSERS csoportokat használja az AD DS-en belül. Robert főnöke Robertnek a Los Angeles-i
irodában eltöltött utolsó munkanapján megváltoztatja Robert csoporttagságát, és az átszervezés
nek megfelelően áthelyezi őt az LAUSERS csoportból a SYDUSERS csoportba. A Los Angeles-i
tartományvezérlő észleli ezt a változást, és létrehoz egy durván az alábbihoz hasonló bejegyzést:
Object: LAUSERS
Change: Remove RSMITH
Version: l
Timestamp: 30 June 2004 5:30:01 PM GMT
-l:ul Windows Server 2008
Object: SYDUSERS
Change: Add RSMITH
Version: l
Nézzük meg közelebbről ezt a bejegyzést! A bejegyzés egyes elemei objektumok jellemzőinek
változásait rögzítik - ebben az esetben a tagok listája egy adott csoportobjektum jellemzője -,
nem pedig egy teljes objektumét. Ez a hálózati adatforgalom csökkentése érdekében fontos: ha
az LAUSERS csoport 2000 tagból áll, célszerúob csak RSMITH eltávolítását jelezni, mint elküldeni
a teljes taglistát Figyeljük meg a változatszámokat is: a Version (V áltozat) mező nagyon egyszerű;
arra tervezték, hogy akkor használjuk, amikor egy tartományvezérlő módosítja egy adott objek
tum egyik jellemzőjét. Minden alkalommal, arnikor egy adott objektumjellemző megváltozik,
a változatszám mezóoen szereplő szám eggyel nő. Így egy objektumnak sok változatszáma lehet,
amelyek az adott objektum jellemzőit jelképezik.
Miután ezt tisztáztuk, térjünk vissza a fent vázolt helyzethez. Előfordulhat, hogy Robert régi
főnöke Los Angelesben és az új főnöke Sydney-ben félreérti egymást, és helytelenül mindketten
azt gondolják, hogy nekik kell végrehajtaniuk a csoporttagság megváltoztatását az Active
Directory-ban. Ezért szinte egyazon idóoen (a példa kedvéért most tekintsük el az időzónák
okozta időkülönbségtől), Robert új főnöke is elvégzi a fenti módosítást, amelyet a Sydney-ben
levő tartományvezérlő a következőképpen rögzít:
Object: LAUSERS
Change: Remove RSMITH
Version: l
Object: SYDUSERS
Change: Add RSMITH
Version: l
Timestamp: 30 June 2004 5:32:10 PM PT
Ezzel a bejegyzéssei kapcsolatban két dolgot kell észrevennünk. Az egyik az idóoélyegek

(timestamp) közelsége, ami azt jelzi, hogy a Los Angeles-i és a Sydney-i tartományvezérlők még
nem hajtották végre a többszörözést. A másik a változatszámot jelző mező, amelyről látjuk, hogy
nem nőtt az értéke. Ennek oka igen egyszerű: a változatszámok növelése a helyi tartományve
zérlőn történik, ezért ha egy tartományvezérlő nem tud egy jellemző megváltozásáról, nem fogja
növeini annak változatszámát Mivel Los Angeles és Sydney még nem értesítette egymást
a változásokról, a Sydney-i tartományvezérlő nem tudja, hogy a Los Angeles-i tartományvezérlő
ugyanilyen módosítást rögzített, ezért a változatszámot sem fogja l-ről 2-re növelni.
Ez a helyzet veszélytelennek tűnik, mert annak ellenére, hogy a módosítások ideje különbözik,
a hatásuk azonos: RSMITH most mindkét tartományvezérlőn tagja a megfelelő csoportnak,
rniközben a régi csoportból törölték. Valójában azonban két módosítás történt. Melyiket fogadja
el az AD DS? Még konkrétabban megfogalmazva a kérdést: ha mind a Los Angeles-i, mind
a Sydney-i tartományvezérlő többszörözi a változást egy közös partnerére, a bostoni tartomány
vezérlőre, melyik módosítást fogja Boston elfogadni?
5. feiezet • Az Active
Ha ugyanazt az objektumot egyszerre többen is módosítják, a helyzet feloldása a következő

képpen történik:
•
Az Active Directory először is azt a jellemzőmódosítást fogadja el hivatalosnak, amelyiknek
a legmagasabb a változatszáma.
•
Ha az egyes jellemzők változatszáma azonos, az Active Directory a legkésőbb végrehajtott
módosítást fogadja el.
Esetünkben tehát az AD DS a Sydney-i tartományvezérlőn végrehajtott módosítást (du. 5:32) fo

gadja el, a Los Angeles-i főnök módosítását pedig, bár annak ugyanaz volt a célja, visszautasítja,
mert az két perccel korábbi (du. 5:30).
Frissítési sorszámok
A változatszámoknak testvéreik is vannak: a frissítési sorszámok (USN, update sequence number),
amelyek az AD DS összes objektuma összes jellemzőjének összes módosítását mérik. Vagyis ha
bármilyen módosítást végrehajtunk az AD DS-ben, az egyes tartományvezérlők eggyel növelik
az USN-jük aktuális értékét Például ha van egy érintetlen tartományvezérlőnk, és felveszünk egy
felhasználót egy kezdeti jelszóval Cl. frissítés), megváltoztatjuk a jelszavát (2. frissítés), felveszünk
egy újabb felhasználót (3. frissítés), létrehozunk egy új csoportot (4. frissítés), és az első felhaszná
lót hozzáadjuk ehhez a csoporthoz (5. frissítés), az adott tartományvezérlő USN-je 4 lesz (az USN
O-tól indul). Ne feledjük, hogy a változatszámok párhuzamosan léteznek az USN-ekkel; a közöttük
levő kapcsolatot az említett példa esetében az 5.2. táblázatban tekinthetjük meg. (Vegyük észre,
hogy a táblázat feltételezi, hogy egy olyan tartományról beszélünk, amelyben csak egy tartomány
vezérlő található. Ha a tartományba további tartományvezérlőket veszünk fel, a dolog kicsit
bonyolultabbbá válik, amint azt egy kicsit később látni fogjuk.)
5.2. táblázat Változatszámok és frissítési sorszámok az AD DS-ben
Művelet Jellemző változatszáma Frissítési.sorszám (USN)

Új felhasználó létrehozása Minden jellemző változatszáma l, mert o
a művelet egyetlen összefüggő változásnak
minősül.
Jelszó módosítása Az adott felhasználó jelszó jellemzőjének l
változatszáma 2.
Új felhasználó létrehozása Minden jellemző változatszáma l. 2
Új csoport létrehozása Minden jellemző változatszáma l. 3
Felhasználó hozzáadása A csoporttagság jellemző változatszáma 2. 4
csoporthoz
Ebből a táblázatból láthatjuk, hogy a változatszámok csak akkor nőnek, ha egy jellemző megválto
zik. Az első felhasználó jelszavát módosítottuk, ezért ennek a jellemzőnek a változatszáma 2 lesz,
és a felhasználót felvettük egy újonnan létrehozott csoportba, így az adott csoport taglistáját tartal
mazó jellemző változatszáma is a 2 értéket kapja. Mindeközben azonban az USN értéke folyama
tosan nő, mert a frissítési sorszám minden egyes változást rögzít, az USN végső értéke pedig azért
4 lesz, mert (a) a frissítési sorszámok O-tól indulnak, és (b) 5 önálló módosítást hajtottunk végre.
Windows Server 2008
Korábban azt mondtuk, hogy a fenti forgatókönyvben egyetlen tartományvezérlő szerepel.

Változtassunk most ezen, és adjunk a példa tartományához még egy tartományvezérlőt, hogy
azok megkíséreljék többszörömi a változásokat egymásra. Tegyük fel, hogy az új tartományve
zérlő felvétele után a két felhasználói fiók és a csoport átmásolása azonnal megtörténik
A változatszámok és a frissítési sorszámok az új tartományvezérlőn ekkor úgy alakulnának, mint
ahogy az 5.3. táblázatban láthatjuk.
5.3. táblázat Változatszámok és frissítési sorszámok két tartományvezérlővel
Objektum Jellemző változatszáma Frissítési sorszám (USN)

l. felhasználó Minden jellemző változatszáma l, kivéve o
a Password (Jelszó) jellemzőt, amelynek 2.
2. felhasználó Minden jellemző változatszáma l. l
Csoport Minden jellemző változatszáma l, kivéve 2

a csoporttagság jellemzőt, amelynek 2.
Ebből a táblázatból két dolgot tudhatunk meg:
•
A jellemzők változatszáma a többszörözés során megmarad, ezért nem szárnít, hogy
melyik tartományvezérlőn nézzük, a címtárban a jellemzők változatszáma azonos lesz.
Ez létfontosságú a többszörözés működéséhez az AD DS-ben.
•
Az USN-ek az egyes tartományvezérlőkön függetlenek egymástól. Az első példánkban
az USN öt változást jelzett, mert az első tartományvezérlőn ennyi önálló hozzáadási és
módosítási műveletet végeztünk. A második tartományvezérlő azonban teljesen új, ezért
a felhasználói fiókok és a csoport létrehozását a már frissített, módosított adatokat tartal
mazó első tartományvezérlő alapján végzi el, és ennek eredményeképpen csak három
változást kell rögzítenie (az egyes fiókok, illetve a csoport létrehozását).
A frissítési sorszám valójában egyfajta "aláírásként" működik, amely a címtárnak az egyes tarto
mányvezérlőkön levő másolatában szereplő adatok időrendiségét jelzi. Lényegében tehát útmu
tatást ad a tartományvezérlő többszörözési partnereinek, hogy pontosan hány módosításra van
sZÜkség a változások teljes többszörözéséhez. Minden tartományvezérlő átadja a többszörözési
partnereinek az egyes adatokhoz kapcsolt frissítési sorszámot, a társ-tartományvezérlők pedig
számon tartják ezt az információt. A társak tehát tudják, hogy az utolsó adatnak, amit mondjuk
az X tartományvezérlőtől kaptak, 6093 volt az USN-je, így a következő többszörözéskor arra
utasíthatják az X tartományvezérlőt, hogy a 6094 USN-től (az utolsó frissítési sorszámnál eggyel
nagyobb értéktő!) kezdődően küldje el az adatokat. A O és 6093 közötti frissítési sorszámú ada
tok újbóli elküldésére nincs szükség, mivel ezekkel már minden tartományvezérlő rendelkezik.
Ha az USN nem változott egyik tartományvezérlőn sem az utolsó többszörözés óta eltelt szoká
sos öt percben, a tartományvezérlők feltételezik, hogy nincs új információ, és újabb öt percre
"
ismét "aludni térnek. Másrészt azonban ha a többszörözési partnerek az X tartományvezérlővel
kapcsolatba lépve elkérik annak legmagasabb USN-jét, és a 7000-es számot kapják, tudni fog
ják, hogy az utolsó hat adatra szükségük van, ezért ezeket többszörözik. Ezt követően a partne
rek rögzítik, hogy az X tartományvezérlő legmagasabb USN-je jelenleg 7000, és mindenki biztos
lehet benne, hogy az utolsó öt percben elérhető legfrissebb címtárral rendelkezik.
5. fejezet • Az Active Directory ll:f-
Most térjünk vissza a példánkhoz, és vizsgáljuk meg még egyszer, hogy az egyes tartományve
zérlőkön rnilyen változatszámok és USN-ek találhatók. Az adatokat az 5.4. táblázat foglalja össze.
5.4. táblázat Változatszámok és frissítési sorszámok

. , •/ : , • K.-�·•• •• ·�·
-�-�-s.��JW��
��"·�w�ill!l
.
;;:;',!:;:'::
""'"" .••/ •
. • v• • •.••, . .. ··''fu' '*ill'�"'""'li lli � .lZm;'&JII"'"'"'lilit' ,, .,.
-
i,Objektl.Jm · " Jellemzők.::·.:..·:1·,..• • ,�Légmagásabb'l; ... obJelcttim.,;'}'&.,��Jellemzó
t11il.7""" - �. \ 'lw �·4§� ' ,,.,.Ji;.;' ;?" ��:d�""-<§ 11 mn;'Sill �,'??..��
'l&�,.t :"v"i
�""'P,
változatszámai ;m" •••· ·,.'•;USN
1. "- '-"'.�-� '-��r" "�"�!.'i'!'!%1!1 .0�4��o.:�: 1 ".a:;",,��
-•• ;, .
..
'· zts
-� \i?".,Ai.�.rw ,i;li".változats
;.;:2-�w<l:�"%;.l\e;.�.ru:ryc -1
l. felhasználó Minden jellemző 4 l. felhasználó Minden jellemző 2
változatszáma l, változatszáma l,
kivéve a Password kivéve a Password
Qelszó) jellemzőt, Qelszó) jellemzőt,
amelynek 2. amelynek 2.
2. felhasználó Minden jellemző 2. felhasználó Minden jellemző

változatszáma l. változatszáma l.
Csoport Minden jellemző Csoport Minden jellemző

változatszáma l, változatszáma l,
kivéve a csoporttagság kivéve a csoporttagság
jellemzőt, amelynek 2. jeilemzőt, amelynek 2.
Most vegyük ezt a forgatókönyvet: egy rendszergazda megváltoztatja a 2. felhasználó jelszavát,

mégpedig az l. tartományvezérlőn. Ez a módosítás az 5 USN-értéket kapja, mert az adott tarto
mányvezérlőn ez a 6. változás. Öt perccel később a rendszer többszörözést kezdeményez, ezért
a 2. tartományvezérlő elkéri az l. tartományvezérlőtől annak a legmagasabb USN-jét, és az 5 vá
laszt kapja. Mivel a 2. tartományvezérlő eddig úgy tudta, hogy az l. tartományvezérlő legmaga
sabb USN-je 4, tudja, hogy változás történt, ezért elkéri az új információt. Miután megkapta az új
jelszót, a 2. tartományvezérlő az USN 3-ra állításával rögzíti a módosítást (végtére is valóban
önálló módosításról van szó), majd megjegyzi az l. tartományvezérlő új legmagasabb USN-jét.
A 2. tartományvezérlő ezzel frissnek érezheti magát, és mindenki boldog.
Legalábbis addig boldogok, amíg néhány perccel késóbb az l. tartományvezérlő meg nem kérde
zi a 2. tartományvezérlőt, hogy rni annak a legmagasabb USN-je. A 2. tartományvezérlő őszintén
megmondja, hogy 3, az l. tartományvezérlő pedig észleli, hogy ez a szám magasabb, mint amit ő
rögzített a 2. tartományvezérlő legmagasabbUSN-jeként (ami 2 volt -lásd az 5.4. táblázatot).
Ez a változás azonban abból ered, hogy a 2. tartományvezérlő az imént átvette az l. tartományve
zérlőn végrehajtott módosítást! A tartományvezérlők azonban pusztán a frissítési sorszámból ezt
nem tudják, ezért többszörözést indítanak, és az l. tartományvezérlő legmagasabbUSN-je emiatt
most már 6 lesz. Öt perccel késóbb pedig az egész eljárás újrakezdődik, és az egyetlen ténylege
sen végrehajtott módosítást a tartományvezérlők a végtelenségig másolgatják egymás között.
A végtelen ciklus megszakftása: eredetjelz6 USN-ek és UTO-vektorok

A Microsoft felismerte az említett problémát, és bevezetett két újabb értéket, az eredetjelző USN
eket és az UID-vektorokat (up-to-date vector, frissítési vektor), amelyeknek a célja kifejezetten
az ilyen helyzetek megakadályozása. Az eredetjelző USN-ek egyszerűen számon tartják, hogy
eredetileg melyik tartományvezérlőről származik az adott módosítás, és hogy ott mi az USN
-BM Windows Server 2008
értéke. Így amikor a példánkban felállítjuk a vadonatúj tartományvezérlőt, és először többszö
rözzük a címtár másolatát, a korábban tárgyaltaknál valójában több információt adunk át.
A többszörözés eredményét az 5.4. táblázatban szereplőnél részletesebben az 5.5. táblázat
mutatja, ahol már az eredetjelző USN-eket is láthatjuk.
5.5. táblázat Változatszámok, USN-ek és eredetjelző USN-ek

Objektum Jellemző Frissítési Eredeti Az eredeti
változatszáma sorszám (USN) tartományvezérlő tartományvezérlő USN-je
l. felhasználó Minden jellemző o l. tartományvezérlő Minden jellemzőnél O,

változatszáma l, kivéve a Password
kivéve a Password jellemzőt, amelynél l.
Qelszó) jellemzőt,
amelynek 2.
2. felhasználó Minden jellemző l l. tartományvezérlő Minden jellemzőnél 2.

változatszáma l.
Csoport Minden jellemző 2 l. tartományvezérlő Minden jellemzőnél 3,

változatszáma l, kivéve a csoporttagság
kivéve a csoporttagság jellemzőt, amelynél 4.
jellemzőt, amelynek 2.
Lényegében tehát az eredetjelző USN-ek azt jelzik rninden tartományvezérlőnek, hogy eredetileg
honnan származik egy adott információ, és hogy a módosítást először végrehajtó tartományvezér
lő rnilyen USN-t adott az egyes adatoknak Ahogy azonban a tartományvezérlők számon tartják
a többszörözési partnereik legmagasabb USN-jét, úgy rögzítik rninden olyan tartományvezérlőnek
a legmagasabb eredetjelző USN-jét is, amellyel valaha kapcsolatba kerültek. A legmagasabb ere
detjelző USN-ek táblájában tárolt értékek a frissítési vektorok. Nézzük meg őket közelebbről!
A jelenlegi helyzetet az 5.6. táblázat mutatja.
5.6. táblázat Változatszámok, eredetjelző USN-ek és UTO-vektorok
l 4 2 4 (az l. tartományvezérlőró1) 2 (a 2. tartományvezérlőró1)
2 2 4 2 (a 2. tartományvezérlőről) 4 (az l. tartományvezérlőró1)
Az 5.6. táblázatban látható frissítési vektorok a legutóbbi eredetjelző USN-eket tárolják, amelyek
ről az egyes tartományvezérlők a másik tartományvezérlőről tudomással bírnak. Most lapozzunk
vissza néhány oldalt, és frissítsük fel az ernlékezetünket, hogy rnilyen helyzet eredményezett
végtelen ciklust a példánkban: az l. tartományvezérlőn dolgozó rendszergazda megváltoztatta
a 2. felhasználó jelszavát Az l. tartományvezérlő ennek a módosításnak az 5 USN-t adja, és
a frissítési vektorokat tároló tábláját azzal a legmagasabb eredetjelző USN-nel frissíti, amelyet
önmagától ismer, tehát (a tetszőlegesen választott) l kezdőértékről 5-re módosítja az értéket.
5. feiezet • Az Active Di
Amikor többszörözésre kerül sor, a 2. tartományvezérlő megkérdezi az l. tartományvezérlőt, hogy

rendelkezik-e a 4-es USN-nél újabb információval- amelyet a társa legmagasabbUSN-jeként is
mer-, és hogy az l. tartományvezérlő eredetjelző USN-je nagyobb-e l-nél, illetve a 2. tartomány
vezérlőé szintén l-nél. Az l. tartományvezérlő megvizsgálja a saját címtárpéldányát, észleli a jelszó
megváltozását, és látja, hogy azt saját maga kezdeményezte, 5-ös eredetjelző USN-nel. A 2. tarto
mányvezérlő azonban minden olyan információra kívánesi az l. tartományvezérlőtől, amelynek
az eredetjelző USN-je nagyobb l-nél, így az l. tartományvezérlő rájön, hogy a 2. tartományvezér
lőnek nincs tudomása az új információról, ezért átadja neki azt. A 2. tartományvezérlő bejegyzi
a változást, és a 3USN-értéket rendeli hozzá, majd rögzíti, hogy a partner legmagasabbUSN-je 5,
valamint hogy a legmagasabb eredetjelző USN, amelyet az l. tartományvezérlőn látott, szintén 5.
A2 eljárás lebonyolítása után kapott értékeket az 5.7. táblázatban láthatjuk.
5.7. táblázat Változatszámok, eredetjelző USN-ek és UTD-vektorok többszörözés után

• ."..__".. "'"' -·� �-.-,,�-,.,,.�si.-·. �-" ·
l 5 2 5 (az l. tartományvezérlőró1) 2 (a 2. tartományvezérlőről)
2 3 5 3 (a 2. tartományvezérlőről) 5 (az l. tartományvezérlőről)
Menjünk még egy kicsit tovább. Ismét többszörözésre kerül sor, de ezúttal az l. tartományvezérlő
lép kapcsolatba a 2. tartományvezérlővel, és kérdezi meg, hogy annak van-e a 2-esUSN-nél na
gyobb értékű új információja (rnivel ezt tartja a partner legmagasabbUSN-jének), és hogy
az l. tartományvezérlő eredetjelző USN-je nagyobb-e 5-nél, illetve a 2. tartományvezérlőé 2-nél.
A 2. tartományvezérlő megvizsgálja a saját címtárpéldányát, észleli a módosítást, amely a 3USN
értéket kapta, de azt is ellenőrzi, hogy honnan származik ez a változás. Ekkor látja, hogy a módo
sítást az l. tartományvezérlő kezdeményezte, és az 5USN-értéket rendelte hozzá. A 2. tartomány
vezérlő ekkor úgy dönt, hogy bár a módosítás az ő számára új volt, az l. tartományvezérlő már
nyilvánvalóan tud róla, ezért nincs szükség a megváltozott adatok többszörözésére. A 2. tarto
mányvezérlő így csupán a jelenlegi legmagasabbUSN-jét (3) közli a l. tartományvezérlővel,
az pedig rögzíti ezt az értéket. Milyen eredménnyel jár ez a folyamat? Nos, biztosítja, hogy a válto
zások többszörözése csak partnerek között menjen végbe, rnivel azUSN-ek és a frissítési vektorok
vizsgálatával a partnerek meg tudják állapítani, hogy melyikük rnilyen változásokról tud, és hogy
azok mikor történtek. Most már tényleg mindenki boldog, ahogy az 5.8. táblázat is mutatja.
5.8. táblázat A többszörözés végső eredménye
l 5 2 5 (az l. tartományvezérlőről) 2 (a 2. tartományvezérlőró1)
2 3 5 3 (a 2. tartományvezérlőről) 5 (az l. tartományvezérlőről)

-1:!1 Windows Server 2008
Összefoglalva: a tartományvezérlők a frissítési vektorokat tároló tábla és az eredetjelző USN-ek se
gítségével lényegében sokkal pontosabb többszörözési kérelmeket fogalmazhatnak meg. Ahelyett,
hogy egyszerűen elkérnék a partnertől az összes olyan adatot, amelyhez a kérelmező által ismert
legmagasabb USN-értéknél magasabb USN társul, azokat az adatokat kérik el, amelyeknek
az USN-je magasabb a tartományvezérlők frissítési vektorait tároló táblában szereplő USN-eknél is.
A többszörözés kezelése a REPADMIN segítségével

A Replication Administrator (többszörözéskezeló) vagy REPADMIN egy parancssori segédprog
ram, amellyel az Active Directory-többszörözés számos tulajdonsága és művelete szabályozható.
Ha azon töprengünk, hogy vajon miért nem találkoztunk eddig ezzel a segédprogrammal, íme
a válasz: a REPADMIN a Windows Server 2008 Resource Kit Tools -nem a szabványos csomag
-része, és a telepítő CD SUPPTOOLS.MS/telepítőfájljában találhatjuk meg, a \SUPPORT\TOOLS
mappában.
A KCC futtatása
A fejezet korábbi részéből emlékezhetünk rá, hogy a KCC érzékeli a hálózati környezetet, és
állítja be a többszörözési partnerek kapcsolatait a tartományvezérlők között. Ezt alapértelmezés
szerint 15 percenként elvégzi, de· ha hamarabb frissíteni szeretnénk, a KCC-t saját kezűleg is
elindíthatjuk a parancssorból a repadmin /kcc parancs kiadásával.
A frissftési vektorok megtekintése

Üzemi környezetben a frissítési vektorokat egy adott számítógépen a REPADMIN segítségével te
kinthetjük meg. Ehhez a parancssorban adjuk ki a repadmin /showutdvec kiszolgálónév
<LDAP-névkörnyezet> parancsot; a parancs második felének meghatározásához vizsgáljuk
meg az AD DS-szerkezetünk nevét, bontsuk fel részekre, és a részeket válasszuk el a "dc=" jelzés
sel bevezetve, közéjük pedig vesszőt téve. Ha a tartományunk neve például jonathanhassell.com,
akkor ezt így bonthatjuk fel: dc=jonathanhassell,dc=com. A REPADMIN-parancs ezek után egy
SERVERl nevű gépen így fog festeni:
repadmin /showutdvec server1 dc=jonathanhasse1l.com,dc=com
Az eredmény pedig az alábbihoz hasonló lesz:
Caching GUIDs.
Default-First-Site-Name\SERVER3 @ USN 8404 @ Time 2004-06-10 12:24:30

Természetesen az USN utáni számok az egyes felsorolt tartományvezérlők frissítési vektorai.
A többszörözési partnerek megtekintése

A többszörözési partnereket nem csak a korábban tárgyalt módon, grafikus felületen tekinthet
jük meg, hanem a REPADMIN segítségével is. Ehhez a repadmin /showrepl kiszolgáló
név <LDAP-névkörnyezet> parancsot kell használnunk, ami a fenti példa esetében így fest:
repadmin /showrep1 server1 dc=jonathanhassell.com,dc=com

5. tejezet • Az Actíve Directory ll:f-
A legmagasabb USN-ek megtekintése
Ha a többszörözési partnerek megtekintésére szolgáló parancshoz egyszerűen hozzáadjuk
a /verbose kapcsolót, azt is láthatjuk, hogy az adott kiszolgáló szerint milyen legmagasabb
USN tartozik az egyes partnerekhez. Példánk esetében a parancs így alakul:
repadmin /showrepl /verbose serverl dc=jonathanhassell.com,dc=com
Az egyes többszörözési partnerek esetében az l OU előtti szám a partnernek az a legmagasabb

USN-je, amellyel a kiszolgálónk eddig találkozott.
A "nagy vörös gomb" megnyomása

Ha a többszörözést nem később, hanem most szeretnénk elvégezni, a REPADMIN-ban két lehe
tőségünk van. Ha tetszőleges két tartományvezérlő között szeretnénk többszörözést kikénysze
ríteni, a repadmin /replicate célgép forrásgép <LDAP-névkörnyezet> parancsot kell
használnunk. Például ha a SERVER3-ról szeretnénk a SERVER2-re többszörözni, adjuk ki
az alábbi parancsot:
repadmin /replicate server2 server3 dc=jonathanhassell.com,dc=com
Ha a többszörözést minden partner között ki szeretnénk kényszeríteni, a repadmin /syncall

kiszolgálónév <LDAP-névkörnyezet> parancsot kell kiadnunk, így ha a SERVER2 partne
rein kívánunk többszörözést végrehajtani a jonathanhassell.com tartományban, a következő pa
rancsra lesz szükségünk:
repadmin /syncall server2 dc=jonathanhassell.com,dc=com
Telephelyek közötti többszörözés: átnyúló fák és telephely-kapcsolatok

Bár az AD DS hurkokat és hálókat használ a többszörözési topológiák kialakításához és kezelé
séhez egy adott telephelyen belül, egy költséges WAN kapcsolaton keresztül ilyen sok kapcsolat
használata rengeteg pénzbe és idóbe kerül. Ezért amikor az AD DS telephelyek között végez több
szörözést, egy minimálisan átnyúló fát használ, vagyis egy olyan fát, amelynek éppen csak annyi
ága van, amennyi a telephelyek közötti kapcsolat átfogásához szükséges. Példaként vegyünk egy
olyan környezetet, amelyben két kiszolgáló üzemel egy MAIN nevű telephelyen (legyen ez
a Charlotte-i központ), illetve egyetlen tartományvezérlő egy másik, WEST nevűn (San Franciscó
ban). Emlékezzünk vissza, hogy a telephelyeken belül a KCC önműködően alakítja ki a többszö
rözési topalógiát-a rendszergazdának (vagyis nekünk) nem kell közbeavatkoznia. A telephelyek
közötti többszörözés már nem ilyen egyszerű: az AD DS-nek több mindent tudnia kell az egyes
telephelyekről, mielőtt kitalálhatná, hogy miként hajtsa végre közöttük az adatok többszörözését.
Telephely-kapcsolatok
A telephely-kapcsolatok létrehozásával három kulcsfontosságú információt adunk át az AD DS
nek, amelyekkel annak mindenképpen rendelkeznie kell, mielőtt meghatározhatná az adatok
többszörözésének leghatékonyabb módját a telephelyek között:
• ha egynél több kapcsolattal rendelkezünk, melyik kapcsolatot kell használni a céltelep

helyre történő többszörözéshez,
•
mennyire megbízható a kapcsolat, és
•
hogyan menjen végbe a többszörözés - RPC-vel valós idóben vagy SMTP-n keresztül.
-1:1:1 Windows Server 2008
Először vizsgáljuk meg a harmadik pontot. Az AD DS lehetővé teszi, hogy a kapcsolatot vagy
IP-n át (RPC-hívásokkal) teremtsük meg, vagy - kevésbé megbízható vagy kevésbé biztonságos
kapcsolat esetén - STMP-n keresztül. Sajnos az SMTP alapú telephely-kapcsolatok képességei
rendkívül korlátozottak. Először is, az SMTP-kapcsolatok csak az erdősémanév- és a konfigurá
ciónév-környezetben továbbítják a frissítéseket, a különböző telephelyeken található tartomány
vezérlők között nem frissítik az adatokat. Ezen kívül egy biztonságos levélkiszolgálóra is szük
ségünk lesz, amelyet titkosítás és tanúsítványok segítségével felvértezünk az ellen, hogy az ada
tokat kívülről elfogják. Ezen okokból kifolyólag az általunk létrehozott telephely-kapcsolatok
túlnyomó többsége IP alapú lesz.
A példánkhoz visszatérve hozzunk létre egy telephely-kapcsolatot a MAIN és a WEST telephely

között. Ehhez az alábbi lépéseket kell követnünk:
1. Nyissuk meg az Active Directory Sites and Services ablakát.

2. Bontsuk ki a MAIN csomópontot a bal oldali ablaktáblában, majd bontsuk ki az Inter-Site
Transports mappát
3. Az egér jobb gombjával kattintsunk az IP elemre, és a New menüből válasszuk a Site
Link lehetőséget.
4. Ekkor megjelenik az 5.36. ábrán látható ablak.
5. Írjunk be egy barátságos nevet a telephely számára a Name mezóbe.
6. Válasszuk ki azokat a telephelyeket, amelyeket bele szeretnénk foglalni ebbe a kapcso
latba. Egy kapcsolatnak legalább két telephelyet tartalmaznia kell; a hozzáadáshoz és
az eltávolításhoz az ablak közepén található Add és Remave gombokat használhatjuk
A céljainknak megfelelően gondoskodjunk róla, hogy a MAIN és WEST nevű telephelyek
bekerüljenek a Sites in this site link feliratú mezőbe.
� Create in: corp.windowss.ervemet.com/ConftgtJaiicniSi
Nome:
Sites hthís sle knk:

OefatAt·fir.t·Si!e·Name
Ths new slle li1k wílnavenoelfect urdtli1ks atleasttwo slles
5.36. ábra
ll Cancel
Új telephe/y-kapcsolat beállítása
A telephely-kapcsolat további beállításainak megadásához kattintsunk az egér jobb gombjával

az új kapcsolatra az Active Directory Sites and Services bal oldali ablaktáblájában található IP
mappára, és válasszuk a Properties menüpontot, amely az 5 .37. ábrán látható ablakot jeleníti meg.
rtew s-Jte Ltnk Properties �:�
W NewSitei.Jnk
ilescnpüoo: L - -=·- ---

Si:esnotll1th!•Sl!•ink: Sitesll1th!ssitelink:
1 1Default-Frst-Site-Name
![J
Cost:
11: :B
Replicate e"ery 1180 �. ........
J
5.37. ábra
OK
Telephely-kapcso/at ütemezésének módosítása
Ez az ablak két létfontosságú elemet tartalmaz. Az első a Cost (Költség) mező, amely lehetővé
teszi, hogy minden létrehozott telephely-kapcsolathoz meghatározzunk egy költséghányadot
lényegében a kapcsolat használatának költségindexét Ha egynél több telephely-kapcsolatunk
van, az AD DS a legalacsonyabb költségű kapcsolatot választja a többszörözés végrehajtásához.
Sajnos a Microsoft nem ad túl sok útmutatást ahhoz, hogy miként állapítsuk meg a költséghánya
dot-én azt javaslom, hogy vegyük figyelembe a kapcsolat alapköltségét, a csúcsidőszaki és éj
szakai tarifát, a forgalmi korlátokat, valamint a kapcsolat elérhetőségét. A másik fontos elem
a Replicate every ...minutes mező, amelyben azt adhatjuk meg, hogy hány percenként próbáljon
az AD DS többszörözést kezdeményezni az adott telephely-kapcsolaton keresztül. A legkisebb
beállítható többszörözési időköz 15 perc, maximumérték viszont lényegében nincs (bár minden
AD DS-telephelynek legalább 60 naponta egyszer többszörözést kell végeznie).
Ha az ütemezés módosítását lehetővé tevő Change Schedule gombra kattintunk, az 5.38. ábrán
látható képernyő jelenik meg. Az egér segítségével jelöljük ki azokat az órákat, amikor a kapcsolat
nem érhető el. Az AD DS figyelembe veszi ezt az információt, és meg sem kísérli a többszörözést
a megadott idő alatt. A párbeszédablakból az OK gombbal léphetünk ki, a kapcsolat beállítását
pedig az előző ablak OK gombjára kattintva fejezhetjük be.
Miután megadtuk a telephely-kapcsolat beállításait a KCC telephely- és szolgáltatás-kezelő meg

felelője, az Inter-Site Topology Generator (ISTG, telephelyek közötti topológia-előállító) megha
tározza a telephelyek közötti többszörözési forgalom lebonyolításához minimálisan szükséges
átnyúló fát.
Az AD DS-többszörözés alapjait ezzel kimerítően át is tekintettük

-fui Windows Server 2008
5.38. ábra
A Schedule for New Site Link képernyő
Írásvédett tartományvezérlők
Gondoljunk vissza a Windows NT 4.0 idejére, arnikor az egyetlen elsődleges tartományvezérlő
(PDC, primary domain controller) volt az egyeduralkodó, akinek tetszó1eges számú alattvalója
lehetett- a tartalék tartományvezérlők (BDC, backup domain controller). Az adatok árarnlását
könnyen követhettük a módosítások a tartomány biztonsági adatainak mesterpéldányát tároló
PDC-n történtek, és onnan egy irányban terjedtek kifelé a BDC-kre. Amikor azonban megjelent
az AD DS, ez a különbségtétel megszűnt. Nem volt többé elsődleges, tartalék stb. kiszolgáló,
vagyis a gyakorlatban minden tartományvezérlő egyenrangúvá vált a többivel. (Valójában persze
egyes tartományvezérlők "egyenlőbbek a többiné!", ha az egyenletbe belevesszük a műveletmes
teri szerepköröket, de ez a jelen téma szempontjából lényegtelen.) Az új felépítés növeli a hibatű
rést és az operációs rendszer tömeges telepítésének lehetőségeit, ugyanakkor némi gondot okoz
hat, ha a hálózat valamelyik tartományvezérlője sérült vagy helytelen adatokat tesz közzé a többi
tartományvezérlő számára. Hogyan akadályozhatjuk ezt meg? Egy fiókirodákkal rendelkező cég
hálózatában a probléma különösen komoly, rnivel az egyes irodák kijelölt rendszergazdáinak
tartományi rendszergazdai jogosultságokra van szükségük ahhoz, hogy az irodájuk tartományve
zérlőjét felügyelhessék, ami lényegében feljogosítja őket bármely tartományvezérlő kezelésére,
nem csak a gondjukra bízott kiszolgálóéra, márpedig ez a biztonság szempontjából nem a legjobb.
A tartományvezérlők egyenrangúsága a Windows Server 2008 AD DS-megvalósításában is érvé

nyes, de itt bevezettek egy új fogalmat is: az írásvédett tartományvezérlőét. Az írásvédett tarto
mányvezérlő (RODC, read-only domain controller) neve mindent elárul: a számítógép minden
többszörözött információt befogad a teljes jogú tartományvezérlőkről, de a címtáradatbázisról
készült saját másolatát semmilyen módon nem engedi meg módosítani, így róla nem is lehet
visszafelé többszörözni annak a tartománynak a teljes jogú tartományvezérlőire, amelynek
az RODC is tagja. Ez igen hasznos az olyan fiókirodákban, amelyeknek az anyacége elég nagy
ahhoz, hogy átfogó AD DS rendszert működtessen: most már nem kell teljes jogú tartományve
zérlőket üzemeltetnünk a távoli helyeken - elég, ha elhelyezünk ott egy írásvédett tartományve
zérlőt. Ez többek között a következő jelentős előnyökkel jár:
5. fejezet • Az Active Directory lpi-
•
Csökkentjük az esélyét annak, hogy valaki, aki megtámadja az egyik fiókiroda
szárnítógépeit, képes legyen fertőzött adatokat juttatni a teljes AD DS adatbázisba.
•
Az RODC csak azoknak a felhasználóknak és számítógépeknek az azonosítóit gyorstárazza,
akik az RODC-re jelentkeztek be, és akiknek az azonosítóit a jelszótöbbszörözési házirend
megengedi gyorstárazni, ami csökkenti az esélyt, hogy valaki egy eltulajdonított fikóirodai
tartományvezérlőről felhasználói fiókokat törjön fel.
•
Az RODC alapértelmezés szerint nem gyorstárazza a tartományi rendszergazda azonosító
it, így a királyság kulcsai nagyobb biztonságban vannak.
•
Az RODC által kiadott Kerberos hitelesítési jegyek csak az RODC hatáskörébe tartozó
rendszereken érvényesek, így az RODC nem tud hamis jegyeket kiadva rosszindulatú fel
használókat engedni a teljes hálózatra.
•
Az RODC Server Core-szerepkör, ami azt jelenti, hogy alig van szükség helyi felügyeletre.
Ezen kívül a grafikus felület hiánya ugyancsak kisebb támadási felületet jelent. Ha írásvé
dett tartományvezérlót szeretnénk felállítani, futtassuk a DCPROMO programot, és a to
vábbi tartományvezérlői beállítások között (az Additional Domain Controller Options
képernyőn) tegyük az új tartományvezérlőnket írásvédett tartományvezérlővé.
Az frásvédett tartományvezérf6kkel kapcsolatos DNS-megfontolások

Amikor az Active Directory Domain Services Installation Wizard segítségével RODC-t állítunk fel,
a DCPROMO azt javasolja, hogy telepítsünk egy helyi DNS-kiszolgálót az RODC-re. Ez a kiszol
gáló megkapja az AD DS-hálózat zónáit, a program pedig hozzáadja az RODC helyi IP címét
az RODC helyi DNS-ügyféltulajdonságaihoz, így a kérelmek automatikusan az Active Directory-ba
ágyazott zónához továbbítódnak a szárnítógépen.
Mindazonáltal a lehető legnagyobb hibatűrés érdekében a Microsoft azt tanácsolja, hogy

amennyiben egy fiókirodában csak egy DNS-kiszolgáló és RODC működik (a két szolgáltatás
futhat például ugyanazon a szárnítógépen), a DHCP-beállítások- feltételezve, hogy a fiókirodá
ban dinamikus IP címeket használunk- közé ne csak a helyi RODC alapú DNS-kiszolgálót, ha
nem a többi Active Directory-kiszolgálónak helyet adó központi iroda egyik DNS-kiszolgálóját
is vegyük fel. Gondoskodjunk róla, hogy a helyi RODC alapú DNS-kiszolgáló legyen az első
a listában, hogy csak azok a kérelmek továbbírádjanak a hálózaton át a központba, amelyekre
a helyi kiszolgáló nem tud válaszolni.
Ha a fiókirodában több RODC-t is üzemeltetünk, mindegyikre telepíthetünk egy-egy DNS-ki

szolgálópéldányt. Ne feledjük, hogy mivel az RODC-k valóban csak olvashatók, az ügyfelek di
namikus frissítési kérelmeit közvetlenül a központi iroda egyik írható tartományvezérlőjéhez
kell irányítanunk. Az RODC-ken található DNS-kiszolgálópéldányok nem kísérelnek meg több
szörözést végrehajtani egymásra, hanem minden változást közvetlenül a központi AD DS rend
szerből kapnak meg, ezért lehetnek olyan időszakok, amikor az egyik helyi RODC már meg
kapta egy ügyfél friss DNS-bejegyzését, de egy másik RODC még nem. A probléma egy több
szörözési ciklus során magától megoldódik, de ha el szeretnénk kerülni, gondoskodjunk róla,
hogy az ügyfelek DNS-kiszolgálókat tartalmazó listái egyformák legyenek - ebben a DHCP
beállítások segíthetnek-, és telephelyenként csak egy DNS-kiszolgálópéldányt telepítsünk.
-Pfl Windows Server 2008
Hibaelhárítás és karbantartás az Active Directory-ban
Elóbb-utóbb jelentkezik valamilyen hiba a hálózatban - ez elkerülhetetlen. Ezenkívül bizonyos
feladatokat rendszeresen el kell végeznünk, hogy az AD DS rendszerünk a lehetó leggyorsabban
és leghatékonyabban működjön. Ebben a részben a hibaelhárítás és a karbantartás kérdéseivel
foglalkozunk, és egyaránt megmutatjuk, hogy rniként tarthatjuk a hálózatunkat kifogástalan for
mában, valamint hogy miként deríthetjük ki, hogy mi okozza a problémát, ha valami elromlana.
Tevékenységvizsgálat az Active Directory-tartományszolgáltatásokban

A Windows Server 2008 és az AD DS fejlett tevékenységvizsgáló és -naplózó rendszert tartalmaz,
amelynek segítségével egyszerűbben megtekinthetjük a tartományunkban zajló tevékenységeket.
Ha a csoportházirendeken keresztül engedélyezzük a tevékenységek figyelését a tartományve
zérlókön, láthatjuk a címtárfában található objektumok sikeres és meghiúsult kísérleteit, amint
megpróbálják elérni vagy módosítani a tartomány beállításait.
A Windows Server 2008 Active Directory-megvalósításában a tevékenységvizsgáló négyféle

eseményt figyel:
Directory Setvice Access (Címtár-hozzáférés)

Az ilyen eseményeket figyeló vizsgálat eredményeként kapott információk lényegében
megegyeznek azzal, amit a Windows Server 2003 mutatott, de az esemény azonosítója
4662-re változott.
Directory Setvice Changes (Címtár-módosítások)
Ez új fajta esemény, amelynél a tevékenységvizsgáló a címtár megváltozott elemének
mind a régi, mind az új, jelenleg érvényes értékét rögzíti a Security (Biztonság) esemény
naplóban. A vizsgáló a módosított tulajdonságú objektumoknak a régi és az új értékeit
írja fel (5136-os esemény), az új objektumok esetében az összes kezdeti beállítást rögzíti
(5137-es esemény), az áthelyezett objektumoknak a régi és a jelenlegi helye (5139-es
esemény), a korábban törölt, majd visszanyert objektumoknak pedig az új helye kerül
a naplóba (5138-as esemény).
Directory Setvice Replication (Címtár-többszörözés)
Erre az eseményre vonatkozóan a vizsgálat a művelet sikerét vagy kudarcát rögzíti.
Detai/ed Directory Setvice Replication (Részletes címtár-többszörözés)
Ez a (jelenleg még fejlesztés alatt álló) vizsgálat mélyebb, részletesebb információkat
nyújt a többszörözésróL
A tevékenységvizsgálat és -naplózás engedélyezéséhez nyissuk meg a Server Managert, és

a Features (Szolgáltatások) pont alatt bontsuk ki a Group Policy Management (Csoportházirend
kezelése) elemet, az erdónket, majd az aktív tartományt. Kattintsunk a Domain Controllers
(Tartományvezérlók) elemre, majd a jobb oldali ablaktáblában az egér jobb gombjával a Default
Domain Controller Policy (alapértelmezett tartományvezérlói házirend) pontra, és válasszuk
az Edit (Szerkesztés) lehetóséget. A Group Policy Management Editor (csoportházirend-szerkesztő)
megjelenó ablakában keressük meg a Computer Configuration, Windows Settings, Security
Settings, Local Policy, Audit Policy (számitógép beállításai, Windows-beállítások, biztonsági beállí
tások, helyi házirend, naplórend) elemet, és jelöljük ki. A jobb oldali ablaktáblában kattintsunk
duplán az Audit directory service access (címtárszolgáltatás elérésének vizsgálata) elemre a házi-
5.
rend beállításához. Jelöljük be a Define these policy settings (a megadott házirend-beállítás életbe
léptetése) jelölőnégyzetet, válasszuk ki, hogy a sikeres vagy sikertelen műveleteket, vagy mindket
tőt szeretnénk vizsgálni, majd kattintsunk az OK gombra.
Ezzel a tevékenységvizsgálati házirendet (naplórendet) bekapcsoltuk; következő lépésként azt

kell megadnunk, hogy mi íródjon az egyes vizsgálni kívánt objektumok hozzáférés-szabályozási
listáiba (ACL). A Server Managerben keressük meg az Active Directory Users and Computers ele
met, és a View (Nézet) menüből válasszuk az Advanced Features (speciális lehetőségek) pontot.
Ez után az egér jobb gombjával kattintsunk arra a szervezeti egységre, amelyre be szeretnénk ál
lítani a tevékenységvizsgálatot, válasszuk a Properties menüpontot, váltsunk a Security lapra, és
kattintsunk az Advanced gombra. Az Advanced Security Settings (speciális biztonsági beállítások)
ablakban váltsunk az Audit (Naplózás) lapra, és ott kattintsunk az Add gombra. Vegyünk fel igé
nyeink szerint felhasználókat, majd a megjelenő Auditing Entry párbeszédablakban válasszuk
a Descendant User Objects (leszármazott felhasználói objektumok) elemet az Apply onta lenyíló
listábóL Válasszuk a lista negyedik, Write all properties (minden tulajdonság írása) elemér, és
a megfelelő oszlopokban adjuk meg, hogy siker vagy kudarc esetén kérünk-e vizsgálatot.
Az OK gombokkal zárjuk be a megnyitott ablakokat, és térjünk vissza a Server Managerhez.
A tevékenységvizsgálatot ezzel engedélyeztük a tartományvezérlőkön, így a kijelölt szervezeti

egységen végzett minden módosítás bekerül a Security eseménynaplóba.
Az Active Directory-tartományszolgáltatások újraindítása

A Windows Server 2008 anélkül is megengedi az Active Directory-tartományszolgáltatások újra
indítását, hogy a teljes tartományvezérlót újra kellene indítanunk címtárszolgáltatás-helyreállító
módban. Ezt az Active Directory-tartományszolgáltatások áttervezése tette lehetővé, aminek
köszönhetőerr a Domain Services (tartományszolgáltatások) összetevőnek három állapota lehet:
Started (Elindítva)
Ez a normál állapot.
Stopped (Leállítva)
Ez az újonnan támogatott állapot a tartományvezérlő számítógépet lényegében egy
tartományhoz csatlakoztatott tagkiszolgálóvá teszi, de a Directory Services Restore Made
javítási szolgáltatásait (lásd a következő pontban) megtartja.
Directory Services Restore Made (Címtárszolgáltatások helyreállító módja)
Ez a mód újraindítás után érhető el (a rendszerindítás közben üssük le az F8 billentyűt, és
válasszuk ezt a módot a szöveges indítómenüből), és különféle kapcsolat nélküli karban
tartási feladatok elvégzését teszi lehetővé az Active Directory adatbázison, vagyis magán
az NTDS.D!Tfájlon. Erre a módra a fejezetben még visszatérünk.
A tartományvezérlő szolgáltatást egyszerűen leállíthatjuk a Services (Szolgáltatások) konzolorr

keresztül, de az alább bemutatott parancssori utasításokat is alkalmazhatjuk.
Az AD DS leállításához adjuk ki ezt a parancsot:
net stop ntds

Windows Server 2008
Az AD DS elindításához pedig ezt:
net start ntds
Hibaelhárítás az Active Directory-ban a DNSUnt segítségével

Emlékszünk még a DNSLint nevű programra a 4. fejezetből? Nos, rnivel az Actíve Directory
a DNS-re épül, bizonyos helyzetekben a DNSLint életet menthet, arnikor valamilyen homályos
problémát kell felderíteni és megoldani az Actíve Directory-rendszerben. Az Actíve Directory
helyes működését valójában a leggyakrabban DNS-hibák akadályozzák.
A DNSLint a következő esetekben segíthet kideríteni, hogy rni a baj:
• Egy hálózati kártya TCP/IP-beállítása nem az AD-tartománnyal együttműködő zóna

irányadó DNS-kiszolgálójára mutat.
• Egy DNS-zónafájlból hiányzik az egyes tartományvezérlők globálisan egyedi azonosítóit
tartalmazó CNAME-bejegyzés a ragasztó bejegyzésként működő "A" bejegyzésekkel
együtt. (A 4. fejezethez visszalapozva felfrissíthetjük az emlékezetünket, hogy mit jelente
nek ezek a kifejezések.)
• Helytelen átruházás történt olyan gyermektartományokra, ahol vagy nincsenek az átruhá
zást meghatározó NS-bejegyzésekhez megfelelő ragasztó bejegyzések, vagy az NS-be
jegyzések olyan kiszolgálókra mutatnak, amelyek nem válaszolnak, vagy jelenleg nem
kapcsolódnak a hálózathoz.
• Egy AD-tartománynak megfelelő DNS-zóna nem tartalmazza a szükséges SRV
bejegyzéseket, beleértve az _ldap szolgáltatást a 389-es TCP-kapun, illetve a _kerberos
szolgáltatást a 88-as TCP- és UDP-kapun. A globáliskatalógus-kiszolgálóknak a _gc
szolgáltatáshoz rendelkezniük kell a 3268-as TCP-kapura mutató SRV-bejegyzéssel is.
• A PDC-utánzó műveleti mester nem rendelkezik az _ldap szolgáltatáshoz szükséges SRV
bejegyzéssel.
Ami még jobb, hogy a DNSLint-et a Dediag-gal együtt is használhatjuk, amely egy másik segéd
program, amelyet megtalálhatunk a Windows Server 2008 telepítőlemezén, a segédeszközök
(Support Tools) között. A kettőt együttesen használva különféle teszteket hajthatunk végre,
mielőtt egy számítógépet tartományvezérlővé léptetnénk elő, valamint egy már meglevő
tartományvezérlőt is ellenőrizhetünk, hogy helyesen állítottuk-e be. Ha egy gépet tartomány
vezérlővé szeretnénk előléptetni, a Dcdiag /dcpromo kapcsalójával ellenőrizhetjük a helyes
DNS-beállításokat. Ha a program problémát észlel, a javasolt megoldással együtt megmutatja azt.
AJH-W2K3-DC2 nevű számítógépet például a következő parancs kiadásával ellenőrizhetjük, hogy

készen áll-e arra, hogy tartományvezérlővé léptessük elő a corp.hasselltech.local tartományban:
dcdiag /s:jh-w2k3-dc2 /dcpromo /dnsdomain:corp.hasselltech.local /replicadc
Az NTDS adatbázis kapcsolat nélküli töredezettség-mentesftése

A merevlemezekhez hasonlóan időnként az Actíve Directory-tartományszolgáltatások valamennyi
objektumát és információját tároló adatbázis is töredezetté válhat a tartományvezérlőkön, rnivel
a címtár különböző részeit gyakran módosítják, egyes részei pedig átrendeződnek, mert ritkábbarr
olvassák azokat. Bár azt hihetnénk, hogy a tartományvezérlő merevlemezének töredezettség

mentesítésével automatikusan töredezettség-mentesítjük az N7DS.Dfffájlt is, valójában nem ez
a helyzet.
Az AD DS a hálózati töredezettség-mentesítést saját maga kezeli, és megfelelően látja el ezt

a feladatot. Ahhoz azonban, hogy igazán kitakarítsuk az adatbázist, és úgy töredezettség
mentesítsük, hogy a lehető leghatékonyabb működést érjük el, a tartományvezérlőt le kell vá
lasztanunk a hálózatról, hogy az adatbázisfájlhoz kizárólag a töredezettség-mentesítő folyamat
férjen hozzá. Ez négy lépést igényel. Először is, indítsuk újra a kérdéses tartományvezérlőt, és
váltsunk címtárszolgáltatás-helyreállító módba. Másodszor, hajtsuk végre a tényleges töredezett
ség-mentesítést. Harmadszor, másoljuk vissza a töredezettség-mentesített adatbázist az üzemi
könyvtárba. Negyedszer, indítsuk újra a számítógépet (Az AD DS más tartományvezérlőire
történő többszörözést a folyamat nem érinti, mivel az AD DS elég okos ahhoz, hogy megkerülje
a leválasztott tartományvezérlőt, amely majd akkor értesül a változásokról, ha visszakapcsoltuk
a hálózatra.)
Hajtsuk is végre a szükséges műveleteket:
1. Indítsuk újra a tartományvezérlőt.

2. A tartományvezérlő rendszerindító folyamatának elindulásakor nyomjuk le az FS billen
tyűt, hogy megjelenítsük az indítómenüt.
3. Válasszuk a címtárszolgáltatások helyreállító módját (Directory Services Restore Made).
4. Amikor a rendszer felszólít a bejelentkezésre, a tartományi rendszergazda fiókjának fel
használónevét, de azt a jelszót kell megadnunk, amelyet a helyreállító módhoz hoztunk
létre, amikor előléptettük az adott számítógépet tartományvezérlővé.
5. Nyissunk meg egy parancsablakot
6. A parancssorba írjuk be az ntdsutil parancsot, hogy elindítsuk a kapcsolat nélküli
NTDSUtil eszközt.
7. A fájlkarbantartó környezetbe való belépéshez írjuk be a file parancsot.
8. Írjuk be a compact to <hely> utasítást, ahol a <helY> annak a helynek az elérési útját
adja meg, ahol tárolni szeretnénk a címtár töredezettség-mentesített másolatát. Törede
zettség-mentesítés után az AD DS másolatot készít az adatbázisról, hogy a címtárból hiba
esetén is legyen üzemképes változat.
9. Ha azt az üzenetet látjuk, hogy a művelet x másodperc alatt sikeresen befejeződön
COperation completed successfully in x seconds), a quit parancs beírásával lépjünk ki
az NTDSUtil-ból.
1 O. A szokásos parancssorban másoljuk az N7DS.Dfffájlt a 8. lépésben kiválasztott helyről
a \ Windows\NTDS könyvtárba. Nyugodtan írjuk felül az ott található fájlpéldányt -
az még a töredezett változat.
11. Töröljünk minden .LOG kiterjesztésű fájlt az említett könyvtárból.
12. Indítsuk újra normál módban a tartományvezérlőt és a Windows Server 2008-at.
Az adatbázisunkat ezzel töredezettség-mentesítettük.

Windows Server 2008
A címtár metaadatainak kitakarítása

Az idő előrehaladtával az AD DS szemetet is felhalmoz: számítógépfiókokat, amelyek réges-régen
kidobott PC-kre mutatnak, tartományvezérlőket, amelyeket üzemen kívül helyeztünk anélkül,
hogy előbb megszüntettük volna a szerepüket az AD DS-ben, és így tovább. Időnként célszerű
ezeket az elavult adatokat kitakarítani, hogy ne bukkanjanak fel nehezen felderíthető (és ezért
nehezen elhárítható) hibák, és hogy a teleszemetelt címtár ne lassítsa le késóbb az olyan fontos
Active Directory-műveleteket, mint a tartományok átnevezése vagy eltávolítása.
Tegyük fel például, hogy van egy cluster.hasselltech.local nevű gyermektartományunk, amelyet
törölni szeretnénk. Ehhez ismét az NTDSUtil eszközt, pontosabban annak metaadat-kitakarító
szolgáltatását fogjuk használni. Első lépésként jelentkezzünk be egy tartományvezérlőre vállalati
rendszergazdaként, majd hajtsuk végre az alábbi műveleteket:
1. Nyissunk meg egy parancsablakot

2. A program elindításához írjuk be az ntdsutil parancsot.
3. A metadata cleanup utasítás beírásával lépjünk be a program metaadat-kitakarító
részébe.
4. A kiszolgálói kapcsolatok készenléti jelének eléréséhez írjuk be a connections parancsot.
5. A connect to server localhost paranccsal kezdeményezzünk kapcsolatot az aktuális
tartományvezérlővel.
6. A quit paranccsal lépjünk ki a modulból.
7. Most írjuk be a select operatien target (művelet célpontjának kiválasztása) utasítást,
majd nyomjuk le az ENrER billentyűt.
8. Kérjük le a tartományok listáját a list domains (tartományok felsorolása) beírásávaL
9. Az NTDSUtil ekkor megjeleníti a rendszerben található tartományok listáját. Példánkban
a cluster.hasselltech.local a 2. tartomány lesz, ezért ennek megsemmisítéséhez írjuk be,
hogy select domain 2 (a 2. tartomány kiválasztása), majd nyomjuk le az ENrER billentyűt.
1 O. Következő lépésként meg kell határoznunk, hogy melyik telephelyen található
a cluster.hasselltech.local tartomány. A 8. és 9. lépésben látotthoz hasonló lista előhívá
sához írjuk be a list sites (telephelyek felsorolása) parancsot.
11. Esetünkben a cluster.hasselltech.local a CHARLOTfE telephely része, amely a felsorolásban
a 3. telephelyként szerepel, ezért írjuk be, hogy select site 3 (a 3. telephely kiválasztá
sa), majd nyomjuk le ismét az ENTER billentyűt.
12. Most meg kell szabadulnunk az említett tartomány tartományvezérlőitőL Ahhoz, hogy
kiderítsük, hogy ezt a szerepet mely számítógépek töltik be a telephely adott tartomá
nyában, írjuk be a list servers (kiszolgálók felsorolása) parancsot, majd nyomjuk le
az ENrER billentyűt.
13. Két tartományvezérlót találunk O és l sorszámmaL Mindkettőtől meg kell szabadulnunk,
ezért írjuk be, hogy select server O (a O. kiszolgáló kiválasztása), majd nyomjuk le
az ENrER billentyűt.
14. Adjuk ki a quit, majd a remove selected server (a kiválasztott kiszolgáló eltávolítá
sa) parancsot, és erősítsük meg a döntésünket
15. Írjuk be, hogy select server l (az l. kiszolgáló kiválasztása), majd nyomjuk le ismét
az ENTER billentyűt.
5. fejezet • Az Active Directory IPf-
16. Adjuk ki megint a remove selected server parancsot, és erősítsük meg ismét
a döntésünket.
17. Végül írjuk be a remove selected domain (a kiválasztott tartomány eltávolítása)
utasítást, és üssük le ismét az ENrER billentyűt.
18. A qui t paranccsal lépjünk ki az NTDSUtil programból.
Zárszó
Ebben a fejezetben hatalmas mennyiségű anyagot tekintettünk át, mivel a Windows Server 2008
valószínűleg legösszetettebb részét, az Active Directory-tartományszolgáltatásokat tárgyaltuk
A következő fejezetben a Csoportházirendek kerülnek terítékre, amelyek segítségével követ
kezetesen és figyelemreméltó könnyedséggel felügyelhetjük számítógépek csoportjait. Amint
pedig majd látni fogjuk, a Csoportházirendek alapját az Active Directory jelenti.
A Csoportházirendek és az lntelliMirror
A Windows Server 2008 a számítógépek rendszerezését egy csodálatos parancs- és vezérlő rend
szerrel segíti, amelyet Group Policy-nak (csoportházirend-szerkesztő) hívnak. A Csoportházirendek
révén felhasználókra és számítógépekre vonatkozó szabályokat állíthatunk fel, amelyeket egy
szerre alkalmazhatunk egy adott Actíve Directory-telephely, -szervezeti egység vagy -tartomány
számítógépeire.
Ebben a fejezetben megismerkedünk a csoportházirendekkel, és a Group Policy rendszer

szolgáltatásaival. Megnézzük, hogyan hozhatunk létre és módosíthatunk csoportházirendeket,
illetve hogyan bővíthetjük vagy finomíthatjuk azok hatókörét. Látni fogjuk, hogyan működik
az öröklés és a felülbírálás, és vetünk egy pillantást a Windows Management Instrumentation
(WMI) felületre, illetve a Windows Server 2008 új RSoP (Resultant Set of Policy, házirend-ered
ményhalmaz) eszközeire, amelyek segítségével még tovább szűrhetjük és pontosíthatjuk a házi
rendek alkalmazását. Ezt követően megvizsgáljuk a helyi és tartományi Csoportházirendek között
fennálló hasonlóságokat és különbségeket, végül pedig áttekintjük a hibaelhárírási módszereket,
és a széleskörű csoportházirend-alkalmazással kapcsolatos megfontolásokat.
Bevezetés a Csoportházirendek világába

A Csoportházirendek öt jól elkülöníthető összetevőből állnak:
Felügyeleti sablonok
Ezek a rendszerleíró adatbázison (beállításjegyzéken) alapuló házirendeket állítják be.
(Azt, hogy ez valójában mit jelent, hamarosan megtudjuk.)
Mappa-átirányítás
A felhasználói felület különböző elemeinek, például a My Documents (Dokumentumok)
mappának a helyét módosítják úgy, hogy a hálózaton található más helyekre mutassa
nak.
Parancsfájlok
Ezek akkor hajtódnak vére, amikor az adott számítógépet elindítjuk vagy leállítjuk, illetve
egy felhasználó be- vagy kijelentkezik.
l-1tJ•I Windows Server 2008
Biztonsági beállítások
Ezek a beállítások a számítógépek, tartományok és felhasználók engedélyeit, jogosultságait
és korlátozásait határozzák meg.
Szoftverházirendek
Ezek a házirendek alkalmazáscsomagokat rendelnek felhasználókhoz és számítógépekhez.
Az egyes összetevők adatait egy-egy csoportházirend-objektum (GPO, Group Policy Object)

tárolja. A tartományi csoportházirendekben a csoportházirend-objektumok az Active Directory
különböző szintjein tárolódnak, de mindig egy tartományhoz kapcsolódnak. A GPO-k az Active
Directory különféle objektumaira vonatkozhatnak, például telephelyekre, tartományokra, tarto
mányvezérlőkre és szervezeti egységekre, és több telephelyhez, magukhoz a tartományokhoz,
illetve szervezeti egységekhez kapcsolhatók. A nem tartományi (vagyis helyi) Csoportházirendek
esetében a beállításokat az egyes kiszolgálókan adhatjuk meg. A helyi számítógép-házirendeket
a %SystemRoot%\System32\GroupPolicy könyvtár tárolja, mert ezek csak arra a számítógépre
érvényesek, amelyen megtalálhatók, és nincs szükség a többszörözésükre. A helyi házirendek
nek a hatóköre és a képességei is korlátozottabbak, amint azt a fejezetben később látni fogjuk.
Amikor felállítunk egy Active Directory-tartományt, két alapértelmezett csoportházirend-objektum

jön létre: egy magához a tartományhoz kapcsolódik, ezért a tartomány minden felhasználóját és
számítógépét érinti, egy pedig a tartományvezérlők szervezeti egységéhez, és a tartomány összes
tartományvezérlőjére érvényes.
A Csoportházirendek magvalósítása
Most, hogy ismerjük a Csoportházirendek összetevőit, nézzük meg a megvalósításuk módját!
Az NTFS-engedélyekhez hasonlóan a Csoportházirendek is összegződnek és öröklődnek: az egy
adott házirend által módosított beállítások tehát más házirendekre és "tömeges" beállításmódo
sításokra építhetnek (összegződés), az Active Directory-ban más objektumok alatt elhelyezkedő
objektumokra pedig olyan Csoportházirendek vonatkozhatnak, amelyeket az objektum automa
tikusan vesz át a szülőobjektumtól.
A csoportházirend-objektumokat tetszőleges számú objektumhoz társíthatjuk vagy kapcsolhat

juk, akár egy könyvtáron belül, akár egy adott számítógépen. Ha egy bizonyos objektumtípusra
szeretnénk csoportházirendet alkalmazni, az alábbi útmutatót kell követnünk:
Az adott (helyi) számítógépre

Használjuk a Local Security Policy (Helyi biztonsági házirend) beépülő modult, amelyet
a Control Panel, Adrninistrative Tools (Vezérlőpult, Felügyeleti eszközök) útvonalon érhe
tünk el, vagy ha teljesebb képet szeretnénk kapni, válasszuk a Start, Run (Start, Futtatás)
parancsot, és írjuk be a gpedit.msc utasítást.
Egy konkrét számítógépre
Töltsük be az MMC-t, majd válasszuk az Add Snap-in (Beépülő modul hozzáadása)
parancsot a File (Fájl) menüből. A megjelenő listából keressük ki a Group Policy Object
Editor (csoportházirend-objektumok szerkesztője) elemet, és adjuk a konzolhoz, majd
a Select Group Policy Object (csoportházirend-objektum kiválasztása) ablakban keressük
meg a kívánt objektumot.
6. fejezet • A Csoportházirendek és az lntelliMirror lleJ-
Egy teljes tartományra
Telepítsük és indítsuk el a Group Policy Management Console-t (csoportházirend-kezelő
konzol), majd kattintsunk az egér jobb gombjával a kívánt tartományra, és hozzuk létre
vagy szerkesszük a házirendet onnan.
Egy szeruezeti egységre az Active Directory-n belül
Telepítsük és indítsuk el a Group Policy Management Console-t, majd kattintsunk az egér
jobb gombjával a kívánt szervezeti egységre, és hozzuk létre vagy szerkesszük a háziren
det onnan.
Egy Active Directory-telephelyre
Indítsuk el az Active Directory Sites and Services (Active Directory-helyek és szolgálta
tások) programot, kattintsunk az egér jobb gombjával a telephely nevére, és válasszuk
a Properties (Tulajdonságok) pontot a megjelenő helyi menüből. Váltsunk a Group Policy
(Csoportházirend) lapra, és hozzuk létre vagy szerkesszük a házirendet onnan.
A Windows a csoportházirendeket a következő sorrendben alkalmazza (angolul könnyű megje

gyezni, ha az eszünkbe véssük az LSDOU betűszót, ami a "local, site-specific, domain-specific,
OU-specific", vagyis "helyi, telephelyre vonatkozó, tartományra vonatkozó, szervezeti egységre
vonatkozó" rövidítése):
1. Helyi GPO-k.
2. Telephelyre vonatkozó GPO-k, a telephely rendszergazdája által meghatározott sorrendben.
3. Tartományra vonatkozó GPO-k, a tartomány rendszergazdája által meghatározott
sorrendben.
4. Szervezeti egységre vonatkozó GPO-k, a szülő szervezeti egységtől a gyermek szervezei
egységek felé.
A fenti szabály alól az jelenti az egyetlen kivételt, ha NT 4.0-s rendszerházirendeket használunk,

amelyeket az NT System Policy Editor (rendszerházirend-szerkesztő) segédprogramja segítségével
hoztunk létre és állítottunk be. Az NT-s időkből emlékezhetünk rá, hogy a rendszerházirendek
az NTCONFIG.POL névre hallgattak, ezért ha a Windows érzékeli ennek a fájlnak a jelenlétét,
a benne levő házirendeket a helyi GPO előtt alkalmazza. Természetesen ezek a házirendek felülír
haták későbbi házirendekkeL
Mindig emlékezzünk a következő egyszerű a!apszabályra: a tartomány a!apú Cso

Megjegyzés
portházirendek esetében a legalacsonyabb szintű Active Directory-táro/ó az utolsó,
amely felülbírálhatja az örökölt házirendeket. Egy telephelyre alkalmazott házirendet például felülbírál
egy szarvezeti egységre alkalmazott házirend, egy helyi házirendet pedig egy Active Directory-objek
tumra épülő házirend.
A csoportházirend-kezelő konzol
Rá fogunk jönni, hogy magukat a csoportházirend-objektumokat sokkal egyszerúbb létrehozni és
szerkeszteni a Microsoft csoportházirend-kezelő konzolján (Group Policy Management Console,
GPMC) keresztül, mint a Windows Server korábbi változataiból talán már ismert, korlátozottabb
képességekkel bíró Group Policy Object Editorban. A fejezetben leírt műveletek természetesen
végrehajthaták ez utóbbival is, de az eszköz tudása hagy kívánnivalókat: messze a legnagyobb
Windows Server 2008
hiányosság, hogy nem mutatja a csoportházirend-objektumok alkalmazásának pontos hatókörét,

ami a hibaelhárítást nagyon megnehezíti. A GPMC ezzel szemben rendelkezik ezzel a képesség
gel, a felülete áttekinthet6bb, parancsfájl-készítési lehet6ségeket nyújt, és haladó hibaelhárírási és
modellezési szolgáltatásai is vannak.
A csoportházirend-kezel6 konzolt a Server Managerb61 indíthatjuk el; az ablaka valahogy úgy

fest, mint a 6.1. ábrán.
Forest:
EJ� Domani s
B � corp.V\'i"ldowsservernet.com
ri] Default Domain Policy
f!l � Domain Controllers
1±1 � Group Polcy Objects
tt.J � WMI Fdters
1±1 � StarterGPOs
CiJSites
Group Poicy Modelng
� Group Poicy Results
6.1. ábra
A csoportházirend-kezelő konzol
A GPMC-ben úgy mozoghatunk, ha a bal oldali ablaktáblában kibontjuk a kezelni kívánt erd6t.
Ez után kiválaszthatunk egyes tartományokat és telephelyeket az erd6n belül, illetve szervezeti
egységeket az egyes tartományokból. Ha kibontunk például egy adott tartományt, a létez6 cso
portházirend-objektumokat azokon a szervezeti egységeken belül láthatjuk, amelyekhez tartoz
nak, de megjelennek a Group Policy Objects (csoportházirend-objektumok) mappában is.
Ha egy GPO-ra kattintunk, a jobb oldali ablaktáblában egy négy lapból álló ablak jelenik meg.
Az els6 lap a Scope (hatókör), amely azt mutatja, hogy meddig terjed a hatása az adott csoporthá
zirend-objektumnak A kijelölt GPO-hoz kapcsolt telephelyek, tartományok és szervezeti egysé
gek az ablak tetején jelennek meg. A megjelenített kapcsolatokat a lenyíló lista segítségével módo
síthatjuk, amelyb61 választhatunk, hogy az adott tartomány, a teljes erd6 vagy minden telephely
kapcsolatait szeretnénk látni. Az ablak alján az ACL-ek által végzett biztonsági szűrések jelennek
meg, ha vannak ilyenek. Az Add gombra kattintva az engedélyek meghatározására szolgáló
szokásos ablakot hívhatjuk el6, ahogy azt a Group Policy Object Editorban megszakhattuk
Legalul azokat a WMI-szűr6ket láthatjuk, amelyekhez az adott csoportházirend-objektum

kapcsolódik. Ha valamelyik WMI-szűr6t módosítani szeretnénk, az Open (Megnyitás) gombra
kattintva nyithatjuk meg szerkesztésre. Egy adott GPO-hoz csak egy WMI-szűr6t társíthatunk, és
ezek a szűr6k csak a Windows XP, Windows Vista, Windows Server 2003 és Windows Server
2008 rendszereken működnek. Erre még visszatérünk, de most haladjunk tovább.
6. fejezet • A Csoportházirendek és az lntelliMirror fJ.f-
A következő lap a Details (részletek), amely egyszerűen azt a tartományt mutatja, amelyben
az adott csoportházirend-objektum található, valamint a GPO tulajdonosát, létrehozási és utolsó
módosítási időpontját, a felhasznáJókra és a számítógépekre vonatkozó részek változatszámát,
az objektum GUID-jét, illetve hogy a GPO teljesen bekapcsolt vagy kikapcsolt állapotban van-e,
vagy csak a számítógépekre, illetve a felhasznáJókra vonatkozó beállítások engedélyezettek
A Settings (beállítások) lap, amelyet a 6.2. ábrán láthatunk, különösen érdekes a számunkra.
Ez az egyik leghasznosabb lapja a GPMC-nek. A GPMC HTML formátumú jelentéseket készít
a csoportházirend-objektumok beállításairól, amelynek egyes részeit egyszerűen tömöríthetjük
vagy kibonthatjuk, hogy áttekinthetőbb képet kapjunk. A jelentések ki is nyomtathaták későbbi
megtekintésre, és menthetjük is őket, hogy közzétegyük egy belső webhelyen a rendszergazdák
számára. Ez sokkal, de sokkal átláthatóbb módja annak, hogy megvizsgáljuk, milyen beállításokat
módosít egy adott GPO, mint arnire a Group Policy Object Editor lehetőséget adott. Ha módosítani
szeretnénk egy jelentésben szereplő csoportházirend-objektumot, egyszerűen kattintsunk rá
az egér jobb gombjával, és válasszuk az Edit (Szerkesztés) menüpontot. Ha ki szeretnénk nyomtat
ni a HTML formátumú jelentést, kattintsunk a jelentésre a jobb gombbal, és válasszuk a Print
(nyomtatás) lehetőséget, ha pedig menteni akarjuk a jelentést, a jobb gombos kattintás után
válasszuk a Save Report (jelentés mentése) menüpontot.
--·
�-·
'@Mb'+Hé"+'&
��·- � ." ... I - --· ''!�4
;. �.��--
��F'
'""' Group Poky Monagement

B � Forest: rorp.wtndowsservernet.com
a ra Oomims
El � corp.wndows�ernelcom
� .!lefi.!iD!I!!Joil.f !li
lll al Domain Cootro!ers
lll � Group Poicy ObJects
lll� WM! Flle's
lll� Starter GPOs
S1te.s
éi GroupPoicyMod� �
� Group Poicy ReS>.Jts
.. . � ;olicies/PassWord Policy �
TI]
· 'l Minimum
Setting
orce password history ... i4 ��·��·Ofds remembered
axrnum p�ssword age 42days
password age 1 days
Mínimum passy.'Ofli length 7characters
Enabled
1i Password mu.st meet complexjty
reqLirements
6.2. ábra
l Store passwords uWlg reversible Disabled Szabványos
csoportházi
et'lCJWÜOn
1\ccotrt Policies/1\ccotrt l.ocko<á Policy �
Poli<=!. ��---
rend-objektum
vizsgálata
··--
c a Settings !apon
Az utolsó lap a Delegation (átruházás), amely táblázatos formában azokat a felhasználókat és

csoportokat sorolja fel, akiknek különféle jogosultságaik vannak a kijelölt GPO-ra, valamint
megmutatja ezeket a jogosultságokat, és hogy azok egy szülőobjektumtól örököltek-e. Az Add
gombra kattintva a szokásos Select User, Computer or Group (felhasználó, számítógép vagy
csoport kiválasztása) párbeszédablak jelenik meg. Ha el szeretnénk távolítani egy átruházott
l-Nl Windows Server 2008
engedélyt, kattintsunk a megfelelő felhasználó vagy csoport nevére a listában, majd a Remave
(eltávolítás) gombra. A Properties gombbal a kijelölt felhasználó vagy csoport már ismert
Active Directory Users and Computers nézetét hívhatjuk elő.
Ahogy haladunk előre a fejezetben, az imént áttekintett felületet működés közben is látni fogjuk.
Csoportházirend-objektumok létrehozása és szerkesztése

Először is szükségünk lesz néhány csoportházirend-objekturnra. A bal oldali ablaktáblában látható
fa segítségével mozoghatunk a hálózatunk különböző erdői és tartományai között; ha megtaláltuk
a keresett helyet, kattintsunk rá az egér jobb gombjával, és válasszuk a Create and Link a GPO
Here (GPO létrehozása és csatolása ide) lehetőséget. A New GPO ablakban adjunk nevet
az objektumnak, majd kattintsunk az OK gombra. Ekkor az új csoportházirend-objektum megje
lenik a jobb oldali ablaktáblában, és ezzel a csoportházirend-objektum létrehozása befejeződik.
Ha szerkeszteni szeretnénk az objektumot, kattintsunk rá az egér jobb gombjával, és válasszuk
az Edit parancsot. Ekkor a 6.3. ábrán láthatóhoz hasonló ablak jelenik meg.
Computer Configuration
lll li:j Polides
l±} � Preferences
EJ 'Jt User Configuration
lll [ld Polides
1±1 fLj Prererences
6.3. ábra
A Group Policy Object Editor ablaka
Megfigyelhetjük, hogy rninden csoportházirend-objektumnak két ága van: a Computer

Configuration (a számítógép beállításai) és a User Configuration (a felhasználó beállításai).
Mindkettő ugyanazokat a részfákat tartalmazza a Policies (házirend) csomópont alatt: Software
Settings (szoftverbeállítások), Windows Settings (a Windows beállításai) és Administrative
Tempiates (felügyeleti sablonok). A Computer Configuration ág a számítógépre vonatkozó beál
lítások megadására szolgál, amelyek akkor lépnek érvénybe, amikor elindítjuk a számítógépet
Az itt található házirendek rninden felhasználóra vonatkoznak, aki bejelentkezik a rendszerbe,
függetlenül a felhasználó saját házirendjeitőL
A szárnítógép-házirendek segítségével zárolhatjuk például számítógépek egy csoportját egy labo

ratóriumban, vagy módosíthatatlanná tehetünk egy nyilvános állomást, rniközben ettől független
felhasználói házirendeket is alkalmazunk. A User Configuration fa - ahogy kitalálhattuk - ezzel
szemben egyes felhasznáJókra vonatkozó beállításokat tárol, amelyek csak az adott felhasználóra
érvényesek, függetlenül attól, hogy hol található a hálózaton.
A Csoportházirendek beállftásai
Valószínűleg észrevettük a Preferences csomópontot a Group Policy Object Editorban (ha nem,
nézzük meg még egyszer a 6.3. ábrát). A Windows Server 2008 tartalmaz egy Group Policy
Preferences nevű szolgáltatást, amely lényegében a régi PolicyMaker Standard Edition és Policy
Share Manager termékeket egyesíti új formában, közvetlenül beépülve a csoportházirend-kezelő
konzolba (GPMC). Dióhéjban összefoglalva, ezek a beállítások lehetővé teszik, hogy kezdeti
házirendeket "javasoljunk" a felhasználóknak, miközben továbbra is megengedjük, hogy módo
sítsák azokat. Vizsgáljuk meg ezt egy kicsit közelebbről!
Magát a Csoportházirendek rendszerét úgy tervezték, hogy a rendszergazda meghatározza és

felállítja a kötelező környezetet, beállítja a cég igényeinek megfelelően, majd a Windowsra
hagyja a beállítások szigorú kikényszerítését. A Csoportházirendek ütközés esetén általában
felülbírálnak minden felhasználói beállítást, és jellemzően letittanak minden olyan szolgáltatást
a felhasználói felületen, amelynek a segítségével módosítani lehetne az említett beállításokat.
Ezenkívül annak ellenére, hogy a csoportházirend-objektumok hatóköre korlátozható, illetve
más módon szabályozható, a Csoportházirendek lényegében rninden számítógépet érintenek,
amely tagja egy adott Windows-tartománynak. Ezért hívják a Csoportházirendek által vezérelt
" "
számítógépeket és beállításokat "felügyelt számítógépeknek és "felügyelt beállításoknak .
A Csoportházirendek beállításai ennél engedékenyebb megközelítést alkalmaznak. Ezeket is

a rendszergazda adja meg, és leszűrődnek a felügyelt ügyfélszámítógépekre, de a rendszerleíró
adatbázisban ugyanoda íródnak, ahol az alkalmazások is tárolják az adott beállításra vonatkozó
adataikat Így a Csoportházirendek azoknak az alkalmazásoknak a beállításait és kapcsolóit is
szabályozni tudják, amelyek alapállapotban nem ismerik a Csoportházirendek rendszerét. Ezenkí
vül a szaftver felhasználói felületére nézve nincsenek korlátozások, tehát ha a rendszergazda által
meghatározott beállítások nem illeszkednek a felhasználó munkastílusához vagy kívánalmaihoz,
a fell1asználó szabadon megváltoztailiatja azokat.
Azt is meghatározhatjuk, hogy a csoport11ázirend-rendszer rnilyen ütemezéssei frissítse a beállítá

sokra vonatkozó információkat A frissítési időköz lehet ugyanaz, mint a házirendeké (a kötelező
beállításoké), de úgy is dönthetünk, hogy megadjuk egyszer, majd megtiltjuk a Windowsnak,
hogy frissítse az adott beállítást.
A Csoportházirendek beállításainak támogatása ugyancsak egyszerű. Létrehozhatunk olyan cso

portházirend-objektumokat, amelyek eleve tartalmazzák a beállításokra vonatkozó információkat,
az ügyfélen pedig telepítenünk kell hozzá egy önálló ügyféloldali bővítményt. Ezt minden olyan
számítógépen el kell helyeznünk, amelyen érvényesíteni szeretnénk a beállításokat. Az ügyfélol
dali bővítmény a Windows Server 2008-ban eleve megtalálható, a letöliliető változat pedig a 2-es
vagy újabb javítócsomaggal ellátott Windows XP, a Windows Vista és az l-es vagy későbbi javító
csomaggal kiegészített Windows Server 2003 rendszerekkel képes együttműködni.
Beállítási bejegyzéseket úgy hozhatunk létre, hogy az egér jobb gombjával a megfelelő beállírásra
kattintunk a Group Policy Management Editor bal oldali ablaktáblájában, majd a helyi menüből
a New menüpontot választjuk A csoportházirend-beállítások ugyanolyan felosztásúak, mint
a szokványos csoportházirend-objektumok a Computer Configuration rész a számítógépszintű
-Nl Windows Server 2008
beállítások testreszabására szolgál, amelyek akkor lépnek életbe, amikor a számítógép elindul,
rníg a User Configuration részben olyan beállításokat adhatunk meg, amelyek csak az adott
felhasználóra érvényesek, függetlenül attól, hogy a felhasználó hol található a hálózatban.
Kezdeti csoportházirend-objektumok
A kezdeti csoportházirend-objektumok (StarterGPO) arra szolgálnak, hogy megkönnyítsék
a szokványos összeállításokon alapulóGPO-k telepítését. Ezek az objektumok előre meghatáro
zott beállításokat tartalmaznak, amelyek mindegyikéhez részletes leírás társul, így nagyon egysze
rűvé teszik egy következetes alapbeállítás-halmaz közzétételét. A kezdetiGPO-kra gondolhatunk
úgy, mintha gyorssablonok lennének, amelyekre építve sajátGPO-csoportot állíthatunk össze
a környezetünk igényeinek megfelelően.
A kezdetiGPO-k mappáját minden tartományban létre kell hoznunk, de ez szerencsére egysze

rű. A csoportházirend-kezelő konzolon bontsuk ki a megfelelő erdőt és tartományt, kattintsunk
a StarterGPOs (kezdetiGPO-k), majd a jobb oldali ablaktáblában a Create StarterGPOs folder
(a kezdetiGPO-k mappájának létrehozása) elemre. Ezt tartományonként csak egyszer kell elvé
geznünk. Ez a lépés lényegében egy StarterGPOs nevű mappát hoz létre a SYSVOL mappában,
tehát a következő elérési úton: \\tartomány.com\SYSVOL\tartomány.com\StarterGPOs.
Új kezdetiGPO létrehozásához (ami olyan, mintha egy sablont hoznánk létre, amelyre majd a ké
sóbbiGPO-kat építjük), kattintsunk az egér jobb gombjával a StarterGPOs elemre, és válasszuk
a New pontot a helyi menüből. Írjunk be egy nevet aGPO számára, valamint egy leírást, amelyet
a később létrehozandóGPO-k szintén átvesznek, majd kattintsunk az OK gombra.
Ha kezdetiGPO-n alapuló csoportházirend-objektumot szeretnénk létrehozni, aGPO létrehozá

sának megkezdésekor válasszuk ki a megfelelő kezdetiGPO-t a NewGroup Policy Object ablak
Source StarterGPO (forrásként használt kezdeti GPO) listájábóL A kezdeti GPO beállításai ekkor
automatikusan bekerülnek az újGPO-ba.
Szúrés és megjegyzések
A Csoportházirendek rnilliónyi beállítása zavarbaejtő lehet, ezért a Windows Server 2008 lehetővé
teszi az elérhető kapcsolók szűrését, hogy könnyebben megtaláljuk a minket érdeklő objektu
mot. Az eszköztáron kattintsunk a Filter (szűrő) gombra, vagy az egér jobb gombjával
az Administrative Tempiates elemre a Computer Configuration vagy User Configuration részben,
és válasszuk a Filter Options elemet. Választhatunk, hogy mit szeretnénk megjeleníteni: minden
felügyelt beállítást, csak a már meghatározott beállításokat, vagy azokat a beállításokat, amelyek
hez tartozik rendszergazda által hozzáfűzött megjegyzés. Emellett kulcsszavak alapján is szűrhe
tünk, mint aGoogle-ban, vagy rendszerkövetelmények szerint, például ha azokat a beállításokat
szeretnénk látni, amelyek az Internet Explorer 6.0-t futtató rendszerekre érvényesek.
Természetesen ha egy rendszergazdákból álló csapat tagjaként dolgozunk, amely teljes vállalatra
kiterjedő csoportházirend-beállításokat felügyel, célszerű lehet közvetlenül a rendszerben
megjegyzésekkel vagy más leírásokkal ellátni a beállításokat, hogy áttekinthető legyen, mire is
szolgálnak. Erre is lehetőségünk van, mégpedig közvetlenül az adott feladatokat végrehajtó
beállításoknál, a többiek pedig a lekérdezésekben a megjegyzéseink szerint is kereshetnek.
6. ndek és az lntelliMirror
Megjegyzést így írhatunk be:
1. Nyissuk meg a csoportházirend-kezelő konzolt.

2. A bal oldali ablaktáblában keressük meg a kívánt csoportházirend-objektumot, és
kattintsunk rá az egér jobb gombjával, hogy előhívjuk a helyi menüt, majd válasszuk
az Edit menüpontot.
3. Az egér jobb gombjával kattintsunk a bal oldali ablaktábla legfelső csomópontjára
(amely a GPO nevét kell mutassa), és válasszuk a Properties menüpontot.
4. Váltsunk a Comment (megjegyzés) lapra.
5. Írjuk be a kívánt megjegyzést, majd kattintsunk az OK gombra.
A házirendek egyes részeinek kikapcsolása

A csoportházirend-objektumok nagyra nőhetnek, mivel számtalan számítógépre vagy felhaszná
lóra vonatkozó beállítást tartalmazhatnak Ha a kettő közül valamelyiket nem kívánjuk feltölteni
beállításokkal, kikapcsolhatjuk a GPO kívánt részét. Ezzel a hálózaton való közzétételhez
szükséges időt ugyanúgy lecsökkkentjük, mint a feldolgozási időt azokon a számítógépeken,
amelyeknek be kell tölteniük az objektum beállításait. Tehát ha van egy GPO-nk, amely csak
számítógépekre vonatkozik, a házirend felhasználói beállításokat tartalmazó ágát kikapcsolhat
juk, amivel jelentősen növelhetjük a hálózat teljesítményét. Ehhez kövessük az alábbi lépéseket:
1. Nyissuk meg a csoportházirend-kezelő konzolt.

2. A bal oldali ablaktáblában keressük meg a kívánt csoportházirend-objektumot, és
kattintsunk rá, hogy kijelöljük
3. A jobb oldali ablaktáblában váltsunk a Details lapra, és a GPO Status (GPO állapota)
lenyíló listából (lásd a 6.4. ábrát) válasszuk a User configuration settings disabled
(a felhasználói beállítások letiltása) lehetőséget.
Domain:
Owner: Domain Adtms (COHP\llomaín Adtm•)
Created: 1J7/2008 5:29:t8 AM
Modified: lfi/2008 5:29:4aAM
User version; O (AD), O ($y11vol)
Computer version: 1 (AD). 1 {sysvol)

Uniquo ID: l:l11l2F34lHl1ID-11D2·545f.()OCD4faoo.<F9}
GPOStatus· IEnabled
Comment:
6.4. ábra
Házirend
részletének
kikapcsolása
-t.j:l Windows Server 2008
A számft6gép-házirendek frissftése
Ha már a házirendek módosításáról beszélünk, meg kell jegyeznünk, hogy a módosításoknak
eltarthat egy ideig, amíg végighaladnak a tartomány tartományvezérlőin, és végül eljutnak
a célobjektumokig. A házirendek akkor frissülnek egy ügyfélgépen, amikor a számítógépet
bekapcsolják, egy felhasználó bejelentkezik, egy alkalmazás vagy egy felhasználó házirendfrissí
tést kér, vagy ha a frissítések közötti idő letelt. A kulcs az előző mondat utolsó részében rejlik:
létezik egy csoportházirend-objektum, amelyet bekapcsolva testreszabhatjuk a számítógépek és
tartományvezérlők házirendfrissítési időközét. Az egységesség kedvéért ezt a legjobb a tartomány
vagy a szervezeti egység szintjén megtenni.
A házirendfrissítési időköz megadásának engedélyezéséhez hajtsuk végre az alábbi műveleteket

(feltételezve, hogy a módosítást tartományi szinten végezzük):
1. A csoportházirend-kezelő konzolon keressük meg a Default Domain Policy

(alapértelmezett tartományi házirend) elemet a bal oldali ablaktáblában.
2. Kattintsunk az említett elemre az egér jobb gombjával, és válasszuk az Edit parancsot.
3. Ekkor megjelenik a Group Policy Object Editor ablak. A Computer Configuration fában
keressük meg a Policies, Administrative Templates, System elemet.
4. Kattintsunk a Group Policy elemre.
5. A jobb oldali ablaktáblában kattintsunk duplán a Group Policy refresh interval for
computers (a csoportházirend frissítési időköze a számítógépeken) vagy a Group Policy
refresh interval for domain controllers (a csoportházirend frissítési időköze a tartomány
vezérlőkön) beállításra (amelyik megfelel).
6. Válasszuk az Enabled lehetőséget, majd adjuk meg a frissítési időközt. Mindenképpen
egészséges időközt adjunk meg, különben a házirendfrissítések folyamatos küldözgetése
a tartományban lelassítja a hálózatot Egy kisebb hálózatban 15 perc elfogadható,
a nagyobb hálózatokban adjunk meg 30-45 percet
A házirendfrissírést az ügyfélgépek parancssorából saját kezűleg is kikényszeríthetjük agpupdate

paranccsal. Ha egy házirend minden részét frissíteni szeretnénk, adjuk ki ezt a parancsot:
gpupdate /force
Ha a házirendnek csak a Computer Configuration ágát akarjuk frissíteni, a parancs így fest:
gpupdate /target:computer /force
Ha pedig csak a User Configuration ágat szeretnénk frissíteni, ezt a parancsot kell beírnunk:
gpupdate /target:user /force
161@@8 A tartományvezérlők alaphelyzetben öt percenként adnak ki frissítési kérelmet.
A GPO-k kézi frissítésének utasításformája a Windows 2000-ben kicsit eltér. Ha csak a számítógép
házirendet szeretnénk frissíteni, a parancs ott ez lesz:
secedit /refreshpolicy machine_policy

6. és az lntelliMirror
A felhasználói házirend frissítéséhez pedig ezt kell beírnunk:
secedit /refreshpolicy user_policy
Az objektumok frissítését akkor is kikényszeríthetjük, ha azok az utolsó frissítés óta nem módo
sultak, ha a parancs végéhez hozzáfűzzük az lenforce kapcsolót. A Windows ekkor minden
házirend frissítését kikényszeríti, függetlenül attól, hogy a házirendobjektumok megváltoztak-e.
Ez akkor lehet hasznos, ha hálózati problémák jelentkeznek, és biztosítani szeretnénk, hogy
rninden számítógép friss házirendeket alkalmazzon, vagy ha sok mobil felhasználóval rendel
kezünk, akik előre megjósolhatatlan idóben és csak rövid időre csatlakoznak a hálózathoz.
Mind az ügyfélgépek, mind a tartományvezérlők esetében rendkívül óvatosan kell eljárnunk,

amikor módosítjuk az alapértelmezett frissítési időközt. A nagy hálózatokban a frissítési időköz
megváltoztatása pokoli adatforgaimat eredményezhet a hálózaton, ami a tartományokkal ren
delkező hálózati helyek 95%-ának esetében szükségtelen, ám igen költséges lépés. Az ügyfelek
csak akkor kérik le az új házirendeket, ha azok megváltoztak - a megnövekedett forgalom
pusztán abból adódik, hogy az ügyfelek x percenként kapcsolatba lépnek egy tartományvezér
lővel, hogy új házirendeket és frissítéseket kérjenek. Az érték módosítására tehát nincs igazán
okunk. Íme az alapszabály: ha nem tudjuk jó érvekkel alátámasztani, hogy miért szükséges
növeini a frissítési időközt, a növelésére nincs szükség az adott helyen.
A háttérben végrehajtott házirendfrissítések során a mappa-átirányítási és

Megjegyzés
szoftllertelepítési házirendek feldolgozására nem kerül sor.
Ha szeretnénk, úgy is dönthetünk, hogy teljesen letiltjuk a háttérben végzett házirendfrissítéseket

Erre akkor lehet például szükség, ha gondjaink támadnak egy időszakosan jelentkező GPO
probléma felderítésével, vagy ha nem szeretnénk alkalmazni egy csoportházirendet egy ügyfél
munkamenet közben, mert az megzavarná egy alkalmazás működését. Mint mindig, az egységes
ség és a legjobb teljesítmény érdekében most is az a legjobb, ha a módosítást a tartomány vagy
a szervezeti egység szintjén hajtjuk végre.
A háttérben történő feldolgozást a következő lépések végrehajtásával kapcsolhatjuk ki:
1. A csoportházirend-kezelő konzolon keressük meg a Default Domain Policy elemet a bal

oldali ablaktáblában.
2. Kattintsunk az említett elemre az egér jobb gombjával, és válasszuk az Edit parancsot.
3. Ekkor megjelenik a Group Policy Object Editor ablak. A Computer Configuration fában
keressük meg a Policies, Administrative Templates, System elemet.
4. Kattintsunk a Group Policy elemre.
5. A jobb oldali ablaktáblában kattintsunk duplán a Tum off background refresh of Group
Policy (a csoportházirend háttérbeli frissítésének kikapcsolása) beállításra.
6. Válasszuk az Enabled lehetőséget.
Windows Server 2008
Egyes esetekben akkor is alkalmazni szeretnénk egy házirendbeállítást, ha semmilyen beállítás

nem változott meg. Ez ellentétes aGPO-k alapértelmezett viselkedésével, mert általában csak
a változások indítják el a házirendek frissítését és újraalkalmazását Előfordulhat például, hogy egy
felhasználó egy munkameneten belül megváltoztat néhány beállítást az Internet Explorerben.
A módosítást vissza szeretnénk vonni, de a Windows nem indítja el a frissítést, mert maga a házi
rend nem változott meg. Ennek megakadályozásához a Process even if theGroup Policy Object
has not changed (végrehajtás akkor is, ha aGPO nem módosult) beállítást alkalmazhatjuk (ami
a korábban látott len force kapcsolóhoz hasonlít). Valószínűleg már rájöttünk, hogy az egysé
gesség és a legjobb teljesítmény érdekében ezt is a tartomány vagy a szervezeti egység szintjén
célszerű elvégeznünk. Az alábbi lépésekre lesz szükség:
1. A csoportházirend-kezelő konzolon keressük meg a Default Domain Policy elemet

a bal oldali ablaktáblában.
2. Kattintsunk az említett csoportházirend-objektumra az egér jobb gombjával, és válasszuk
az Edit parancsot.
3. A Computer Configuration fában keressük meg a Policies, Administrative Templates,
System,Group Policy elemet.
4. Egy sor beállítást láthatunk a "policy processing" (házirend végrehajtása) szöveggel; olya
nokat, mint a Scripts policy processing (parancsfájl-házirend végrehajtása) és a Wireless
policy processing (drót nélküli házirend végrehajtása). Ezek aGPO-k azért vannak, hogy
módosíthassuk az ilyen típusú házirendek működését. Nyissuk meg a kívánt házirendet
(az, hogy melyikre van szükségünk, attól függ, hogy milyen típusú házirendet szeretnénk
módosítani), és tekintsük meg a tulajdonságait.
5. Kattintsunk az Enabled gombra.
6. V égül jelöljük be a Process even if theGroup Policy Object has not changed
jelölőnégyzetet
/
A 6. lépésben szereplő elölőnégyzet bejelölésével ugyanazt érjük el, mintha
MMflij!NjM a parancssorban k1adnank agpupdate lenforce parancsot.
A számítógép biztonságát érintő házirendbeállítások frissítési rendje némileg eltér a normál

csoportházirend-objektumokétóL Az ügyfélszámítógép a biztonsági házirendbeállításokat akkor is
frissíti, ha aGPO nem módosult. A rendszerleíró adatbázisban olyan beállítások találhatók, ame
lyeknek az értéke azt a leghosszabb elfogadható időt határozza meg, amennyit egy felhasználó
vagy ügyfélszámítógép még várhat, mielőtt újraalkalmazná aGPO-kat, függetlenül attól, hogy
azok megváltoztak-e. Ezek a beállítókulcsok a következők:
•
A számítógépek frissítési időközét a HKEY_LOCAL_MACHINE\Software\Policies\
Microsoft\ Windows\System\ GroupPolicyRefreshTime kulcson keresztül módosíthatjuk.
A kulcs értékének típusa REG_DWORD, az adat érvényes tartománya pedig 0-tól 64 800-ig
terjed (percben).
•
A számítógépek késleltetési időközének megváltoztatására a HKEY_LOCAL_MACHINE\
Sojtware\Policies\Microsoft\ Windows\System\ GroupPolicyRefreshTimeO.ffset kulcs
szolgál. A kulcs értékének típusa REG_DWORD, az érvényes adattartomány pedig O-tól
1440-ig terjed (percben).
6. fejezet • A Csoportházirendek és az lntelliMirror fil-
•
A tartományvezérlő frissítési időköze a HKEY_LOCAL_MACHINE\Software\Policies
\Microsoft\ Windows\System \ GroupPolicyRefreshTimeDC kulcson keresztül módosítható.
A kulcs értékének típusa REG_DWORD, az adat érvényes tartománya pedig itt is O-tól
64 800-ig terjed (percben).
•
Ha a tartományvezérlő késleltetési időközét szeretnénk módosítani,
a HKEY_LOCAL_MACHINE\Software \Policies\Microsoft\ Windows\System\ GroupPolicy
RefreshTimeO.ffsetDCkulcsot használhatjuk Az érték típusa itt is REG_DWORD, az érvé
nyes adattartomány pedig 0-1440 (percben).
•
A frissítési időközt a felhasznáJókra vonatkozó házirendek esetében
a HKEY_ CURRENT_ USER\Software\Policies\Microsoft\ Windows \System\ GroupPolicy
RefreshTime kulcson keresztül módosíthatjuk. A kulcs értékének típusa REG_DWORD,
az adat érvényes tartománya pedig O-tól 64 800-ig terjed (percben).
•
A felhasználói házirendek késleltetési időköze
a HKEY_CURRENT_ USER\Software\Policies\Microsoft\ Windows\System\ GroupPolicyRe/r
eshTimeO.ffset kulcson keresztül módosítható. Ennek az értéknek a típusa ugyancsak
REG_DWORD, az adat érvényes tartománya pedig 0-tól l 440-ig terjed (percben).
A házirendek kikényszerítése lassú hálózati kapcsolaton keresztül

A Windows Server 2008 észleli az ügyfelek hálózati kapcsolatának sebességét, és a mérései
alapján kikapcsolja azoknak a házirendeknek az érvényesítését, amelyek teljesen lefoglalnák
a kapcsolatot, ha az lassú. A Windows által kikapcsolt házirendek közé tartoznak a lemezkvótákra,
a mappa-átirányításra, a parancsfájlokra, a szoftvertelepítésre és a karbantartásra vonatkozó beállí
tások. A Windows alapértelmezés szerint az 500 Kbps-nél alacsonyabb sebességű kapcsolatokat
tekinti lassúnak, de ezt GPO-nként módosíthatjuk.
Ha meg szeretnénk változtatui a lassú kapcsolatot meghatározó határértéket, kövessük az alábbi

lépéseket:
1. A csoportházirend-kezelő konzolon nyissuk meg szerkesztésre azt a GPO-t, amelyiknek

a határértékét módosítani szeretnénk.
2. Keressük meg a Computer Configuration vagy User Configuration ágban a Policies,
Adrninistrative Templates, System, Group Policy elemet.
3. Kattintsunk duplán a Group Policy Slow Link Detection (csoportházirend lassú kapcsola
tának észlelése) házirendre a jobb oldali ablaktáblában.
4. Jelöljük be az Enabled lehetőséget, és adjuk meg az új határértékként alkalmazni kívánt
kapcsolati sebességet. Ha ki szeretnénk kapcsalni a lassú kapcsolatok észlelését, egysze
rűen írjunk be O-t.
5. Ha készen vagyunk, kattintsunk az OK gombra.
A csoportházirend-objektumok hatóköre
Meddig terjed a csoportházirend-objektumok hatása, és rnilyen típusú objektumokat érintenek?
Ha egy csoportházirendet felhasznáJók egy csoportjára szeretnénk alkalmazni, egy csoportházi
rend-objektumot kell "társítanunk" ahhoz a tárolóhoz az Active Directory-n belül, amelyik
az adott felhasználókat tartalmazza. Alapértelmezés szerint rninden objektum, amely egy olyan
tárolóban található, amelyhez csoportházirend-objektum társul, az adott GPO hatása alá kerül.
Windows Server 2008
Ha nagy számú GPO-val vagy Active Directory-objektummal rendelkezünk, az egyes GPO-k

hatókörét nehéz lehet nyomon követni, de szerencsére kideríthetjük, hogy egy adott házirend
mely tároJókra vonatkozik, ha kijelöljük a GPO-t a csoportházirend-kezelő konzolon, és megnéz
zük a Scope lapot a jobb oldali ablaktáblában. Ennek a lapnak a Links részében láthatjuk
az adott GPO által érintett telephelyeket, tartományokat és szervezeti egységeket. A megjelenített
kapcsolatokat az ebben a részben található lenyíló listával szabályozhatjuk, amelybó1 kiválaszt
hatjuk, hogy mely telephelyeket és tartományokat szeretnénk látni (lásd a 6.5. ábrát).
A gyakorlatban természetesen rninden szabály alól vannak kivételek. Szinte biztos például,
hogy a tárolóban lesznek olyan számítógépek, amelyekre nem szeretnénk alkalmazni egy adott
házirendet A GPO-k hatókörét a legegyszerubben úgy korlátozhatjuk egy tároJón belül, ha
biztonsági csoportokat hozunk létre, amelyek csak azokat az objektumokat tartalmazzák,
amelyeket bele szeretnénk foglalni a házirend alkalmazási körébe. Miután létrehoztuk a szüksé
ges csoportokat, kövessük az alábbi lépéseket:
1. Jelöljük ki a kívánt GPO-t a csoportházirend-kezelő konzol bal oldali ablaktáblájában.

2. A jobboldalt látható Scope lapon kattintsunk az Add gombra a Security Filtering (bizton
sági szűrés) részben, majd vegyük fel azokat a csoportokat, amelyekre nem szeretnénk
alkalmazni a házirendet
3. Ellenőrizzük, hogy a csoport felkerült a Security Filtering listára (lásd a 6.5. ábrát).
g Group Poüey f'tanagement

·
-- - - - - �--- ---------�-- - ,
- 'i;?
-<.,_._ _
�l
!
_A Group Poicy Management
8 ,A Forest: corp.windowsservernet.corn
8 Q1l Oomains
El fa corp.wndowsseN�netcom
@ Oer...itOomalnP!l!!;y
!±l � Domain Controllers
IE � Group Policy Objects
1±1 gf WMI Fite<s
,��·
;:Jil starte< GPOs
rt� Sites �<Xllp .v.indowtiSe!Vemet .com
_
� Group Polcy Modelilg -

� Gr"'-'!' Policy ReS!Jts <l
6.5. ábra
Biztonsági csoport szerinti szűrés engedélyezése
6. nnrth67iranrlo1t és az lntelliMirror
Amint láthattuk, a GPMC egyszerűvé teszi, hogy egy GPO alkalmazását egy adott csoportra
korlátozzuk, de mi a helyzet akkor, ha ennél pontosabb szabályozást szeretnénk? A csoportokkal
és a csoportházirend-objektumok hozzáférés-szabályozási listáival tovább szúKíthetjük a háziren
dek objektumokra való alkalmazását, de a bonyolultabb műveletek elvégzéséhez mélyebbre kell
ásnunk magának az objektumnak a biztonsági beállításai között. Ahhoz, hogy eljussunk a kérdé
ses beállításokig, a GPMC jobb oldali ablaktáblájában váltsunk a Delegation lapra, és kattintsunk
az Advanced gombra a jobb alsó sarokban. Ekkor a 6.6. ábrán látható képernyő jelenik meg.
A kívánt eredmény eléréséhez a következőképpen szabályozhatjuk az ACL-jogosultságokat:
• Ha a házirendet nem szeretnénk egy bizonyos biztonsági csoport tagjaira alkalmazni,

vegyük fel az összes tagot egy csoportba, adjuk ezt a csoportot az objektum ACL-jéhez, és
állítsuk be a következőképpen a csoport engedélyeit: Apply Group Policy (csoportházi
rend alkalmazása) - deny (megtagadás); Read (olvasás) - deny. A házirend így az ebben
a csoportban található egyik tagra sem lesz érvényes, függetlenül attól, hogy más csopor
toknak is tagjai-e vagy sem.
• Ha a csoporttagság (legalábbis egy adott csoportban) nem szabad, hogy érintse az adott
házirend alkalmazását, ne módosítsuk az engedélyeket.
tr:lF.mla•!iTiiF.tiil:li" 1X
�l l
For opedal pem10S!Ions or advanced se!lings.

dick Advanced.
6.6. ábra
OK
Biztonsági csoport szerinti szűrés kézi beállítása
Kényszerítés és öröklés
A szülőobjektumokra alkalmazott házirendeket a gyermekobjektumok automatikusan öröklik,
hacsak nem lép fel valamilyen ütközés. Ha egy gyermekre közvetlenül alkalmazott házirend
ütközik egy szülőtől öröklött általános házirenddel, a gyermek házirendje részesül előnyben,
mivel a rendszer feltételezi, hogy a rendszergazda a konkrétan alkalmazott házirendet szerette
volna érvényesíteni, nem pedig címtárfában elfoglalt hely miatt közvetetten érvényesülőt
Az éppen kikapcsolt házirendbeállításokat a gyermekobjektumok ugyancsak kikapcsolt állapot-
ban veszik át, míg a "nem beállított" állapotú házirendbeállítások egyáltalán nem terjednek
tovább. Ha nincs ütközés, két házirend békésen megfér egymás mellett, függetlenül az eredeti
alkalmazási helyüktőL
Ahogy a jogosultságok esetében, a GPO-k öröklődését is két kapcsolóval tilthatjuk le a felhasz

nálói felületen: az Enforced (kényszerített) arra utasítja a gyermektárolókat, hogy a fában náluk
magasabban elhelyezett egyetl�n beállítást se cseréljenek le, míg a Black Policy Inheritance
(házirendöröklés letiltása) egyszerűen megszünteti a szülőobjektumok házirendjeinek öröklését
a gyermekobjektumokban. Ha mindkét beállítást megadjuk, az Enforced kapcsaló rnindig
előnyt élvez a Black Policy Inheritance kapcsolóval szemben.
MM®$!MW A kifejezetten megadott jogosultságok, legyenek azok Al/o w vagy Deny engedélyek,
mindig felülbírálják az öröklött jogosultságokat, még ha egy objektum egy szülőjétől
örököl is egy ttltást. Ha kifejezetten hozzáférést adunk egy objektumnak, azt nem bírálhatja felül egy
öröklött tiltás.
Ha azt szeretnénk, hogy egy GPO ne bírálja felül a szülő GPO-beállításait, a GPO állapotát
Enforced-ra kell állítanunk. Ennek lépései a következők:
1. A csoportházirend-kezelő konzol bal oldali ablaktáblájában jelöljük ki azt a tartományt,

amelyikben az adott GPO található.
2. Jobboldalt váltsunk a Linked Group Policy Objects (kapcsolt csoportházirend-objektumok)
lapra.
3. Az egér jobb gombjával kattintsunk az objektumra, és válasszuk az Enforced lehetőséget
a megjelenő helyi menüből. A rendszer ekkor megerősítést kér a 6.7. ábrán látható
ablakban.
4. Az OK gombra kattintva léptessük életbe a módosítást.
Group Polity Management

El ti\ Forest corp,'A'indowsservemet.com
8 (ii Ooma
<::;in[Rs i}jE��ij�
8�
� DefaultDomain Polcy i
6.7. ábra
Az Enforced
lehetőség
beállítása egy
GPO-ra
6. fejezet • A Csoportházirendek és az lntelliMirror Ilf-
Ha az aktuális felügyeleti tároló esetében minden szül6házirend-beállítás öröklését le szeretnénk
tiltani, el6ször kattintsunk duplán annak a tartománynak vagy szervezeti egységnek az erd6jére,
amelyikben meg akarjuk akadályozni a GPO-k öröklését, majd hajtsuk végre az alábbi két műve
let egyikét:
• Ha a GPO-k öröklését egy teljes tartományban kívánjuk letiltani, kattintsunk duplán

a Domains elemre, majd az egér jobb gombjával a tartományra.
• Ha az öröklést egy szervezeti egységben szeretnénk megakadályozni, kattintsunk duplán
a Domains elemre, majd az adott szervezeti egységet tartalmazó tartományra, végül pedig
az egér jobb gombjával a szervezeti egységre.
Utolsó lépésként mindkét esetben kattintsunk a Block Inheritance (öröklés letiltása) menüpontra,
ahogy a 6.8. ábrán láthatjuk.
Block Inhentance
6.8. ábra
Az öröklés
letiltásának
beállítása
A tartomány vagy szervezeti egység neve mellett, amelyikre letiltottuk az öröklést, egy kis kék
felkiáltójelet láthatunk, ami azt jelzi, hogy a művelet sikeres volt. Ha az öröklés tiltását fel
szeretnénk oldani, ugyancsak a fenti eljárást kell követnünk, csak utolsó lépésként a helyi
menüben ki kell kapcsolnunk a Block Inheritance elemet.
Ha egy objektumhoz több GPO is társul, a GPMC-ben jobboldalt látható lista alján
Megjegyzés
levő GPO-k alkalmazása történik meg először, és a felül levőké utoljára, tehát
a listában feljebb levő GPO-k magasabb rendűek.
WMI-szúrók
A Windows Server 2008 a Csoportházirendek alkalmazásának módját a WMI- (Windows
Management Instrumentation) adatok alapján állapítja meg. A WMI-szűr6ket használva
a WMI-lekérdez6nyelv (WMI Query Language, WQL) segítségével olyan lekérdezéseket
-}ll Windows Server 2008
fogalmazhatunk meg, amelyek visszaadott eredményére csoportházirendeket alkalmazhatunk.
A WMI olyan jellemzők lekérdezését is lehetővé teszi, amelyek a GPMC-n keresztül nem érhe
tők el; ilyen például a számítógép gyártója és modellszáma, bizonyos szaftvercsomagok telepí
tése és más információk. A WMI használatára akkor lehet szükség, ha ezen információk alapján
szeretnénk házirendeket alkalmazni.
WMI-szűrőt úgy hozhatunk létre a GPMC-ben, hogy az egér jobb gombjával a bal oldali ablak
tábla WMI Filters (WMI-szűrők) hivatkozására kattintunk, és a New menüpontot választjuk,
a megjelenő New WMI Filter ablakban, amelyet a 6.9. ábra mutat, beírunk egy nevet és egy
leírást a szűrő számára, majd az Add gombra kattintva, a névteret kijelölve, és a szükséges kódot
megírva elkészítjük a lekérdezést, amelynek eredménye az az adathalmaz lesz, amelyre a GPO-t
alkalmazni szeretnénk. Megjegyzendő, hogy egy szűrőhöz egynél több lekérdezést is adhatunk.
A WMI-lekérdezések összeállítása kívül esik könyvünk keretein, de annyit elmondhatunk róla,
hogy ezeknek a lekérdezéseknek a formája nagyon hasonlít az SQL-lekérdezésekéhez. Amint
az ábrán láthatjuk, példaként egy olyan lekérdezést fogunk alkalmazni, amely a hálózaton
Windows XP rendszert futtató számítógépeket adja vissza.
J�.:��-��th�-�.�.��or of ��o��-�-- - -
Oi.l.,;es:
l � j<luely
" r!lO!\CIMv2 ��:�.':í'f�ti�tem
'�1----�i
6.9. ábra
Új WM!-szűrő létrehozása
Ha beírtuk a lekérdezést, és elégedettek vagyunk vele, kattintsunk a Save (Mentés) gombra.
Ahhoz, hogy egy WMI-szűrőt bekapcsoljunk egy adott GPO-ra, a kívánt csoportházirend
objektumra kell kattintanunk a GPMC-ben, majd a jobb oldali ablaktábla Scope lapjának alján
kiválasztani az alkalmazni kívánt WMI-szűrőt (lásd a 6.10. ábrát).
Ne feledjük, hogy ha WMI-szűrőt alkalmazunk egy GPO-ra, a "mindent vagy semmit" elv érvé
nyesül: nem választhatunk ki egyenként bizonyos házirendbeálHtásokat, hogy csak azok legye
nek hatással a szűrt objektumokra - vagy a teljes házirendet alkalmazzuk rájuk, vagy egyáltalán
nem alkalmazzuk a házirendet a felsorolt objektumokra. Sajnos ez aránytalanul nagy számú
GPO-t eredményezhet a címtárunkban, amelyek rnindegyike más-más szűrt objektumokra
vonatkozik. Ezt tartsuk észben, amikor házirendeket határozunk meg. Emellett azzal is tisztában
kell lennünk, hogy GPO-nként csak egy WMI-szűrőt alkalmazhatunk, bár ahogy korábban már
említettük, az egyes WMI-szűrők több WMI-lekérdezést is tartalmazhatnak
Ha nem vagyunk jártasak a WMI használatában, a Microsoft Scriptamatic nevű segédprogramja

lehet a segítségünkre, amellyel -bár a Microsoft nem nyújt hozzá támogatást- a legkülönfélébb
Windows-felügyeleti feladatokhoz építhetünk fel WMI-lekérdezéseket. A Scriptamatic programot
a következő címen találhatjuk meg: http:l/www.microsoft.com/downloads/details.aspx?Fami
ly!D=9ef05cbd-cl c5-41e 7-9da8-212c414a 7abO&displaylang=en.
i� Group Policy Management

"'"�=.-
JI:-l� -:=·
lóei� J """""'""' J�
3
B ® Group Polcy Objects
jN Default Doma" Contro
lW De_l\ojt Dom��n Policy
&1 � ::::,.
"
Qi Sites . .J;:hI', .l!t

. �--� �·-:
.
::�-=···-=: �1=-
41
fil G<oup Policy Modeh:J
""""*' =�· · .
� G<oup Policy ReSliis
6.10. ábra
WM!-szűrő
hozzáadása egy
GPO-hoz
A kíváncsiságunkat kielégítendő íme egy rövid WMI-szűrőpélda, amelyet sima XML fájlként
tárolhatunk a merevlemezen (az ilyen típusú szűrők fájlnév-kiterjesztése .MOF), és amely képet
ad róla, hogy miként épül fel és miként hozható létre egy szűrő:
<?xml version="l.O" encoding="utf-8" ?>

<filters>
<filter>
<description>XP Machines</description>
<group>MYDOMAIN\Windows XP Computers</group>
<query namespace="ROOT\CIMv2">
SELECT * FROM Win32_0peratingSystem
WHERE Version
5.1.2600
</query>
<!- További lekérdezések ->
</filter>
<!- További lekérdezések ->
</filters>
Ha sok, külön fájlban található WMI-szűrővel rendelkezünk, úgy tölthetjük be azokat, ha a GPMC
bal oldali ablaktáblájában az egér jobb gombjával a WMI Filters elemre kattintunk, és az Import
(betöltés) parancsot választjuk, majd megkeressük a szűrőként alkalmazni kívánt MOF fájlokat
-il:l Windows Server 2008
A házirendek eredményhalmaza
A Windows 2000-ben nem lehetett egyszerűen áttekinteni az egyes objektumokra vonatkozó
összes házirendet, és azt sem lehetett könnyen meghatározni, hogy egy házirend módosítása
rnilyen hatással lesz az adott objekturnra. A Windows Server 2008-nak azonban része az RSoP
(Resultant Set of Policy, házirend-eredményhalmaz) nevű eszköz, amely a következők megjele
nítésére képes:
• "Naplózó módban" megmutatja az érvényben levő házirendeket A GPMC-ben ezeket

hívják "eredményeknek".
"
• "Tervező módban megmutatja egy házirend hozzáadásának vagy módosításának hatását.
A GPMC-ben ennek a neve modellezés".
"
A két eredményhalmazt a GPMC bal oldali ablaktáblájának Group Policy Results (csoportházi
rend-eredmények), illetve Group Policy Modeling (csoportházirend-modellezés) elemén keresz
tül érhetjük el. Kattintsunk az egér jobb gombjával a megfelelő elemre, és válasszuk ki a kívánt
varázslót elindító parancsot.
Tervez6m6d
Az RSoP tervező módja, amelyet a Group Policy Modeling elemen keresztül érhetünk el, GPO-k
alkalmazásának hatását modellezi, és lehetővé teszi, hogy az eredménynek megfelelően módo
sítsuk a GPO-t, majd újra végrehajtsuk a tesztet Megadhatunk egy konkrét tartományvezérlőt,
felhasználókat, biztonsági csoportokat, illetve azon belül tagokat, egy számítógép vagy telephely
helyét, valarnint tetszőleges számú WMI-szűrőt, majd megtekinthetjük, hogy rnilyen eredménnyel
jár egy adott GPO alkalmazása.
A tervező mód elindításához kattintsunk az egér jobb gombjával a Group Policy Modeling csomó
pontra, a helyi menüből válasszuk a Group policy Modeling Wizard (csoportházirend-modellező
varázsló) elemet, majd a Next gombbal lépjünk tovább a bevezető képernyőró1. Ekkor a 6.11. áb
rán látható Domain Controller Selection (tartományvezérlő kiválasztása) ablak jelenik meg.
Group Potq f-1odeling Wtzard .' -�

Domain CodrnUer- Selection
You must specify a domain cortrolerto useforperlOI'll'ingthe sirUation . �Í
-=:J
The Sl!llLÜa!íon perfooned IlyGroup Poicy Modeling must be pro<eosed on a domaio conlroller l\lf1llÍn9
Wl!ldow• Setvs 2003 or lll!er.
Show domain controllern in tm domain:
lu. ·'N.i.iP.f§G§"g;g."
f'rocoss the simLiation on fus domaio controller:
r.: krt available domaio contro!lerrunrl"9 Wl!ldows Seiver 2003 O< later
r lli• domain cortrcller.
Si!e
6.11. ábra
Csoportházirend modellezése:
Carlcel
tartományvezérlő kiválasztása
Itt kiválaszthatjuk az RSaP-kérelem feldolgozásához használni kívánt tartományvezérlót Ennek

a tartományvezérlőnek legalább Windows Server 2003-at, de inkább Windows Server 2008-at
kell futtatnia. A listából választhatunk egy bizonyos tartományvezérlőt, de a választást
a Windowsra is hagyhatjuk. Ha a választást egy adott tartomány tartományvezérlőire szeretnénk
szűkíteni, adjuk meg a tartományt a Show domain controllers in this domain lenyíló lista segít
ségéveL Ha végeztünk, lépjünk tovább.
Ekkor a 6.12. ábrán látható User and Computer Selection (felhasználó és számítógép kiválasztása)
képernyő jelenik meg.
Group PoftCV Modeling Wrzard 1;�

User- and Compúer Selection
Y.ou can view simulated poky settingsfor a selected user (or a contai'ler wítl1 user �r
infoonation) and computer (or a contalner wih computer írionnation). ..=J
&ample contanername: CN•U.....OC>COIP.OC�.DC""""'
Emnple uoer or COlt1jl<Aer; CORP\Admin!Milor
[Userínfonna!ion
�. pohcy seltingsforthefolowing:
�
� = -
t
6.12. ábra
<Ei<d
A User and Computer Selection
képernyő
Ebben az ablakban azokat a felhasználó- és számítógép-beállításokat adhatjuk meg, amelyeket

a Csoportházirendek alkalmazásakor elemezni szeretnénk. Ha egy adott telephelyhez, tartomány
hoz vagy szervezeti egységhez kapcsolt csoportházirend-objektumokat szeretnénk vizsgálni, egy
tárolót is választhatunk. Vegyük észre a képernyő alján látható jelölőnégyzetet is, amelyet bekap
csolva a varázsló utolsó lapjára ugorhatunk. Ha egy egyszerű lekérdezést szeretnénk futtatni,
amelyhez nem szükségesek további adatok, a varázsló bármely pontján elég, ha bejelöljük ezt
a lehetőséget, és a varázsló a hátralevő képernyőket kihagyva rögtön a lekérdezés eredményére
ugrik. Ha most tovább szeretnénk lépni, kattintsunk a Next gombra.
A következő képernyő, amelyet a 6.13. ábra mutat, az Advanced Simulation Options (speciális
modellezési lehetőségek).
Itt arra utasíthatjuk a Windowst, hogy a tartományvezérlők és az ügyfelek között nagyon lassú
kapcsolatot tételezzen fel, illetve megadhatjuk, hogy összefésülő vagy lecserélő visszacsatolásos
feldolgozást hajtson-e végre, valarnint meghatározhatjuk a telephelyet, amelyikre ezeket a beál
lítások vonatkoznak. Ez a valós körülmények teszteléséhez nagyon hasznos lehetőség. Ha vé
geztünk, lépjünk tovább.
�f1·1 Windows Server 2008
Ekkor a 6.14. ábrán látható Altemate Active Directory Paths képernyő jelenik meg.
Advanced Simulalion Options

You can select additional options foryour S:imulation_
Simulate policyimplementa!iof;f"'thefolowí1g:
r: Slpw networl< connec!ío<l o€or exollJPie, a <l'l<ll-up coonec!ío<lj

.O �backprocosmy
6.13. ábra
Az Advanced Simulation Options
képernyő
Pitemate h:tive Directory Paths

You can simulate changes to the netwrnk. !ocation of the seled:ed user and computer.
User location:
.:_ .:. ;
6.14. ábra
Az Altemate Active Directory Paths
képernyő
Ebben az ablakban annak a hatását utánozhatjuk, rnintha a célpontokat máshová helyeznénk

az Active Directory-szerkezeten belül. Alkalmazhatjuk az alapértelmezett címeket, amelyek
a célobjektumok jelenlegi helyét mutatják, vagy megváltoztathatjuk azokat a Browse (Tallózás)
gomb segítségéve!, hogy lássuk, mi történne, ha új helyre helyeznénk a kérdéses objektumokat.
Ha készen vagyunk, a folytatáshoz lépjünk tovább.
A következő képernyő a User Security Groups (felhasználói biztonsági csoportok). Ebben

az ablakban azt láthatjuk, hogy milyen eredménnyel járna a Csoportházirendek alkalmazása,
amennyiben megváltoztatnánk a felhasználó biztonsági csoporttagságát. Azokat a csoportokat,
amelyeknek a felhasználó jelenleg tagja, az ablak közepén található mezőben láthatjuk, az Add
6. rtházirendek és az lntelliMirror
és Remave gombokkal pedig további csoportokat vehetünk fel a listára, illetve eltávolíthatunk
onnan egyes csoportokat. A módosítások visszavonásához csak annyit kell tennünk, hogy
a Restore Defaults gombra kattintunk. Ha a lista úgy fest, ahogy szeretnénk, lépjünk tovább.
Ha a varázsló elején egy számítógépet vagy egy számítógépeket tartalmazó tárolót választottunk,
a következő képernyő a Computer Security Groups lesz, amelyet a 6.15. ábrán láthatunk.
Ez az ablak is pontosan ugyanúgy működik, mint az imént tárgyalt User Security Groups képer
nyő. Ha itt is végeztünk, lépjünk tovább.
Group Poftcy r-todelmg Waard 1 -::

;:
Compute< Security Groups
You can simulate changes to the seleded computerS security groups.
The selected computer IS a member of the folowing securty groups To olmulate cllanges to 1he
sectrty !11001> membeOOíp, use the !'dd and Remove buttons.
Secuilygroups·
CORP\llomain Corirollern
Everyone
f!e.iore o:Sij;JI �,l

C' Skiptothe final page of this v,'JZa!<l without calleefing addlional data
6.15. ábra
A Computer Security Groups képernyő
Következőként a WMI Filters for Users (a felhasználó WMI-szűrői; illetve az RSaP-lekérdezés

kezdeti beállításától függően WMI Filters for Computers, a számítógép WMI-szűrői) képernyő
jelenik meg (lásd a 6.16. ábrát). Itt arra utasíthatjuk a Windowst, hogy tételezze fel, hogy az álta
lunk kiválasztott felhasználóra (vagy felhasználótárolóra) minden beállított WMI-szűrő, illetve
a képernyőn látható mezőben szereplő WMI-szűrő érvényes. Ha kiválasztottuk a megfelelő
szűrőket, lépjünk tovább.
·. . -
WMI Rner.s forComputers
You can indude Wndows Managemeft lnstrumentation (WMI)fitters n yocs simulation.
f
can be inkadto G� Poüc'fobj<•ct. �PO}. l a fillens �nkadto a GPO. thenlhat
WMifilt""'
GPO appLes only tolhose computers 1hat meet the C!\!ena spedfied in the filter.
Assumelhatthe seleclad computer meets the Ciiieli a !O< thefollowing flltem:
r. Ali inkedfilters
r Onlylhesefifters:
r Skip to the fnal page of the v.izan:i - colecting addit� data
NM>
6.16. ábra
A WMI Filtersfor Computers képernyő
Ezt követően egy a választott beállításokat összegző képernyő jelenik meg. Győződjünk meg
róla, hogy rninden beállítás megfelelő, majd a modellezés elindításához kattintsunk a Next
gombra. Amikor az eljárás befejeződött, a varázsló értesít minket, és a Finish gombra kattintva
megtekinthetjük az eredményt. Az eredményablakra a 6.17. ábrán láthatunk egy példát.
Group Polcy Management

B a_ Forest corp.wi"'dows<:-ervernet.com
B Glil Domains
El � corp.windowsservernet.com
� Oefouit Domaln Polcy
El Domain Controllers
ri) Defalit Domar� Contro
B � Group Polcy Objects
J! Default Domain Contro
ifJ Default Doman Policy
1±1 � WM!Fiters
Cll Starter GPOs
[i Sites CORP\WDSTEST
B fil Group Poicy Modelilg corp.windowsservemet.comJDomain
Wtrollers
<J1 WDSTEST
� G<oop Poicy Res.its corp.'6'indowsservemet.ccm
{t-Jane)
Name Unk l..Dcalion Revision

Oe!id DPman Poticy COfP.�..-sserv�:Co-AD (1):s)��ol {1)
6.17. ábra
A csoportházirend-modellezés eredménye
Az eredményt egy HTML formátumú fájlban kapjuk meg, amelynek tartalmát igény szerint össze
csukhatjuk, illetve kibonthatjuk Láthatjuk minden szárnítógép- és felhasználói konfiguráció ered
ményét, beleértve az alkalmazott és a letiltott GPO-kat, valamint az előírt WMI-szűrőket, illetve
azt, hogy az egyes csoportházirend-összetevőkkel rni történne, és általános információkat is ka
punk a lekérdezéssei kapcsolatban. Ha az egér jobb gombjával a jelentésre kattintunk, menthetjük
vagy kinyomtathatjuk azt. Ha módosítjuk a csoportházirend-beállításokat, és az új beállításokkal
újra szeretnénk futtatni ugyanezt a lekérdezést, egyszerűen kattintsunk a jobb gombbal az ered
ménylapra a GPMC-ben, és válasszuk a Rerun Query (a lekérdezés újbóli futtatása) parancsot.
Nap/6z6m6d
Az RSoP naplózó módja, amelynek a neve a GPMC-ben Group Policy Results, a tervező mód
hoz nagyon hasonlóan működik. Elindításához kattintsunk az egér jobb gombjával a GPMC bal
oldali ablaktáblájában a Group Policy Results elemre, majd a helyi menüből válasszuk a Group
Policy Results Wizard pontot.
A varázsló bevezető képernyőjéről lépjünk tovább a 6.18. ábrán látható Computer Selection
(a számítógép kiválasztása) ablakra.
Computer Selection
You can view policy settings forthis computer odor anather computer on this ne!:worl<.
Select the computerfor'f>oi>lch you wan! to displaypoliCyse!tings.
···Ji This computer
r� l'nOiher computer:
Da nő! <isplay po[ocy se!tings for \he seie<:ted cotnJ>oAerlt1the resul!s {display userpólicy
set!Jngs q]
6.18. ábra
lr?s€ck=r Nexi"
A Computer Selection képernyő
Itt választhatjuk ki azt a számítógépet, amelyre a házirendek alkalmazásának eredményét látni

szeretnénk. Ez lehet az éppen használt számítógép vagy a hálózat egy másik gépe. Az eredmény
emellett a képernyő közepén található jelölőnégyzettel korlátozható csak a házirend User
Configuration részére is. Ha megadtuk a kívánt beállításokat, lépjünk tovább.
A következő képernyő a User Selection (a felhasználó kiválasztása), amelyet a 6.19. ábra mutat.
mmt:li'
l.Jser Selection
You can view policy settingsfor Use!'S of the se!ected computer.
{i;,j DispkrJ poliCy setiJngs for:

_Culrentu""
(.'
;l Select speclic
a user.
)]:f::P.:."i
lhíslist oiily snows usé.iilhat liave Joggi,d on iolhe computer; ®d {ocwhöiiiyliil

hove �to read"'-,flolcyliosults data.
Da ['Ol displayuser polícy'se!tings in the feSIJits !;Jisplay computer polícy se!tings q)
6.19. ábra
A User Selection képernyő
Ebben az ablakban adhatjuk meg, hogy melyik felhasználóval kapcsolatban szeretnénk látni
a User Configuration rész alkalmazásának eredményét. A listában csak azok a felhasználók
szerepelnek, akik valamikor már bejelentkeztek a számítógépre, és akikre vonatkozóan jogunk
van megtekinteni a Csoportházirendek alkalmazásának az eredményét. A megjelenített eredmé
nyeket a képernyő alján található választógombbal csak a számítógép-beállításokkal kapcsola
tos információkra is korlátozhatjuk Ha készen vagyunk, lépjünk tovább.
-fJI Windows Server 2008
Ekkor a Summary of Selections képernyő jelenik meg. Győződjünk meg róla, hogy a beállítások
megfelelnek, és a lekérdezés végrehajtásához kattintsunk a Next gombra. Amikor a művelet befe
jeződött, a varázsló értesít minket, és a Finish gombra kattintva megtekinthetjük az eredményt.
Az eredményablakra a 6.20. ábrán láthatunk egy példát.
A GPMC más jelentéseihez hasonlóan most is HTML formátumban kapjuk meg az eredményt.
Bárhová kattintunk az egér jobb gombjával a jelentésben, a megfelelő parancsot választva
menthetjük és ki is nyomtathatjuk azt.
!i File Action V...w wndow
•
:" Group Policy Management
B � forest: corp.'A1ndowsservernetcom
8 Qjl Dornam
EJ � corp.windowsserve:met.com
!ifJ Default Doman Poky
13 lll Domain Control!ers CORP\Adminislrator on CORP\WOSTEST
W Oefatlt Domain ControB
8 � Group Poky Objects
jfJ Default Domon control
Jj Default Domoiri Po!ky
!±I �WMIFílters
�:i Starter GPOs
Sites CORP\WDSTEST
8 Group Polky Modeklg
t:JIWDSTEST
8 {;@ Group Policy Results
lr3 AdminstraWr on WO
Name
Delaul! Doman Policy ..
link Localion Revision
COfP índowsservemet.co AD (1). Sysvol (1)
Defautt Domain corp.v.'indowsservemet.co AD (1). Sysvo1 {1)

j Controllers Polcy mJDomaín Cortrolere
f DenedGPOs
6.20. ábra
A Group Policy Resu/ts Wizard futtatásának eredménye
A jelentés a csoportházirend Computer Configuration és User Configuration ágainak minden

részéhez a következőket jeleníti meg:
• Általános információk a lekérdezéssei kapcsolatban

• Az alkalmazott és letUtott csoportházirend-objektumok
• A felhasználó vagy számítógép mely biztonsági csoportoknak volt a tagja a csoporthá
zirend alkalmazásakor
• A felhasználót vagy számítógépet "elkapó" WMI-szűrők
• A csoportházirend egyes összetevőinek állapota, beleértve magukat a csoportházi
rendobjektumokat, az EFS-helyreállítást, a rendszerleíró adatbázist, és a biztonságot
(jogosultságokat)
6. rendek és az lntelliMirror
Az RSoP használata a grafikus felület nélkül

Egyes műveleteket az RSoP alkalmazásprogramozási felületeinek a segítségével egy parancsfájl
ban is elvégezhetünk A 6.1. példában szereplő parancsfájl, amelyet a http://ActiveDir.org jóvol
tából mutatunk be (némi módosítással), azt naplózza, hogy rni történik, ha a felhasználó- és
számítógép-objektumokat az Active Directory egy adott objektumhalmazára alkalmazzuk. Ha ki
szeretnénk próbálni a parancsfájlt, másoljuk be a kódot a kedvenc szövegszerkesztőnkbe, és
mentsük .vbs kiterjesztéssel, majd futtassuk a parancssorból az alábbi utasítással:
Cscript fájlnév. vbs
6.1. példa RSaP-jelentés készítése a VBScript segítségével
ComputerName = InputBox("Enter the name of a computer running " &

"Windows XP, Windows Server·2003, or Windows Server 2008", _
''Information'', '''')
UserName = InputBox("E
- nter a user name under which to run the report",
"Information","")
resultpath = InputBox("Enter a location to store the report",
"Information", "c: \temp")
resultpath = resultpath&"\"&UserName&".HTML"
Set GPMC = CreateObj ect( "GPMgmt.GPM")
Set Constants = GPMC.GetConstants( )
Set RSOP= GPMC.GetRSOP(Constants.RSOPModeLogging, "",0)
RSOP.LoggingComputer=ComputerName
RSOP.LoggingUser=UserName
RSOP.CreateQueryResults( )
RSOP.GenerateReportToFile Constants.ReportHTML, resultpath
msgbox("RSoP report complete! A full report has been placed at " &
resultpath)
Az RSaP-ről más módszerekkel is kaphatunk információkat A Microsoft a Windows 2000

Resource Kitben rendelkezésünkre bocsátja a GPRESULTEXE nevű eszközt, amelyet egy ügyfél
számítógépen futtathatunk. (A Windows későbbi változatai ezt a segédprogramot már beépítve
tartalmazzák.) A GPRESULTminden házirendet megmutat, amit egy felhasználóra vagy számító
gépre alkalmaztunk, a szervezeti egységet, illetve telephelyet, amelyben a felhasználó vagy
számítógép található, és még sok más információt. A GPRESULTprogram és az eszközzel
kapcsolatos műszaki információk elérhetők a http:l/www .microsoft.com/windows2000/techinfol
reskitltools!existinglgpresult-o.asp címen. Mindazonáltal ahhoz, hogy a GPRESULThelyes és
pontos információkat adjon vissza, a távoli számítógépeknek legalább Windows XP vagy
Windows Server 2003 rendszerűnek kell lenniük.
Ha a GPRESULT segítségével például a JH-WNXP-LTP távoli munkaállomás jhassell nevű

felhasználójáról szeretnénk információkat kapni, a következő parancsot kell kiadnunk
gpresult /s JH-WNXP-LTP /USER jhassell
Ugyanígy, ha az LJ-WNXP-DSK távoli munkaállomás !johnson nevű felhasználójáról szeretnénk

információkat kapni, erre a parancsra lesz szükségünk:
gpresult /s LJ-WNXP-DSK /USER ljohnson

Ha a parancsot kiegészítjük a /V kapcsolóval, nem csak összegzést, hanem részletesebb naplót
kapunk, a /Z kapcsolóval pedig még ennél is részletesebb naplózást (vagyis még több informá
ciót) kérhetünk. Ha csak a számítógép-házirendekre vagyunk kíváncsiak, a l z mellett adjuk
meg a l SCOPE MACHINE kapcsolót, ha pedig csak a felhasználói házirendeket akarjuk látni,
a l SCOPE USER-t. A GPRESULTkimenetét a DOS szokványos > átirányító műveleti jelével egy
szövegfájlba is átirányíthatjuk
A Windows Server 2003 Resource Kitnek része a WINPOUCIES.EXE nevű program,

amely a rendszertálcába beépülve képes megjeleníteni a csoportházirend-objektu
mok ügyféloldali feldolgozását, és segít az azokkal kapcsolatos hibák elhárításában is.
Egyéb felügyeleti feladatok

A GPMC néhány további szolgáltatást is kínál - ezekről ejtünk szót ebben a részben
Csoportházirend-objektumok keresése
A GPMC-ben adott csoportházirend-objektumokat, illetve GPO-k tulajdonságainak értékét is
kereshetjük. Ehhez kattintsunk az egér jobb gombjával egy erdőre a GPMC bal oldali ablaktáblájá
ban, és válasszuk a Search (keresés) pontot a megjelenő helyi menüből. Ekkor a 6.21. ábrán látha
tó Search for Group Policy Objects (csoportházirend-objektumok keresése) ablak jelenik meg.
J[ Search for Group Poli:cy Objed:s "'::n )4

Searoh for G POs ln this Q.omalf1;
Md searoh aienato the ist below:
��, Ir-_-------------------------,
�:
Vai.ue· '�
1
�
- ···�
- �--��----��--��
6.21. ábra
Csoportházirend-objektumok
keresése
Ebben az ablakban megadhatjuk, hogy a keresés az erdő minden tartományára kiterjedjen-e,

vagy egy adott tartományban szeretnénk keresni, amelyet az ablak tetején található lenyíló
listából választunk ki. Ezt követően a keresés feltételeit határozhatjuk meg: kiválaszthatjuk
a keresendő elemet, a teljesítendő feltételt, illetve a feltételben szereplő értéket. A lehetséges
keresőkifejezések a következők:
6. fejezet • A csooortházirendek és az lntelliMirror
"
• AGPO neve- "contains" (tartalmazza), does not contain (nem tartalmazza) vagy "is
"
exactly" (pontosan megfelel)- a megadott érték.
• GPO-kapcsolatok- exist in" (léteznek benne) vagy "do not exist in" (nem léteznek
"
benne)- bizonyos telephelyek vagy minden telephely.
• Biztonsági csoport: a szokványos kiválasztó párbeszédablakban egyszerűen kiválasztha
tunk egy vagy több biztonsági csoportot.
• User configuration- contains" (tartalmazza) vagy "does not contain" (nem tartalmazza)
"
- mappa-átirányítási, Internet Explorer-, rendszerleíró adatbázisbeli, parancsfájl- vagy
szoftvertelepítési értékek.
• Computer configuration - contains" (tartalmazza) vagy "does not contain" (nem tartal
"
mazza)- EFS-helyreállítási, IP-biztonsági, Microsoft lemezkvóta-, QoS csomagütemezői,
rendszerleíró adatbázisbeli, parancsfájl-, szoftvertelepítési vagy drót nélküli csoportházi
rend-értékek
• GUID- equals" (egyenlő)- a megadott érték.
"
A keresésben több feltételt is megadhatunk, ha kiválasztjuk a megfelelő lekérdezést, majd

az Add gombra kattintva felvesszük azt a lekérdezések listájára, aztán további feltételeket hatá
rozunk meg, és azokat is hozzáadjuk, hogy összetettebb keresést végezhessünk Ha valarnilyen
feltételt törölni szeretnénk, jelöljük ki a lekérdezési listában, és kattintsunk a Remave gombra.
A keresést a Search gombbal indíthatjuk el, ha pedig le szecetnénk állítani, mielőtt befejeződön
volna, a Stop Search (keresés leállítása) gombot használhatjuk A keresés eredménye az ablak
alján jelenik meg. A keresés eredményeképpen kapott GPO-kat kijelölhetjük, és ha kijelöltünk
egyet, az Edit gombra kattintva közvetlenül megnyithatjuk szerkesztésre. A keresés eredményét
a Save Results gombbal menthetjük is; ez az eredményt egy vesszőkkel elválasztott értékeket
tartalmazó (CSV) szövegfájlba írja. Ha az aktuális eredményt el szecetnénk távolítani, hogy új
keresést indítsunk, kattintsunk a Clear gombra.
Csoportházirend-objektumok biztonsági mentése, másolása, betöltése és kivitele

AGPMC a csoportházirend-objektumok információinak, másolását, betöltését, biztonsági menté
sét és visszaállítását is támogatja. Korábban nem lehetett biztonsági másolatot készíteni aGPO
król, hacsak nem a rendszer állapotáról készítettünk pillanatfelvételt egy tartományvezérlőn. Arni
kor aGPMC segítségével raktározunk el egyGPO-t, a biztonsági másolatba csak az adottGPO-ra
vonatkozó adatok kerülnek be, a hozzá kapcsolt objektumok nem, mert ennek az információnak
a visszaállítása bajos lenne. Arnikor azonban visszaállítjuk az információkat, a Windows automati
kusan a korábbi GUID-jét rendeli a másolatból helyreállított GPO-hoz, ami nagyszerű módja
annak, hogy egyszerűen felélesszünk egy véletlenül törölt csoportházirend-objektumot
A rendszergazdák általában jelentős időt töltenek azzal, hogy aGPO-kat pontosan az igényekhez
igazítsák, majd az eljárást saját kezú1eg pontosan megismételjék a többi szervezeti egységben is,
amelyekért felelősek, így hát a GPMC másolási lehetősége sok-sok órányi munkát takaríthat meg
nekik. Egy GPO-t vagy GPO-k egy csoportját egyszerűen lemásolhatjuk és beilleszthetjük egy
másik szervezeti egységbe. A másolat ugyanakkor nem azonos a biztonsági másolattal, rnivel
az egyszerű másolás során nem készül olyan, az információkat tároló fájl, amelyet a biztonság
érdekében máshová helyezhetnénk, ráadásul aGPO-másolatnak más lesz a GUID-je, rnint
-f1:1 Windows Server 2008
az eredeti GPO-nak. Ezen kívül ahhoz, hogy lemásolhassunk egy GPO-t, jogosultsággal kell
rendelkeznünk arra, hogy GPO-kat hozzunk létre a célhelyen, illetve GPO-kat olvashassunk
az eredeti helyen.
A GPMC a GPO-k betöltésének (import) és kivitelének (export) képességével is rendelkezik, és

ezt akár olyan tartományokból, illetve tartományokba is meg tudja tenni, amely nem áll bizalmi
viszonyban az eredeti tartománnyaL Ez akkor hasznos, ha bizonyos GPO-beállításokat több tar
tományba is át kell másolnunk, vagy ha a fejlesztési és az üzemi erdő között szeretnénk átvinni
az információkat. Nem kell tehát aprólékosan újra elkészítenünk minden GPO-t a többi tarto
mányban- egyszerűen menthetjük azokat kivitelre a GPMC-ben, és betölthetjük az új tarto
mányban, ami sokkal gyorsabb és kevesebb hibára lehetőséget adó eljárás.
A GPO-k betöltése más tartományokból nem mindig egyszerű, mivel létre kell hoznunk egy
áttelepítési táblát, amely meghatározza, hogy a GPMC hogyan fordítsa le a tartományra jellemző
adatokat a másik tartománynak megfelelően. A legtöbb GPO tartalmaz olyan információkat- fel
használók, csoportok, számítógépek, UNC útvonalak -, amelyek az adott tartományban található
objektumokra hivatkoznak. Ezek valószínűleg nem értelmezhetők az új tartományban, ezért meg
kell mondanunk a Windowsnak, hogy miként fordítsa le a forrás GPO-ban tárolt objektumokat
a cél GPO helyének megfelelő objektumokra. Nézzük meg egy kicsit közelebbről, hogy milyen
elemeknek a módosítására lehet szükség az áttelepítéshez:
•
Biztonságiházirend-beállítások, beleértve a felhasználói jogosultságokat, a korlátozott
csoportokat, a szolgáltatásokat, a fájlrendszerbeli bejegyzéseket, illetve a rendszerleíró
adatbázisbeli kulcsokat és értékeket
•
Speciális mappa-átirányítási házirendek
•
A GPO saját ACL-je, amelyet megőrizhetünk, de el is vethetünk
•
A szoftvertelepítési GPO-k ACL-je (a szoftvertelepítésről a fejezet késóbbi részében
beszélünk részletesen), amely az előző pontban meghozott döntéstől függ
Nézzünk meg néhány példát, amelyek lépésről lépésre bemutatják a csoportházirend-objektumok

biztonsági mentését, másolását, kivitelét és betöltését a GPMC-ben. Ha biztonsági másolatot
szeretnénk készíteni egy adott GPO-ról, a következő műveleteket kell végrehajtanunk:
1. Indítsuk el a GPMC-t.
2. Bontsuk ki a Forest (erdő) és Domain (tartomány) fákat a bal oldali ablaktáblában, majd
a tartományunk alatt jelöljük ki a Group Policy Objects elemet.
3. A jobb oldali ablaktáblában jelöljük ki azt a GPO-t, amelyről biztonsági másolatot szeret
nénk készíteni.
4. Kattintsunk az egér jobb gombjával a GPO-ra, és válasszuk a BackUp (biztonsági mentés)
parancsot.
5. Ekkor a 6.22. ábrán látható BackUp Group Policy Object ablak jelenik meg. Az első
mezőbe írjuk be a helyet, ahol a csoportházirend-objektum biztonsági másolatának fájljait
tárolni szeretnénk, majd adjunk meg egy hasznos leírást magunknak, hogy késóbb
azonosíthassuk a mentett fájlokat.
6. Ortházirendek és az lntelliMirror
6. Ekkor egy folyamatjelző jelenik meg, amely jelzi, hogy a Windows hol tart a biztonsági
mentés műveletében. A művelet befejeződésekor a Status mezőben egy üzenet jelenik
meg, amely értesít, hogy a biztonsági mentés sikeres volt.
5(
Enterthe name of the folder in which yoU war< to store bocked up Vef'SIOns of
tm Goup Policy Objecl �SPO). You can baci< up muliple GPO> to the some
!older.
Note: Settings thalare e>temal to the GPO. sucb as WMI fillers and tPsec
polides, are independenr obieels in kl<ve [Mec!OIY and will !Wt be bocked up.
To preveni tampemg of backed up GPOs. be sue to secure thisfolder so that

on!)· authonzed admn!:ótr.oiotS have write acces• to !his localion.
LDcá=:
6.22. ábra
Csoportházirend-objektumok biztonságimentése
Ha egy adott GPO-t egyszerűen le szeretnénk másolni, hajtsuk végre az alábbi lépéseket:
2. Bontsuk ki a Forest és Domain fákat a bal oldali ablaktáblában, majd a tartományunk
alatt jelöljük ki a Group Policy Objects elemet.
3. A jobb oldali ablaktáblában jelöljük ki azt a GPO-t, amelyet le szeretnénk másolni.
4. Kattintsunk az egér jobb gombjával a GPO-ra, és válasszuk a Copy parancsot.
5. Keressük meg azt a szervezeti egységet az Active Directory-ban, ahová be szeretnénk
illeszteni a lemásolt GPO-t, és jelöljük ki.
6. Kattintsunk az egér jobb gombjával a szervezeti egységre, és válasszuk a Paste parancsot
a megjelenő helyi menüből. Ekkor a 6.23. ábrán látható üzenet jelenik meg, amely meg
kérdezi, hogy a lemásolt GPO-kat a célként választott szervezeti egységhez szeretnénk-e
kapcsolni. A folytatáshoz kattintsunk az OK gombra.
� Group Pohcy Management

:#�
Do you wan! to link the GPOs that you have selected to this
domain?
OK 6.23. ábra
Csoportházirend-objektumokmásolása
A csoportházirend-objektumot ezzel átmásoltuk Ha egy adott GPO-t be szeretnénk tölteni,

akkor létre kell hoznunk egy új GPO-t azon a helyen, ahová át szeretnénk vinni a beállításokat.
Például ha egy tartományból át szeretnénk vinni a kizárási házirendet egy másik tartományba is,
az új tartományban hozzunk létre egy új GPO-t, majd kövessük az alábbi lépéseket:
-Jiel Windows Server 2008
2. Bontsuk ki a Forest és Domain fákat a bal oldali ablaktáblában, majd a tartományunk
alatt jelöljük ki a Group Policy Objects elemet.
3. A jobb oldali ablaktáblában jelöljük ki azt a GPO-t, amelyet alkalmazni szeretnénk.
4. Kattintsunk az egér jobb gombjával a GPO-ra, és válasszuk az Import Settings parancsot,
amely az Import Settings Wizardot indítja el.
5. A varázsló megkérdezi, hogy készítsen-e biztonsági másolatot a jelenleg a cél GPO-ban
található beállításokról. Kattintsunk a Backup gombra, hogy ezt megtegye, majd kövessük
a fentebb leírt eljárás lépéseit. Ha készen vagyunk, kattintsunk a Next gombra.
6. Válasszuk ki a betölteni kívánt GPO helyét, majd lépjünk tovább.
7. Ekkor a Source GPO ablak jelenik meg, amely felsorolja az összes GPO-t, amely
a 6. lépésben megadott helyen tárolódik. Itt kiválaszthatunk egy adott GPO-t, és a View
Settings gombra kattintva felfrissíthetjük az ernlékeinket a GPO által tárolt beállításokról.
Jelöljük ki a használni kívánt GPO-t, és lépjünk tovább.
8. Előfordulhat, hogy megjelenik a Migrating References (hivatkozások áttelepítése ) képernyő
(ha nem, ugorjunk a 13. lépésre). A GPO-ban tárolt beállításoktól függően szükség lehet
bizonyos bejegyzések megfeleltetésére egy áttelepítési tábla segítségéveL Választhatunk,
hogy a meglevő bejegyzéseket közvetlenül átmásoljuk a forrásból (erre szaigál az első
lehetőség), de a New gombra kattintva új áttelepítési táblát is létrehozhatunk. Ha ez utóbbit
választjuk, a Migration Table Editor (az áttelepítésitábla-szerkesztó) ablaka jelenik meg.
9. A Tools menüből válasszuk a Populate from Backup (feltöltés biztonsági másolatból)
pontot, majd jelöljük ki a betölteni kívánt forrás GPO-t. A Windows önműködően feltölti
a táblát azokkal az objektumokkal, amelyeket át kell fordítani.
1 O. A Destinatien Name (célnév) oszlopban egyszerűen adjuk meg a forrástulajdonságnak
az új helyen érvényes helyes nevét. Győződjünk meg róla, hogy ezek a tulajdonságok
már léteznek a célhelyen, mert a GPMC menet közben nem tudja őket létrehozni.
Ha egyes tulajdonságokat nem kell megváltoztatni, egyszerűen adjuk meg a <Same As
Source> (megegyezik a forrással) "nevet" a Destinatien Name oszlopban.
11. Az áttelepítési táblát más GPO-k betöltésekor is felhasználhatjuk, ha a File menü Save
parancsát választva és egy helyet megadva mentjük azt. A mentéshez tetszőleges helyet
adhatunk meg a fájlrendszerünkön belül.
12. Zárjuk be Migration Table Editort. Ekkor újra megjelenik a Migrating References képernyő,
benne az imént létrehozott áttelepítési táblával. A folytatáshoz lépjünk tovább.
13. Az utolsó képernyő a Compieting the Import Settings Wizard. Ellenőrizzük, hogy
a beállításaink helyesek-e, és ha igen, kattintsunk a Finish gombra. Ezzel a beállításainkat
betöltöttük az új helyre.
Csoportházirendek kezelése több erdőben

A GPMC-t használva egyszerűen kereshetünk és állíthatunk be GPO-kat különböző erdőkben
és tartományokban. A GPMC alapállapotban valójában azt is lehetővé teszi, hogy az Action me
nü Add Forest pontját választva, majd a kezelni kívánt erdő nevét beírva hozzáadjunk egy erdőt
az elérhető erdők listájához a bal oldali ablaktáblában.
Ahhoz, hogy több erdőben egyszerre végezhessünk műveleteket a csoportházirendekkel,

eleget kell tennünk néhány követelménynek:
6. fejezet • A Csoportházirendek és az lntelliMirror IJI-
•
Ahhoz, hogy alaphelyzetben minden működjön, kétirányú bizalmi viszonyt kell kialakí
tanunk a célerdő és aközött az erdő között, amelybe az a számítógép tartozik, amelyen
a GPMC-tfuttatjuk
•
Ha a bizalmi viszony csak egyirányú, válasszuk az Options pontot a View menübó1, majd
a Generaliapon kapcsoljuk ki az Enable Trust Delegation jelölőnégyzetet, amely lehetővé
teszi, hogy a másik erdőnek jogot adjunk a GPO-k kezelésére.
•
Ha a két erdő között nem áll fenn bizalmi viszony, a Windows Server 2003-ban a vezérlő
pult Stared User Names and Passwords kisalkalmazása, a Windows XP-ben pedig a User
Accounts (Felhasználói fiókok) kisalkalmazás segítségével lehetővé kell tennünk, hogy
bejelentkezhessünk a távoli erdőbe.
•
Ahhoz, hogy csoportházirendeket kezeljünk más erdőkben, valószínűleg vállalati
rendszergazdai jogosultságokkal kell rendelkeznünk
A Csoportházirendek felügyeletének átruházása

A Windows 2000 új szolgáltatása volt, hogy tetszőlegesen átruházhattunk felügyeleti jogköröket
bizonyos felhasználókra. Ez rendkívül hasznos és költséghatékony módja volt annak, hogy
a terheket elosszuk, és növeljük az egyes üzleti egységekfelelősségét a saját informatikai költ
ségeikért. A Windows Server 2008 ezt a lehetőséget a csoportházirendekre is kiterjeszti, és
megengedi a rendszergazdáknak, hogy egyes műveletek felügyeleti jogköreit (hogy a Netware
régi szóhasználatával éljünk) a GPO-k esetében is átadja másoknak. Lássuk, hogyan!
A GPO-k létrehozásának joga alapértelmezés szerint a tartományi és vállalati rendszergazdákra

korlátozódik, illetve azokra a felhasználókra, akik a Group Policy Creator Owners (csoportházi
rend-létrehozó tulajdonosok) csoport tagjai. Az említett biztonsági csoportok között az a legfon
tosabb különbség, hogy bár a rendszergazdai csoportok tagjai bármilyen GPO-t létrehozhatnak
és módosíthatnak egy címtárban, a Group Policy Creator Owners csoport (innen röviden
GPCO-ként hivatkazunk rá) tagjai csak azokat a házirendeket szerkeszthetik, amelyeket ők
maguk hoztak létre. (Ha jártasak vagyunk az LDAP-terminológiában, ez a managedBy fogalma.)
Ezen kívül a GPCO csoport tagjai nem kapcsolhatják a GPO-kat egy címtár tárolóihoz, hacsak
kifejezetten nem kapták meg a különleges Manage Policy Links (házirendkapcsolatok kezelése)
engedélyt.
Ha a hálózatunkban kihasználjuk az átruházás előnyeit, és feljogosítjuk a csoport- és osztályveze

tőket a hatáskörükbe tartozó informatikai források kezelésére, célszerű lehet engedélyezni nekik
a csoportjuk egyes GPO-inak felügyeletét is. A vezetők valószínűleg nem tagjai a Domain
Administrators, Enterprise Administrators és Group Policy Administrators csoportoknak, ezért
egyedi jogokkal kell felruháznunk őket: vagy azzal a képességgel, hogy maguk is létrehozhatnak
és szerkeszthetnek GPO-kat, vagy azzal, hogy a GPO-kat az Active Directory objektumaihoz
kapcsolhatják A két jogosultság egymástól független, az együttes alkalmazásukra nincs szükség.
Ha egy felhasználóra vagy csoportra át szeretnénk ruházni a GPO-k létrehozásának és módosí

tásának képességét, kövessük az alábbi lépéseket:
2. A fanézetben jelöljük ki a Group Policy Objects elemet.
Windows Server 2008
3. A jobb oldali ablaktáblában váltsunk a Delegation lapra.

4. Vegyük fel azt a felhasználót vagy csoportot, akinek át szeretnénk adni a jogosultságot.
Ha a GPO-k objektumokhoz kapcsolásának képességét akarjuk átadni, a következő lépéseket

kell végrehajtanunk
2. Jelöljük ki azt a szervezeti egységet vagy más objektumot, amelyet képessé szeretnénk
tenni a GPO-khoz való kapcsolásra.
3. A jobb oldali ablaktáblában váltsunk a Delegation lapra.
4. Vegyük fel azt a felhasználót vagy csoportot, akinek át szeretnénk adni a jogosultságot.
Ha rnindezt parancsfájlokon keresztül szeretnénk elvégezni, a GPMC alapértelmezett telepítési

könyvtárában, a Program Files\Group Policy Management Console\Scripts mappában találhatunk
néhány példafájlt, amelyekkel átruházhatjuk az említett két jogosultságot. A GPO-k létrehozásának
és tulajdonlásának jogát a SetGPOCreationPermissions. wsf, az objektumokhoz kapcsolás
jogát pedig a SetSOMPermissions. wsf parancsfájllal adhatjuk át.
Helyi Csoportházirendek
Most vizsgáljuk meg a Csoportházirendek két típusát, a helyi csoportházirendekkel kezdve, és
onnan haladva a tartományi.csoportházirendek felé. Bár a helyi házirendek nem olyan rugalma
sak, rnint a tartományi házirendek, arnint látni fogjuk, ezek is hasznos eszköznek bizonyulnak,
ha egy cég számítógépein szabványos környezetet szeretnénk kialakítani. A helyi házirendeknek
akkor vehetjük a legnagyobb hasznát, amikor ügyfelek vagy kiszolgálók számára biztonsági
beállításokat adunk meg a cégünk igényeinek megfelelően. A Security Templates (Biztonsági
sablonok) beépülő modul segítségével szerepkör alapú sablonokat hozhatunk létre, amelyekkel
a legtöbb biztonsággal kapcsolatos beállítás megadható a számítógépeinken, a Security
Configuration and Analysis (Biztonságkonfigurálás és -elemzés) nevű beépülő modullal pedig
(amelyet a 17. fejezetben tárgyalunk részletesebben) adatbázist hozhatunk létre a hálózatunk
gépeinek szerepköreiről és házirendjeirőL
A következő részben a helyi biztonsági házirendekkel és az egységes biztonsági beállításokat

nyújtó biztonsági sablonok használatával foglalkozunk.
. Biztonsági sablonok
A Microsoft bölcsen úgy döntött, hogy a Windowst ellátja néhány előre kidolgozott biztonsági
beállításokat tartalmazó fájllal, amelyeket ezentúl "biztonsági sablonoknak" fogunk hívni. Ezek
a fájlok lényegében recepteket tartalmaznak, amelyeket követve a mindennapi szerepe alapján
beállíthatjuk egy számítógép biztonsági házirendjét. Ezeket a sablonokat, amelyeket olyan új
Windows-telepítéseken való alkalmazásra terveztek, amelyekre már vonatkozik egy alapszintű
sablon, csak NTFS formázású rendszereken használhatjuk, legalábbis ami a rendszerindító
(az operációs rendszer fájljait tartalmazó) lemezrészt illeti. Az egymásra épülő biztonsági sablo
nok a következők:
6. ázirendek és az lntelliMirror
• Azokra a munkaállomásokra vagy kiszolgálókra, amelyeken a felhasználóknak nem

szabad a Power Users csoport tagjainak lenniük, alkalmazzuk a compatws.infsablont.
Ez a sablon ellensúlyozza a Power Users csoport tagjainak nyújtott további jogosultságok
hiányát, azáltal, hogy enyhít a szokványos Users csoport jogainak korlátozásán. Legyünk
azonban óvatosak: csak akkor használjuk ezt a sablont, ha olyan nem tanúsított szaftverrel
(vagyis olyan programmal, amelyre nem ütötték rá a Windows-emblémát) van dolgunk,
amely másképpen nem futna.
• A munkaállomás és kiszolgálók további biztosítása érdekében a securews.injsablont
használhatjuk, amely úgy növeli az adott számítógép általános biztonsági szintjét, hogy
megerősíti az operációs rendszernek azokat a területeit, amelyek nem esnek a jogosultsá
gok és korlátozások hatáskörébe. Az ezt a sablont alkalmazva biztonságosabbá tehető
területek a fiókházirend-beállítások, a tevékenységvizsgálati vezérlők, és a biztonsági
házirendben szerepet játszó rendszerleíró adatbázisbeli kulcsok. A Windows-tartomány
vezérlőknek megfelelő sablonváltozat a securedc.inf
• Azoknak, akik különösen paranoiásak, vagy a legszigorúbb biztonsági követelményeknek
kell eleget tenniük, a hisecws.inj(a tartományvezérlők esetében a hisecdc.inj) sablon áll
a rendelkezésére. Mivel azonban a Windows-számítógépeknek a hálózaton átvitt minden
csomagot alá kell írniuk és titkosítaniuk kell, ez a csomag csak tiszta (és legalább Win
dows 2000 rendszereket alkalmazó) Windows-környezetben használható.
• A Setup security.infalaphelyzetbe állítja vissza egy adott számítógép biztonsági beállításait.
Akkor lehet rá szükség, ha módosításokat hajtottunk végre, és teljesen vissza szeretnénk
vonni azokat, vagyis "tiszta lappal" szeretnénk újrakezdeni.
• A Rootsec.infújabb, még biztonságosabb jogosultságokat állít be a rendszermeghajtó
gyökerére. Ezek közül a legjelentősebb, hogy eltávolítja a teljes vezérlésre vonatkozó
engedélyeket az Everyone csoportból a rendszermeghajtón. Ezt a sablont arra is használ
hatjuk, hogy újra szigorúbb gyökérkönyvtár-biztonsági beállításokat alkalmazzunk egy
olyan rendszeren, ahol a biztonsági alapbeállításokat módosították.
• A DC security.infa tartományvezérlők alapértelmezett biztonsági sablonjára hivatkozik,
amely szigorúbb követelményeket támaszt a hálózati átvitellel szemben, és a fájlrendszer,
illetve a rendszerleíró adatbázis több részét biztosítja. Ez a sablon akkor jön létre, amikor
egy kiszolgálót tartományvezérlővé léptetünk elő.
• Az Iesacls.infaz Internet Explorer számára nyújt erősebb biztonságot: bizonyos nem
megbízható zónákban korlátozza a parancsfájl-tevékenységet, és szigorúbb, biztonságos
webböngészési környezetet alakít ki.
Ezeket a kényelmesen használható sablonokat a Security Tempiates beépülő modulban történő

alkalmazásra tervezték. A beépülő modul segítségével életbe léptethetjük a termékhez kapott
alap- és az arra épülő sablonokat, illetve módosíthatjuk azokat, ha saját, egyszerűen terjeszthető
sablonokat szeretnénk készíteni.
A Security Tempiates beépülő modul használatához kövessük az alábbi lépéseket:
1. Adjuk ki az nunc ls parancsot a parancssorban. Ez az MMC-t szerzői módban indítja el,

ami lehetővé teszi, hogy hozzáadjunk egy beépülő modult.
-MI Windows Server 2008
2. A Console menüből válasszuk az Add/Remave Snap-in (Beépülő modul hozzáadása/eltá
volítása) pontot, majd az Add lehetőséget. Ez az Add Standalone Snap-in (önálló beépülő
modul hozzáadása) párbeszédablakot nyitja meg.
3. A listában jelöljük ki a Security Templates elemet, és kattintsunk az Add, majd a Close
gombra.
4. A következő ablakban az OK gombbal erősítsük meg a beépülő modul hozzáadását.
A Security Templates beépülő modult ezzel hozzáadtuk a konzolhoz. A beépülő modulból ki
bonthatjuk a bal oldalon látható konzolfa Security Templates részét, majd a C:\ Windows\
security\tempiates mappát, ahol megtekinthetjük a fent ismertetett készen kapott sablonokat.
Egyéni biztonsági sablon létrehozása

Megeshet, hogy saját, testreszabott házirendeket szeretnénk összeállítani, amelyek túlmutatnak
a Windows sablonjain. Ha egyéni biztonsági sablont készítünk, a módosításainkat a lehető leg
kevesebb fejfájással, egyszerűen becsomagolhatjuk, közzétehetjük és alkalmazhatjuk. Ami pedig
a legjobb, hogy az egyéni sablonokat a Security Configuration and Analysis nevű segédprog
rammal együtt használva felmérhetjük a számítógépeink általános biztonsági állapotát.
Egyéni biztonsági sablon létrehozásához kövessük az alábbi lépéseket:
1. A Security Templates konzolon bontsuk ki a Security Templates elemet a bal oldali fában,
majd az egér jobb gombjával kattintsunk a C:\ Windows\security\templates mappára
(ez a sablonok alapértelmezett mappája a rendszeren).
2. A megjelenő helyi menüből válasszuk a New Template menüpontot.
Ez után bármilyen kívánt módosítást elvégezhetünk az eszköz által támogatott házirendterülete

ken: a fiókházirendekben, a helyi házirendekben, valamint az eseménynaplóra, a korlátozott
csoportokra, a rendszerszolgáltatásokra, a rendszerleíró adatbázisra és a fájlrendszerre vonatko
zóan. A program minden hozzáadott beállításunkat, illetve a törlési és egyéb műveleteink ered
ményét közvetlenül a sablonba menti.
Ennél egy lépéssel tovább is mehetünk, és úgy dönthetünk, hogy a Windowshoz kapott
alapsablon, illetve a rá épülő kész sablonok házirendbeállításaira építünk. Ebben az esetben
egyszerűen megnyithatjuk az említett sablonokat, majd a megnyitott sablont más néven mentve
módosításokat végezhetünk rajta, és így létrehozhatjuk a saját sablonunkat Ehhez a következő
műveleteket kell végrehajtanunk
1. Válasszunk egy már meglevő sablont a Security Templates konzolróL A példában

a securews.injfájlt fogjuk használni.
2. Kattintsunk az egér jobb gombjával a sablonra, és válasszuk a Save as (Mentés másként)
parancsot a helyi menüből.
3. Adjunk nevet az új sablonnak
4. Kattintsunk az OK gombra; ezzel létrehozzuk az új sablont a régi alapsablon beállításai
alapján.
A biztonsági adatbázis összeállítása

A következő lépés az egyéni sablonjaink beépítése egy biztonsági adatbázisba a Security
Configuration and Analysis (SCA) eszköz segítségéveL Az MMC-ben adjuk az SCA-t a konzolhoz,
majd hajtsuk végre az alábbiakat:
1. Kattintsunk az egér jobb gombjával a Security Configuration and Analysis elemre, és

válasszuk az Open Database (adatbázis megnyitása) parancsot.
2. Az Open Database párbeszédabiakba írjuk be egy új adatbázis nevét.
3. Mivel ezen a néven még nem létezik adatbázis, meg kell adnunk azt a biztonsági sablont,
amelyikből az adatbázist fel szeretnénk építeni. A mezőben látható választási lehetőségek
a C:\ Windows\security\templates mappából származnak. Válasszuk ki a kívánt sablont,
és kattintsunk az OK gombra.
Bár a felhasználói felülettől nem kapunk semmiféle megerősítést, a sablon hozzáadódik az adat
bázishoz. Ezután az egér jobb gombjával az SAC eszközre kattinthatunk a bal oldali ablaktáblá
ban, és vagy az Analyze Computer Now (a számítógép elemzése most), vagy a Configure Compu
ter Now (a számítógép beállítása most) lehetőséget választhatjuk Ha az Analyze Computer Now
parancs mellett döntünk, az SCA megvizsgálja az új biztonsági beállításokat az adatbázisban,
összeveti a számítógép jelenlegi állapotával, és jelentést küld a különbségekró1, amelyet egy
naplófájlba is ment a \My Documents\Security\Logs mappába. Ha ezzel szemben a Configure
Computer Now parancsot választjuk, a program ténylegesen alkalmazza a változásokat a rend
szerre. Ezt kerüljük el, hacsak nem vagyunk teljesen biztosak benne, hogy az alkalmazás előtt
nem szükséges áttekinteni az eredményt. A sablonok alkalmazását a SECEDIT segédprogrammal
parancsfájlba is írhatjuk, így egyszerre több számítógépen végezhetjük el a műveletet egy beje
lentkezési parancsfájl, Telnet-kiszolgáló vagy valarnilyen más módszer segítségéveL A SECEDIT
hozzáadja az SCA-adatbázishoz a kívánt sablonfájlt, majd a biztonsági beállításokat alkalmazza
arra a számítógépre, amelyiken a SECEDIT-et futtatjuk Ha például egy Hassell-secure.infnevű
sablont szeretnénk betölteni, beépíteni az SCA-ban egy securepes nevű adatbázisba, felülírni
az adatbázisban található adatokat, az aktuális számítógépre alkalmazni, majd az összes említett
műveletet egy apply.log nevű naplófájlba szeretnénk írni, a következő parancsot kell kiadnunk:
secedit /configure /cfg Hassell-secure.inf /db securepes /overwrite /log

apply.log
Ha a sablont már saját kezűleg betöltöttük az SCA-ba, és csak alkalmaznunk kell a beállításokat
a számítógépre, adjuk ki az alábbi utasítást:
secedit /configure /db securepes /overwrite /log apply.log
Tartományi Csoportházirendek
A tartományi Csoportházirendek sokkal rugalmasabbak és több beállírásra adnak módot a háló
zatban, mint a helyi Csoportházirendek Ebben a részben az informatikai eszközök központi,
tartományi Csoportházirendek segítségével végzett kezelésének négy leggyakrabban alkalmazott
módszerét mutatjuk be: a biztonsági alapbeállítások meghatározását, a Windows Server 2008-ban
található IntelliMirror technológia segítségével végrehajtott szoftvetelepítést, a felhasználói felüle
ten elérhető mappák átirányítását hálózati helyekre, valamint az olyan események által elindított
parancsfájlok megírását és végrehajtását, rnint a be- és kijelentkezés.
Windows Server 2008
Biztonsági beállítások
Ahogy korábban tárgyaltuk, a Csoportházirendek egyik legelőnyösebb tulajdonsága, hogy
a hálózat egy központi helyéről szabályozhatjuk a biztonsági és egyéb beállításokat. A biztonsági
házirend három kulcsfontosságú összetevóből áll: a korlátozott csoportokból, a rendszerleíró
adatbázis beállításaiból, illetve a fájlrendszerre vonatkozó beállításokból. Ebben a részben rnind
hármat megvizsgáljuk
Korlátozott csoportok
A korlátozott csoportok házirendjének segítségével módosíthatjuk a jelenleg érvényben levő
csoport- és tagsági beállításokat az ügyfélszárnítógépeken. Arnikor a házirendet alkalmazzuk
a munkaállomásokra és kiszolgálókra, azok egyéni csoportbeállításai úgy módosulnak, hogy
igazodjanak a házirenden belül meghatározott beállításokhoz. A házirend olyan tagsági listákat
tartalmaz, amelyek felülírják a célszámítógépek beállításait. Például ha az Administrator csopor
tot hozzáadjuk a házirendhez, de a Members of this group (ennek a csoportnak a tagjai) listára
nem veszünk fel egyetlen felhasználót sem, majd alkalmazzuk a házirendet, a Windows az ügy
félgépeken minden felhasználót eltávolít a csoportból, aki jelenleg ott a csoport tagja. Másrészt
viszont a házirend másik listája, amely azt határozza meg, hogy az adott csoport mely csopor
toknak a tagja jelenleg, csak hozzáadásra szolgál: amennyiben ez a lista üres, az ügyfélszámító
gépeken nem történik módosítás, mert a Windows csak a bővítéseket dolgozza fel.
Csak azok a csoportok módosíthatók ezzel a házirenddel, amelyek szerepeinek a Restricted

Groups (korlátozott csoportok) házirendág Details ablakában, arra viszont nagyszerű módszert
nyújt, hogy megakadályozzuk, hogy egyes felhasznáJók erős jogosultságokkal rendelkező
csoportokat módosítsanak a rendszerükön.
A korlátozott csoportok házirendjének módosításához tegyük a következőket:
1. Indítsuk el a GPMC-t, majd kattintsunk az egér jobb gombjával a cél GPO-ra a bal oldali
ablaktáblában, és válasszuk az Edit menüpontot.
2. A csoportházirend-objektumok szerkesztőjében keressük meg a Computer Configuration,
Policies, Windows Settings, Security Settings elemet.
3. Kattintsunk az egér jobb gombjával a Restricted Groups ágra, és válasszuk az Add Group
lehetőséget a helyi menüből.
4. Kattintsunk a Browse gombra, és válasszunk egy tetszőleges csoportot a címtárban
jelenleg találhatóakból, majd kattintsunk az OK gombra.
5. Most kattintsunk a jobb gombbal az újonnan felvett csoportra, és válasszuk a Properties
pontot a helyi menüből.
6. Adjuk a csoporthoz tartozó felhasználókat a Members of this group listához, majd azokat
csoportokat, amelyek ezt a csoportot beágyazva tartalmazzák, a This group is a member
of (ez a csoport a következő csoportok tagja) felsoroláshoz. Mindkét művelethez az Add
gombot használhatjuk; a képernyőt a 6.24. ábra mutatja.
7. Ha készen vagyunk, zárjuk be az ablakokat az OK gombbal.
.Ad<L l
�. (a� l
r.n�
6.24. ábra
A korlátozott csoportokat felsoroló képernyő
A fájlrendszerre és a rendszerlefr6 adatbázisra vonatkozó házirendek

A Csoportházirendek segítségével a fájlrendszer objektumaira, valamint a rendszerleíró adatbázis
kulcsaira is beállíthatunk engedélyeket, és központi helyről vezérelhetjük az egyes fájlok, mappák
és rendszerleíró adatbázisbeli kulcsok hozzáférés-szabályozási listáit. Ha a módosítást tartományi
szinten végezzük el - ez kivételesen olyan változtatás, amelyet javasolt ezen a szinten megtenni -,
a rendszerleíró adatbázist a teljes hálózatban megvédhetjük az izgága felhasználóktól, ami egyér
telműen hasznos. A következő lépéseket végrehajtva vehetünk fel egy rendszerleíró adatbázisbeli
kulcsot, amelyet csoportházirenddel szeretnénk védeni:
Policies, Windows Settings, Security Settings, Registry elemet. Kattintsunk az egér jobb
gombjával a Registry ágra, és válasszuk az Add Key lehetőséget a helyi menüből.
3. Egyszerre egy rendszerleíró adatbázisbeli kulcsot vehetünk fel, és az egyes kulcsokra tet
szőlegesen alkalmazhatjuk a különféle jogosultságokat. A képernyőt a 6.25. ábra mutatja.
lt#i;@MS
-
--- ,�
Regfstf)':
-!tl-;b,"tli"'w."'-""'"',..
., �.,..,::t•r•:
1-tl � MA011NE
I±J ·�, USERS
Selocted key:
JcLAS�E.s�l()O
i T_ 6.25. ábra
A rendszerleíró kulcsok hozzáférés-szabályozó
képernyője
Ha fájlt vagy mappát szeretnénk csoportházirenddel védeni, a következő lépésekre lesz szükség:
Windows Server 2008

Policies, Windows Settings, Security Settings, File System elemet. Kattintsunk az egér jobb
gombjával a File System ágra, és válasszuk az Add File lehetőséget a helyi menüből.
3. A teljes könyvtárszerkezetben mozoghatunk, majd a kiválasztott fájlra tetszőlegesen al
kalmazhatjuk a különféle jogosultságokat. A képernyőt a 6.26. ábra mutatja.
Add this lile "' folder to the terrqliare:
6.26. ábra
A fájlrendszer hozzáférés-szabályozó képernyője
Miután kiválasztottuk a kívánt objektumokat, meg kell adnunk a hozzájuk tartozó jogosultsá
gokat, ahogy a 3. fejezetben láttuk. Miután meghatároztuk a megfelelő engedélyeket, a rendszer
felajánlja, hogy az új engedélyek öröklődési tulajdonságait is állítsuk be (lásd a 6.27. ábrát).
Group or user names:

�CREATOR OWNER
6.27. ábra
A fájlrendszer vagy a rendszerleíró adatbázis
védett objektumainak öröklődési beállításai
Ha a beállítás mellett döntünk, a jogosultságok alkalmazási módját is meg kell adnunk. Ha a fájl
vagy mappa biztonsági beállításait örökölhetővé tesszük, az új jogosultságokat rninden olyan
gyermekobjektum megkapja, amely nem rendelkezik kifejezetten meghatározott beállítással vagy
ACL-bejegyzéssel. Így a fában az egyénileg beállított jogosultságok megőrződnek, de az egyszerű-
en alapértelmezés szerint öröklött jogosultságokat automatikusan felülbíráljuk Ha úgy döntünk,

hogy a fájl vagy mappa, illetve annak almappái meglevő biztonsági beállításait inkább lecseréljük,
a gyermekmappák minden jogosultságát felülbíráljuk, beleértve a kifejezetten beállítottakat is.
Ha egyik említett módszerrel sem szeretnénk jogosultságokat alkalmazni, csak válasszuk a Prevent
the application of security policies to this file or folder and its subfolders (ne alkalmazzon biz
tonsági házirendeket erre a fájlra vagy mappára és annak almappáira) lehetőséget, így a gyermek
fájlokra és -mappákra az új házirendben meghatározott jogosultságok nem lesznek hatással.
lntelliMirror: szaftvertelepítés
Véleményem szerint a szaftvertelepítés lehetősége a Csoportházirendek egyik legnagyszerúbb
és leghasznosabb szolgáltatása, és ismerek jónéhány rendszergazdát, akik egyetértenek velem.
A Microsoftnak a Windows 2000-ben bevezetett IntelliMirror technológiáját használva a rend
szergazdák a Csoportházirendek segítségéve!, lekérő vagy közzétevő módszerrel végezhetik el
a szoftvertelepítési, majd a frissítési, az újratelepítési és a szoftvereltávolítási feladatokat, akár
általánosan, akár bizonyos feltételek teljesülése esetén. Az IntelliMirror ezenkívül intelligens
programjavítási szolgáltatásokat is kínál, így ha egy az IntelliMirror segítségével telepített
alkalmazás létfontosságú fájljai megsérülnek vagy törlődnek, a Windows átveszi az irányítást, és
kijavítja a hibát, hogy az alkalmazás rendesen el tudjon indulni, és helyesen működjön, ami
nagyon sok időt takarít meg nekünk.
A hálózatunkban kétféleképpen tehetünk közzé és telepíthetünk alkalmazásokat. Kieszthatunk

egy szoftvercsomagot, amely egy parancsikont helyez el a felhasználó Start menüjében, és betölti
a csomag elérhetőségét a számítógép rendszerleíró adatbázisába, vagy közzétehetjük az alkalma
zást, így a program a Vezérlőpult Add/Remove Programs (Programok telepítése/törlése) kisalkal
mazásán keresztül válik hozzáférhetővé. A felhasználó ezután a saját szája íze szerint, a neki
kényelmes időpontban telepítheti a szoftvert.
A kiosztá-hozzárendelő és a közzétevő módszerrel számítógépek és felhasznáJók számára is elér

hetővé tehetünk alkalmazásokat. Ha egy felhasználóhoz rendelünk egy csomagot, az alkalmazás
akkor települ a helyi rendszerre, amikor a felhasználó először futtatja azt. Azt is választhatjuk,
hogy az alkalmazás telepítésére akkor kerüljön sor, amikor a felhasználó bejelentkezik, bár ez
megnöveli a rendszerindításhoz szükséges időt, és lehet, hogy a felhasználó segítséget kér, mert
az hiszi, hogy valami baj van. A felhasználóhoz rendelt alkalmazások számítógépró1 számítógépre
követik a felhasználót a hálózaton, hogy mindenütt rendelkezésére álljanak. Ha számítógéphez
rendelünk csomagot, az alkalmazás a rendszer indításakor települ, mégpedig csak a házirendben
meghatározott számítógépre. Az alkalmazásoknak ugyanakkor nem feltétlenül kell követniük
a felhasználót, amerre jár. Ha az IntelliMirror közzétételi szolgáltatását használjuk, csak felhaszná
Jók számára tehetjük közzé a szoftvert, mert a számítógépek nem választhatják meg, hogy mikor
és hogyan telepítsenek programokat. A közzétett alkalmazások ezenkívül nem olyan hatékonyak,
mint a kiosztottak, és esetükben a javítási lehetőségek is korlátozottak.
Szoftverte/epítést nem végezhetünk helyi házirendek segítségéve!.

Megjegyzés
-JUI Windows Server 2008
Csomagprogramok
A prograrnak közzétételére és kiosztására a legegyszerübb módszert a Microsoft Installer
csomagok (MSI fájlok) használata jelenti. A2 Installer formátumba csomagolt alkalmazások egy
adatbázist tartalmaznak, amely leírja, hogy rnilyen módosításokat kell egyes fájlokon és rend
szerleíró adatbázisbeli kulcsokon végezni, utasításokat ad a szoftver korábbi vagy elavult válto
zatának eltávolítására, és egyetlen fájlban hordozza a Windows különféle változatain érvényes
telepítési módszereket. A2 MSI fájlok ezenkívül intelligens javítási képességekkel is rendelkez
nek, amelyeknek akkor vehetjük hasznát, ha a program valamelyik számítógépen megsérül, il
letve az alkalmazás eltávolítását és újratelepítését is elvégezhetjük velük. A2 IntelliMirrort és
a csoportházirend alapú szoftvertelepítést úgy tervezték, hogy az MSI csomagokat használó
alkalmazások telepítésében segítsenek.
Akkor sincs azonban minden elveszve, ha az adott programhoz nem áll rendelkezésre MSI
formátumú telepítő. Először is, használhatunk egy ZAP fájlt, ami akkor jön jól, ha a szaftverből
nincs közzétehető MSI csomagunk (a kiosztott alkalmazásokra ez nem érvényes). A ZAP fájl
nem más, mint az alkalmazás, a telepítőprogram és az alkalmazáshoz rendelt fájlkiterjesztések
leírása. A2 Adobe Acrobat Reader 5.0 ZAP fájlja például így fest:
Line l: [Application]
Line 2: FriendlyName = Adobe Acrobat Reader 5.0
Line 3: SetupCommand = \\deploy\adobe\rp505enu.exe
Line 4: DisplayVersion = 5.0
Line 5: Publisher = Adobe Corporation
Line 6: URL = http://www.adobe.com
Line 7:
Line 8: [Ext]
Line 9: PDF=
Néhány megjegyzés ezzel a ZAP fájllal kapcsolatban: a FriendlyName rész mutatja az alkalmazás
nevét, ahogy az megjelenik a Vezérlőpult Add/Remove Programs kisalkalmazásának ablakában
azokon a számítógépeken, amelyeken közzétesszük a csomagot; a Setup utasítás a csomagot
telepítő fájl hálózati elérési útját adja meg a Windows számára; rníg a többi címke-bár további
információkat adnak a változatról, a gyártóról, illetve a gyártó internetes címéről - elhagyható.
A programhoz társítandó fájlkiterjesztéseket az Ext rész sorolja fel; az egyes kiterjesztések után
egyenlőségjel áll.
A ZAP fájlok használatának van néhány hátránya. Először is, ami a legfontosabb, hogy rnivel
a ZAP fájlok csak közzétételnél használhatók, a számítógépekhez és felhasználókhoz rendelt
kiosztott alkalmazások hatékonyságát és intelligens javítási lehetőségeit elveszítjük. A ZAP fájlon
keresztül elérhetővé tett alkalmazások ezenkívül nem állíthaták be úgy, hogy automatikusan tele
püljenek az első használatkor, és nem is frissíthetjük vagy törölhetjük azokat Csoportházirendek
segítségéve!. Emellett a felhasználóknak megfelelő jogosultságokkal kell rendelkezniük a csomag
telepítő végrehajtható fájljának futtatásához és a forrásfájlok eléréséhez. A telepítés ráadásul nem
igazán automatizált: a felhasználónak valószínüleg meg kell majd adnia a célkönyvtárat, a telepíté
si beállításokat, és így tovább -márpedig ezt-ha csak lehetséges-el szeretnénk kerülni. V égül,
rnivel a telepítő ekkor nem kap olyan átfogó felügyeleti jogokat, mint az MSI telepítőcsomagok,
tömeges telepítésnél hibák és ütközések léphetnek fel, amelyekek el kell hárítanunk.
setup /r /setup.iss
Ha a ZAP fájlt használó módszer nem tetszik, használhatunk egy újracsomagoló eszközt is,
amilyen például a Veritas Wininstall LE vagy az InstallShield. Ezek az eszközök pillanatfelvételt
készítenek az érvényben levő rendszerbeállításokról, majd megkérnek, hogy telepítsük a becso
magoini kívánt szaftvert Arnikor a telepítés befejeződött, új pillanatfelvétel készül, ami rögzíti,
hogy mi változott a fájlrendszerben és a rendszerleíró adatbázisban, és megjelenik az észlelt
változások listája. Nézzük végig a listát, győződjünk meg róla, hogy az ott szereplő változások
a szaftver telepítésének és nem a Windows hibás viselkedésének köszönhetők, majd hagyjuk
jóvá a listát A szaftver ekkor létrehoz egy MSI fájlt, benne a programunk telepítőjével, illetve
a fájlrendszerben és a rendszerleíró adatbázisban végrehajtandó változtatások adatbázisávaL
Ezzel a módszerrel kihasználhatjuk az MSI telepítők hatékonyságát és helyreállítási képességeit,

nem úgy, rnint a ZAP fájlok esetében. Mindazonáltal az újracsomagoló eszközök némileg
nehézkesek, és bonyolult lehet több különböző rendszerre telepíteni a segítségükkel. Ennek
megkerülésére nincs igazán jó megoldás, hacsak nem szerzünk be egy MSI csomagot közvetle
nül a szaftver gyártójától, de a rugalmatlan ZAP fájlok és a gyártók valódi MSI csomagjai között
az újracsomagolás jó középutat jelent.
Ha még van egy példányunk a Windows 2000 telepítő CD-jéből, azon megtalálhat
Megjegyzés
juk a Wininstall LE korlátozottan felhasználható változatát. A Microsoft azonban vala
miért eltávolította ezt a programot a Windows ú jabb változataiból, ezért ha nincs Windows 2000-es
telepítőlemezünk, akkor sajnos nincs szerencsénk.
Telepftési példa
Ebben a részben lépésről lépésre végignézzük, hogy miként zajlik egy tényleges szaftvertelepítés
a Csoportházirendek segítségéve!, ha az alkalmazást közzététellel tesszük elérhetővé egy felhasz
náló számára:
1. Másoljuk az MSI fájlt és az egyéb szükséges állományokat egy megosztott hálózati mappá
ba. Lehet, hogy ehhez rendszergazdai jogok kellenek, amennyiben a szaftver ezt lehetővé
teszi. További információt a dokumentációban és a telepítési útmutatóban találhatunk.
A megosztott hálózati mappához a következő jogosultságokat kell beállítanunk:
•
Az Authenticated Users csoportnak olvasási jogot kell adnunk.
•
A Domain Computers csoportnak ugyancsak olvasási joggal kell rendelkeznie.
•
Az Administrators csoportnak Read, Change és Full Control jogosultsággal is
rendelkeznie kell.
2. A csoportházirend-kezelő konzol és az objektumszekesztő segítségével hozzunk létre
egy új csoportházirend-objektumot és nyissuk meg, vagy módosítsunk egy már meglevő
GPO-t, amelyet az adott szaftver telepítéséhez hoztunk létre.
-Jtl Windows Server 2008
3. A Group Policy Object Editorban keressük meg a User Configuration, Policies, Software
Settings ágat a bal oldali ablaktáblában.
4. Az egér jobb gombjával kattintsunk a Software Installation elemre, és válasszuk
a Package pontot a New menüből.
5. A Find File ablakban a Browse gomb segítségével keressük meg a megosztott hálóati
mappába másolt csomagot. Ebben a lépésben MSI és ZAP fájlt is választhatunk; ha egy
ZAP fájl mellett döntünk, gondoskodnunk kell róla, hogy a hozzá tartozó telepítőfájl
ugyanabban a mappában legyen, mint a ZAP fájl.
MMw Ha ZAP fájlt használunk, győződjünk meg róla, hogy a fájlban a SetupCommand
parancs arra a hálózati elérési útra mutat, amelyen a telepítőfájl található,
nem pedig a helyi elérési útra, másképpen a Windows helytelenül fogja lefordítani a fájl elérési útját,
és ha a szaftver nincs jelen ugyanazon a helyi elérési úton a cé/rendszereken, a telepítés meghiúsul.
6. A Deploy Software képernyőn válasszunk, hogy közzétenni (publish) vagy kiosztani

(assign) szeretnénk a szoftvert. (Az Advanced Publish and Assign lehetőséget, amely
lehetővé teszi, hogy a fájlok átalakításával módosítsuk a telepítés folyamatát, most
ugorjuk át. Erről a szolgáltatásról a fejezetben kicsit késóbb beszélünk majd.) A példa
kedvéért válasszuk a szaftver közzétételét.
7. Kattintsunk az OK gombra, így a Windows hozzáadja a szoftvert a házirendobjektumhoz,
és a címtárba menti.
Ha az alkalmazást kiosztással egy felhasználóhoz szeretnénk rendelni, természetesen ugyanezeket

a lépéseket kell követnünk, csak a 6. pontban a Publish helyett az Assign lehetőséget kell válasz
tanunk. Ha az alkalmazást számítógéphez szeretnénk rendelni, akkor is ezeket a műveleteket
végezzük el, de a 3. lépésben a User Configuration helyett a Computer Configuration ágat,
a 6. lépésben pedig a Publish helyett az Assign lehetőséget válasszuk.
Telepftési beállftások
A telepítés beállításait valószínűleg finomhangolni is szeretnénk. Ezt a szaftver tulajdonságabla
kán keresztül hajthatjuk végre: kattintsunk az egér jobb gombjával a szoftvercsomagra a Group
Policy Object Editorban, majd válasszuk a Properties menüpontot. A házirend tulajdonságablaka
a következő hat lapból áll:
General (általános)
Ezen a lapon a csomag nevét módosíthatjuk, ahogy az megjelenik az Add/Remove
Programs ablakban, valarnint megtekinthetjük a szaftver változatszámát, kiadóját, nyelvét
és hogy rnilyen rendszerre készült. A General lapot a 6.28. ábrán láthatjuk.
Deployment (telepítés)
A Deployment lapon a telepítés típusát és a rendelkezésre álló felhasználói műveleteket
határozhatjuk meg a szaftver számára. A Deployment Type mezóben választhatjuk ki, hogy
közzétenni vagy kiosztani szeretnénk az adott programot. A Deployment Options mezőben
az Auto-install this application by file extension activarion (az alkalmazás automatikus
telepítése a fájlkiterjesztés aktiválása esetén) négyzettel szabályozhatjuk, hogy települjön-e
a program, amikor a felhasználó a programhoz társított kiterjesztéssei rendelkező fájlt pró-
6. ortházirendek és az lntelliMirror
bál megnyitni. Választhatjuk az Uninstall this application when it falls out of the scope of
management (az alkalmazás eltávolítása, ha kikerül a felügyelet hatókörébó1) lehetőséget is,
amellyel azt adhatjuk meg, hogy el szeretnénk-e távolítani az alkalmazást, amikor a felhasz
náló vagy számítógép kikerül az aktuális csoportházirend hatókörébőL Ezenkívül bejelöl
hetjük a Do not display this package in the Add/Remave Programs control panel (a csomag
ne jelenjen meg az Add/Remove Programs vezérlőpulton) a jelölőnégyzetet, amivel egysze
rűen elrejhetjük az alkalmazás elérhetőségét (de a program ettó1 még települni fog, ha a fel
használó megnyit egy a programhoz társított kiterjesztéssei rendelkező fájlt). Az Install this
application at Jogon (az alkalmazás telepítése bejelentkezéskor) négyzettel azt tehetjük
lehetővé, hogy a számítógéphez rendelt alkalmazás telepítésére akkor kerüljön sor, amikor
egy felhasználó bejelentkezik a gépre, nem pedig rendszerindításkor, ami az alapértelme
zett viselkedés. Végül, az Installation user interface options (a telepítés felhasználói felületi
lehetőségeD mezóben a Basic választógombot bejelölve az alkalmazást az alapértelmezett
értékekkel telepítjük, így a fellusználói beavatkozás nagy részét kiküszöbölhetjük, míg
a Maximum választógombbal lehetőséget adunk a felhasználónak, hogy a telepítés során
beállításokat és utasításokat adjon meg. A Deployment lapot a 6.29. ábra mutatja.
11.0
English (United Stat.,.)

Intel
6.28. ábra
OK
A Generallap
Upgrades (frissítések)
Ezen a lapon azt adhatjuk meg, hogy az új csomag felülír-e már telepített csomagokat.
A felülírást a Required upgrade for existing packages (a meglevő csomagok frissítése
szükséges) jelölőnégyzetet bejelölve kötelezővé tehetjük. Az aktuális objektumban frissí
tendő csomagokat úgy adhatjuk meg, hogy az Add gombra kattintunk, majd megkeressük
a kívánt csomagot, az A Specific GPO (konkrét GPO) lehetőséget választva pedig tallózha
tunk az Active Directory-szerkezetben, és másik G PO-t, illetve szaftvercsomagot választha
tunk. Ezt követően dönthetünk, hogy eltávolítjuk a meglevő csomagot, és telepítjük
az újat, vagy csak frissítjük a régi csomagot. Az Upgrades lapot a 6.30. ábrán láthatjuk.
. ' - 11110 . ll "
Q'ijfi§�_iiieiii_l upgrades J
�
General Calegories l ModilicalÍQrl$ J SeCU<oy l
r D eplojoment t.vpe
c fublí!hed
t='. A§Signed
ployment options ��
lW!o'IW.a!ilhitaJ'PlicallP!) bjl file m.ensi'l!l:apJi'IB\k.n

Uninstall this application when it falls out of the scope of
management
Do not di�PtaY l!:-'•pa.cl<age Jn �heA'őtiiR"lJ'<'jll' t"ilfilil!• cott.(ol
p.ril!l
!n•M th10 appflbation '!t logpn
lostalkition use1 interface options��-.'
G li,_
r. Mal!imurrr
i>.dyanced...
6.29. ábra
OK Cancel
A Deployment lap
Ilii: • If "
General i Deployment [}!Jíii�iJI Calegories l Moálficalio[;il SeCU<oy l

.Eack.ages that this package wiU upgrade:
Pagkages in tha current GPO that wil upgrade this package:
6.30. ábra
OK Cancel
Az Upgrades lap
Gategories (kategóriák)
Ezen a lapon kategóriákat hozhatunk létre, amelyekkel rendezhetjük és szűrhetjük
a Vezérlőpult Add/Remove Programs kisalkalmazásában megjelenő alkalmazásokat.
A felhasználók könnyebben megtalálják a telepíteni kívánt közzétett alkalmazást, ha típus
szerint böngészhetnek, mint ha 100 lehetséges program listáján kellene áthámozniuk
magukat. Egy kategória felvételéhez csak az Add gombra kell kattintanunk, majd be kell
írnunk egy nevet a kategória számára. Miután felvettük a kategóriát, csomagokat adha
tunk hozzá; ehhez válasszunk egy kategóriát az Available caregories (elérhető kategóriák)
mezőből, majd kattintsunk a Select gombra, hogy a csomagot hozzáadjuk A műveletet
hajtsuk végre minden kategóriába sorolni kívánt csomag esetében. A Caregories lapot
a 6.31. ábra mutatja.
6. fejezet • A Csoportházirendek és az lntelliMirror IJf-
m••
General r De� j Upg<ades [�� Modilic<ltions j Security l
Seiect the categories under which this appJication will be listed in
Add/Removo P!Ogfams.
Ayailable categOfies;
Dl i! ...., ..
..,_.
.... . l
,",.,,..,
��o===-=•-J
6.31. ábra
OK
A Categories lap
Modifications (módosítások)
Az MSI alkalmazástelepítési eljárást úgynevezett átalakítófájlokkal (MST fájl) testre is
szabhatjuk A Modifications lapon több MST fájlt megadva gondoskodhatunk róla, hogy
a különböző felhasználók, csoportok és számítógépek egyéni változatot kapjanak az adott
szoftvercsomagbóL Ha egy G PO-hoz átalakítófájlt szeretnénk használni, kattintsunk az Add
gombra ezen a lapon, és keressük meg a fájlrendszerben az alkalmazni kívánt MST fájlt.
A dolognak két hátulütője van: az alkalmazást az Advanced Publish or Assign módszerrel
kell telepítenünk, amit akkor választhatunk ki, arnikor létrehozzuk a szaftvertelepítő GPO-t;
illetve ha egy MST-t alkalmaztunk, és a szaftvert telepítettük, módosítások hozzáadására és
eltávolítására többé nincs lehetőség. A Modifications lapot a 6.32. ábrán láthatjuk.
Mod{ICations or bansiorrns allow you to customize the package and are

appliedto the package ín the order shown ín the lollowíng list
Il
6.32. ábra
OK
A Modifications lap
Security (biztonság)
A Security lap nagyon hasonlít a Windows Server 2008 más objektumainak hozzáférés
szabályozási listáihoz. Itt olyan jogosultságokat határozhatunk meg felhasználók, számí
tógépek és csoportok számára, amelyek a GPO-nak a szaftvertelepítő csomagot leíró
részére vonatkoznak. Ezeket a beállításokat a fejezetben korábban bemutatott, biztonsági
csoportokon alapuló szűréssel együtt is alkalmazhatjuk, hogy korlátozzuk a GPO ható
körét. Egy házirend például, amely az Office programcsomagot számítógépekhez rendeli,
-JII Windows Server 2008
vonatkozhat csak az értékesítési részlegre, míg a Windows felügyeleti eszközeit közzéte
vő házirend csak a rendszergazdákra. Ha alkalmazásokat szeretnénk kiosztani számítógé
pek számára, itt fel kell vennünk a Domain Computers csoportot, hacsak nincs már egy
biztonsági csoportunk, amely tartalmazza a kívánt számítógépeket A Security lap
a 6.33. ábrán látható.
.-fl,... •r.'Ht• , ,.... ,.,� """ ,.... ...... r.r .=J

Ajjd... fiemove
l
fermi<sions !01 Autherllicated Use1s Allow D�
Fuli Control D D
Read � D
Write D D
Special Permissions � D
For special perroissions or for advanced settings.

elek Advanced.
6.33. ábra
OK
A Security lap
Amikor biztonsági csoportokon alapuló szűréssel telepítünk szoftvert, rnindig tartsuk észben
a biztonsági beállításokra vonatkozó alábbi irányelveket:
• Ha azt szeretnénk, hogy a házirend egy bizonyos biztonsági csoport minden tagjára érvé
nyes legyen, olyan biztonsági csoportokat hozzunk létre, amelyek csak azokat az objektu
mokat tartalmazzák, amelyeket be szeretnénk vonni a házirend hatáskörébe. Ezt követően
jelöljük ki a kívánt GPO-t a csoportházirend-kezelő konzol bal oldali ablaktáblájában,
jobboldalt a Scope lapon kattintsunk az Add gombra a Security Filtering lista alatt, és
vegyük fel a listára azokat a csoportokat, amelyekre nem szeretnénk alkalmazni a háziren
det, majd ellenőrizzük, hogy a csoport bekerült-e a listába.
• Ha nem akarjuk, hogy a házirend egy bizonyos biztonsági csoport minden tagjára érvé
nyes legyen, vegyünk fel rninden tagot egy csoportba, adjuk a csoportot az objektum
ACL-jéhez a GPO-t a GPMC-ben szerkesztve és az ACL-t a Group Policy Object Editorban
elérve, és állítsuk be a következő jogosultságokat a csoportra: Apply Group Policy: deny;
Read: deny. Így a házirend a csoport egyetlen tagjára sem lesz érvényes, függetlenül attól,
hogy milyen más csoportoknak a tagjai.
• Ha a csoporttagságnak (legalábbis egy adott csoportra vonatkozóan) nem szabad szere
pet játszania az adott házirend alkalmazásában, hagyjuk békén a jogosultságokat.
Ha fel szeretnénk frissíteni az emlékeinket a témáról, lapozzunk vissza a fejezet A csoportházi

rend-objektumok hatóköre című részéhez.
6. nnrth.hörantla�F és az lntelliMirror
Azt is meghatározhatjuk, hogy egy adott fájlkiterjesztéshez milyen sorrendben települjenek

az egyes alkalmazások, ami nagyon hasznos egy olyan hálózatban, ahol egy fájlkiterjesztéshez
több szaftvercsomagot rendeltek. Ehhez kattintsunk az egér jobb gombjával a Software rnstal
lation csomópontra a Group Policy Object Editorban (a bal oldali ablaktáblában), és válasszuk
a Properties menüpontot. Ez után váltsunk a File Extensions (fájlkiterjesztések) lapra, vá
lasszunk egy kiterjesztést a lenyíló listából, majd állítsuk be az egyes alkalmazások fontossági
sorrendjét - a legmagasabb prioritásútól a legalacsonyabb felé - az Up és Down gombokkal.
Ha a csoportházirendben csak egy alkalmazás társul a kiterjesztéshez, ez a lehetőség nem
érhető el, mivel nem állíthatunk fel fontossági sorrendet.
Az említett tulajdonságablak következő lapjain egyéb telepítési beállításokat is megadhatunk:
General (általános)
Ezen a lapon állíthatjuk be azt az alapértelmezett műveletet, ami az ehhez a GPO-hoz
adott új csomagokra vonatkozik (kiosztás, közzététel, vagy párbeszédablak megjelenítése,
amely megkérdezi, hogy melyik műveletet szeretnénk végrehajtani). Ezen kívül a felhasz
nálói felületre vonatkozó alapértelmezett beállításokat is megadhatjuk, valamint a GPO
hoz adott új csomagok alapértelmezett helyének elérési útját.
Advanced (speciális)
Ezen a lapon jelezhetjük, hogy el kell-e távolítani egy szoftvercsomagot, ha kikerül
a felügyeleti hatókörbőL Ezen kívül megengedhetjük a 64 bites Windows ügyfél-munka
állomásoknak, hogy 32 bites Windows-alkalmazásokat telepítsenek, és ezt a lehetőséget
kiterjeszthetjük a ZAP fájlokon keresztül telepített alkalmazásokra is.
Categories (kategóriák)
A Categories lapról korábban már szót ejtettünk.
Programok újratelepftése és eltávolftása

Ha egy MSI fájllal telepített szofvert javítócsomaggal kell frissítenünk, kihasználhatjuk az Intelli
Mirror újratelepítési szolgáltatásának képességeit. Egyszerűen másoljuk az új MSI fájlt és a hozzá
kapcsolódó állományokat a meglevő fájlokra a megosztott hálózati mappában, majd a csomag
telepítési beállításait tartalmazó GPO-n belül kattintsunk a csamagra az egér jobb gombjával
a Group Policy Object Editor részletablakában, válasszuk a Redeploy (újratelepítés) lehetőséget
az All Tasks menüből, és a Yes gombbal erősítsük meg a döntésünket Amikor az alkalmazást
először indítják el egy ügyfélszárnítógépen, az új MSI fog települni, függetlenül attól, hogy a cso
magot kiosztottuk vagy közzétettük.
Ugyanígy, ha törölnünk kell egy telepített programot, kattintsunk a csamagra a Group Policy
Object Editoron belül, és válasszuk a Remove parancsot az All Tasks menüből. Ekkor a 6.34. ábrán
látható ablak jelenik meg.
Választhatunk, hogy azonnal, kényszerítve töröljük a szoftvert, ami mindentől függetlenül eltá
volítja az alkalmazást, vagy egyszerűen levesszük az elérhető prograrnak listájáról, amivel a már
telepített példányok használatát nem akadályozzuk meg, csak azt, hogy új számítógépek is tele
pítsék a csoportházirend-rendszeren keresztül.
-JI:I Windows Server 2008
Select removal melhod:

r. f,;;me;j;ai�ürin.talthe>OfiWöieiiOiii\iS.;<-a;:.;n
�e��----�---------·-·-----1
r 8110Vol users to continue to use the soltware, but prevent
new installations:
OK Cancel 6.34. ábra

A Remave Software párbeszédablak
Javft6csomagok telepftése Csoportházirendek segftségével

A GPO-k IntelliMirror telepítési szolgáltatásain keresztül javítócsomagokat is terjeszthetünk
a Windows 2000, Windows XP, Windows Server 2003 és Windows Server 2008 rendszerekhez.
Ezzel nagy lépést tehetünk egy fárasztó és időrabló felügyeleti feladat kiküszöbölése felé.
A javítócsomagot kötelező telepítésre kioszthatjuk a számítógépeknek, vagy közzétehetjük azt
a felhasználók számára, akik így maguk választhatják meg, hogy mikor alkalmas az idő a javító
csainag telepítésére. Ha a javítócsomagot számítógépekhez rendeljük, csak annyit kell tennünk,
hogy egy GPO-t arra az UPDATE.MS!fájlra irányítunk, amely a Microsoft minden jelenlegi javító
csomagjának kibontott részében megtalálható. Ha viszont közzétesszük a javítócsomagot, létre
kell hoznunk egy ZAP fájlt, majd a szaftvertelepítő GPO-ból erre a ZAP fájlra kell hivatkoznunk.
(Emlékezzünk vissza: az MSI fájlok nem telepíthetők közzététellel.)
Ha egy javítócsomagot az IntelliMirror segítségével szeretnénk telepíteni, kövessük az alábbi

lépéseket:
1. Hozzunk létre egy megosztott terjesztési mappát a javítócsomag számára, majd csoma
goljuk ki a tartalmát ott. Az eljárás menete megtalálható a 2. fejezetben, de elolvashatjuk
a javítócsomag terjesztési fájljában található readme fájlokat is, ha további információkra
vagyunk kíváncsiak.
2. Ha a javítócsomagot közzétesszük a felhasználók számára, hozzunk létre egy ZAP fájlt,
amely a javítócsomag kibontott fájljait tartalmazó mappában található UPDATE.EXE
állományra mutat.
3. Hozzunk létre egy GPO-t a javítócsomag számára. Ez a lépés nem kötelező - a javítócso
magot az alapértelmezett tartományi vagy bármilyen más szintű házirend részeként is
kioszthatjuk -, de célszerű a szoftvertelepítést önálló GPO-kra bízni, hogy az esetleges
módosításokat könnyebben elvégezhessük.
4. A GPO Group Policy Object Editor ablakában keressük meg a Computer Configuration
vagy a User Configuration ág Policies, Software Installation elemét.
5. Kattintsunk az egér jobb gombjával a Software Installation elemre, és válasszuk
a Package pontot a New menüből.
6. Keressük meg a javítócsomag fájljainak hálózati elérési útját, és válasszuk vagy
az UPDATE.MS!fájlt (ha kiosztjuk a javítócsomagot a számítógépeknek), vagy a korábban
létrehozott UPDATE.ZAP fájlt (ha közzététellel terjesztjük a csomagot a felhasználóknak).
7. A Deploy Software párbeszédablakban válasszuk az Assigned (kiosztott) vagy a Published
(közzétett) lehetőséget.
A házirendet ezzel beállítottuk, és készen áll a javítócsomag kiosztására vagy közzétételére, a vá
lasztásunktól függően. Ne feledjük, hogy a javítócsomagok általában nagy méretű fájlok, ezért
csak akkor telepítsük őket, ha végiggondoltuk, hogy ez milyen hatással lesz a hálózati sávszéles
ségre, illetve hogy mennyi időbe telne helyben, az ügyfélszámítógépeken telepíteni a csomagokat.
Ezenkívül célszerű elkerülni a javítócsomagok automatikus telepítését a tartományvezérlók
' ön.
A tartományvezérlők érzékeny vadállatok, amelyek az Active Directory rendszerünk kulcsait őrzik:
a javítócsomagokat saját kezú1eg, egyenként telepítsük rájuk, és ellenőrizzük, hogy nincs-e káros
hatásuk.
Egy olyan környezetben, ahol több fájlkiszolgáló működik, az sem árt, ha a szoftver
Megjegyzés
telepítési pontokat egy elosztott fájlrendszerben (DFS) táro/juk. A DFS használatának
köszönhetően nem csak hibatűréshez jutunk, de a szoftvertelepítési pontok helyét is megváltoztathat
juk az elosztott fájlrendszeren keresztül, anélkül, hogy módosítanunk kellene a GPO beállításait.
Az elosztott fájlrendszerrel a 3. fejezetben foglalkoztunk részletesen.
lntelliMirror: mappa-átirányítás
A csoportházirend-rendszer mappa-átirányítási szolgáltatását használva számos mappa helyét
megváltoztathatjuk egy adott felhasználó Windowsának felületén. Egyéni helyet határozhatunk
meg például az Application Data, a Desktop (asztal), a Documents (Dokumentumok)- beleértve
a Pictures, Music és Videos almappákat is-, a Favorites (Kedvencek), a Contacts, a Downloads,
a Links, a Searches, a Saved Games és a Start Menu mappák számára. A mappa-átirányítás
a vándorló profilok okozta csúnya problémát- a súlyos hálózati forgalmi dugókat, amelyeket
a felhasznáJók bejelentkezésekor a hatalmas My Documents és Desktop mappáknak a hálózat
munkaállomásaira másolása okoz- is megoldja. Ezenkívül a megosztott meghajtóról, ahová
a mappákat átirányítjuk, a szokásos biztonsági mentési eljárással biztonsági másolatot is készíthe
tünk, ami automatikusan védelmet nyújt azok tartalmának.
!:!Desktop
íLl Start Menu
íLl Documents
C Pictures
(logon;\.og•i lU Music
Settings l � Videos
liat f#§$1j·@@@
� .............�
� Q Favorites
!B f))l Pofiey -based QoS lU Contacts
� lU Downloads
iB fO Internet Explor er
iB f:! Adminstrative Templat C Linlcs
!B .:J Preferences J li::j Searches
'
LU. Saved Games
6.35. ábra
A mappa-átirányítási felület
Windows Server 2008
A mappa-átirányítási szolgáltatás eléréséhez indítsuk el a kívánt GPO csoportházirendobjektum

szerkesztőjét, és keressük meg a User Configuration, Policies, Windows Settings, Folder Redirection
elemet. A jobb oldali ablaktáblában láthatjuk az átirányítható mappákat, amelyekre az egér jobb
gombjával kattintva előhívhatjuk a Properties ablakot. A felületet a 6.35. ábra mutatja.
A Target (cél) lapon választhatjuk ki az átirányítás típusát a házirend számára. A példa kedvéért
válasszuk a Basic lehetőséget, amellyel egyszerűen ugyanarra a helyre irányítjuk át az összes
felhasználó mappáit. Következő lépésként adjuk meg a célmappát a képernyő alján, a Root
Path (a gyökér elérési útja) mezőben, és válasszuk azt a lehetőséget, hogy új mappát hozunk
létre rninden felhasználó számára a gyökér alatt. Ezt követően váltsunk a Settings lapra, ahol
a következő beállítások közül választhatunk:
Grant the user exclusive rights to My Documents (kizárólagos jogok biztosítása a felhaszná
lónak a Dokumentumok mappához)
Ha ezt a beállítást bekapcsoljuk, a felhasználó, akihez a mappa tartozik, illetve a helyi
számítógép kizárólagos felügyeleti joggal fog rendelkezni a mappára, minden más objek
tumot kizárva. Ha a beállítást kikapcsoljuk, megtartjuk a mappára jelenleg érvényben levő
engedélyeket.
Move the contents of My Documents to the new location (a Dokumentumok mappa tartalmá-
nak áthelyezése) .
Ezt a beállítást bekapcsolva rninden, ami jelenleg a My Documents mappában található,
az új, átirányított helyre kerül. Ha ezt a lehetőséget kikapcsoljuk, semmit sem helyezünk
át, így az új My Documents mappa üres lesz.
Policy remavai (házirend törlése)
A Windows alapértelmezése az, hogy ha magát az átirányítási házirendet törlik, a mappa
az átirányított helyen marad, de ha szeretnénk, ilyen esetben a mappát visszahelyezhetjük
az eredeti helyére.
My Pictures preferences (a Képek mappa beállításai)
A My Pictures airnappára vonatkozó alapértelmezés az, hogy az almappa követi
a My Documents mappát, bárhol is legyen.
Mappák átirányftása csoporttagság alapján

Ha annak alapján szeretnénk néhány profilmappát más helyre átirányítani, hogy az egyes fel
hasznáJók mely csoportoknak a tagjai, válasszuk az átirányítási házirend tulajdonságablakának
Target lapján az Advanced lehetőséget. Arnikor kiválasztjuk az Advanced elemet az átirányítás
típusának megadására szolgáló lenyíló listából (lásd a 6.36. ábrát), majd áz Add gombra kattin
tunk, a Specify Group and Location (csoport és hely megadása) ablak jelenik meg.
Írjuk be egy biztonsági csoport nevét, majd adjuk meg a mappák hálózati elérési útját. Mindig
UNC útvonalat adjunk meg, még akkor is, ha a mappák a számítógépünkön helyben találhatók,
hogy a vándorló profilt használó felhasznáJók a megfelelő, abszolút elérési úttal meghatározott
mappákat lássák, ne pedig tévesen helyi, viszonyított útvonalat próbáljanak lefordítani. Ha készen
vagyunk, kattintsunk az OK gombra, majd ismételjük meg az eljárást annyiszor, ahány csoportról
szó van.
6. fejezet • A Csoportházirendek és az lntelliMirror 1f1-
Ha a felhasználóink ragaszkodnak a szokásaikhoz, azt is megtehetjük, hogy kikapcsoljuk
az Offline Files and Folders lehetőséget azon a megosztott meghajtón, ahol az átirányított map
pákat tároljuk Így a Windows akkor is testreszabott környezetet fog megjeleníteni, ha a hálózat
nem üzemel, és a megosztott meghajtó nem érhető el.
?lx
You can opecty the 1ocat1on of the Documer1o tolder.
Settng: 3
group membership of the usef>
n.. folder wil be redírected to difl..,....1ocations based on the security
.
c:\user.s\?.USERNAME%\Documerts
6.36. ábra
Mappák átirányítása csoporttagság alapján
Átirányftási házirend eltávolftása

Néha nem könnyű nyomon követni, hogy mi történik az átirányított mappákkal, ha úgy döntünk,
hogy törlünk egy átirányítási házirendet Valójában rninden attól függ, hogy rnilyen beállítást
adtunk meg az átirányított mappához tartozó házirend tulajdonságlapjának Settings lapján.
Ha azt választottuk, hogy házirend eltávolításakor visszairányítjuk a mappát a helyi felhasználói
profilhoz, és a helyi mappa tartalmának áthelyezése az új helyre engedélyezett, a mappa visszatér
az eredeti helyére, a tartalma pedig ugyancsak visszamásolódik oda, az átirányítási helyró1 azon
ban nem törlődik. Ha a mappa tartalmának új helyre történő áthelyezését letiltottuk, a mappa ak
kor is visszakerül az eredeti helyére, de a tartalma se nem másolódik vissza, se nem helyeződik át
teljesen az eredeti helyre. Ez azt jelenti, hogy a felhasználó nem lesz képes elérni az átirányított
mappa tartalmát a mappák felhasználói felületéről a héjban, egy UNC elérési úttal azonban hozzá
férhet a mappához, és kézi módszerrel kinyerheti annak tartalmát Ha úgy döntöttünk, hogy
a mappát az új helyén hagyjuk a házirend eltávolításakor is, a mappa és annak tartalma az átirá
nyítási helyen marad, ahol a felhasználó elérheti, függetlenül attól, hogy a mappa tartalmának
áthelyezését az új helyre engedélyeztük vagy letiltottuk
A mappa-átirányftás és a Windows rendszera ügyfelek

Ahogy a fejezetben korábban rámutattunk, a mappa-átirányítási házirendek nem frissül
nek a háttérben, arninek nyilvánvaló okai vannak - hogyan éreznénk magunkat például,
ha a My Documents mappánk hirtelen máshová mutatna? A mappa-átirányítási házirendek
a Microsoft tájékoztatása szerint aszinkron módon frissítődnek, a háttérben pedig csak
a szinkron frissítések engedélyezettek
A Microsoft a Windows XP-ben bevezette a gyors bejelentkezésre optimalizálás nevű szol

gáltatást, ami lehetővé teszi a felhasználónak, hogy sokkal gyorsabban találkozzon a beje
lentkezési ablakkal, mint a Windows 2000 rendszerű ügyfeleken. Ezt a gyorstárazott azo
nosítók teszik lehetővé, valamint az, hogy a rendszer nem vár a hálózati kapcsolat megte
remtésére. Amikor a rendszer kapcsolatot érzékel, a Csoportházirendek alkalmazása a várt
módon történik, de ez is aszinkron frissítés, ami azt jelenti, hogy a mappa-átirányítási házi
rendek alkalmazására ekkor sem kerül sor.
A gyors bejelentkezésre optimalizálást úgy tervezték, hogy normál (optimalizálás nélküli)

újraindítást eredményezzen, ha a számítógép a bejelentkezésekor és a tartományhoz való
csatlakozásakor egy GPÖ megváltozását észleli (a számítógép-beállítások esetében) két új
A gyors be
raindítás, illetve (a felhasználói beállítások esetében) két bejelentkezés között.
jelentkezésre optimalizálást ugyanakkor ki is kapcsolhatjuk, ha egy XP vagy Vista rendsze
rű géppel a Windows 2000-es ügyfelek viselkedését szeretnénk utánozni. Ehhez a Compu
ter Configuration\Policies\Administrative Templates\System\Logon\Always wa it for the
network at computer (a számítógép beállításai, házirendek, felügyeleti sablonok, rendszer,
bejelentkezés, mindig várja meg a számítógép hálózathoz csatlakozását) beállítást kell be
kapcsolnunk.
Szoftverkorlátozási házirendele
A szoftverkorlátozási házirendek segítségével egyes prograrnak végrehajtását szabályozhatjuk
Ez igen hasznos szolgáltatás a terminálkiszolgálókon, illetve a nyilvános állomásként üzemelő
számítógépeken, mert így a felhasználók csak adott szolgáltatásokat használhatnak, és nem
nyúlhatnak hozzá például a felügyeleti eszközökhöz, az internetes alkalmazásokhoz vagy
a segédprogramokhoz.
A Windows többféleképpen is képes azonosítani, hogy mely prograrnak használata korlátozott

vagy engedélyezett. Először is, használhat kivonatszabályokat, amelyeket úgy állít elő, hogy
meghatározza a prograrnak végrehajtható és egyéb állományainak jellernzőit, majd ezekből egy
algoritmikus kivanatot állít elő. A kivonat (hash) kitűnően alkalmas például az egyes program
változatok azonosítására, mert a kivonat értéke más lesz, ha az előállítása más fájlok alapján
történik (ami szinte bizonyos egy újabb programváltozat esetében). Másodszor, a korlátozás
megvalósítható tanúsítványszabályok alapján is, amelyek a programokat egy digitális aláíráson
keresztül azonosítják; ennek az engedélyezett parancsfájlok biztonságossá tételekor vehetjük
nagy hasznát. A Windows emellett az elérési út alapján is képes a szoftverazonosításra, illetve
annak az (Internet Explorerben megadott) internetzónának az alapján, ahonnan az adott szaft
vert letöltötték Végül, a Windows létre tud hozni egy olyan szabályt is, amely minden olyan
szaftvert elfog, amelyet nem határoztunk meg kifejezetten egy lista vagy valamilyen más szabály
6. N·nnnrth67iranrlek és az lntelliMirror
segítségéveL (A Csoportházirendek a böngészőkben végrehajtott prograrnak szabályozására

nem képesek, de az Internet Explorer helyzetén javított valamicskét a Windows XP Service Pack
2.) A Windows abban a sorrendben veti össze a programokat a szabályokkal, ahogy azok
a szoftverkorlátozási csoportházirend-objektumban szerepelnek, és ha egy programra egynél
több szabály vonatkozik, az a szabály fogja el a programot, amelyik a legkevésbé általános.
Kísértést érezhetünk, hogy egy olyan szabályt határozzunk meg, amely alapértelmezés szerint
megakadályozza a prograrnak futását, kivéve azokét, amelyeket kifejezetten megadunk egy
kivétellistán. Ez egyszerű megoldásnak tűnik, de valójában agyhalottá teszi a rendszert, hacsak
nem adjuk meg gondosan kivételként a Windows összes olyan végrehajtható állományát, amelyre
a felhasználóknak szükségük lehet, beleértve a felhasznáJók alkalmazásait is. A megoldás ezen
kívül azoknak a felhasználói bejelentkezési parancsfájljoknak is a lábára léphet, amelyek szüksé
gesek lehetnek a biztonságos környezet létrehozásához. Ha mégis az említett megoldás mellett
döntünk, mindenképpen alaposan teszteljünk minden korlátozó házirendet és kivétellistát egy
próbakörnyezetben, amikor pedig ténylegesen létrehozzuk a szoftverkorlátozási csoportházirend
objektumot, ne felejtsük el hozzáadni a Domain Administrators csoportot a GPO hozzáférés-sza
bályozási listájához, és kifejezetten megtagadni az Apply Group Policy jogosultságot a GPO-tól -
ez ugyanis lehetővé teszi a rendszergazdáknak, hogy kikapcsolják a házirendet, és ne zárják ki
magukat a rendszerből. Ha készen állunk a házirend elkészítésére, hajtsuk végre az alábbi
műveleteket:
1. Hozzunk létre egy-egy új GPO-t minden korlátozási házirend részére. Így könnyebben
kikapcsolhatunk egy házirendet, ha az túlságosan korlátozó lenne.
2. Válasszuk a Computer Configuration vagy User Configuration ágat, aszerint, hogy a korlá
tozásokat számítógépekre vagy felhasznáJókra szeretnénk alkalmazni, aztán keressük meg
a Policies, Windows Settings, Security Settings, Software Restrietion Policies (házirendek,
Windows-beállítások, biztonsági beállítások, szoftverkorlátozási házirendek) elemet.
3. Az egér jobb gombjával kattintsunk a Software Restrietion Policies elemre, és válasszuk
a New Software Restrietion Policy pontot a megjelenő helyi menüből.
4. Állítsunk be egy alapértelmezett azonosító szabályt: a bal oldali ablaktáblában kattint
sunk a Security Levels (biztonsági szintek) pontra, majd az egér jobb gombjával valame
lyik biztonsági szintre, és válasszuk a Set as Default (beállítás alapértelmezettként) lehe
tőséget a megjelenő helyi menüből.
5. Most hozzuk létre a tényleges szabályokat, amelyek elfogják azokat a programokat, ame
lyekre korlátozást szeretnénk kikényszeríteni. Kattintsunk az egér jobb gombjával
az Additional Rules (további szabályok) elemre a bal oldali ablaktáblában, és válasszuk
a New Certificate Rule (új tanúsítványszabály) lehetőséget a megkövetelni vagy leültani
kívánt tanúsítvány kijelölésével; a New Hash Rule (új kivonatszabály) pontot az engedé
lyezni vagy leültani kívánt fájl megadásával; a New Internet Zone Rule (új internetzóna
szabály) elemet annak a zónának a meghatározásával, amelyből engedélyezni vagy leültani
szeretnénk programokat; vagy a New Path Rule (új útvonalszabály) lehetőséget az engedé
lyezni vagy leültani kívánt fájl vagy rendszerleíró adatbázisbeli kulcs kiválasztásávaL
6. A jobb oldali ablaktáblában kattintsunk duplán az Enforcement (kényszerítés) elemre.
Itt adhatjuk meg, hogy miként szeretnénk ezeket a korlátozásokat érvényesíteni. Az alábbi
beállítások javasoltak:
-fjl Windows Server 2008
•
Az All software files except libraries (minden programfájl, kivéve a programkönyv
tárakat) segít, hogy elkerüljük a létfontosságú rendszerfájlok, illetve az alkalmazások
működéséhez fontos függvénykönyvtárak letiltását.
•
Az All users except local administrators (minden felhasználó, kivéve a helyi rend
szergazdákat) arra utasítja a Windowst, hogy a házirendet mindenkire alkalmazza,
kivéve azokat, akik a helyi rendszergazdák csoportjába tartoznak.
7. Következő lépésként a jobb oldali ablaktáblában kattintsunk duplán a Designated File
Types (kijelölt fájltípusok) elemre. Itt tekinthetjük át a szoftverkorlátozási házirendekben
szereplő alkalmazásokhoz társított fájlkiterjesztéseket, illetve adhatunk hozzájuk újabba
kat A listának nagyjából teljesnek kell lennie, de arról mindenképpen győződjünk meg,
hogy a hálózatunkon használt minden parancsnyelvnek megfelelő fájlkiterjesztés szerepel
a felsorolásban.
8. Végül, a jobb oldali ablaktáblában kattintsunk duplán a Trusted Publishers (megbízható
közzétevők) elemre. Itt azt adhatjuk meg, hogy a normál felhasználók, a helyi rendszer
gazdák vagy a vállalati rendszergazdák számára engedélyezett-e, hogy eldöntsék, mely
tanúsítványokban bíznak meg, amikor digitálisan aláírt programokat és vezérlőket nyit
nak meg.
Parancsfájlok
A Csoportházirendek segítségével teljes tartományokhoz, szervezeti egységekhez, telephelyekhez
és csoportokhoz is rendelhetünk parancsfájlokat, ahelyett, hogy egyenként belevennénk például
ugyanazt a bejelentkezési parancsfájlt több felhasználó profiljába. Csoportházirend-objektumok
használatával négyféle parancsfájlt indíthatunk el: be- és kijelentkezési parancsfájlokat, amelyek
felhasználókhoz tartoznak, illetve rendszerindítási és -leállítási parancsfájlokat, amelyek számító
gépekre vonatkoznak. A rendszerindítási parancsfájlok a bejelentkezési parancsfájlok, a kijelent
kezési parancsfájlok pedig a rendszerleállítási parancsfájlok előtt hajtódnak végre.
Parancsfájlokat számos nyelven írhatunk. A Windows Server 2008 elfogadja a ]Script (js) és
a Visual Basic Scripting Edition (.vbs) parancsfájlokat, valamint a kötegfájlokat (.bat), a lefordított
parancsprogramokat (.com) és a végrehajtható állományokat (.exe). A csoportházirendeken
keresztül futtatandó parancsfájlok a tartományvezérlők %SystemRoot%\SYSVOL\tartomány.com\
Policies\scripts könyvtárában tárolódnak, ahol a tartomány.com helyére egy teljesen minősített
tartománynevet kell írnunk.
Rendszerindítási és -leállítási parancsfájlokat az alábbi eljárással adhatunk meg a csoportházirend

kezelőben:
1. A Group Policy Object Editor bal oldali ablaktáblájában keressük meg a Computer
Configuration, Policies, Windows Settings, Scripts (Startup/Shutdown) elemet.
2. A jobb oldali ablaktáblában kattintsunk a Startup (indítás) és Shutdown (leállítás)
elemekre a hozzájuk rendelt parancsfájlok módosításához.
Ha bejelentkezési és kijelentkezési parancsfájlokat szeretnénk megadni, kövessük az alábbi

lépéseket a csoportházirend-kezelőben:
1. A Group Policy Object Editor bal oldali ablaktáblájában keressük meg a User
Configuration, Policies, Windows Settings, Scripts (Logon/Logoff) elemet.
2. A jobb oldali ablaktáblában kattintsunk a Logon (bejelentkezés) és Logoff (kijelentkezés)
elemekre a hozzájuk rendelt parancsfájlok módosításához.
Az említett parancsfájlokhoz további tulajdonságokat is meghatározhatunk a Group Policy Object

Editor Computer Configuration, Policies, Administrative Templates, System, Scripts, illetve
User Configuration, Policies, Administrative Templates, System, Scripts ágában. A felhasználói
parancsfájlok futtatására a következő beállításokat adhatjuk meg (lásd a 6.37. ábrát):
• Run legacy logon scripts hidden (régi típusú bejelentkezési parancsfájlok rejtett futtatása):
Ez a beállítás arra utasítja a Windowst, hogy ne jelenítse meg a DOS ablakot, amikor
.COM vagy .BATbe- és kijelentkezési parancsfájlokat futtat.
• Run logoff scripts visible (kijelentkezési parancsfájlok futtatása látható módon): Ezzel
a beállítással azt adhatjuk meg, hogy meg kell-e jeleníteni a kijelentkezési parancsfájlok
végrehajtásának műveleteit és eredményét a felhasználó számára.
• Run logon scripts synchronously (bejelentkezési parancsfájlok szinkron futtatása):
Ez a beállítás lehetővé teszi, hogy több parancsfájlt egyszerre, nem pedig az alapértelmezett
módon, egymás után futtassunk.
• Run logon scripts visible (bejelentkezési parancsfájlok futtatása látható módon): Ezzel
a beállítással azt adhatjuk meg, hogy meg kell-e jeleníteni a bejelentkezési parancsfájlok
��g�-�
��o-��na �t Editor______ __" �''7§'&'*'"
Computer Configuration
User Configuration
8 C Policies
r.±l � So.ftware: Settlngs l Run IOQOff SCJl>ts v!sible
1±1 � Wndows Settings
Run logon scripts syndvonously
8 :;:d Admnstrotive Terni
RLn logon '"""'-
1±1 C Conb'oiPOI'lei
1±1 Lj Desktop
1±1 l:! Network
Ü Shared Folders
LJ Start M<r1J and
8 Lj System
bl Ctri+Aitffi!
LJ Oriver Ins�
íZ3 Folde" Redu
fi:::l GroupPoliq
1±1 b;Jl Intemet Co
Lj Loeole Serv
D lo9on
l:! Perfonnane
Ü Pow"'
ü
l:!
!U
ü
6.37. ábra
A bejelentkezési és k1j'elentkezési parancsfájlok beállításai
l
A számítógép által futtatott parancsfájlok számára az alábbi beállítások állnak rendelkezésre

(lásd a 6.38. ábrát):
• Allow logon scripts when NetBIOS or WINS is disabled (bejelentkezési parancsfájlok

engedélyezése, ha a NetBIOS vagy a WINS nem engedélyezett): Ez a beállítás arra utasítja
a Windowst, hogy attól függően, hogy engedélyeztük-e a régi NetBIOS és WINS névsé
mákat, futtassa-e vagy figyelmen kívül hagyja a bejelentkezési parancsfájlokat
• Maximum wait time for Group Policy scripts (a Csoportházirendek parancsfájljainak
maximális várakozási ideje): Ezzel a beállítással azt határozhatjuk meg, hogy mennyi időt
adhat a Windows a csoportházirendekben megadott parancsfájlok futtatására, mielőtt
egyszerűen megszakítaná őket, és folytatná a korábbi folyamat végrehajtását.
• Run logon scripts synchronously (bejelentkezési parancsfájlok szinkron futtatása):
Ez a beállítás lehetővé teszi, hogy - számítógépenként, nem pedig felhasználónként -
több parancsfájlt egyszerre, nem pedig az alapértelmezett módon, egymás után futtassunk
• Run shutdown scripts visible (rendszerleállítási parancsfájlok futtatása látható módon):
Ezzel a beállítással azt adhatjuk meg, hogy meg kell-e jeleníteni a rendszerleállírási
parancsfájlok végrehajtásának műveleteit és eredményét a felhasználó számára.
• Run startup scripts asynchronously (rendszerindítási parancsfájlok aszinkron futtatása):
Ez a beállítás lehetővé teszi, hogy több parancsfájlt adjunk meg, és azokat egymás után,
nem pedig az alapértelmezett módon, egyidejűleg futtassuk
• Run startup scripts visible (rendszerindítási parancsfájlok futtatása látható módon): Ezzel
a beállítással azt adhatjuk meg, hogy meg kell-e jeleníteni a rendszerindítási parancsfájlok
í:J Crederitials
lll Cl Device lnslj;
.:l Disk N\! Ca�
E:2 Disk Quota�
lll í:J Distributed
!Lj Driver Ins
Ej FolderRedio
i±J C Gr�Polk'
r±J C Internet Co
lll c:J iSCSl
c::J KDC
1:1 Kerberos
Ld Locale Serv '
QLogon
í±l [!l Ne:t Logon
í:J NTFS Füesy
Cl Perfurmanc
i±l C PowerMan.:
::,j RemoteAS!
IL] Remote Pro
C Removable
O Pl!ll!l!l
!id Server
6.38. ábra
Parancsfáj/-beállítások
6. rendek és az lntelliMirror
A telepítéssei kapcsolatos megfontolások

Ebben a fejezetben sokat tanultunk a Csoportházirendek mú'Ködéséró1. A Csoportházirendek rend
szere mögött azonban nem csak varázslat húzódik meg: megfelelő használatuk igazi művészet.
A Csoportházirendek használatakor számos tényezőt kell figyelembe vennünk - ebben a részben
áttekintjük ezek közül a legfontosabbakat, és tanácsokat adunk arra nézve, hogy (általánosságban)
miként alkalmazhatjuk a csoportházirendeket a leghatékonyabban a hálózatunkban.
Először is, a Default Domain Policy (alapértelmezett tartományi házirend) csoportházirend-ob

jektumban ne legyenek különleges kivételek. Ne feledjük, hogy ez a házirend csak az egész
tartományra, vagyis minden számítógépre kiterjedő beállítások megadására szolgál, nem pedig
arra, hogy egyéni házirendek millióinak kezdőpontja legyen. Ne alkalmazzunk különböző beál
lításokat erre a házirendre, hogy aztán azt várjuk, hogy az öröklés megakadályozása és
a biztonségi csoportok segítségével végzett szűrés korlátozza a beállítások hatókörét- a hibael
hárítás szempontjából ugyanis ez valóságos rémálom. Ehelyett hozzunk létre önálló csoporthá
zirend-objektumokat, amelyeket különböző tároJókra alkalmazunk, amelyekben a módosítások,
még ha a GPO-k bizonyos tulajdonságai le is tiltják azokat, nem olyan átfogóak és messzire
kiterjedő hatásúak.
Ezen kívül részesítsük előnyben a sok kisebb GPO használatát a néhány naggyal szemben.
A feldolgozási idő ugyan nő, de nem jelentősen, viszont egyértelműen előnyös, hogy a GPO-k
hatókörét sokkal könnyebben megállapíthatjuk az egyes számítógépeken, ha kisebb, csupán
néhány objektumra ható csoportházirend-objektumokat alkalmazunk.
Alakítsunk ki olyan elnevezési rendszert a csoportházirend-objektumaink számára, ami világos

és kellően leíró jellegű. Nemigen van rosszabb annál - különösen a Csoportházirendek hibáinak
elhárítása során- mint amikor egy "Office" nevű házirendet látunk, és nem tudjuk, hogy azt ha
tározza meg, hogy ki telepítheti a Microsoft Office-t az IntelliMirroron keresztül, vagy azt, hogy
ki nem juthat hozzá az Office-hoz, vagy arra utal a neve, hogy a GPO az iroda (office) munkaál
lomásainak biztonsági beállításait tartalmazza, és nem a gyártóüzemét. Természetesen javasolt
egy biztonságos helyen dokumentálni is, hogy minek milyen nevet adtunk, mert az emlékeze
tünk rnindig a legrosszabbkor szakott kihagyni.
A címtárunk szerkezetét okosan tervezzük meg. Az egyes szervezeti egységekben külön-külön

objektumok töltsék be ugyanazt a szerepet, és a hálózat különféle felhasználóit helyezzük külön
böző szervezeti egységekbe. Válasszuk el az ügyfél-munkaállomásokat a kiszolgáló számítógé
pektó1, és különböztessük meg a normál felhasználókat a kiemeit felhasználóktól és rendszergaz
dáktól egy logikus címtárrendszeren keresztül. Ez jelentősen megkönnyíti a csoportházirend-ob
jektumok hatékony telepítését, és így nem kell túlságosan támaszkodnunk az öröklés fekete
"
mágiájára". Ugyanakkor arról is gondoskodnunk kell, hogy a rendszerben elegendő hely legyen
a kivételeknek egyes ügyfelek lehetnek kiszolgálók, és egyes kiszolgálók is lehetnek ügyfelek,
ezért az a legjobb, ha felkészülünk a különleges esetekre. Ezenkívül próbáljunk sekély Actíve
Directory-szerkezeret kialakítani, hogy elkerüljük, hogy a beágyazott szervezeti egységekre sok
szintnyi házirend vonatkozzon.
Windows Server 2008
Emellett célszerű a címtárat megvizsgálni felmérni, hogy miként használhatunk különböző szer
vezeti egységekben elhelyezett csoportokat arra, hogy a biztonsági csoportokon alapuló szűrés
segítségével finomítsuk a csoportházirend-objektumok hatókörét. Azzal, hogy a csoportokat
bizonyos szervezeti egységekben helyezzük el, világosabban jelezhetjük a szerepüket és azono
síthatjuk a tagjaikat, és mivel a házirendek hatókörét szűkítjük, lefaraghatunk a feldolgozási és
alkalmazási idóből. Hasonló okokból azt is érdemes megvizsgálni, hogy miként használhatjuk
a WMI-szűrést a meglevő csoport- és szervezetiegység-szerkezeten belül, és hogy milyen módo
sításokkal növelhetjük az RSoP és a házirendek alkalmazásának hatékonyságát.
Ó, és ne felejtsük el dokumentálni a csoportházirend-objektumainkat és a kapcsolódó hivatko

zásokat Mi mást is mondhatnánk még?
A csoportházirendekkel kapcsolatos hibák elhárítása

Néha idegesítően nehéz lehet megállapítani, hogy mi a baj a csoportházirendekkel, és miért nem
azt csinálják, amit szeretnénk. A probléma gyökerének felkutatására kövessük az alábbiakban
javasolt lépéseket
A DNS-hibák elhárítása
A DNS-hibák az egész hálózatot sújthatják, és szinte lehetetlenné tehetik a csoportházirend-ob
jektumok alkalmazását. A probléma elsősorban a tartományba való bejelentkezés követelményé
vel kapcsolatban jelentkezik: a DNS nélkül is elképzelhető, hogy egy tartományvezérlő hitelesít
minket, de a csoportházirend-objektumok egyszerűen nem fognak működni. Ennek az az oka,
hogy a csoportházirend-objektumoknak különféle SRV-bejegyzésekre van szükségük ahhoz,
hogy tudják, melyik számítógépen rnilyen felügyelendő szolgáltatás található. Ha a csoportházi
rendek nem működnek, itt érdemes kezdeni a keresést.
Az öröklés elemzése
Ha tapasztalt hálózati szakemberek vagyunk, bizonyára jól ismerjük az öröklés fogalmát
Az öröklés szintén buktatót jelenthet a Csoportházirendek számára, ugyanis van néhány beállí
tás, amellyel óvatosan kell bánnunk. Az első a No Override (nincs felülbírálás), ami semmi mást
nem csinál, csak leállírja az összes csoportházirend-objektum feldolgozását az alatt az objektum
alatt, amelyikre ezt a beállítást bekapcsoltuk Ugyancsak vigyáznunk kell a Block Inheritance
(az öröklés letiltása) szolgáltatással, amely ennek az ellenkezőjét teszi, vagyis azoknak a csoport
házirend-objektumoknak a feldolgozását szünteti meg, amelyek magasabban találhatók a GPO-k
feldolgozási hierarchiájában. Itt is érvényes az a szabály, hogy mindig tudnunk kell, mit állítunk
be, és megfelelően dokumentálnunk is kell a beállításokat - a hibaelhárítás azonban még így is
sok-sok órát emészthet fel.
GPO-k közzététele és összehangolása

A másik kérdés, arnire ügyelnünk kell, a csoportházirend-objektumok közzététele és összehan
golása. A közzététel és az összehangolás egyaránt a Windows belső változatkövető rendszerére
támaszkodik, amely a Csoportházirendek két részének egyedi változatait követi nyomon: a GPC-t,
ami egy adott szervezeti felépítéshez társul az Active Directory-ban, illetve a csoportházirend
sablont, ami egy fájl a tartományvezérlők C:\ WINDOWS\SYSVOL\Policies könyvtárában. Ezeket
általában a PDC-utánzó szerepét betöltő tartományvezérlő teszi közzé az adott tartomány többi
tartományvezérlője számára, de ha a változatkövető rendszer hibás vagy valamilyen módon

sérült, a közzététel nem biztos, hogy teljesen befejeződik, de az is megtörténhet, hogy egyáltalán
nem kerül rá sor. A Windowsnak része néhány eszköz, amelyeknek a segítségével kihalászhatjuk
a nem szabványos GPO-kat: ilyen eszköz a GPOTOOL, a REPLMON és a korábban már tárgyalt
GPMC. Nézzük meg az érintett tartományvezérlők naplóit, hogy rögzítettek-e olyan hibákat,
amelyek alapján meghatározhatjuk a probléma okát. A csoportházirend-napJókra alább még
részletesebben is visszatérünk.
Azzal sem árt tisztában lennünk, hogy mikor kerül sor a csoportházirend-objektumok közzététe
lére, kiolvasására és alkalmazására. A fejezet korábbi részében rámutattunk, hogy a Windows
az új GPO-kat 90 percenként teszi közzé a munkaállomásokon és az egyszerű tagkiszolgálókon,
és 5 percenként a tartományvezérlól<:ön. Ez azonban csak az új vagy módosított csoportházirend
objektumokra vonatkozik. Ha a Csoportházirendek nem változtak meg, a Windows semmit nem
tesz közzé, hacsak saját kezűleg el nem indítjuk a közzétételt, akár a parancssorból, akár egy
másik rendszerszintű GPO-n keresztül, amely attól függetlenül közzéteszi a házirendeket, hogy
azok megváltoztak-e. Tehát ne feledjük, hogy a csoportházirend-rendszer nem feltétlenül javítja
ki a helyi beállításokat; erre csak akkor kerül sor, ha a tartományi csoportházirend-objektum
módosul, vagy ha magunk kényszerítjük ki a frissítést.
Részletesebb naplók
A csoportházirend-objektumok hibáinak hatékonyabb elhárításához bekapcsolhatjuk a részletes
naplózást, amely több adatot szalgáltat a GPO-k lekérési módjáról, illetve az egyes objektumokra
való alkalmazásukróL Ehhez módosítanunk kell a rendszerleíró adatbázist azon az ügyfélen,
amelyiken a hibaelhárítást végezzük. A rendszerleíró adatbázis szerkesztőjében keressük meg
a HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NI\CurrentVersion\ Winlogon kulcsot,
válasszuk a REG_DWORD típusú UserenvDebugLevel alkulcsot, és módosítsuk az értékét
Ox10002-re. Ez után indítsuk újra a rendszert, hogy a módosítás biztosan életbe lépjen. Ezt kö
vetően a rendszer minden GPO-tevékenységet rögzíteni fog a %SystemRoot%\Debug\Usermode
könyvtárban található userenv.log fájlban.
Ehhez hasonlóan az alkalmazás-eseménynaplóba történő közvetlen naplózást is engedélyezhet

jük. Ehhez a rendszerleíró adatbázis szerkesztőjében keressük meg a HKEY_LOCAL_MACHINE\
Software\Microsoft\ Windows NI\CurrentVersion\Diagnostics kulcsot, válasszuk a DWORD
típusú RunDiagnosticLoggingGroupPolicy alkulcsot, és módosítsuk az értékét l-re azon
az ügyfélen, ahol a hibaelhárítást végezzük. A módosítás érvényre juttatásához indítsuk újra
a rendszert, és a GPO-tevékenységek bekerülnek az alkalmazásnaplóba.
Az ügyféloldali bővítményele GUID-jének meghatározása

A mappa-átirányítással, a szoftvertelepítéssel és más ügyféloldali nehézségekkel kapcsolatos
problémák okának felkutatásában hasznos lehet, ha meghatározzuk az ügyféloldali bővítmények
(client-side extension, CSE) globálisan egyedi azonosítóit (GUID) az egyes számítógépeken.
Az ügyféloldali bővítmények egyszerűen a felhasználói felület különböző területeihez tartozó
GPO-k "kategóriái". Az összeset megtekinthetjük egyetlen helyen, a rendszerleíró adatbázis
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NI\CurrentVersion\ WinLogon\
GPE:xtensions kulcsa alatt.
-J1•1 Windows Server 2008
Néhány fontosabb ügyféloldali bővítmény szokványos GUID-jét megtaláljuk a 6.1. táblázatban,
ami segít, hogy azonosítsuk a naplófájlokban talált információkat.
6.1. táblázat Ügyféloldali bővítmények szokványos GUID-azonosítói

CSE GUID
Application Management C6DC5466-785A-11D2-84DO-OOC04FB169F7
(Alkalmazás-felügyelet)
Folder Redirection (Mappa-átirányítás) 25537BA6-77A8-11D2-9B6C-00004F8080861
IP Security (IP-biztonság) E437BC1C-AA7D-11D2-A382-00C04F991E27
Scripts (Parancsfájlok) 42B5FAAE-6536-11D2-AE5A-0000F87571E3
Security (Biztonság) 827D319E-6EAC-11D2-A4EA-00C04F79F83A
GPT fájlok keresése a tartományvezérlókön

Különböző okokból - például hogy felderítsük, mi a gond az elérhető GPO-k továbbadásával
a tartományunk munkaállomásaira- előfordulhat, hogy meg szeretnénk vizsgálni a GPT-k cím
társzerkezetét, bizonyos GPO-kat keresve. Ehhez először ki kell nyernünk a házirend GUID-jét,
majd meg kell találnunk a házirendhez tartozó fájlokat tároló mappát
Ahhoz, hogy az Actíve Directory-n belül egy adott házirendet egy tartományvezérlő megosztott
SYSVOL mappájában konkrét GPT fájlokhoz kapcsolhassunk, először meg kell keresnünk annak
az Actíve Directory-tárolónak a GUID-jét, amelyre a GPO vonatkozik. A GPMC segítségével
jelöljük ki a megfelelő csoportházirend-objektumot, majd a jobb oldali ablaktáblában válasszuk
a Details lapot, és másoljuk ki onnan a GUID-t Ezt követően nyissuk meg az Explorert, és
ugorjunk a \\tartománynév.com\sysvol címre, ami a legközelebbi tartományvezérlő megosztott
SYSVOL mappáját nyitja meg. Nyissuk meg a Policies alkönyvtárat, majd azt a mappát, amelynek
a neve megfelel a GPMC-ben kiválasztott GPO globálisan egyedi azonosítójának
Szerencsére ezt valószínűleg nem kell gyakran végrehajtanunk, mert a Csoportházirendek felülete
és közzétételi módszerei a Windows Server 2008-ban rugalmasak és hatékonyak. Mindazonáltal
ha mégis szükség lenne rá, itt megtalálhatjuk az információt.
Egyéb csoportházirend-kezelő eszközök

Fontos megjegyezni, hogy számos külső gyártású eszköz áll rendelkezésre, amelyek segítenek
a csoportházirend-objektumok kezelésében, hatókörének és hatásának meghatározásában, illetve
alkalmazásában. Lássunk közülük néhányat:
FAZAM
A FAZAM nyomon követi a csoportházirend-objektumok változásait, változatkövetést
nyújt a GPO-khoz, lehetővé teszi, hogy az új vagy módosított csoportházirend-objek
tumokat csak tesztelés és jóváhagyás után bocsássuk üzemi környezetbe, kiküszöbölve
az üzemi környezetben végrehajtott módosítások kockázatát, kezeli az egyidejú1eg több
felhasználó által végrehajtott változtatásokat, és bővíti a GPO-k felügyeleti jogainak
átruházásával kapcsolatos lehetőségeket. Egyesek szerint azonban ez az eszköz nem
működik együtt jól a Windows 2000-rel, és csak a Windows Server 2003 és kés6bbi
rendszereken teljes értékű. A FAZAM-ot megtaláljuk a http://www2fullarmor.com/
solutions/group címen.
Net!Q Group Policy Administrator
A NetiQ Group Policy Administrator a változat- és kiadáskezelést kezeli, hogy könnyebben
nyomon követhessük a GPO-k módosítását, létrehozását és törlését, és b6víti a lehet6sége
inket a változások és a GPO-telepítés elméleti modellezésének és elemzésének terén ahhoz
képest, amit a Windows Server 2008 kínál. A NetiQ Group Policy Administrator elérhet6
a http://www .netiq.com!products/gpa/default.asp címen.
Quest ActíveRo/es
A Quest AeriveRoles a kezd6 rendszergazdákat segíti abban, hogy biztonságosan hajtsanak
végre módosításokat az Active Directory lényeges elemein, beleértve a csoportházirendeket
is. A Quest AeriveRoles elérhet6 a http://www .quest.com/jastlane!activeroles/ címen.
Miel6tt lezárnánk a fejezetet, szót kell még ejtenünk a Csoportházirendek két legnépszerűbb
parancssori felügyeleti eszközér61. Bár mindkét segédprogramot említettük már a fejezet korábbi
részében, nem árt, ha egy kicsit részletesebben is áttekintjük a működésüket.
GPUpdate
A GPUPDATE frissíti az egyes számítógépeken vagy az Active Directory-ban tárolt csoportházi
rend-beállításokat A használata meglehet6sen egyszerű. Ha az éppen használt munkaállomáson
szeretnénk frissíteni a csoportházirend-beállításokat, csak adjuk ki agpupdate parancsot önma
gában:
gpupdate
A/ target kapcsolóval egyaránt megcélozhatjuk a számítógép-, illetve a felhasználói beállításo

kat. Ha a kapcsolót kihagyjuk, a számítógép-beállítások és a felhasználói beállítások frissítésére is
sor kerül. A számítógép-beállításokat így frissíthetjük az aktuális gépen:
gpupdate /target:computer
Ha ki szeretnénk kényszeríteni a csoportházirend-beállítások frissítését, a l force kapcsolót

használhatjuk
gpupdate /target:computer /force
Végül, kijelentkezést, illetve újraindítást is kikényszeríthetünk a /logoff és a /boot kapcso

lókkal:
gpupdate /logoff
gpupdate /boot
GPResult
A GPRESULT egy felhasználóra vagy számítógépre alkalmazott összes házirend listáját és a számí
tógépnek vagy felhasználónak helyet adó szervezeti egységeket és telephelyeket adja vissza,
illetve még sok más információt. A távoli számítógépeknek legalább Windows XP vagy Windows
Server 2003 rendszert kell futtatniuk ahhoz, hogy a GPRESULT pontos információkat szolgáltasson.
-1fl Windows Server 2008
A munkaállomásunkra éppen bejelentkezett felhasználó fiókját használva egyszerű jelentést
kaphatunk, ha a parancsot önmagában, kapcsolók nélkül adjuk ki:
gpresult
Lássunk is egy példát arra, hogyan fest egy ilyen jelentés:
Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
Copyright (C) Microsoft Corp. 1981-2001
Created On 5/9/2005 at 12:15:16 PM

RSOP data for R2TEST\Administrator on R2B2SRV1 : Logging Made
OS Type: Microsoft(R) Windows(R) Server 2003, Enterprise Edition

OS Configuration: Primary Domain Controller
OS Version: 5.2.3790
Terminal Server Made: Remote Administration
Site Name: Default-First-Site-Name
Roaming Profile:
Local Profile: C:\Documents and Settings\Administrator
Connected over a slow link?: No
COMPUTER SETTINGS
CN=R2B2SRVl,OU=Domain Controllers,DC=r2test,DC=corp,DC=hasselltech,DC=local
Last time Group Policy was applied: 5/9/2005 at 12:12:31 PM
Group Policy was applied from: r2b2srvl.r2test.corp.hasselltech.local
Group Policy slow link threshold: 500 kbps
Domain Name: R2TEST
Domain Type: Windows 2000
Applied Group Policy Objects
Default Domain Controllers Policy

Default Domain Policy
The follawing GPOs were not applied because they were filtered out
Local Group Policy

Filtering: Not Applied (Empty)
Turn off System Restore

Filtering: Denied (Security)
The computer is a part of the follawing security groups
BUILTIN\Administrators
Everyone
BUILTIN\Pre-Windows 2000 Compatible Access
BUILTIN\Users
Windows Authorization Access Group
NT AUTHORITY\NETWORK
NT AUTHORITY\Authenticated Users
This Organization
R2B2SRV1$
Domain Controllers
NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS
USER SETTINGS
CN=Administrator,CN=Users,DC=r2test,DC=corp,DC=hasselltech,DC=local
Last time Group Policy was applied: 5/9/2005 at 12:02:32 PM
Group Policy was applied from: r2b2srvl.r2test.corp.hasselltech.local
Group Policy slow link threshold: 500 kbps
Domain Name: R2TEST
Domain Type: Windows 2000
Applied Group Policy Objects
Default Domain Policy
The follawing GPOs were not applied because they were filtered out
Local Group Policy

Filtering: Not Applied (Empty)
Turn off System Restore

Filtering: Disabled (GPO)
The user is a part of the follawing security groups
Domain Users
Everyone
BUILTIN\Administrators
BUILTIN\Users
BUILTIN\Pre-Windows 2000 Compatible Access
NT AUTHORITY\INTERACTIVE
NT AUTHORITY\Authenticated Users
This Organization
LOCAL
Domain Admins
Group Policy Creator Owners
Ha a GPRESULT segítségével például a JH-WNXP-LTP távoli munkaállomás jhassell nevű

felhasználójáról szeretnénk információkat kapni, a következő parancsot kell kiadnunk
gpresult /s JH-WNXP-LTP /USER jhassell
Ugyanígy, ha az R2TEST tartományban a 192.168.1.120 című távoli munkaállomás !johnson

nevű felhasználójáról szeretnénk információkat kapni, erre a parancsra lesz szükségünk:
gpresult /s 192.168.1.120 /USER R2TEST\ljohnson
Ha a parancsot kiegészítjük a /V kapcsolóval, nem csak összegzést, hanem részletesebb naplót

kapunk, a /Z kapcsolóval pedig még ennél is részletesebb naplózást (vagyis még több informá
ciót) kérhetünk. Ha csak a számítógép-házirendekre vagyunk kíváncsiak, a l z mellett adjuk
meg a l SCOPE MACHINE kapcsolót, ha pedig csak a felhasználói házirendeket akarjuk látni,
a l SCOPE USER-t. A GPRESULT kimenetét a DOS szokványos > átirányító műveleti jelével egy
szövegfájlba is átirányíthatjuk
-Hl Windows Server 2008
Zárszó
A Csoportházirendek rugalmas és központosított módszert adnak arra, hogy egységes felületet
és biztonsági beállításokat biztosítsunk a teljes hálózat számára. A fejezetben részletesen tárgyalt
biztonsági házirendek és az lntelliMirror technológia használatán keresztül csökkenthetjük a fel
ügyeleti feladatok ránk nehezedő terhét, és elérhetjük a nirvánát.
A következő fejezetben a Windows Server 2008 legnépszerűbb biztonsági szolgáltatásait

vesszük tüzetesen szemügyre, és megvizsgáljuk, hogy rniként tehetjük a számítógépeinket és
a hálózatunkat ellenállóbbá a támadásokkal szemben.
A Windows biztonsági beállításai és
a javítócsomagok kezelése
A Windows biztonsági szolgáltatásainak már teljes könyveket szenteltek. Ezek olyan kérdésekkel
foglalkoztak, hogyan tegyünk biztonságossá Windows kiszolgálókat és ügyfeleket, billentyűzet
és manitor nélkül beállított gépeket, terminálokat, webkiszolgálókat, és így tovább. Ebben a feje
zetben bemutatunk néhány hasznos eszközt, amelyekkel a Windows Server 2008 biztonsági
szolgáltatásait kezelhetjük és automatikussá tehetjük. Ezen kívül utalni fogunk olyan biztonsági
beállításokra, amelyek a legtöbb megrendelő számára hasznosak lehetnek.
Hogy minél több lehetőséget be tudjunk mutatni, nem térünk ki részletesen a Windowsban talál
ható összes biztonsági szolgáltatásra. Olyan sok beállítás azonos a különböző környezetekben,
hogy az tűnt a legjobb megoldásnak a könyv szempontjából, ha széles áttekintést nyújtunk
a biztonsági házirendek kezeléséhez szükséges eszközökről, valamint néhány, a biztonságot
nagy mértékben növelő általános beállításról, ez után pedig engedjük az Olvasót, hogy maga
fedezze fel a Windows biztonsági tulajdonságait.
A biztonsági megfontolások alapjai

A legtöbb kis- és középvállalatnak több dolgot is szem előtt kell tartania, arnikor a szárnítógép
parkja biztonsági kérdéseivel foglalkozik. Az alábbiakban bemutatunk ezek közül néhányat:
• A cégnek több kiszolgálója is van, amelyeken különböző és egymástól független háziren

deket alkalmaznak. Nehéz következetesnek és elegendően szigorúnak lenni egy bizton
sági házirenddel, ha több géppel rendelkezünk, amelyek eltérő feladatokat látnak el, és
különböző biztonsági követelményeket támasztanak.
• A hálózat régebbi operációs rendszereket és alkalmazásokat használ. A régebbi prograrnak
és rendszerek gyakran olyan programozási eljárásokkal készültek, amelyek a fejlesztésük
idején elég biztonságosak voltak, de ma könnyen támadás áldozatává válhatnak. Nehéz fel
adatot állít elénk, hogy ezek a régebbi felületek megfelelő módon támogatottak legyenek,
és emellett védettek legyenek az állandó biztonsági fenyegetésekkel szemben.
•
Néhány piaci terület és hivatás szarosan kapcsolódik jogi kérdésekhez, adatvédelemhez
és ezek jogi következményeihez. Például az amerikai egészségbiztosítási törvény (Health
Insurance Portability and Accountability Act, HIPAA) az adatbiztonságot és -megőrzést
érintő kihívásaival az informatikai osztályok dolgozóit is "boldogította". A törvénykezés
tehát bizonyos helyzetekben a biztonsági házirend megváltoztatását is szükségessé teheti.
•
Elképzelhető, hogy hiányos a helyszínen a fizikai védelem. Ez pedig bármilyen, általunk
tervezett számítógépes biztonsági rendszer alapját képezi. Minden dugába dől, ha valaki
nek sikerül meglépnie a tartományvezérlőveL
• A cégek technikai feladatokat ellátó alkalmazottai biztonsági kérdésekben szerzett
gyakorlata hiányos lehet. A biztonsági házirend megtervezése és megvalósítása türelmet
és szakértelmet követelő kihívás. Ennek a két tulajdonságnak a hiánya fájdalmas követ
kezményekhez vezethet, de természetesen ez a fejezet segíthet az utóbbin.
•
Nem kizárható, hogy- belső, külső vagy netán véletlen- fenyegetések kárt okozhatnak
a rendszerünkben vagy a rajta tárolt értékes adatokban. Vegyünk például egy hurrikánt.
Mi történik, ha fosztogatók elviszik a biztonsági másolatokat a bank területi fiókjából,
amelynek a falai összedőltek a viharban? Milyen dolgokat művelhetnek a tolvajok ezekkel
az adatokkal?
•
V égül a leggyakrabban előforduló eset: korlátozottak a pénzügyi és személyi erőforrások,
hogy a cég biztonságos megoldásokat valósíthasson meg.
Természetesen ezek közül nem rnindegyik igaz rninden vállalkozásra, de elég valószínű, hogy
mind olyan akadály, amellyel a legtöbb cég találkozhat. Ebben a fejezetben költséghatékony
megoldást kínálunk a legtöbb akadályra.
A kiszolgálók biztonsági elvei

A kiszolgálók biztonsága a CIA-elv alapján építhető fel, amely a 7.1. ábrán látható.
Bizalmasság Rendelkezésre állás

7.1. ábra
A CIA-elv kiszolgálókkal szemben
támasztott követelményei
A CIA-elv az adatok biztonságát a bizalmasság (C, confidentiality), a sértetlenség (I, integrity) és

a rendelkezésre állás (A, availability) követelményeiben látja. A bizalmasság fogalma annyit jelent,
hogy az adatok védettek, és csak azok férhetnek hozzájuk, akik erre jogosultak. A sértetlenség azt
takarja, hogy az adatokat előzetes azonosítás nélkül nem lehet megváltoztatni. A rendelkezésre
állás arra vonatkozik, hogy az adatokhoz folyamatosan hozzá lehet férni, vagy legalábbis a lehető
leggyakrabban. A CIA-elv követelményeit szem előtt tartva a kiszolgálók egy sor különböző
szintű biztonsági szolgáltatását megvizsgálhatjuk A bizalmasság, sértetlenség és rendelkezésre
állás megvalósításának legsikeresebb módja a rétegzett megközelítés. Ez csökkenti annak
7. feiezet • A Windows b beállításai és a .;""rtr."""""""""
az esélyét, hogy a támadó sikerrel járjon, és növeli annak a valószínűségét, hogy leleplezzék.
A rétegzett megközelítés hét réteget foglal magába, amelyek mindegyike rendelkezik a saját,
védelemhez szükséges módszerével és eszközével:
Az adatok szintje
Az adatszintű védelem az adatokon végrehajtott, ártó szándékú módosítás ellen véd. Ezen
a szinten hozzáférés-szabályozási listákkal (ACL-ekkel) és titkosított fájlrendszerekkel
védekezhetünk. A CIA-elv által javasolt háromszögből itt a bizalmasság és sértetlenség
valósul meg.
Az alkalmazások szintje
Az alkalmazásszintű védelem az egyes programokat védi a támadástól. Ez a biztonsági
szint magába foglalja maguknak a programoknak a biztonságossá tételét, a forgalmazótól
származó biztonsági frissítések telepítését, a vírusirtó prograrnak alkalmazását és
a rendszeres víruskeresést Itt a sértetlenség és a rendelkezésre állás valósul meg a CIA
elv három követelményéből.
A számítógép szintje
A gépszintű védelem a számítógépet és az operációs rendszert védi a támadástól, ami kö
zel teljes mértékben lecsökkenti az adatok és alkalmazások szintjén kifejtett támadások
esélyét. A gépszintű védelem magába foglalja magának az operációs rendszernek a biz
tonságossá tételét (ami ennek a fejezetnek az elsődleges célja), a javítócsomagok kezelé
sét, a hitelesítést, az azonosítást, a felhasználói fiókok kezelését és az állomás feltörését
érzékelő rendszereket Ezen a szinten a sértetlenség és a rendelkezésre állás valósul meg
a CIA-elv három követelménye közül.
A belső hálózat szintje
A szervezet hálózata a következő szint, amely a belső hálózat határán átjutott vagy a há
lózatot lehallgató betörők ellen véd, akik magasabb biztonsági szinttel védett területekre
akarnak bejutni. A védelmi lehetőségek ezen a szinten a hálózat alhálózatokra osztását,
az IP-biztonság (IP Security, IPSec) alkalmazását és a betörést érzékelő rendszerek telepí
tését foglalja magában. Ezen a szinten megvalósul mindhárom adatbiztonsági követel
mény: a bizalmasság, a sértetlenség és a rendelkezésre állás.
A belső hálózat határa
A helyi hálózat gépei a belső hálózat határán keresztül csatlakoznak az egyéb külső háló
zatokhoz, amilyenek például a cég más fiákirodái vagy az Internet. A belső hálózat hatá
ra a tűzfalakat, a virtuális magánhálózatok karanténba helyezését és a telefonvonalon ke
resztül biztosított hozzáférést foglalja magába. Ezen a szinten is megvalósul mindhárom
követelmény: a bizalmasság, a sértetlenség és a rendelkezésre állás.
A fizikai biztonság szintje
A fizikai védelem az ingatlan védelmét foglalja magában, ahol a vállalkozás működik.
Őrök, zárak és térfigyelő rendszerek tartoznak ehhez a biztonsági szinthez. A CIA-elv ál
tal felállított adatbiztonsági háromszögből itt a bizalmasság és a sértetlenség valósul meg.
A házirendek, a munkafolyamatok és a felhasználói tudatosság szintje
Ez a szint azt foglalja magába, hogy a felhasznáJók megtanulják, hogy az informatikai
rendszerekkel hogyan lehet megfelelő, elfogadható és elfogadhatatlan módon bánni.
Ezen a szinten is megvalósul a CIA-elv mindhárom szempontja: a bizalmasság, a sértet
lenség és a rendelkezésre állás.
A Windows lezárása
A többfelhasználás rendszerek önmagukban is biztonsági rést jelentenek. A legegyszerubb
rendszereket, amelyeket csak egyetlen személy használ, a legkönnyebb biztosítani, mert az al
kalmazások változatossága sokkal kisebb, mint több felhasználó esetén. Sajnos az informatikai
rendszerek nagy része több felhasználói fiók meglétét követeli meg, ezért a következő részben
néhány megszívelendő lehetőséget mutatunk be, hogy a Windows rendszerünket- amelybe
beletartozik a Windows Server 2008 és a hozzá kapcsolódó munkaállomásokon futó operációs
rendszerek is- hogyan zárjuk le.
Jelszóházirendek
A hosszú jelszavak biztonságosabbak Ennyi. Mint bizonyára feltételezzük, hosszabb jelszavak
esetén több kombinációs lehetőséget kell végigpróbálni, ha a gépet nyers erővel vagy nyolc
karakternél rövidebb, hétköznapi szavakat használó, szótár alapú támadással akarják feltörni.
Hasonló okokból azok a jelszavak sem biztonságosak, amelyeket sokáig nem változtatnak meg.
A legtöbb felhasználó vonakodva változtatja meg a jelszavát, amikor a rendszergazda erre kéri
őket, néhány felhasználói fióknak (nevezetesen az Administrator és a Guest- Rendszergazda és
Vendég- fióknak) azonban soha nem változik a jelszava, arnitől könnyen támadás célpontjává
válhatnak.
Számolva ezekkel a veszélyekkel, érdemes megfontolnunk néhány alapvető követelményt a jel

szavakra vonatkozóan. Hogy beállítsuk minden munkaállomáson és a Windows Server 2008-at
futtató tagkiszolgálókan ezeket a megszorításokat, kövessük a következő lépéseket:
1. Nyissuk meg az MMC-t, és keressük meg a Local Security Policy (Helyi biztonsági házi
rend) beépülő modult. Ezt általában a Start, Ali Programs, Adrninistrative Tools (Start,
Minden program, Felügyeleti eszközök) útvonalon érhetjük el.
2. A Security Settings (biztonsági beállítások) ponton belül keressük meg az Account
Policies (fiókházirend) elemet.
3. Kattintsunk a Password Policy (jelszóházirend) elemre.
4. Engedélyezzük a Passwords must meet complexity requirements (a jelszónak meg kell
felelnie a bonyolultsági feltételeknek) beállítást.
5. A Minimum password length (legrövidebb jelszó) legyen elegendően hosszú- nyolc
karakter hosszúság ajánlott. (Bár meg kell jegyeznünk, hogy a 14 karakternél hosszabb
jelszavakat előnyben részesítjük, viszont ezzel jelentős ellenállásba ütközünk a felhasz
nálók részéről.)
6. A Maximum password age (jelszó maximális élettartama) beállításánál ne legyünk
engedékenyek: 90 nap ajánlott.
Ugyanezt megtehetjük a csoportházirendeken keresztül, ha kiválasztjuk a megfelelő GPO-t

(Group Policy Object, csoportházirend-objektum), és betöltjük a Group Policy Object Editort
(csoportházirendobjektum-szerkesztőt), ahogy azt a 6. fejezetben tárgyaltuk Jegyezzük meg,
hogy a tartomány jelszóházirendjének módosítása a csoportházirenden belül rninden gépet
érinteni fog. A beállítás módja azonos marad a Group Policy Object Editorhoz képest.
7. • A Windows beállításai éS a i>IHÍtnr<:nm>�nnk
Pontosan szabályozott jelszóházirend

A Windows Server 2008-ban újdonság, hogy a különböző felhasználóknak személyre szabott
jelszóházirendet állíthatunk be. Többé nincs szükség új tartományok létrehozására, ha különböző
felhasználókra eltérő jelszóházirendet akarunk alkalmazni. A Windows Server 2008 lehetővé teszi,
hogy a globális biztonsági csoportokban lévő felhasználói fiókokhoz egyedi jelszóházirendet
rendeljünk. Ennek használatához ki kell elégíteni néhány előfeltételt, amelyek a következők:
•
A tartomány működési szintjének Windows Server 2008-nak kell lennie.
•
Tartományi rendszergazdai jogosultsággal kell rendelkeznünk, hogy a jelszóházirendet
beállíthassuk, de ezt a jogot másra is átruházhatjuk
•
Ki kell alakítanunk a PSO-t (Password Settings Object, jelszóbeállítás-objektum).
Mi az a PSO? A Password Settings Object a tartományra nézve egyedi Password Settings

Contameren (jelszóbeállítás-tároló) belül helyezkedik el. A PSO különböző jellemzőkkel rendelke
zik, amelyek viszont különböző értékeket vehetnek fel például jelszó- és fiókzárolási házirend
esetén. Megadhatunk követelményeket a bonyolultságra és élettartamra nézve, megadhatjuk
a maximális sikertelen belépési kísérletek számát az egyes kilépések előtt, és így tovább. A PSO
egyes felhasználói fiókokhoz vagy csoportokhoz köthető, valamint ezekhez a fiókokhoz több
PSO-t rendelhetünk. A jelszavak finomhangolt kezelésének engedélyezése vagy a PSO-hoz való
hozzáférés engedélyezése nem teljesen egyszerű. Sajnos az Active Directory mélyére kell ásnunk,
hogy ezt a támogatást elő tudjuk csalogatni. Mielőtt azonban hozzákezdenénk, ajánlott biztonsági
másolatot készíteni a rendszerrőL Íme a lépések:
1. A Start menü keresőjébe írjuk be, hogy adsiedit, majd kattintsunk az ablak tetején
megjelenő ADSI Edit hivatkozásra.
2. Az egér jobb gombjával kattintsunk a bal oldali ablaktáblában az ADSI Edit elemre, majd
a megjelenő menüből válasszuk a Connect to pontot.
3. A Connection Settings (kapcsolat beállításai) párbeszédablakban kattintsunk az OK gombra.
4. Az ADSI Edit bal oldali ablaktáblájában az első csomópont után bontsuk ki a Default
naming context (alapértelmezett névkörnyezet) pontot, és kattintsunk a CN=System elemre.
5. A jobb oldali ablaktáblában az egér jobb gombjával kattintsunk a CN=Password Settings
Container elemre és a megjelenő New menüből válasszuk az Object pontot.
6. A megjelenő Create Object képernyőn válasszuk ki az egyetlen lehetséges osztályt
(msDSPasswordSettings), és kattintsunk a Next gombra.
7. Ez után néhány, inkább rejtélyesnek tűnő ablakon kell keresztüljutnunk, amelyek jellem
zőket tartalmaznak. Ezeknek a jellemzőknek kell értéket adnunk. Tegyük fel, hogy csak
a rendszergazdákra vonatkozó jelszóházirendet akarunk létrehozni. A 7 .l. táblázatban
találhatók ezek a jellemzők, majd néhány, a példánk szempontjából fontos érték, és
végül egy magyarázat, hogy az adott érték rnit jelent pontosan. Menjünk végig minden
ponton, és írjuk be a beviteli mezőkbe a kívánt értékeket.
8. Kattintsunk a Finish gombra a párbeszédablakban.
9. Ha kibontjuk a CN=System elemet a bal oldalon, majd a CN=Password Settings Container
elemre kattintunk, látni fogjuk a PasswordPolicyAdrnins házirendet, amit épp az imént
hoztunk létre.
�j1•1 Windows Server 2008
Ettó1 kezdve csak annyi a teendőnk, hogy az új házirendet a Felhasználók és csoportok különböző
kombinációihoz rendeljük:
1. Az ADSI Editoron belül kattintsunk az egér jobb gombjával a PSO-ra, és válasszuk

a Properties (Tulajdonságok) pontot, majd a megnyíló ablakban a Filter gombot.
2. Válasszuk ki a következőket: Mandatory (kötelező), Optional (nem kötelező),
Constructed (felépített), Backlinks (visszacsatolások) és System-only (csak rendszer).
Győződjünk meg róla, hogy a Show only attributes that have values (csak az értékkel
rendelkező jellemzők jelenjenek meg) pont ne legyen kiválasztva.
3. Kattintsunk az Attribute Editor fülre, és keressük meg az msDS-PSOAppliesTo elemet.
4. Válasszuk ki az msDS-PSOAppliesTo elemet, majd kattintsunk az Edit gombra az ablak bal
alsó sarkában.
5. A Multi-valued Distinguished Name with Security Principal Editor ablak megjelenése után
kattintsunk az Add DN (megkülönböztető név felvétele) gombra, és írjuk be azoknak
a biztonsági csoportoknak, felhasználóknak vagy ezek kombinációjának nevét, amelyeket
az új jelszóházirend érint. Megkülönböztető nevet kell alkalmaznunk, amely a tároló
nevének LDAP-változata. Annyi bejegyzést hozhatunk létre, amennyit szeretnénk.
Most létrehoztuk és beüzemeltük az új házirendünket, amely a megfelelő biztonsági csoportot

szűri (7.l. táblázat).
7 1 táblázat
. . Jellemzők, ezek értékei és leírásuk (figyeljünk a mínuszjelekre)
Jellemző Érték Leírás
Cn PasswordPolicy A házirendünk neve. Próbáljunk
Adrnins beszédes nevet adni.
rnsDS-PasswordSettings 10 Mint az AD példányosítása, ez is

Precedence egy "ráfordítás". Ha a jelszóháziren
dek ütköznek, meg lehet határozni,
hogy melyik jelszót lehet használni
(a kisebb szám élvez elsőbbséget,
és nagyobb eséllyel lehet használni
ütközés esetén).
rnsDS-PasswordReversible False A jelszavak megfordítható módon

EncryptionEnabled legyenek titkosítva?
rnsDS-Password 32 A jelszavak száma, amit

HistoryLength a Windows Server 2008 tárolni tud.
rnsDS-Password True A Windows Server 2008 bonyolult

CornplexityEnabled nak ítélt jelszavakat követeljen meg
a felhasználóktól?
rnsDS-Minirnum 16 A karakterek rninirnális száma

PasswordLength a jelszavakban.
rnsDS-Minirnum -864000000000 A jelszó rninimális élettartama.

PasswordAge Az érték egy napot jelöl.
7. feiezet • A Windows b beállításai és a i<:>uftfu.. <-nm<:>
7.1. táblázat Jellemzők, ezek értékei és leírásuk (figyeljünk a mínuszje/ekre)
Jellemző Érték Leírás

rnsDS-Maximum -36288000000000 A jelszó maximálisan megenged
PasswordAge hető élettartama. Az érték 42 napot
(6 hetet) jelöl.
rnsDS-LockoutThreshold 30 Érvénytelen jelszóval tett próbálko
zások száma, mielőtt a felhasználói
fiók átmenetileg le lenne tiltva.
rnsDS-Lockout -18000000000 Az az idő, amennyit a rendszer vár,

ObservationWindow hogy az érvénytelen próbálkozások
számlálóját újraindítsa. Az érték
6 percet jelöl.
msDS-LockoutDuration -18000000000 Az az idő, ameddig a felhasználó le
van tiltva, ha érvénytelen jelszóval
próbálkozott belépni. Az érték
6 percet jelöl.
Még egy utolsó megjegyzés a jelszavakkal kapcsolatban: bátorítsuk a felhasználókat,

Megjegyzés
hogy jelmondatokat, és ne jelszavakat haszná/janak. Ez egy nagyszerű lehetőség,
hogy legalább 74 karakter hosszúságú jelszavakat haszná/janak, de mégis könnyedén meg tudják
jegyezni a kódjukat Javaso/hatjuk, hogy olyasmit haszná/janak, mint például "A kutyám neve Mol!yt",
ahelyett, hogy például ,Jsx8q6sv8qtr3r" lenne a je/szavuk. Mondjuk meg a felhasználóinknak, hogy
a jelmondatukat úgy gépeljék be a jelszóbeviteli mezőbe, mintha a Microsoft Wardbe vagy más
hagyományos szövegszerkesztőbe gépe/nének. A Windows ezt elfogadja, és valószínűbb, hogy
a felhasználóink emlékezni fognak rá.
Fi6kzárolási házirendek
Létezik egy régóta ismert módja annak, hogy jogosulatlanul próbáljanak meg belépni egy
rendszerbe. Ehhez a következők szükségesek:
• Egy jól ismert felhasználónév (például "admin").

• Egy ismeretlen, de logikus jelszó (péládul "admin").
•
A lehető leggyorsabban ismételni a próbálkozásokat, minden alkalommal más jelszót
használva ugyanahhoz a felhasználónévhez.
A Windows az ilyen jellegű támadásokat a fiókzárolási házirenddel tudja megakadályozni. Ennek

segítségével egy bizonyos számú sikertelen belépési próbálkozás után meghatározott időre záralja
az adott felhasználói fiókot.
A fiókzárolási házirend beállításához kövessük a következő lépéseket:
1. Nyissuk meg az MMC-t, és nyissuk meg a Group Policy Object Editort egy megfelelő
GPO-val, vagy indítsuk el a Local Security Policy beépülő modult.
2. A Security Settings ponton belül keressük meg az Account Policies elemet.
3. Kattintsunk az Account Lockout Policy (fiókzárolási házirend) elemre.
4. Az Account lockout threshold (fiókzárolási küszöb) elemet állítsuk egy elfogadhatóan
kis számra. Három sikertelen belépési kísérlet ajánlott.
5. Az Account lockout duration (fiókzárolás időtartama) és a Reset account lockout after
(fiókzárolási számláló nullázása) elemeket állítsuk 15 percre. Ez a beállítás segít a táma
dásoknak ellenállni, de nem bünteti túlságosan azokat a felhasználókat, akik egyszerűen
csak folytonosan félregépelnek
tások csak akkor érvényesek, ha a számítógép nincs bejelentkezve egy tartományba.
Helyi beállítási lehetőségek

Az újabb Windows-felületek lehetővé teszik, hogy a felhasználói fiókok védelmét a tartományi
szintű biztonsági beállításokkal szervezzük meg, de bizonyos jogokat és beállításokat helyi szinten
kezeljünk. Számos beállítási lehetőség csak kis mértékben fokozza a védelmünket, így ebben
a részben csak a hat leghatékonyabb lehetőséget fogjuk megnézni, amit a helyi biztonsági házi
rendben beállíthatunk.
Az itt javasolt védelmi szolgáltatások mindegyikét az MMC Local Security Policy beépülő modul
jának Security Options pontján keresztül érhetjük el. Ezt a beépülő modult általában a Start, All
Programs, Administrative Tools útvonalon érhetjük el. A megfelelő elem eléréséhez keressük
meg a Computer Configuration elemet, majd válasszuk ki a Windows Settings, Security Settings
pontokon belül a Local Policies elemet. Itt kattintsunk a Security Options elemre. Ekkor a jobb
oldali ablaktáblában különböző beállítási lehetőségek jelennek meg. A következő utasítások azt
feltételezik, hogy elindítottuk a beépülő modult, és megkerestük a megfelelő pontot.
Névtelen felhasznál6k hozzáférése

A Windows számos megosztáshoz és fájlhoz biztosít hozzáférést a névtelen (felhasználói név és
jelszó nélküli) felhasznáJók számára. Természetesen ez egy biztonsági rés. A megfelelő ACL-en
belül kifejezetten megadva hozzáférést adhatunk fájlokhoz és könyvtárakhoz a névtelen
felhasználói fiók jogainak beállításával. Ez a beállítás alapértelmezetten tiltja az ilyen jellegű
belépéseket, így pontosan tudjuk, hogy kik akarnak kapcsolatot létesíteni. A veszélyforrás
kiküszöböléséhez az Additional Restrictions for Anonymaus Connections (névtelen kapcsolatok
további korlátozása) pontot állítsuk No access without explicit anonymaus permissions
(névtelen hozzáférés csak külön engedéllyel) értékre.
Rendszerfeállftás bejelentkezés nélkül

A Windows 2000 és Windows XP Professional gépeken alapállapotban engedélyezett a beje
lentkező képernyőn található kikapcsoló gomb, amelynek a segítségével leállíthatjuk a rendszert.
Ez a tulajdonság tehát ismerős lehet. A Windows 2000 Server és Windows Server 2008 gépeken
viszont ez a lehetőség alaphelyzetben tiltott. A kényelmi előnyök ellenére jobb, ha a számítógép
újraindítását a rendszergazdára bízzuk. Tehát az Allow system to shut down without having to
log on (a rendszer leállítható bejelentkezés nélkül) lehetőséget tiltsuk le, hogy elkerüljük a nem
tervezett rendszedeállást
7. feiezet • A Windows biztonsáai beállításai és a ;".,rtr. ... .-nm"nnl,
Automatikus kiléptetés
Néhány felhasználó, ha egyszer bejelentkezett a hálózatra, nem lép ki hónapokig sem. Ez el6kel6
helyen áll a biztonsági rések között, rnivel a tanúsítványai révén akkor is hiteles marad a hálózat
számára, ha a felhasználó éppen nem ül a számítógép el6tt. Ezt fel lehet használni ártó szándékkal,
például a betörö fájlokat törölhet és mozgathat, támadó- (root-kit) vagy hátsóajtó- (backdoor)
programot telepíthet, vagy megváltoztathatja a jelszót.
Az automatikus kiléptetés beüzemeléséhez két dolgot kell tennünk: el6ször, rninden felhasználó
számára ki kell jelölni egy id6pontot, amikor nem lehet bejelentkezve. Ez lehet mondjuk éjjel
3 óra és 3:30 között. Ez után meg kell változtatnunk a helyi biztonsági házirendet A felhasználó
nem maradhat bejelentkezve, ha a kijelölt id6tartam lejár.
1. Keressük meg az Active Directory Users and Computers (Active Directory - felhasználók
és számítógépek) beépül6 modult.
2. A tartományunkat bontsuk ki, és kattintsunk a Users tárolóra.
3. Az egér jobb gombjával kattintsunk az egyik felhasználóra, és válasszuk a Properties
menüpontot.
4. Kattintsunk az Account fülre, majd a Logon Hours (bejelentkezési id6) gombra.
5. Válasszuk ki a megfelel6 id6tartamot a naptárból, és a választógombokkal válasszuk ki,
hogy ezalatt az id6 alatt engedélyezett vagy tiltott legyen a bejelentkezés.
6. Kattintsunk a két OK gombra, hogy elhagyjuk a felhasználó párbeszédablakát
Most állítsuk be a számítógép helyi biztonsági házirendjét A Local Computer Policy beépül6
modulon belül engedélyezzük a kövekez6 elemet: Automaticaily log off users when logon time
expires (automatikus kijelentkeztetés a bejelentkezési id6 lejártakor). Ha nincs tartományunk,
akkor az Automaticaily log off users when logon time expires (local) elemet engedélyezzük.
Ez akkor is működni fog, ha a felhasználók lezárták a munkaállomásukat
Az adatforgalom hitelesftése digitális aláfrással

Manapság ajánlott, hogy két számítógép közötti adatforgalom hitelesített legyen, máskülönben egy
illetéktelen személy számítógépe a távoli kapcsolat végpontjaként viselkedhet, és így érzékeny
adatok birtokába juthat. Ez megel6zhet6 digitális aláírás használatával, bár ez nem terjedt el széles
körben. A Windows a korlátozott alkalmazási lehet6ségeket a helyi házirend két beállítási lehet6sé
gével ellensúlyozza: akkor kéri:amikor csak lehet, vagy rnindig kéri.
A kapcsolat mindkét végén akkor ajánlott a hitelesírést kérni, amikor csak lehet (az RPC protokoll
ban az "ügyfél" kifejezés arra vonatkozik, aki kérelemrnel fordul a másik géphez, a "kiszolgáló" ki
fejezés pedig arra, aki a kérelmet teljesíti, függetlenül a rendszerben kiosztott szerepekt6l). Aláírás
nélküli adatcsere akkor szabad, hogy lejátszódjon, ha aláírások nem állnak rendelkezésre, nem
támogatottak vagy nem lehetséges ezek használata.
Windows Server 2008
Figyeljünk oda, mert elképzelhető, hogy ez a beállítás megszakítja a kapcsolatot

a Windows Server 2008 és a Windows Server 2003 vagy ennél régebbi, kevésbé
biztonságos gépek között, amilyen például a Windows 95, a Windows 98 és a Windows ME. Az SCW
beállítja ezt a házirendet, és figyelmeztet is rá.
Ahhoz, hogy lehetőség szerint a digitális aláírással ellátott adatforgalom engedélyezett legyen,
a Digitally sign elient communication (when possible) - az ügyféllel folytatott kommunikáció
digitális aláírása (amikor csak lehet) -, valamint a Digitally sign server communication (when
possible) - a kiszolgálóval folytatott kommunikáció digitális aláírása (amikor csak lehet) -
elemeket kell engedélyezni.
Hárombillentyűs üdvözlés bejelentkezéskor

Az átlagos felhasználó számára a bejelentkező képernyő talán a számítógép leginkább megsza
kott része. Megbízik benne annyira, hogy megadja a felhasználónevét és jelszavát, majd ettől
kezdve a számítógép is megbízik benne, ha mindkettő helyesnek bizonyult. Egy betörő előnyt
kovácsolhat ebből a kölcsönös bizalomból azzal, hogy ír egy rendszerszolgáltatásként futó
programot, amelyhez nincs szükség felhasználói kiváltságokra. A program képes lehet arra,
hogy utánozza a bejelentkező képernyő szövegmezőjét, majd a bemenő adatokkal többféle
dolgot kezdhet. Elküldheti a jelszót egy illetéktelen személynek, mentheti a tanúsítványt egy
hátsóajtó-program adatfájljában, vagy egyéb aljas dolgokat művelhet. Ha azonban megnyomjuk
a CTRL+Al.T+DEL billentyűkombinációt, a Windows biztosan egy hiteles bejelentkező képernyőt
fog megjeleníteni, nem pedig egy betörő által létrehozott héjat. Ez az egyszerű lépés a rendsze
rünket jóval biztonságosabbá teszi.
A hárombillentyűs üdvözlést a Disable CTRL+ALT+DEL requirement for logon (nem szükséges

a CTRL+ALT+DEL lenyomása bejelentkezéshez) elemmel engedélyezhetjük. (Bizony, a Microsoft
néha megkérdőjelezhető szakszókincset használ.)
Az utols6 felhasználónév megjelenftése

Alapértelmezett beállításként a Windows a rendszerbe utolsóként sikeresen belépett felhasználó
nevét mutatja a bejelentkező képernyőn. Ezzel felesleges információt árulunk el a rendszerünkről,
bár bizonyára néhány felhasználó hozzászokott ehhez a beállításhoz. Az utolsó felhasználónév
feltüntetését a Do not display last user name in logon screen (ne jelenjen meg a legutóbb bejelent
kezett felhasználó neve a bejelentkezési képernyőn) elem bekapcsalásával tilthatjuk le.
Figyelmeztetés a jelsz6 lejárati idejére

Ebben a fejezetben korábban volt már szó a jelszóházirendről, amikor a nyers erővel végrehajtott
támadásokkal szembeni védelmi lehetőségeket tárgyaltuk Természetesen néhány felhasználó nem
nagyon foglalkozik az internethasználat biztonsági kérdéseiveL Gondot jelenthet nekik, ha meg
kell változtatniuk a jelszavukat, és a számítógépet esetleg csak termelőeszköznek tekintik. Ezzel
a házirend-beállítással a rendszer automatikusan emlékezteti a felhasználót, hogy a jelszó le fog
járni; és figyelmezteti, hogy meg kell azt változtatnia. A 14 napos határidő elegendő lehetőséget
biztosít, hogy megváltoztassa a jelszavát, mert ez általában több, mint a betervezett szabadságok és
üzleti utak.
7. fejezet • A Windows biztonsági beállításai és a javítócsa
A jelszó lejárati határidejéről szóló figyelmeztetés beállításához a Prompt user to change

password before expiration (a felhasználó figyelmeztetése a jelszó lejárata előtt) elemet állítsuk
14 napra.
Hálózati beállítások a csoportházirendeken keresztül

A Windows Server 2008 és a Csoportházirendek lehetővé teszik, hogy a biztonsági beállításokat
GPO-kon keresztül állítsuk be, amelyek azután számítógépek csoportjaira lesznek érvényesek.
A Csoportházirendek az Actíve Directory-n keresztül hét területen tudják biztosítani a biztonsági
beállításokat. Ezek a 7.2. táblázatban láthatók.
7.2. táblázat Csoportházirend-területek és leírásuk
Fiókok Ez a terület a felhasználói fiókok biztonsági beállításait

teszi lehetővé, amelybe beletartoznak a jelszavak, a fiókzá
rolás és a Kerberos-házirendek. A jelszavak és a fiókzáro
lási házirend a munkaállomásokra és kiszolgálókra,
a Kerberos-házirendek pedig kizárólag a tartományvezér
lőkre vonatkoznak.
Helyi házirendek Ez a terület lehetővé teszi a tevékenységvizsgálat és

az eseménynaplózás házirendjének beállítását, a felhaszná
lói jogok kiosztásár és a rendszerleíró adatbázis (beállítás
jegyzék) rendszerbiztonságot közvetlenül érintő kulcsainak
kezelését. Az itt alkalmazott beállítások a Windows 2000
vagy annál újabb rendszerek esetében alkalmazhatók.
Korlátozott csoportok Ez a különösen hasznos csoport lehetővé teszi, hogy olyan

házirendeket határozzunk meg, amelyek révén a felhaszná
ló egy szélesebb jogkörrel rendelkező biztonsági csoportba
kerül. Könnyen létrehozhatunk olyan házirendet, ahol
a tartományi felhasználók nem tagjai a helyi Administrators
csoportnak. Egyéb házirendeket hasonló módon könnyű
létrehozni.
Rendszerszolgáltatások Itt lehet beállítani a rendszerindításkor automatikusan

betöltődő programokat és a rájuk vonatkozó hozzáférési
jogosultságokat.
Rendszerleíró adatbázis Ezen a terület91 a rendszerleíró adatbázis bizonyos

kulcsaihoz való hozzáférést lehet beállítani.
Nyilvános kulcsra vonatkozó Itt lehet beállítani a Windows EFS számára a Encrypted
házirendek Recovery Agent-eket (titkosított helyreállító ügynök),
egy bizonyos Windows tartomány számára a hitelesítő
hatóságot, a megbízott tanúsítványhatóságot, illetve egyéb
titkosítási lehetőségeket.
Az Actíve Directory-ra vonatkozó Ezen a részen lehet beállítani az Actíve Directory elemeire
IP-biztonsági házirendek vonatkozó IP-biztonsági szabályokat.
-ji Windows Server 2008
Az alapértelmezett tartományi házirend megtekintése
A Windows Server 2008 telepítésekor létrejön az alapértelmezett tartomány szintű biztonsági házi
rend. Az alapértelmezett tartományi házirend a tartományi tagok számára tartalmaz biztonsági be
állításokat. Itt olyan lehetőségekre kell gondolni, mint az utolsó sikeresen belépett felhasználó ne
ve a bejelentkező képernyőn, a jelszavak hossza, vagy hogy a munkaállomások digitális aláírással
lássák-e el a kiszolgálóknak elküldött adatokat, és így tovább. Egyszerű először az alapértelmezett
házirendet használni, amit később az egyéni igényeknek megfelelően testre lehet szabni. Először
nézzük meg az alapértelmezett házirendet, rajd állítsuk be saját igényeinknek megfelelően.
Az alapértelmezett biztonsági házirend megtekintéséhez kövessük ezeket a lépéseket:
1. Nyissuk meg a Group Policy Management Console beépülő modult.

2. A bal oldali ablaktáblában az erdőn belül nyissuk meg a Domains (Tartományok) elemet,
ezen belül jelöljük ki a saját tartományunkat, majd a Group Policy Objecten belül kattint
sunk a Default Domain Policy (alapértelmezett biztonsági házirend) elemre.
3. Az egér jobb gombjával kattintsunk a Default Domain Policy elemre, majd válasszuk
az Edit menüpontot.
4. Az alapértelmezett tartományi házirend megtekintéséhez a Computer Configuration,
Policies, Windows Settings, Security Settings útvonalon keresztül keressük meg
az Account Policies elemet.
5. A jobb oldali ablaktáblában láthatóvá válik a Password Policy, az Account Lockout Policy
és a Kerberos Policy (Kerberos-irányelv). Ezekre kattintva megtekinthetjük az alapértel
mezett beállításokat, illetve módosíthatjuk azokat.
A 7.2. ábra a frissen telepített Windows Server 2008 alapértelmezett tartományi házirendjét mutatja.
'J] OefaultDornanPoicy[I'IDSTEST.C LNamc� =

El (OfflXJter Configtration
. -��--..,.l "'Desa"
i ""'�"""llion"'----"��==-'
lH� Password Poky Password Poky
��- 1
B � Poldes
1 ji
fl! Aa:ountloó:out
Polcy Account Lockout Poky
!±i C Software Settings Kerberos Policy Kerberos Poky
B u Windows Settings
� Scrípts (Startup/Sh
8 Wi Sewrity Settings
lill f.M!jij@@
!±l · Local Poldes
f±l · � Event log
lll bi Restricted Gr0<
l±! [l System Servia!
EB Ci Registry
1±1G1. File System
1±1[j Wired Network
[j] [lj W1ndows Firew
u Neh\'ork Ust M.
El i§ 'iY!reless Net'-NC
IB íW\ Public Key Polc
Ifi � Software Restr
f±l z.:l Nehvork Acces
IB ·,!.IP Se<Uity Pol
IB lJjj Polcy-based QoS
ii"W "'�--��:"·-'" ·:l]
l... ....
_ .. .,.,.,_ ......
...
7.2. ábra
A Windows Sarver 2008 alapértelmezett tartományi házirendje
7. • A Windows biztonsáai beállításai és a
A tartományvezér/ó alapértelmezett biztonsági házirendjének megtekintése

Az alapértelmezett tartományi szintű biztonsági házirendhez hasonlóan a tartományvezérlő
alapértelmezett biztonsági házirendje is rendelkezik számítógépek csoportjára vonatkozó általá
nos beállításokkal, de mi most csak a tartományvezérlővel fogunk foglalkozni. Ezek gyakran
különleges biztonsági megfontolásokat igényelnek, amelyeket érdemes külön kezelni.
Az alapértelmezett házirend is pontosan ezt teszi.
Kövessük a következő lépéseket:
1. Nyissuk meg a Group Policy Management Console-t.

2. A bal oldali ablaktáblában az erdőn keresztül bontsuk ki a fát, ezen belül válasszuk ki
a saját tartományunkat, majd a Group Policy Objecten belül a Default Domain
Controllers Policy elemet.
3. Az egér jobb gombjával kattintsunk a Default Domain Controllers Policy elemre, majd
válasszuk az Edit menüpontot.
4. Az alapértelmezett tartományi házirend megtekintéséhez a Computer Configuration,
Policies, Windows Settings, Security Settings útvonalon keresztül keressük meg
az Account Policies elemet.
5. A jobb oldali ablaktáblában láthatóvá válik a Password Policy, az Account Lockout Policy és
a Kerberos Policy elem. Ezekre kattintva megtekinthetjük az alapértelmezett beállításokat,
illetve módosíthatjuk azokat.
A 7.3. ábra egy frissen telepített Windows Server 2008 tartományvezérlő alapértelmezett
biztonsági házirendjét mutatja.
lion
Password Policy
Ao::ooot Lockout Pol"lcy
Kerbecos PoHcy
--- -- - ----�--�� --
7.3. ábra
A tartományvezérlők alapértelmezett biztonsági házirendje a Windows Server 2008-ban
Windows Server 2008
Szót érdemel még, hogy a fiókházirendet hogyan osztják ki a tartományvezérlőknek A biztonsági

házirendeket az adott tartomány vezérlői tartományi szinten alkalmazzák, függetlenül attól, hogy
a tartományvezérlő objektuma hol foglal helyet az Actíve Directory-ban. Ez biztosítja, hogy tarto
mányi szinten egységes fiókházirendet alkalmazzunk. Minden más házirendet hierarchikus rend
ben alkalmaznak, a tartományvezérlőktől kezdve az egyéb munkaállomásokon át a tartományi
kiszolgálókig. Kizárólag a tartományvezérlőket érinti ez a különleges kivétel. Ez azonban csak egy
tipp, amire érdemes emlékeznünk, ha a szervezeti egységeink között akarjuk kiosztani a fiókházi-
rendet /
A tartományvezér/ó érvényben levó biztonsági házirendjének megtekintése

A tartományvezérlő érvényben levő biztonsági házirendjének megtekintéséhez kövessük
a következő lépéseket:
1. Nyissuk meg a Start menüt, majd kattintsunk a Run (Futtatás) menüpontra, és gépeljük
be, hogy GPEdit.msc, ami a Group Policy Object Editort jeleníti meg.
2. A bal oldali ablaktáblában keressük meg a Computer Configuration, Windows Settings,
Security Settings útvonalon keresztül a Local Policies pontot.
Most már látható a tartományvezérlő érvényben lévő biztonsági házirendje. Ha végeztünk, zárjuk
be a Group Policy/Local Computer Policy beépülő modult. (A konzol beállításait csak akkor
mentsük, ha valamilyen szolgáltatást meg akarunk tartani.)
Most már a tudás teljes birtokában vagyunk, hogy ha automatikus biztonsági beállításokat aka
runk érvényesíteni Windows 2000 vagy annál újabb operációs rendszereket futtató ügyfeleken.
Jegyezzük meg, hogy hacsak külön ki nem térünk rá, a könyvben tárgyalt beállítások nyugodtan
kioszthatók a csoportházirend-rendszeren keresztül.
Végsz6: a házirendek elrendezése

A lehetőségekkel nő az összetettség is, ami alól a Csoportházirendek sem kivételek. A Windows
rendszergazdák sok órát pazarolnak az életükből alapszintű hibakeresésre a csoportházirendek
ben. Az olyan kétségbeesett kérdésekre, mint a "Miért nincs érvényben a házirend ezen a rendsze
ren?" vagy "Azt hittem, hogy az IPSecet lekapcsoltam!", nehéz lehet választ találni, ha az Actíve
Directory következetlen, szükségtelen és nem megfelelő módon alkalmazott GPO-kal van tele.
Ha meg akarjuk nyirbálni a biztonsági házirendeket, könnyebben elérhetővé akarjuk tenni

azokat, vagy letiltani, megváltoztatni vagy alkalmazni szeretnénk őket, akkor kövessük az alábbi
irányelveket:
Rendszerezzük logikusan a házirendeket, és tartsuk határok között azokat!

Lehet, hogy az Actíve Directory földrajzi elhelyezkedés alapján van rendszerezve, de
a vezetés döntése miatt esetleg másmilyen mintát kell létrehoznunk. Például lehet, hogy
az IP-biztonságot rninden vezető beosztásban lévő alkalmazott laptopján be kell állítani,
de nem biztos, hogy mindegyik a New York-i irodában dolgozik. Vagy a cég középvezetői
számára kell biztosítanunk olyan Internet Explorert, amely nem tiltja meg nekik, hogy
kilépjenek az Internetre, ami egyébként a tartomány számítógépei számára az alapértel-
7. feiezet • A Windows b beállításai éS a j"IIÍtnl"<:nm"nnlr
mezett beállítás. Ki kell tudnunk gondolni a lehetséges korlátozásokat, majd határokat kell
szabnunk, amelyek között ezeket a házirendeket alkalmazzuk. Ez egyszerubbé teszi
a számunkra, hogy a megfelelő személyekre és számítógépekre alkalmazzuk a megfelelő
házirendeket, ha azok egyébként a földrajzi elhelyezkedés vagy szervezeti felépítés alap
ján nem lennének alkalmazhatók.
A határokon belül olyan házirendeket állítsunk be, amelyek egységes értékeket mutatnak!
Általában úgy állítjuk be a pénzügyi osztály gépeit, hogy három sikertelen belépési kísér
let után zárolják a munkaállomást? Az erdő egy bizonyos tartománya számára további
szabályokat kell bevezetnünk (például, hogy ne indíthassák el a vezérlőpultot, vagy hogy
beállítsák a hátteret, esetleg programokat telepítsenek)? Ezek olyan házirendek, amelyek
valószínűleg ismerősnek tűnnek. Csoportosítsuk ezeket egybe, és hozzunk létre GPO-kat
minden ilyen házirendre.
Olyan szervezeti egységeket hozzunk létre az Active Directory-n belül, ahol a gépek
a szerepük vagy a szolgáltatásaik alapján vannak csoportosítval
Ez a már részletesen szabályozott biztonsági házirendekben még tovább vezet bennünket.
Például a Windowsban a tartományvezérlők alapértelmezett módon egy külön szervezeti
egységen belül helyezkednek el az Active Directory-ban. Szándékunkban állhat asztali
szárnítógépeket, laptopokat és kiszolgálókat a saját szervezeti egységükben elhelyezni,
ami könnyebbé teszi a házirendek alkalmazását (például EFS megkövetelése kizárólag
laptopokon).
Alábecsüljük a valóságot, ha annyit mondunk, hogy némi munkával helyesen és hatékonyan be

lehet állítani a csoportházirendeket A legfogósabb rész a házirendek megtervezése és létrehozása.
A Windows felügyeli a Csoportházirendek létrehozását az ügyfélgépeken. Ez a Windows olyan
szolgáltatása, ami a csoportházirendeket nagyszerű felügyeleti eszközzé teszi. A telepítés egysze
rűsége azonban kétélű kard: ugyanolyan könnyen el is ronthatunk egy ACL-t, megváltoztathatunk
egy beállítást (aki már játszott az adatforgalom hitelesítésének beállításaival, az tudja, miről van
szó), vagy letarolhatjuk az egész tartományunkat API híján a folyamat nehezebb, így nem írha
tunk programokat, amelyek kisegíthetnének A rögösebb utat kell tehát választanunk. Gyakran
ennél is nehezebb, hogy teljes rálátással rendelkezZÜnk, mert az Active Directory elrendezése és
szerkezete, ami egyébként logikus és hagyományosan a szervezetek személyzeti hierarchiáját
hivatott utánozni, nehezen összeférhető a GPO-kal. A GPO-k ugyanis hierarchiákon átívelő hatá
rokkal rendelkeznek, és az alkalmazás teljesen más szemléletét kívánják meg. Gondos tervezéssei
azonban a Csoportházirendek lefedik a meglévő hierarchikus szerkezetet, és kiegészítik a saját
szabályozási határaikkaL
A 6. fejezetben részletesen beszéltünk a Csoportházirendek beállítási lehetőségeiről,

Megjegyzés
szarkezetéről és működéséről.
Tevékenységvizsgálat és eseménynaplóiás
Az informatikai biztonsággal foglalkozó szakemberek tevékenységének egyik legfontosabb, de
egyben legunalmasabb része a rendszer nyomon követése. Ebben a részben bemutatjuk azokat
az eszközöket, amelyekkel a rendszeren zajló folyamatokat megvizsgálhatjuk, illetve azokat
a programokat, amelyekkel megnézhetjük a naplóbejegyzéseket
-!:lal Windows Server 2008
A vizsgálati eszközöket és tulajdonságaikat a GPO-k segítségével lehet beállítani a Windows
2000, Windows XP és Windows Server 2008 rendszereken. Feltéve, hogy számítógépünk tagja
egy Active Directory-tartománynak, a tartományi tevékenységvizsgálati házirendet (naplórendet)
a következő útvonalon érhetjük el: Default Domain Policy, Computer Configuration, Windows
Settings, Security Settings, Local Policies""-Audit Policies (Naplórend). Egyébként a Control Panel
Administrative tools alkalmazásán belül is megtekinthetjük a helyi biztonsági házirendet
Az egyes GPO-k beállítása meghatározza, hogy milyen eseményekről és milyen eredményekről

kerüljön bejegyzés a naplóba. Íme a tevékenységvizsgálat néhány szolgáltatása:
Audit account logon events (fiókbejelentkezés naplózása)

Akkor kerül bejegyzés a naplóba, ha a tartományvezérlő azonosítja a tartományi
felhasználókat.
Audit account management (fiókkezelés naplózása)
A felhasznáJók felvételét, módosítását és törlését mutatja meg.
Audit directory service access (címtárszolgáltatás-hozzáférés naplózása)
Azt naplózza, ha az Active Directoryhoz kérelem érkezik, vagy adatforgaimat
bonyolítanak le vele.
Audit logon events (bejelentkezés naplózása)
Akkor kerül bejegyzés a naplóba, ha egy helyi felhasználó igénybe veszi egy adott gép
erőforrásait.
Audit object access (objektum-hozzáférés naplózása)
Azt jelzi, ha bizonyos fájlokat, mappákat, vagy a rendszer más objektumait megnyitják,
bezárják vagy más módon "hozzájuk nyúlnak".
Audit policy change (házirendváltozás naplózása)
A helyi házirend (amilyen például·a Local Security Policy) és a hozzá kapcsolódó
objektumok változását naplózza.
Audit privilege use (rendszerjogok használatának naplózása)
Akkor kerül bejegyzés a naplóba, ha a felhasznáJók a hozzájuk rendelt rendszerjogokkal
"
élnek (például "saját tulajdonba vétel )
Audit process tracking (folyamatok nyomon követésének naplózása)
A prograrnak indítását, bezárását és egyéb, a programokhoz kapcsolódó eseményeket
követi nyomon.
Audit system events (rendszeresemények naplózása)
Azt naplózza, ha a felhasználó újraindítja a rendszert, ha egy esemény bekerül a biztonsági
naplóba, vagy ha az esemény más módon befolyásolja a rendszer biztonságát.
A System Access Control List (rendszer hozzáférésvezérlő-lista, SACL) szerkesztésével egyedi

objektumok naplózását is beállíthatjuk, ami leginkább az engedélyek kiosztásához hasonlít,
azzal a különbséggel, hogy ez a Windows számára mutatja, hogy rnilyen típusú eseményeknél
kerüljön bejegyzés a naplóba. Az SACL beállításához nyissuk meg az objektum tulajdonságainak
párbeszédablakát és a Security lapon belül keressük meg az Advanced gombot. Az Auditing
lapon kattintsunk először az Edit, majd az Add gombra, hogy új naplózási eseményt adhassunk
meg az objektum számára. Egy meglévő eseményt az Edit gombra kattintva módosíthatunk.
A 7.4. ábra egy objektum SACL-ét mutatja.
7. fejezet • A Windows biztonsági beállításai és a javítócsomagok kezelése fH-l
D Advanced Security Settings for SHAOOWCOPYCLIDIT ,• 29
Audi!in�l
To view or edit detalls fur on auditing entry, select the entry and then dd< Edit.
Ob>ect name: C:'j.Jsers'Aclmnlstrafur';>eslctop\'SHADOWCOPYCLIENT.MSI
Access 1 Inherrted Ftooi
��
P' lndude 111heritable audíbng eniries rrO!t) this obíect's parent
What are the reooirements foraudifinaobjectaccess? 7.4. ábra

Egy objektumra
OK
vonatkozó SACL
Csak az NTFS-fáj/ok és -mappák naplózhatók, a FAT lemezrészek ugyanis

Megjegyzés
nem tartalmazzák a naplózás támogatásához szükséges jogosu/tsági adatokat.
Amit érdemes vizsgálni

A naplókban szereplő következő bejegyzéseknek különös figyelmet kell majd szentelnünk:
•
A be- és kijelentkezéseket az Audit account logon events segítségével lehet nyomon
követni. Ez egyben az ismételt sikertelen bejelentkezéseket is megjeleníti, ami rámutathat,
ha az egyik felhasználó fiókját fel akarják törni.
•
Az Audit account management beállításával a fiókkezeléssei kapcsolatos történéseket lehet
naplózni. Ide olyan események tartoznak, mint például ha a felhasználók megpróbáltak
élni a számukra kiosztott jogosultságokkal, vagy ha valójában fel is használták azokat.
• A rendszer indulásakor és leállásakor történt eseményeket az Audit system event segítségé
vel követhetjük nyomon. Ez azt mutatja meg, ha egy felhasználó megpróbálta a rendszert
leállítani, vagy ha rendszerindításkor valamelyik szolgáltatás nem megfelelően indult el.
• Az Audit policy change beállításával a házirendekben történt változásokat jeleníthetjük
meg. Ezzel például azt lehet naplózni, ha a felhasznáták a biztonsági beállításokkal
babrálnak
•
A jogosultságokkal kapcsolatos események naplózását az Audit privilege use beállításával
követhetjük nyomon. Ez például bizonyos objektumokra vonatkozó jogosultságok
megváltoztatására tett kísérleteket jelenthet.
Néhány dologra oda kell figyelnünk. Először, túl sok esemény �lózása az erőforrásokat jelentő
sen igénybe veszi. Ez esetben minden alkalommal kerül egy bejegyzés a naplóba, ha a felhasználó
megmozdítja az egerét (rendben, ez túlzás, de nem áll messze az igazságtól). Másodszor, a túl sok
esemény naplózása eláraszthat bennünket, és ha nem nézzük meg rendszeresen a naplóbejegyzé
seket, a naplózásnak nem sok hasznát vesszük. Ezzel a kígyó a saját farkába harap. Nem fogjuk
magunkat keresztülrágni a bejegyzéseken, így gyakorlatilag teljesen feleslegesen pazaroljuk
a rendszer erőforrásait, és biztonsági előnyökhöz sem fogunk jutni. Erre figyeljünk oda!
Eseménynaplózás
A naplórendhez hasonlóan az eseménynaplózás beállításai is az alapértelmezett tartományi
házirenden belül találhatók, a Computer Configuration, Policies, Windows Settings, Security
Settings, Event log (Eseménynapló) ágban. Az eseménynapló beállítási lehetőségeit az alábbi
akban mutatjuk be.
Maximum application log size (alkalmazásnapló maximális mérete)

Itt lehet beállítani az alkalmazásnapló legnagyobb méretét, amit ha elérünk, a legrégebbi
események törlődnek
Maximum security log size (biztonsági napló maximális mérete)
Az előző szolgáltatásnoz hasonló, azzal a különbséggel, hogy ez a biztonsági naplóra
vonatkozik.
Maximum system log size (rendszernapló mérete legfeljebb)
Az előző két szolgáltatáshoz hasonló, azzal a különbséggel, hogy ez a rendszernaplóra
vonatkozik.
Prevent local guests from accessing application log (a helyi vendégek csoportja nem férhet
hozzá az alkalmazásnaplóhoz)
A vendégfiókba belépett felhasználóknak megtiltja, hogy hozzáférjenek az alkalmazás
naplóhoz.
Prevent local guests group from accessing security log (a helyi vendégek csoportja nem
férhet hozzá a biztonsági naplóhoz)
A vendégfiókba belépett felhasználóknak megtiltja, hogy hozzáférjenek a biztonsági
naplóhoz.
Prevent local guests group from accessing system log (a helyi vendégek csoportja nem férhet
hozzá a rendszernaplóhoz)
A vendégfiókba belépett felhasználóknak megtiltja, hogy hozzáférjenek a rendszer
naplóhoz.
Retain application log (alkalmazásnapló megőrzése)
Ezzel a beállítással azt adhatjuk meg, hogy ha az alkalmazásnapló elérte a legnagyobb
méretét, az eseményeket a rendszer felülírja vagy megőrizze.
Retain security log (biztonsági napló megőrzése)
Ezzel a beállítással azt adhatjuk meg, hogy ha a biztonsági napló elérte a legnagyobb
méretét, az eseményeket a rendszer felülírja vagy megőrizze.
Retain system log (rendszernapló megőrzése)
Itt azt adhatjuk meg, hogy ha a rendszernapló elérte a legnagyobb méretét, az eseménye
ket a rendszer felülírja vagy megőrizze.
Retention method for application log ( alkalmazásnapló megőrzési módja)
Itt azt állíthatjuk be, hogy a Windows az alkalmazásnapló régebbi eseményeit szükség
szerint írja felül, vagy az n napnál régebbieket. Azt a lehetőséget is választhatjuk, hogy
egyszerűen ne írja felül az eseményeket, hanem rni magunk töröljük azokat saját kezűleg.
Retention method for security log (a biztonsági napló megőrzési módja)
Itt azt állíthatjuk be, hogy a Windows a biztonsági napló régebbi eseményeit szükség
szerint írja felül, vagy az n napnál régebbieket. Azt a lehetőséget is választhatjuk, hogy
egyszerűen ne írja felül az eseményeket, hanem mi magunk töröljük azokat saját kezűleg.
7. feiezet • A Windows biztonsági beállításai és a javítócsomagok kezelése
Retention method for system log (rendszernapló megőrzési módja)

Itt azt állíthatjuk be, hogy a Windows a rendszernapló régebbi eseményeit szükség szerint
írja felül, vagy az n napnál régebbieket. Azt a lehetőséget is választhatjuk, hogy egyszerűen
ne írja felül az eseményeket, hanem mi magunk töröljük azokat saját kezűleg.
Az olyan számítógépeken, amelyek nem részei egyetlen tartománynak sem, az eseménynaplókat

helyi szinten az Event Viewer (Eseménynapló) segítségével állíthatjuk be, amely a Control Panel,
Administrative Tools alatt található. Az egyes naplókat a jobb oldali ablaktáblában tekinthetjük
meg, ha az egér jobb gombjával rájuk kattintunk. Itt állítl1atjuk be a naplók méretét, és hogy mit
csináljon a Windows, ha elérték az engedélyezett legnagyobb méretüket.
Az Event Viewer
Az Event Viewer konzol alaphelyzetben lehetővé teszi, hogy több különböző naplóban is meg
tekintsük az eseményeket. Más alkalmazások hozzáadhatják a saját naplójukat az Event Viewer
konzolhoz. A 7.5. ábrán egy hagyományos Event Viewer látható.
�Ev en��e�- ___ ---- ��-- --� ---------- "'%§li;;
Event VIewer(Local)
W'ndowslogs
� Apoication
� Sea.rity
��
� Forwanled Evonts
ÜTY,XlftCustom V...
Cornect to Anot...
El fiO Apoications and Services logs
� OFSReplication \foew
lill Oi"ectory Service
(iij DNS Servor
� Hardware Ev�t:s
� Internet EX!>orer
liJ Key Manaoement Service
l±l � Microsoft
e Slbscr1>tions
7.5. ábra
Az Event Viewer
Ez az Event Viewer a korábbi változatokhoz képest eltérőnek tűnhet, mivel az elrendezését fi
nomították és továbbfejlesztették. A nyitóképernyőn számos felügyeleti esemény összefoglalóját
láthatjuk, amelyek figyelmet érdemelnek. Az "egyéni nézetet" a Microsoft építette be, és a ter
mékben alapállapotban megtalálható. A számunkra fontos lehetséges hibaforrások többsége
megtalálható benne.
A bal oldali ablaktáblában láthatjuk az eseménynaplókat, amelyeket az alábbiakban foglaltunk
össze:
Application Log (alkalmazás)

Az egyes alkalmazások üzeneteit, figyelmeztetéseit és hibaüzeneteit lehet itt megtekinteni.
Nyers formában a napló a következő elérési útvonalon található meg:
%SystemRoot%\System32\ Winevt\Logs\Application.evtx.
Forwarded Events Log (továbbított események)
Más kiszolgálók által �üldött események naplója. A nyers napló elérési útvonala
a következő: %SystemRoot%\System32\ Config\ForwardedEvents. evtx.
Security Log (biztonság)
Az általunk beállított naplóházirendek bejegyzései kerülnek ide (a fejezet korábbi részében
tárgyaltuk a naplózás beállítási lehetőségeit). Nyers formában a napló itt tekinthető meg:
%SystemRoot%\System32\ Winevt\Logs\Security.evtx.
Setup Log (telepítés)
A Windows Server 2008 telepítése és egyéb beállítások során történt események jelennek
meg ebben a naplóban, amelyet a %SystemRoot%\System32\ Winevt\Logs\Setup.evtx
fájlban találhatunk meg.
System Log (rendszer)
A Windows Server 2008 rendes működése során történt események jelennek meg ebben
a naplóban. Normális esetben tele van a szolgáltatásoktól származó információkkal,
például figyelmeztetésekkel és hibaüzenetekkeL Nyers formában a %SystemRoot%\
System32\ Winevt\Logs\System.evtx fájlban találhatjuk meg.
DFS Replication Log (elosztott fájlrendszer többszörözése)
Az elosztott fájlrendszer másolati példányának létrehozása közben történt események
naplózása történik itt. A 3. fejezetben további információt találhatunk a DFS-ről.
Directory Service Log (címtárszolgáltatás)
Az Actíve Directory Domain Serviceshez (Active Directory-tartományszolgáltatások, AD DS)
és annak ügyfeleihez köthető történések naplója. Az 5. fejezetben további információt
találhatunk az AD DS-ről.
DNS Server Log (DNS-szolgáltatás)
A DNS felé küldött kérelmek és az arra adott válaszok, valamint egyéb üzenetek és hibák
bejegyzései találhatók itt. A DNS-ről a 4. fejezetben találhatunk további információt.
File Replication Service Log (fájltöbbszörözési szolgáltatás)
A Windows Server 2008 előtti időkből származó fájltöbbszörözési szaigáitatás üzenetei
kapnak itt helyet. Egy tisztán Windows Server 2008-as környezeten alapuló rendszer
esetében nyugodtan figyelmen kívül hagyhatjuk ezt a naplót.
Hardware Events Log (hardveresemények)
A rendszer eszköz-illesztőprogramjaitól származó hibaüzenetek, üzenetek és figyelmez
tetések bejegyzései találhatók ebben a naplóban.
Microsoft\ Windows Logs (Microsoft\ Windows)
Ez a mappa és az ehhez tartozó almappák a Windows egyedi tulajdonságaira és szolgálta
tásaira vonatkoznak. Itt találhatók a Windows által küldött hibaüzenetek, figyelmeztetések
és egyéb üzenetek.
7. fejezet • A Windows biztonsági beállításai és a javítócsomagok kezelése IJ:F_,
Hogy könnyebbé tegyük magunknak a számunkra fontos események megjelenítését, szüksé
günk lehet egy egyedi nézetre, amely bizonyos szempontok szerint szűri az eseménynaplót
Ehhez nyissuk meg az Event Viewert, majd a jobb oldali ablaktáblában kattintsunk a Create
Custom View (egyéni nézet létrehozása) hivatkozásra. A megjelenő ablak, amely a 7.6. ábrán is
látható, lehetővé teszi, hogy létrehozzuk azokat a szempontokat, amelyek alapján az eseménye
ket szűrni szeretnénk.
Válasszuk ki a megjeleníteni kívánt események tulajdonságait, majd kattintsunk az OK gombra.

Az egyéni nézetet ezzel mentjük, és ettől kezdve az Event Viewer konzol bal oldali ablaktáblá
jában a Custom Views elemen keresztül férhetünk hozzá a legutóbbi eseményekkel frissített
nézethez.
Az Event Viewer konzolról úgy törölhetünk eseményeket, hogy az egér jobb gombjával arra
a naplóra kattintunk, amelyikből törölni szeretnénk, és a helyi menüből a Clear Log pontot
választjuk
CreideCust:omView ,��V
Fitter l XMl
logged' [Anytime
Event level: r Critlcal
r Error
r. By log Event logs:
r Bysour<:e: Event sources;
T,nk category:
Keywords:
User.
Compute<(s;.
7.6. ábra
O}<il Egyéni nézet létrehozása az Event
Viewerben
/
Zárszó
Ebben a fejezetben bemutattunk néhány, a hálózati környezetben fontos biztonsági megfonto
lást, majd megnéztük, hogyan építhetünk ki egy alapvető biztonsági szintet a Windows Server
2008 beépített eszközeivel vagy szabadon hozzáférhető prograrnak segítségéveL Ahogy a fejezet
bevezetőjében említettük, nem szándékaztunk rnindenre kiterjedően bemutatni, hogy miként
lehet a Windows Server 2008 biztonságát a lehető legmagasabb szintre emelni, csupán össze
foglalást próbáltunk nyújtani, hogy a fejezetben tanult fogalmakra alapozva megtanuljuk, hogyan
lehet biztonságos környezetet kiépíteni a kiszolgálóink számára.
Internet Information Services 7
Bármely Windows kiszolgáló egyik legf6bb alkalmazáscsamagja az Internet Information Services

(IlS). A Windows NT Server 4.0 operációs rendszerrel kiadott IIS 4 óta hosszú utat tettünk meg.
A terméket biztonsági szempontokat szem el6tt tartva újratervezték, a Microsoft .NET programo
zási nyelv segítségével pedig képessé tették arra, hogy kiszolgálóoldali alkalmazásokat futtasson.
A bolhapiachoz hasonlítható internetkiszolgálót ezzel világklasszis programmá varázsolták,
amely a leghatékonyabb alkalmazásokat is képes futtatni.
Vizsgáljuk meg, hogy rnilyen újításokat tartogat a Longhorn Server legújabb kiadása. Nézzük
meg közelebbr61, hogy a felhasznáJók számára mit jelent az IlS öt jelent6sebb fejlesztése!
Jelentősebb fejlesztések
Az els6 és talán legfontosabb, hogy az IIS moduláris felépítésű. Ha ismerjük a népszerű Apache
webkiszolgáló programcsomagot, bizonyára tudjuk, hogy talán az a legnagyobb er6ssége, hogy
alapszintű telepítéssei is mú'Ködik. Beállíthatjuk, hogy statikus HTML oldalakon kívül mást ne
szolgáltasson, vagy dinamikusarr töltse be a modulokat, amelyek lehet6vé teszik, hogy különböz6
tartalmakat jelenítsünk meg vagy dolgozzunk fel. Apache kiszolgálónkat egyedi módon telepíthet
jük, hogy csak azt szolgáltassa, amit mi akarunk. Az IlS-nél soha nem volt meg az a lehet6ség,
hogy kiválasszuk a szolgáltatásokat, aminek két jelent6s hátulüt6je volt: el6ször is, a teljesítmény
csökkent, mert a program olyan szolgáltatásokkal is rendelkezett, és olyan tartalmak megjeleníté
sét is támogatta, amelyeket soha nem vettünk igénybe. Másodszor, a biztonság gondot jelentett,
mert a nem használt szolgáltatások nagyobb támadási felületet hagytak. Az IlS 7 esetében azon
ban a szolgáltatások moduláris felépítésűek a modulokat tetsz6legesen tölthetjük be, függ6ségek
nélkül, ami lehet6vé teszi, hogy a kiszolgálónk kell6 mértékben le legyen csupaszítva, és csak azt
csinálja, amit rni akarunk, semmi egyebet. Az IlS 7 b6víthet6sége is a javunkat szolgálja. A koráb
biakhoz nem mérhet6 módon egyszerű egyedi modult írni, ami közvetlenül az IlS magjához
illeszkedik. Ez a műveleteink számára különleges támogatottságot biztosít.
Ezenkívül az IlS 7 szinte minden beállítását megadhatjuk egy szövegfájlon keresztül. Újra
az Apache példáján keresztül szernléltetve, az IIS-en belül elhelyezett honlapok beállításait
a web.config fájlon keresztül szerkeszthetjük. A nyilvánvaló kényelmi szempontokon kívül ez
könnyebbséget jelent azoknak a vállalatoknak, amelyek nagy mennyiségű honlap számára biz-
Windows Server 2008
tosítanak tárhelyet Most már teljesen egyszerű webhelyek ezrein elhelyezni azonos beállításo
kat. Csak annyit kell tennünk, hogy a web.config fájlt elhelyezzük az oldalakon, és készen is va
gyunk. Másoknak is kioszthatjuk a web.config bizonyos szakaszainak felügyeletét Ezzel például
a webhelyek tulajdonosai számára úgy biztosíthatunk jogokat, hogy nem kell minden változta
tással megkeresni az IIS-rendszergazdát. A változatkövetés hasonlóan egyszerű. Annyi a dol
gunk, hogy létrehozzuk a szövegfájl különböző változatait, majd valarnilyen rendezett formában
tároljuk azokat. Ha szükséges, bármikor hozzájuk lehet férni. Egyszerűen zseniális!
Az liS 7 kezelőfelületét is teljesen újratervezték, és sokkal feladatközpontúbbá tették. Az liS

szakított azzal a néha zavaros felülettel, ami az IlS 4-es, 5-ös, valamint 6-os változatát jellemezte.
Az liS most már vadonatúj kezelőpult-kinézetet kínál, amelyen a felhasználó igényeit is figye
lembe véve, több szolgáltatást elérhetővé tettek. Mindemellett egyszerűen képesek vagyunk
oldalak százainak vagy ezreinek a felügyeletét gyorsan és nagy mennyiségű webhelyen elvé
gezni. Mint az liS 7-nél bármi más, az új felület is bővíthető, így készíthetünk az IlS 7 kezelője
alól elérhető egyedi bővítményeket is.
Az liS 7 biztonságát, ami még az liS 6-ot is felülmúlja, folyamatosan továbbfejlesztik A Windows
2000 rendszerekhez adott liS 5-höz képest az liS 6 fényévekkel előbbre tartott a biztonság terüle
tén. (Valójában az liS 5-öt ementáli sajtnak is lehetett volna nevezni a biztonsági rései miatt.)
Ahogy a webes alkalmazások elkezdtek szaporodni és a .NET alapú webhelyek növekedni, az liS
még előkelób
' b helyet foglalt el a nagy hálózatokban. A biztonság fontosabb kérdés lett, mint vala
ha, mivel ezeknek az alkalmazásoknak jó része érzékeny adatokat tárol. Az IlS 7 esetében a .NET
alkalmazások közvetlenül az liS magban futnak, nem pedig az Internet Services Application
Programming Interface (internetszolgáltatások alkalmazás-programozási felülete, ISAPI) bővít
mény futtatja azokat. Valójában a .NET futásidejű környezet tesz különbséget az ASP, a .NET és
az liS között, amelyek egyre inkább összemosódnak. Bármilyen tartalmú űrlap hitelesítésének
előnyeit is évezhetjük, így például bánnilyen honlapot vagy webes tartalmat hitelesíthetünk egy
adatbázis alapján, nem csak .NET kódot. Ezen kívül az liS korábbi változataiban elterjedt
IUSR_gépnév fiókot felváltotta a beépített IUSR fiók, amelyet nem lehet a kiszolgálóhoz való inte
raktív belépéshez felhasználni, továbbá egyedi SID-kkel (Security Identifier, biztonsági azonosító)
rendelkezik az azonos operációs rendszert használó gépeken. Ez azt jelenti, hogy mindegy, hogy
a jogosultságaink korlátozását melyik gépen hozták létre, és melyiken alkalmazták
A FastCGI támogatásával dinamikus nyelven alapuló alkalmazásokat is futtathatunk, amelyek

ezelőtt hagyományosan nem futottak Windows alapú kiszolgálókon. Ez a támogatás annyit
jelent, hogy futtathatunk PHP, Perl, Ruby és egyéb alkalmazásokat az liS-en, és a legszebb
az egészben az, hogy nagyobb sebességgel, mivel a gyorsabb kiszolgálás érdekében a FastCGI
újrahasznosítja a már futó folyamatokat. Így már élvezhetjük az Apache előnyeit (elsősorban
a moduláris felépítést és a biztonságot) a Windows alapú szaigáitatás bővíthetőségével, és
mindezt anélkül, hogy az liS-szel összeegyeztethető nyelvre át kellene írni az üzleti alkalmazá
sainkat Ez az informatikai cégek számára nagy nyereség.
V égül pedig, az liS 7 eléréséhez használhatjuk a Windows PowerShell parancssoros környezetét

is. Míg a PowerShellt úgy alkották meg, hogy az IlS 6-ot futtató Windows Server 2003 felügyeletét
is megoldhatjuk vele, az liS 7-et kifejezetten úgy tervezték, hogy a parancssorból a PowerShell
8. feiezet • Internet Information Services 7
segítségével is lehessen kezelni. Elérhető továbbá az APPCMD eszköz, amely a hagyományos

parancssorból futtatható, és lehetővé teszi, hogy létrehozzunk és beállítsunk webhelyeket
Az APPCMD akkor kölönösen hasznos, ha olyan parancsfájlokkal rendelkezünk, amelyek progra
mozottan tartják karban a környezetünket.
Az liS 7 felépítése
A kulcsszó a moduláris felépítés, és ez volt az elsődleges tervezési elv, amely az liS 7 fejlesztését
körülölelte. 40 kölönböző modulból építhetjük fel az liS szolgáltatásait, amelyek nyolc kölönböző
kategóriába sorolhatók. A modulokat lentebb soroltuk fel, így láthatjuk, hogy mely modulok
alkotják az egyes szolgáltatáscsoportokat:
Common HTrP Web Server Components (HTrP-alapszolgáltatások)

• StaticFileModule
• DefaultDocumentModule
• DirectoryListingModule
• HttpRedirect
• CustomErrorModule
Windows Process Activarion Service (Windows folyamataktiválási szolgáltatás)
• ProcessModel
• NetFxEnvironment
• ConfigurationAPI
Security (Biztonság)
• BasicAuthModule
• DigestAuthModule
• WindowsAuthModule
• CertificateAuthModule
• AnonymousAuthModule
• IPSecurityModule
• UrlAuthorizationModule
• RequestFilteringModule
Health and Diagnostics (Állapot és diagnosztika)
• HttpLoggingModule
• CustomLoggingModule
• RequestMonitorModule
• HTTPTracingModule
• ODBCLogging
• LoggingLibraries
Performance (Teljesítmény)
• HTTPStaticCompression
• HTTPDynamicCompression
Management (Kezelőeszközök)
• ManagementConsole
• ManagementScripting
• ManagementService
• Metabase
Windows Server 2008
• WMICompatibility
• LegacyScripts
• LegacySnap- in
Application Development (Alkalmazásfejlesztés)
• NetFxExtensibility
• ISAPIModule
• ISAPIFilterModule
• CGIModule
• ServerSideincludeModule
• ASP
• ASP.NET
FTP Publisbing (FTP-közzétételi szolgáltatás)
• FTPServer
• FTPManagement
Újdonság: a Windows folyamataktiválási szaigáitatás

Az IlS 7 telepítéséhez szükséges egy új szolgáltatás, amely a W indows Process Activarion Service
(WPAS, Windows folyamataktiválási szolgáltatás) néven ismert. A WPAS lényegében minden
folyamatot és alkalmazást figyelemmel kísér a különböző gépeken az IlS számára. Figyeli az új
kérelmeket, és ezeket vagy hozzárendeli egy már létező folyamathoz, vagy új folyamatot indít el.
Ezen kívül a kérelem folyamathoz történő irányítását is elvégzi. A WPAS tehát a gépen futó
webhelyek, alkalmazások és webalkalmazások számára egy pénzintézethez hasonlóan a követe
léseket és teljesítéseket követi nyomon.
Szerepkörök
Mint a Windows Server 2008 rninden fejlett szolgáltatását, a webkiszolgálót is egy szerepkörön
keresztül lehet alkalmazni. Mint ahogy a fejezet bevezetőjében is szó volt róla, az IlS moduláris fel
építése jelentősen lecsökkentette a frissen telepített IlS méretét. Ha a Web Server (Webkiszolgáló)
szerepkört telepíteni kívánjuk, ami egyébként a legegyszerűbb módja annak, hogy az IlS-t felte
gyük a gépünkre, a webkiszolgáló programcsomagjából csak a következőket kapjuk meg elsőre
(eltekintve a Windows Process Activarion Service-től):
• HTIP-alapszolgáltatások, amelybe beletartozik egy félkész, statikus honlapokat megjele

níteni képes szolgáltatás, a sikertelen kérelmekkor megjelenítendő alapértelmezett
weboldal, a könyvtárak szöveges formátumú böngészése és a hibaüzenetek tárolása.
• Állapot- és diagnosztikai szolgáltatás, amely a naplózást és kérelmek felügyeletét foglalja
magába.
• Biztonsági szolgáltatás, amely a kérelmek szűrését takarja (ez a régi URLScan eszköz,
amelyet belegyúrtak az IlS 7 végső kiadásába).
• Teljesítményt érintő eszközök, például statikus tartalmak Gzip alapú tömörítése.
• Az IlS kezelőfelülete.
Ennyi. Nem kapunk semmilyen dinamikus megjelenítéshez való szolgáltatást az alap Web Server
szerepkörrel; egyszerű szöveg és HTML oldalak megjelenítésére kell, hogy szorítkozzunk.
Így fogjuk a rendszerünket felépíteni: először egy rninirnális képességekkel bíró rendszert
8. teiezet • Internet Information Services 7
telepítünk, utána pedig az alaprendszerre ráhúzzuk az általunk kívánt szolgáltatásokat

Ez csökkenti a többletráfordítást, növeli a biztonságot, és csökkenti a lehetséges támadásoknak
kitett felületet
Nem mindenki szeretne csak statikus HTML oldalakat megjeleníteni, de az Application Server
(Alkalmazáskiszolgáló) szerep lehetővé teszi dinamikus webtartalmak szolgáltatását Mivel az IlS
alapfelszereltségét a lehető legkevesebb modulra próbálták szorítani, az Application Server szerep
kört nekünk kell hozzáadni, hogy olyan szolgáltatások is elérhetővé váljanak, mint az ASP.NET,
a .NET-keretrendszer alkalmazásai és egyéb dinamikus webtartalmak, mint a CardSpace, a Win
dows Communication Foundation, a Windows Presentation Foundation és a Windows Workflow
Foundation. A webkiszolgálói szerepkör telepítése a következő módon történik:
1. Nyissuk meg a Server Managert (Kiszolgálókezelő).

2. A bal oldali ablaktáblában kattintsunk a Roles (Szerepkörök) elemre, majd a jobb oldali
ablaktáblában az Add Roles (Szerepkör hozzáadása) hivatkozásra.
3. A megjelenő Before You Begin oldalon kattintsunk a Next gombra.
4. A telepíthető szerepkörök listájában kapcsoljuk ki a Web Server (liS) előtti jelölőnégyzetet
A megjelenő ablakban elolvashatjuk, hogy szükségünk van a Windows Process Activarion
Service programcsomagra. Az ablak a 8.1. ábrán látható. A folytatáshoz kattintsunk az Add
Required Features (a szükséges szolgáltatások hozzáadása) gombra, majd lépjünk tovább.
5. Olvassuk el a szerepkörről szóló összefoglalót, és lépjünk tovább a folytatáshoz.
6. A Select Role Services (Szerepkör-szolgáltatások kiválasztása) képernyőn, amelyet
a 8.2. ábrán láthatunk, kiválaszthatjuk az IlS központi magjával együtt telepíteni kívánt
modulokat. A folytatáshoz kattintsunk a Next gombra.
7. Erősítsük meg a varázslóban kiválasztott modulok listáját, majd az Install (Telepítés)
gombra kattintva helyezzük üzembe a webkiszolgálót.
w;�rd
- -
Ad
d Roles --- � - �� "'�
��
'\4�=
Add feotures requiced for Web Server (liS}?
· .·· - .· You cannot instaft Web Server {US) unless the �uired features are also lnstafied
Features: Oesaiption:
' 8 "'"'".2""""' '-"lindows Process Activafion Service
�?"':'
� generalízes !he liS poces
r s model. removing
!he dependency on HTTP. AlJ the f""tures..
�guf<!ti_o�
Add Heqllired Fea!lfre•
Q) Whyarethesefeatutes �?
�-
8.1. ábra
A Windows Process Activation Service telepítése az /IS segítségével
Az alkalmazáskiszolgálói szerepkör telepítéséhez kövessük az alábbi lépéseket:
1. Nyissuk meg a Server Managert.

2. A bal oldali ablaktáblában kattintsunk a Roles elemre, majd a jobb oldaliban az Add
Roles hivatkozásra.
3. A megjelenő Before You Begin oldalon kattintsunk a Next gombra.
Add Roles Wrzard • ·� ';\� x
Before You Begin

Setver Roles Desoiption:
WebSefver(liS) B•
r::: .,;r.!wCl�·:-,eb-:
:- ""'
!!!!l --
Serv '."1'
:- er -�-------�- �providessupportfor
HTMLWebsitesandoptionalsupport
Ro!e SerVICes El Q] COIMlOn HTTPFeatures for A9'.NEtT ASP, and Web server
11] Static Content extensions. You can use the Web
[il Default Doa.ment Server to host an internal or extemal
Progress 0 Directory Browsing Web site or to provide an environment
��p��:��rs to create Web-based
Reruts [il HTTPErrors
D HTTP RedVeclion
B D Appication Development
D ASP.I'ET
D .NET Extensibilty
D ASP
D CGI
D ISAPI Extensions
D ISAPI Fílters
D Serve< Side Indudes
B ll] Health and Díagnostics
�il HT!Plogging
D logging Tools 8.2. ábra
�il R.,_stMOOtor
D Tra<*lg Az /IS központi
D Custom Loggng
�r ....J _�.......,
... magjával együtt
telepíteni kívánt
modu!ok kivá
lasztása
4. A telepíthető szerepkörök listájában jelöljük be az Application Server elemet. A megjelenő

ablakban elolvashatjuk, hogy szükségünk van a .NET Framework 3.0 (.NET-keretrendszer
3.0) programcsomagra, valamint egy alapszolgáltatásra, amely a Windows Process
Activarion Service számára támogatja a keretrendszert Az ablak a 8.3. ábrán látható.
A folytatáshoz kattintsunk az Add Required Features, majd a Next gombra.
5. Olvassuk el a szerepkörről szóló összefoglalót, és a folytatáshoz lépjünk tovább.
6. A Select Role Services képernyőn, amely a 8.4. ábrán is látható, kiválaszthatjuk
az alkalmazáskiszolgálóval együtt telepíteni kívánt modulokat. Kattintsunk a Next
gombra a folytatáshoz.
7. Erősítsük meg a varázslóban kiválasztott modulok listáját, majd az Install gombra kattintva
helyezzük üzembe az alkalmazáskiszolgálót.
Add Roles Waard 't t''l � IX
� Add fe11tures required for Application

-
Server?
You camot instal Applicatiorl Serverunless the required features are aloo ins!aled.
Features: Description:
EJNT�� ' Microsoft .NET Framework 3.0combines the
.NET Framewolk 3.0
power of the .NET Framework 2.0 APis with
new technologies for building applications
B Wndows Process k:tivaton
í SeNice that offer appealing user interfaces. protect
.NET Environment yourcustomer.s' personal identity informatio_
Add Requu-ed Features

8.3. ábra
Az alkalmazáskiszolgálói
szerepkör telepítése
--- ----- ----
Add Roles Waard "'" "'4 x
BefureYouE!e!lin Select �rak sen'ice:s tc instal for Appkation Server:

Ser.terRoles Role.setvices: Desgjption:
AAlication Setver [lj Application Server FOI.Xldation � Web.Ser:'erfnSlSupport enables

_
Role Ser:ICeS D tm·M§Milh§iit!lU
D COM+ Network Access
=��=��n�o��:
thatcommunitate over HTTP. It
Confirmalion
O TCP Port Shar� Indudes support forASP.NET
D applications that can beaetessed Vib
Progress 8 Windows Process Activation Servke Support
D HTI?
· Activation
� a Web bi"owser such crs Intemet
Results
D
. . .
Message Queu1ng Adivation
ll Explorer, and Webservices built using
Win dows CommunicbtíonFoundatlon
0 TCP "-ctivatioo (WCF).
0 Named Pipe< Activatioo
8 O [);sbibu!ed Transactions
D Incorning Remote Transactions
O Outgoing Re.mote Transactons
O WS-Atomic Transactions
8.4. ábra
Modulok telepítése az alkalmazáskiszolgálói szerepkörhöz
Az liS grafikus kezelése

Az IlS grafikus kezelőeszközét Internet Information Services Managernek (az Internet Information
Services kezelője) nevezik. Az IlS kezelője alapvető változásokon ment át a Windows Server
2003-mal megjelent IlS 6 eszközeihez képest. A 8.5. ábrán látható, hogyan néz ki a kezelőeszköz.
A következő dolgokat érdemes lesz megjegyeznünk:
• Amikor először megnyitjuk az IlS Managert, figyeljük meg az Internet Explorernél is meg
található címsort. Itt láthatjuk a böngészés útvonalát, ami segít tájékozódni, hogyan jutot
tunk oda.
• A kezdőlap menüjében látható egy tulajdonságlista. Ez a dinamikusan létrehozott lista
a tartalomra jellemző tulajdonságokat mutat, amelyeket esetleg be szeretnénk állítani.
• Az IlS 6 fülekkel teletűzdelt kezelőfelülete helyett az IlS 7 kezelőjében három mezőt lát
hatunk: a listák mezőjét, amelyeket rendszerint egy sor tulajdonság alapján lehet rendez
ni; a műveletek mezőjét, ahol tartalmanként a legnépszerűbb, illetve legvalószínúob beál
lítási lehetőségek jelennek meg; és a kapcsolatok mezőjét, ahol az IlS-kezelő valamelyik
kapcsolatának jellemzőjét tekinthetjük meg.
Most lépjünk tovább, és nézzük meg, hogyan lehet új webhelyet létrehozni, ennek tulajdonsá
gait beállítani, egy alkalmazás számára virtuális könyvtárat, valamint új alkalmazáskészletet lét
rehozni.
-1@1 Windows Server 2008
fo1anage Server
� Restart
• Start
• Stop
View Application Pools

V�ewSites
.tE Trust Appkabon
Levels Settings
Machi1e Key Paoes and Providers

cöntrols
8.5. ábra
A Windows
Server 2008-ban
· Authentication Authorization
található 1/S-
Iw 11'1l!JFeatures ""'"' !l!cootentV!ew
",' """"""""" _ _.....
kezelő újraterve-
-------�---��-��--__;Oi:;,;;a-'0 zett kezdőlapja
Új webhely létrehozása
Az új webhelyek létrehozása az liS rendszergazdák alapvető tevékenységei közé tartozik. Az liS 7
segítségével pár kattintással kialakíthatunk egy új oldalt az adott szárnítógépen. Ehhez a követke
zőket kell tennünk:
1. Nyissuk meg az liS kezelőjét

2. Bontsuk ki a kiszolgálók listáját a bal oldali ablaktáblában.
3. Az egér jobb gombjával kattintsunk a kiszolgálóra, és válasszuk a webhely hozzáadására
szolgáló Add Web Site menüpontot. Ekkor a 8.6. ábrán látható képernyő jelenik meg.
4. Írjuk be a webhely és az alkalmazáskészlet nevét, amelyet a webhely használni fog.
5. Írjuk be a tartalom elérési útját, amelyet az IlS ezen a webhelyen szolgáltatni fog. Ez lehet
helyi vagy hálózati elérési út is, de meg kell felelnie az UNC-nek CUniversal Naming
Convention, univerzális elnevezési rendszer). Ha az útvonal eléréséhez hitelesítés szüksé
ges, a Connect as (csatlakozás másként) gombra kattintva begépelhetjük a felhasználó
nevét.
6. A Einding (kötés) alatt ki kell választanunk a protokollt, az IP-címet és a kapu számát,
amelyen az liS figyeli a webhelyhez beérkező kérelmeket Az állomásnevet is begépel
hetjük, ha egy IP-cím alatt több webhelyet is ki akarunk alakítani. Az IlS így figyelni fogja
a kiszolgáló fejlécét, hogy a megfelelő webhelyről szolgálja ki az adott kérelmet.
7. Kattintsunk az OK gombra a webhely létrehozásához.
�·
Exampie: www.rontoso.com or marketlng.contoso.com
P" Start Web site immediatelv
00: Cancel 8.6. ábra

Új webhely létrehozása
Webhely tulajdonságainak beállítása

Látni fogjuk, hogy az IlS 7 kezelőjével egy újfajta, táblázatos formában állíthatjuk be egy webhely
tulajdonságait, szemben a Windows Server 2003 US kezelőjének labirintusaivaL A 8.7. ábrán lát
ható az Advanced Settings ablak, ahol beállíthaták a webhely olyan tulajdonságai, mint például
az Application Pool (alkalmazáskészlet), a Bindings, a Physical Path (fizikai elérési út),
a Connection Lirnits (a kapcsolat korlátozásai), az Enabled Protocals (engedélyezett protokollok)
vagy a Failed Request Tracking (a sikertelen kérelmek nyornkövetése).
Advanced Settmgs �3t�.,
Name
ht1p
EJ Failed R�uest T��dng
Mame
[name! A I.S1íque name for the site.
8.7. ábra
Egy /IS webhely speciá/is beállításai
-Jíll Windows Server 2008
A tulajdonságlapon további beállítási lehetőségeket is találunk. Ha az liS-kezelő bal oldalán
kiválasztunk egy webhelyet, a tulajdonságok listája megváltozik a középső mezőben.
Ha a csoportosítás rendjét "area"-ra (terület) változtatjuk a Group by: mezőben, tulajdonságok
listáját (például az ASP.NET-re vagy az liS-re jellemző tulajdonságokat) kapjuk, amelyeket
az liS segítségével állíthatunk be. A 8.1. táblázatban láthatók az liS-re jellemző tulajdonságok.
8.1. táblázat Az /IS 7-tel sza/gáltatott webhelyek beállítási tehetőségei
Tulajdonság leírás
Authentication (hitelesítés) A hitelesítési módokat lehet beállítani vele. A lehetséges módok:
Anonymaus (névtelen), ASP.NET impersonation (ASP.NET meg
személyesítés), Basic (alapszintú), Digest (kivonatoló), Forms
(űrlapos) és Windows-hitelesítés. A Digest hitelesítéshez az liS
nek tartományhoz kell csatlakoznia.
Authorization Rules Hozzáférési szabályokat lehet az egyes felhasználókra beállítani.

(engedélyezési szabályok) Engedékeny vagy korlátozó szabályokat alkalmazhatunk
a felhasználóra, szerepkörre, csoportra vagy a kérelem tartal
mára (POST, GET stb.) vonatkozóan.
Compression (tömörítés) Beállíthatjuk statikus vagy dinamikus tartalmak tömörítését, ami

a webhely "észlelt teljesítményének" növelését eredményezi.
Default Document Az a fájl adható itt meg, amely sikertelen kérelem esetén
(alapértelmezett dokumentum) jelenik meg.
Directory Browsing A kérelmet küldő személy böngészőjében megjelenő könyvtár

(könyvtártallózás) listát lehet itt beállítani, arniben szerepelhet Time (időpont), S ize
(méret), Extension (kiterjesztés) és Date (dátum).
Error P ages (hibaoldalak) A webhely egyedi hibaoldalát lehet ezzel a szolgáltatással

megadni. A HTTP állapotkódja szerint lehet a hibaoldalakat
rendezni.
Failed Request Tracing Rules A sikertelen kérelmek nyomkövetését lehet itt beállítani. (Az liS
(sikertelen kérelmek kezelőjének kezdőlapján engedélyeznünk kell a sikertelen
nyomkövetésére vonatkozó kérelmek nyomkövetését, rnielőtt beállíthatnánk itt a tulajdonsá
szabályok) gokat.) Tartalom szerint kiválaszthatjuk a hibakódokat és hozzá
rendelhetjük nyomkövetési szolgáltatókhoz, amelyek értelmezik
az eredményt.
Handler Mappings DLL fájlokat és HTTP-kódokat felügyelő kiegészítő programokat

(kezelőtársítások) lehet megadni, amelyek egyes, az Internet felől érkező kérelme
ket kezelnek.
HTTP Redirect Ezzel a szolgáltatással lehet másik fájlba vagy URL-be átirányítási
(HTTP-átirányítás) szabályokat létrehozni. Kapcsoljuk be a jelölőnégyzetet, és
adjuk meg az elérési utat. Azt is megadhatjuk, hogy az összes
kérelmet átirányítsuk, vagy csak egy könyvtár tartalmára irányu
ló kérelmet, valamint a kérelmet küldő fél számára is megjelenít
hetünk az átirányításról szóló HTTP-állapotkódot.
8.1. táblázat Az /IS 7-tel sza/gáltatott webhelyek beállítási tehetőségei (folytatás)

Tulajdonság lefrás
HTfP Response Headers Itt adhaták meg a webkiszolgálótól származó válaszok fejlécei.
(HTrP-válaszfejlécek) Átlagos felhasználás esetén nem sok hasznát fogjuk venni
ennek a beállítási lehetőségnek.
IPv4 Address and Domain A kérelmet küldő fél IP címe alapján engedélyezhetjük vagy
Restrictions (IPv4-cím- és leülthatjuk az IlS által szolgáltatott tartalmakhoz való hozzáfé
tartománykorlátozások) rést. A lista fontossági sorrendet jelöl.
ISAPI Filters (ISAPI-szűrők) A webkiszolgálóhoz érkező dinamikus kérelmeket feldolgozó

ISAPI-szűrőket lehet itt beállítani. Főleg a régebbi webalkalma
zásokkal való összeegyeztethetőség miatt érdemes beállítani.
Logging (naplózás) Ezzel a szolgáltatással lehet pontosan beállítani, hogy az IlS mi
ként naplózza a kiszolgálóhoz érkező kérelmeket Megadhatjuk
a napló elérési útját, a bejegyzések formátumát, valamint hogy
az új naplófájlok megnyitása milyen ütemben és miként legyen
végrehajtva.
MIME Types (MIME-típusok) Itt fájlkiterjesztések, valamint a nekik megfelelő, statikus módon
szolgáltatott (vagyis nem dinamikusan értelmezett) tartalomtípu
sok listája található.
Modules (modulok) Itt lehet felügyelt kód alapú modulokat hozzáadni a már
meglévőkhöz, amelyek azt befolyásolják, hogy az IlS hogyan
válaszoljon a webkiszolgálóhoz érkező kérelmekre, továbbá
már meglévő modulokat állíthatunk be vele.
Output Caching A kimenet gyorstárazását lehet itt beállítani, ami a válaszidőt

(kimeneti gyorsítótár) rövidítheti le a népszerű, dinamikusan létrehozott kérelmek
esetében.
SSL Settings (SSL-beállítások) Egy webhely vagy alkalmazás SSL-re vonatkozó követelményeit
állíthatjuk be ezzel a szolgáltatással, valamint azt, hogy miként
kezelje a rendszer az ügyfelek tanúsítványait
Virtuális könyvtárak
A virtuális könyvtárak nagyban elősegíthetik, hogy a webhely szerkezete akkor is átlátható
legyen a felhasznáJók számára, ha a merevlemezen tárolt valódi tartalmak több kölönböző he
lyen, esetleg számítógépen találhatók. Egy jól megtervezett virtuális könyvtárszerkezet nem csak
az Interneten böngészőknek teszi könnyen használhatóvá a webhelyet, hanem a fejlesztáknek
is rugalmasabbá teszi az alkalmazást. Az átláthatóságon kívül a virtuális könyvtáraknak biztonsá
gi szerepük is van, mert a fizikai szinten ismeretlen helyen létrehozott könyvtár helye nem kell,
hogy megegyezzen a virtuális könyvtár helyével. Egy virtuális könyvtár létrehozásához köves
sük a következő lépéseket:
1. Nyissuk meg az IlS Managert.

2. A bal oldali ablaktáblában bontsuk ki a kiszolgálók listáját, kattintsunk a megfelelő
kiszolgálóra, majd a kívánt webhelyre.
-fl:l Windows Server 2008
3. Az egér jobb gombjával kattintsunk a webhelyre, és válasszuk az Add Virtual Directory
(virtuális könyvtár hozzáadása) pontot. A megjelenő ablak a 8.8. ábrán látható.
4. Adjuk meg az álnevet (alias), amivel hivatkozni szeretnénk erre a könyvtárra.
Ez a szövegrész fog a l jel után következni az URL-ben.
5. Adjuk meg a tartalom elérési vagy UNC stílusú útvonalát, amely ez alól a virtuális könyvtár
alól lesz elérhető. Ha az útvonal eléréséhez hitelesítés szükséges, a Connect as gombra
kattintva begépelhetjük a felhasználónevet
6. Kattintsunk az OK gombra, amivel létrehozzuk a virtuális könyvtárat.
Add Virtual Directory ·-.::.�
j5ítename: Booksite
Path:
Alias:
Example: images
OK 8.8. ábra
Az Add Virtual Directory ablak
A virtuális könyvár tulajdonságait a webhelyhez hasonló módon állíthatjuk be, a középső

mezőtől jobbra, ahol a tulajdonságokat és azok ikonjait láthatjuk. Ezek egyenértékűek azokkal
a beállítási lehetőségekkel, amelyeket a webhelyek kapcsán az előző részben tárgyaltunk.
Alkalmazáskészletek
Az alkalmazáskészletek az liS 7-tel szolgáltatott, nagy mennyiségű alkalmazást tartalmazó
webhelyek számára jelentenek megbízhatóságot. Bár jobban megjósoll1ató viselkedést biztosíta
nak, és egy sor más haszna is van, ha webalkalmazásokat az liS-szel akarunk szolgáltatni, minden
egyes alkalmazáskészlet legalább 4 MB memóriát foglal, ezért érdemes azokat pontosan beállítani,
ha úgy tervezzük, hogy többet is létrehozunk egy gépen.
Újdonság az liS 7.0-ban, hogy megadhatjuk, mi történjen az olyan kérelmekkel, amelyek

felügyelt folyamatkezelési módokat vesznek igénybe. Ezt kétféleképpen tehetjük meg: integrált
vagy klasszikus módon. Az liS korábbi változataiban ezt a beállítást csak a kiszolgáló szintjén
lehetett megadni, de most már alkalmazáskészletenként is megadhatjuk az integrált vagy
a klasszikus módot.
Integrált módban teljes mértékben élvezhetjük a moduláris felépítésből és az liS 7 újratervezésé

ből származó előnyöket. Ha az alkalmazáskészlet egy munkafolyamata egy kérelmet kap, a kére
lem egy sor, elsőbbség alapján sorba rendezen eseményen halad keresztül. Mindegyik esemény
betölti azokat a modulokat, amelyeket a kérelem érint, és szükségesek a válaszadáshoz.
Az események meghívják a szükséges natív és felügyelt kódmodulokat, hogy a kérelem adon
8. fejezet • Internet Information Services 7
részét feldolgozzák, és megadják a szükséges választ. Ezen a módon minden alkalmazás számára
felügyelt folyamatokat biztosítunk, és kiszűrhetjük a kétszeres feldolgozást, amire a klasszikus
módnak a felépítésénél fogva szüksége volt.
Klasszikus módban azok a kérelmek, amelyeket az liS natív módon tudott kezelni, végigmentek
az liS6 folyamatain, majd ami maradt, azt átadta egy ISAPI DLL-nek további feldolgozásra.
Ez lehetett egy felügyelt kódmodul vagy bármi más, amit az liS 6 nem tudott natív módon
kezelni. Ez után a választ visszaküldték az liS-nek, hogy továbbítsa azt a kérelmet kiadó félnek,
ami további feldolgozási időt jelentett.
Csak akkor használjuk a klasszikus módot, ha a webalkalmazásaink nem működnek

Megjegyzés
integrált módban.
Először nézzük meg az alkalmazáskészletek "lomtárának" tulajdonságait, amelyet a rendszer akkor

állít be, amikor telepítjük az Application Server szerepkört. Nyissuk meg az IlS Managert, bontsuk
ki a kiszolgálók listáját a bal oldalon, kattintsunk az liS kiszolgálónkra, majd az Application Pools
elemre. A képernyő középső részén ekkor látnunk kell a "DefaultAppPool" alkalrnazáskészletet.
Set Apolcalion Pool DefaUts...
Help
OnlneHelp
Started v2.0
Started V2 0
••• • : •• . • m> mm >J
llill!lJ
. m
'!· b1t!f
· flf§5!Mk§
••
Name:
R';Start appiicolron pool unmedíatelv

�: l�
�,;
8.9. ábra
Új alkalmazáskészlet létrehozása egy liS-kiszolgá/ón
Az egyik legfontosabb fogalom, amit az alkalmazáskészletekkel kapcsolatban meg kell értenünk,

az újrahasznosítás. Az IIS 7 úgy biztosít könnyen kezelhető folyamatokat, hogy a régieket leállítja,
amikor már nem kezelnek kérelrneket, és újakat indít, hogy figyeljék az újonnan érkező kérelme-
-:Nel Windows Server 2008
ket. Beállíthatjuk, hogy ez a körforgás milyen gyakran ismétlődjön: bizonyos időközönként vagy
a nap bizonyos időpontjaiban. A maximális memóriahasználatot is be lehet állítani, az összes
igénybe vett memória vagy a virtuális felhasználó memória szerint. A beállításhoz a jobb oldali
menüben kattintsunk a Recycling (újrahasznosítás) hivatkozásra, és adjuk meg a kívánt értékeket.
Ha dinamikus alkalmazásokkal is rendelkezünk, és el akarjuk különíteni a munkafolyamataikat

a DefaultAppPool alkalmazáskészletétől, létrehozhatunk új alkalmazáskészletet is. Ehhez köves
sük a következő lépéseket:
1. Nyissuk meg az IlS Managert. .

2. A bal oldali ablaktáblában bontsuk ki a kiszolgálók listáját, kattintsunk a megfelelő
kiszolgálóra, majd az egér jobb gombjával az Application Pools elemre. A megjelenő
ablak a 8.9. ábrán látható.
3. Írjuk be az új alkalmazáskészlet nevét, adjuk meg a .NET-keretrendszer változatszámát,
amelyet ez az alkalmazáskészlet használni fog, és válasszuk ki, hogy integrált vagy
klasszikus módot kívánunk-e alkalmazni (a fejezet korábbi részében tárgyaltuk, hogy
az alkalmazáskészletekhez érkező kérelmeket hogyan dolgozza fel a rendszer ebben
a két módban). Ez után kattintsunk az OK gombra.
Központosított beállítások engedélyezése

A központosított beállítások segítségével tetszőlegesen szabályozhatunk egy IlS-gépet, majd
a beállításokat fájlba menthetjük, és megadhatjuk más IIS-kiszolgálóknak, hogy ezt használják
beállítófájlként Így több liS-kiszolgáló esetén is könnyen létrehozhatunk központosított beállí
tásokat. Ehhez a következőket kell tennünk:
1. Nyissuk meg az IlS Managert.

2. A bal oldalon válasszuk ki azt a kiszolgálót, amelyiknek a beállításait többszörözni akar
juk, majd középen kattintsunk a Shared Configuration (megosztott konfiguráció) elemre.
3. Kattintsunk az Export Configuration hivatkozásra a jobb oldali ablaktáblában, majd adjuk
meg a létrehozni kívánt beállítófájlok elérési útját. Írjunk be egy jelszót, ami
a beállítófájlok létrehozása során mentett titkosítási kulcsokat védi.
4. Most menjünk vissza a Shared Configuration oldalra, és jelöljük be az Enable shared
configuration jelölőnégyzetet
5. Adjuk meg a megosztott beállítófájlok elérési útját, kattintsunk az Apply hivatkozásra,
majd adjuk meg a jelszót.
A Web Management Service használata

A Web Management Service (webkezelési szolgáltatás, WMS) lehetővé teszi az IlS távoli elérését
az Internethez csatlakoztatott bármilyen számítógéprőL A WMS titkosított, HTTP/SSL alapú kap
csolatot létesít, amely lehetővé teszi, hogy védett környezetben kezeljük a webkiszolgálót.
A Web Management Service használatához először telepítenünk kell a WMS programot a Server
Manageren belül az Add Roles W izard segítségéve!.
Ha sikerült telepíteni a WMS-t, engedélyeznünk kell a távoli kapcsolatot. Az IlS Manageren belül
kattintsunk a megfelelő kiszolgálóra a bal oldali ablaktáblában, majd a Management Service
ikonjára középen, és kapcsoljuk be az Enable Remote Management (távoli kapcsolatok engedé
lyezése) jelölőnégyzetet A Management Service ablaka a 8.10. ábrán látható.
� Int;met I;furmabon Sennces (fiS) M-;nager j/Wf41.

11.�. \��Z�7Z30�W &*
• � =
fie Veew Help
ill Management Service

Q) The Management Senlice
(WMSVC) is stopped. The
Use this feab.Jre to configlre how dients connect to this server se.rvke must be star� to
by using remote ronnections in ilS Manager. r�o�y manage the Web
server bv usino !IS MNiaQer.
C � remote conn�
l ldentity Credentials
l € VVindows credentials only
l ,..._. Wndows credentials or IlS ManaQer credenbals

L _______________________
rO:>nnections
IP address:
• Start
• stop
�IUnassigned ::J
__ __
·�
i'I'_IMSv<:.WJN-Q4�Q7Z.�?ű:i'l
SSl certificate: OnileHetl
_ .. ___ _ _ _
j � Loo requests to:
I%System!lnve%\lnetpub'jogs\WMSvc
L ----==--
--······- =-
·····---·-·· -=
--·-·······- ·--·-····
8.10. ábra
Távoli kapcsolat
Reody 6j,.: engedélyezése
Ezen a képernyőn további beállítási lehetőségeink is vannak, például hogy mely hitelesítő
rendszereket (Windows vagy IlS Manager) fogadjuk el a távoli kapcsolat engedélyezése során,
milyen IP címet, kaput és SSL-tanúsítványt használunk, hová naplózza a rendszer a kérelmeket
és a kapcsolatokat, valamint megadhatunk feketelistákat és fehérlistákat is az IP címekhez.
Írjuk fel a Management Service által kiosztott kapuszámot, mert ezen a kapun
Megjegyzés
keresztül fogunk kapcsolatot létesíteni.
Az liS parancssoros elérése

Ebben a részben azt nézzük meg, hogy az IlS Manageren kívül hogyan lehet kezelni az IlS 7-et.
éhány hagyományos rendszergazdai feladatot fogunk megvizsgálni az AppCmd.e:x:e segítségéve!,
majd megnézzük, hogy az IlS-t hogyan lehet szövegfájlon keresztül beállítani.
AppCmd.exe: minden egy helyen

Az AppCmd.exe egy új felügyeleti program, amellyel gyakorlatilag mindent, ami szükséges lehet
az IlS szabályozásához, egy helyen érhetünk el. Az AppCmd segítségével új webhelyeket, alkal
mazáskészleteket és virtuális könyvtárakat hozhatunk létre, vagy már meglévőket állíthatunk be,
webhelyeket és alkalmazáskészleteket indíthatunk el, állíthatunk le, vagy kezelhetjük az újra-
-!·fl Windows Server 2008
hasznosításukat, felügyelhetjük a webkiszolgáló aktuális tevékenységét, és lemásolhatjuk az IlS
vagy az ASP.NET részösszetevő beállítófájlját, illetve újat hozhatunk létre. Az AppCmd parancsai
nak formája logikus: az IlS meghatározott részén hajtunk végre utasításokat. Például kiírathatjuk
a webhelyeink tartalmát, alkalmazásokat engedélyezhetünk, folyamatokat állíthatunk le, vagy
beállításokat végezhetünk el.
l®f@$#{8
Az AppCmd szolgáltatásairól a l? kapcsolóval tudhatunk meg többet
a parancssorban.
A következő paranccsal például a leállított webhelyek listáját írathatjuk ki:
appcmd list sites /state:Stopped
A parancssorból új webhelyeket is létrehozhatunk. Hozzunk létre egyBookSite nevű webhelyet,

amely a 81-es kapun figyel, és amelynek a tartalma a C\inetpub\wwwroot\booksiteelérési úton
található:
appcmd add site /name:BookSite /id:2 /bindings:"http/*:81"

/physicalPath:"C:\inetpub\wwwroot\booksite"
A következő paranccsal 99-re változtathatjuk az új webhelyünk azonosítóját:
appcmd set site "BookSite" /id: 99
Az imént létrehozott webhelyet a következőképpen törölhetjük:
appcmd delete site "BookSite"
Biztonsági másolat készítéséhez egy egyszerű, egysoros parancsot kell begépelnünk. Ez lehetővé
teszi, hogy a kiszolgáló beállításainak esetleges helytelen megváltoztatása után visszatérjünk egy
olyan beállításhoz, amely korábban működött:
appcmd add backup 20071015
A lenti parancsok közül az elsővel kiírathatjuk a rendelkezésre álló biztonsági másolatokat, majd
a második paranccsal visszaállíthatjuk a webhelyet az adott biztonsági másolatból (a restore
visszaállít- parancs leállítja a kiszolgálót, visszaállítja a webhelyet a másolatból, majd újraindítja
a kiszolgálót):
appcmd list backups

appcmd restore backup "20071015"
Ha az egyik parancs kimenetét egy csővezetéken keresztül egy másik parancs bemenetére
küldjük, hasznos eredményhez juthatunk. Például az összes alkalmazáskészlet újrahasznosítását
a következő paranccsal oldhatjuk meg:
appcmd list apppool /xml l appcmd recycle apppool /in
Egy bizonyos webhelyet kiszolgáló alkalmazáskészletet is újrahasznosíthatunk Ezt a Campany

Web példáján keresztül mutatjuk be:
appcmd list site "Company Web" /xml l appcmd list app /in /xml l appcmd list
apppool /in /xml l appcmd recycle apppool /in
8. fejezet • Internet Information Services 7
appcmd list app /site.name:"Company Web" /xml l appcmd list apppool /in /xml
l appcmd recycle apppool /in
Egy korábbi példában bemutattuk, hogyan írathatjuk ki a leállított webhelyeket. Most nézzük
meg, hogyan tudjuk ezeket egyetlen paranccsal újraindítani:
appcmd list site /state:stopped /xml l appcmd start site /in
A könyvtárak vagy fájlok karbantartását biztonságosan elvégezhetjük, ha megnézzük, hogy mely

webhelyek használnak egy bizonyos elérési útvonalat. Ez legyen most a C\inwtpub\wwwroot:
appcmd list vdir /physicalPath:C\inetpub\wwwroot /xml \ appcmd list app /xml

/in l appcmd list site /in
Azt is megnézhetjük, hogy mely alkalmazásokat szolgálja ki a 2450-es számú munkafolyamat:
appcmd list wp 2450 /xml l appcmd list apppool /xml /in l appcmd list app /in
Hasznos lehet egy gyors pásztázást végeznünk, hogy tudjuk, mely webhelyek adnak hibaüze
netet. A 404-es hibaüzenet azt mutatja, ha valamelyik honlapot az IlS nem tudta megjeleníteni.
A webhelyek listáját a következőképpen kaphatjuk meg:
appcmd list trace /statusCode:404 /xml l appcmd list site /in
Beállítás XML fájlokkal

A régebbi IlS adatbázist megújult formában az applicationHost.config fájlban találhatjuk, amely
most már az IlS-kiszolgálók központi beállításait tartalmazza: egy adott gép összes webhelyét,
alkalmazását, virtuális könyvrárát és alkalmazáskészletét határozza meg. Mivel az IlS 7 beállítását
másoknak is kioszthatjuk, három módon kezelhetjük a beállítófájlokat:
Egyetlen beállítófájl alkalmazása

Ha ezt a lehetőséget választjuk, az összes beállítás az applicationHost.config fájlban
tárolódik. Ez akkor hasznos, ha a rendszergazda teljes mértékben maga akarja végezni
az IlS beállításait. Ha ezt a lehetőséget akarjuk érvényesíteni, nyissuk meg az IlS Managert,
kattintsunk a megfelelő kiszolgálóra, majd keressük meg a Feature Delegation (szolgálta
tás átruházása) ikont, és állítsuk az összes szolgáltatást Read Only-ra (Írásvédett).
A Feature Delegation ablaka a 8.11. ábrán látható. A módosításaink bekerülnek
az applicationHost.config fájlba, és ez lesz a beállítások mesterpéldánya.
A beállítás jogának átruházása
Ha úgy döntünk, hogy egyes szolgáltatásokat adott webhelyekre vagy alkalmazásokra
ruházunk át, a beállítás jogát is átruházhatjuk Ekkor az átruházott beállítások a web.config
fájlba, a <system. webserve r> bejegyzések közé íródnak. A szolgáltatások átruházásához
szintén az IlS Manager Feature Delegation ikonjára kell kattintanunk, ahol a szolgáltatást
Read/Write-ra kell állítanunk.
Beállítások megosztása
Ha ezt a lehetőséget választjuk, az IlS-t több gépen is azonos beállítások mellett, egyetlen,
megosztott applicationHost.config beállítófájllal futtathatjuk Ez nagyszerű lehetőség, ha
sok webkiszolgálót akarunk egységes módon felállítani, ami például a kiszolgálófarmokon
lehet előnyös.
_le,l Windows Server 2008
Set Feature Oelegatloo
Use this featt.xe to configtre the defaul delegation state for

t ReadN!rite
fe.atures at lower leveis in liS Manager.
Not
Read Only
.NET
Delegated
Reset to Imented
Reset Al Delegation
I.�'ETTrustleve�
Compílation ReadA'Vrite
.NET G!obalizatíon ReadNJrite CUstom Site Oelegation•••
• !'.'ETProfile Read/Hrite
.NETRoles Configuraüon ReadAVrite .Help
OnlineHelp
Il
ReadfNrite:
.NET Users Configuration Read/Write
Application Settngs Read,t'Write
ASP .NET Impersonation ReadJWrite
l Authentkation · Anon't'mous
Authentk:ation ·Basic
Authentication ·Digest
Read Only
a
ReadOnly
Re d Only
l Authenöcat:ion -Forms ReadjWrite
j Authentication - \�flfldows Read Only
j Authoriza� Rules Read;'Write
'j CompreSSJon Read(Write
1 Connection Strings ReadA'Jrite
l.?.:��t�nt Read/Nfite
8.11. ábra
Sza/gáitatások
átruházása
Most nézzük meg a beállítófájlt, amihez a következőket kell tennünk:
1. A Start menü All Programs almenüjében nyissuk meg az Accessories (Kellékek) csoportot.
2. Az egér jobb gombjával kattintsunk a Notepad Qegyzettömb) elemre, és a megjelenő
helyi menüből válasszuk a Run As Administrator (Futtatás rendszergazdaként) elemet.
3. Az esetleg megjelenő DAC-figyelmeztetés után lépjünk tovább.
4. A File (Fájl) menüből válasszuk az Open (Megnyitás) pontot, és a szűrőt állítsuk All Files-ra
(Minden fájl), majd a \ Windows\System32\inetsrv\config könyvtárban nyissunk meg egy
fájlt, amelyet meg szeretnénk tekinteni.
A beállítófájlok egyszerű, szemmel jól nyomon követhető XML fájlok, ezen kívül a szerkesztőnk
kereső szolgáltatásával könnyen megtalálhatjuk a módosításra váró részt, hogy mindenre kiterjedő
beállításokat érvényesítsünk. Az alábbiakban egy frissen telepített, Web Server és Application
Server szerepkörökkel ellátott Windows Server 2008-as gép applicationHost.config fájlját láthatjuk
(8.1. példa}
8.1. példa Példa XML beállítófájfra

-->
<configSections>
<sectionGroup narne="system.applicationHost">
<section narne="applicationPools" allowDefinition="AppHostOnly"
overrideModeDefault="Deny" />
<section name="configHistory" allowDefinition="AppHostOnly"
overrideModeDefault="Deny" />
<section name="customMetadata" allowDefinition="AppHostOnly"

overrideModeDefault="Deny" l>
<section name="listenerAdapters" allowDefinition="AppHostOnly"
<section name="log" allowDefinition="AppHostOnly"
<section name="sites" allowDefinition="AppHostOnly"
<section name="webLirnits" allowDefinition="AppHostOnly"
<lsectionGroup>
<sectionGroup name="systern.webServer">
<section name="asp" overrideModeDefault="Deny" l>
<section name="caching" overrideModeDefault="Allow" l>
<section name="cgi" overrideModeDefault="Deny" l>
<section name="defaultDocurnent" overrideModeDefault="Allow" l>
<section name="directoryBrowse" over:rideModeDefault="Allow" l>
<section name="fastCgi" allowDefinition="AppHostOnly"
<section name="globalModules" allowDefinition="AppHostOnly"
<section name="handlers" overrideModeDefault="Deny" l>
<section name="httpCornpression" allowDefinition="AppHostOnly"
<section name="httpErrors" overrideModeDefault="Deny" l>
<section name="httpLogging" overrideModeDefault="Deny" l>
<section name="httpProtocol" overrideModeDefault="Allow" l>
<section name="httpRedirect" overrideModeDefault="Allow" l>
<section name="httpTracing" overrideModeDefault="Deny" l>
<section name="isapiFilters" allowDefinition="MachineToApplication"
<section name="rnodules" allowDefinition="MachineToApplication"
<section name="odbcLogging" overrideModeDefault="Deny" l>
<sectionGroup name="security">
<section name="access" overrideModeDefault="Deny" l>
<section name="applicationDependencies"
<sectionGroup name="authentication">
<section name="anonyrnousAuthentication"
<section name="basicAuthentication" overrideModeDefault="Deny" l>
<section name="clientCertificateMappingAuthentication"
<section name="digestAuthentication" overrideModeDefault="Deny" l>
<section name="iisClientCertificateMappingAuthentication"
<section name="windowsAuthentication" overrideModeDefault="Deny" l>
<lsectionGroup>
<section name="authorization" overrideModeDefault="Allow" l>
<section name="ipSecurity" overrideModeDefault="Deny" l>
<section name="isapiCgiRestriction" allowDefinition="AppHostOnly"
Windows Server 2008
<section name="requestFiltering" overrideModeDefault="Allow" l>

<lsectionGroup>
<section name="serverRuntime" overrideModeDefault="Deny" l>
<section name="serverSideinclude" overrideModeDefault="Deny" l>
<section name="staticContent" overrideModeDefault="Allow" l>
<sectionGroup name="tracing">
<section name="traceFailedRequests" overrideModeDefault="Allow" l>
<section name="traceProviderDefinitions" overrideModeDefault="Deny" l>
<lsectionGroup>
<section name="urlCompression" overrideModeDefault="Allow" l>
<section name="validation" overrideModeDefault="Allow" l>
<lsectionGroup>
<lconfigSections>
Zárszó
Az IlS 7 összetett rendszer. Ebben a fejezetben megvizsgáltuk a fóbb szolgáltatásait, és láttuk
néhány kevésbé fontos szolgáltatását is. Megismerkedtünk az új felépítéssel és az IlS telepítésével,
valamint megtanultuk parancssorból, illetve grafikus módban, a teljesen újragondolt Internet
Information Services Manager segítségével kezelni az IlS-t. Ezen kívül megvizsgáltuk, hogyan
tudjuk az XML alapú beállítási lehetőségeket érvényesíteni. Könyvünk korlátai rniatt sajnos nem
fedhettük le teljesen az IlS-t, de legalább képet kaptunk róla, hogy rni az, ami új ebben a változat
ban, és hogy hol keressünk bizonyos szolgáltatásokat.
Végül meg kell jegyeznünk, hogy az IlS 7 óriási lépést tett a Windows környezetben
a megbízhatóság, a nagy teljesítmény és a széles körű alkalmazhatóság felé. Az IlS 7 valóban
a webkiszolgálók következő nemzedékének tagja.
A Windows Server 2008 Server Core
"
Server Care? Kiszolgálómag? Olyan ez, mint az alma (természetesen "Apple ) magja? Igazából
attól függ, hogyan tekintünk rá: a könyv szempontjából a Microsoft Longhorn Server termékcsa
lád nagyszerű, új eleméről van szó. A Server Care alapvetőerr a Longhorn Server lecsupaszított,
eszközszerű változata, amely semmi mással, csak néhány korlátozott szerepkörrel rendelkezik.
A Server Core-nak meglátásom szerint két fő előnye van: rendkívül koncentrált, ami azt jelenti,
hogy csak olyan feladatokat hajt végre, amelyekhez kiválóarr ért. Ennek eredményeképpen
jobban teljesít, rugalmasabb és hatékonyabb, mint egy teljes értékű operációs rendszer. A Care
a Windows "kirakósjáték" többi darabjától csak korlátozott mértékben függ, rnivel arra hivatott,
hogy a többi telepített szaftver nélkül is működjön; általában önmagában is működőképes.
Viszonylag sok korábbi Windows-összetevő felesleges a számára- például a Windows Explorer
(Windows Intéző), illetve az Internet Explorer-, ami a Windows Server 2003-ról viszont nem
mondható el.
A szokásos Windows Server termékekkel ellentétben mindez jóval kisebb támadási felületet
képez, mivel a felesleges összetevőket eltávolították A Server Core-nak azonban lehetnek
számunkra ismeretlen jellemzői is, valamint létezhet néhány érdekes tény és korlátozás a számí
"
tástechnika "mag alapú megközelítésével kapcsolatban, amelyekkel esetleg még nem találkoz
tunk. Az alábbiakban ezeket tekintjük át.
A rendszerhéj hiánya
Talán ez a legfelkavaróbb, de a visszajelzések alapján a legérdekesebb és legüdvözöltebb
különbség a Server Care és a hagyományos Windows kiszolgálórendszer közt. Ha elindítjuk
a Server Care-t, egy színes hátteret fogunk látni, amely úgy néz ki, mint egy egyszínű asztal.
Tévesen azt hihetjük, hogy rossz változatot telepítettünk, de arnint megjelenik egy parancsab
lak, azonnal felismerjük, hogy tévedtünk - mihelyt megjelenik a parancsablak, minden tevé
kenység leáll, igen hasonlóan ahhoz, mint arnikor egy szokványos Windowsan megnyitjuk
a Task Marragert (Feladatkezelő) és leállítjuk az explorer.exe folyamatot (lásd a 9.1. ábrát).
-\.1:1 Windows Server 2008
9.1. ábra
Az alapértelmezett környezet, ha egy felhasználó interaktív módon jelentkezik be
egy Server Care alapú gépre
A Notepad-et (Jegyzettömb) meg lehet nyitni- lényegében ez az egyetlen telepített grafikus

alkalmazás-, de csak a parancssorból, és az alkalmazás nem tartalmazza a "mentés másként"
parancsot, mert az ilyen jellegű intézőablakok megjelenítése nem támogatott. Ezeket az ablakokat
tulajdonképpen egy "shim" kód-alapvetően egy programozási eljáráscsonk-hozza létre, amely
anélkül, hogy az Explorerbe ágyazódna, a Notepad számára lehetővé teszi az Explorerhez kap
csolódó párbeszédablakok megjelenítését.
Fel kell idéznünk a DOS-os időket, hogy hozzászokjunk a Server Core kezeléséhez. A parancssor
igen hatásos- sok esetben többet érhetünk el parancsokkal, beállításokkal és kapcsolókkal, rnint
a grafikus felülettel-, de kezdetben elrettentőnek tűnhet.
Az alábbiakban felsorolunk néhány dolgot, amelyek hiányoznak a Windows Server 2008 Server
Core-ból:
•
Hiányzik a .NET keretrendszer, illetve az egységes nyelvi futtatókörnyezet (CLR).
•
Nincs Microsoft kezelőkonzol, illetve hiányoznak a hozzá kapcsolódó beépülő modulok.
•
A Vezérlőpult kisalkalmazásainak nagy többsége hiányzik.
•
Nincs "Futtatás" ablak, sőt Start menü sem.
Telepítési forgatókönyvek
A Server Core alapszinten csak fájlkiszolgálóként, nyomtatókiszolgálóként, tartományvezérlőként,
Active Directory Lightweight Directory Services (LDS) kiszolgálóként, multimédiafolyam-kiszolgá
lóként, DHCP-kiszolgálóként, DNS-kiszolgálóként vagy Windows Server V irtualization kiszolgáló
ként működhet. Szerepelhet fürtökben és terheléselosztó csoportokban, futtathatja a Unix-alkal
mazásokhoz készült alrendszert, fejlettebb adottságainak köszönhetően készíthet biztonsági máso
latokat, valamint kezelhető az SNMP-vel, illetve annak segítségével állapotjelentéseket is adhat.
A Server Core rendelkezik még néhány másodiagos adottsággal is, de a rendszer annyira lecsupa
szított, hogy jelenleg még csak a fentiekben felvázolt alapvető szerepkörök betöltésére alkalmas.
A késóbbi kiadások már tartalmazhatnak a mag alapú operációs rendszer által betölthető több
szerepkört is, de ezek még nem állnak rendelkezésre. A Windows Server 2008 Server Core szerep
köreit és szolgáltatásait a 9.l. táblázatban soroltuk fel.
9. fejezet • A Windows Server 2008 Server Care
9.1 táblázat A Windows Server 2008 Server Care szerepkörei és sza/gáitatásai
A Server Core-ban elérhető szerepkörök AServer Core-ban elérhető szolgáltatások

Active Directory és Active Directory Lightweight BitLoeker meghajtótitkosítás
Directory Services (LDS)
DHCP-kiszolgáló Feladatátvételi fürtszolgáltatás
DNS-kiszolgáló Többutas 1/0
Fájlszolgáltatások (beleértve a DFSR-t és az NFS-t) Cserélhető tároló kezelése
Nyomtatószolgáltatások SNMP-szolgáltatások
Multimédiafolyam-szolgáltatások UNIX-alapú alkalmazások alrendszere
Windows Server Virtualizatien Telnet-ügyfél
Windows kiszolgáló biztonsági mentése
WINS-kiszolgáló
Nincs felügyelt kód

A .NET keretrendszer kódja nem elég moduláris ahhoz, hogy az összetevőit aszerint osszuk fel,
hogy a Server Core képes-e futtatni azokat vagy sem. (A késóbbi kiadásokban talán pótolják ezt
a hiányosságot; a teendők listáján rnindenesetre elóK:elő helyen kell szerepelnie.)
Ez nem csak azt jelenti, hogy nem futtathatunk egyéni webalkalmazásokat, hanem elveszítjük
a hozzáférést a Windows ezen kiadásával együtt járó jobb kezelőprogramokhoz is, beleértve
a Windows PowerShellt (amely korábban a Monad kódnévre hallgatott). E tekintetben a Server
Core nem egy szokványos .NET-gép, ezért a webalkalmazásokhoz és egyéb saját programokhoz
telepítenünk kell az operációs rendszer szokásos, teljes értékű Longhorn Server kiadását.
Külső alkalmazások
Főként olyan programokkal kapcsolatban találkozunk majd problémákkal, amelyeket úgy ter
veztek, hogy a rendszertálcán vezérlőelemeket jelenítsenek meg, mint például egyes vírusirtó és
rendszerhéj-módosító alkalmazások. Egyes felügyeleti prögramok esetében is felmerülhetnek
gondok, noha ezek az alkalmazástípusok a háttérben dolgoznak, és grafikusan semmit sem jele
nítenek meg. Az SMS 2005 és a MOM 2005 termékcsalád egyes ügynökprogramjainak például
kitűnően kell működniük a Server Core rendszerű számítógépeken, mivel a műveleteik főként
a felszín alatt mennek végbe, és a felhasználó számára nem jelennek meg grafikus formában.
Végül néhány esetben érzékeny pontot jelenthet az illesztőprogramok telepítése -vagy olyan
hardvereszközöket kell használnunk, amelyeknek az illesztőprogramjai megtalálhatók a Server
Core-ban, vagy a megfelelő illesztőprogramokat előre be kell töltenünk a Drvload segédprog
rammaL Az illesztőprogramok aláírásával kapcsolatban is felmerülhetnek problémák, bár ezek
mérsékelhetők, ha a cspportházirendek segítségével a Server Core gépen megváltoztatjuk
a illesztőprogramok aláírási házirendjét - de ezt természetesen távolról kell elvégeznünk.
-:Iul Windows Server 2008
Telepítés
A Windows Server 2008 Server Core kiadásának telepítése nem sokban különbözik a Windows
Server 2008 normál, teljeskörű telepítésétőL A telepítés során egyetlen Irulesfontosságú képer
nyővel találkozunk - a termékválasztó párbeszédablakkal -, amelyen a teljeskörű telepítés
helyett a "core" telepítését választjuk Ezt követően az egyes telepítési módok között már
nem lesz különbség. Ezt a képernyőt a 9.2. ábra mutatja.
lJ Install Windows
Select the edition of Windows that you purchased
Windows Version
Windows Server 2008 Standard (Full lnstallation)

Windows Serve-r 2008 Enterpri5e (Full Installation)
WindowsServer 2008 Datacenter (Full lnstallation)
,N1ndows )F-1'\er :oos Standard (�e,...er lore lnstallat•cnJ
Windows Server 2008 Enterprise (Server C ore Installation)
Windows Serve:r 2008 Datacenter {Se:rver C ore In�tarlation)
If you enter you r product key. \r'/i.ndrn.vs can automaticaily determine which edition you purcha.sed.
To enter your produrt key, dic.k the Bad: button t� return to the previou.r page.
ff you choose not to enter your product key now. make sure that you select the edition of Windows
thatyou purchased.lf you select the wrong edition, you will need to purchase that edition, or you
will need to reinstall the correct edition of Windows later and potentialfy lose fi les and information.
9.2. ábra
A Wi"ndows Server 2008
D I have selecte dthe edition ofWindows that l purchased Server Care kiadásának
választása a telepítés
során
A Server Core telepítéséhez 512 MB RAM szükséges a célgépen. A telepítés után maga a Server
Core már nem igényel sok memóriát. A lemezterület nem jelent gondot: a Server Core szokásos
telepítési helyigénye a Windows Server 2008 telepítési helyigényének csak a 20%-t teszi ki.
Ha a központi Windows-telepítési sza/gáitatásokat (Windows Deployment Services)

Megjegyzés
használjuk, a Server Core-t az automatizált telepítőrendszer telepíti; csak annyi
a dolgunk, hogy a telepítőmenüben a Server Care lehetőséget válasszuk. A Windows Dep/oyment
Servicesről a 2. fejezetben beszéltünk bővebben.
Kezdeti beállítás
Sok más kiszolgálóhoz hasonlóan a Server Core rendszer beállításait is finomítanunk kell, illetve
meg kell adnunk bizonyos információkat, mielőtt a rendszert munkára is használhatnánk.
Az alábbi részben áttekintjük a Windows Server 2008 Server Core rendszerű számítógépek
beállításának néhány kezdeti lépését:
• A rendszergazda jelszavának megváltoztatása

• A dátum és az idő, illetve az időzónával és a földrajzi hellyel kapcsolatos adatok bevitele
• A hálózati kapcsolatok beállítása
• A kiszolgáló nevének megadása és egy létező tartományhoz kapcsolása
9. fejezet • A Windows Server 2008 Server Core
• Az automatikus frissítés engedélyezése, ha szükséges, és a rendelkezésre álló frissítések

letöltése
• A kiszolgáló aktiválása
A rendszergazda jelszavának beállítása

Alapértelmezés szerint a Server Care egy beépített, helyi rendszergazdafiókkal telepíti magát,
amely üres jelszóval jön létre. Az első bejelentkezésnél a jelszót meg kell változtatni (vagyis tény
legesen meg kell adni egy jelszót a fiókhoz). Ez nagyszerűen működik az első bejelentkezésnél,
de egy társfiókhoz tartozó jelszó megváltoztatásához két másik lehetőség közül választhatunk
• Használhatjuk a régi jó parancssor alapú net user segédprogramot. A net user

administrator* parancs kiadása után a program például arra kér majd minket, hogy
adjunk meg egy új jelszót a rendszergazdai fiókhoz.
• A CTRL+ALT+DEL billentyűk együttes lenyomása ("hárombillentyűs üdvözlés") után
válasszuk a jelszó módosítására szolgáló Change Password lehetőséget. A régi és az új
jelszót is meg kell adnunk, az újat pedig meg kell erősítenünk. A módosítás végrehaj
tásához kattintsunk a jobb oldali nyílra.
Dátum-, idő- és helybeállítások

A Server Core-ban mindössze két grafikus vezérlőpult-párbeszédablakot találunk, amelyek közül
az egyik a Date and Time (dátum és idő) kisalkalrnazás. Itt az időzóna és emlékeztetők állíthaták
be, emellett az alkalmazás jelzi a nyári időszámítás kezdetét és végét, valamint lehetővé teszi
további (bár nem megtekinthető) órák beállítását, és a kiszolgáló órájának automatikus egyezteté
sét az internetes időkiszolgálókkaL A 9.3. ábrán látható kisalkalmazáshoz a következő paranccsal
férhetünk hozzá:
Control timedate.cpl
Date:.
Wodn�ay. Octi>liir 1G,,2íl07
Tune:
3:44i51PM.
9.3. ábra
A Date and Time vezérlőablak
a Server Core-ban, a parancssorból
megjelenítve
Windows Server 2008
Ehhez hasonlóan a Regional and Language Options (területi és nyzelvi beállítások) kisalkalma
zás is elérhető a parancssorból:
Control intl.cpl
A kisalkalmazás a 9.4. ábrán látható módon jelenik meg.
f!., Reg1onal and language Opbons ,�*.Rt.:;.
To change the way your computer displays numbe<>. currencies, dates. and
time. select an entry from the forrnat list.
kUn:ent forrnat
Examples of how data is displayed using this forrnat
Number: 113,456,789.00
Currency: S123.456,789.00
Time 3:45:49 PM
Shorl:date: 10/10/.2007
long date: Wednesday, OctoberlO,l007
Cystomize tllis format...
9.4. ábra
For additional formats. keyboard<, and1ools, go to the Microsoft website.
A Regional and Language Options
vezérlőablak, ismét csak a parancssorból
megjelenítve
Hardver-illesztóprogramok telepitésa és alkalmazása

Ha a kiszolgálónkhoz új hardvereszközt kell hozzáadnunk, vagy a gépünkön frissíteni szeretnénk
az illesztőprogramokat, mindezt megtehetjük a parancssorbóL A Server Core támogatja a Plug and
Play eszközöket, így nem kell átkutatnunk a szöveges beállítófájlokat, illetve a rendszerleíró adat
bázist Cbeállításjegyzéket), hanem csak a következőket kell tennünk:
1. Az illesztőprogram fájljait saját kezűleg másoljuk át az eredeti adathordozóról egy

a Server Core-ban található helyre.
2. Az illesztőprogram telepítéséhez futtassuk a pnputil programot.
3. Szükség esetén indítsuk újra a számítógépet
A plug-and-play segédprogram utasításformája a következő:
pnputil -i - a driver.inf
Hálózati kapcsolatok beállitása

Mivel a Windows Server 2008 Server Core-nak nincs rendszerhéja, a hálózati kapcsolatokat is
a parancssorból kell beállítanunk. A parancssori eszközök tárháza óriási, és nagyon könnyen
használhaták Először ismerkedjünk meg a netsh interface ipv4 parancsok csoportjával.
9. fejezet • A Windows Server 2008 Server Care
Első lépésként vizsgáljuk meg, hogy alapértelmezés szerint rnilyen felületeket kapunk a Server
Care gépünkhöz. Az alábbi parancs segítségével hívhatjuk elő a Server Care összes beállított
hálózati felületét:
>netsh interface ipv4 show interfaces
Idx Met MTU State Name
l 50 4294967295 connected Loopback Pseudo-Interface l

10 10 1500 connected Local Area Connection
Amint azt a parancs kimenetébó1láthatjuk, a gépen két hálózati felület található. A rni szempon
tunkból a fontosabbikhoz - amely a várakozásnak megfelelően a Local Area Connection (Helyi
kapcsolat) névre hallgat - a 10-es "idx" (indexszám) tartozik. Ez a számérték az alább bemutatott
parancsok szempontjából fontos, rnivel azonosítja, hogy melyik LAN-csatalót célozzuk meg
az egyes parancsokban.
Most rendeljük a géphez a statikus 192.168.0.99 IP címet a szokásos 255.255.255.0 hálózati

maszkkal és a 192.168.0.1 átjáróval. A hozzárendeléshez a netsh parancs set address
(cím beállítása) kapcsalóját használjuk. Gépeljük be a következőket:
Netsh interface ipv4 set address name="lO" source=static address=l92.168.0.99

mask=255.255.255.0 gateway=l92.168.0.1
Most pedig adjunk a keverékhez néhány DNS-kiszolgálót is. Legyen a 24.25.5.150 az első (az el
sóbbséget egy adott kiszolgálóhoz az index kapcsolóval rendeljük hozzá, ami nem ugyanaz,
mint a name vagy az Idx kapcsaló és egyéb jellemzők, amelyekkel már találkoztunk),
a 24.25.5.149 pedig a második DNS-kiszolgáló:
Netsh interface ipv4 add dnsserver name="lO" address=24.25.5.150 index=l

Netsh interface ipv4 add dnsserver name="lO" address=24.25.5.149 index=2
Ha a parancs végrehajtása után nem érkezik hibaüzenet, akkor az átállítás sikeresen befejeződött.
Az eredményt az ipconfig l al l parancs segítségével kényelmes formátumban ellenőrizhetjük.
Az alábbiakban egy mintakimenet látható, amely tanúsítja, hogy a beállításaink a megfelelő he
lyekre kerültek:
Windows IP Configuration
Host Name . WIN-1UUMA7JYIC8

Primary Dns Suffix
Node Type . . . . . Hybrid
IP Routing Enabled. No
WINS Proxy Enabled. No
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix.

Description . Intel(R) PR0/1000 MT Network Connection
Physical Address. 00-0C-29-EA-A7-3D
DHCP Enabled. No
Autoconfiguration Enabled Yes
-��· Windows Server 2008
Link-local IPv6 Address fe80::2132:e6ca:f75a:2545%10(Preferred)
IPv4 Address. . 192.168.0.99(Preferred)
Subnet Mask . . 255.255.255.0
Default Gateway 192.168.0.1
DNS Servers 24.25.5.150
24.25.5.149
NetBIOS over Tcpip. . . . . . . . : Enabled
Tunnel adapter Local Area Connection* 8:
Media State . . . . Media disconnected

Connection-specific DNS Suffix
Description . . . Microsoft ISATAP Adapter
Physical Address. 00-00-00-00-00-00-00-EO
DHCP Enabled. . . No
Tunnel adapter Local Area Connection* 9:
Connection-specific DNS Suffix.

Description . . . Teredo Tunneling Pseudo-Interface
Physical Address. 02-00-54-55-4E-01
DHCP Enabled . . . No
IPv6 Address. . . . . . .
• 2001:0:4136:e390:3020:8d1:3f57:ff9c(Preferred)
Link-local IPv6 Address fe80::3020:8dl:3f57:ff9c%12(Preferred)
Default Gateway . .
NetBIOS over Tcpip. . . Disabled
A kiszolgáló elnevezése és tartományhoz csatlakoztatása

A telepítés után a Windows Server 2008 Server Core egy véletlenszerű karakterláncot rendel
a számítógéphez névként Ez nagyszerűen működik, amikor új kiszolgálót helyezünk üzembe,

és el szeretnénk kerülni a hálózaton belül a számítógépnevek ütközését, az ilyen nevek azonban
állandó hivatkozásként aligha állják meg a helyüket.
A Server Core gép jelenlegi nevét az alábbi paranccsal kérdezhetjük le:
>hostname
WIN-1UUMA7JYIC8
Ha a véletlenszerű karakterlánc helyett értelmesebb nevet - mondjuk WS08-CORE-1 - akarunk

választani, használjuk a netdom parancsot és a hozzá tartozó kapcsalókat az alábbiak szerint:
>netdom renamecomputer WIN-1UUMA7JYIC8 /NewName:WSOS-CORE-1

This operatien will rename the computer WIN-1UUMA7JYIC8
to WSOS-CORE-1.
Certain services, such as the Certificate Authority, rely on a fixed machine

name. If any services of this type are running on WIN-1UUMA7JYIC8,
then a computer name change would have an adverse impact.
9. feiezet • A Windows Server 2008 Server Care
Do you want to proceed (Y or N)?y

The computer needs to be restarted in order to complete the operation.
The command completed successfully.
Ügyeljünk arra, hogy- amint az várható- a számítógépet a névváltozás után újra kell indítani.
Miután újraindult, a kiszolgálót valószínűleg egy tartományhoz szeretnénk kapcsolni. Például, ha
az újonnan elnevezett WS08-CORE-1 gépünket a HASSELLTECH tartományhoz kívánjuk csatla
koztatni, használjuk az alábbiakban látható parancsot. Győződjünk meg róla, hogy a plusz "d"
betűt a bemutatott módon auserd és passwordd kapcsolók végére írtuk, mivel ezek jelzik,
hogy az adott azonosítójú felhasználó megfelelő engedélyekkel rendelkezik ahhoz, hogy a gépet
az adott tartományhoz csatlakoztassa:
>netdom join WS08-CORE-1 /domain:HASSELLTECH /userd:Administrator

/passwordd:*
Type the password associated with the domain user:
The computer needs to be restarted in order to complete the operation.
The command completed successfully.
Az automatikus frissítés engedélyezése

Azt, hogy a Windows Server 2008 Server Care hogyan kezelje az automatikus frissítéseket,
az scregedit.wsfnevű különleges parancsfájl segítségével állíthatjuk be. Az operációs rendszer
fent említett kiadásának egyedi vonásáról van szó, amellyel a Windows Server 2008 szokásos mó
don telepített változatában nem találkozhatunk. Az scregedit wsfparancsfájl
. különféle beállítások
módosítását teszi lehetővé, beleértve az automatikus Windows-frissítések kezelését és
a Windows-hibajelentések beállításait. Továbbá a parancsfájl engedélyezi a terminálszolgáltatások
távfelügyeleti kapcsolatait, és megadja azt is, hogy az RDP-ügyfél melyik változatától származó
kapcsolatokat kell elfogadni, illetve meghatározza, hogy a DNS SRV bejegyzések fontosságának
és súlyának megfelelően az IP Security (IPSEC) Manitor távolról kezelheti-e az IPSEC-et és más
különböző beállításokat. (Az SRV bejegyzésekről részletesebben a 4. fejezetben szóltunk.)
Az alábbi részben a hangsúlyt a hibajavításra helyezzük. Ha kapcsolatba szeretnénk lépni

a rendszerrel, és meg szeretnénk határozni az automatikus frissítés érvényben levő beállításait,
használjuk az alábbi parancsot:
cscript scregedit.wsf /au /v
Az automatikus frissítés engedélyezése a Server Care esetében azt jelenti, hogy a Windows
az alábbi parancs hatására automatikusan letölti és telepíti a frissítéséket (a frissítések listájának
megjelenítéséhez és az elemek egyenkénti jóváhagyásához nem áll rendelkezésre megfelelő
eljárás):
cscript scregedit.wsf /au 4
Végül, a frissítések kereséséhez használjuk az alábbi parancsot:
wuauclt /detectnow
A kiszolgáló aktiválása
A kiszolgáló beállításához szintén használható másik parancsfájl az slmgr.vbs. A scregedit.wsfpa
rancsfájltól eltérően ez az állomány megtalálható a Windows Vistában és a Windows Server 2008
teljeskörűen telepített változatában is. Az slmgr parancsfájl felügyeli a felhasználási engedélyekkel
és az aktiválással kapcsolatos feladatokat, amelyeket a rendszergazdának egy windowsos gépen
el kell végeznie. A Server Core gépeken négy ilyen fontos műveletet kell elvégeznünk; ezeket
olyan sorrendben mutatjuk be, amilyen sorrendben azokat végrehajtjuk, hogy megjelenítsük és
végül aktiváljuk egy Windows Server 2008 Server Care felhasználási engedélyét.
Az alábbi parancs telepíti a termékkulcsot, feltéve ha azt a termék telepítésekor nem adtuk meg:
cscript slmgr.vbs -ipk
A következő parancs ellenőrzi a gép aktiválásához sZÜkséges, jelenleg érvényben lévő felhasz
nálási engedély állapotát és lejárati idejét, beleértve az aktiválás előtti türelmi időszakot is:
cscript slmgr:vbs -xpr
Az alábbi parancs végrehajtja az aktiválást:
cscript slmgr.vbs -ato
Végül az utolsó parancs visszaállítja az aktiválás türelmi időszakát. A visszaállító eljárást csak
korlátozott mértékben használhatjuk; jelenleg ez három alkalmat jelent:
cscript slmgr.vbs -rearm
Távoli asztali szolgáltatások engedélyezése

Egy gép kezdeti beállításának utolsó lépése a távoli asztali kapcsolatok beállítása - persze, csak
ha szeretnénk -, hogy ezáltal irodánk kényeimét élvezve legalább a parancssorból irányíthassuk
a rendszert, és ne kelljen a gép előtt ülnünk az adatközpontban. A feladat végrehajtásához
visszatérünk a scregedit.wsf parancsfájlhoz.
A távoli asztal (Remote Desktop) engedélyezéséhez adjuk ki az alábbi parancsot:
cscript scregedit.wsf /ar O
Lehet, hogy szeretnénk, ha Server Core gépünkre a legújabb biztonsági és hitelesítési techno
lógiákkal még nem rendelkező, régebbi RDP ügyfelek is kapcsolódhatnának. A biztonsági
beállításokat ilyen esetben az alábbi paranccsal állíthatjuk át:
cscript scregedit.wsf /cs O
Ha elindítottunk egy terminál-munkamenetet, valószínűleg tudni szeretnénk, hogy rniként jelent

kezhetünk ki beló1e, ha a Start menü nem áll a rendelkezésünkre. A munkamenetet szerencsére
egy egyszavas paranccsal befejezhetjük; ezzel ellentétben ha a kijelentkezéshez az RDP ügyfélen
kattintunk a bezáró gombra, csak a grafikus munkafolyamat szakad meg (vagyis az aktív folya
matok közül semmi sem zárul be):
logoff
A Windows Server 2008 Server Core gépek felügyelete

Most, hogy a gépünket többé-kevésbé beállítottuk, és készen állunk az üzembe helyezésére,
ideje rátérnünk, hogy a különböző környezetekben hogyan készíthetjük elő a kiszolgálót a tele
pítéshez. Amint az már a korábbiakban kiderült, a Windows Server 2008 olyan szerepkörökhöz
előkészített szolgáltatáscsomagokat és kapcsolódó programokat kínál, amelyek illeszkednek
azokhoz a környezetekhez, amelyekben a gépeket üzembe helyezzük.
A fent említett szerepkörök a Windows Server 2008 teljeskörűerr telepített kiadásában a Server
Manager MMC-konzol segítségével telepíthetők. A Server Care gépek esetében ez nyilvánvaló
an lehetetlen, hiszen a grafikus héj szinte nem is létezik.
Rendelkezésünkre áll azonban egy ocl ist nevű parancssori segédprogram, amely lehetővé
teszi, hogy áttekintsük a Windows Server 2008 Server Care által betölthető szerepköröket.
Ha lefuttattuk az oclist segédprogramot, és azonosítottuk a kívánt szerepkör nevét, a nevet
megadva a segédprogrammal bármikor telepíthetjük vagy eltávolíthatjuk azt, illetve a választha
tó összetevőket. Az oclist segédprogram kimenetére a 9.5. ábrán láthatunk mintát.
9.5. ábra
Az oc/ist. exe
parancs kimenete
egy Server Care
munkamenetben
Megfigyelhetjük, hogy a DHCPServerCore szerepkör nem telepítettként szerepel. Tegyük fel,

hogy kísérletünk céljának megfelelőerr Server Care gépünket mint távfelügyelt, grafikus felület
nélküli, lecsupaszított DHCP-kiszolgálót szeretnénk üzembe helyezni. A gép előkészítéséhez
telepítenünk kell a DHCP-kiszolgáló szerepkört. Az oclist parancs kimenetéből nyert nevet
használva az alábbi ocsetup-parancs kiadásával láthatunk neki a szerep telepítésének
ocsetup DHCPServerCore
A rendszer ekkor dolgozik egy ideig, és a műveletnek hiba nélkül kell befejeződnie. Az oclist
segédprogram ismételt futtatásával győződjünk meg róla, hogy a telepítés befejeződött, és ellen
őrizzük, hogy a DHCPServerCore szerepkör most már telepítettként szerepel-e.
Egy szerepkör (esetünkben a DHCP-kiszolgálói szerepkör) eltávolításához az alábbi parancsot

használhatjuk
ocsetup DHCPServerCore /uninstall

-:11:1 Windows Server 2008
Az Active Directory tartományszolgáltatások telepítése a Server Core-ra
Egy szerepkört majd biztosan telepíteni szeretnénk a Server Core gépünkre, és ez a tartomány
vezérlői szerepkör. A szerepkör telepítése egy Server Core gépre kicsit másképp történik, rnivel
azocsetup programmal végrehajtott telepítés nagyban támaszkodik a grafikus héjra-ez azt
jelenti, hogy ha a telepítésnek ezt a módját választjuk, akkor eredményül egy igen instabil
Server Core gépet kapunk, amely úgy gondolja, hogy bizonyos tekintetben tartományvezérlő,
más tekintetben viszont nem.
A tartományvezérlő Server Core gépre való telepítésének egyetlen támogatott megoldása

a dcpromo segédprogram használata felügyelet nélküli módban. A felügyelet nélküli mód hasz
nálatához létre kell hoznunk egy egyszerű szövegfájlt néhány beállítással, amelyek lehetővé
teszik a dcpromo-nak, hogy folyamatosan dolgozzon, anélkül, hogy a felhasználótól bármilyen
információt kellene kérnie, végül pedig a Server Core tagkiszolgálónkat sikeresen előlépterhetjük
tartományvezérlővé.
Egy unattend.txt nevű fájlban (vagy bármilyen tetszőleges nevű fájlban, feltéve, hogy nem
felejtjük el a nevét) legalább az alábbi kilenc beállírásra van szükség:
[DCinstall]
ReplicaOrNewDomain=Domain
NewDomain=Forest
NewDomainDNSName=hasselltech.local
AutoConfigDNS=Yes
DNSDelegation=Yes
DNSDelegationUserName=username
DNSDelegationPassword=password
RebootOnSuccess=NoAndNoPromptEither
SafeModeAdminPassword=breakincaseofemergency
- A fenti és a további felhasználható paraméterekről az 5. fejezetben száltunk bővebben.
A segédprogram futtatásához adjuk ki a következő parancsot:
dcpromo /unattend:unattend.txt
Windows távoli rendszerhéj

A Windows Remote Shell (távoli rendszerhéj) vagy WinRS része a Windows Vistának és a Win
dows Server 2008 teljeskörűen telepített változatának, de találkozhatunk vele a Windows Server
2003 R2-ben is. A WinRS a Server Core gépen futó figyelőrészből és egy másik gépen lévő ügyfél
szaftverből áll. Az ügyfélszaftver megadott gépeknek címzett parancsokat küld a figyelőnek,
a Server Core gépen lévő WinRS szaftver pedig megkapja és végrehajtja azokat, majd a kimenetet
visszaküldi a parancsot kiadó ügyfélgépre.
Először is, a WinRS figyelőt aktiválnunk kell a Server Core gépen. Ehhez használjuk az alábbi
parancsot:
WinRM quickconfig
A folyamatot a 9.6. ábra mutatja.

9.6 ábra
A Windows távoli
rendszerhéj figye
lőjének beállítása
a Server Care
gépen
Miután a figyelőt beállítottuk, bármely Windows Vista, illetve (teljes kiadású) WindowsServer
2008 rendszert futtató számítógépről küldhetünk a winrs-sel a Server Core gépünknek szánt
parancsokat. Ha például az oclist parancs eredményét szeretnénk megtekinteni, egy Vista
gépen a következőket írjuk be a parancssorba:
winrs - r: W S O B - CORE - 1 "oclist"
A Server Core vezérlése Csoportházirendek segítségével

Sok rendszergazda szerint aServer Core gépek egységes beállítását a legkönnyebben célzott cso
portházirendeken keresztül lehet megvalósítani. Először létrehozunk egy csoportházirend-objektu
mot (GPO), amely csak aServer Care gépekre érvényes, úgy, hogy a GPO-k tulajdonságainak al
kalmazását WMI-szűrőkkel csak aServer CareSKU-val működő gépekre korlátozzuk, vagy létre
hozunk egy szervezeti egységet (OU) az Active Directory tartományszolgáltatásokon belül, és csak
Server Care gépeket helyezünk bele, aztán a GPO-t az újonnan létrehozott OU-hoz kapcsoljuk.
Én a WMI-szűrőket részesítern előnyben, mivel ez a módszer nem kényszerít minket arra, hogy
az AD hierarchiát az operációs rendszerekre alapozva hozzuk létre, de a kívánt hatás tekintetében
mindkét eljárás egyformán jól működik. A WMI-szűrők használatakor az OperatingSysternSKU
tulajdonság szerint szűrünk a Win32_0peratingSystern osztályban. A felhasználható értékek
a következóK:: a 12 a DatacenterServer Care, a 13 aStandardServer Care, a 14 pedig
az Enterprise Server Care kiadást jelenti.
Arról, hogy miként szabályozhatjuk a csoportházirend-objektumok alkalmazását

WM!-szűrők segítségéve!, a 6. fejezetben beszéltünk bővebben.
Zárszó
Ebben a fejezetben a WindowsServer 2008Server Care kiadását mutattuk be, amelyen a grafikus
rendszerhéj hiányában minden felügyeleti tevékenységet a parancssorból kell elvégeznünk.
Beszéltünk aServer Care telepítéséró1, kezdeti beállításáról, kezeléséről és felügyeletéről is.
Mivel a Server Care lecsupaszított rendszer, nem sok témát kellett érintenünk. Alapvetőerr "beál
lítjuk és elfelejtjük" jellegű gépekről van szó, ami pontosan tükrözi a Server Care eredeti célját:
olyan rendszert nyújtani, amely a teljeskörűerr telepített Windows Server 2008 gépekhez képest
sokkal inkább berendezésszerűen működik.
Terminálszolgáltatások
A nagygépes informatika hőskorában az alkalmazottak jellemző módon terminálberendezéseken

keresztül kapcsolódtak egy fehér helyiségben lévő nagy géphez, amely futtatta az összes
programjukat és számításukat. A terminál csak a felhasználói felületet jelenítette meg, miközben
feldolgozta a felhasználótól érkező billentyűleütéseket és válaszokat; a háttérben lévő nagygép
pedig végrehajtotta a programokat, és a végfelhasználó számára megjelenítette az eredményt.
Az ügyféloldalon így csak nagyon alacsony processzor-teljesítményre volt szükség. Nagyrészt
ennek köszönhető, hogy ezeket a terminálberendezéseket "butának" titulálták
Bár a személyi és asztali számítógépek elterjedése nagy hatással volt az amerikai üzleti szférára,
néhány esetben még ma is használják a buta terminálokat Cvagy modernebb szóhasználat
szerint "sovány ügyfeleket"). A Windows Terminal Services (Terminálszolgáltatások, TS) olyan
prograrnak és segédprogramok összessége, amelyek intelligensebb és korunknak megfelelőbb
szinten biztosítják számunkra ezt a szolgáltatást. Tulajdonképpen lehet, hogy kicsinyített
módban már megismerkedtünk a terminálszolgáltatásokkal. A Windows XP Remote Assistance
(Távsegítség) és Remote Desktop Connection (Távoli asztali kapcsolat) segédprogramja a termi
nálszolgáltatások egy-egy példája. A terminálszolgáltatások egy a kiszolgálón futó programnak
csak a felhasználói felületét továbbítják az ügyfélgépnek, amely aztán visszajuttatja a megfelelő
billentyűleütéseket és egérkattintásokat. A terminálszolgáltatásokat futtató kiszolgáló, amely
egyidejűleg több ügyfél számára is hozzáférhető, zökkenőmentesen irányítja a kapcsolatokat és
az aktív programokat. A felhasználónak úgy tűnik, mintha a saját gépét használná, nem pedig
egy olyan gépet, amely ugyanakkor más aktív alkalmazásokat is szolgáltat.
Hogy ez miért hasznos? Sok vállalat csökkenteni szeretné az asztali gépek támogatásával kap
csolatos ügyfélszolgálati feladatoknak és az eszközök beszerzésének a költségeit, ezért inkább
sovány ügyfeleket helyez üzembe, amelyek korlátozott mértékű ügyféloldali szolgáltatásokkal
bírnak. A sovány ügyfelek a felhasználó rendelkezésére bocsátanak egy ablakot, amely egy
kiszolgálóhoz kapcsolódik, és futtatja a számukra szükséges alkalmazásokat. A Microsoft Office,
sok könyvelőprogram és rengeteg más alkalmazás is hatékonyan működik a terminálszolgálta
tások keretében, és bizonyos cégeknek kezdetben megéri a beállításokra több időt szánni, hogy
a felügyelet a késóbbiekben minél kevesebb fejfájást okozzon.
Windows Server 2008
Gondoljunk csak arra, hogy így mennyivel alacsonyabb költséggel jár a javítócsomagok telepí
tése, a prograrnak frissítése vagy a régi prograrnak eltávolítása. A telepítést, frissírést és eltávolí
rást csak egyszer kell végrehajtanunk, és bingó: a teljes vállalati informatikai környezet frissül.
Ennek az előnyeit nehéz lenne cáfolni. A terminálszolgáltatásoknak ezt a használati módját
egyszerűen terminálszolgáltatásoknak hívjuk.
A terminálszolgáltatásoknak azonban van egy másik gyakori felhasználási területe is: a távoli
rendszerfelügyelet A segítségével gond nélkül kapcsolódhatunk olyan gépekhez, amelyeken
a terminálszolgáltatásokkal összeegyeztethető operációs rendszer fut, és pontosan úgy használ
hatjuk a gép felületét, mintha ott ülnénk előtte. A Windows 2000, a Windows XP, a Windows
Server 2003 és a Windows Server 2008 felhasználási engedélye (licenc) egyaránt megengedi ezt.
Ez igazi áldás a rendszergazdák számára: nem kell elhagynunk a kényelmes irodánkat, hogy
a gépteremben lévő kiszolgálón felügyeljük a Windows elemeit.
A terminálkapcsolat az ügyfeleknek a 3389-es TCP -kapun át engedélyezi, hogy a munkaállo

másukról bejelentkezzenek egy munkamenetbe. Mind a Terminal Services Configuration
(a terminálszolgáltatások beállítására szolgáló) kisalkalmazás, mind a Terminal Services Manager
(Terminálszolgáltatások kezelője) konzol- mindkét alkalmazással foglalkozunk a jelen fejezet
ben - lehetővé teszi a számunkra, hogy a fent említett kaput és az egyes kapcsolatok tulajdon
ságait megváltoztassuk
A Terminal Server saját felhasználási engedély alapján engedélyezi az ügyfelek bejelentkezését

a terminálkiszolgálóra, ami különbözik a Windows Server 2008 más változatait futtató ügyfelekre
vonatkozó felhasználási engedélyektőL Azon felül, hogy az ügyfelek a felhasználói fiókjukban
használhatják a terminálszolgáltatásokat, rendelkezniük kell egy engedélykiszolgáló (licencki
szolgáló) által kibocsátott érvényes felhasználási engedéllyel is, hogy bejelentkezhessenek egy
terminálkiszolgálóra. A fejezet késóbbi részében a terminálszolgáltatások használatával kapcso
latban részletesebben tárgyaljuk az engedély-kibocsátás témáját.
A Windows Server 2008 Web Edition nem támogatja a terminálszolgáltatásokat, bár

Tipp
a kiszolgáló távoli felügyeletéhez használhatjuk a Control Panel (Vezérlőpult) Remote
Desktop Connections (távoli asztali kapcsolatok) kisalkalmazását.
A távoliasztal-protokoll
A Remote Desktop P rotocol (RDP, távoliasztal-protokoll) az a szabvány, amely a terminálszol
gáltatásokat működteti. Az RDP a T.120 protokollszabvány-családon alapul, és egyben annak
bővített változata. Többcsatornás protokoll, amely egymástól elkülönített, virtuális csatornákon
teszi lehetővé, hogy a kiszolgálóról az eszközök vezérlésével és a megjelenítéssel kapcsolatos
adatokat továbbítsák az ügyfélnek, valamint titkosírva továbbítsák az ügyfél egér- és billentyű
műveleteit. Az RDP jól bővíthető alapot teremt, amelyre sok további lehetőség épülhet: akár
64 OOO önálló adatátviteli csatornát támogat, és a többpontú adatátvitelt is megengedi.
Az RDP felépítését és szerepét egy magasabb nézőpontból a 10.1. ábra mutatja be.
1 O. fejezet • Terminálszolgáltatások IfJ-
Hangátvitel
Megosztott vágólap
True Color-támogatás
Helyi meghajtó-csatlakoztatás
10.1. ábra
Automatikus AzRDP
nyomtatócsatlakoztatás
áttekintése
A Remote Desktop Connection (RDC, távoli Asztal kapcsolat), a terminálszolgáltatások új,

Windows Server 2008-as ügyfélprogramja az RDP 6.0-t használja, és a távoli munkameneten
belül számos helyi erőforrást tesz elérhetővé: az ügyfelek lemezmeghajtóit, az intelligens kártyá
kat, a hangkártyákat, a soros kapukat, a nyomtatókat (beleértve a hálózati nyomtatókat is) és
a vágólapot Ezenkívül a színmélységet 256 színtől (8 bit) True Color-ig (24 bit) állíthatjuk, a kép
ernyőfelbontást pedig 640x480-tól 1600x1200 képpontos méretig.
Az RDP alapvetően a képernyőképpel kapcsolatban fogad utasításokat egy terminálkiszolgáló

állomástól, és kirajzolja azokat az ügyfél képernyőjére. Ha az ügyféloldalon tevékenység tapasz
talható, másodpercenként 20-szor frissíti a képet. (Ha az ügyféloldalon nem zajlik tevékenység,
a sávszélesség megóvásának érdekében felezi a frissítések számát.) Észlel továbbá (egyebek
közt) minden egér- és billentyűműveletet, és feldolgozás céljából továbbítja a jeleket a terminál
kiszolgáló állomásnak. Ez a kétirányú információcsere alkotja a munkamenetet (session), amely
a kiszolgálón futó programokból, valamint a terminálkiszolgáló és az ügyfélgép közötti, az RDP
által közvetített információcseréből áll.
Az alábbiakban felsoroltuk a Remote Desktop Connection 6.0 minden újdonságát:
Hálózati szintű hitelesítés (NLA, Network Level Authentication) és kiszolgáló-hitelesítés

Az NLA új lehetőséget kínál az RDC-ügyfél számára a felhasználó és az ügyfél, illetve a ki
szolgáló hitelesítéséhez, így a hitelesítési eljárás kikerül az RDP-folyamatból. A kiszolgáló
hitelesítés a Transport Layer Security (TLS, átviteli réteg biztonsága) segítségével veti össze
a kiszolgáló valódi azonosítóit azokkal, amelyeket az sugároz, így az ügyfelek biztosak
lehetnek benne, hogy valóban egy igazi kiszolgávai és nem egy rosszul beállított,
"elbitorolt" géppel társalognak, amely az igazi kiszolgáló képében tűnik fel, hogy bizalmas
adatokat szerezhessen meg.
A megjelenítéssel kapcsolatos fejlesztések
Felfedezhetjük, hogy az RDP-munkamenetek már a 4096x2048-as felbontású, illetve
szélesvásznú manitorok használatát is támogatják. Egy munkamenetet több monitorra is
kiterjeszthetünk, ha az ehhez szükséges hardver a rendelkezésünkre áll, és minden munka
menet felületén akár 32 bites teljes színmélységet és ClearType betűsimítást is elérhetünk.
A képernyő adatainak fontossági sorrendbe állítása
Az RDP e szolgáltatása lehetővé teszi, hogy elsőbbséget adjunk azoknak az adatoknak,
amelyeket a képernyőre kell rajzolni az olyan, a sávszélességet intenzíven igénybe vevő
műveletek közben, mint a nagy méretű fájlok átvitele vagy a nagy méretű dokumentumok
-:tjl Windows Server 2008
nyomtatása. Így szakítunk a döcögős felhasználói élménnyel, ami az RDP korábbi változa
tait jellemezte. Alapértelmezés szerint a képernyő adatai számára a sávszélesség 70%-a,
a munkamenetek adatai számára pedig a sávszélesség maradék 30%-a áll rendelkezésre.
A rendszerleíró adatbázisban (beállításjegyzékben) a HKEY_LOCAL_MACHJNE\System\
CurrentControlSet\Seroices\ TermDD kulcs alatt módosíthatjuk ezt az arányt; a képernyő
adataihoz a FlowControlDisplayBandwidth, minden más adatátvitelhez pedig
a FlowControlChannelBandwidth kulcs tartozik.
Asztali élmény és asztalösszetétel
Az RDP lehetővé teszi a felhasználóknak, hogy úgy tűnjön nekik, illetve úgy érezzék, mint
ha egy normál Windows Vista rendszerű gépük lenne, beleértve a különböző asztaltémákat
és a Windows Media Player elérhetőségét is, amelyek az RDP és a terminálszolgáltatások
korábbi változataiban nem voltak hozzáférhetők. Ezt a szolgáltatást a Server Managerben
(Kiszolgálókezeló), az Add Feature (Szolgáltatás hozzáadása), majd a Desktop Experience
(Asztali élmény) lehetőséget választva engedélyezhetjük. A szolgáltatás teljes mértékben
a kiszolgálón alapul, ezért ügyféloldali beállírásra nincs szükség.
Plug and Play eszközök átirányítási keretrendszere
Ez az összetevő lehetővé teszi, hogy a PnP eszközökkel kapcsolatos műveleteket a helyi
RDP-ügyfélről átirányítsuk a kiszolgáló alapú munkamenethez, így a felhasználó ugyanazt
a zökkenőmentesen működő felhasználói felületet látja mindkét esetben, tekintet nélkül
arra, hogy az eszközök helyben vagy a távolban működnek-e. A távoli munkamenetben
részt vevő PnP eszközök korlátozott hatáskörűek, ezért csak az adott munkamenet számára
érhetóK: el.
Egyszerű nyomtatás
A Terminal Services EasyPrint (Terminálszolgáltatások - egyszerű nyomtatás) az esetek
többségében szükségtelenné teszi, hogy nyomtató-illesztőprogramokat telepítsünk egy TS
állomásra. A szolgáltatás a Windows Vista és a Windows Server 2008 új XPS nyomtatási
útvonalát használja, amely közvetítőként viselkedik, és a felhasználói felületre érkező
hívásokat átirányítja az ügyfélgépre telepített nyomtató-illesztőprograrnhoz. Az egy adott
munkamenetből nyomtató felhasználók látják, hogy a nyomtatás folyamatban van, és
szükség szerint még a nyomtató tulajdonságait is beállíthatják.
Egyszeri bejelentkezés
A Windows Server 2008 újdonsága, hogy azok a felhasználók, akik bejelentkeztek egy
tartományba, anélkül férhetnek hozzá egy tartományhoz kapcsolt terminálkiszolgáló
géphez, hogy másodszor is megadnák az azonosító adataikat Ez a szolgáltatás azonban
csak a Windows Vista-Windows Server 2008 ügyfél-kiszolgáló páros esetében működik.
A terminálkiszolgálói szerepkör felvétele

A Windows Server 2008 többi szerepköréhez hasonlóan a terminálszolgáltatásokat is telepíthet
jük a Server Manager segítségéveL Ha a Server Managerrel telepítjük a terminálszolgáltatásokat,
öt beállítás közül választhatunk:
Terminal Seroer (terminálkiszolgáló)

A TS alapszolgáltatásait telepíti, amely csak egy alkalmazás távoli megosztására ad
lehetőséget.
1 O. fejezet • Terminálszolgáltatások lff-
TS Licensing (a terminálszolgáltatásokfelhasználási engedélyei)
A TS-engedélykiszolgálót telepíti, amely a TS-ügyfelek hozzáférési engedélyét kezeli.
TS Session Eraker (terminálszolgáltatási munkamenet-átvitelszeroező)
Azt a szaftvert telepít, amelyik lehetővé teszi, hogy a munkamenetek kiterjedjenek egy
TS-géptelepre is.
TS Gateway (terminálszolgáltatási átjáró)
Azt az összetevőt telepíti, amelyik a TS-ügyfelek számára lehetővé teszi, hogy a HTfPS
segítségével kezdjék el, futtassák és fejezzék be a munkameneteket az Interneten, anélkül,
hogy VPN kapcsolatot létesítenének Ha ezt a szerepkört választjuk, a rendszer felszólít
rninket, hogy telepítsük az IlS-t, a hálózati házirendeket és a hozzáférési szolgáltatásokat
is, ha még eddig nem tettük meg.
TS Web Access (terminálszolgáltatások webes elérése)
Portálszerű környezetet teremt, amelyben az ügyfelek egy webböngészőn belül választhat
nak alkalmazásokat, és kezdeményezhetnek azokhoz kapcsolódó TS-munkameneteket.
Ha ezt a szerepkört választjuk, a rendszer felszólít rninket, hogy telepítsük az IlS-t, ha még
eddig nem tettük meg.
A terminálkiszolgálóval létesített kapcsolatokra vonatkozó engedélyeket könnyű értelmezni. Bár

mely felhasználó, aki a terminálszolgáltatáson keresztül szeretne kapcsolódni egy számítógéphez,
tagja kell, hogy legyen az adott géphez tartozó Remote Desktop Users (az Asztal távoli felhaszná
lói) csoportnak. Az Active Directory Users and Computers (Active Directory - felhasznáJók és
számítógépek) beépülő modullal a szokásos módon változtathatjuk meg a hozzáférési engedélyt,
az időponttal kapcsolatos követelményeket és a csoport más tulajdonságait is. (A felhasznáJók és
csoportok kezeléséről az Active Directory-n belül az 5. fejezetben tudhattunk meg többet.)
Ha a számítógépünk nem vesz részt Active Directory-környezetben, elengedhetetlen, hogy
a felhasználói fiókjaink a tagjai legyenek az Administrators (Rendszergazdák) csoportnak azon
a számítógépen, amelyikhez kapcsolódni próbálnak.
A terminálszolgáltatásokat NTFS formázású lemezrészre kell telepítenünk, ha ki akarjuk

használni a fájlrendszer kínálta magasabb szintű biztonsági szolgáltatásokat.
Távoli asztal engedélyezése

Amint azt a fejezetben korábban már említettük, a Remote Desktop (RDP, távoli asztal) mód a ter
minálszolgáltatások különleges szolgáltatása, amely lehetővé teszi, hogy egy adott gépen egyetlen
felhasználóként RDP-munkamenetet indítsunk, és a felületét úgy használjuk, mintha csak ott ül
nénk előtte. Ez akkor hasznos, ha nem kívánunk többfelhasználás hozzáférést biztosító alkalma
zásokat elérhetővé tenni, hanem csak egyszerűen el akarjuk kerülni, hogy a kiszolgálóhoz kelljen
sétálnunk.
A Windows Server 2008 telepítése után rninden a rendelkezésünkre áll, hogy az RDP-vel lássuk
el egy kiszolgáló távfelügyeletét, a szaigáitatás azonban biztonsági óvintézkedésként ki van
kapcsolva. Könnyű visszakapcsolni, mégpedig ugyanúgy, mint a Windows XP-ben. A vissza
kapcsoláshoz kövessük az alábbi lépéseket:
1 . A vezérlőpulton nyissuk meg a System (Rendszer) kisalkalmazást
2. Kattintsunk a Remote settings (távoli beállítások) hivatkozásra, és ha szükséges, erősítsük
meg a kilérunket az UAC ablakban.
3. A Remote Desktop elnevezésű alsó rész alatt jelöljük be az Allow connections from
computers running any version of Remote Desktop (less secure) - a Távoli asztal bármely
változatát futtató számítógépek kapcsolódásának engedélyezése (kevésbé biztonságos) -
választógombot, ha az RDP-ügyfél összes előző változatának meg szeretnénk felelni, vagy
válasszuk az Allow connections only from computers running Remote Desktop with
Network Level Authentication (more secure) - csak a hálózati szintű hitelesírést alkalmazó
Távoli asztalt használó számítógépek kapcsolódásának engedélyezése (biztonságosabb) -
lehetőséget, ha a hozzáférést az RDP 6.0-s változatára korlátozzuk
4. Kattintsunk az Apply, majd az OK gombra.
A Windows ekkor megjelenít egy párbeszédablakot, amely emlékeztet minket arra, hogy
a jelszóval nem rendelkező fiókoknak megtiltja az RDP-hez való hozzáférést. Ez védi meg
a számítógépünket az internetes betörőkkel szemben. Ha tűzfalat használunk, akkor biztosan
azt is szeretnénk, hogy a 3389-es kapu nyitva legyen, és ha szükséges, a kapu-átirányítás is be
legyen kapcsolva az útválasztón, illetve tűzfalon. A Windows erre is figyelmeztetni fog minket.
Távoli asztal módban egyszerre legfeljebb két rendszergazda felhasználó kapcsolódhat a kiszol
gálóhoz, és úgy használhatják, mintha csak előtte ülnének A fejezet hátralevő része azonban
a terminálszolgáltatás módra összpontosít, amelynek köszönhetően több felhasználó kapcsolód
hat egy kiszolgálóhoz, és igazi alkalmazáskiszolgálóként használhatja azt.
A felhasználó oldaláról nézve

Az alábbi részben a terminálszolgáltatások használatát az ügyfél szempontjából vizsgáljuk.
Az ROP-ügyfél használata
A Windows XP-ben és a Windows Vistában egy beépített ügyfelet-Remote Desktop Connection
-találunk, amely ismeri az RDP nyelvét. Az elérési útja a következő: Start, All programs,
Accessories, Communications, Remote Desktop Connection. A program elindítása után a 10.2. áb
rán láthatóhoz hasonló felület jelenik meg.
Írjuk be a kiszolgáló nevét, hogy egy alapvető, egyszerű kapcsolatot hozzunk létre egy másik
géppel. Ha testre akarjuk szabni a környezetet, amelyben dolgozunk, kattintsunk a Remote
Desktop Connection ablak jobb alsó sarkában az Options gombra. Ekkor megjelenik előttünk
egy hat lapból-General (általános), Display (megjelenítés), Local Resources (helyi erőforrások),
Programs (programok), Experience (élmény minősége) és Advanced (speciális)-álló párbeszéd
ablak. Nézzük végig a lapokat:
General
A Generaliapon választhatjuk ki azt a terminálszolgáltatásokat nyújtó számítógépet,
amelyre be szeretnénk jelentkezni. Az érvényben levő beállításokat a Save As (Mentés
másként) gombra kattintva egy RDP fájlba menthetjük, amelyet késóbb megnyithatunk,
de az Open (Megnyitás) gombbal megnyithatunk egy már létező RDP fájlt is.
1 O. fejezet • Terminálszolgáltatások IfJ-
� Remote Oesktop Connecbon �'"
·.iid:''4
� Remote De?ktop
•1-� Connectaon , .. .-lf,if•ii•\\ : -�'
Enterthe name of the remole computer.

Computer:
User name: [ ---··
lhe computer name fiek:l is blank. Enter a hl! remete computer

name.
��------��--��_,
10.2. ábra
A Remote Desktop Connection képernyő
Display
A Display lapon azt adhatjuk meg, hogy a munkamenet ablaka milyen felbontásban jelen
jen meg (a jelenlegi felbontás mellett teljes képernyős méretig), valamint a színmélységet is
megválaszthatjuk Ahhoz, hogy az új beállítások életbe lépjenek, bontanunk kell a kapcso
latot, majd újra kell építenünk. Végül, teljes képernyős munkamenet esetén jelöljük be
a kapcsolatjelző megjelenítését engedélyező beállítást- ez egy kis panel a munkamenetab
lak tetejének középén. A kapcsolatjelzővel egyszerűen válthatunk az ikonállapot és a teljes
méret között, valamint bonthatjuk a kapcsolatot a munkamenettel.
Local Resources
A Local Resources lapon átirányíthatjuk a hangot az ügyfélgépre, illetve választhatunk,
hogy egyáltalán ne legyen hang, vagy csak a távoli gépen lehessen hallani (talán néhány
munkatárs Örömére). A szokásos Windows-billentyűparancsok- ALT+TAB, CTRL+ Esc
CTRL+ALT+DEL stb.- alkalmazását is beállíthatjuk, hogy válthassunk a helyi és a távoli
,
szárnítógép, illetve a távoli számítógép teljes képernyős módja között. Végül eldönthetjük,
hogy az ügyfélgép lemezmeghajtóit, nyomtatóit és soros kapuit hozzáférhetővé tesszük-e
a terrninálszolgáltatások munkamenetei számára.
Programs
A Programs lapon egy olyan végrehajtható fájlt választhatunk ki, amelyet csatlakozáskor
automatikusan futtatni szeretnénk. Ez azt jelenti, hogy mihelyt a felhasználó bezárja a prog
ramot, a kapcsolat megszakad; a munkamenethez nem marad rendszerhéj-hozzáférés.
A Human Resources (emberi erőforrások) felhasznáJók zárolását is választhatjuk, ha
meghatározzuk, hogy csak People5oft alkalmazást futtathatnak; ha bezárják a PeopleSoftot,
a kapcsolatuk megszakad a terminálszolgáltatásokat nyújtó állomássaL Ezenkívül az Open
és a Save párbeszédablakok számára is megadhatunk egy alapértelmezett munkakönyvtá
rat a program futásának idejére.
-f1:1 Windows Server 2008
Experience
Az Experience lapon a Microsoft ajánlatai alapján beállíthatjuk a kapcsolat rninőségét és
a sávszélesség kezelését a munkamenet során. Megválaszthatjuk a megfelelő kapcsolatse
bességet és egyértelműen engedélyezhetjük vagy elutasíthatjuk a következők továbbítását:
az asztal háttérképe, betűsimítás, asztalösszeállítás, az ablakok tartalma mozgatás közben,
ablak- és menüanimációk (gördítés és halványítás), Windows-asztaltémák és a bitképek
gyorstárazása.
Advanced
Az Advanced lapon a kiszolgáló hitelesítési szintjét állíthatjuk be, hogy a rendszer figyel
meztessen minket, ha a hitelesítés sikertelen. Eldönthetjük, hogy a hitelesítés eredményétől
függetlenül csatlakozunk, vagy sikertelen hitelesítés esetén nem csatlakozunk. A TS-átjáró
beállításait is megadhatjuk, amely lehetővé teszi a számunkra, hogy olyan állomásokon
indítsunk munkameneteket, amelyek egy tűzfal mögött találhatók.
A felhasználói környezet beállitása

A felhasználó Active Directory-fiókjának néhány beállítása befolyásolhatja a terminálszolgáltatá
sok munkameneteit. Nyissuk meg az Active Directory Users és Computers ablakát, és a címtárból
válasszunk ki egy felhasználót. Kattintsunk az egér jobb gombjával a felhasználó nevére, és vá
lasszuk a Properties (Tulajdonságok) menüpontot. Amikor a felhasználói beállítások megnyílnak,
kattintsunk a Sessions (munkamenetek) fülre. Ekkor egy a 10.3. ábrához hasonló ablakot fogunk
látni.
John Q� Pubtte Properties �:

�
To:
OK l! Cancel L �J'
10.3. ábra
A terminálszolgáltatások felhasználóinak tulajdonságai az Active Directory-ban
1 O. feiezet • Terminálszoln"'lt"t"'<""�
A Sessions lapon beállíthatjuk a terminálszolgáltatások vislekedését arra az esetre, amikor a fel

használói munkamenet egy bizonyos ideig inaktív. A kiszolgálót beállíthatjuk úgy, hogy automati
kusan jelentkezzen ki a munkamenetbó1, ha az egy bizonyos időtartam után megszakad. Az aktív
és a tevékenység nélküli munkamenetekre időkorlátot lehet beállítani, majd a korlát elérése után
beállíthatjuk a működést. (Ez nagyszerű lehetőség, ha az elektronikus leveleket egy olyan közpon
ti géppel ellenőrizzük, amely nyilvános terminálként üzemel, vagy más, nyilvánosan elérhető he
lyen található.) Végül ezen a lapon adhatjuk meg, hogy bármely gépről lehessen-e újracsatlakozni
egy létező munkamenethez, vagy biztonsági okokból csak arról a gépró1, amelyik elindította
a munkamenetet.
Az Environment (környezet) lapon hasonló módosításokat hajthatunk végre, rnint a Remote

Desktop Connection ablak Programs lapján. Kiválaszthatunk egy adott végrehajtható fájlt, amely
kizárólag csatlakozáskor fut automatikusan, az Open és a Save párbeszédablak számára
megadhatunk egy alapértelmezett munkakönyvtárat a program futásának idejére, valamint
a felhasználó tulajdonságai között alapértelmezett eszközöket csatlakoztathatunk az ügyfél
gépről a terminálszolgáltatás-munkamenetekhez, amelyek minden jövőbeli munkamenetben
rendelkezésre állnak majd.
A Remote Desktop Connection lapon azt adhatjuk meg, hogy egy rendszergazda távolról
irányíthatja vagy megfigyelheti-e a felhasználók munkameneteit. Azt is beállíthatjuk, hogy egy
ilyen művelethez szükség van-e a felhasználó engedélyére, továbbá azt is körülhatárolhatjuk,
hogy a munkamenet milyen mértékű irányítása legyen megengedett - hogy a rendszergazda
csak éppen megtekintheti a munkamenetet, vagy be is avatkozhat abba.
A Terminal Services Profile (terminálszolgáltatások profilja) lapon a munkamenethez való

csatlakozáshoz megadhatunk egy felhasználói profilt. Ha kötelező profilt akarunk használni,
feltétlenül adjuk meg a teljes hálózati elérési utat egészen a felhasználó saját profilmappájáig.
Azt is meghatározhatjuk, hogy kívánunk-e egy meghajtót rendelni a felhasználó kezdőkönyvtárá
hoz, hogy melyik meghajtóbetűjelet használjuk, illetve hogy melyik hálózati meghajtóra történjen
a leképezés. Végül eldönthetjük, hogy egy adott felhasználó bejelentkezhet-e a terminálkiszolgá
lóra. Erre a beállításra szerintem nem ez a legmegfelelőbb hely, de talán majd változtatnak rajta
(a Longhorn Server megjelenéséig).
Más ROP-ügyfelek
Előfordulhat, hogy más - például Linux vagy Mac OS X - rendszerű gépekről szeretnénk hozzá
férni Windows 2000 Server és Windows Server 2008 állomásokon tárolt TS-munkamenetekhez.
Az alábbiakban megtaláljuk a rendelkezésre álló és kellően hatékony RDP-ügyfélsegédprogramok
listáját, amelyek a Windowsan kívül más operációs rendszerek számára is elérhetők:
rdesktop
Az rdesktop egy nyílt forrású RDP-ügyfél, de a Citrix ICA-tól eltérően nem szükséges
hozzá kiszolgálóbővítmény. Az rdesktop jelenleg a legtöbb olyan Unix alapú rendszeren
mi:Iködik, amelyen megtalálható az X Window System. (Ez magába foglalja a legtöbb
kereskedelmi forgalomban lévő Linux rendszert.) Könyvünk írásakor az rdesktop legújabb
stabil változata az 1.4.0 volt. A program a http.//www.rdesktop.org honlapról tölthető le.
-fui Windows Server 2008
Remote Desktop Client for Mac
Maga a Microsoft adta ki a Remote Desktop Client for Mac programot, amely a Mac OS X
felhasználóinak teszi lehetővé, hogy a saját környezetükből kezdeményezhessenek TS
munkameneteket Windows XP vagy Windows Server 2003 rendszerű gépekkeL Az ügyfelet
a Microsoft Mac-webhelyéről lehet letölteni az alábbi círnről: http://www .microsojt.
com/mac/otherproducts/otherproducts.aspx?pid=remotedesktopclient.
A terminálszolgáltatások felügyelete
Terminálszolgáltatásokat futtató gépet három helyről lehet felügyelni:
A Terminal Seroices Manager konzollal a Seroer Managerbó1

Ezen a konzolon megjeleníthetjük és vezérelhetjük a hálózaton működő terrninálszolgál
tatási kapcsolatokat.
A Terminal Seroices Configuration konzollal a Seroer Managerből
Ezen a konzolon az egyes TS-állomások terminálszolgáltatásokkal kapcsolatos beállításait
módosíthatjuk.
A Terminal Seroices Licensing konzollal
Ezen a konzolon a felhasználási engedélyeket kezelhetjük egy tartomány összes termi
nálszolgáltatásokat nyújtó gépére vonatkozóan.
Könyvünk angol változatának nyomdába kerülésekor a TS felhasználási irányelvei még kidolgo

zás alatt álltak, ezért a felhasználási engedélyekkel nem foglalkozunk; ehelyett áttekintjük azokat
az alapvető felügyeleti feladatokat, amelyeket a Terminal Services Manager kisalkalmazással
végezhetünk el, majd közelebbről is megvizsgálunk néhány olyan szokásos műveletet, amely
a Terminal Services Configuration kisalkalmazásra támaszkodik.
Terminal Services Manager

A Terminal Services Manager (TSM) az a gyújtópont, amelyben megjelenik az ügyfél és
a terminálszolgáltatásokat nyújtó gép közötti összes kapcsolat. Gondoljunk rá úgy, rnint egy
"vezérlőközpontra". A TSM felületét a 10.4. ábrán láthatjuk.
A TSM-nek csak akkor érhetjük el az összes szolgáltatás_át, ha a konzoltegy olyan

gépről futtatjuk, amely egy TS-munkameneten keresztül a terminálszolgá!tatásokhoz
kapcsolódik. Ha a TSM-t helyben, a terminálszo!gáltatásokat futtató gépen indítjuk el, az elérhető
sza/gáitatások száma korlátozott lesz.
Alapértelmezés szerint a TSM a tartományunkon belül megjeleníti az összes terrninálszolgáltatá

sokat nyújtó kiszolgálót. Ha szeretnénk, akár mindegyikhez rögtön csatlakozhatunk, de alapér
telmezés szerint a TSM egyszerre csak egy kiszolgálót képes kezelni. A kiszolgálók megkeresé
séhez kövessük az alábbi lépéseket:
• Ha a tartományunkon belül meg akarjuk találni az összes terminálszolgáltatásokat nyújtó

kiszolgálót, a jobb oldali ablaktáblában kattintsunk a Refresh (Frissítés) gombra.
• Ha csatlakozni szeretnénk egy adott kiszolgálóhoz, az egér jobb gombjával kattintsunk
a nevére bármelyik listában, és válasszuk a Connect parancsot.
1 O. fejezet • Terminálszolgáltatások Ifi-
Termínal Services Manager
Vtew
B Help
10.4. ábra
A Terminal Services Manager ablak alapértelmezett állapota
A TSM jóvoltából különböző hálózati, illetve tartományi szintű munkamenet-kezelési művelete

ket hajthatunk végre, többek között figyelemmel kísérhetjük vagy leválaszthatjuk (bonthatjuk)
a munkameneteket, kijelentkezhetünk belőlük és átvehetjük az irányítást felettük, valamint
üzenhetünk a felhasználóknak
Csatlakozás munkamenethez
Egy távolról dolgozó rendszergazda számára hasznos eszköz lehet, hogy kapcsolódhat egy
munkamenethez egy kiszolgálón; például megoldhatja egy felhasználónak a Microsoft Office
beállításaival kapcsolatos problémáját, mialatt az érintett ebédel. Aktív és leválasztott kapcsolatú
munkamenetekhez egyaránt kapcsolódhatunk, valamint a jelenlegi biztonsági környezetünkbe
(ez lényegében a felhasználónevünket jelenti) bejelentkezett munkamenetekhez is, illetve bár
mely munkamenethez, ha rendelkezünk a megfelelő- Full Control vagy User Access- jogosult
sággal a terminálszolgáltatások munkameneteihez. Ha kapcsolódni szeretnénk egy munkame
nethez, kövessük az alábbi lépéseket:
1. A TSM középső ablaktáblájában található Sessions lapon kattintsunk az egér jobb gomb
jával a megfelelő munkamenetre, illetve ha egy felhasználó által futtatott munkamenethez
szeretnénk kapcsolódni, a Users (Felhasználók) lapon a megfelelő felhasználó nevére.
Mindkét esetben válasszuk a Connect parancsot.
2. Szükség esetén meg kell adnunk a jelszavunkat, máskülönben a vezérlés az új munkame
nethez kerül, és az aktív munkamenet megszakad.
Munkamenet leválasztása
A leválasztott munkamenet annyiban szárnít egyedinek, hogy továbbra is fut a kiszolgálón, de
a tényleges hálózati kapcsolat az ügyfél és a terminálszolgáltatásokat nyújtó gép között megsza
kad. Leválasztott munkamenet esetén a felhasználó a kapcsolat újralétesítésével bármikor vissza
térhet egy előző munkamenethez, ami megkönnyíti a ki- és bejelentkezést. A csapdát az jelenti,
-:§ti Windows Server 2008
hogy a kiszolgálói erőforrások végesek, és ha a munkameneteit rninden felhasználó leválasztva
hagyja, a leveleket az összes Outlook-példány továbbra is fogadja majd, és rninden PowerPoint
bemutató szerkeszthető állapotban nyitva marad. Mielőtt ebédelni megyünk, a munkamenet
leválasztása a képernyő törlésének egyszerű módja, rnivel tudjuk, hogy ha visszatérünk,
az Asztal ugyanolyan állapotban fogad rninket, rnint amilyen állapotban otthagytuk Néha akkor
is hasznos lehet egy munkamenet leválasztása, ha a távoli asztalnak nem sikerül újraépítenie egy
régi kapcsolatot.
A felhasználóka saját munkameneteiket bármikor leválaszthatják, míg a rendszergazda azokat

a munkameneteket szakíthatja meg, amelyekhez Full Control joggal rendelkezik.
Ha egy munkamenetet le szeretnénk választani, kövessük az alábbi lépéseket:
1. Az egér jobb gombjával kattintsunk a megfelelő munkamenetre, és válasszuk

a Disconnect (leválasztás) parancsot.
2. A rendszer ekkor megerősítést kér. Kattintsunk az OK gombra, és a munkamenet
megszakad.
A jobb oldali ablaktáblában egyidejűleg több munkamenetet is kijelölhetünk, ha a CTRI. billen

tyűt lenyomva tartjuk, és az egyes leválasztani kívánt munkamenetekre kattintunk.
Kijelentkezés munkamenetból
A munkamenetből való kijelentkezés befejezi az adott felhasználó munkamenetét a kiszolgálón,
ezáltal mások számára is elérhetővé teszi azokat a RAM- és CPU-erőforrásokat, amelyeket az adott
munkamenet foglalt le. A felhasználónak legközelebb újra be kell jelentkeznie, ha kapcsolódni
kíván a terminálszolgáltatásokat nyújtó kiszolgálóhoz.
A felhasználók a saját munkameneteikből bármikor kijelentkezhetnek, míg a rendszergazda

azokból a munkamenetekből, amelyekhez Full Control joggal rendelkezik. Ha ki szeretnénk
jelentkezni egy munkamenetből, kövessük az alábbi lépéseket:
1. A TSM jobb oldali ablaktáblájában az egér jobb gombjával kattintsunk a megfelelő

munkamenetre, és válasszuk a Log Off (Kijelentkezés) parancsot.
megszakad.
Ne tévesszük szem elől, hogy a felhasználók erőszakos kijelentkeztetése adatvesztést eredményez,

ezért mielőtt automatikus kijelentkeztetésre kerülne sor, minden esetben értesítsük a felhasználót.
Egy munkamenetből kijelentkezhetünk a terminálkiszolgáló parancssorában kiadott logoff

paranccsal is, amelyet a munkamenet azonosítója vagy neve követ (ezeket megtalálhatjuk
a TSM-ben). Ha például a 8-as számú munkamenetből szeretnénk kijelentkezni, használjuk
az alábbi parancsot:
logoff 8
10.
Munkamenet alaphelyzetbe állftása

Amikor egy munkamenetet alaphelyzetbe állítunk, a folyamatnak erőszakosan vége szakad:
a prograrnak bezárulnak, a megnyitott adatok elvesznek, és a prograrnak által lefoglalt memória
azonnal visszakerül a terminálszolgáltatásokat nyújtó állomás hatáskörébe. Egy felhasználó
alaphelyzetbe állíthat bármilyen saját munkamenetet, rníg a rendszergazda azokkal a munkame
netekkel teheti meg ezt, amelyekhez Full Control joggal rendelkezik.
Ha egy munkamenetet alaphelyzetbe szeretnénk állítani, kövessük az alábbi lépéseket:
1. Az egér jobb gombjával kattintsunk a megfelelő munkamenetre, és válasszuk aReset

(alaphelyzet) parancsot.
alaphelyzetbe áll.
A jobb oldali ablaktáblában egyidejűleg több munkamenetet is kijelölhetünk, ha a CTRL billentyűt

lenyomva tartjuk, és az egyes alaphelyzetbe állítani kívánt munkamenetekre kattintunk.
Munkamenetet alaphelyzetbe állíthatunk a terminálkiszolgáló parancssorában kiadott reset

paranccsal is, amelyet a munkamenet azonosítója vagy neve követ. Ha például a 8-as számú
munkamenetet szeretnénk alaphelyzetbe állítani, használjuk az alábbi parancsot:
reset session 8
Munkamenetadatok megtekintése
A TSM-ben részletes adatokat kaphatunk a terminálszolgáltatásokat nyújtó gépen futó munka
menetekkel kapcsolatban, beleértve a következőket:
• A kezdeményező számítógép
• A futó folyamat
• A munkamenet képfelbontása és színmélysége
•
Az adatok titkosítási szintje
Az adatok megtekintéséhez a TSM bal oldali ablaktáblájában keressük meg a munkamenetet, és

jelöljük ki. Ez után az éppen futó prograrnak és szolgáltatások megtekintéséhez kattintsunk
a Processes (folyamatok) fülre. Ekkor megjelenik egy lista, amely a Windows Task Managerben
(Feladatkezelő) található felsoroláshoz hasonlít. Ugyanebben az ablakban, az Information
(adatok) lapon tekinthetjük meg a felhasználó és az ügyfél nevét, az adatok titkosítási szintjét,
a kezdeményező gépet és egyéb adatokat is.
Tegyük fel azonban, hogy egy adott terminálszolgáltatásokat nyújtó gép, tartomány vagy akár
egy egész hálózat összes munkamenetével kapcsolatban szeretnénk adatokhoz jutni, beleértve
az egyes folyamatokat és a bejelentkezett felhasználókat. Mindez megvalósulhat a TSM-mel:
egyszerűen csak jelöljük ki a gépet, tartományt vagy hálózatot a TSM bal oldali ablaktáblájában,
majd a jobb oldalon található Users, Sessions illetve Processes lapokon szabályozzuk az adatok
megjelenítését.
-=Ul Windows Server 2008
Mindezt a gyakorlatban a 10.5. ábra mutatja be.
3ll12
WIN·... adrrinist... 1160 sph\·ow..
WlN .. administ ... Console 27S SnagPri...
WIN·... administ... Console 2360 TscHeL
WIN·.. . adrrVnist... Console 940 SnagiL
W!N·. administ... Console 1232 mmc.exe
WIN·. administ.. Con501e 2212 wuaudl:..
WIN·... NETW... SeMces o 2900 msdtc.exe
WIN ·.. NETW... Services o 460 WmiPrv...
WIN·.. admínist ... Console 245& explorer..
WIN-... administ ... Console 2
245 dwm.exe
W!N·... administ... Console 2524 taskeng..
W!N- .. SYSTEM Services 2iW mscorsv... 10.5. ábra
WIN . .
WIN·... SYSTEM
WIN·..
SYSTEM
Services
Services
o
o
2744
2488
1252
i:netinfo...
svchosL.
Több munka-
menet adatainak
megtekintése
a TSM-ben
Az adatokat a parancssorból is megtekinthetjük a query process, a query session, a query

terrnserver és a query user parancsokkal. Ezek az egyszerű parancsok megjelenítik a kívánt
adatokat tartalmazó táblát vagy listát Az alábbiakban egy-egy példát láthatunk mind a négy
parancs kimenetére:
C: \>query process
USERNAME SESSIONNAME ID PID IMAGE
>adrninistrator rdp-tcp#lO l 4900 rdpclip.exe
>adrninistrator rdp-tcp#lO l 4980 explorer.exe
>adrninistrator rdp-tcp#lO l 3488 ducontrol.exe
>adrninistrator rdp-tcp#lO l 5 780 ctfmon.exe
>adrninistrator rdp-tcp#lO l 3 308 sqlmangr.exe
>adrninistrator rdp-tcp#lO l 5056 cmd.exe
>adrninistrator rdp-tcp#lO l 3088 query.exe
>adrninistrator rdp-tcp#lO l 5 844 qprocess.exe
C:\>query session
SESSIONNAME USERNAME ID STATE TYPE DEVICE
console O Conn wdcon
rdp-tcp 65536 Listen rdpwd
>rdp-tcp#lO administrator l Active rdpwd
C:\>query user
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON
>administrator rdp-tcp#lO l Active
7/15/2004 5:49 PM
C:\>query terruserver
NETWORK NETWORK
mercury hasselltech.local
1 O. feiezet • Terminá
Üzenet küldése a fe/haszná/6nak

Néha üzenetet kell küldenünk egy adott állomásra bejelentkezett rninden felhasználónak, hogy
közöljük velük, hogy elképzelhető, hogy a rendszer kiesik aznap este, illetve hogy egy vírus
vagy féreg (Isten őrizz!) betört a terrninálszolgáltatásokat nyújtó gépre, és azt azonnal ki kell
kapcsolni. Ha üzenetet szeretnénk küldeni egy felhasználónak, kövessük az alábbi lépéseket:
1. A TSM középső ablaktáblájában az egér jobb gombjával kattintsunk a munkamenetekre

vagy azokra a felhasználókra, akiknek üzenetet szeretnénk küldeni, és válasszuk a Send
Message (üzenet küldése) parancsot.
2. Az üzenet szövegét írjuk be a Send Message párbeszédablakba. Ha külön sorokba
szeretnénk írni, új sor kezdéséhez nyomjuk le a CTRL+ENrER billentyűket
3. Ha befejeztük az üzenet írását, kattintsunk az OK gombra.
Az érintett felek értesítést fognak kapni. Egy példát a 10.6. ábrán láthatunk.
Terminal Services Manager
rd rathe< be golfing
10.6. ábra
Üzenet küldése
egy felhasználó
nak a terminál
szolgáltatáson
keresztül
Üzenetet küldhetünk a parancssoron keresztül is, ami akkor hasznos, ha az üzenetet egy ese
ményhez rendelt parancsfájllal szeretnénk elküldeni. Az üzenetek küldéséhez az msg parancsot
használjuk. Az alábbiakban láthatunk néhány példát:
• Üzenet küldése az lmjohnson nevű felhasználónak a WTSl kiszolgálóra:
msg lmjohnson /server:WTSl üzenet
• Üzenet küldése egy adott munkamenet nevére:
msg RDP-tcp#4 üzenet
• Üzenet küldése, amely a felhasználó képernyőjén 30 másodpercig lesz látható:
msg lmjohnson /server:WTSl /time:30 üzenet

-:f!l Windows Server 2008
Az msg parancshoz tartozó kapcsolókról és argumentumokról többet is megtudhatunk, ha
a parancssorba beírjuk az msg l? parancsot.
Munkamenet vezérlésének átvétele

Részt vettünk már olyan hibaelhárításban, amikor egy felhasználóval lépésról lépésre végighalad
tunk mondjuk egy Excel- vagy Access-műveleten, és ezt igencsak hiábavalónak éreztük?
Mi lenne, ha a felhasználó figyelemmel kísérhetné a képernyőjén, amint mi végrehajtjuk az egyes
műveleteket, és mindezt anélkül mutathatnánk meg neki, hogy elhagynánk a helyünket?
Ha a felhasználónak a terminálszolgáltatásokat nyújtó gépen fut egy munkamenete, mint rend
szergazdák átvehetjük az adott munkamenet vezérlését, és teljes hozzáféréssel rendelkezhetünk
mindenhez, ami a felhasználó képernyőjén megjelenik. Bármit is csinálunk a munkamenetén
belül, a felhasználó nyomon követheti, így válik ez a módszer a gyors problémamegoldás csodá
latos eszközévé. Ezzel egyidejűleg a felhasználó is vezérelheti a saját munkamenetét, ezáltal
a felek kommunikálhatnak egymással.
- A fent említett szaigáitatás pontosan ugyanolyan, mint a távsegítség, amely megta-

lálható a Windows XP, Wi"ndows Vista, Windows Server 2003 és Windows Server
2008 rendszerekben, de csakis a Windows XP-t használó ügyfélgépek részére ajánlott. Biztonsági
okokból ne használjuk a távsegítséget egy kiszolgálón; ehelyett forduljunk inkább a terminálszolgálta
tások távvezérlési szolgáltatásához.
Ha át akarjuk venni egy adott munkamenet vezérlését, kövessük az alábbi lépéseket:
1. A TSM középső ablaktáblájában az egér jobb gombjával kattintsunk a munkamenetekre

vagy azokra a felhasználókra, akiktől át szeretnénk venni az irányítást, és válasszuk
a Remote Control (távvezérlés) parancsot.
2. Ekkor megjelenik a Remote Control párbeszédablak Itt válasszuk ki azt a billentyűt, ame
lyet a CTRL billentyűvel egyidejűleg lenyomva befejezzük a távvezérlésű munkamenetet.
3. Alapértelmezés szerint az OK gombra kattintva a felhasználó munkamenetében megjelenik
egy párbeszédablak, amelyben a program kéri, hogy a felhasználó erősítse meg a munka
menet vezérlésének átadását. Mielőtt a távvezérlés kezdetét venné, a felhasználónak
nyugtáznia kell a kérést.
Az Active Directory Users and Computers ablakban a felhasználók tulajdonságlapján kikapcsol

hatjuk az elóob említett fell1asználói megerősítés iránti kérelmet. A 10.7. ábrán bemutatottak
alapján ehhez a Remote Contraliapon a Require user's permission (a felhasználó engedélye
kötelező) jelölőnégyzetet kell kikapcsolnunk.
A fejezet egy késóobi részében azt is megnézzük, hogy az értesítés hogyan kapcsolható ki és be
kiszolgálónként
A SHADOW parancs segítségével a parancssorból is távvezérelhetjük egy felhasználó munkame

netét. Ehhez ismernünk kell a munkamenet nevét vagy azonosítószámát; például, ha a jelenlegi
kiszolgálón a 3-as munkamenethez szeretnénk csatlakozni, adjuk ki az alábbi utasítást:
shadow
10. fejezet • Terminálszolgáltatások Iif-
John Q. Public Propertles •'>
Use this tab to C1.lf1!ig.Jre Temunal SeMeesremate coollDl settings.

To remotely coollDl or obsetve a users S<lSSion. select the foio'NI'lg
checkbox
P' Enable remole cootiDI
To requíre the users -on to cortrol or obsetve the -sion. select

the loioWI'lgcheck box:
P'jReQue users pennission
Level of cootiDI
•
Speafy the level of cootiDI you 'Non! to have over a user's sesston
l
gVIewthe ._.•• -
:!'11ntetact wih the session
10.7. ábra
A felhasználó értesítésének letlitása
OK )l! Help
távvezérlés esetén
Ha a WTS2 kiszolgálón a 2-es munkamenethez szeretnénk csatlakozni, és azt is szeretnénk, ha

a SHADOW segédprogram tudatná velünk, hogy a munkamenet pontosan milyen műveletet végez,
adjuk ki az alábbi parancsot:
shadow 2 /server:WTS2 /v
Terminal Services Configuration

Egy adott kiszolgáló beállításait a Terminal Services Configuration kisalkalmazással adhatjuk
meg. Ha megnyitjuk a Terminal Services Configuration beépülő modult, azt látjuk, hogy a konzol
középső ablaktáblája két részből - Connections (kapcsolatok) és Edit Settings (beállítások szer
kesztése) - áll. A fejezetnek ebben a részében az Edit Settings résszel foglalkozunk behatóbban.
Attól függően, hogy a terminálkiszolgáló gépünk egy fürt tagja-e, az Edit Settings hat vagy hét
beállítási lehetőséget kínál. Az egyes beállítások szerepét az alábbiakban olvashatjuk:
Delete temporaty folderson exit (ideiglenes mappák törtése kilépéskor)

Ha ennek a beállításnak az értéke Yes (Igen), a Windows által létrehozott bármely ideigle
nes mappa törlődik. Ha a beállítás értéke No (Nem), minden ideiglenes mappa megmarad.
Az alapértelmezett érték a Yes.
Use temporaty foldersper session (munkamenetenkénti ideiglenes mappák használata)
Ha a beállítás értéke Yes, minden munkamenet kizárólag saját használatú ideiglenes
mappacsoporttal fog rendelkezni. Ha a beállítás értéke No, minden munkamenet
csak egy darab ideiglenes mappacsaportot használhat a kiszolgálón. Az alapértelmezett
érték a Yes.
Restriet Bach User to One Session (felhasználók korlátozása egy munkamenetre)
Ha a beállítás értéke Yes, egynél több alkalommal egyetlen felhasználó sem jelentkezhet
be egy adott terminálszolgáltatásokat nyújtó állomásra. Ha a beállítás értéke No, a felhasz
náJók ugyanarra a kiszolgálóra több alkalommal is bejelentkezhetnek. Az alapértelmezett
érték a Yes.
-:f!:l Windows Server 2008
User logon made (felhasználói bejelentkezési mód)
Ezzel a beállítással engedélyezhetünk minden kapcsolatot; kizárólag újracsatlakozást, de
új bejelentkezést nem; vagy újracsatlakozást igen, de új bejelentkezést csak akkor, ha
a kiszolgáló újrainduL Ez akkor hasznos, ha karbantartás céljából fokozatosan ki szeret
nénk kapcsoini a kiszolgálókat
License seroer discovery made (engedélykiszolgáló keresésének módja)
Ezzel a beállítással az engedélykiszolgálók felhasználását határozhatjuk meg, vagyis azt,
hogy a Windows Server 2008 automatikusan felderítse az engedélykiszolgálókat, vagy
inkább adott engedélykiszolgálókat akarunk-e használni.
Terminal Seroices ticensing made (terminálszolgáltatások engedélyezési módja)
Ha a beállítás értéke Per Device (eszközönként), minden kiszolgálóra csatlakozott
ügyfélgép kap hozzáférési engedélyt a terminálszolgáltatásokhoz. Ha a beállítás értéke Per
User (felhasználónként), a kiszolgálóra kapcsolódó felhasználók kapnak ügyfélhozzáférési
engedélyt a terminálszolgáltatásokhoz. Az alapértelmezett érték a Per Device.
Member of farm in TS Session Eraker (farm tagja a terminálszolgáltatási munkamenet
átvitelszeroezőben)
A beállítás lehetővé teszi, hogy csatlakozzunk egy munkamenet-átvitelszervező telephez,
hogy részt vegyünk a munkamenet-átvitelszervező terheléselosztásában, illetve hogy
átirányítsuk az IP címeket.
Az alábbi rész a Terminal Services Configuration Connections csomópontjának lehetőségein

vezet végig minket, bemutatva a leggyakoribb felügyeleti feladatokat.
Új kapcsolatfigye/ó létrehozása
Ha a Terminal Services Configuration kisalkalmazással új terminálszolgáltatási kapcsolatot
szeretnénk létrehozni, kövessük az alábbi lépéseket:
1. A Server Managerben nyissuk meg a Terminal Services Configuration beépülő modult.

2. A jobb oldali ablaktáblában válasszuk a Create New Connection lehetőséget.
3. Ekkor elindul a beállító varázsló; a kapcsolat beállításához kövessük a varázsló utasításait.
A terminálszolgáltatásokat futtató gépeken a Windows hálózati kártyánként csak egy RDP alapú
kapcsolatot engedélyez. A rendszergazdák általában úgy találják, hogy a terminálszolgáltatások
telepítése során előre beállított kapcsolat az egyetlen szükséges kapcsolat. Ha viszont több RDP
kapcsolatra van szükségünk, kapcsolatonként új hálózati csatalót kell telepítenünk
A tenninálszo/gáltatások kapcsolatainak korlátozása

Az összes RDP kapcsolatot egy adott kiszolgálóra korlátozhatjuk, ami hasznos, ha a hálózatunkon
belül gondjaink vannak a sávszélességgel, vagy ha a kiszolgáláok hardvererőforrásai korlátozottak.
Ha a Terminal Services Configuration kisalkalmazással az összes RDP-kapcsolatot egyetlen kiszol
gálóra akarjuk korlátozni, kövessük az alábbi lépéseket:
1. A Server Managerben nyissuk meg a Terminal Services Configuration beépülő modult.

2. A középső ablaktáblában jelöljük ki a megfelelő kapcsolatot, kattintsunk rá az egér jobb
gombjával, majd válasszuk a Properties elemet.
1 O. fejezet • Terminálszolgáltatások Ifi-
3. Váltsunk a Network Adapter (hálózati csatoló) lapra, és jelöljük be a Maximum
Connections (kapcsolatok maximális száma) választógombot
4. Adjuk meg a kiszolgálóhoz csatlakoztatható munkamenetek legnagyobb számát.
5. A befejezéshez kattintsunk az Apply gombra.
Ha az elóbbieket Csoportházirendek alkalmazásával szeretnénk véghezvinni - amelyek els6bb

séget élveznek a Terminal Services Configuration kisalkalmazásban megadott beállításokkal
szemben -, kövessük az alábbi lépéseket:
1. Nyissuk meg a Group Policy Object Editor (csoportházirendobjektum-szerkeszt6)

beépül6 modult.
2. A bal oldalon található fában keressük meg a Computer Configuration, Administrative
Templates, Windows Components elemet.
3. Válasszuk a Terminal Services elemet, majd a jobb oldali ablaktáblában kattintsunk
duplán a Limit Number of Connections (a kapcsolatok számának korlátozása) beállításra.
4. Válasszuk az Enabled beállítást.
5. Váltsunk a TS Maximum Connections allawed (a terminálszolgáltatás engedélyezett kap
csolatainak maximális száma) mez6re, írjuk be az engedélyezni kívánt kapcsolatszámot,
és kattintsunk az OK gombra.
Elképzelhet6, hogy a terminálszolgáltatások munkameneteink számát kiszolgálónként szeretnénk

korlátozni, hogy növeljük a sebességet, és csökkentsük a terhelést. Ez akkor múK.ödik igazán jól,
ha egy különböz6 adottságokkal és beállításokkal rendelkez6 gépekb61 álló terminálkiszolgáló
teleppel rendelkezünk. Minden kiszolgálón beállíthatjuk a kapcsolatok optimális számát, hogy
a felhasználók részére a telepen belül egységes válaszid6t biztosítsunk. Az RDP-kapcsolatok
az alapbeállítások szerint kiszolgálónként korlátlan számú munkamenetet engedélyeznek.
Tttkosftási szintek
A terminálszolgáltatások több titkosítási szintet is támogatnak, hogy biztonságossá tegyék
az ügyfél és a kiszolgáló közötti kommunikációt. Ha a Terminal Services Configuration beépül6
roadulban meg akarjuk változtatni ezeket a szinteket, kövessük az alábbi lépéseket:
1. A Server Managerben nyissuk meg Terminal Services Configuration beépül6 modult.

2. A középs6 ablaktáblában jelöljük ki a megfelel6 kapcsolatot, kattintsunk rá az egér jobb
gombjával, majd válasszuk a Properties menüpontot.
3. Váltsunk a General lapra, majd válasszuk ki a céljainknak leginkább megfelel6 titkosítási
szintet. (Az egyes szintek röviden leírását kicsit lejjebb olvashatjuk.)
A terminálszolgáltatások titkosítási szintjét csoportházirendekkel is megváltoztathatjuk
1. Nyissuk meg a Group Policy kisalkalmazást

2. Keressük meg a Computer Configuration, Administrative Templates, Windows
Components csomópontot
3. Válasszuk az Encryption and Security (titkosítás és biztonság) elemet.
_,lel Windows Server 2008
4. A jobb oldali ablaktáblában kattintsunk duplán a Set Client Connection Encryption Level
(az ügyfélkapcsolat titkosítási szintjének beállítása) beállításra, majd válasszuk az Enabled
lehetőséget.
5. A titkosítási szintek közül válasszuk ki a kívánt biztonsági szintet.
6. Az eljárás befejezéséhez kattintsunk az OK gombra.
A számítógépes környezetünk számára legmegfelelőbb biztonsági szint kiválasztásához használ

juk az alábbi útmutatót:
FIPS compliant (FIPS szabványnak megfelelő)

Teljes mértékben titkosítja az ügyfél és a kiszolgáló közötti kétirányú kommunikációt, így
összhangban van a Federal Information Processing Standard szabvánnyal (FIPS - Szövetsé
gi adatfeldolgozási szabvány). A módszer a Microsoft által kifejlesztett titkosítási modulokat
használja.
Ha egy rendszertitkosító házirendobjektummal vagy a terminálszolgáltatások ügyfél

Figyelem!
kapcsolat-titkosítási szintjének beállításával már titkosítottunk a FIPS szabvány szerint,
a titkosítási szintet nem változtathatjuk meg a Terminal Services Configuration beépülő modul!al vagy
GPO-kkal.
High (erős)
Erős 128 bites eljárással titkosítja az ügyfél és a kiszolgáló közötti kétirányú kommuniká
ciót; csakis akkor hasznos, ha a terminálkiszolgáló kizárólag 128 bites (értsd: valarnilyen
Windows Server 2008 operációs rendszert futtató) ügyfelekből álló környezetben helyez
kedik el. A nem megfelelő operációs rendszert használó ügyfélgépek nem fognak tudni
kapcsolódni, amíg a Microsoft honlapjáról a http://www.microsojt.com/downloadsldetails.
aspx?FamilyiD= 33AD53D8-9ABC-4E15-A 78F-EB2AABAD 74B5&displaylang=en címről
le nem töltik az erős titkosírást támogató Terminal Services-ügyfelet.
Client Compatible (ügyfél-megfelelő)
Az ügyfél és a kiszolgáló közötti kétirányú kommunikációt az ügyfél által támogatott
lehető legmagasabb szinten (a lehető legerősebb kulccsal) titkosítja. Ez a beállítás akkor
a legjobb, ha a terminálkiszolgáló vegyes ügyfélkörnyezetben működik.
Low (alacsony)
Csak az ügyféltől a kiszolgálóra irányuló kommunikációt titkosítja, 56 bites eljárássaL
Ügyeljünk arra, hogy az előbbiekben említett, csoportházirendet alkalmazó eljárás csak a helyi
biztonsági házirendek beállításai esetében fog működni. Ha viszont tartományi környezettel
rendelkezünk, és a fent említett házirendet egy létező tartományban vagy szervezeti egységen
belül kívánjuk alkalmazni, a tartományvezérlőhöz egy rendszergazdai jogokkal rendelkező fiókorr
keresztül kell kapcsolódnunk A változtatást a csoportházirend-kezelő konzolorr hajthatjuk végre.
Ezenkívül azt sem szabad elfelejtenünk, hogy a kiszolgálóról az ügyfélnek (és nem fordítva)
küldött adatok nem titkosítottak
1 O. fejezet • Terminálszolgáltatások 10-
A táwezérlés engedélyezése
Beállítható az is, hogy a rendszergazdák hogyan "árnyékolhatnak" egy adott terminálszolgáltatási
munkamenetet. A felhasználó jogosultságát korlátozhatjuk csak a munkamenetek figyelésére,
illetve lehetővé tehetjük a számára, hogy a billentyűzethez és az egérhez egyaránt teljes hozzá
férést élvezzen. Az alábbi lépéseket követve a Terminal Services Configuration segítségével
módosítsuk a beállításokat:
1. A Server Managerben nyissuk meg a Terminal Services Configuration kisalkalmazást

2. A középső ablaktáblában jelöljük ki a megfelelő kapcsolatot, kattintsunk rá az egér jobb
gombjával, majd válasszuk a Properties menüpontot.
3. Váltsunk a Remote Control lapra.
4. Jelöljük be a Use Remote Control with the Follawing Settings (távvezérlés használata
a következő beállításokkal) választógombot, hogy a kapcsolathoz beállítsuk a távvezér
lést. A távvezérlés letiltásához válasszuk a Do Not Allow Remote Control (a távvezérlés
nem engedélyezett) beállítást.
5. Ha az ügyfélgépen olyan üzenetet szeretnénk megjeleníteni, amely engedélyt kér egy
adott munkamenet megtekintéséhez vagy az abban való részvételhez, jelöljük be
a Require user's permission jelölőnégyzetet
6. Ha meg akarjuk adni, hogy a felhasználó munkamenete csak figyelhető legyen, A Level of
Control (a vezérlés szintje) alatt válasszuk a View the Session (a munkamenet figyelése)
lehetőséget. Ha azt akarjuk megadni, hogy a felhasználó munkamenete a billentyűzetünk
kel és az egerünkkel is aktívan irányítható legyen, válasszuk az Interact with the Session
(beavatkozás a munkamenetbe) beállítást.
Ha az elóbbi beállításokat csoportházirend segítségével kívánjuk érvényesíteni, kövessük

az alábbi lépéseket:
1. Nyissuk meg a Group Policy kisalkalmazást

2. Keressük meg a Computer Configuration, Administrative Templates, Windows
Components ágat.
3. Válasszuk a Terminal Services elemet.
4. A jobb oldali ablaktáblában kattintsunk duplán a Set Rules for Remote Control of
Tenninal Services User Sessions (a terminálszolgáltatások felhasználói munkameneteinek
távvezérlésére vonatkozó szabályok meghatározása) beállításra, és válasszuk az Enabled
lehetőséget.
5. Az Options elemei közül válasszuk ki a kívánt távvezérlési engedélyt. A távvezérlés
letiltásához válasszuk a No Remote Control Allowed (a távvezérlés nem engedélyezett)
beállítást.
A módosított csoportházirend-beállításokat alaposan tesztelnünk kell, mielőtt azokat felhaszná

Jókra vagy számítógépekre alkalmaznánk. Az új házirend beállításainak tesztelésére használjuk
az RSoP eszközt, és erősítsük meg a kívánt szabályokat. Ennek az eszköznek a használatáról
a 6. fejezetben beszéltünk bővebben.
A fent említett, csoportházirendre épülő eljárás a helyi rendszerházirendek esetében is müködik.
Ha Active Directory alapú tartományt használunk, és a házirendet egy létező tartományra vagy
szervezeti egységre szeretnénk alkalmazni, egy rendszergazdai jogokkal rendelkező fiókból
kapcsolódnunk kell a tartományvezérlőhöz, majd a csoportházirend-kezelő konzol segítségével
vihetjük véghez a változtatást. A hatályos házirendek a terminálkiszolgálóhoz kapcsolódó minden
ügyfélre egyaránt vonatkoznak.
Terminal Services RemoteApp

A Terminal Servives RemoteApp (terrninálszolgáltatások távoli programjai) lehetővé teszi a szá
munkra, hogy meghatározzuk, hogy mely prograrnak futhatnak közvetlenül egy terminálszolgál
tatásokat nyújtó kiszolgálóról, miközben úgy runik, rnintha a Windows helyi másolatának szerves
részét képeznék A beépülés majdnem tökéletes: a prograrnak külön gombokat kapnak a Tálcán,
az alkalmazásablakok méretezhetők, az ALT+TAB billentyúKkel válthatunk közöttük, a Tálca jobb
oldalán szükség szerint ikonokat helyezhetnek el, és így tovább.
A Terminal Services RemoteApp arra szolgál, hogy a felhasználóval elhitesse, hogy nem szaigál
tatott alkalmazást használ. Talán az egyetlen árulkodó jel a Tálcán megjelenő leírás, amely jelzi,
hogy a terminálszolgáltatásokat használjuk, de árulkodhat az időnkénti lassú válasz is, ami
a hálózati késleltetés vagy a kiszolgáló túlterheltségének eredménye. Összességében azonban
úgy runhet, mintha az alkalmazás a helyi gépen futna.
A távolról szolgáltatott prograrnak telepítése ugyancsak egyszeru. Egyszeruen csak .rdp fájlokat
kell létrehoznunk, amelyek a rendelkezésre álló szolgáltatott alkalmazások formázott profiljaiként
viselkednek Az RDP fájlokat bánnilyen módon közzétehetjük: Csoportházirendek segítségéve!,
egy adott honlapon keresztül, e-mailben vagy egy rendszerkezelő eszközzel, és így tovább.
Az alábbi példában a Calculatort (Számológép) - ami természetesen rendkívül összetett

alkalmazás - állítjuk be úgy, hogy TS RemoteApp-on keresztül elérhető legyen:

2. A bal oldali ablaktáblában lépegessünk végig a Terminal Services-csomópontokon
egészen a TS RemoteApp-kezelőig.
3. A jobb oldalon a RemoteApp varázsló elindításához válasszuk az Add RemoteApp
Programs (RemoteApp prograrnak hozzáadása) parancsot, majd a megjelenő ablakban
4. Ekkor megjelenik a Choose programs to add to the RemoteApp Programs list
(a RemoteApp programokhoz hozzáadni kívánt program kiválasztása) képernyő.
Itt vehetjük fel a távolról szolgáltatni kívánt alkalmazásokat. Jelöljük be a Calculator
jelölőnégyzetét, majd kattintsunk a Next gombra.
5. Tekintsük át a beállításokat, majd válasszuk a Finish (Befejezés) parancsot.
6. A TS RemoteApp kezelőkonzolra visszatérve, a középső ablaktáblában keressük meg
a RemoteApp programlistát Az egér jobb gombjával kattintsunk az újonnan hozzáadott
Calculator alkalmazásra, és válasszuk a Create Windows lustaller package (Windows
lustaller telepítőcsomag létrehozása) parancsot.
7. A megjelenő ablakban kattintsunk a Next gombra.
1 O.
8. Ekkor a Specify Package Settings (a csomag beállításainak megadása) képernyő jelenik

meg. Itt adhatjuk meg a helyet, ahová a Windows lnstaller csomagot telepíteni szeretnénk.
Erősítsük meg a terminálkiszolgáló, az átjáró és a tanúsítványok beállításait, majd kattint
sunk a Next gombra.
9. A következő képernyő a Configure Distribution Package (a telepítőcsomag beállítása).
Itt választhatjuk ki, hogy a végfelhasználó számára hol jelenjen meg a csamagra utaló
parancsikon, és hogy a csomag átvegye-e az alkalmazás ügyféloldalát. Ez utóbbi csak
akkor érvényes, ha a felhasználók nem rendelkeznek az alkalmazás helyileg telepített
példányávaL Ha készen vagyunk, lépjünk tovább.
1 O. Tekintsük át a beállításokat, majd válasszuk a Finish parancsot.
Ezzel beállítottuk a csomagot. Az MSI fájlt egy csoportházirend segítségével is telepíthetjük

(ezt a 6. fejezetben nagyon alaposan körüljártuk). Miután az MSI fájlt rninden gépre telepítettük,
a felhasználó a Calculator ikonját megtalálhatja a Start menü RemoteApp programcsoportja alatt.
Ha a felhasználó erre a menüpontra kattint, megjelenik egy párbeszédablak, amelyben a rendszer
arra kéri a felhasználót, hogy bizonyosadjon meg a távoli számítógép megbízhatósága felől.
Ha nyugtázza az üzenetet, és engedélyezi a kapcsolatot, megjelenik a Starting RemoteApp (távoli
alkalmazás indítása) párbeszédablak, amelyet teljes pompájában követ a Calculator alkalmazás -
és mindez a felhasználó Asztalán történik!
A terminálszolgáltatások webes elérése

A Terminal Services Web Access (Terminálszolgáltatások webes elérése) lehetővé teszi a rend
szergazdák számára, hogy a Terminal Services RemoteApp által szolgáltatott alkalmazásokat egy
webhelyen keresztül tegyék elérhetővé. A felhasználók böngészhetnek az alkalmazások között,
kiválaszthatják, hogy melyikhez szeretnének kapcsolódni, majd zökkenőmentesen csatlakozhat
nak az alkalmazáshoz. ATS-webhozzáférést SharePoint-webhelyekbe is beépíthetjük, így
a felhasználók az együttműködési webhelyükről hozzáférhetnek a különböző szolgáltatott
alkalmazásokhoz.
A Terminálszolgáltatások webes elérésének használata egyszerű. Alapértelmezés szerint

a TS RemoteApp-hoz hozzáadott alkalmazások (például a nemrég felvett számológép) a TS-web
hozzáférési átjárón keresztül automatikusan hozzáférhetővé válnak a felhasználók számára.
Ennek ellenőrzéséhez nyissuk meg az Internet Explorert, és ugorjunk a http://kiszolgálónév/ts
oldalra. A kiszolgáló hitelesítése után a képernyő közepén megjelenik a távolról szolgáltatott
alkalmazások listája, benne a Calculator programmal, amelynek a nevére kattintva elindul
a program. A Windows Server előző kiadásaiban szereplő régi /tsweb hivatkozáshoz hasonlóan,
ha a Remote Desktop lehetőséget választjuk, automatikusan kapcsolódhatunk bármelyik olyan
TS-állomáshoz, amelyhez hozzáféréssel rendelkezünk.
Ha a TS-webhozzáféréshez további beállításokat szeretnénk megadni, egyszerűen csak ugorjunk

a fenti URL-re, de a hitelesítéshez rendszergazdai jogosultságot használjunk, majd kattintsunk
a programablak felső részén lévő sávban a Configuration hivatkozásra.
Windows Server 2008
Terminálszolgáltatási átjáró
A Terminal Services Gateway (Terminálszolgáltatási átjáró)- amely a nagyobb vállalatok szem
pontjából igen hasznos, rnivel sok távoli felhasználónak még rnindig RDP alapú alkalmazástele
pítésre van szüksége- lehetővé teszi a felhasználóknak, hogy szolgáltatott alkalmazásokhoz
férjenek hozzá a 443-as kapun (vagy bármely más általunk választott kapun) és egy HTTPS
csatornán keresztül elérhető központi webportálon keresztül.
A hozzáférés további szabályozásához a kapcsolatengedélyezési házirendek (Connection

Authorization Policies, CAPs) állnak a rendelkezésünkre, amelyeket a rendszergazdák hoznak
létre, hogy meghatározzák azokat a felhasználói csoportokat, amelyek a TS-átjárógépen keresztül
hozzáférhetnek a terrninálszolgáltatásokhoz, illetve az erőforrás-engedélyezési házirendek
(Resource Authorization Policies, RAPs), amelyek csak bizonyos csoportoknak biztosítanak hoz
záférést az olyan erőforrásokhoz, rnint az alkalmazások vagy a kiszolgálók. Így tehát a szolgálta
tott alkalmazásokat azokra a felhasználókra korlátozhatjuk, akiknek tényleg szükségük van rájuk,
míg az asztali számítógéppel, laptoppal, illetve más eszközzel felszerelt felhasználók számára
továbbra is a programjaink teljes ügyfélpéldányát telepítjük.
Amikor hozzáadjuk a rendszerünkhöz a terminálszolgáltatási átjáró szerepkörét, tanúsítványt

kell választanunk az SSL-titkosításhoz -vagy egy már a birtokunkban levő, vagy egy menet
közben létrehozott és önaláírt, vagy egy később kiválasztandó tanúsítványt. Arra a kérdésre is
választ kell adnunk, hogy milyen engedélyezési házirendeket szeretnénk létrehozni- a szük
ségleteinknek megfelelően ezt a döntést késóbbre halaszthatjuk Ha a TS-átjárót a lehető legha
tékonyabban szeretnénk használni, illindegyik típusú házirendből hozzunk létre egyet-egyet.
Kapcsolatengedélyezési és erőforrás-engedélyezési házirendeket a Server Managerben hozhatunk

létre, az alábbi módon:

2. A bal oldali ablaktáblában lépegessünk végig a Terminal Services csomópontokon egészen
a TS Gateway Managerig.
3. A bal oldalon bontsuk ki a kiszolgálót, majd a Policies (Házirendek) csomópontot
4. Válasszuk a Connection Authorization Policies elemet, majd a jobb oldali ablaktáblában
az új kapcsolatengedélyezési házirend létrehozásához kattintsunk a Create New Policy
parancsra.
5. Válasszuk a Resource Authorization Policies elemet, majd a jobb oldali ablaktáblában
az új erőforrás-engedélyezési házirend létrehozásához kattintsunk a Create New Policy
parancsra.
- Annak érdekében hogy a könyv angol változata megjelenjen a Windows Server 2008
hivatalos kiadásáig, a TS-átjáróval csak érintőlegesen foglalkoztunk. A kapcsolatenge
délyezési és erőforrás-engedélyezési házirendek létrehozásához szükséges részletes ismertetést
az O'Reilly honlapján, tJietve a könyv hivatalos honlapján olvashatjuk el.
1 O. feiezet • Terminálszolgáltatások
A fejezetben elszórva bemutatott elegáns segédprogramok, amelyeknek egy részét nem tárgyaltuk
kellő mélységben, lehetővé teszik, hogy a terminálszolgáltatások grafikus kezelőfelületén elérhető
legtöbb szolgáltatáshoz a parancssorból is hozzáférjünk Az alábbi összefoglalásban gyorsan
megtaláll1atjuk az egyes segédprogramokat és parancsokat:
change logon
Engedélyezi (az l enable kapcsolóval) vagy megtiltja (a l disable kapcsolóval) a beje

lentkezést egy adott kiszolgálóra. A l query kapcsolóval kideríthetjük, hogy a gép éppen
milyen módban van.
change port
Módosítja a DOS-megfelelő módban működő prograrnak soroskapu-hozzárendeléseit
Az érvényben levő hozzárendelések feltérképezéséhez használjuk a l query kapcsolót.
change user
Megváltoztatja egy terminálszolgáltatásokat nyújtó gép működési módját. Az l install

kapcsolóval a gép telepítési módra vált, amelyben többmunkamenetes alkalmazásokat
vehetünk fel, az /execute kapcsaló pedig letiltja a normál működéshez szükséges tele
pítési módot. Az érvényben levő módot a l query kapcsolóval deríthetjük ki.
cprofile
A hatékony helykihasználás céljából megtisztít egy profilt, és a rendszerleíró adatbázisból

eltávolít minden olyan fájltársítást, amelyet a felhasználó állított be. Az eszköz használata
közben a profilokat nem használhatjuk Az /L kapcsolóval megtisztíthatunk minden
helyi profilt, az l I kapcsolóval minden profiltisztítás előtt figyelmeztetést kapunk, a /V
kapcsolóval pedig megjeleníthetünk a program által végrehajtott minden műveletet.
flattemp
Egyszerű ideiglenes könyvtárakat engedélyez - azaz engedi az ideiglenes könyvtárak

átirányítását egy az alapértelmezettől különböző helyre. Az l enable engedélyezi
a könyvtárakat, a /disable pedig pontosan az ellenkezőjét teszi. A /query megmutatja
a jelenlegi beállítást.
logoff
Kijelentkezik egy munkamenetből. Egy konkrét munkamenet bezárásához a logoff

munkamenet_neve vagy a logoff munkamenet_azonosítója parancsot használhat
juk, ha pedig szükséges, a /V kapcsolóval egy kiszolgálót adhatunk meg. A fejezet
korábbi részében többet is megtudhattunk erró1 a parancsról.
msg
Üzenetet küld. A fejezet korábbi részében ezt a parancsot részletesebben is tárgyaltuk

query process
Megjeleníti a munkamenetek folyamatait tartalmazó táblázatot. A parancs kimenetére
a fejezet korábbi részében láttunk példát.
query session
Megjeleníti az adott kiszolgáló munkameneteit tartalmazó táblázatot. A parancs kimenetére

a fejezet korábbi részében láttunk példát.
query termserver
Megjeleníti egy tartomány ismert terminálkiszolgálóit. A parancs kimenetére a fejezet

korábbi részében láttunk példát.
query user
Megjeleníti a terminálszolgáltatási munkamenetekbe éppen bejelentkezett összes
felhasználót. A parancs kimenetére a fejezet korábbi részében láttunk példát.
register
Úgy állít be egy alkalmazást, hogy az vagy a rendszer (/system kapcsoló) vagy
a felhasználó (/user kapcsoló) globális erőforrásaként működjön. Paraméterként
a végrehajtandó fájl nevét kell megadnunk.
reset session
Alaphelyzetbe állítja a munkamenetet. Egy konkrét munkamenet alaphelyzetbe állítására
a reset munkamenet_neve vagy a reset munkamenet_azonosítója parancsot
használhatjuk, ha pedig szükséges, a /V kapcsolóval egy kiszolgálót adhatunk meg.
Ezt a parancsot a fejezet korábbi részében részletesen tárgyaltuk
shadow
Megjeleníti egy másik felhasználó munkamenetéhez tartozó képernyőt. A parancsot

egy kiszolgálóhoz csatlakozó terminálszolgáltatási kapcsolaton keresztül kell kiadni.
Ezt a parancsot a fejezet korábbi részében részletesen tárgyaltuk
ts con
Lehetővé teszi, hogy egy a kiszolgálón futó másik munkamenethez kapcsolódjunk.
tsdiscon
Megszakítja a kapcsolatot egy a kiszolgálón futó másik munkamenettel.
tskill
Leállít egy adott folyamatot. A következő formákban használhatjuk tskill
folyamat_azonosítója vagy tskill folyamat_neve. Kiszolgáló megadásához
használjuk a /server, egy folyamatot futtató adott munkamenet meghatározásához
pedig az /ID: folyamat_azonosítója kapcsolót. Ha minden munkamenetben
le szeretnénk állítani a folyamatot, használjuk az l a kapcsolót.
tsprof
Egy terminálkiszolgálóhoz kapcsolódó felhasználók részére profilokat állít be.
tsshutdn
Kikapcsolja a terrninálkiszolgálót. A parancs neve után írt számmal egy időtartaroot
adhatunk meg, ameddig a leállítás előtt a program vár (például a tsshutdn 120 parancs
két perc várakozásra utasítja a programot). Ha csak egyszerűen újra akarjuk indítani
a gépet, használjuk a /reboot, a teljes kikapcsoláshoz pedig a /powerdown kapcsolót.
Zárszó
A Windows Terminal Services a Windows Server 2008 hasznos eleme, amely a rendszergazdák
számára lehetővé teszi, hogy a kiszolgálójukat úgy felügyeljék, hogy ne kelljen közvetlenül a kon
zol előtt ülniük; a vállalatoknak pedig szintén lehetővé teszi, hogy központilag szolgáltassanak
egyes alkalmazásokat, csökkentve ezáltal a telepítési, kezelési és felügyeleti költségeket Jelen
fejezetben a terminálszolgáltatások felhasználói, illetve rendszergazdai oldalát egyaránt megvizs
gáltuk, valamint bemutattuk, hogy miként járulnak hozzá a Windows-infrastruktúra értékének
növeléséhez.
A DHCP és hálózatvédelem
Ebben a fejezetben áttekintjük a Windows Server 2008-ban általánosan használt két fő kommu
nikációs és hálózati szolgáltatást: a DHCP-t (Dynarnic Host Configuration Protocol, dinamikus
állomásbeállító protokoll), amely a rendszergazdákat az IP címek kezelésében segíti, és a háló
zati hozzáférés-védelmet (N AP, Network Access Protection), amely megvédi a hálózatot a nem
megbízható számítógépektőL
Ez a fejezet a gyakorlatra helyezi a hangsúlyt. Ezekkel a témákkal kapcsolatban köteteket lehetne

megtölteni (ahogyan már meg is töltöttek), így lehetetlen lenne ezeket ehelyütt teljes mélységük
ben tárgyalni. A rendelkezésre álló forrásmunkák hatalmas mennyisége rniatt úgy döntöttünk,
hogy inkább ezeknek a Windows Server 2008-en futó szolgáltatásoknak a gyakorlati beállításához
adunk útmutatást, mintsem hogy oldalakon keresztül elmélettel tömjük az olvasó fejét. Természe
tesen kitérünk az elvekre is egy kicsit, de a hangsúlyt a gyakorlati tevékenységekre helyezzük.
A dinamikus állomásbeállító protokoll

A DHCP megkíméli a rendszergazdákat az IP címek statikus kiosztásával és nyomon követésével
járó fáradságtól, azáltal, hogy automatikusan rendeli hozzá az IP címeket a hálózaton az egyes
számítógépekhez. A DHCP a 4. fejezetben ismertetett dinamikus DNS-sel együtt használva
számos, korábban előforduló nehézségen könnyíthet, vagy akár meg is szüntetheti azokat.
A DHCP múködési elve

A folyamatot az ügyfélszámítógép indítja el azzal, hogy egy új IP címre vonatkozó kérelmet küld
egy DHCP-kiszolgálónak. Ha az ügyfél új a hálózatban, vagy pillanatnyilag nem rendelkezik érvé
nyes IP címmel, akkor egy DHCPDISCOVER üzenetet küld szét a helyi alhálózatban. Az üzenetre
válaszoló valamelyik DHCP-kiszolgáló (egyes esetekben több ilyen is lehet), egy ajánlatot küld
vissza egy DHCPOFFER csomag formájában. Az ajánlat megérkezését az ügyfélgép egy DHCP
REQUEST csomaggal igazolja vissza, amellyel egyúttal hivatalosan egy címet is kér. Válaszul a ki
választott DHCP-kiszolgáló egy DHCPACK csomag küldésével nyugtázza a címbérletet, csatolva
a címhez rendelt beállítási információkat is.
Windows Server 2008
A címbérleteket egy úgynevezett címbérleti időszakra adják ki. Az időszak 50o/o-ának letelte után
az ügyfélgép bérlethosszabbítási kérelmet küld annak a DHCP-kiszolgálónak, amelyik a címet
eredetileg kiutalta a számára - hivatalosan ez a címbérlet megújítása. Ha az ügyfél a bérleti idő
szak 87,5o/o-áig nem kap választ ettől a kiszolgálótól, akkor megpróbálja megújítani a címbérletet
az alhálózaton rendelkezésre álló valamelyik másik DHCP-kiszolgáló segítségéveL Ha egyik
DHCP-kiszolgáló sem méltatja válaszra az ügyfelet, akkor az felhagy a jelenlegi IP címének
a használatával, és úgy viselkedik, mintha új gép lenne a hálózaton, a korábban leírtak szerint.
A DHCP-címbérlet beállítási információi az IP címen túlmenően az ügyfélgép TCP-vermének

működési paramétereit is megszabják A DHCP-beállítások olyan jellemzőket tartalmaznak, mint
a DNS-névfeloldáshoz használandó utótag (például client2.hasselltech.local), az alapértelmezett
átjáró címe (az útválasztó gép, amelyen keresztül a csomagok a külső hálózatok felé haladnak),
és a kapcsolat más fontos tulajdonságai. Az egyes ügyfélgépek kézi állítgatásának kiváltásával
a DHCP sok időt megtakarít nekünk, ráadásul egységességet is biztosít- egy adott hatókörön
belül a címeket bérlő gépek azonos beállításokat kapnak, a beállítások egy esetleg zavaros
keveréke helyett.
Az Automatic Private IP Addressing (automatikus privát IP címzés, APIPA) nevű Windows-szal

gáltatás részben átfedi a DHCP-t, és vagy a legjobb barátunk lesz, vagy az őrületbe fog kergetni
rninket. A Microsoft úgy valósította meg ezt a szolgáltatást, hogy amennyiben egy ügyfél nem
tud címbérletre szert tenni egy DHCP-kiszolgálótól, akkor végső esetben véletlenszerűen választ
egy IP címet a Microsoft saját, B osztályú IP címtartományából (169.254.0.0, 255.255.0.0-es
alhálózati maszkkal, alapértelmezett átjáró hozzárendelése nélkül). A választott címet úgy ellen
őrzi, hogy egy ARP-kérelmet küld szét a hálózaton, hogy megbizonyosadjon arról, hogy más
nem használja ugyanezt a címet.
Ezt a szolgáltatást kényelmi okokból vezették be, rnivel a legtöbb kisvállalati és otthoni háló
zatüzemeltető nem szeretne DHCP-szolgáltatásokkal bajlódni, egyszerűen csak szeretné, ha
a hálózata működne. Ugyanakkor, ha egy hálózati kapcsolódási hibát kell elhárítani, akkor
az automatikus ügyfélbeállítás ( Automatic Client Configuration, ACC) nagyon megnehezítheti
a dolgunkat. Ilyenkor sokat segít, ha értjük a szolgáltatás működését:
•
Ha egy ügyfél rendelkezik érvényes DHCP-címbérlettel, de nem tud kapcsolódni
a DHCP-kiszolgálóhoz, akkor visszhangkérést (ping) küld a címbérletben megadott alap
értelmezett átjárónak, illetve útválasztónak Ha az ügyfél választ kap erre az üzenetre,
akkor az ACC úgy tekinti, hogy a gép még mindig a hálózaton van, és tovább használja
a jelenlegi címbérletét _
•
Ha az útválasztó nem válaszol, akkor az ACC eldobja az éppen beállított IP címet, és
választ egyet a 169.254.0.0-es tartományból.
•
Minden esetben, amíg az ACC aktív, addig az ügyfél rninden ötödik percben megpróbál
találni egy DHCP-kiszolgálót, hogy megújítsa a címbérletét, illetve egy újat szerezzen be
egy új IP címmel.
•
A fentieken felül megadható, hogy az ügyfél másik címet használjon abban az esetben,
ha nem tud IP címet bérelni egy DHCP-kiszolgálótól. Az alternatív cím megadása és
a beállítások megtekintése a Start menüben, a hálózati kapcsolatok között lehetséges.
11. fejezet • A DHCP és hálózatvédelem l@-
A DHCP-kiszolgáló telepítése
Most, hogy már rendelkezünk némi ismerettel a DHCP működéséről, lépjünk tovább, és telepít
sünk egy igazi DHCP-kiszolgálót! Ez meglehetősen egyszerű művelet. A Server Managerben
(Kiszolgálókezelő) válasszuk az Add Role (Szerepkör hozzáadása) pontot, majd válasszuk ki
a DHCP-kiszolgálói szerepkört. A rendszer meg fogja kérdezni a szülőtartomány nevét, amelyet
az ügyfélgépek a círnfeloldások során fognak használni, valamint a DHCP-kiszolgálók IP címeit,
amelyek segítségével a címfeloldás történik. Ugyanitt lesz lehetőségünk arra, hogy hatóköröket
adjunk meg (erre majd a következő részben térünk ki részletesebben), és hogy engedélyezzük
vagy letiltsuk a DHCPv6 állapot nélküli üzemmódját, amely egyfajta automatikus öncímzés,
amelyeket az ügyfelek használhatnak Végül, lehetőséget kapunk arra is, hogy a kiszolgálónkat
felvegyük az Active Directory-ba.
Azt, hogy hogyan is adjunk meg címtartományokat, amelyekből a DHCP-kiszolgáló gazdálkodhat,

a következő részben tárgyaljuk
Új DHCP-hatókör létrehozása
A DHCP-hatókör létrehozása annak az IP címtartománynak a kijelölését jelenti, amelyet majd
a kérelmező gépek rendelkezésére szeretnénk bocsátani. Az IP címek ezen tartományát nevezzük
hatókörnek.
A New Scope Wizard megjelenik egyrészt a DHCP-kiszolgáló telepítésekor, másrészt amikor saját
kezú1eg indítjuk el a DHCP felügyeleti konzoláról, amely a Start menü Adrninistrative Tools
(Felügyeleti eszközök) pontján keresztül érhető el. A DHCP-kiszolgálón egy új hatókör létreho
zásához a következő lépéseket kell végrehajtanunk:
1. Az Adrninistrative Tools almenüből a DHCP lehetőséget választva nyissuk meg a DHCP

felügyeleti konzolt.
2. A bal oldali ablaktáblában kattintsunk az egér jobb gombjával a megfelelő DHCP
kiszolgálóra, majd a megjelenő helyi menüből válasszuk a New Scope pontot.
3. Ekkor megjelenik a New Scope Wizard. Kattintsunk a Next gombra, hogy átugorjuk
a bevezető képernyőt.
4. Írjunk be egy nevet és egy érthető, beszédes leírást (a saját magunk számára)
az új hatókörünkhöz, majd lépjünk tovább.
5. Megjelenik az IP Address Range képernyő (lásd a ll. l. ábrát). Adjuk meg az ügyfélgépek
számára felkínálni kívánt IP címtartományt a Start IP Address (kezdő IP cím) és az End IP
Address (záró IP cím) mezők kitöltésével. Ez után adjuk meg az alhálózati maszkot, hogy
azonosítsuk a hálózati vagy alhálózati címeket, amelyeket használunk. (A legtöbb esetben
elég, ha az alapértelmezett értéket használjuk), majd lépjünk tovább.
6. Megjelenik a kizárások megadására szolgáló Add Exclusions képernyő, ahogy a 11.2. ábrán
is látható. Itt olyan egyedi címeket vagy címtartományokat adhatunk meg, amelyeket a ha
tókör címtartományán belül ki szeretnénk zárni a címkiosztásbóL Például ha rendelkezünk
néhány olyan kiszolgálógéppel, amelyeknek az IP címei éppen az új hatókörünk címtarto
mányába esnek, felvehetjük azokat a kizárások közé, így a DHCP-kiszolgáló nem fogja eze
ket a címeket kiadni, hogy elkerülje az ütközéseket Ha készen vagyunk, lépjünk tovább.
-WI Windows Server 2008
7. Ekkor a Lease Duration képernyő jelenik meg, ahol megadhatjuk a hatókörön belül ki
adott DHCP-címbérletekre az érvényességi időt. Ezt a 11.3. ábra mutatja. Az asztali gépek
tovább megtarthatnak egy IP címet, de a noteszgépek és egyéb mobileszközök számára
rövidebb időt érdemes megadni, hogy arnikor ezek inaktívak, akkor az általuk használt
IP címeket hozzá lehessen rendelni más gépekhez. Ha a kettő keverékével kell dolgoz
nunk, akkor én a rövidebb bérleti időt javaslom. Állítsuk be a kívánt időtartamor az egyes
mezőkbe írt napok, órák és percek megadásával, majd lépjünk tovább.
8. A következő képernyő, a Configure DHCP Options, a DHCP-beállítások megadására
szolgál. Itt eldönthetjük, hogy a hatókört egyszerűen az eddig megadott beállításokkal
szeretnénk használatba venni, vagy további beállításokat is szeretnénk eszközölni,
amelyek a DHCP-kérelernre küldött válaszban fognak majd eljutni a kérelmező géphez.
Válasszuk a Yes, I want to configure these options now (igen, szeretnék további beállí
tásokat megadni) pontot, majd kattintsunk a Next gombra.
New Scope Waard ��
lP Address Ralge
You def01e lhe scope address range by identifying a set of coosect.iive IP
add�ses.
Erner lhe range of addresseo that lhe scope diolribules.
A subnet maok defl!leS how many bb of an IP address to use for lhe netwod<IIUbnet
lOs and how many bb to use for lhe host to. You can specily lhe lObnel maok b)•
length or as an IP addres.s
Length:
Subnet maok:
<llack
11.1. ábra
Az IP Address Range képernyő
new Scope WlZard , �t"'
•
Add Exdusions
Exclusions are addresses or a renge of addres.ses that are not distributed by the
server.
...
Twelhe IP addressrangelhal you wan! to exclode. l youwant to exclode a
addre typa an address in Start IP address only
Slng!e
Start IP address:
11.2. ábra
A kizárások megadására szalgá/ó
képernyő
11. feiezet • A DHCP és hálózatvédelem
9. Most a Router (Default Gateway)- útválasztó (alapértelmezett átjáró)- képernyő jelenik

meg, ahogy a 11.4. ábra mutatja. Itt adhatjuk meg az ügyfélgépek által használandó átjárák
címeit a nekünk megfelelő sorrendben. Az egyes címeket az Add (Hozzáadás) gombbal
adhatjuk a listához, és a Remave (Eltávolítás), Up (Fel) és Down (Le) gombokkal rendez
hetjük a meglévő elemeket. Ha elkésZÜltünk, lépjünk tovább.
1 O. Ekkor megjelenik a Domain Name and DNS Servers (tartománynév és DNS-kiszolgálók)
képernyő, amint az a 11.5. ábrán látható. Ezen a képernyőn adható meg az ügyfélszámí
tógépek által használandó szülőtartomány neve. Szintén itt adhaták meg a DNS-kiszolgá
lók is, amelyeket a névfeloldáshoz használniuk kell. Megadhaták teljesen minősített tarto
mánynevek - ilyenkor a névhez tartozó IP címet a Resolve (feloldás) gombra kattintva
kaphatjuk meg -, de közvetlenül a DNS-kiszolgáló IP címét is megadhatjuk, és az Add
gombra kattintva felvehetjük a listára. Használjuk az Up, Down és Remave gombokat
igény szerint. Ha elkészültünk, lépjünk tovább.
NewScopeW12ard
� "�,
lease Ot.alion
The lease du"ation spedieshow long a clieri can use an IP address from this
scope.
lease duratíons should t)'IIICaly be equal \o the av..age time lhe computer IS
connected to the same physocal nelwak. Formobile networi<s.\hal consist main)f of
portable compt4m or d!ai<JP clen!s. shorter lease duratlons can be uselul
UkewiSe. for a stable network that consiots manly ol detktop compt4em at fíxed
loco!ions , longer lease duRiions ..., more "PPlffO)tiooe
Set the durailon for scope 1eases when distribLted by the..,....,_
Umitedto;
liouJs. Mint.tes:
�
·�- _El
11.3. ábra
A címbérlet időtartamának megadására
NewScopeWaard
:ö+;;:W.
•
R<Ue.- (Oefa<Jt Gateway)
You can specifythe rooters. or default gatewoys, to be dsúibut
i ed bythis scope.
To add an lP address for a rotJer used byclen!s, enterthe addressbefow.
11.4. ábra
Az útválasztó (alapértelmezett átjáró)
J
megadására szalgá/ó képernyő
-rfl Windows Server 2008
11. Ekkor a WINS Servers (WINS-kiszolgálók) képernyőre kerülünk, amely a 11.6. ábrán lát
ható. Ezen a képernyőn a hálózatunkon fellelhető WINS-kiszolgálók címeit adhatjuk
meg, pontosabban azokét, amelyeket az ebbe a hatókörbe eső ügyfélgépekró1 használni
szeretnénk. Megadhaták teljesen minősített tartománynevek - ilyenkor a névhez tartozó
IP címet a Resolve gombra kattintva kaphatjuk meg -, de közvetlenül a kiszolgáló IP cí
mét is megadhatjuk, és az Add gombra kattintva felvehetjük a listára. Használjuk az Up,
Down és Remove gombokat igény szerint. Ha elkészültünk, lépjünk tovább.
12. Végül az Activate Scope (hatókör aktiválása) képernyő jelenik meg. A hatókör aktiválásá
val a hozzá tartozó DHCP-szolgáltatás elindul. Válasszuk ki a nekünk megfelelőt, majd
Domain Name and DNS Serv<=

The Domain Name System (DNS} maps and translates domain names used by
clients on YOIX networi<..
You can speafy the p"'"" domain you want the clíent computers on your networlc to use for
DNS name res.o!utíon.
P"""'doma1n: "1-----
To configtre scope díents to use DNS sewers on)'Otlrnetworlc, enterthe IP addressesforthose
Servername� IP�s:
11.5. ábra
A tartománynév és a DNS-kiszolgálók
megadásása szalgá/ó képernyő
WINS Serv<=
Computers ruming Wndows con use WINS seiVers to convert NetBIOS computer
names to l P addresses.
Eníeting serve< IP addre,.es here enables Windows clients to quOJY WINS belore they use
broadcasis to register and reselve NetBIOS names.
Setvername· lPaddress.
l'"""i"'------::'0
To change this beh.-for Windows DHCP clentslllOdty op!ion 04&. WINSiN BT Node
Type. in Scope Oplíons.
11.6. ábra
A WINS-kiszo!gá/ók megadására szalgá/ó
képernyő
!'"� OHCP - }?�

---�----------- ---
E.il• Action !lew_ .tidP
.- 1+ 1 !!5íml@1�J. R -
DHCP Address Pool
8 lll win-Q4zq7z3070w.wi1do
8 �1Pv4 Address End IP Address Description
.rn w.o.o. 10 Address range for distrit.
8 (:8 Scupe [10.0.0.0] Busá1e 10.0.0.225
� 10.0.0. 100 10.0.0.109 IP Addresses exduded f
�t-USM:t®'
ll:) Address leases
lll � Reservations
� Scope Options
[ill Server Options
lll lit !Pv6
11.7. ábra
A DHCP-felügyeleti
konzol
Egy adott hatókör jellemzőit ezután a DHCP-konzolon találjuk meg (lásd a 11.7. ábrát). Minden
hatókör alatt láthatjuk a címtartományt, új kizárásokat adhatunk meg, megnézhetjük az éppen
érvényben levő IP címeket, foglalásokat adhatunk meg (erről késóob), és újra beállíthatjuk
a hatókör jellemzőit. Az éppen érvényes címbérletek kiíratásához egyszerűen válasszuk ki
az Address Leases (címbérletek) elemet a minket érdeklő hatókör alatt.
DHCP-k.iszolgál6 engedélyezése
Jóllehet bármely Windows Server 2008-at futtató számítógépre telepíthetünk DHCP-kiszolgálót,
az először telepített kiszolgálónak fel kell vennie magát az Active Directory címtárba, és egy olyan
gépen kell futnia, amely tagja egy Windows-tartománynak. Az engedélyezett DHCP-kiszolgálók
látszanak a címtárban, és a tartományban müködő minden DHCP-kiszolgáló ellenőrzi ezt a címtá
rat, hogy jogosult-e az adott tartományban a szolgáltatásra. Ha nem találja meg magát a címtárban,
akkor nem válaszol a DHCP-kérelmekre. Az önálló gépeken futó, tartományba nem tartozó
DHCP-kiszolgálók ugyan engedélyezés nélkül is válaszolhatnak a DHCP-kérelmekre, ez azonban
biztonsági kockázatot jelent, mivel egy álkiszolgáló közbelépve más címekre irányíthatja az ügyfe
leket.
Egy tartományba tartozó számítógépre telepített DHCP-kiszolgálót az alábbiak szerint engedé

lyezhetünk
1. Jelentkezzünk be a számítógépre vállalati rendszergazdai jogosultságokkaL

2. A felügyeleti eszközök közül a DHCP lehetőséget választva nyissuk meg a DHCP
felügyeleti konzolt.
3. Kattintsunk az egér jobb gombjával a megfelelő DHCP-kiszolgálóra a bal oldali ablak
táblában, és válasszuk a Manage authorized servers (engedélyezett kiszolgálók kezelése)
menüpontot a megjelenő helyi menüből.
4. A 11.8. ábrán látható Manage authorized servers ablak listájában megjelenik az összes,
előzőleg engedélyezett DHCP-kiszolgáló. A kiszolgáló hozzáadásához kattintsunk
az Authorize gombra.
5. A következő képernyőn írjuk be a kérdéses DHCP-kiszolgáló teljesen rninősített
tartománynevét vagy az IP címét, majd kattintsunk az OK gombra.
6. A következő párbeszédablakban erősítsük meg a döntésünket.
Mostantól a DHCP-kiszolgálónk engedélyezett, és elkezdi az IP címek kiosztásár az azt kérelmező

gépeknek
Manage Authoraed Servers ��...

Aulhori2ed DHCP SOIV... :
Name IF ?ddress
WIN-04ZQ7Z3070'N."mdowsser... 192. Hi8.16.22
11.8. ábra
Az engedélyezett kiszolgálók kezelésére szalgá/ó
képernyő
Foglalások
A foglalások segíthetnek abban, hogy a DHCP-n keresztül statikus IP címeket osszunk ki. Bár
a foglalást használó ügyfélgépek ugyanúgy dinamikus címkiosztás használatára lesznek beállít
va, a DHCP-kiszolgáló adatbázisa egy-egy foglalást jegyez be ezeknek az ügyfélgépeknek a szá
mára - amelyeket a DHCP-kiszolgáló a kérelmező gépek hálózati kártyájának MAC címe alapján
azonosít-, így elérhető, hogy az adott kérelmező gép mindig ugyanazt a hozzárendelt IP címet
kapja meg.
ResONolion name:
IP addreso:
Descriptíon:
�ed��------�--�
r. Both
BOOTPonly
11.9. ábra
DHCP-fog/a/ás létrehozása
Új foglalás létrehozásához kattintsunk az egér jobb gombjával a megfelelő hatókör alatt

a Reservations (foglalások) csomópontra, majd válasszuk a New Reservation (új foglalás) menü
pontot. Ekkor megjelenik a New Reservation képernyő, ahol megadhatunk egy beszédes nevet
a foglaláshoz, valamint a lefoglalni kívánt IP címet. Ezt követően meg kell adnunk a lefoglalt
címhez kijelölt ügyfélgép hálózati kártyájának MAC címét is. Ezt a címet az ügyfél parancssorá
ban kiadott ipconfig /all paranccsal kaphatjuk meg, amely a címet "fizikai illesztő címe"
néven írja ki; de úgy is megtekinthetjük, ha a Vezérlőpulton az egér jobb gombjával a megfelelő
hálózati csatoló ikonjára kattintunk, és a Status (Állapot) menüpontot választjuk Írjunk be még
egy leírást a foglalásunkról, ha szeretnénk, aztán nyomjuk meg az OK gombot. A foglalások
képernyőjét a 11.9. ábra mutatja.
Az osztályok lényege
Az osztályok az egyes rendszereket és felhasználókat különböztetik meg abból a célból, hogy kü
lönböző beállításokat rendelhessünk hozzájuk vagy engedélyezzünk a számukra. Kétfajta osztály
létezik a DHCP-ben: a gyártói osztályok, amelyeket a gyártók adnak meg, és amelyeket emiatt
nem lehet módosítani, valamint a felhasználói osztályok, amelyeket az ügyfélgépek szintjén,
az ügyfeleken állítanak be, és amelyeket a rendszergazdák használhatnak, illetve módosíthatnak.
A gyártói osztályok alapján DHCP-beállításokat küldhetünk szét azoknak az ügyfélgépeknek,
amelyek egy adott osztályba tartoznak- ilyen például, amikor útválasztók vagy DNS-kiszolgálók
egy bizonyos osztályát szeretnénk beállítani. A Windows Server 2008 gyártói osztályaival megte
hetjük, hogy bizonyos megadott rendszerek számára olyan beállításokat ajánlunk fel, mint
a NetBIOS használatának letiltása, a címbérlet visszaadása kikapcsolás előtt, vagy az útválasztás
hoz szükséges adatok gyors és hatékony beállítása az átjárókon.
A gyártók saját maguk határozzák meg a gyártói osztályaikat, ezért annak megállapítá
Figyelem!
sához, hogy az egyes hálózati csatolóink me/y osztályokra reagálnak, minden esetben
a gyártó leírásához kell fordulnunk. A gyártói osztályok nem csak a hálózati kártya gyártóját jelenthetik,
de az azt tartalmazó számítógépét is - mindig azt, amelyik a mi hálózatunk szempontjából érdekes.
A Windows 98, illetve későbbi Windows rendszereken futó DHCP-ügyfe!eket a Microsoft az MSFT
előtaggal osztályozza.
A felhasználói osztályokat a rendszergazdák állítják be, olyan további csoportokat határozva

meg, amelyek a gyártói osztályokkal közvetlenül nem adhaták meg. Például beállíthatunk egy
"Charlotte-i iroda" és egy "Raleigh-i iroda" csoportot, hogy külön IP címekhez rendeljük az egyes
csoportokat. Az ügyfélgépeken és a DHCP-kiszolgálón azonos osztályokat kell létrehozni.
A felhasználói osztályok használatával lehetővé válik, hogy az ügyfélgépek különleges igényű

csoportjait hatékonyan kezeljük, például azokat a gépeket, amelyek a régebbi BOOTP protokollt
használják, vagy azokat, amelyek a Routing and Remote Access (útválasztás és távelérés) szolgál
tatáson keresztül kapcsolódnak. A felhasználói csoportokat igazából azzal a szándékkal hozták
létre, hogy a DHCP-beállításokat a nagy méretű hálózatokban különböző számítógépekre vonat
kozó feltételek alapján oszthassuk ki, valamint azért, hogy felül lehessen bírálni az alapbeállítá
sokat a kiszolgálók, a hatákörök vagy a foglalások szintjén. Egy felhasználói osztály kiszolgálón
történő létrehozásához a következő lépéseket kell végrehajtanunk
1. Nyissuk meg a DHCP-felügyeleti konzolt.

2. Kattintsunk az egér jobb gombjával a DHCP-kiszolgáló nevére, és válasszuk a Define User
Classes (felhasználói osztályok meghatározása) menüpontot a megjelenő helyi menüből.
3. Ekkor megjelenik a DHCP User Classes (DHCP-felhasználói osztályok) párbeszédablak
Nyomjuk meg az Add gombot.
4. Megjelenik a New Class párbeszédablak, ahogyan az a 11.10. ábrán is látható.
5. Írjuk be az új osztály nevét; ennek azonosnak kell lennie azzal, amit az ügyfélgépeken is
használni fogunk. Ugyanitt, ha akarunk, adjunk meg egy beszédes leírást a saját magunk
számára.
6. A:z ASCII felirat alá kattintva gépeljük be az osztály ASCII formátumú nevét. A begépelt
szöveg bináris változata automatikusan jön létre.
Display name:
Binar;<:
11.10. ábra
A New Class ablak
A:z új osztály ezennel létrejött Most adjuk meg azokat a DHCP-beállításokat, amelyeket csak
ennek az osztálynak szeretnénk elküldeni:
1. A DHCP-felügyeleti konzol bal oldali fájában, a kiszolgáló csomópontja alatt kattintsunk

az egér jobb gombjával a Scope Options (hatókörbeállítások) lehetőségre, majd válasszuk
a Configure Options menüpontot.
2. Váltsunk az Advanced lapra.
3. A User Class részben válasszuk ki az újonnan létrehozott osztályazonosítónkat
4. Végül az Available Options alatt válasszuk ki azokat a beállításokat, amelyeket meg
szeretnénk adni, és állítsuk be azokat a kívánt értékekre.
5. Ha készen vagyunk, kattintsunk az OK gombra.
Ezennel a hatókört beállítottuk, az új osztályunk pedig a megadott beállításokat kapja. Minden

ügyfélgépen, amelyet fel szeretnénk venni ebbe az osztályba, adjuk ki az alábbi parancsot:
ipconfig /setclassid "Local Area Connection" "Az új osztály neve"
Sikeres lefutás esetén egy üzenetet kapunk a beállítás sikerességérőL
Fóhatókörök
Ajőhatókörtöbb hatókört foglal magába, amelyek az azonos fizikai hálózati közegen, de eltérő
alhálózaton működő ügyfelektől érkező kérelmeket szalgálják ki. A DHCP-kiszolgálón egy több
hatókört felölelő főhatókör beállításával egyszerre biztosíthatunk DHCP-szolgáltatást több
alhálózatnak Ha több alhálózaton működő gépek számára szeretnénk címbérleteket kiosztani
egyetlen DHCP-kiszolgálóval, akkor használjunk főhatóköröket.
11. fejezet • A DHCP és hálózatvédelem lrf.
Egy főhatókör beállításához a következő lépéseket kell végrehajtanunk:
1. Töltsük be a DHCP-felügyeleti konzolt.

2. Kattintsunk az egér jobb gombjával a DHCP-kiszolgáló csomópontjára, és válasszuk
a New Superscope (új főhatókör) menüpontot a megjelenő helyi menüből, és lépjük át
a bevezető képernyőt.
3. Adjuk meg az új főhatókör nevét, majd lépjünk tovább.
4. Az Available Scopes listából válasszuk ki a kívánt hatóköröket Itt egyszerre több
hatókört is kijelölhetünk, ha a kijelölés közben lenyomva tartjuk a CTRL billentyűt.
5. Kattintsunk a Next gombra, majd erősítsük meg a beállításainkat, végül nyomjuk meg
a Finish gombot.
A főhatókör ettől kezdve aktív.
Üközések észlelése
Annak érdekében, hogy megbizonyosadhasson afelől, hogy ugyanazt az IP címet nem adja bérbe
több ügyfélnek, a Windows Server 2008 DHCP-kiszolgálója képes az ütközések észlelésére, és
egy úgynevezett visszhangkérő teszt (ping) segítségével ellenőrzi, hogy a kiosztásra szánt IP cím
nincs-e már használatban az adott alhálózaton.
A fenti szolgáltatás engedélyezettségéről magunk is meggyőződhetünk, és erre szükségünk is

lesz, amikor újra be kell állítanunk a DHCP-kiszolgálónkat, és biztosak akarunk lenni abban,
hogy nem fog már használatban lévő IP címeket újra kiosztani. Ehhez kattintsunk az egér jobb
gombjával a kiszolgáló nevére a DHCP-felügyeleti konzolon, válasszuk a Properties (Tulajdon
ságok) menüpontot, majd váltsunk az Advanced lapra. Keressük meg a Conflict Detections
Attempt (ütközésészlelési kísérlet) beállítást, és adjunk meg egy 0-nál nagyobb, de 2-nél kisebb
értéket (ennél nagyobb érték teljesítménygondokat okozhat). Ez a szám mondja meg, hogy
a DHCP-kiszolgáló hány visszhangkérést küldjön az adott IP címre, mielőtt kiosztaná azt.
A DHCP és a DNS együttműködése

A Windows Server 2008 DNS-szolgáltatása képes a DHCP-ügyfelek címeiben történő változások
követésére, így a név-IP cím megfeleltetés következetesen működőképes marad a címbérletek
visszaadása és megújítása után is. Az ügyfélgépeken ezt a működést a helyi hálózati kapcsolat
tulajdonságainak megfelelő beállításával érhetjük el. Windows XP-n a hálózati kapcsolatokat
a Start menü Connect To (Kapcsolódás) menüpontjában keressük; Windows 2000 esetén ez
a Vezérlőpulton találjuk a hálózati és telefonos kapcsolatok alatt. Miután megjelent a kapcsolat
tulajdonságait mutató ablak, váltsunk a DNS lapra. Az ablak alján jelöljük be a Register this
connection's addresses in DNS (a kapcsolat címének bejegyzése a DNS-be) lehetőséget, ahogyan
ezt a 11.11. ábra mutatja. Ez utasítani fogja az ügyfélgépet, hogy rnindig küldjön egy frissített
"A" bejegyzést az elsődleges DNS-kiszolgálónak, ha új IP címet kap.
Ha azt szeretnénk, hogy az ügyfélgépek helyett a DHCP-kiszolgáló kezelje ezeket a frissítéseket,

akkor először is a DHCP-kiszolgálót futtató számítógépet fel kell vennünk a DnsUpdateProxy
csoportba az Active Directory-ban. Ha a DHCP-kiszolgálónk előzőleg már átesett az engedélye
zésen (ahogyan a fejezetben erró1 korábban már szó volt), úgy ez a lépés már automatikusan
-WI Windows Server 2008
megtörtént Ha ez mégsem lenne meg, akkor váltsunk a DHCP-felügyeleti konzolra, kattintsunk
az egér jobb gombjával a DHCP-kiszolgáló csomópontjára, és válasszuk a Properties menüpon
tot, majd váltsunk a 11.12. ábrán látható DNS lapra.
The fullowing lhree set!ln9S are applied to ali comectioo• ";ih "fCPjlP
enabfed. For respiUlion ofunquaUJied names;
G Apperu! primary and connectíon specifit oos suffixes

(;;;�:1\ppend patentsuffixeo of ihe Pimart DNS suffix
11.11. ábra
A kapcsolat címének bejegyzése a DNS-be
You car> setup the DHCf' serverio automaticaDy updatie autho<tative DNS
servers "'[h ihe host (A$ and pointer lf'TR}reco!ds cl 01-!Cf' deots.
ElEnatie DNS éiynamic updates: aceordiDg to the seltihgs be!ow:

t:'•D\.'rlamicallyupdate DNS A and PTR """""• onl)llf requested by
tbeDHCf' "'ents
C Alw'!)'S dynamically update DNS A and ?TR reco!ds
(;;; Oism A and PTR """""• when lease is deleted
' i.l)Famícalyupda!e DNS A and PTR recordolcr 01-!Cf' dieAts that<lo

not reQuest updates �or example, dient• runn1ng Wmdows NT 4Jl}
11.12. ábra
A DNS DHCP alapú frissítéseinek beállítása
Itt utasíthatjuk a DHCP-kiszolgálót, hogy automatikusan frissítse az ügyfelei DNS-bejegyzéseit.

Ez megtörténhet minden esetben, vagy csak akkor, arnikor az ügyfél kéri a frissítés elküldését
a DNS-kiszolgáló felé. Azt is itt adhatjuk meg, hogy az "A" típusú DNS-bejegyzések lejárjanak-e
a hozzájuk kiadott címbérletekkel egyidejűleg, továbbá itt engedélyezhetjük azoknak az ügyfe
leknek a frissítést, amelyek nem tudják automatikusan frissíteni a saját bejegyzéseiket a DNS-ben.
Hálózatvédelem
Az asztali gépeken futó szaftveres védelem igen gyakran sikerrel állítja meg a vírusokat és
egyéb rosszindulatú programokat. A vírusirtó, kémprogram-elhárító és egyéb biztonsági progra
rnak piaca rövid idő alatt jövedelmező iparággá nőtte ki magát. Bár ezek a védelmi eszközök
nagyon hatékonyak, a legjobb megoldás mégis az marad, ha sosem engedjük meg, hogy ezek
a veszélyek megjelenjenek a hálózatunkon - ahogy a régi mondás is tartja: az okos emberek
megoldják a problémákat, a zsenik pedig megelőzik azokat.
A Windows Server 2008-ba beépítettek egy technológiát, amely lehetővé teszi, hogy a számító
gépek még a hálózatra való csatlakozás előtt alapvető ellenőrzésen essenek át, amelyet a rend
szergazda határozhat meg. Amennyiben a gép nem felel meg az elvárásoknak, úgy meg lehet tó1e
tagadni a hálózathoz való hozzáférést, vagyis karanténba lehet helyezni a gépet, elzárva az egész
séges számítógépekről, egészen addig, amíg a gép felhasználója nem pótolja a hiányosságokat.
A szolgáltatás neve hálózatvédelem (Network Access Protection, NAP).
Olvasóink már valószínűleg hallottak a NAP elődjérő!, a hálózat-hozzáférési karanténkezelésről

(Network Access Quarantine Control, NAQC), amely a Windows Server 2003-ban jelent meg,
mint a karanténkezelés egy korlátozott változata. Az NAQC csak a saját gépét védte meg a távoli
felhasználóktól, amíg a távoli gép meg nem felelt a hálózati rendszergazda által megadott alap
követelményeknek. Az NAQC felügyelete alatt, amikor egy ügyfélgép kapcsolatot létesít egy távo
li hálózati végponttal, megkapja az IP címet, de az Internet Authentication Service Cintemetes hite
lesítő szolgáltatás) karantén módba lép, amelynak a feloldására csak akkor kerül sor, ha bizonyos
állapotellenőrzések lezajlottak. Bár az NAQC hasznos, a működéséhez egy ellenőrző parancsfájl
elkészítése szükséges; megfelelő felügyeleti eszközök szinte egyáltalán nem állnak rendelkezésre
hozzá, és ami a legfájóbb, hogy nem biztosít védelmet a szervezeten belül működő többi számító
gép ellen.
Az NAP működési elve

Az NAP ezekre a gyengeségekre összpontosít, arra a szilárd meggyőződésre alapozva, amelyre
az NAQC is épített - a legjobb védelem az, ha még azelőtt megállítjuk a vírusokat és kémprog
ramokat, hogy elérnék a hálózatot Az NAP a Windows Server 2008-ban három részből áll:
Rendszerállapot-érvényesítés
Ez az a folyamat, amikor a csatlakozást megkísérlő gépet átvizsgálják, és számos, a rend
szergazda által megadott egészségi követelmény alapján ellenőrzik. Ilyen követelmény
lehet például a megfelelő biztonsági frissítések, javítócsomagok megléte, a vírusirtó
prograrnak jelenléte és aktív állapota, és így tovább.
Állapotmegfelelés
Az állapotházirendek beállításával gondoskodhatunk róla, hogy a rendszerfelügyeleti
kiszolgálón (Systems Management Server) vagy más felügyeleti szoftveren keresztül sor
kerüljön azoknak a felügyelt gépeknek az automatikus frissítésére vagy javítására, amelyek
nem felelnek meg az állapotházirendnek Ez nem kötelező, de nagyon hasznos része
az NAP-nak. Beállíthaták olyan eljárások, amelyekkel biztosítható, hogy a hálózaton mű
ködő számítógépek mindegyike betartsa az állapotházirendeket, és ugyanakkor mindvégig
egészséges is legyen, amíg a mi hálózatunkban működik.
-11·1 Windows Server 2008
Korlátozott hozzáférés
A hozzáférés korlátozása az NAP kikényszerítő eljárása. Az NAP működtethető csak figye
lő módban, amikor is csak naplózza a hálózathoz csatlakozó számítógépek állapotát, aktív
módban futtatva azonban azokat a számítógépeket, amelyek nem felelnek meg a háziren
dünknek, a hálózat egy korlátozott részére helyezzük át, amely általában letiltja szinte
az összes hálózati kapcsolatot, és a forgalmat néhány különlegesen megerősített kiszol
gálóra korlátozza, amelyek tartalmaznak minden olyan eszközt, amely a kérdéses gép
megfelelő formába hozásához szükséges.
Egy alapszintű NAP-ellenőrzés az alábbi lépésekből tevődik össze:
1. Az ügyfélgép hozzáférési kérelemmel fordul egy DHCP- vagy VPN-kiszolgálóhoz, vagy

egy megfelelő hálózati kapcsolóhoz vagy útválasztóhoz, és a kérelemhez csatolja
a pillanatnyi állapotának a leírását.
2. A DHCP- vagy VPN-kiszolgáló, illetve útválasztó vagy kapcsaló az ügyfélgép által adott
állapotleírást továbbítja a Microsoft Network Policy Serverhez (Microsoft hálózati házirend
kiszolgáló), amely egy a RADJUS protokollt támogató számítógép, amely a Windows
Server 2003-ból már ismert internethitelesítési szolgáltatást felváltó protokoll.
3. A hálózati házirend-kiszolgáló ellenőrzi a kapott állapotleírást a rendszergazda által meg
adott feltételek alapján, és az eredménytől függően dönt a továbbiakról. Ha a kérelmező
gép nem felel meg az IT-házirendnek, akkor egy virtuális helyi hálózatra kerül, ahol vagy
az IPSec szabályai vagy a 802. lx fizikai szintű védelme alapján teljesen elszigetelődik
az egészséges gépektől, esetleg egy nagyon korlátozott számú választható hálózati
útvonalat bocsátanak a rendelkezésére. A korlátozás módjától függetlenül az ügyfél csak
------------
1
Gyógyító
'
1 1
Rendszerállapot- �
1 kiszolgálók 1 1 kiszolgálók 1
l l l l
l l l l
l l l l
..... ___________ / ..... ___________ /
Frissítések Állapotházirendek
11.13. ábra
Egy alapszintű NAP-rendszer felépítése
néhány előzőleg különlegesen megerősített kiszolgálót érhet el, amelyek rendelkeznek

a feljavításához szükséges eszközökkel. A fenti lépéseket rnindaddig ismétlik, amíg
az ügyfélgép meg nem felel a házirendnek A házirendnek maradéktalanul megfelelő
gépek teljes hálózati hozzáférést kapnak.
4. Az ügyfél oldalán a rövid kódból felépülő rendszerállapot-ügynökök (System Health
Agents, SHA) és a rendszerállapot-érvényesítők (System Health Validator, SHV) biztosítják,
hogy az ellenőrzések és a megfelelőségi vizsgálatok szükség esetén rninden ügyfélen meg
történjenek, az l. pontban leírt módon. A Windows Vista előre beállított SHA-kat és SHV
ket tartalmaz, amelyek egyedileg testreszabhatók Ezeken felül, az NAP ügyféloldali ügynö
kei az SHA által készített állapotinformációkat továbbküldik a kényszerítő ügyfeleknek
(enforcement client, EC), amelyek ténylegesen végrehajtják a kényszerírést (a DHCP-ben
az útvonalak korlátozásával, csomagszűrők alkalmazásával stb.), a választásunktól függően.
Vessünk egy pillantást a 11.13. ábrára, ahol összefoglaljunk az NAP felépítését.
Kényszerítő eljárások
Az NAP számos módon korlátozhatja az ügyfélgépek hálózati hozzáférését. A Windows Server
2008 pillanatnyilag az alábbiakban felsorolt öt módot támogatja:
• Az első a DHCP alapú kényszerítés. Az ügyfélgép megpróbál IP-címbérletet kérni egy

olyan Windows Server 2008 rendszerű DHCP-kiszolgálótól, amelyre telepítették a hálózati
házirend-kiszolgáló szerepkört. Ez a kiszolgáló ellenőrzi az ügyfél egészségi állapotát, és
amennyiben az megfelelő, egy érvényes IP címet bocsát a rendelkezésére. Ha az ügyfélgé
pet betegnek ítéli, úgy csak egy nagyon korlátozott hozzáférést biztosító IP-címbérletet oszt
ki a számára, amelyben csak egy IP cím, egy alhálózati maszk és néhány gyógyító kiszolgá
ló elérési útja szerepel, alapértelmezett átjáró nélkül. Arnint az ügyfélgép meggyógyul, küld
egy üzenetet a DHCP/NAP-kiszolgálónak egy újabb ellenőrzési ciklust indítva, de ezúttal
már teljes hozzáférést biztosító címbérletet kap válaszként.
• A VPN alapú kényszerítés meglehetősen hasonlít az elődjére, az NAQC-re. A folyamat
azzal kezdődik, hogy a VPN-ügyfél kapcsolatot kezdeményez a VPN-koncentrátorral
vagy VPN-kiszolgálóval (amelyen szintén fut a hálózati házirend-kiszolgáló), vagy egy
másik géppel, amelyen be van állítva az ügyfelek egyészségi állapotának ellenőrzése.
Ha az ügyfélgép egészséges, korlátlan hozzáférést kap a hálózathoz, de ha nem, akkor
a kapcsolata csomagszűrés alkalmazásával a gyógyító kiszolgálók körére szűkül. A VPN
kiszolgáló a szűrőket késóbb eltávolíthatja, amennyiben az ügyfélgép már rendbejött
a gyógyító kiszolgálók segítségéveL
•
Rögzített ügyfelek esetén az NAP 802. lx alapú kényszerítése a DHCP alapúval szemben
jobb védelmet nyújt a harnisírási kísérletekkel szemben. A 802. lx az IEEE (Institute of
Electricai and Electronics Engineers, mérnököket egyesítő nemzetközi szervezet) szabvá
nya, amely a hálózati kapuk (azaz a hálózatra csatlakozás helye) szintjén szabja meg
a berendezések viselkedését. A csatlakozó eszközök hitelesítése által majdnem azonnali
kényszerírést lehet megvalósítani. A megítélésünktől függően tudunk védelmet biztosítani
vagy korlátozást kiszabni bármely csatlakozó eszközre, és nem csak a Windows-vagy
VPN-ügyfelekre. A megoldás hátránya, hogy a csatlakozási pontok szintjén történő kény
szerítésnek megfelelő hardver meglehetősen drága: a csomagkapcsolónak tudnia kell
-:!fl Windows Server 2008
kommunikálnia a Windows hálózati házirend-kiszolgálójával egy titkosított EAP
kapcsolaton keresztül, hogy eldönthesse egy új eszközről, hogy az adott kapun át
engedélyezze-e a számára az adatátvitelt.
•
A:z IPsec alapú kényszerítés a legérdekesebb, és az eddig tárgyalt módszerekhez képest
talán ez áll a legközelebb a valósághoz. A megfelelő hatékonyság érdekében IPsec-háziren
deket kell telepítenünk a hálózat rninden gépére (vagy legalábbis az érzékenyebbekre),
hogy csak azokat engedjük csatlakozni, amelyek megfelelő állapottanúsítvánnyal rendel
keznek. Ha a házirendek rninden érintett gépen megtalálhatók, akkor megmondhatjuk
az NAP-nak, hogy bocsásson ki állapottanúsítványokat az egészséges gépek számára,
amelyek ezután szabadon kommunikálhatnak bármely állomássaL A beteg gépek azonban
nem kapnak ilyen tanúsítványt, és bár ezek (a) érvényes IP címmel rendelkeznek, (b)
a választható útvonalaik nem korlátozottak, és (c) nincs hardveres módszer az adatforgal
muk letiltására, az IPsec-házirendek rniatt a hálózati gépek egyszerűen figyelmen kívül
hagyják a felőlük érkező forgaimat- ha úgy tetszik, befogják a fülüket. Ha ezt a típusú
kényszerírést akarjuk alkalmazni, akkor szükségünk lesz a Health Registration Authority-ra
(állapotbejegyző hatóság), amely beszerzi az állapottanúsítványokat az egészséges ügyfelek
számára egy tanúsítvány-kibocsátótóL
•
Végezetül, a TS-átjáró alapú kényszerítéssei is lehetséges NAP-kényszerírést alkalmazni
a terrninálszolgáltatásokat igénybe vevő távoli ügyfelekre, bár ezek számára nem biztosít
ható az automatikus gyógyítás.
A hálózatvédelem fokozatos megvalósítása

Mivel az NAP meglehetősen sokrétű szolgáltatás, amely rnindennel rendelkezik ahhoz, hogy
a hálózatunkban működő gépeket egy szempillantás alatt süket, a hálózattól elszigetelt masinává
változtassa (ami a termelékenységet néhány elenyésző esettől eltekintve meglehetősen vissza
vetheti), a legjobb, ha az egészet fokozatosan vezetjük be. Ennek több előnye is van: egyrészt
a felhasznáJók látják, mi történik, és nem kényszerülnek pihenőre egy esetleges véletlen karan
ténba helyezés rniatt, másrészt mi is tisztába jövünk vele, hogy rnilyen hatással lesz az NAP
a hálózatba kötött gépekre. Szalgáljon hát rnintául az alábbi lépéssor a NAP bevezetéséhez.
Első szakasz: csak naplózás

Ebben a lépésben az NAP bármit is tesz- az ügyfélgépek vagy az állapotvizsgálatok
eredményének ellenőrzése, kényszerítő lépések megtétele-, az eredmény csak a köz
ponti naplóba kerül be, ugyanakkor semmilyen valódi gyógyítás vagy karanténba helye
zés nem történik. Ebben a szakaszban a cél az, hogy kiderüljön, hogy a kiszolgált gépek
melyik része beteg, hány felhasználót érintene egy esetleges karantén, és milyen típusú
ak a kiszolgált gépek egészségi problémái. Egyik gépet sem kapcsoljuk le a hálózatról,
mégis meglehetősen jó képet kapunk a gépek állapotáról.
Második szakasz: naplózás és gyógyítás
A:z első szakasszal eltelt egy vagy akár több hónap után engedélyezhetjük a gyógyítást
a naplózás mellett. Ez várhatón a kiszolgált gépek jelentős hányadán -azokon a gépeken,
amelyek az első szakaszban betegnek bizonyultak- javítani fog. Ezáltal az esetlegesen
kizárandó gépek számát csökkenthetjük, de a hálózattól még mindig nem szigeteljük el
teljesen őket.
Harmadik szakasz: késleltetett kényszerítés
Miután eltelt némi idő az automatikus gyógyítás beállítása után, és figyeltük a naplókat,
beállíthatjuk, hogy az NAP a beteg gépeket csak korlátozott ideig engedje fel a hálózatra.
Ez lehetővé teszi a gépek felhasználóinak, hogy a vállalati hálózatról letöltsék és telepít
sék a hiányzó frissítéseket, javításokat stb., mielőtt kizárnánk a gépeket a hálózatbóL
A:z időtartam hossza tetszőleges lehet, de nem javasolt egy napnál rövidebbet és egy
hétnél hosszabbat megadni, mivel meg szeretnénk ugyan erősíteni a felhasználóinkban
az egészségi előírások betartásának fontosságát, de ezt úgy, hogy közben ne izzadjanak
vért a telepítések elvégzésével. (Bizonyos hálózatok az NAP-t ebben a szakaszban hagy
ják, ez azonban nem javasolt, mivel a rosszindulatú programoknak rendszerint nagyon
kevés idő elég a hálózat megfertőzéséhez, és ha beengedünk egy ilyen behatolót az NAP
védelmi vonalai mögé, akkor az NAP egész telepítése értelmét veszti).
Negyedik szakasz: azonnali kényszerítés
Legvégül, ha már mindenkinek sikerült megjavítania a gépét, és mindenkinek megvan
a lehetősége az automatikus gyógyítás használatára, egyszerűen szüntessük meg a har
madik szakaszban megadott türelmi időszakot, és engedélyezzük az NAP számára, hogy
a gyógyíthatatlan gépeket kizárja a hálózatbóL Ne feledjük, hogy az NAP képes a kisebb
problémákat- például egy kikapcsolt tűzfalat - automatikusan orvosolni, így rendszerint
csak azokat a gépeket fogja kizárni a hálózatból, amelyek súlyosabb problémákkal
küzdenek.
A hálózatvédelem beállítása
Minden NAP-beállítás középpontjában a hálózati házirend-kiszolgáló áll. Kezdjük a beállításokat
a 802.1x alapú kényszerítésset Először is győződjünk meg arról, hogy a hálózati házirend-ki
szolgálói szerepkör (Network Policy and Access Services, hálózati házirend- és hozzáférési
szolgáltatások) telepítve van a gépünkön:
1. A Start menüben a felügyeleti eszközök közül válasszuk a Network Policy Servert.

2. Ismerkedjünk meg a környezettel: a Network Policy Server alkalmazás bal oldali ablaktáb
lájában található a Policies és a Network Access Protection csomópont (lásd a 11.14. ábrát).
A Policies csomópont alatt állíthatjuk be az alapvető állapotházirendeket, amelyeknek
a kérelmező gépeknek meg kell felelniük. A:z SHV-ket és a gyógyító kiszolgálókat
a Network Access Protection csomópont alatt állíthatjuk be. Ezen felül szükségünk lesz
egy RADIUS-kiszolgáló beállítására a 802.1x hitelesítés miatt. A:z általunk használt hálózati
kapcsolók RADIUS-ügyfelekként fognak üzemelni.
3. Bontsuk ki a RADIUS Clients and Servers (RADIUS-ügyfelek és -kiszolgálók) csomópon
tot a bal oldalon, kattintsunk az egér jobb gombjával a RADIUS Clients (RADIUS
ügyfelek) elemre, majd válasszuk a New RADIUS Client menüpontot a megjelenő helyi
menüből.
4. Ekkor megjelenik a New RADIUS Client ablak (lásd a 11.15. ábrát). Itt állíthatjuk be az ál
talunk használt hálózati csomagkapcsolót Adjunk meg egy beszédes nevet, valamint
a kapcsaló IP címét, és jelöljük be a Generate választógombot a megosztott titkos kulcs
előállításához. Az elkészült kulcsot be kell majd másolnunk a kapcsaló beállításaiba. Kat
tintsunk az OK gombra, ha elkészültünk.
-��· Windows Server 2008
Polides
C Connection ReQ•JestPoli<Id
Cj Network Policies
i:j He:alth Polides
8 � Network Access Protection
� System Health Validators
ifi Remediatien Server Select a configl..ration scenatlo from the bst and then dick the Inc. below to open the scenario wizard.
A=<Xlting
__________________ 3
Networlc Access Protection (NAP)
..
'Mlen you corligure NPS as a N...a.P policy setVer. you create health poicies that alow NPS to validate the
corf!QlntiOO á NAP-capable cient compulet> belore they connect to your net'O!k. Clents tha! are not comptiart
v.:ith heath poicy can be piaced on a restricted netv.'Ork and al.i:omaticaltyupdated to bmg them i'lto comp&ance.
a Leammore
11.14. ábra
A hálózati
házirend
kiszolgáló
képernyője
New R.AOIUS GJent :. 'or7'

� Enobte ths RADJUS dient
N��----�--�-i'
Riendly name:
., . .. .... ..... . .'!
1\ddre$$ �P or DNS)
,'='il
�� Yenfv..
!i fl ��
Spedy
�·- "·"'
RADtUS Standard!"' most RADIUS diento, eneled the RAD1US clierJt
v� fromthelist
Vendor name:
' I!?DIUS_�andard -� � al!

Shared Secre!
�
To m..-...aly type a shared secre! , <:ici< Maooal To a>Aomabcat{ generale a shared
RADJUS
secre!, <:ici< Generale. You ll>JSI coriigige the dient wih the same shared
secretertered hete. Sl'iared-secrets are case-sensftive.
r-: Manual Generate

Shared seaet.
l l
Confnm shared secre!:
"
L -
.e� JI
Addruonal Optjons
r A:cess-Request messege9ll>JSI contaln the Message·Autherkator-
OK 11.15. ábra
Az új RAD/US-ügyfél megadására szalgá/ó ablak
5. A bal oldali ablaktáblában bontsuk ki a Policies csomópontot, kattintsunk az egér jobb

gombjával a Health Policies (állapotházirend) elemre, majd válasszuk a New (Új) menü
pontot a megjelenő helyi menüből.
11. fejezet • A DHCP és hálózatvédelem l@.
CreateNe-v Health Policy '
��
SHVs used in tilos healh policy:
��---�
OK
11.16. ábra
Az új állapotházirend létrehozására szalgá/ó ablak
ttew Network Poracy :: '\'!if:
Speáfy Network Policy Name and Connection Type

You can specify a namefor yo ur ne.twork policy and the type of connections to which the policy is applied.
Policy.--:
L
pNetwOikcomectionmethad r� �-- ,_ = �
l Select the type ol nelwori< occess seiVerthat '""'ds the cl)l1(l<!C!íon request !o NPS� You con select eiher !he netwOik � se.ver
type or Vend« spedlic.
�·.·Type of network access. server
�
Vend« spedllc:
.----".::::í'!
J'o....,. ., Eit
11.17. ábra
Az új hálózati házirend
létrehozására szalgá/ó
ablak
6. Ekkor a Create New Health Policy (állapotházirend létrehozása) ablak jelenik meg
(lásd a 11.16. ábrát). Itt adhatjuk meg, hogy rnilyen alapszintű ellenőrzéseket szeretnénk.
A követelményeknek eleget tevő gépekhez a Client passes all SHV checks (az ügyfél
az összes SHV-ellenőrzésen átment) lehetőséget választva és a Windows Security Health
Validator (Windows állapot-érvényesítő) négyzetet bejelölve rendelhetünk házirendet,
míg a nem megfelelő gépekhez bármely másik beállítást megadva a Client SHV Checks
(ügyfél SHV-ellenőrzések) listábóL
7. Bontsuk ki a Policies csomópontot a bal oldalon, kattintsunk az egér jobb gombjával
a Network Policies elemre, majd válasszuk a New menüpontot.
8. Ekkor a New Network Policy (új hálózati házirend) képernyőt láthatjuk, amelyet
a 11.17. ábra mutat. Adjunk nevet a házirendnek, válasszunk egy "ismeretlen" típusú
hálózati hozzáférés-kiszolgálót, majd lépjünk tovább.
•=111 Windows Server 2008
9. Ekkor a Specify Conditions (feltételek megadása) képernyőre jutunk. Nyomjuk meg
az Add gombot a Select condition (feltétel kiválasztása) ablak megnyitásához (lásd
a 11.18. ábrán). Itt feltételként a 6. pontban megadott állapotházirendek szerepelnek, ami
azt jelenti, hogy amennyiben az egészségi feltételek valamelyike teljesül, úgy életbe lép
nek az ebben a hálózati házirendben megadott szabályok. A feltételeket betartó vagy
egészséges gépek, illetve a beteg vagy a feltételeket nem teljesítő gépek számára külön
külön házirendet adhatunk meg. Ha készen vagyunk, lépjünk tovább.
1 O. Ekkor a Specify Access Perrnission (hozzáférési engedélyek megadása) képernyőre kerü
lünk. Itt adhatjuk meg, hogy az előző lépésben megadott feltételek teljesülése esetén rnit
szeretnénk engedélyezni, illetve letiltani. Ha megadtuk a beállításokat, lépjünk tovább.
Select condition
"' :t�
Windows <inqJs
The Windows Groups conditioo specifies that tha connecting user or COOlpUter must belong to one of the selected
Machine<in:qJs
The Machine Groups conditioo specifies that tha connecting COOlpUter JroSt beleng to one of the selected qroups.
Us�GrcqJS
The User Groups condition specifies that the connecting user must beloog to one of the selected groups.
Localion Groups
The HCAP Location Groups condition specifies the Host Credential Authorization Protocol (HCAP) localion groups
required to match this policy. The HCAP protocol js used for communication between NPS and "Some third party
network access servers {NASs). See your NASdocumentation before using this condition.
11.18. ábra
A feltétel kiválasztására
szalgá/ó ablak
t.tew Network PoliCY �.,;;�"' ""

Configure Authentication Methods
Configure one or more authentication methods required forthe connection request to match thi.s policy.For EAP
authentication, you must configure an EAP type. If you deploy NAPwith 80'2.1X or VPN.. you mu-st configure
Proterted EAP in connection request policy_,which overrides network policy authentication settings.
EAl' types are negollated -- NPS and tha clíent in the «der in "tlich they are isted.
EAP Types:
l.esa- .ubenlicalíon melhods:

� Microsoft EnC!Wfed.Authentlcanon v....., 2 (MS{;HAf'..,2)
R: u.er can change passworo alte<< has e><pfed
17 Mcrosoft EnCI'j!lled .Authentlcation (MS-CJW')
P' U.... can change password alter t has e><pfed
C Ertawled authentlcalion {CHA?:
fl llneooypted a..thentioation (PAP. SPAI')
.J H.<m clíents to C<lr1fled without negotiatlng an outhent!cation melhod.
r Petf011Tl machine 1\eath check only 11.19. ábra
A hitelesítési eljárások
beállítására szalgá/ó
képernyő
11. Ekkor a Configure Authentication Methods (hitelesítési eljárások beállítása) képernyő je
lenik meg (lásd a 11.19. ábrát). A 802. lx alapú NAP-kényszerítéshez fel kell venni a Mic
rosoft védett EAP (Microsoft: Protected EAP) módot az EAP-típusok listájába. Ehhez kat
tintsunk az Add gombra, és válasszuk ki a megfelelő elemet a listábóL Ugyanitt további,
kevésbé biztonságos módokat is megadhatunk. A folytatáshoz lépjünk tovább.
12. Ekkor megjelenik a Configure Constraints (megszorítások megadása) képernyő, amelyet
a 11.20. ábrán láthatunk. Itt a hálózati házirendhez tartozó további feltételeket adhatunk
meg. Ha ezek nem teljesülnek, akkor az NPS megtagadja a hozzáférést a kérelmező gép
től. Beállítható a maximális üresjárati idő is, a maximális kapcsolati idő, a MAC cím (a
RADIUS-ban állomáscímnek hívják), egy nap- és idóoeli korlát, valarnint a készülék típu
sa. A folytatáshoz lépjünk tovább.
13. Ekkor a Configure Settings képernyőre kerülünk. Itt a házirend egyéb jellemzőit adhatjuk
meg. Minket leginkább az NAP-kényszerítés érdekel, úgyhogy váltsuk át az NAP
Enforcement elemre a bal oldali listában (lásd a 11.21. ábrát). Itt választhatjuk ki, hogy
az NAP melyik "szakaszát" szeretnénk megvalósítani az adott házirenddel - teljes hozzá
férés, késleltetett kizárás, azonnali kizárás. Figyeljünk arra, hogy ez a beállítás csak az ép
pen létrehozott házirendre fog vonatkozni. V álasszuk a teljes hozzáférést a házirendet
betartó és a másik kettő közül valamelyiket a beteg gépekre vonatkozóan. A beteg gé
pekre vonatkozó házirend számára itt engedélyezhetjük az automatikus gyógyítást is.
Ez után kattintsuk a Next, majd a varázsló következő oldalán a Finish gombra.
14. Most, hogy beállítottuk a hálózati és az állapotházirendünket, be kell állítanunk azokat
az ellenőrzéseket, amelyeket a Windows SHV-nek végre kell hajtania. Bontsuk ki
a Network Access Protection csomópontot, válasszuk a System Health Validatars (állapot
érvényesítők) pontot, majd kattintsunk duplán a Windows Security Health Validator
(Windows rendszerállapot-érvényesítő) pontra a jobb oldalon.
New Network Pobcy � o.7-f!L

Configure Constraints
Constraints are additlonal parameters of the network policy that are required to match the connection request. If a
constraint is not matched by the connection request,. NPSautomatic.ally rejeds the request. Constraints are
optio nal; if you do notwantto configure constraints, dickNext.
policy.
Confill!JI" the conátl!inta forll1s netwak
f .a...-s�we notmateiJed by the C<imection request. netwak ecceoo isdenied.
Specify the maximum time in minutes that the server can remain idle belore the connection
is díscomecte d
C Disconned after the maxinum idle tine

íJl1il Called Statioo ID
ri} Day and time

restricbons
:f NAS Parl Type
11.20. ábra
A megszorítások
megadására szalgá/ó
Ne>! nr
�
ablak
Windows Server 2008
Configure Settings
NPSapplies :settings to the connection requestif ali of the networkpo!icyconditions and constraints forthepolicy
are matched.
Confígurelhe �· forthis networl<policy.

� <:tmdilioos and t:OflS!!ainl•.match the oonnedíon request and the policy Q!Oills accen. �s .,.. applíetl
RADIUS�- Spedfy 'tl.ilether you want to erlforce Network Access Protection for this pohcy.
��Standard
!ZJ Vende< Specific € .:AJ!ow full netwofk access
.A1Io'l\'� unrestrtcted networl< access for dients when the connection request matdles
Networkkcess the policy. Use this option for reporling mode.
Protectioo
�] NAP Enforcement 0 �ow fufl neh-.otk access for a limned tíme
AJkv.vs unrestricted nehvori< access until the specified date and time. Afterthe speclied
M!J Extended State
date and time. heatth policy is enforced and non-compliant computers can access only
Routing and Rende the restricted net'.vork.
Aixess
e Multilink and D-9te: Time:
Ban&Nidth Alloc."líoo
Protoccl (BAP) C Allow Umited access
Non..:ompliant clients are aHowed access only to a restricted network for updates.
A IPFilters · · ··-·· ········· ·· ··· ···· ·· -·
Remedialion ServerGroup and Troobleshooting URl· · -
ilfl Encryptioo 1 To configure a Remediatien ServerGroup, a Troubleshooting URL, or both, clir.:k 11.21. ábra
� '"""
'"""'"""' ""
"""'
"�
�.. [:j _LC_o:ovlg�ure;-=""'"'=�,��-==-=-c=-==""!E!!!!''!!F-Jii' Kényszerítések
megadása a hálózati
házirend-beállítások
ablakában
11.22. ábra
Bydefá\Al;'ó""'ts can recelveseamtyu;xlatesfr�mMicrosoftUpdale. Ifaddilioria! �C<SarereQ!Wed lor.:\""" �_.,t, se!ectooeo< A Windows
bothofthe�sourc<s.
Security Health
Validator ablak
Windows Vista
lapja
Wmdows Secunty Health Vai

Ktator "
�=
Use the settiogs below tn deflne a Wír1clo>vs SeOJrity Healtl1 Volid.otnr policy. Your selections deflne the reqUJrements for c!Jent computer> comec.ting
-ro your network.
�
�
Firewal -
r;;;tA firewal os er1abled for al networlc connecbOns
-� r..·-- v<
-
� ..". "�."{,-,.--�
--- --
-- -
--
--
--'""
P' AntivirusiSuptndeto
*"
r'· Restrlcta<o!Ss for clte<lts !hot do not have al ••aiable sea.Jrlty Ujldetes ínstated
Spoófy the """"""" - ofhoors a1loo.;<d siru:e the dient nos <hed<ed f<>r now socunty ..,;xlates:
f"ii"'i'tl
B'; default. dients can rece.� secunty ..,;xlates from MicrosoftUpdate. If addí!ional sourcesare requred f<>r your deployment, selectone
11.23. ábra
oc both of the fi>loWI'lS!:so<rces.
A Windows
P' WJnówsU!l<fa!:e Security Health
Validator ablak
WindowsXP
OK
lapja
15. Ekkor megjelenik a Windows Security Health Validator Properties képernyő. Az Error Code
Resolution (hibakódfeloldás) részben választhatjuk ki, hogy az SHV hogyan reagáljon, ha
bizonyos feltételek teljesülnek, beleértve az időtúllépést, a kapcsolódási problémákat és
a hibakódokat Felül a Configure gombbal juthatunk az ellenőrzések beállításához- kattint-
·
sunk is rá.
16. Ekkor a Windows Security Health Validator képernyőt láthatjuk (11.22. ábra), amelynek két
lapja van; egy a Windows Vistához, egy pedig a Windows XP-hez (11.23. ábra). Itt adhatjuk
meg a kívánt tűzfal-, vírusvédelmi és kémprogram-elhárítási beállításokat (ez utóbbit csak
a Windows Vistához), az automatikus frissítést, a javítócsomagokat és így tovább. Állítsuk
be a kívánt követelményeket, majd nyomjuk meg az OK gombot a befejezéshez.
Idáig eljutva mindent beállítottunk, amit a kiszolgálóoldalon beállítani szükséges volt. Jegyezzük
meg, hogy mindig két hálózati házirendet kell megadni - egyet az egészséges és egyet a beteg gé
pek számára, csakúgy, mint ahogyan két állapotházirendet is- szintén egyet az egészségeseknek,
és egyet a betegeknek. Ha rendelkezünk ezzel a négy házirenddel, és beállítottuk a Windows
biztonsági állapotellenőrzőjét a megfelelő követelményekkel, már csak az marad hátra, hogy
az ügyfélgépekre telepítsük a megfelelő beállításokat. Ezt a legegyszerúoben egy csoportházi
renden keresztül tehetjük meg. A megfelelő beállításokat a Computer Configuration, Windows
Settings, Security Settings, Network Access Protection ágban találjuk A lehetséges beállítások
a következők:
• DHCP Quarantinhe Enforcement Client (DHCP karantén-kényszerítési ügyfél)

• Remote Access Quarantine Enforcement Client (távelérési karantén-kényszerítési ügyfél)
• IPsec Relying Party (IPsec-átjátszóállomás)
Windows Server 2008
•
TS Gateway Quarantine Errforcement Client (terrninálszolgáltatási átjáró karantén
kényszerítési ügyfél)
•
EAP Quarantine Errforcement Client (EAP karantén-kényszerítési ügyfél)
Egyszerűen válasszuk ki a megfelelő ügyfelet- rnindegyik az előzőekben tárgyalt kényszerítő

eljárások egyikéhez tartozik-, majd engedélyezzük azokat. Ezzel készen állunk a telepítésre.
Előnyök és hátrányok
Az NAP igazán nagyszerű szolgáltatása a Windows Server 2008-nak, amelynek a használata szám
talan előnnyel jár. Nagyon hatékony védelmet ad a rosszindulatú prograrnak ellen még azelőtt,
hogy beszivároghatnának a rendszerünkbe. A kiszolgáló ára tartalmazza ezt a szolgáltatást, és
a felhasználóknak új lehetőséget ad arra, hogy megerősítsük őket abban, hogy komolyan vegyék
a biztonságot. Egy beteg géppel nem fogják tudni befejezni a munkájukat, így a rendszer egészsé
ge egységesen elsóbbséget élvez nem csak az IT-szakemberek, de a felhasználók körében is.
Talán mondani sem kell, hogy az NAP alkalmazása nem ad első osztályú jegyet a biztonság
nirvánája felé. A használata valójában számos hátránnyal is jár. Az egyik az, hogy vannak olyan
esetek, amelyek veszélyeztetik az NAP hatékonyságát. Az egyik ilyen például az, amikor a DHCP
alapú kényszerírést egy rutinosabb felhasználó azáltal cselezi ki, hogy saját kezűleg megadja
a címbérletbó1 hiányzó beállításokat (alapértelmezett átjáró, DNS kiszolgáló, és így tovább).
A másik probléma, hogy a hálózatra csatlakozó eszközök biztonságos észlelése és hitelesítése
nehézségekbe ütközhet, különösen azoké, amelyek üzenetszórással működnek. Végül, a legjobb
telepítési mód, a 802. lx, megfelelő hardvert igényel, ami nem csak drága mulatság, de komoly
tesztelést is igényel, rnielőtt élesben használhatóvá válik.
Akkor hát bízhatunk az NAP-ben? A válasz határozottan igen- amennyiben megfelelően telepít
jük, és egy több rétegű védelem részeként működik. Természetesen további védelmi eszközök
használata is szükséges, az NAP ugyanis nem mindenható megoldás a biztonsági problémákra-
de mindenképpen fontos szerepet játszhat (és kell is játszania) a megfelelő biztonság kialakítá
sában.
Zárszó
Ebben a fejezetben áttekintettük a hálózati rendszereket és eljárásokat. A DNS és a DHCP
együttes használata automatikus és önmagát karbantartó megoldást ad az IP címek kiosztására.
Az NAP nagyszerű eszköz a hálózat sértetlenségének, valamint a távoli gépek megfelelő egész
ségi szintjének elérésére és fenntartására, amely kizárja a kártékony programokat, még mielőtt
meg tudnák fertőzni a hálózatot
A következő fejezetben azt tárgyaljuk, hogy rniként méretezhetjük a hálózati szolgáltatásokat,

hogyan oszthatjuk el a terhelést, és miként biztosíthatunk hibatűrést a megfelelő prograrnak
használatávaL
Bevezetés a fürtözési eljárásokba
A fürtök célja, hogy hibatűrést biztosítsanak rendszerek egy csoportjának, hogy az általuk nyúj
tott szolgáltatások mindig elérhetők legyenek, vagy legalábbis a lehető legrövidebb ideig tartson
a kiesés. A fürtök ezen kívül a rendszerhalmazt egyetlen felületként tárják a külvilág felé, ami
azt jelenti, hogy a végfelhasználó és mindenki más, aki a fürt tagjainak erőforrásait használja,
nincs tudatában, hogy a fürt egynél több számítógépből áll - ő csupán egyetlen egységet lát
a hálózaton, miközben a számítógépek közötti terheléselosztás piszkos munkáját a fürtkezelő
szaftver végzi a színfalak mögött.
A Microsoft a Windows Server 2008-ban két, jól elkülöníthető típusú fürtözési szolgáltatást kínál:
Hálózati terheléselosztó fürtök

A hálózati terheléselosztó (NLB, network load-balancing) fürtök azoknak a szolgáltatások
nak biztosítanak magas rendelkezésre állást, amelyek a TCP/IP protokolira támaszkodnak.
Egy NLB fürtben legfeljebb 32 számítógép lehet, amelyeken a Windows Server 2008
bármelyik változata, Windows Server 2003 vagy Windows 2000 Server (egyetlen kisebb
kivétellel, amelyről a fejezetben késóbb ejtünk szót) futhat.
Valódi kiszolgálófürtök
A kiszolgálófürtök a magas rendelkezésre állású számítógépek "prémium" változatát
jelentik, és olyan kiszolgálókból állnak, amelyek a terhelést és a folyamatokat a fürt
minden tagjával képesek megosztani (néhány kivétellel, ahogy a fejezetben később látni
fogjuk). A fürt automatikusan észleli, ha egy tag kiesik, és az általa végzett munkát
áthelyezi a fürt más, működőképes tagjaira. A valódi kiszolgálófürtöket csak a Windows
Server 2008 Enterprise és Datacenter kiadásai támogatják.
Milyen esetekben vehetjük hasznát az egyes fürttípusoknak? Az NLB használata igen költséges
módja annak, hogy magas TCP/IP-rendelkezésre állást érjünk el a webszolgáltatásokat vagy más
internetes és belső hálózati alkalmazásokat nyújtó kiszolgálókon. Az NLB lényegében terheléski
egyenlítőként működik, amely egyenlően osztja el a terhelést a számítógépeken, amelyek mind
egyike saját, független, elszigetelt példányt futtat az liS szoftverből. Az NLB csak az ellen nyújt
védelmet, ha az egyik kiszolgáló kiesik a hálózatból; vagyis ha az egyik gép liS-példánya nem fut,
Windows Server 2008
a munkáját az NLB fürt más kiszolgálói között osztja el. A munkamenetekkel dolgozó dinamikus
weboldalak nem nyernek túl sokat ezzel a fajta fürtözéssel, mivel a fürt tagjai önálló, egymással
kapcsolatban nem álló IlS-változatokat futtatnak, és így nem képesek folytatni más gépek munka
meneteit.
Ugyanakkor a webes tartalmak jelentős része statikus, és vannak olyan dinamikus webhely
megvalósítások is, amelyek nem használnak munkameneteket, ezért az NLB-nek van esélye
arra, hogy növelje egy üzemi webhely megbízhatóságát. Az NLB ezen kívül az olyan IP alapú
alkalmazások számára jelent előnyt, mint az FfP vagy a VPN.
Ha olyan üzleti alkalmazásokkal rendelkezünk, amelyeknek mindig elérhetőnek kell lenniük,

a valódi kiszolgálófürtöknek nagyobb hasznát vehetjük. A valódi kiszolgálófürtökben a fürt min
den tagja ismeri az összes többi tag megosztott erőforrásait. Ezen kívül a tagok figyelik egymás
"szívdobbanásait", hogy mindig tudják, hogy a társaik szolgáltatásai elérhetők-e. Ha egy erőforrás
vagy számítógép meghibásodik, a Windows Server 2008 fürtözési szolgáltatása önműködően k�
pes az ott megkezdett feladatokat, folyamatokat és munkameneteket áthelyezni egy másik gépre.
Ez nem jelenti azt, hogy ez a váltás teljesen észrevétlenül történik: amikor egy alkalmazás a fürt
egy másik tagjára kerül, az ügyfél-munkamenetek valójában megszakadnak, majd újra létrejön
nek az erőforrások új tulajdonosán. Bár ez viszonylag gyorsan megy végbe, az alkalmazás termé
szetétől függően a felhasználók valószínűleg észlelik a változást, mivel gyakran újra kell azonosí
taniuk magukat az új számítógépen. A fürt ennek ellenére lényegében egy egységként működik,
és teljesen hibatűrő, ha pedig helyesen tervezzük meg a fürt szerkezetét, elkerülhetünk minden
meghibásadási pontot, ami csökkenti annak az esélyét, hogy egyetlen hibás hardvereszköz vagy
szoftverösszetevő térdre kényszeríti az üzlet számára létfontosságú teljes alkalmazást.
Ebben a fejezetben egyenként megvizsgáljuk mindkét fürttípust, elmagyarázzuk a velük kapcso

latos fogalmakat, és megmutatjuk, hogyan végezhetjük el a leggyakrabban szükséges felügyeleti
teendőket.
Hálózati terheléselosztó fürtök

Az NLB fürtöt a Windows Server 2008-ban egy különleges hálózati illesztőprogram valósítja meg,
amely a fizikai hálózati csatoló és a TCP/IP-verem illesztőprogramjai között működik.
Ez az illesztőprogram kommunikál az NLB-programmal (amelynek a neve wlbs.exe, vagyis
Windows Load Balancing Service, Windows terheléselosztó szolgáltatás), amely az alkalmazás
rétegben fut - ez ugyanaz a réteg az OSI modellben, mint az alkalmazasé, amelyet fürtözünk
Az NLB FDDI és Ethernet alapú hálózatokban- sőt még drót nélküli hálózatokban is - működik,
akár több gigabites sebességgel.
Mikor érdemes az NLB-t választanunk? Az NLB előnyei a következők:
• Az NLB takarékos módja annak, hogy egy TCP/IP-függő alkalmazást némileg hibatűrővé
tegyünk, mert nem igényli egy hibatűrő összetevőkből álló valódi kiszolgálófürt fenntar
tásának költségeit. Az NLB fürtök létrehozásához nem szükséges különleges hardver, sőt
a hardvereszközöket tekintve igen olcsó, mivel csak két hálózati csatoló kell, hogy
enyhítsük az egyetlen meghibásadási pontból eredő problémákat.
12. fejezet • Bevezetés a fürtözés i eljárásokba
• A2 NLB a "semmi sem megosztott" megközelítésnek köszönhetően - ami alatt azt értjük,
hogy mindegyik kiszolgáló a saját erőforrásaira támaszkodik, és nem osztja meg azokat
a fürt többi tagjával felügyeleti célokból - könnyen kezelhető és a megvalósítása kevésbé
költséges, bár a kiszolgálók közötti adatátvitelben a tagok közötti információtovábbítás
miatt mindig jelentkezik némi késleltetés. (Mindazonáltal ennek a megközelítésnek
vannak hátrányai is: az NLB az ügyfeleket csak tartalék kiszolgálókhoz vagy a fürttől
függetlenül többszörözött adatokhoz tudja irányítani.)
•
A2 NLB a hálózati réteg szintjén hibatűrést nyújt, mivel gondoskodik róla, hogy a hálózati
kapcsolatok ne olyan kiszolgálóra irányuljanak, amely éppen nem üzemel.
•
A webes vagy FTP-erőforrások esetében a teljesítmény nő, mert a terhelés automatikusan
eloszlik az NLB fürt összes tagja között.
Az NLB látszólag egyszerűen működik: a fürt minden tagja saját IP címmel rendelkezik, mint
manapság minden hálózatba kötött számitógép, de emellett egy fürtcímen is osztoznak, ami
minden tagnak lehetővé teszi, hogy válaszoljon az erre az IP címre érkező kérelmekre. A2 NLB
gondoskodik az IP-címütközések elhárításáról, és a megosztott IP címhez csatlakozó ügyfeleket
automatikusan a fürt egyik tagjához irányítja.
Az NLB fürtöknek legfeljebb 32 tagja lehet, ami azt jelenti, hogy a terheléselosztási és megosztá
si szolgáltatásokat 32-nél több számítógép nem veheti igénybe. Azok az alkalmazások, amelyek
nagyobb terhelést rónak a hálózatra annál, amit egyetlen 32 tagú fürt kezelni képes, több fürtre
támaszkodhatnak, és valarnilyen DNS-terheléselosztó módszerrel vagy eszközzel oszthatják el
a kérelmeket az egyes fürtök között.
Ha azon gondolkodunk, hogy egy alkalmazáshoz NLB fürtöt hozunk létre, a következő kérdése
ket kell feltennünk magunknak: "Milyen hatással lenne egy számítógép leállása az alkalmazásra
"
és a fürt többi tagjára? , "Ha nagy forgalmú e-kereskedelmi webhelyet üzemeltetünk, és a fürt
egyik tagja kiesik, a fürt többi tagja megfelelően fel van szerelve a megnövekedett forgalom
kezeléséhez?". Sok fürtmegvalósítás megfeledkezik erről a fontos kérdésről, és csak késóob
szembesül a következménnyel - a hiba továbbgyűrűzésével, amit a folyamatosan növekvő terhe
lés miatt kieső kiszolgálók okozta még nagyobb terhelés miatt leálló számítógépek jelentenek.
Ez a forgatókönyv nagyon gyakori, és tökéletesen ellentétes a fürt céljával. A problémát úgy
kerülhetjük el, ha gondoskodunk róla, hogy a fürt minden tagja kellő hardverrel rendelkezzen
a nagyobb forgalom kezeléséhez is, ha szükséges.
Meg kell vizsgálnunk az alkalmazást is, amelynek a fürtözését tervezzük. Milyen fajta erőforrá
sokat használ kiterjedten? A különböző típusú alkalmazások a fürtben részt vevő rendszerek
más-más összetevőire raknak terhet. A legtöbb üzleti alkalmazáshoz tartozik valamilyen teljesít
ménymérő segédprogram: végezzünk méréseket tesztkörnyezetben, és határozzuk meg, hogy
hol lehetnek szűk keresztmetszetek.
Az NLB fürtözés előnyeit a webalkalmazások, a terminálszolgáltatások és a Microsoft ISA Server

2004 nevű terméke élvezheti leginkább.
Mij@M Fontos, hogy tisztában legyünk vele, hogy az NLB nem képes észlelni, ha egy kiszol
gá/ón egy szaigáitatás összeomlik, amennyiben magát a számítógépet ez nem érinti,
ezért előfordulhat, hogy a felhasználót egy olyan rendszerhez irányítja, amely nem képes a kért szol
gá!tatást nyújtani.
Az NLB-vel kapcsolatos fogalmak

Mielőtt mélyebben belemerülnénk az NLB tárgyalásába, át kell tekintenünk néhány fogalmat,
amivel találkozni fogunk. Az NLB-vel kapcsolatos legfontosabb fogalmak a következők:
NLB-illesztőprogram
Ez az illesztőprogram ott csücsül a fürt minden tagjának a memóriájában, és az a feladata,
hogy kiválassza, hogy a fürt melyik csomópontja fogadjon és dolgozzon fel egy adott
csomagot. A kapuszabályokat és az ügyfelek fogadóképességét (mindkettőt lásd alább)
megvizsgálva az illesztőprogram eldönti, hogy a csomagot felküldi-e a TCP/IP-veremben
az alkalmazáshoz az adott számítógépen, vagy továbbadja azt, mivel a fürt egy másik
kiszolgálója fogja kezelni.
Egycímes mód
Egycímes módban az NLB-állomások a csomagokat egyetlen címzettnek küldik.
Többcímes mód
Többcímes módban az NLB-állomások a csomagokat egyszerre több címzettnek küldik.
Kapuszabályok
A kapuszabályok határozzák meg azokat az alkalmazásokat, amelyeken az NLB úgymond
"
"varázslatot hajt végre . Bizonyos alkalmazások adott kapukon várják a nekik küldött
csomagokat; a webkiszolgálók például általában a 80-as TCP-kapura irányított csomagokat
figyelik. A kapuszabályokkal utasíthatjuk az NLB-t a kérelmek megválaszolására és a ter
helés elosztására.
Fogadóképesség
A fogadóképesség ("affinitás " ) egy olyan beállítás, amely azt szabályozza, hogy azokat
az adatokat, amelyek a fürt egy adott tagjáról származnak, vissza kell-e küldeni az adott
fürtcsomópontnak Lényegében tehát azt határozza meg, hogy melyik fürtcsomópont
milyen típusú adatokat fogad.
Az NLB múködési módjai

Az NLB fürtök négy különböző módban működhetnek:
•
Kiszolgálónként egyetlen hálózati kártyával, egycímes módban
• Kiszolgálónként több hálózati kártyával, egycímes módban
•
Kiszolgálónként egyetlen hálózati kártyával, többcímes módban
• Kiszolgálónként több hálózati kártyával, többcímes módban
A fürt tagjai között az egycímes (unicast) és többcímes (multicast) módok nem keverhetők.
Minden tagnak vagy egycímes, vagy többcímes módban kell futnia, bár az egyes tagok
különböző számú hálózati kártyát tartalmazhatnak
A következőkben részletesen is megnézzük az említett működési módokat.

12. fejezet • Bevezetés a fürtözési eljárásokba lij-
Kiszolgá/6nként egyetlen kártya egycfmes m6dban
Ha egyetlen hálózati kártya van minden egycímes módban működő kiszolgálóban, akkor keve
sebb hardvereszközre van szükség, ami nyilvánvalóan kevésbé költséges, mint ha több hálózati
kártyát építenénk a fürt egyes tagjaiba. A hálózat sebessége azonban csökken, mivel az NLB
illesztőprogram csak egy hálózati kártyát vehet igénybe, a fürt adatforgalmának pedig egyetlen
csatolón kell áthaladnia, amely könnyen telítődhet, és a forgalmat még az NLB-illesztőprogramon
is át kell vezetni a terheléselosztás miatt, ami jelentősen megakaszthatja a hálózat teljesítményét.
A másik hátrány, hogy a fürt állomásai nem kommunikálhatnak egymással az olyan szokásos
módszerekkel, mint a visszhangkérés (ping), mivel ezeknek a használata nem lehetséges, ha
egyetlen csatalót használunk egycímes módban. Ennek oka a MAC címekben és a címfeloldási
protokollban (ARP, Address Resolution Protocol) keresendő. Ezenkívül ebben a módban
a NetBIOS sem támogatott. Az ehhez a működési módhoz tartozó felépítést a 12.1. ábra mutatja.
.... ··-.�·.;.;;._., · ....................

� � �
....--- UniC asi l hi)i;1J UniC asi r illiill UniCasi
2.. kiszolgáf6 3.. �16
12.1. ábra
@········· ®· Kiszolgálónként egyetlen kártya
Az állomások nem kommunikálhatnak egymással,
csak külső hálózatokkal egycímes módban
Kiszolgálónként több kártya egycfmes m6dban

Ez a mód az NLB fürtök ajánlott működési módja, mivel ez nyújtja a legtöbb szolgáltatást
a berendezésekbe fektetett legkevesebb pénzért, ugyanakkor költségesebb megoldás, mert a fürt
minden tagjában lennie kell egy második hálózati csatolónak A második hálózati kártya jelenléte
azonban azt jelenti, hogy az NLB fürt tagjai közötti szokásos kommunikációt semmi sem korlá
tozza, ráadásul az egyszerúob névfeloldáshoz a NetBIOS-t is használhatjuk az elsőként beállított
hálózati csatalán keresztüL Az összes típusú és márkájú útválasztó támogatja ezt a működési
módot, és a számítógépekbe épített egynél több csatoló azokat a szűk keresztmetszeteket is
megszünteti, amelyek egyetlen kártya használata esetén jelentkeznek: Az ehhez a működési
módhoz tartozó felépítést a 12.2. ábra mutatja.
!"""'·�·:.-��-�-�-��-t ��ló
---------------
NetBioS : NetBioS :' NetBioS:'

. ' .
UniCasi : UniCasi : UniCast i
...---"..,.....,.. : l JJJtii � : r,-..
- ..,.,,."
..,
.",."J
...i UniCasi
12.2. ábra
A normál állomásközi kommunikáció engedélyezett Kiszolgálónként több kártya
A NetBios az első NIC-n támogatott egycímes módban
Kiszolgá/6nként egyetlen kártya többcfmes m6dban

Ha egyetlen kártyát használunk, de többcímes módban, a fürt tagjai normálisan kommunikálhat
nak egymással, a hálózat sebessége azonban az egyetlen hálózati kártya miatt ezúttal is alacsony
lesz. A többcímes MAC címek támogatásának szükségessége rniatt az útválasztónk sem biztos,
hogy megfelelően támogatja ezt a módot, és ekkor a NetBIOS sem támogatott a fürtön belül.
Az ehhez a működési módhoz tartozó felépítést a 12.3. ábra mutatja.
Kapcsoló ··· · - ---- --· · · · ,

· · · · ·· ·
--��

' :
NIC ····· NIC ......
1. kimllgáló 12.3. ábra

:............................... t . .. . . . . . .. .. .!
..... . . .. . .. . . . ..
Kiszolgálónként egyetlen kártya
A nonnál állomásközi kommunikáció engedélyezett többcímes módban
Kiszolgá/6nként több kártya többcfmes m6dban

Ezt a módot akkor használják, arnikor egyes számítógépekben csak egy, rníg másokban több
hálózati kártya található, és az állomások között rnindenhol szükség van a szokványos kommu
nikációra. Ilyen esetben minden állomást többcímes módban kell üzemeltetnünk, mivel egy
NLB fürtben minden rendszernek ugyanabban a módban kell futnia. Ha ezt a modellt követjük,
az útválasztó támogatásával lehetnek gondjaink, de gondos tervezéssei működésre bírhatjuk
Az ehhez a működési módhoz tartozó felépítést a 12.4. ábrán láthatjuk
----
r··· - � � �-�-�-�-�-�-�-�-�-�-�-� --------------.
Kapcsoló ----- · -·--·
:
·
:
· ····-· ··
l
: l
NetBioS
: NetBioS B :
Net ioS
'' ::
''
''
NICl --· .
_ ��1Cast
NIC2
1. kimllgáló 3. kimllgáló
: ..
__ �
---··············--······-------- --------'······ .. ··-- -- � ............ !
Az állomásközi kommunikáció
akkor is engedélyezett, ha
egyes állomások csak egyetlen
hálózati csatolóval rendelkeznek. 12.4. ábra
A NetBios támogatott 4. kimllgáló Kiszolgálónként több kártya
többcímes módban
Kapuszabályok
Az NLB fürtökben lehetőségünk van kapuszabályokat beállítani, amelyekkel egyszerűen utasít
hatjuk a Windows Server 2008-at az egyes TCP/IP-kapuk hálózati forgalmának kezelésére.
Az NLB-ben három módban végezhetjük ezt a fajta szűrést: az első a kikapcsolt állapot, arnikor is
az egy adott kapuhoz vagy kapukhoz társított teljes hálózati forgaimat letiltjuk; a második
az egyállomásos mód, amelyben az adott kapu vagy kapuk hálózati forgalmát a fürt egy kijelölt
12. fejezet • Bevezetés a fürtözési
szárrútógépéhez irányítjuk (a hibatűrési szolgáltatások engedélyezése mellett); a harmadik pedig

a többállomásos mód (ez az alapértelmezett), amikor egy adott kapu vagy kaputartomány adat
forgalmát a fürt több állomása is kezelheti.
A kapuszabályok a következő adatokat tartalmazzák:
•
Azt a virtuális IP címet, amelyre a szabályt alkalmazni szeretnénk
•
Azt a kaputartományt, amelyre az adott szabályt alkalmazni szeretnénk
• Azokat a protokollokat, amelyekre az adott szabályt alkalmazni szeretnénk - ez lehet
a TCP, az UDP, vagy rnindkettő
•
A szűrési módot (lásd a három mód tárgyalását feljebb), amely meghatározza, hogy a fürt
hogyan kezeli a kaputartomány és a protokollok által leírt forgalmat
Ezenkívül az ügyfél-fogadóképességre (vagyis, egyszerűen szólva, arra, hogy a fürt rnilyen típusú
ügyfelektől fogad el kérelmeket) is háromféle beállítást adhatunk meg: az első a None (nincs),
amely azt jelzi, hogy az adatok a fürt bármelyik állomásához kerülhetnek; a második és a harma
dik pedig a Single (egyetlen) és a Class C (C-osztályú). A Single és a Class C beállítást egyaránt
arra használhatjuk, hogy biztosítsuk, hogy a hálózaton áthaladó minden adat, ami egy adott
ügyféltől származik, a fürtnek ugyanahhoz az álomásához kerüljön.
Amikor kapuszabályokat határozunk meg egy NLB fürtben, fontos, hogy emlékezzünk rá, hogy
a kapuszabályok számának és tartalmának pontosan egyeznie kell a fürt rninden tagján.
Ha olyan új csomópontot próbálunk csatlakoztatni egy NLB fürthöz, amelyen a kapuszabályok
száma vagy tartalma nem egyezik meg a meglevő tagcsomópontok szabályainak számával vagy
tartalmával, a csatlakozni kívánó számítógéptől a fürt megtagadja a tagságot. A kapuszabályokat
saját kezűleg kell összehangolnunk az NLB fürt tagjain.
NLB fürt létrehozása

Ha új NLB fürtöt szeretnénk létrehozni, a Network Load Balancing Managert (hálózati terhelés
elosztás-kezelő) használhatjuk Az alábbi műveleteket kell végrehajtanunk:
1. A Server Manager (Kiszolgálókezeló) bal oldali ablaktáblájában kattintsunk a Features,

majd a fő ablakban az Add Features (szolgáltatások hozzáadása) lehetőségre.
2. A Select Features (szolgáltatások kiválasztása) képernyőn jelöljük be a Network Load
Balancing (hálózati terheléselosztás) feliratú jelölőnégyzetet, majd kattintsuk a Next
(Tovább) gombra.
3. A megerősítést kérő ablakban nyugtázzuk, hogy a telepítési eljárás végén újraindításra le
het szükség, majd kattintsunk az Install (Telepítés) gombra.
4. Miután a telepítés befejeződött, válasszuk a Start, Administrative Tools, Network
Balancing Load Manager (Start, Felügyeleti eszközök, Hálózati terheléselosztás-kezelő)
menüpontot.
5. A Cluster (fürt) menüből válasszuk a New (Új) elemet.
6. Ekkor a 12.5. ábrán látható New Cluster: Connect (új fürt: csatlakoztatás) ablak jelenik
meg. Itt adjuk meg annak az állomásnak az IP címét vagy DNS nevét, amelyet elsőként
-fi:l Windows Server 2008
szeretnénk a fürthöz adni, majd kattintsunk a Connect (csatlakoztatás) gombra.
A képernyő alján látható mezőben megjelennek a fürt létrehozásához használható hálózati
felületek. Kattintsunk a nyilvános felületre, majd lépjünk tovább.
7. A következőként megjelenő ablak a Host Parameters (állomás paraméterei), amelyet
a 12.6. ábrán láthatunk. Ebben az ablakban adhatjuk meg a fürt állomásának elsőbbségi
szintjét (prioritását), azt a kijelölt IP címet, amelyet ehhez a tagcsomóponthoz való csatla
kozáshoz fogunk használni, és az adott állomás kezdeti állapotát a Windows Server 2008
elindításakor. A művelet befejezéséhez kattintsunk a Finish (Befejezés) gombra.
8. Ekkor a Cluster IP Acidresses (a fürt IP címei) ablak jelenik meg. Itt adhatjuk meg azokat
a további IP címeket, amelyekre a fürtnek esetleg szüksége lehet. Ezt bizonyos alkalmazá
sok igényelhetik, de a szokásos telepítéshez ez a lépés nem kötelező. Ha készen vagyunk,
vagy ha nincsenek más IP címek, amelyek ehhez a fürthöz tartoznának, lépjünk tovább.
New CIU'Ster; Conna...-t "��
Connect to one host that ill to be part of the new ci!Jster and select lhe eiuster lnterlace
Host:
[Comec!Jon status
lnteriaces available for configuring a new eiuster
l interiace IP
12.5. ábra
A New C/uster: Connect képernyő
New duster: Host Pararnetets >�':.

-� x
Pnoti!y{iJnique host i�:
��IP:::IP addre,..s
j Subnet mask
l -==;,
··....... =�� r;=;:;:=;==;
;,:::::;;=.:;:=. ��
�oo�stme·��----�--,
Default otme:
r Retam ·� stme afterccmpuler restarts
12.6. ábra
A Host Parameters képernyő
12. fejezet • Bevezetés a fürtözés i """r<>c:n�
9. A következő képernyő a Cluster Parameters (fürt paraméterei), amelyet a 12.7. ábra mutat.
Itt kell megadnunk a fürt nevét és annak az IP címnek a részleteit, amelyen más szánútógé
pek elérhetik a fürtöt. Írjuk be az IP címet, az alhálózati maszkot és a teljes internetnevet
(vagyis a kanonikus DNS nevet). Emellett választanunk kell a fentebb tárgyalt egycímes és
többcímes mód között. Ha minden adatot megadtunk, lépjünk tovább.
A fürt távvezérlésének engedélyezése - vagyis hogy lehetővé tesszük az NLB-kezelő

Figyelem!
ügyfél betöltését és távoli csatlakoztatását a fürthöz más rendszereken - nem java
solt, mert jelentős biztonsági kockázattal jár. Csak akkor tegyük, ha elengedhetetlenül szükséges, és
inkább más eszközöket használjunk, például a terminálszolgáltatásokat vagy a Remote Desktop (Távoli
asztal) szolgáltatást.
New Cluster: Ouster Parameters

. ��r.
OUR«IP��--��-----T
IP�: 100025
Subnet mask;
Fullintemet name:
Networi< address:
Ouster opellllion mode .c

.:�. .'" . ..". --- --- ;::.
MuliCMI
12.7. ábra
<Back Nexl)
A Cluster Parameters képernyő
New Cluster : Port Rules ,"í::� -
Portn.ie�< � --- ·""'""*'

TCP ond UOPtnolfic dirededio anydulter IP address that anives on ports Otluougl
65535 IS balaneed aaooo !!Uiíple members al the eU!er occonli1g to the load weogtt
al eaoh member.Ciieri IP addresses ""' used to """'Q' eliert comeá1ons to a speciic
c:Uterhost.
� ��
12.8. ábra
� ed:- 1 fnsh
A Port Rules képernyő
1 O. Az utolsó ablak a Port Rules (kapuszabályok), amely a 12.8. ábrán látható. Itt tetszés szerint
megadhatunk és beállíthatunk kapuszabályokat, ahogy korábban tárgyaltuk Ha készen
vagyunk, kattintsunk a Next gombra.
Az NLB fuit ezzel létrejön, és a rendszer beállítja és a fürthöz adja az első csomópontot
Windows Server 2008
További csomópontok hozzáadása a fürthöz

A fürthöz valószínűleg újabb számítógépeket szeretnénk majd csatlakoztatni, hogy kihasznál
hassuk a terheléselosztás előnyeit Ha új csomópontot szeretnénk adni egy meglevő fürthöz,
az alábbi eljárást kell követnünk
1. Az Administrative Tools menüből nyissuk meg a Network Load Balancing Manager konzolt.
2. A bal oldali ablaktáblában kattintsunk az egér jobb gombjával arra a fürtre, amelyikhez
csomópontot szeretnénk hozzáaadni, majd válasszuk az Add Host to Cluster (állomás
hozzáadása fürthöz) menüpontot a megjelenő helyi menüből.
3. Ekkor a Connect képernyő jelenik meg, ahol meg kell adnunk annak az állomásnak
a DNS-nevét vagy IP címét, amelyet a fürtl1öz szeretnénk csatlakoztatni. A Connect gombra
kattintva feltölthetjük az állomás hálózati csatolóit mutató listát, ahonnan aztán kiválaszt
hatjuk a nyilvános adatforgaimat kezelő kártyát. Ha ezt megtettük, lépjünk tovább.
4. A következőként megjelenő képernyő a Host Parameters. Itt az állomás kívánt elsóbbségi
szintjét adhatjuk meg (ezzel a beállítással azt határozhatjuk meg, hogy melyik számítógép
kapja a legtöbb kérelmet, ami akkor hasznos, ha egy fürtben két számítógépünk van,
amelyek közül az egyik nagyobb teljesítményű), valamint a fürt ezen tagjának kijelölt IP
címét, illetve kezdőállapotát a Windows Server 2008 első elindításakor. A kezdőállapot
Started (elindítva), Stopped (leállítva) vagy Suspencled (felfüggesztve) lehet.
5. Az eljárás befejezéséhez kattintsunk a Finish gombra.
A csomópontot ezzel a kijelölt NLB fürthöz adtuk. Onnan tudjuk, hogy a művelet befejeződött,
hogy a csomópont állapota a Network Load Balancing Manager konzolorr Converged-re (hozzá
adva) változik.
Csomópontok eltávolftása a fürtből

Különböző okok miatt előfordulhat, hogy egy csatlakoztatott csomópontot el kell távolítanunk
a fürtből - például azért, hogy rendszerkarbantartást végezzünk, vagy hogy a csomópontot egy
újabb, erősebb számítógépre cseréljük. Az NLB fürtök tagjait elegánsan kell eltávolítanunk;
ehhez az alábbi lépéseket kell elvégeznünk:
1. Az Administrative Tools menüből nyissuk meg a Network Load Balancing Manager konzolt.
2. A bal oldali ablaktáblában kattintsunk az egér jobb gombjával a Network Load Balancing
Clusters (hálózati terheléselosztó fürtök) elemre, és a megjelenő helyi menüből válasszuk
a Connect to Existing (csatlakozás meglevő fürthöz) pontot.
3. Írjuk be annak az állomásnak a nevét, amelyhez csatlakozni szeretnénk, és kattintsunk
a Connect gombra, majd a Connect ablak alján jelöljük ki a fürtöt, és kattintsunk a Next
gombra.
4. A konzolra visszatérve kattintsunk az egér jobb gombjával az eltávolítani kívánt csomó
pontra a bal oldali ablaktáblában, és válasszuk a Delete Host (állomás törlése) pontot
a megjelenő helyi menüből.
Ezzel a csomópontot eltávolítottuk

12. feiezet • Bevezetés a fürtözési
Ha csak frissítünk egy fürtcsomópontot, és nem akarjuk végleg törölni a fürtből, több módszer is
a rendelkezésünkre áll, hogy fokozatosan csökkentsük az állomás forgalmát, majd elérhetővé te
gyük a frissítésre. Az úgynevezett "bedugaszolás" (drainstop) megakadályozza, hogy új ügyfelek
hozzáférjenek a fürthöz, illiközben a már meglevő ügyfeleknek továbbra is lehetővé teszi, hogy
folytassák a munkát, amíg be nem fejezték a folyamatban levő műveleteiket. Miután minden
ügyfél végzett ezekkel, a fürtműveletek leállnak az adott csomóponton. A bedugaszoláshoz
kövessük az alábbi lépéseket:
1. Nyissunk egy parancsablakot

2. A parancssorba írjuk be a wlbs drainatop <IP cím>: <állomásazonosító> parancsot,
amelyben a fürt IP címét és az NLB-tulajdonságok között a Host Parameters lapon beállított
egyedi állomásazonosító számot kell megadnunk.
Ha a fürt például a 192.168.0.14 címen található, és a 2-es csomópontot szeretnénk frissíteni,

a következő parancsot kell kiadnunk:
wlbs drainstop 192.168.0.14:2
Ezen kívül az állomás kezdőállapotát alapértelmezés szerint Stapped-ra is állíthatjuk, ahogy

az előző részben tanultuk. Így az adott csomópont nem csatlakozhat újra a fürthöz a frissítési
folyamat közben, és a fürthöz történő újracsatlakozás és az ügyfelek számára hozzáférhetővé
tétel előtt ellenőrizhetjük, hogy a frissítés rendben lezajlott-e.
Teljesftmény-optimalizálás
Az NLB fürtöknek gyakran akadnak gondjaik a kapcsolókkal (switch). A kapcsolók abban külön
böznek a hálózati elosztéktól (hub), hogy az elosztóhoz kapcsolt ügyfélszámítógépek közötti
adatátvitel pont-pont rendszerű - a kapcsolók gyorstárazzák az összes számítógép MAC címét,
és az adatforgaimat közvetlenül a kapcsaló végpontjára irányítják, míg az eloszték egyszerűen
szétsugároznak minden adatot a csatlakoztatott számítógépek felé, azoknak pedig ki kell válogat
niuk a nekik címzett csomagokat. A kapcsolók működése azonban ellentétes az NLB fürtökével,
mivel a fürtnek küldött minden adatcsomag áthalad a kapcsaló összes olyan kapuján, amelyhez
a fürt tagjai kapcsolódnak, mert (ahogy korábban tanultuk) a fürt minden tagja ugyanazon az IP
címen osztozik, ami nyilvánvalóan gondot okozhat.
A probléma elhárításához a következő kerülőutakat választhatjuk:
• Használjunk első osztályú hálózati elosztót a fürttagok hálózati kártyáinak csatlakoztatásá

hoz, majd az elosztó kimenő (uplink) kapuján keresztül kössük az elosztót a kapcsolóhoz.
• A többcímes méddal szemben engedélyezzük az egycímes módot. Ne feledjük, hogy ezt
a módosítást a fürt minden tagján végre kell hajtanunk.
• Ha lehetséges, minden állomás ugyanazon az alhálózaton legyen, majd csatlakoztassuk
azokat egy elszigetelt kapcsolóhoz, vagy állítsuk be őket úgy, hogy egyetlen VIAN-hoz
kapcsolódjanak, ha erre lehetőségünk van.
• Tiltsuk le a forrás MAC címének álcázását a rendszerleíró adatbázisban (beállításjegy
zékben). A forrás MAC címének álcázása arra szolgál, hogy a fürttől eredő adatforgalom
MAC címét az adott csomópont MAC címéről a kiszolgáló MAC címére változtassuk
-!:ti Windows Server 2008
Ez egy kapcsolót használó környezetben, többcímes mód alkalmazásakor eláraszthatja
a kapcsaló kapuit, de a szolgáltatás kikapcsolása megoldja a problémát. A rendszerleíró
adatbázisban ehhez a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Seroices\
WLBS\Parameters\MaskSourceMAC kulcs értékét kell l-ről O-ra állítanunk. A módosítás
után indítsuk újra a fürt összes tagját.
Kiszolgálófürtözés
Ha az NLB fürtök szolgáltatásai nem elegendőek a számunkra, érdemes lehet valódi kiszolgá
lófürtöt használnunk. Egy valódi kiszolgálófürtben a számítógépek csoportja egyetlen azonosító
névvel rendelkezik, és együttesen kezeli, illetve hiba esetén együttműködve telepíti át az alkal
mazásokat a problémás csomópontokról a működőképesekre. A fürt csomópontjai közös,
megosztott erőforrás-adatbázist használnak, valamint egy naplótárolót, amelyet egy olyan fizikai
tárolóeszköz biztosít, amely a fürt minden tagja által közösen használt hardversínen található.
1M!fi1Q!tf{W A megosztott adattárolási szaigáitatás nem támogatja az IDE lemezeket, a szaftveres

RAJD-et (beleértve a Windows a!apú dinamikus RAJD-et is), a dinamikus lemezeket
és köteteket, az EFS-t, a csatlakoztatott köteteket és újraszámítási pontokat, valamint az olyan távoli
tárolóeszközöket, mint a biztonsági mentésre használt szalagos meghajtók.
A Windows Server 2008-ban rendelkezésre áll egy kevert módú fürtözési típus, amely a Windows
Server 2003-ból ismert döntnöki és csomóponttöbbség-beállítású fürtöket váltja fel. Ebben az új
kevert döntnöki modellben szerepet kap a "szavazat" fogalma, és a fürtök alapértelmezés szerint
egy szavazat elvesztését még elviselik. A fürt minden csomópontja egy szavazattal rendelkezik,
akárcsak a fürt tárolóforrása. Így ha a lemezdöntnök nem áll rendelkezésre, a fürt akkor is műkö
dőképes marad, mert csak egyetlen szavazat esik ki.
Ha újra szeretnénk alkotni a Windows Server 2003 régi modelljét, amelyben a fürt működéséhez
elengedhetetlen egy közösen használt lemezdöntnök, csak annyit kell tennünk, hogy egy szavaza
tot rendelünk a lemezdöntnökhöz (amelynek az új neve tanúlemez), a fürt csomópontjainak
pedig nem adunk szavazati jogot. Ami még jobb, hogy a tanúlemeznek még csak fizikai lemeznek
sem kell lennie: lehet egy megosztott fájl is a hálózaton, és egy ilyen megosztott fájl akár több ki
szolgálófürt tanúja is lehet. A szavazatok elvét tehát, mint láthatjuk, lényegében azért vezették be,
hogy a fürtök beállítási lehetőségeit és hibatűrő képességét rugalmasabbá tegyék, mint korábban.
A fürtök a meghibásodásokat átvételi (failover) és visszatérési (failback) házirendekkel kezelik

(hacsak nem egyetlen csomópontból álló fürtöt használunk). Az átvételi házirendek (feladatátvéte
li házirendek) azt szabják meg, hogy a fürt erőforrásai hogyan viselkedjenek meghibásodás ese
tén: mely csomópontokra telepíthetők át a kiesett erőforrások, a meghibásodás után mennyi idő
múlva kerülhet sor az átvételre, és így tovább. A visszatérési házirendek azt határozzák meg, hogy
mi történjen, amikor a meghibásodott csomópont visszatér a fürtbe: milyen gyorsan kerüljenek
vissza az áttelepített erőforrások és alkalmazások az eredeti csomópontra; egyáltalán visszatérje
nek oda az áttelepített objektumok, vagy maradjanak az új helyükön; illetve hagyja-e figyelmen
kívül a fürt a kijavított csomópontot? A házirendeken keresztül mindezt meghatározhatjuk.
12. fejezet • Bevezetés a fürtözési eljárásokba lj:f-
A fürtökkel kapcsolatos fogalmak
A fürtökkel összefüggésben használva bizonyos kifejezések különleges jelentést kapnak. Ezeket
a fogalmakat tekintjük át az alábbiakban:
Hálózatok
A hálózatok, más néven csatlakozási pontok (interconnect) azokra a módokra utalnak,
ahogy a fürt tagjai egymással, illetve a nyilvános hálózattal kommunikálnak. A hálózatok
a fürtcsomópontok leggyakoribb meghibásadási pontjai, ezért egy valódi kiszolgálófürtben
mindig lennie kell kellő számú tartalék hálózati kártyának.
Csomópontok
A csomópontok a fürt tényleges tagjai. A fürtözési szaigáitatás csak a Windows Server
2008 Enterprise Edition vagy Datacenter Edition rendszert futtató tagcsomópontokat
támogatja. A további követelmények közé tartozik a TCP/IP protokoll használata,
a csatlakozás egy megosztott tárolóeszközhöz, és a többi csomóponthoz legalább egy
csatlakozási pont megléte.
Erőforrások
Minden olyan dolog erőforrásnak számít, amit a fürtözési szaigáitatás kezelhet és felhasz
nálhat arra, hogy szolgáltatásokat nyújtson az ügyfeleknek Az erőforrások lehetnek fizikai
és logikai erőforrások, és jelképezhetnek valódi eszközöket, hálózati szolgáltatásokat,
valamint fájlrendszeri objektumokat is. Különleges fizikai lemezerőforrás a lemezdöntnök,
amely a fürtözési szolgáltatásnak tárolóhelyet biztosít a helyreállítási naplók és a saját
adatbázisa tárolására. Kicsit lejjebb felsorolunk majd néhány erőforrást.
Csoportok
Az erőforrások erőforráscsoportokba gyűjthetők, amelyek egyszerűen olyan egységek,
amelyek segítségével átvételi és visszatérési házirendeket határozhatunk meg. Egy csoport
minden erőforrásának átvétele és visszahelyezése a csoportra alkalmazott házirendeknek
megfelelően történik, és meghibásodás esetén a csoport erőforrásai együtt települnek át
más csomópontokra.
Lemezdöntnök
A lemezdöntnök (quorum) az a megosztott tárolóhely, amely a fürt erőforrás-adatbázisát
és naplóit tárolja. Ahogy korábban említettük, a lemezdöntnöknek SCSI alapú valódi
lemezmeghajtónak kell lennie, egyedi szoftverszolgáltatások nélkül.
Szolgáltatás- és alkalmazástípusok
A Windows Server 2008 átvételi fürtözési szaigáitatása alapállapotban különféle szolgáltatások
és alkalmazások fürtözésére képes, többek között az alábbiakéra:
DFS-névtérkiszolgáló
A DFS Namespace Server (DFS-névtérkiszolgáló) szerepkör a DFS megosztott mappáinak
tárolására szaigál a fürtön belül. A DFS-ről a 3. fejezetben beszéltünk bővebben.
DHCP
Ez a fajta erőforrás a DHCP szolgáltatást kezeli, amelyet egy fürtben arra használhatunk,
hogy biztosítsuk a szaigáitatás elérését az ügyfélszámítógépeknek A DHCP-adatbázisnak
a fürt megosztott tárolóeszközén (más néven a lemezdöntnökön) kell lennie.
Windows Server 2008
Elosztott franzakciók koordinátora (DTC, Distributed Transaction Coordinator)

A DTC a több számítógépre elosztott alkalmazások lemez- és memóriaműveleteit hangolja
össze, rendszerint adatbázis-kiszolgálók és -alkalmazások környezetében.
Fájlmegosztás
A kiszolgálókan található megosztott mappák a (3. fejezetben tárgyalt) DFS szaigáitatás
mellett a File Share (fájlmegosztás) erőforrás segítségével is hibatűrővé teheták egy fürtön
belül. A megosztott fájlokat és mappákat egy fürtbe helyezhetjük, vagy szabványos fájlmeg
osztásként, ahol a mappáknak csak egy szintje látszik, vagy megosztott almapparendszer
ként, amelyben a gyökérmappát és annak közvetlen almappáit önálló nevekkel látjuk el.
Általános alkalmazások
A nem fürtképes alkalmazások (vagyis azok az alkalmazások, amelyek nem rendelkeznek
saját hibatűrési szolgáltatásokkal, amelyeket összekapcsolhatnánk a fürtözési szolgáltatás
sal) egy fürtön belül a Generic Application (általános alkalmazás) erőforrás segítségével
kezelhetők. Az így kezelt alkalmazásoknak képesnek kell lenniük bármilyen általuk létre
hozott adat tárolására egy egyéni helyen, a TCP/IP használatára az ügyfelekhez való csat
lakozásra, illetve a meghibásodás esetén újracsatlakozni kívánó ügyfelek fogadására.
A nem fürtképes alkalmazásokat a fürt megosztott tárolóeszközére telepíthetjük, így a tele
pítést csak egyszer kell elvégeznünk, és az alkalmazás a teljes fürtben elérhetővé válik.
Általános parancsfájlok
A Generic Script (általános parancsfájl) erőforrás az operációs rendszeri parancsfájlok
kezelésére szolgál. Fürtözhetjük például a bejelentkezési és fiókkezelő parancsfájlokat,
ha ezeket rendszeresen használjuk, és folyamatosan szükségünk van az elérésükre, akkor
is, ha egy számítógép meghibásodna. A Hotmail fiókkezelő műveletei például kiválóan
kezelhetők ezzel a szolgáltatással, így a felhasznáJók a nap folyamán bármikor feliratkoz
hatnak a szolgáltatásra.
Általános szolgáltatás
Amennyiben követelmény, hogy a Windows Server 2008 magszolgáltatásai magas rendel
kezésre állásúak legyenek, a Generic Service (általános szolgáltatás) erőforrástípus révén
kezelhetjük őket. Az erőforrás csak a beépített szolgáltatásokat támogatja.
Internetes tárolók névszolgáltató kiszolgálója (iSNS, Internet Storage Name Service)
Ez a szolgáltatás a hálózat lekérdezésével iSNS-célpontok után kutat, és listát készít róluk
más számítógépek számára.
Üzenet-sorbaállítás
AMessage Queuing (üzenet-sorbaállítás) a több számítógépre elosztott alkalmazásoknak
lehetővé teszi, hogy összehangolják a működésüket a számítógépeken, illetve a más
hálózatokon található vagy éppen elérhetetlen gépekkeL
Egyéb kiszolgálók
Az Other Server (egyéb kiszolgáló) szolgáltatástípus nyílt hozzáférési pontot nyújt
az alkalmazásoknak, hogy kapcsolatba lépjenek a fürtteL A fürtözni kívánt alkalmazást
saját kezűleg kell beállítanunk, miután hozzáadtuk ezt a szolgáltatást a fürthöz.
Nyomtatókiszolgáló
A nyomtatási szolgáltatások fürtözése a Print Server (nyomtatókiszolgáló) erőforrás segít
ségével lehetséges. Ez az erőforrás a közvetlenül a hálózatra csatlakoztatott nyomtatókat
jelképezi, nem a fürt csomópontjainak kapuira csatlakoztatott nyomtatókat. A fürtözött
nyomtatók a szokványos módon jelennek meg a felhasznáJók számára, de abban az eset-
12. fejezet • Bevezetés a fürtözési eljárásokba l!:f-
ben, ha valamelyik csomópont meghibásodik, az ott elindított nyomtatási feladatok egy
másik, működőképes csomópontra kerülnek, majd újraindulnak A nyomtatási sorba
feladatokat küldő ügyfelek meghibásodás esetén értesülnek a csomópont kieséséről, és
a rendszer arra kéri őket, hogy küldjék el újra a nyomtatási feladataikat.
WIN5-kiszolgáló
Ez az erőforrástípus a Windows internetes névszolgáltatásához kapcsolódik, amely
a NetBIOS-számítógépneveket rendeli IP címekhez. Ahhoz, hogy a WINS-t fürtözött
szolgáltatásként használjuk, a WIN5-adatbázisnak a lemezdöntnökön kell lennie.
A fürt megtervezése
Egy kiszolgálófürt felépítése nem mindig egyszerű, de ha a céljainkat világosan megtervezzük,
nem sok találgatásra lesz szükség. Hibatűrést és egyidejűleg a terhelés elosztását is el szeret
nénk érni? Nem számít a terhelés elosztása, csak arra szeretnénk összpontosítani, hogy
a szolgáltatás mindig elérhető legyen? Vagy csak hibatűrést szeretnénk a meghibásadások
esetére, hogy csökkentsük a fürt létrehozásának és üzembe helyezésének költségét?
Ha egyensúlyt szeretnénk elérni a terheléselosztás és a magas rendelkezésre állás között, enge

délyeznünk kell a fürt alkalmazásainak és erőforrásainak, hogy meghibásodás esetén a fürt más
csomópontjaira települjenek 'át. Ennek a beállításnak az az előnye, hogy az erőforrások folytatják
a működésüket, és elérhetők maradnak az ügyfelek számára, közben azonban növelik a fürt
fennmaradó, működőképes csomópontjainak a terhelését. Ez a meghibásodás továbbgyűrűzését
eredményezheti - ahogy egy kiszolgáló kiesik, a fennmaradó csomópontok terhelése addig
a pontig fokozódik, amíg a hardverük és szoftverük már nem tudja kezelni azt, és emiatt újabb
csomópontok esnek ki, és a folyamat addig folytatódik, amíg az összes csomópont meg nem hal
- és ez a végzet azt jelenti, hogy a hibatűrő fürtünk lényegében köddé válik. A tanulság az, hogy
meg kell vizsgálnunk az alkalmazásainkat, és minden csomópontot megfelelően meg kell tervez
nünk, hogy azok az átlagos terhelésen felül "vésztartalékkal" is rendelkezzenek, és képesek
legyenek meghibásodás esetén kezelni a megnövekedett adatforgaimat Ezenkívül házirendekre
és eljárásokra is szükségünk lesz, hogy a terhelés kezelését gyorsan megoldjuk, ha kiesik egy
csomópont. A szükséges felépítést a 12.9. ábra mutatja.
Szokványos működésnél a terhelés eloszlik

a fürt csomópontjai között
�00 ............
: :
�---······:
�----- t�� ?- �-
..........:
J !
12.9. ábra
1. csomópont 2. csomópont
Ha az 1. csomópont meghibásodik, Egyensúly a terheléselosztás és
a 2. csomópont veszi át a szerepét a magas rendelkezésre állás között
-1:!1 Windows Server 2008
Ha az egyetlen célunk az, hogy valóban magas rendelkezésre állást érjünk el, érdemes a fürt
egyik tagját üzem közben beállítható tartalékként futtatni, amely készen áll arra, hogy átvegye
a meghibásodott csomópontok szerepét. Ebben az esetben, ha n fürtcsomópontunk van, a fürt
alkalmazásainak és erőforrásainak n-l csomóponton kell futniuk, rníg a fennmaradó csomópont
normál működés esetén tétlen marad.
Ebben a forgatókönyvben az alkalmazások a tétlen csomópontra települnek át, és ott folytatják

a működésüket, ha meghibásodás következik be. Hasznos lehetőség, hogy az üzem közben
beállítható tartalék csomópont módosulhat, ami azt jelenti, hogy az átvett folyamatokat nem
muszáj visszatelepíteni a korábban meghibásodott csomópontra, arnikor feléled- a visszatérő
csomópont tétlen is maradhat, mint új üzem közben beállítható tartalék, ami némileg csökkenti
a felügyeleti feladatokat. Ezt a felépítést a 12.10. ábrán láthatjuk.
Jelmagyarázat
Ü= Üzemi fürtcsomópont
/ T = Üzem közben beállítható tartalék
Ü A)JT ,
t
Ha egy csomópont meghibásodik,
a terheit az üzem közben beállítható
tartalék veszi át
12.10. ábra
Csak a magas rendelkezésre állást figyelembe vevő felépítés
Web
Ezek a csomópontok
meghibásodnak
3. csomópont Átveszi a webes

szolgáltatást
12.11. ábra
Példa a terhelése/vető felépítésre
12. fejezet • Bevezetés a fürtözési eljárásokba
Alkalmazhatunk terheléselverő felépítést is. A terheléselvetésnél egyes erőforrásokat és alkalmazá

sokat létfontosságúként" jelölünk meg, amelyek átvételére automatikusan sor kerül, ha valame
"
lyik csomópont meghibásodik, emellett azonban más erőforrások és alkalmazások a "nem létfon
tosságú" címkét kapják, és ezeket nem telepítjük át. Ezt a fajta felépítés segít megakadályozni a to
vábbgyűrűző meghibásodásokat, amikor is a fürt egyes csomópontjaira nehezedő teher egyre nő,
rnivel azzal, hogy a nem létfontosságú erőforrásoknak és alkalmazásoknak megengedjük, hogy
egyszerűen kiessenek, csökkentjük a feldolgozási követelményeket. Miután a működésképtelen
fürtcsomópontot kijavították, a nem létfontosságúként megjelölt erőforrásokat és alkalmazásokat
visszaállíthatjuk, és rninden visszatér a normális kerékvágásba. Ezt a fajta felépítést a 12.11. ábra
szem!élteti.
Valódi kiszolgálófürt létrehozása

Most, hogy rendelkezünk a kellő háttérismeretekkel, ideje, hogy létrehozzuk az első kiszolgáló
fürtünket Egy új fürt létrehozásához először meg kell vizsgálnunk a fürt potenciális tagjait, hogy
meggyőződjünk róla, hogy megfelelnek az alapkövetelményeknek, majd mindegyiken el kell
indítanunk a fürtözési szolgáltatást, hogy az erőforrások kezelése együttesen, és ne önállóan,
az egyes számítógépeken történjen.
Először természetesen telepítenünk kell a Failover Clustering (hibatűrő fürtözés) szolgáltatást.

Ehhez a Server Manager bal oldali ablaktáblájában kattintsunk a Features (Szolgáltatások)
elemre, majd az Add Features (Szolgáltatások hozzáadása) lehetőségre a főablakban. Ezzel
az Add Features varázslót indítjuk el, amelynek a Features lapján be kell jelölnünk a Failover
Clustering jelölőnégyzetet, majd továbblépve a megerősítő oldalon az Install gombra kell
kattintanunk. Innen figyelemrnel kísérhetjük a telepítés menetét.
A következő lépés, hogy ellenőrizzük a fürt számára választott hardverfelépítést Az ellenőrzés

során a rendszer megvizsgálja a fürtbe felvenni kívánt kiszolgálók hardverét, és meggyőződik
róla, hogy a beállításuk megfelelő ahhoz, hogy hiba esetén az átvétel helyesen menjen végbe.
Az ellenőrzéshez helyi rendszergazdai jogokkal kell rendelkeznünk a fürt minden tagján.
A következő műveleteket kell végrehajtanunk:
1. Indítsuk el a Failover Cluster Management (hibatűrő fürtök kezelése) alkalmazást a Start

menü Administrative Tools almenüjéből, és kattintsunk a Validate a Configuration
(felépítés ellenőrzése) lehetőségre a főablak Management részében.
2. Nyugtázzuk az első ablakban megjelenő figyelmeztetéseket, és lépjünk tovább.
3. Írjuk be egyesével azoknak a kiszolgálóknak a nevét, amelyek majd a fürtünket alkotják,
és rnindegyik után kattintsunk az Add gombra. A nevek megjelennek az üres mezőben.
Miután rninden kiszolgálót a listához adtunk, lépjünk tovább.
4. A Testing Options (tesztelési beállítások) képernyőn válasszuk a Run all tests (minden
teszt futtatása) lehetőséget, hogy a lehető legteljesebb megfelelőséget biztosítsuk a felépí
tésünkkel, majd lépjünk tovább.
5. Ekkor megjelenik egy megerősítést kérő ablak. Ellenőrizzük a beállításokat, amelyek lé
nyegében az ellenőrző varázsló műveleteit sorolják fel, amelyekkel a kiszolgálófürt po
tenciális tagjainak megfelelőségét vizsgálja, és kattintsunk a Next gombra a tesztek elindí
tásához.
Windows Server 2008
6. Ekkor lefutnak az ellenőrző tesztek. Ez viszonylag erős számítógépek esetén kiszolgálón

ként rnintegy öt percet vehet igénybe, bár ez az idő természetesen változhat. Miután a tesz
tek befejeződtek, megjelenik az átvételi fürt ellenőrzési jelentése, amelyben megtaláljuk
a lefuttatott teszteket és a létrehozni kívánt kiszolgálófürt potenciális tagjainak tulajdonsága
it is. Ha a View Report (jelentés megtekintése) gombra kattintunk, a jelentést teljes HTML
oldalként is megnézhetjük. Ha erre nincs szükségünk, katttintsunk a Finish gombra.
A valódi kiszolgálófürt létrehozásához az alábbi lépéseket kell követnünk
1. Indítsuk el a Failover Cluster Management alkalmazást a Start menü Administrative Tools

almenüjéből, és kattintsunk a Create a Cluster (fürt létrehozása) lehetőségre a főablak
Management részében.
2. Nyugtázzuk az első ablakban megjelenő figyelmeztetéseket, és lépjünk tovább.
3. Írjuk be egyesével azoknak a kiszolgálóknak a nevét, amelyek majd a fürtünket alkotják,
és rnindegyik után kattintsunk az Add gombra. A nevek megjelennek az üres mezóben.
Miután minden kiszolgálót a listához adtunk, lépjünk tovább.
4. Az Access Point for Administering the Cluster (a fürt kezelésének hozzáférési pontja)
képernyőn adjuk meg a fürt kezeléséhez használni kívánt nevet, ami tartományvezérlők
esetén lehet például DCS, a levélkiszolgálók esetén MAIL, és így tovább, majd lépjünk
tovább.
r·�--··��li!li
Fie Action VIe
w Help
-·=:_:,
Failover Cluster Management

failover auster Ma... •
� Oeatelaiover cluster>, valldate hardwareforpotenlialfaO>verclu&er.�, and peti<
� confígufa[ion changes to yourfaikwer dustets. • Vahdate a Confi...
'J Create a Cluster .. .
• Overview l!fl ManageaCiuste.. .
Afailover eiuster is a set d indepenclent computers that work togetherto increase the Vieltv'
avaaabitity ot services<IDd applications. {caUed nodes)
The dusl.ered server.o are corw
physical cables and by software. If one of the nodes fails. another node begins to prot lJ Help
seMces (a process knOV\.'11 as faílover).
To begi1 to usefailover dustemg, first vatidate yot.xhardware configl..rcrtion, then ere

c::tuster. Merthese steps are coll'()!ete, you can manage the cft.Jster. Managi'lg a clL
i1clude migrating settlngs to il from a ck.Jster IUlning Windo'A'S Server 2003.
1:1 Valkfate a Cori'!QU@IK>n ... 111 Underetandin<Jeiuster vali<

tests
1:1 Oeate a Ouster... 6 Oeatna

i a failover duster c
a d.Jsternode
1:1 Managea Ouster... 6 Marlagingafailoverclusl:e.
111 Miqpt!Jgsett!Jgsfrom • d
n..nWlqWndows Setver2
12.12. ábra
A fürtkezelő képernyője
5. Ekkor megjelenik a Confirmation ablak. Ellenőrizzük a beállításokat, és ha rnindent

rendben találtunk, lépjünk tovább.
6. Miután a kiszolgálófürt létrehozása befejeződött, megjelenik egy összefoglaló képernyő.
Ha kimerítő listát szeretnénk látni minden műveletről, amelyet a varázsló a fürt beállítá
sához végrehajtott, kattintsunk a View Report gombra. A varázslóból a Finish gombbal
léphetünk ki.
Az új fürt ezzel működésbe lép, és az első tag hozzáadódik a fürthöz. A varázsló bezárásakor
visszakerülünk a Failover Cluster Management konzolra, ahol most már megjelennek a kezelési
lehetőségek, valamint az új fürtcsomópont a bal oldali ablaktáblában (lásd a 12.12. ábra).
A High Availabi/ity Wizard használata

A fürtöt a High Avaliability Wizard segítségével készíthetjük fel egy alkalmazás bevezetésére.
A varázsló leveszi a vállunkról annak a terhét, hogy biztosítsuk, hogy ha egy szaigáitatás vagy
alkalmazás meghibásodik az egyik csomóponton, automatikusan újrainduljon. Amennyiben egy
teljes csomópont esik ki, a fürtözési szaigáitatás az alkalmazást a fürt egy másik csomópontjára
helyezi át, hogy a lehető legmagasabb rendelkezésre állást biztosítsa.
Nézzük végig a High Availability Wizard képernyőit, és állítsuk be a saját hibatűrő alkalmazá
sunkat- a Notepad-et Qegyzettömb; végtére is nagyon fontos alkalmazásról van szó):
1. A Failover Cluster Management konzolon válasszuk a Configure rész Configure a Service

or Application (szolgáltatás vagy alkalmazás beállítása) lehetőségét. Arnikor a High
Availability Wizard elindul, lépjünk tovább a bevezető képernyőjérőL
2. Ekkor a Select Service or Application (szolgáltatás vagy alkalmazás kiválasztása) képernyő
jelenik meg. A listából válasszuk a Generic Application elemet, majd kattintsunk a Next
gombra.
3. A következő képernyő a Generic Application Settings. A Command Line (parancssor)
mezóbe írjuk be: %SystemRoot%\system32\notepad.exe. Példánkban a Parameters
mezőt üresen hagyhatjuk. Ha ez megvan, lépjünk tovább.
4. Ekkor a Client Access Point (az ügyfél hozzáférési pontja) képernyőt láthatjuk. Itt egysze
rűen egy nevet kell beírnunk, amelyen az ügyfelek az alkalmazásunkra hivatkozhatnak
legyen ez most a Notepad. Ha beírtuk, kattintsunk a Next gombra.
5. A megjelenő Select Starage (tároló kiválasztása) képernyőn válasszunk ki egy megosztott
kötetet, amelyen a fürt az adatokat tárolhatja, majd lépjünk tovább.
6. A következő képernyő a Replicate Registry Settings (a rendszerleíró adatbázis beállításai
nak többszörözése). Mivel nincsenek olyan beállítások a rendszerleíró adatbázisban,
amelyeket át kellene másolnunk a fürt tagjaira, ezt a képernyőt átugorhatjuk.
7. Az utolsó képernyő a Confirmation. Ellenőrizzük a beállításokat, és ha rnindent rendben
találtunk, lépjünk tovább.
Ekkor létrejön az új virtuális kiszolgáló és fürt-erőforrás, és megjelenik a Failover Cluster

Management konzolon. Ha a konzolon bekapcsoljuk a csoportot, észrevehetjük, hogy a háttér
ben megnyílik a Notepad ablaka. Ha bezárjuk a Notepad-et, az automatikusan újraindítja magát
- ez jól szernlélteti a fürt erejét, persze egyszerű formában.
Windows Server 2008
A cluster segédprogram segítségével a kiszolgálófürtökkel kapcsolatban szinte minden keze
lési és felügyeleti feladatot elvégezhetünk a parancssorból is, ami megkönnyíti, hogy ezeket
a műveleteket parancsfájlokba vagy dinamikus weboldalakba építsük be. Ebben a részben
a cluster program különböző lehetőségeit tekintjük át.
Mielőtt azonban belefognánk, egy dolgot meg kell jegyeznünk: a cluster használatakor annak
a felhasználói fióknak a helyre vonatkozó beállításai (locale), amelybe bejelentkeztünk, meg
kell hogy egyezzenek a fürt kezelésére használt számítógép alapértelmezett locale-beállításaivaL
Az a legjobb, ha a helyre vonatkozó beállítások a fürt minden csomópontján, illetve minden olyan
szárnítógépen, amelyen a parancssori segédprogramot használni fogjuk, azonosak.
Miután ezt tisztáztuk, nézzük meg, hogyan használhatjuk a segédprogramot! A parancssorból új

fürtöket is létrehozhatunk; például ahhoz, hogy egy testeluster nevű új fürtöt hozzunk létre
a 192.168.1.140 IP címen a rendszergazdai fiókkal, a következő parancsot kell kiadnunk:
cluster testcluster /create ipaddress:192.168.1.140 /pass:jelszó

/user:HASSELLTECH\administrator /verbose
A /verbose kapcsaló részletes információkat ír a képernyőre a fürt létrehozásának folyamatáról.
Az l add kapcsoló használatával egy vagy több csomópontot is a fürthöz adhatunk, mint
az alábbi példában, ahol három csomópontot veszünk fel testl, test2 és test3 néven
a testcluster fürtbe:
cluster testcluster /add:testl,test2,test3 /pass:jelszó /verbose
Az is előfordulhat, hogy a lemezdöntnöki erőforrást szeretnénk módosítani a parancssoron

keresztül. Ezt így tehetjük meg:
cluster testcluster /quorum:disk2 /path:D:\
A fenti paranccsal kapcsolatban egy dolgot meg kell jegyeznünk: ha módosítjuk a lemezdöntnök
helyét, semmiképpen ne hagyjuk ki a meghajtó betűjelét, a kettőspontot, illetve a fordított
perjelet Az elérési utat pontosan úgy kell megadnunk, mintha egy teljes elérési utat írnánk be
a parancssorban.
Az egyes csomópontok kezelése

A cluster program node kapcsalójának segítségével ellenőrizhetjük a fürt egyes csomópont
jainak állapotát, illetve műveleteket végezhetünk a csomópontokon. Nézzünk néhány példát
a kiadható parancsokra:
cluster node testl /status

Ez a parancs a fürt megadott csomópontjának állapotát jeleníti meg, például azt, hogy
a csomópont üzemel (up), szünetel (paused) vagy üzemen kívül van-e (down).
cluster node testl /forcecleanup
Ez a parancs a fürtszolgáltatás eredeti beállításainak kézi visszaállítására szolgál
a megadott csomóponton.
cluster node testl /start (vagy /stop vagy /pause vagy /resume)
Ez a parancs elindítja, leállítja, szünetelteti vagy újraindítja a fürtszolgáltatást a megadott
csomóponton.
cluster node testl /evict
Ezzel a paranccsal kizárhatunk egy csomópontot a fürtbőL
cluster node testl /listinterfaces
Ez a parancs a csomópont hálózati csatolóit sorolja fel.
A fürtszolgáltatás kezelése
Van még egy segédprogram, a clussvc, amely azt teszi lehetővé, hogy elhárítsunk néhány
dolgot, ami hibákat okozhatna a fürtszolgáltatás működésében. Csak akkor használjuk ezt
a parancsot, ha a fürtszolgáltatás nem képes elindulni, és csak helyben, a problémás csomó
ponton adjuk ki.
A hibakeresés engedélyezéséhez az erőforrásfigyelő által betöltött dinamikus csatolású

könyvtárakban (DLL-ekben) adjuk ki a következő parancsot:
clussvc Idebug ldebugresmon
Ha engedélyezni szeretnénk a fürtszolgáltatásnak az elindulást akkor is, ha gondok vannak

a lemezdöntnökkel, használjuk az alábbi parancsot:
clussvc Idebug lfixquorum
Ha a 1 fixquorum parancsot kiadjuk egy adott csomóponton, a fürtszolgáltatás elindul, de

minden erőforrás, beleértve a lemezdöntnököt is, leválasztva marad. Ez lehetővé teszi, hogy
saját kezűleg csatlakoztassuk majd a lemezdöntnököt, és könnyebben felderíthessük a lemez
döntnökkel kapcsolatos problémákat.
Az új lemezdöntnöki fájl a %systemroot%\cluster\CLUSDB elérési úton található fürtadatbázis

adatainak felhasználásával jön létre. Mindazonáltal vigyáznunk kell, mert az információk
elavultak lehetnek; csak akkor használjuk, ha nincs elérhető biztonsági másolat.
A következő paranccsal az eseménynapló bejegyzéseinek többszörözését tilthatjuk le:
clussvc Idebug lnorepevtlogging
Ez a parancs akkor hasznos, ha csökkenteni szeretnénk a parancsablakban megjelenített

információk mennyiségét az eseménynaplóban már rögzített események kiszűrésével.
Abban az esetben, ha semmi más nem működik, a következő paranccsal kényszeríthetünk ki

egy döntést a fürtcsomópontok többségi szavazatával:
clussvc Idebug lforcequorum nodel,node2,node3
Ezt a parancsot akkor lehet érdemes használni, ha egy adott helyen minden csomópont
elvesztette a képességét arra, hogy egy másik hely csomópontjaival kommunikáljon.
Zárszó
Ahogy ebből a fejezetből megtudtuk, a Windows Server 2008 kétféle fürttípust támogat:
a hálózati-terheléselosztó (NLB) fürtöket, amelyek egyszerűen terheléselosztási képességekkel
ruháznak fel bizonyos IP alapú alkalmazásokat, valamint a valódi kiszolgálófürtöket, amelyben
számítógépek nagyobb csoportjai számára biztosíthatunk hibatűrést.
Az NLB akkor igen hasznos, ha egy web alapú alkalmazást szeretnénk több számítógépről
szolgáltatni. A hardvernek nem kell nagyon erősnek lennie, ezért az NLB használata nagyszerű
módszer a régebbi, használt számítógépek munkára fogására, miközben gyorsítja a szolgáltatást
a jobb felhasználói élmény érdekében. Az olyan közepes méretű hálózatokban, ahol olyan
létfontosságú üzleti alkalmazások múK.ödnek, amelyeknek minden körülmények között elérhető
nek kell lenniük, a valódi kiszolgálófürtök kétségkívül jobb megoldást nyújtanak Természetesen
a magasabb rendelkezésre állás magasabb költséggel is jár, és a valódi hibatűréshez szükséges
hardver jelentős befektetést igényel, amiről ugyancsak nem szabad megfeledkeznünk.
A PowerShell
A PowerShell a Microsoft rendszergazdáknak szánt parancsfájl-értelmező eszköze, amely

a Windows Server 2008 része. A rendszergazdák a Windows rendszerek felügyelete során
általánosan előforduló feladataik megoldásakor vehetik hasznát. A PowerShell letölthető
a Windows XP, Windows Server 2003 és a Windows Vista termékekhez, a Windows Server 2008-
ban pedig választható az operációs rendszer kiegészítőjeként történő telepítése. Az érdeklődák
a több éven át folyó fejlesztés első eredményét először a 2003 szeptemberében megtartott, hiva
tásos fejlesztáknek szóló konferencián tekinthették meg. Az első kiadott változat (Windows XP
és Windows Server 2003 rendszerekre) 2006 novemberében érkezett, amelyet a Vistához és
a Longhorn kiszolgálóhoz szánt változatok 2007 folyamán követtek.
A PowerShell a Unix-rendszerek Bourne és C héjaihoz, valarnint a Microsoft CMD.EXE héjához

hasonló parancsértelmező, azzal a különbséggel, hogy rníg az előzőek inkább programozói
szemléletűek, ez utóbbi kifejezetten a rendszergazdák igényeit tartja szem előtt. Mindemellett
a PowerShell is használható felhasználói beavatkozást igénylő parancsok kiadására, de futtathaták
benne bonyolultabb parancsfájlok is. A parancsfájloknak átadhatók parancssori paraméterek,
kimenetük pedig sokféle formát ölthet.
A PowerShell egyaránt rendelkezik a legjobb Unix és Linux rendszerű parancsértelmezák egy

szerű használhatóságával és a Ruby vagy a Perl programozási nyelv erejével. Végül megemlítjük,
hogy a PowerShell a .NET keretrendszerre épül. Ennek értelmében a PowerShell-ből a .NET
biztosította lehetőségek szinte bármelyikét közvetlenül elérhetjük, hasonlóari a COM és a WMI
objektumaihoz.
Miért érdemes a PowerShellt használni?

Mielőtt mélyebben elmerülnénk a PowerShell használatában, fontos megértenünk azt a megköze
lítési módot és azokat az okokat, amelyek a PowerShell fejlesztői csapatának szemléletét a termék
megalkotása során döntően befolyásolták. Amióta a Microsoft belépett a szoftverfejlesztők táborá
ba, a rendszergazdák a kiszolgálók és a munkaállomások felügyelete során rengeteg különböző,
az adott feladathoz kifejlesztett eszközt használnak. Van ezek között konzolos eszköz, rnint
a CMD.EXE, és ezernyi egyéb parancssori segédprogram. Ezen felül léteznek grafikus felhasználói
felületű alkalmazások, mint a Microsoft Management Console, a Regedit.exe, az Adsiedit vagy
az LDP.
Ezekkel az a baj, hogy nem tudnak "mindent" elvégezni - így aztán elő-előfordul, hogy az ember
a VBScript, sőt akár közvetlenül az adott rendszer alkalmazásprogramozási felületének (API)
igénybevételére kényszerül, a C++ vagy a C# nyelven keresztül. Nem elhanyagolható az a tény
sem, hogy ezek az eszközök nem tudnak jól együttműködni: nem oldható meg például az LDP
kimenetének átadása a Regedit számára. Minthogy nem állt rendelkezésre olyan eszköz, amely
rnindent képes lett volna elvégezni, a rendszergazdák a felmerülő nehézségek elhárításakor elté
rő elven működő eszközök garmadáját kényszerültek munkára fogni.
Ezek az eszközök tökéletesen megoldották az eredetileg nekik szánt feladatok ellátását, ugyan
akkor a látásmódjuk és a képességeik nagyban különböztek egymástól. Sok rendszergazda
tapasztalta meg a saját bőrén, hogy arnikor elindult egy irányba - például az operációs rendszer
biztosította eszközök használatával megírt egy kötegfájlt -, akkor gyakran jutott vakvágányra,
mert a választott eszköz képtelen volt egyik-másik feladat elvégzésére. Másik eszközt választott
hát (például a VBScript-et és a COM-automatizálást), ez azonban az addigi munka részleges
vagy teljes újrakezdésével járt.
A Windows újabb változataival (Windows XP, Windows Server 2003 és most a Windows Server
2008) a Microsoft nagy lépést tett előre, főként a parancssori eszközök tekintetében. A helyzet
lényegesen javult, de ennél többre van szükség. A Microsoft válasza az említett problémákra
a PowerShell.
A PowerShellt a következő három tulajdonsága rniatt tartják a rendszergazdák figyelemre

méltónak:
• A rendszergazdák igényeit tartja szem előtt.

• A feladatok széles körét fedi le meglehetős teljességgel.
• Könnyen bővíthető.
A PowerShellből közvetlenül meghívhatjuk a .NET, a WMI és a COM objektumainak tagfüggvé

nyeit Szinte bármely adatformátum elérhető, ideértve a PowerShell beépített XML-támogatását is.
És ha mindez nem volna elég, megírhatjuk a saját bővítményeinket - képessé tehetjük például
a PowerShellt a belső fejlesztésű céges alkalmazásokkal történő együttműködésre.
A PowerShell telepítése
A PowerShell alapértelmezés szerint a Windows egyetlen változatában sincs jelen. A Windows
korábbi kiadásaihoz (Windows XP, Windows Server 2003) a Microsoft honlapjáról kell letölteni
a telepítéshez szükséges állományokat, a Windows Server 2008 esetében azonban igazán nagyon
egyszerű a PowerShell telepítése, hiszen a telepítőlemez állományai között megtalálunk rninden
szükségeset.
13. feiezet • A PowerShell
A PowerShell mindössze egyetlen olyan függőséggel bír, amely a telepítésének előfeltétele:

ahhoz, hogy a PowerShell telepítését megkezdhessük, a .NET keretrendszer 2.0-ás változatának
telepítve kell lennie a rendszerünkön. A Windows Server 2008-ban a .NET keretrendszer alapér
telmezettell települ, a PowerShell telepítése pedig választható lehetőség, amelyet akár a Server
Manager (Kiszolgálókezelő) segítségéve!, akár felügyelet nélküli telepítés során elvégezhetünk.
A Server Manager használatával a PowerShell a következőekben leírtak alapján telepíthető:
1. Indítsuk el a Server Managert, és válasszuk az összetevők hozzáadását lehetővé tevő

lehetőséget.
2. Jelöljük ki a PowerShellt, és kattintsunk a Next (Tovább) gombra.
3. Dőljünk hátra, és nézzük végig a telepítést.
Minthogy a PowerShell végsősoron az operációs rendszerhez tartozik, a központi részei

a %systemroot%\system32\windowspowershell\vl.O mappába kerülnek. A telepítő ezen
a területen helyezi el a súgófájlokat, néhány formázásokat leíró XML fájlt, pár "hogyan kezdjünk
neki?" dokumentumot, valamint egy mintaprofilt.
A PowerShell a .NET keretrendszeren alapuló, felügyelt kódú alkalmazás. A PowerShell telepítője

a késóbbi betöltések meggyorsítása végett a PowerShell központi állományait a .NET Global
Assembly Cache gyorstárban is elhelyezi.
A PowerShell telepítése során a Windows rendszerleíró adatbázisa (új nevén: beállításjegyzék)

a következő helyeken és értékekkel frissül:
•
A HKEY_ CLASSES_ROOTkulcs alatt három új fájltípus jelenik meg: a psl (PowerShell
parancsfájl), a pslxml (PowerShell megjelenítő XML) és a pscl (PowerShell konzol).
•
A telepítési folyamat értékekkel látja el a rendszerleíró adatbázis
HKEY_LOCAL_MACHJNE\SOFTWARE\Microsojt\PowerShell\ 1 kulcsát.
•
A telepítőprogram módosítja a PATH környezeti változót: kibővíti
a %systemroot%\system32\ WindowsPowerShell\vl.O mappával.
A PowerShell telepítésének végeztével úgy győződhetünk meg a telepítés sikerességéről, hogy

a Start menüre kattintunk, a Run (Futtatás) lehetőséget választjuk, a beviteli mezőbe begépeljük,
hogy PowerShell, és megnyomjuk az ENrER billentyűt.
A PowerShell és a biztonság
A PowerShell a többi jó felügyeleti eszközhöz hasonlóan rendelkezik azzal a képességgel, hogy
hibás használat mellett jelentős rongálást okozhat a rendszerben. A PowerShell használható
kulcsfontosságú állományok eltávolítására, a rendszerleíró adatbázisban tárolt beállítások
megváltoztatására vagy eltávolítására, tanúsítványok törlésére, és a sort még folytathatnánk -nos,
ezek mindegyike veszélyt rejthet.
A kockázatok csökkentésének szándékával a PowerShell fejlesztőcsapata az alábbi lépéseket tette:
1. A PowerShell alapértelmezés szerint nem települ az operációs rendszerrel együtt- nincs

olyan hátsó ajtó, amelyre a rossz szándékú prograrnak írói biztosan számíthatnak.
2. A PowerShell parancsfájlok ps1 kiterjesztése a Jegyzettömbhöz társul a PowerShell
helyett. Ha duplán kattintunk egy parancsfájlra, akkor a fájl megnyílik a Jegyzettömbben,
ahelyett, hogy a PowerShell végrehajtaná a benne lévő, esetleg rossz szándékkal írt kódot.
3. A PowerShell kódvégrehajtási házirendje alapértelmezés szerint "restricted" , vagyis
korlátozott. Ez annyit tesz, hogy a PowerShellből közvetlenül semmilyen parancsfájl nem
futtatható. Ez a viselkedés könnyedén megváltoztatható, ha a set-executionpolicy
crndlet beállítást valamilyen kevésbé biztonságos értékre módosítjuk.
4. A helyi rendszergazdák számára megakadályozhatjuk a kódvégrehajtási házirend
"
"unrestricted , vagyis korlátozás nélküli értékre állítását- és így az esetlegesen
rosszindulatú parancsfájlok futtatását-, ha a PowerShell kódvégrehajtási házirendjét
csoportházirendben állítjuk be.
Ez a magas biztonsági szint a rendszergazdának tekintélyes mennyiségű többletmunkát jelenthet,

de ez a meglehetősen túlzó beállításokat megvalósító megközelítés teszi lehetővé a saját magunk
okozta rongálás elkerülését.
A PowerShell elindítása
Ha a fenti lépésekkel végeztünk, a PowerShell elérhetővé vált a rendszerünkön. A PowerShellt
úgy futtathatjuk, hogy a Start menüben a Run lehetőséget választjuk, majd az Open (Megnyitás)
mezőbe beírjuk a PowerShell szöveget, végül pedig vagy az OK gombra kattintunk, vagy
megnyomjuk az ENTER-t. Ekkor, ha minden jól ment, az alapértelmezett PowerShell-képernyőt
látjuk magunk előtt.
A PowerShell elindításakor négy különböző parancsfájl betöltését és futtatását kísérli meg.
• %ALLUSERSPROFILE%\Documents\PSConfiguration\Profile.ps1
• %ALLUSERSPROFILE%\Documents\PSConfiguration\Microsoft.Powershell_Profile.ps1
• %USERPROFILE%\My Documents\PSConfiguration\Profile.ps1
• %USERPROFILE%\My Documents\PSConfiguration\Microsoft.Powershell_Profile.ps1
Ezen állományok mindegyike egy PowerShell parancsfájl, mint ahogy arról rövidesen szó esik.
Négy profilfájl talán túlzásnak tűnhet, de jó indok támasztja alá ennek a megközelítésnek
a létjogosultságát. A PowerShellt lehet úgy használni, ahogy telepítettük, de megírhatjuk a saját
különbejáratú parancsainkat (cmdlet) tartalmazó héjunkat is (erró1 bővebben a következő
részben olvashatunk). A testreszabott héj példájául e helyt az Exchange 2007 Management Shellt
említjük meg.
Minden olyan PowerShell-példány, amelyik az Exchange Management Shellt is tartalmazza,

lefuttatja a két profile.ps1 állományt. A két Microsoft.Powershell_Profileps1 fájlt viszont csak
a PowerShell.exe futtatja. Ez ahhoz hasonló, mint amikor személyes és általános érvényű indí
táskor futtatott parancsfájl is van a rendszerünkön.
13. tejezet • A PowerShell
A PowerShell használatának bevezetésében így meglehetős mozgásteret kapunk. A hálózatszintű

függvények, szűrők és álnevek lehetnek az Ali Users Profile.psl fájlban; ezzel elérhetővé válnak
rninden felhasználó és rninden elindított héj számára. A személyes vagy magánjellegű
PowerShell-függvényeinket és egyéb meghatározásainkat pedig a saját .psl fájlunkban helyezzük
el, és így rni fogjuk tudni használni őket.
A PowerShell szíve: a cmdlet-ek

A PowerShell szívében a cmdlet (kiejtve "komandlet") lakozik. Ez a műszó a legkisebb futtatható
kódrészletet takarja. A cmdlet tehát olyan kódrészlet, amely a PowerShellbe begépelve vagy egy
bizonyos feladatot ellátó parancsfájlból is futtatható. Technikai szemszögből nézve a cmdlet
olyan .NET-objektumosztály, amelyet vagy a PowerShell alkotói vagy bárki más alkotott, és
utóbb a gép rendszergazdája belefoglalta a gépre telepített PowerShellbe.
Egy cmdlet meghívása úgy történik, hogy a nevét az alábbiakban látható módon a PowerShell
készenléti jele után írjuk:
PSH [D: \foo]: Get-Process
Handles NPM(K) PM(K) WS(K) VM(M) CPU(s) Id ProcessName

------- -----------
112 5 1220 3640 32 0.06 436 alg

42 2 1316 3 424 29 199.19 576 ApntEx
93 3 1740 5776 37 494.06 2456 Apoint
267 7 4492 12140 64 l. 61 47124 Connect
1045 9 7220 7552 51 242.39 1680 csrss
74 4 1284 4824 30 l. 84 3864 ctfmon
107 4 3624 7224 47 0.67 1016 DataServer
142 6 4636 8472 179 l. 09 372 EvtEng
[a kimenet még folytatódik, de mi levágtuk]
Ebben a példában a Get-Process nevű cmdlet megszerzi a számítógépen futó folyamatok lis
táját, és a folyamatok néhány egyéb jellemzőjével együtt a képernyőre írja. Azokat a jellemzőket
(vagyis a leírók számát, a nem lapozható magmemóriát, a lapozható magmemóriát, a munkahal
mazt, a VM méretét, a felhasznált processzoridőt és a folyamat nevét), amelyeket a képernyőn
látunk, a Get-Process parancs alapértelmezés szerint megjeleníti, mégpedig a folyamat neve
alapján rendezve. Az egyes erndiet-ek paraméterezhetők, ahogy azt itt is láthatjuk:
PSH [D: \foo]: Get-Process notepad

------- -- ------ -----
48 3 1392 1072 31 l. 48 1544 notepad
PSH [D: \foo]: Get-process -Name notepad

------- ---- -- ----- ---- - ------ -
-
-----------
48 3 1392 1072 31 l. 48 1544 notepad
PSH [D: \foo]:
Ebben a példában a Get-Process parancs paraméterében megadtuk, hogy a folyamatok közül
mely nevűek érdekelnek bennünket - a Notepad nevűekre, vagyis a futó Jegyzettömbökre vol
tunk kíváncsiak. Ahogy a példa szemlélteti, a paraméterek lehetnek hely szerint értelmezettek,
vagyis az elsőként átadott értékró1 a PowerShell feltételezi, hogy az az első paraméter, a máso
dikként megadott értékről, hogy a második, és így tovább, de lehetnek névszerint értelmezettek
is, vagyis az értékek pontosan egy adott paraméterhez rendelhetők. A név szerint értelmezett
paraméterek bármilyen sorrendben következhetnek, míg a hely szerint értelmezett paraméterek
sorrendje olyan kell, hogy legyen, arnilyet a cmdlet vár.
Minden paraméter kötőjellel C-) kezdődik, amelyet a paraméter neve követ. Az egyik legfontosabb
paraméter, amelyet minden cmdlet támogat, a súgókérő -?. Például:
PSH [D:\foo]: get-process -?
NAME
Get-Process
SYNOPSIS
Gets the processes that are running on the local computer.
SYNTAX
Get-Process [[-name] <string[]>] [<CommonParameters>]
Get-Process -id <Int32[]> [<CommonParameters>]
Get-Process -inputObject <Process[]> [<CommonParameters>]
DETAILED DESCRIPTION
The Get-Process cmdlet retrieves a process object for each process.
Without parameters, "Get-Process" gets all of the processes on the computer,
as though you typed "Get-Process *" . You can also identify a particular
process by process name or process ID (PID), or pass a process object
through the pipeline to Get-Process. For Get-Process, the default method is
by process name. For Stop-Process, the default method is by process ID.
RELATED LINKS
Stop-Process
REMARKS
For more information, type: "get-help Get-Process -detailed".
For technical information, type: "get-help Get-Process -full".
PSH [D: \foo]:
Segítség kérése a PowerShellben

Egy új eszköz, alkalmazás vagy operációs rendszer megismerése idóbe kerül - de néhánynak
a megismerése egyszerűbb, rnint a többié. A PowerShellt már a kezdetektől úgy tervezték, hogy
annyira felfedezhető legyen, amennyire ez egyáltalán lehetséges. Ha pár egyszerű dolgot megis
mertünk, a meglevő tudásunkra támaszkodva még többet megtanulhatunk, és könnyebben
belelendülhetünk.
13. fejezet • A PowerShell l@-
Két olyan cmdlet van, amelyeket igen hasznosnak fogunk találni az elinduláshoz: a Get-Help
és a Get-Command. A Get-Help cmdlet a PowerShell egyéb erndiet-jeiről és legfontosabb fo
galmairól ad információkat, a Get-Command pedig alapvető, a erndiet-ekről és a PowerShellben
használatos egyéb parancsokról tárolt információkkal lát el bennünket. Ezen felül rninden
PowerShell cmdlet támogatja a -? paramétert, amellyel az adott cmdlet bemutatását kérhetjük.
A Get-Help cmdlet paramétere azt jelzi, hogy milyen tárgyban óhajtunk segítséget kapni.
Figyelemreméltó képessége a cmdlet-nek, hogy a paraméterében elfogadja a helyettesítő
karakterek használatár, ha egy dolognál többről szeretnénk információt kapni. Íme:
PSH [D:\foo]: get-help get-h*
Name Category Synopsis
Get-Help Cmdlet Displays information about Windows PowerShell

cmdlets and concepts.
Get-History Cmdlet Gets a list of the commands entered during the
current session.
Get-Host Cmdlet Gets a reference to the current console host
object. Displays Windows PowerShell version ...
Get-Hash Cmdlet Gets the hash value for the specified file or
byte array via the pipeline.
Get-HTTP Cmdlet The get-http cmdlet can be used to retrieve
documents from the World Wide Web.
Ebben a példában a Get-H* nevű parancsokhoz kértünk segítséget, és eredményül megkaptuk

a rendszerben fellelhető, a helyettesítő karakter segítségével megadott rnintára illeszkedő nevű
öt parancs rövid leírását. A Get-Help * parancs kiírná rnindannak az összefoglalóját, arniről
a PowerShell egyáltalán segítséget tud adni.
A súgófájlok a PowerShell felfedezhetőségének további szép példáját jelentik. A PowerShell te

lepítésekor számos kis szöveges állomány kerül a gépünkre, amelyek a PowerShell alapvető fo
galmait írják le. Ezeket szintén a Get-Help cmdlet segítségével tekinthetjük meg. Ha látni sze
retnénk az összes súgófájlt, írjuk be a Get-Help about* parancsot, és megkapjuk az összes
súgófájl listáját. A Get-Help about_if parancs begépelése az if kifejezésről nyújt információt,
ahogy az az alábbiakban látható:
PSH [D:\foo]: get-help about if

TOPIC
The if statement
SHORT DESCRIPTION
A language command for running a command black or blocks based on the
results of one or more conditional tests
LONG DESCRIPTION
You can use the if statement to run a code black if a specified
conditional test evaluates to true. You can also specify one or more
-·!e!•l Windows Server 2008
additional conditional tests to run if all prior tests evaluate to
false. Finally, you can specify an additional code black that is run if
no other prior conditional test evaluates to true.
{a parancs kimenetének folytatását nem közöljük}
Az adattárak használata és a PowerShell-szolgáltatók

A mai modern szárrútógépes világban az adattárak hihetetlenül széles skáláját használjuk, ideértve
az állománytárolókat, a tanúsítványtárolókat, a rendszerleíró adatbázist, és így tovább.
A PowerShell előtti eszközök világában minden adattárat az adott adattárakhoz tartozó, egymással
együttmú'ködni nem tudó eszközök segítségével kezeltünk, és ez meglehetősen nehézzé tette
a rendszergazdáknak az egyes eszközök megismerését, használatát és mesterfokon történő
kezelését. A PowerShell más megközelítési módot ajánl, amely a szolgáltatók (provider) és
a szabványos cmdlet-ek segítségével valósul meg.
A PowerShell-szolgáltató olyan szoftverösszetevő, amely a valós adattár és a szabványos cmdlet

között helyezkedik el. A szabványos cmdlet-ek hívásokat intéznek a szolgáltatóhoz a megfelelő
adatok kinyerése végett, majd a hívások eredményét rendszergazdabarát módon tudatják velünk.
A szolgáltatók felépítését a http:l/msdn2.mícroso.ft.com/en-us/library/ms714658.d2eb7674-3a27-
4baf-91b7-b8eajle8ab2c(en-us, VS. 85).gifcírnen található kép mutatja be.
A fentieket szemléltetendő vessünk egy-egy pillantást két adattárra: a fájlrendszerre és

a rendszerleíró adatbázisra:
PSH [D:\foo]: dir
Directory: Microsoft.PowerShell.Core\FileSystem::D:\foo
Made LastWriteTime Length Name
d---- 14/10/2007 12:04 bar
PSH [D:\foo]: cd bar

PSH [D:\foo\bar]: ls
Directory: Microsoft.PowerShell.Core\FileSystem::D:\foo\bar
-a--- 14/10/2007 12:04 8 foobar.txt
PSH [D:\foo\bar]: cd hklm:

PSH (HKLM:\]: ls
Hive: Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE
SKC VC Name Property
4 0 HARDWARE {}
87 0 SOFTWARE {}
8 0 SYSTEM {}
13. tejezet • A PowerShell 1\el-
PSH [HKLM:\]: dir .\software\microsoft\powershell
Hive: Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\software\
microsoft\powershell
SKC VC Name Propert y
4 2 l {Install, PID}
Ebben a példában a dir és az ls álnevet egyaránt felhasználtuk, Iniközben megvizsgáltunk két

adattárat: a fájlrendszert és a rendszerleíró adatbázist. Hogy a Linux/Unix, illetve a DOS/Windows
rendszerek használói számára is ismert neveket és ismert műveleteket biztosítson,
a PowerShellben mindkét fenti álnév a Get-Childitem szabványos cmdlet-et hívja meg.
Van még pár szabványos cmdlet:
Clear-Item
Törli egy elem tartalmár, de nem törli magát az elemet.
Clear-ItemProperty
Törli egy tulajdonság értékét, de nem törli magát a tulajdonságot.
Copy-Itern
Egy elemet a névtéren belül egyik helyről a másikra másol.
Copy-ItemProperty
Egy tulajdonságot az értékével együtt egy megadott helyről egy másikra másol.
Get-ChilcHtem
V isszaad egy elemet és annak leszármazottait egy vagy több megadott helyről.
Get-ItemProperty
Egy megadott elem tulajdonságait adja vissza.
Get-Itern
Egy megadott helyen lévő elemet ad vissza.
Invoke-Item
Meghívja a szolgáltató esetében alapértelmezett eseményt a megadott elemre.
Move-Item
Áthelyez egy elemet.
New-Itern
Új elemet hoz létre a névtéren belül.
Move-ItemProperty
Áthelyez egy tulajdonságot.
Rename-Itern
Átnevez egy elemet egy Windows PowerShell-szolgáltatói névtéren belül.
New-ItemProperty
Egy adott helyen lévő elem számára új tulajdonságot állít be.
Remove-rtem
Törli a megadott elemet.
Remove-ItemProperty
Törli az elem megadott tulajdonságát és a tulajdonság értékét.
Rename-ItemProperty
Átnevezi egy elem egy tulajdonságát.
-"'fl Windows Server 2008
Set-Itern
Aparancsban megadott értékre változtatja egy elem értékét
Set-ItemProperty
Beállítja a megadott helyen lévő tulajdonság értékét.
Nem árt, ha a rendszergazda ismeri a fent felsorolt cmdlet-eket. Hogy a tanulás gördülékenyeb
ben menjen, a PowerShell megad pár általánosan használható álnevet a fenti erndiet-ek mind
egyikéhez, példának okáért a Get-Childitem a gci, a dir és az ls álnevekkel is elérhető.
Az egyes erndiet-ek álneveit a következő utasítással tudhatjuk meg:
PSH [D:]: get-alias * l where {$_.definition -like "*item*"} l ft -auto
CommandType Name Definition
Alias eli Clear-Item

Alias clp Clear-ItemProperty
Alias epi Copy-Itern
Alias cpp Copy-ItemProperty
Alias g ci Get-Childitem
Alias gi Get-Itern
Alias gp Get-ItemProperty
Alias ii Invoke-Item
Alias mi Move-Item
Alias mp Move-ItemProperty
Alias ni New-Itern
Alias ri Remove-rtem
Alias r ni Rename-Itern
Alias rnp Rename-ItemProperty
Alias rp Remove-ItemProperty
Alias si Set-Itern
Alias sp Set-ItemProperty
Alias ep Copy-Itern
Alias ls Get-Childitem
Alias mv Move-Item
Alias rm Remove-rtem
Alias rmdir Remove-Item
Alias copy Copy-Itern
Alias del Remove-Item
Alias erase Remove-Item
Alias move Move-Item
Alias rd Remove-rtem
Alias ren Rename-Itern
Ezek az álnevek lehetővé teszik, hogy a DOS-ból, a Windowsból, a Unixból vagy a Linuxból szár
mazó, már ismerősnek számító parancsok neveivel azon nyomban nekikezdhessünk a PowerShell
és a PowerShell-szolgáltatók használatának, továbbá szükségtelenné teszik a erndiet-ek neveinek
megtanulását ahhoz, hogy a PowerShellt rábírjuk az egyszerúbb műveletek elvégzésére.
Aszóban forgó álnevek és szabványos erndiet-ek hívásokat intéznek a szolgáltatókhoz, hogy

a megfelelő információt (a jelenlegi munkafájltároló mappa tartalmát, a rendszerleíró adatbázis
jelenlegi ágának nevét stb.) megkapják APowerShell már rögtön a telepítése után tartalmaz
néhány szolgáltatót, de továbbiakkal is elláthatjuk A PowerShellbe beépített szolgáltatók
13. fejezet • A PowerShell Ile§-
a következők: Alias (Álnév), Environment (Környezet), FileSytem (Fájlrendszer), Punction
(Függvény), Registry (Rendszerleíró adatbázis), Variable (V áltozó) és Certificate (Tanúsítvány).
További külső szolgáltatóként pedig olyanokra számíthatunk, mint az SQL Server, a One-Note
és a Microsoft Campute Cluster.
Új meghajtónevek létrehozásához a szalgáltatán belül a New-PSDrive cmdlet használható.

A szabványos cmdlet-ekkel, illetve az álneveikkel az ily módon létrehozott meghajtók aztán
igazi meghajtóként használhaták Például:
PSH [D:\foo]: New-PSDrive -name scripts -psProvider Filesystem -root d:\foo
Name Provider Root
scripts FileSystem D:\foo
PSH [D:\foo]: dir scripts:

Directory: Microsoft.PowerShell.Core\FileSystem::D:\foo
Mode LastWriteTime Length Name
d---- 14/10/2007 12:04 bar
Az előzőhöz hasonló st.t1usban a C:-nél és a D:-nél értelmesebb új meghajtóneveket adhatunk

meg. A rendszerünkön rendelkezésre álló meghajtók megtekintéséhez az alábbiakban bemutatott
módon aGet-PSDrive cmdlet használható (közöttük ott van az előző példában létrehozott
scripts nevű meghajtó is).
PSH [D:\foo]: Get-PSDrive
Name Provider Root

-- -- ----
Alias Alias
c FileSystem c:\
cert Certificate \
D FileSystem D:\
E FileSystem E:\
Env Environment
F FileSystem F:\
Feed FeedStore
Punction Punction
HKCU Registry HKEY CURRENT_USER
HKLM Registry HKEY_LOCAL_MACHINE
L FileSystem L:\
R FileSystem R:\
s FileSystem S:\
scripts FileSystem D:\foo
T FileSystem T:\
u FileSystem U:\
Variable Variable
y FileSystem Y:\
Ezeken a meghajtókan olyan műveletek végezhetők el, mint a dir ENV:, amely megadja
a környezeti változók listáját, vagy a dir Variable:, amely viszont a használatban lévő
változókat sorolja fel. Ha a szolgáltatókról további információkra vagyunk kíváncsiak, írjuk be
a Get-Help about_providers parancsot a PowerShell készenléti jeiénél. A szolgáltatókról
részletesebb felvilágosítást a http://msdn2.microso.ft.com/en-us/library/ms 714636.aspx
weboldalon kaphatunk, és itt tudhatjuk meg azt is, hogy miként hozhatunk létre új szolgáltatót.
A csővezeték
A csővezeték (pipeline) kifejezés a PowerShellnek azt a képességét takarja, hogy egy cmdlet
kimenetét átvezethetjük (egy "csövön") egy másik cmdlet-hez, ahogy a fejezet néhány korábbi
példájában már láthattuk is. A PowerShell csővezetéke nagyon hasonlít a Unix és a Linux rend
szerek csővezetékéhez- és valószínú1eg ez a PowerShell legnagyobb jelentőségű képességeinek
egyike. Az egyik legfontosabb különbség az, hogy a Unix és a Linux rendszereken a csővezeté
ken szállított adat formázatlan szöveg, amit utóbb át kell alakítani- gyakran nevezik az ilyet
imaszerű értelmezésnek. A ps Unix-parancsot például a folyamatok kiíratására használjuk, és
a kimenetét például egy formázó alkalmazáshoz továbbíthatjuk feldolgozásra. A csővezeték
a végei között a PowerShell-objektumokat- ezek lehetnek .NET vagy más objektumok- továbbít.
Nézzünk egy példát, amelyben a Get-Process cmdlet kimenetét az alábbiakban ismertetett
módon csővezetéken a Sort-Object erndiet-hez továbbítjuk
PSH [D:\foo]: get-process l sort-object handles

-- -- --- - --- ---- --
-
o o o 28 o o Idle
21 l 192 432 4 0.22 1568 smss
31 3 1224 307 2 32 0.05 968 shstat
35 2 1040 3212 27 0.06 3940 Mctray
{a táblázat fennmaradó részét eltávolítottuk}
Ebben a példában aGet-Process cmdlet kiolvassa a rendszeren futó folyamatokat jelképező

folyamatobjektumok listáját, majd a csővezeték másik végéhez továbbítja azokat. Ezek
a folyamatobjektumok jelentik a bemenetet a folyamatobjektumokat az aktív leíróik száma alapján
sorba rendező Sort-Object cmdlet számára. A rendezett objektumok az alapértelmezett formá
zó használatával a képernyőre kerülnek. Minthogy a PowerShell objektumokat továbbít,
a Sort-Object cmdlet tudja, hogy rnit fog megkapni, és tudja, hogy a várt objektumoknak
van-e a leíróik számát jelző tulajdonságuk.
A csővezeték- rnint a következő példa is mutatja - több szint mélységű is lehet:
PSH [D:\foo]: Get-Process l Where-Object {$_.Handles -gt 500} l Sort-Object

Handles -Descending l Select-Object Processname, Id, Handles l Format-Table
-Autosize
ProcessName Id Handles
-------- - - - ---- - -
-
OUTLOOK 2552 5729

svchost 320 2355
Quest.PowerGUI 598 4 1839
searchindexer 216 4 1563
PKTray 4632 1267
csrss 1684 1216
iexplore 2592 1044
13. fejezet • A PowerShell llef-
msnmsgr 3912 982
firefox 4004 970
explorer 3192 951
WINWORD 5588 882
System 4 856
svchost 2024 841
POWERPNT 5876 817
1sass 1764 664
winlogon 1708 642
explorer 5940 571
services 1752 533
A példában szereplő parancs először a Get-Process erndiet-tel megszerzi a számítógépen futó

folyamatok listáját. A folyamatok ezt követően a Where-Obj ee t erndiet-hez kerülnek, amely
elveti azokat a folyamatokat, amelyeknek 501-nél kevesebb leírójuk van. A listát a Sort-Object
csökkenő sorrendbe állítja; ezt követően az átadott objektumoknak a Select-Object cmdlet
csak három tulajdonságát veszi át. Végezetül a Format-Table cmdlet a kapott objektumokat
egyszerű táblázattá alakítja, amelyben a lehető legkevesebb szóköz kerül az egyes oszlopok közé.
A példában a erndiet-ek neveit teljesen kiírva láthattuk, de használhattuk volna az egyes erndiet-ek
álneveit is, hatásosan csökkentve ezzel a begépelendő szöveg mennyiségét:
gps l where {$_.handles -gt 500} l sort handles -desc l select processname,
id, handles l ft -a
Attól függően, hogy éppen mit csinálunk, nekünk kell megválasztani, hogy többet vagy
kevesebbet gépelünk Ha a parancsokat a PowerShell készenléti jelénél gépeljük be, az álnevek
használata megkönnyíti a dolgunkat. Ha azonban tartós használatra szánt héjprogramot fejlesz
tünk, akkor igen jó ötletnek számít a erndiet-ek és a paraméternevek teljes kiírása.
A csővezetékről a Get-Help About_Pipeline parancs kiadásával kaphatunk további

információkat
Alapvető formázási tudnivalók

A PowerShellt a VBScripttől eltérően nem programozóknak, hanem rendszergazdáknak szánták.
A PowerShell megbirkózik a erndiet-ek által visszaadott objektumok formázásával, és meg tudja
jeleníteni a készenléti jelénél megadott változókat, illetve egyéb adatokat. Ahogy a fejezet koráb
bi részében láthattuk, a PowerShell készenléti jelénél egyszerűen csak beírjuk a változót vagy
a használni kívánt cmdlet nevét, és szépen formázott kimenetet kapunk. Használhatunk további
erndiet-eket is: a Format-Table, a Format-List, a Format-Wide és a Format-Custom
erndiet-ek eltérően formázott kimenetet hoznak létre.
A PowerShell számos formázási lehetőséget kínál. A legtöbb esetben egyszerűen megeléged

hetünk a PowerShell beépített formázásával, de ha bíbelődős kedvünkben vagyunk, gazdagabb
formázási képességek után kutatva mélyebbre merülhetünk a .NET üstjében.
Íme egy a számítógép memóriaegységeiről a Get-WMI objektum segítségével információt nyerő,

egyszerű parancs a PowerShell formázási képességének szernléltetésére:
-·Nl Windows Server 2008
PSH [D:\foo]: Get-WMIObject -Class win32_memorydevice
_GENUS 2
_CLASS Win32_MemoryDevice
_SUPERCLASS Win32_SMBIOSMemory
_DYNASTY CIM_ManagedSystemElement
_RELPATH Win32_MemoryDevice.DeviceiD="Memory Device 0"
PROPERTY_COUNT 39
SERVER XP21
_NAMESPACE root\cimv2
PATH \\XP21\root\cimv2:Win32_MemoryDevice.DeviceiD=
"Memory Device O"
Access
AdditionalErrorData
Availability
BlackSize
Caption Memory Device
ConfigManagerErrorCode
ConfigManagerUserConfig
CorrectableError
CreationClassName Win32_MemoryDevice
Description Memory Device
DevieeiD Memory Device O
EndingAddress 639
{ more details snipped}
Ebben az egyszerű példában a PowerShell a Windows Management Interface-t használja, hogy

a számítógéptől a memóriaegységekkel kapcsolatos információt megszerezze, majd az informá
ciót az alapértelmezett formázással megjeleníti a konzolon. Ha további információkra vagyunk
kíváncsiak erről a WMI-objektumról, látogassunk el a http:l/msdn2.microsoft.com/en-us/library/
aa394197.aspxweboldalra.
Alapértelmezés szerint a PowerShell minden kimeneti objektumot az alapértelmezett formázónak,

az Out-Default erndiet-nek ad át. Ez a cmdlet az objektumok formázására a PowerShell beépí
tett formázásokat tartalmazó XML fájljait használja. Az alapértelmezett formázásokat tartalmazó
XML fájlok a %systemroot%\system32\windowspowershell\vl.O mappában találhatók (a fájlok
kiterjesztése pslxmD.
A formázás szabályozására számos lehetőség áll rendelkezésre. Ahogy az imént említettük,

használhatjuk a PowerShell alapértelmezett, beépített formázását, és gyakran nincs is többre
szükségünk. Például ha a PowerShell készenléti jelénél kiadjuk a dir parancsot, megkapjuk
a könyvtárlistát, ami rendszerint tartalmazza azt az információt, amire kíváncsiak voltunk. De
ahogy a Win32_MemoryDevice példáján láthattuk, az alapértelmezett formázás többet nyújt
annál, amit szeretnénk.
A rendszergazda szolgálata érdekében a PowerShell négy további, használatra váró erndiet-et

tartalmaz; ezek a következők: Format-List (álnevén FL), Format-Table (álnevén FT),
Format-Wide (álnevén FW) és Format-Custom (álnevén FC). Ha a tulajdonságoknak csak
egy részét szeretnénk látni, akkor érdemes ezeket a cmdlet-eket a csővezeték vége előtt hasz
nálnunk. Például:
PS C:\foo> get-wmiobject win32_memorydevice l format-list deviceid,

startingaddress, endingaddress
devieeid : Mernory Device O

startingaddress : O
endingaddress : 639
devieeid : Mernory Device l
startingaddress : 1024
endingaddress : 1048575
devieeid : Mernory Device 2
startingaddress : 1048576
endingaddress : 2097151
A másik lehetőség, ha a Format-Table cmdlet-et az -autosize paraméterrel együtt használjuk:
PS C:\foo> get-wmiobject win32_memorydevice l format-table deviceid,

endingaddress, startingaddress -autosize
devieeid startingaddress endingaddress

- --- - --- ---- --- - ---- - -- - - --- -- -- --- -
Mernory Device O o 639
Mernory Device l 1024 1048575
Mernory Device 2 1048576 2097151
Ezek a Format-* cmdlet-ek lehetővé teszik a PowerShell alapértelmezett formázójának felülbí

rálását. Ennek érdekében egyszerűen csak továbbítanunk kell a kívánt kimenetet az említett,
formázásra szolgáló cmdlet-ekhez.
A PowerShell alapértelmezés szerint a következő egyszerű elvek figyelembe vételével végzi

a formázást:
•
A PowerShell elsőként a formázási előírásokat tartalmazó, .pslxml kiterjesztésű fájlokat
vizsgálja át, a formázandó objektumnak megfelelő nézet után kutatva. Ha a formázási
utasításokat tartalmazó XML állományok tartalmaznak megfelelő nézetet, a PowerShell
ezek alapján hozza létre a kimenetet. A PowerShell sok olyan objektumot tartalmaz,
amelyhez tartozik meghatározott nézet. Ezeket könnyedén az igényeinkhez igazíthatjuk
Az itt tároltakat bármely objektumhoz tartozó nézettel kibővíthetjük, ideértve azokat
az objektumokat, amelyekhez a PowerShell nem tartalmaz alapértelmezett nézetet, és
az általunk meghatározott PowerShell-objektumokhoz tartozó nézetekkel is.
•
Ha az objektumhoz nincs nézet megadva, a PowerShell a formázandó objektumhoz meg
adott, alapértelmezetten megjelenítendő tulajdonságok után kutatva böngészi át
a .pslxml kiterjesztésű fájlokat Ha a PowerShell talál ilyet, akkor a megnevezett tulajdon
ságokat összegyűjti, és továbblép. Ha nincsenek alapértelmezés szerinti megjelenítendő
tulajdonságokra vonatkozó tulajdonságok, akkor a PowerShell begyűjti az összes tulaj
donságot, és úgy lép tovább.
•
Az előző lépéstől függően a megjelenítés elvégzésére a PowerShell a Format-List vagy
a Format-Table cmdlet-et hívja meg. Ha öt vagy annál kevesebb tulajdonságot kell
megjeleníteni, akkor a Format-Table, ennél több tulajdonság esetén a Format-List
cmdlet kapja meg a feladatot a PowerShelltől.
-'le!:l Windows Server 2008
A PowerShell formázási lehetőségeiről a http:l/blogs.msdn.com/powershell/archive/2006/04/30/
586973.aspx oldalon található további információ.
Változók
A PowerShell lehetővé teszi, hogy egy cmdlet, esetleg erndiet-ek sorozatából álló csővezeték ki
menetét egy változóban tároljuk A változó olyan, névvel rendelkező objektum, amely bármi
lyen típusú érték tárolására alkalmas, ideértve az egyszerű típusokat (számok, karakterláncok,
logikai értékek) éppúgy, mint a tömböket vagy a még összetettebb típusokat (amilyenek példá
ul az objektumok). A változók használhaták egy objektum egyes tulajdonságainak a tárolására,
vagy egy parancsfájlban használt egyéb értékek tárolására.
A változók nevei az alábbiakban látható módon, $ (dollárjel) karakterrel kezdődnek:
PSH [D:\foo]: $a = l
PSH [D:\foo]: $b=l2.123
PSH [D:\foo]: $c="this is a string"
PSH [D:\foo]: $a
l
PSH [D:\foo]: $b
12.123
PSH [D:\foo]: $c
this is a string
A változók típusát a PowerShell automatikusan határozza meg, bár ezt felülbírálhatjuk Példánk
ban a $a egészként, a $b double-ként, a $c pedig karakterláncként jön létre. A PowerShell
az adattípus ismeretében dönt az objektumok formázásáróL
Bármely változó típusát kideríthetjük, ha a változót egy csővezeték használatával átadjuk

aGet-Member cmdlet-nek, úgy, ahogy a következő példa szemlélteti:
PSH [D:\foo]: $a l get-member
TypeName: System.Int32
Name MemberType Definition
CompareTo Method System.Int32 CompareTo(Int32 value), ...

Equals Method System.Boolean Equals(Object obj), .. .
GetHashCode Metnod System.Int32 GetHashCode( )
GetType Method System.Type GetType( )
GetTypeCode Method System.TypeCode GetTypeCode(
ToString Method System.String ToString( ), System.String
ToString(IFormatProvider provider), System.String ToS...
PSH [D:\foo]: $bl get-member
TypeName: System.Double
CompareTo Method System.Int32 CompareTo(Object value),

Equals Method System.Boolean Equals(Object obj), ...
13. fejezet • A PowerShell l!tij.
GetHashCode Method System.Int32 GetHashCode( )
ToString Method System.String ToString(String format,
A változó típusát pontosan megadhatjuk, ha a típus nevét a változó előtt a következő példában
látható módon szerepeltetjük:
PSH [D:\fao]: [double] $a l

PSH [D:\fao]: $a
l
PSH [D:\fao]: $a l gm
TypeName: System.Double
CompareTo Method System.Int32 CompareTo(Object value), ... Equals Method

System.Boolean Equals(Object obj), System.Boolean
GetHashCode Method System.Int32 GetHashCode( )
ToString Method System.String ToString(String format, ...
A változók tárolhatnak objektumokat is, és egy parancsfájl vezérlési szerkezeteiben is szerepel

hetnek. Például a BIOS-ban tárolt információkat kinyerhetjük a Get-WMIObject cmdlet segítsé
géve!, majd a BIOS egy bizonyos értékétől függően végrehajthatunk egy bizonyos utasítást. Íme:
PSH [D:\foo]: $bios = Get-WMIObject Win32_Bios

PSH [D:\foo]: $bios
SMBIOSBIOSVersion A04
Manufacturer Dell Inc.
Name Phoenix ROM BIOS PLUS Version 1.10 A04
SerialNumber DDC2H2J
Version DELL - 27d60a0d
PSH [D:\foo]: $bios.SMBIOSBIOSVersion
A 04
PSH [D:\foo]: $bv = $bios.SMBIOSBIOSVersion
PSH [D:\foo]: if ($bv -eq "A04") {write-host "Latest BIOS"}
Latest BIOS
PSH [D:\fao]:
Példánkban a Windows Management Interface visszaadja a BIOS adatait, amelyek közül kiol
vassuk a változatazonosító karakterláncot, és a kimenetre küldjük. A BIOS változatazonosító
karakterlánca egy if paranccsal megvalósított feltételes elágazás útválasztója lesz, ahol, ahogy
láthattuk, a feltétel igaznak bizonyul, hiszen a Windows Management Interface az A04 értéket
adja vissza, és eképp a PowerShell kiírja az üzenetünket.
Ha a PowerShell és a változók viszonyáról szándékszunk további információkhoz jutni, látogas

sunk el a http:l!www. microsoft.com/technet/technetmaglissues/200 7/03/PowerShell/dejault.aspx
weboldalra.
··Iul Windows Server 2008
Parancsfájlok írása
A PowerShell használható pusztán erndiet-ek futtatására, de a legtöbb W indows Server 2008
rendszert felügyelő rendszergazda saját parancsfájlokat (héjprogramokat) ír a környezetében
felmerülő feladatok ellátására. Fejleszthetünk például olyan héjprogramot, amely visszhangkérést
(ping) intéz pár számítógéphez, felderítve ezzel az elérhetőségüket, és jelentést ír azokról, ame
lyek nem voltak elérhetők. Ez a héjprogram továbbfejleszthető úgy, hogy mérje, hogy mennyi
idő alatt érkezik meg a visszhang, és jelentse, ha ez az idő hosszabb egy előzőleg megállapított
határértéknél. Írhatunk olyan parancsfájlt is, amely felhasználókat vesz fel az Active Directory
címtárába, a felhasználókat szerep alapú biztonsági csoportokhoz adja, bekapcsolja az Exchange
és a Unified Messaging postaládákat, és lehetővé teszi, hogy a felhasználó használja az Office
Communications kiszolgálót.
A PowerShell-parancsfájlok psl kiterjesztéső szöveges állományok, amelyek a PowerShell

készenléti jelénél is beírható parancsokat tartalmaznak, különböző, a parancsfájl futását vezérlő
kifejezések sokaságával együtt. Alapvetően azt mondhatjuk, hogy semmi nincs, amit megtehe
tünk egy parancsfájlban, de ne tehetnénk meg a PowerShell készenléti jelénél- a parancsfájl
ilyen szempontból csak az újbóli begépelést takarítja meg. Ez annyit tesz, hogy kipróbálhatunk
dolgokat a PowerShell készenléti jeiénél, és ebből kiindulva alkothatjuk meg a parancsfájlunkat
- ez olyasmi, ami a parancsfájlok írására szolgáló hagyományos nyelvek - például a VBScript -
esetében nem igazán lehetséges.
A még nagyobb szintű biztonság kedvéért a parancsfájlokat digitálisan alá is írhatjuk Ezt a lehe
tőséget a PowerShell kódvégrehajtási házirendjével együttesen használva megoldható, hogy
a rendszergazdák csak a cégük által digitálisan aláírt parancsfájlokat futtathassák A PowerShell
parancsfájlok digitális aláírásáról a http://www.hanselman.comlblog/SigningPowerShellScripts.aspx
oldal megtekintésével juthatunk további információkhoz.
A világon a legrövidebb olyan parancsfájl, amely kiírja a "Hello World" szöveget - és amely
egyébiránt a helloworld.psl állományban található-, a következő:
PSH [D:\foo]: cat helloworld.psl

"Hello World"
PSH [D: \foo]: . \helloworld.psl
Hello World
PSH [D: \foo]:
Ez az igen rövid héjprogram a Hello World karakterlánc megjelenítésén túl semmit nem csi
nál. Nem különösebben hasznos darab. A rendszergazdai gyakorlatban használt parancsfájlok
általában többre alkalmasak· a Hello World szöveg megjelenítésénéL Íme egy jobban használ
ható héjprogram, amely az egyes lemezegységek méretét és a rajtuk található szabad helyet je
leníti meg, nem megfeledkezve a csatlakoztatott hálózati meghajtókról sem:
PSH [D:\foo]: cat get-disksize.psl

#get-disksize.psl
#Thomas Lee tfl@psp.co.uk
Pararn ($Computer = "localhost")
#Get Disk info
13. fejezet • A PowerShell lll-
$colDisks = get-wmiobject Win32_LogicalDisk -computer $computer
$Now display it
" Device ID Type Size(M) Free Space(M)"
ForEach ($Disk in $colDisks)
{
$drivetype=$disk.drivetype
Switch ($drivetype)
{
2 {$drivetype="FDD"}
3 {$drivetype="HDD"}
4 {$drivetype="Net"}
5 {$drivetype="CD "}
{0} {l} {2,15:n} {3,15:n}" -f $Disk.DeviceiD, $drivetype,

$($disk.Size/lmb), $($disk.freespace/lmb)
}
PSH [D: \foo]: .\get-disksize.psl

Device ID Type Size(M) Free Space(M)
C: HDD 20,928.43 1,005.85
D: HDD 21,202.97 2,783.07
E: HDD 53,168.21 2,460.73
F: CD 4,270.18 0.00
L: N et 1,526,214.19 502,263.14
R: Net 675,402.00 556,902.56
S: Net 76,253.84 34,930.72
T: Net 0.00 0.00
U: Net 0.00 0.00
Y: Net 69,970.60 8,091.59
A parancsfájlok írásához a programvezérlési szerkezetek gazdag készlete áll rendelkezésre, töb

bek között a következők:
If-then-else
Ezzel a szerkezettel megvizsgálhatjuk, hogy egy feltétel megvalósul-e (például létezik-e

egy adott felhasználó az Active Directory címtárban), és a megvalósulástól függően végez
hetünk el bizonyos műveleteket (például hozzáadhatjuk a felhasználót egy csoporthoz, ha
létezik), vagy valami mást (például hibaüzenetet írhatunk ki, ha nem létezik). A vezérlési
szerkezet pontos használatát a Get-Help About_If parancs ismerteti.
Switch
Ez az utasítás egy elemet értékek lehetséges halmazával hasonlít össze, és a művelet
kiértékelésétől függően végez el feladatokat. Például elkérhetjük egy számítógép BIOS
ának változatszámát, és összehasonlíthatjuk a lehetséges értékekkel. A switch vezérlési
szerkezet pontos használatát a Get-Help About_Switch parancs ismerteti.
Ciklusok
A PowerShellben három ciklusszervező utasítás létezik: a For, aDo-Until és a While.
A While kifejezéssel kapcsolatban a Get-Help about_while paranccsal juthatunk
bővebb információkhoz.
-·Ifi Windows Server 2008
A For és a For-each
Ez a két utasítás egy tömb vagy értékhalmaz elemeit járja be. A For kifejezésekkel
kapcsolatban a Get-Help About_For, illetve a Get-Help About_ForEach beírásával
juthatunk bővebb információkhoz.
A Throw és a Trap
Ez a két utasítás hibákat vált ki, illetve kezel.
Ahogy a http:!/blogs. msdn.com/powershell/archive/2006/12/29/documentingtrap-and-throw.aspx

weboldal is megállapítja, a PowerShell Throw és Trap utasításairól sajnálatosan szegényes
a PowerShellen belüli információ. A Throw és a Trap utasításokról a http://huddledmasses.org/
trap-exception-in-powershel/1 címen található oldal szolgál további részletekkel.
A .NET, a WMI és a COM objektumai

A PowerShell objekurnközpontú (objektumorientált) termék - a nyelv minden képessége és
szerkezeti sajátossága objektumok használatán alapul: a erndiet-ek objektumokat adnak vissza,
a változók objektumok, és a nyelv elemei mind objektumok kezelését teszik lehetővé. Felhasz
nálhatjuk az objektumok tulajdonságait, és meghívhatjuk az objektumokban lévő tagfüggvénye
ket És bár néhány PowerShell-felhasználó nem veszi a nyelv objekturnközpontúságának
közvetlen hasznát, azért a PowerShell képes .NET- és WMI-objektumok használatára, a parancs
sorban és parancsfájlokban egyaránt. A PowerShell egyéb képességeihez hasonlóan az objektu
mok is képezhetnék egy önálló könyv tárgyát
A PowerShell a .NET keretrendszer képezte alapokra épült, és mint ilyen, lehetővé teszi a keret
rendszer majdnem összes osztályának elérését és használatát Az egyetlen megszorítás, hogy
a PowerShell l-es változatában nem használhatunk aszinkron osztályokat, illetve tagfüggvényeket
A .NET-objektumok használata borzasztóan egyszerű, hiszen nagyrészt az alapértelmezett beállítá

sokkal is múK:ödik. A .NET-osztályok felismerését alapértelmezés szerint rábízzuk a PowerShellre
-például, ha a fájlrendszer egyik meghajtójára kiadjuk az ls vagy a dir parancsot, akkor ered
ményül fájl-, illetve könyvtárobjektumokat kapunk. Ezt megfigyelhetjük, ha az alábbi módon, egy
csővezeték segítségével aGet-Member erndiet-hez vezetjük át egy parancs kimenetét:
PSH [D: \fao]: ls
Directory: Microsoft.PowerShell.Core\FileSystem: :D:\foo

--------- ---
-
d---- 14/10/2007 12:04 bar

-a--- 09/09/2007 12:30 3 foo.txt
-a---
14/10/2007 19:42 13 he11owor1d.ps1
PSH [D: \fao] : dir l Get-Member
TypeName: System.IO.Directoryinfo
Create Method System.Void Create( ), System.Void

Create(DirectorySecurity
CreateObjRef Method System.Runtime.Remoting.ObjRef

CreateObjRef(Type requested
.. . a kimenet végét a tömörség érdekében levágtuk
TypeName: System.IO.Fileinfo
AppendText Method System.IO.StreamWriter AppendText( )

CopyTo Method System.IO.Fileinfo CopyTo(String dest
Create Method System.IO.FileStream Create( )
CreateObjRef Method System.Runtime.Remoting.ObjRef Create
CreateText Method System.IO.StreamWriter CreateText( )
Decrypt Method System.Void Decrypt( )
Delete Method System.Void Delete( )
Encrypt Method System.Void Encrypt( )
Equals Method System.Boolean Equals(Object obj)
... a kimenet végét a tömörség érdekében levágtuk
A fenti példában az ls parancs System. IO. Directoryinfo és System. IO. Fileinfo ob
jektumokkal tért vissza. Sok olyan Windows-rendszergazda számára, aki nem mozog otthono
san a .NET világában, mindez meglehetősen összetettnek tűnhet, de némi gyakorlással a legter
mészetesebbé válik majd. A System. IO. Directoryinfo objektumokról
a http://msdn2. microsoft.com/en-us/library/system.io. directoryinfo.aspx, míg
a System. IO. Fileinfo objektumokról a http://msdn2.microsoft.com!en
us!library/system.io.fileinfo.aspx weboldalon kaphatunk további információt.
A PowerShellben közvetlenül is létrehozhatunk .NET-objektumokat. Példának okáért

a New-Ob j eet cmdlet-tel elérhetjük a .NET véletlenszám-osztályát, a System. Random osztályt:
PSH [D:\foo]: $rand = New-Object System.Random

PSH [D:\foo]: $rand.next( )
92298896
PSH [D:\foo]: $rand.next(
1722419986
PSH [D:\foo]: $rand2 = New-Object System.Random
PSH [D:\foo]: $rand2.NextDouble( )
0.370553521611986
PSH [D:\foo] :$rand2.nextdouble(
0.561135980561905
Ha két egyéb szám (mondjuk l és 10, esetleg 4 és 16) közötti véletlenszámot akarunk előállíta
ni, akkor az alábbiakban láthatóhoz hasonlóan megadhatunk egy alsó és felső határt
a . next ( ) tagfüggvény meghívásakor:
PSH [D:\foo]: $rand = New-Object System.Random

PSH [D:\foo]: $rand.next(1,10)
7
PSH [D:\foo]: $rand.next(4,16)
14
-·'ll Windows Server 2008
A Windows Management Interface objektumainak létrehozására a Get-WMIObject cmdlet
használható. A .NET objektumaihoz hasonlóan a WMI-objektumok is rendelkeznek tulajdonsá
gokkal és meghívható tagfüggvényekkel, a szokványos .NET-objektumoktól eltérően azonban
a WMI-objektumok más gépeken is elérhetők. A WMI objektumainak száma meglehetősen
nagy, ahogy arról a http://msdn2.microsoft.com/en-us/library/aa394554.aspxcímen magunk is
megbizonyosodhatunk.
A PowerShellből a COM-objektumok is elérhetők, ami különösen a már elavult és lecserélésre

váró alkalmazások esetében fontos, ezek ugyanis gyakran kommunikálnak még ezen a felületen.
A PowerShell ilyen müködését szernléltető példánk a Windows Vista ruzfalának vizsgálata a WMI
használatávaL A PowerShell a ruzfal COM-objektumát használja a Windows Firewall részletes
adatainak megszerzésére. Íme tehát egy egyszeru példa, amely azt mutatja be, hogy rniként érhe
tő el a ruzfal COM-objektuma, illetve a hozzá tartozó profil, amelyen aztán lehetőségünk nyílik
müveletek elvégzésére:
PSH [D:\foo]: $fw = new-object -com HNetCfg.FwMgr

PSH [D:\foo]: $profile = $fw.LocalPolicy.CurrentProfile
Ha az objektum példányosításával végeztünk, megvizsgálhatjuk, és meghatározhatjuk a ruzfal

beállításait:
PSH [D:\foo]: # determine global open ports (NB there aren't any!)
PSH [D:\foo]: $profile.GloballyOpenPorts l ft name, port
PSH [D:\foo]: # determine authorized applications
PSH [D:\foo]: $profile.AuthorizedApplications l ? {$_.Enabled} l ft name
Name
localsrv
SMTPServer
Virtual PC 2007
WS_FTP 95
iTunes
Microsoft Office OneNote
Microsoft Office Groove
PSH [D:\foo]: # determine enabled services
PSH [D:\foo]: $profile.Services l ? {$_.Enabled} l ft name
Name
File and Printer Sharing

Network Discovery
PSH [D:\foo]: # determine enabled services (ports)

PSH [D:\foo]: $profile.Services ? {$_.Enabled} l select -expand
GloballyOpenPorts
Name : File and Printer Sharing (NB-Session-In)
IpVersion : 2
Protocol : 6
Port : 139
Scope : l
RemoteAddresses LocalSubnet
Enabled : True
13. tejezet • A PowerShell Ilf-
Builtin : True
Name : File and Printer Sharing (SMB-In)
IpVersion : 2
Protocol : 6
Port : 445
Scope : l
RemoteAddresses LocalSubnet
Enabled : True
Builtin : True
{a kimenet hátralevő részét levágtuk}
A PowerShell új távlatokat nyit

Ebben a fejezetben áttekintettük a PowerShell fóbb jellemzőit, és megismertük az alapvető
képességeit. A PowerShell azonban olyan sok új lehetőséget villant fel, hogy könyvek garmadáját
lehetne megtölteni a róla szóló információkkal (és ezt számos szerző már meg is tette).
Lássunk viszont néhány, a PowerShell segítségével elvégezhető bonyolultabb műveletet:
A típusokra vonatkozó formázási információk kiegészítése

Ha saját cmdlet-eket, szolgáltatókat vagy alkalmazásokat írunk, felmerülhet az igény saját
objektumtípusok meghatározására, a már létező objektumtípusok továbbfejlesztésére, vagy
annak a módosítására, ahogy az objektumot a gazdaalkalmazás megjeleníti. Elképzelhető
az is, hogy az igényeinkhez szeretnénk alakítani a PowerShell alapértelmezett formázásait
Ha arról szeretnénk részleteket megtudni, hogy miként hozhatunk létre új, megjelenítési
információkat tartalmazó XML fájlokat, és hogyan tehetjük ezeket a munkakörnyezetünk
részévé, látogassunk el a http://msdn2.microsoft.com/en-us/library/ms714665.aspx
weboldalra.
A PowerShell beépítése saját alkalmazásokba
Az Exchange 2008 kezelőkonzolja remek példája ennek a lehetőségnek. Az Exchange
Management Console közvetlenül együttműködik a PowerShell-lel, és a grafikus felhasz
nálói felületen kapott parancsokat a PowerShell használatával hajtja végre. A PowerShell
saját alkalmazásokba történő beépítésének lehetőségéről a http://msdn2.microsoft.com/
en-us/library/ms 71466l.aspx címen olvashatunk bővebben.
Új szövegrészek hozzáadása egy cmdlet súgójához, vagy a meglévő szöveg módosítása
Saját cmdlet-jeinkhez súgót is írhatunk, illetve új részekkel bővíthetjük a már meglévő sú
gókat. Bővebb információért a http://msdn2.microsoft.com/en-us/library/aa965353.aspx
weboldalra érdemes ellátogatnunk
Cmdlet-ként működő parancsfájlok írása
A PowerShell segítségével írhatunk a csővezetéket használni képes függvényeket, vagyis
olyan cmdlet-eket, amelyek valójában héjprogramok. Ennek kivitelezéséről hasznos
információkat lelhetünk a http:!!www.leeholmes.com/blog/AcceptingPipeline!nputln
PowerShellScriptsAndFunctions.aspx oldalon.
Új beépülő modulok és szolgáltatók írása
Ha a PowerShell cmdlet-jei és szolgáltatói nem elégítik ki a szükségleteinket, vagy
a cégünk számára fejlesztünk belső alkalmazást, és szeretnénk, ha a PowerShell támogatná
ezt, könnyedén készíthetünk új cmdlet-eket és szolgáltatókat. A cmdlet-ek létrehozásának
-·lll Windows Server 2008
menetét a http:l/msdn2.microsoft.com/en-us/lihrary/ms714598.aspx weboldal tárgyalja,
míg a http://msdn2.microsojt.com!en-us/lihrary/ms714636.aspx oldal a saját szolgáltatók
megírásához szolgál értékes információkkaL
Hogyan tudhatunk meg többet a PowerShellről?

A PowerShell meglehetősen sokoldalú, a lehetőségek széles skáláját magában rejlő összetett ter
mék -vagyis azzá válhat, ha a fentebb vázolt lehetőségeket is számításba vesszük. A PowerShell
lel kapcsolatban hatalmas tananyag férhető hozzá, könyvekben, webnaplókban, és oktatási
intézményeknéL
Az alábbi könyvek a PowerShell-lel foglalkoznak:
• Tyson Kopczynski: Windows PowerShell korlátok nélkül (Kiskapu Kiadó)

• Bruce Payette: Windows PowerShell in Action (Manning Publications)
• Don Jones és Jeffrey Hicks: PowerShell: TFM (Sapien Press)
• PowerShell e-book (http:l/download.microsoft.com/download/a/9/4/a94270c7-ed16-
4c72-8280-658c66315719/Windows%20Powershell%20-%20EN.zip); a könyvhöz tartozó
példafájlok a http://download.microsojt.com/download/a/9/4/a94270c7-ed16-4c72-
8280-658c66315719/PowerShell-Demofiles.zip állományban találhatók.
Íme néhány, a PowerShell-lel kapcsolatos webhely és blog:
• Windows PowerShell Team Blog (http://hlogs.msdn.com/powershell/dejault.aspx)

• The PowerShell Guy (http:l/thepowershellguy.com/blogslposh/)
• Keith Hill's blog (http://keithhill.spaces.live.com/)
• Thomas Lee's Under The Stairs blog (http://tfl09.hlogspot.com)
• Reskit.net (http://www.reskit.net.powershell)
• A Microsoft PowerShell parancsfájltára
(http://www.microsoft.com/technet/scriptcenter/scripts/msh!dejault.mspx?mfr=true)
Ezen felül számos megfontolásra érdemes tanfolyam létezik. Elsősorban a Microsoft 6434-es
hivatalos tanfolyamára gondolhatunk itt, amely 2008 elejétől választható. Egy háromnapos gya
korlati tanfolyamról van szó, ahol a Windows Server 2008 rendszert üzemeltető rendszergazdák
számára oktatnak PowerShell-alapismereteket.
A Sapien Press három tanfolyamból álló sorozatot kínál (PowerShell-alapismeretek-két nap;

PowerShell középfokon-egy nap; PowerShell felsőfokon-két nap). A tanfolyamokat világszerte
több szervező is kínálja, Európában és a Közel-Keleten például a Global Knowledge, de feltehető
leg más szervezó'k tanfolyamaival is találkozhatunk.
Nagy a száma az Internetről letölthető és használható függvényeknek, erndiet-eknek és

szolgáltatóknak is.
Néhány forrás:
Quest AD erndiet-ek
A Quest cég ingyenesen letölthető, az Active Directory kezelésével foglalkozó cmdlet-eket
adott közre. Ezeket térítésmentesen letölthetjük a http:llwww.quest.com/activeroles-seroer/
arms.aspx webhelyről.
PowerShell Community Extensions
A http.//www.codeplex.com/PowerShellCX webhelyen széles körben használható további
ingyenes cmdlet-ek, szolgáltatók, álnevek, szűrők, függvények és parancsfájlok érhetők el.
Reskit.net
A http://www.reskit.net/powershellwebhelyen néhány példaprogram és egyéb hasznos
leírás található.
PowerGUI
Ez a név egy PowerShell parancsfájlok fejlesztéséhez használható ügyes szerkesztőprog
ramot takar, amely ingyenes, és megtalálható a http://powergui.org/downloadsjspa
webhelyen.
Zárszó
A PowerShell elképesztően hasznos és szerteágazó tudású termék. A rendszergazdák igényeit
tartja szem előtt, és úgy tervezték, hogy együtt tudjon működni szinte az összes, napjainkban
készülő Microsoft-szoftverrel csakúgy, mint más cégek alkalmazásaivaL Ha pedig nem találjuk
meg benne, ami nekünk kell, a PowerShell viszonylag egyszerűvé teszi új függvények és szol
gáltatások kifejlesztését. Röviden: a PowerShell üt!
Hyper-V
A vírtualizációra világszerte a legkülönbözóbb méretű vállalatok tekintenek úgy, mint világmeg

váltó lehetőségre. Az egyesíthető kiszolgálók, a hatékony energiafelhasználás, az egyszerúbb fel
ügyelet és telepítés, valamint a nagyobb kapacitás mind olyan előnyök, amelyek joggal várhatók
a virtuális kiszolgálókra és a virtuálisan nyújtott szolgáltatásokra történő átállástóL A Microsoft
meglátta a fényt, és megalkotta a Hyper-V-t (amelyet korábban a kódnevén- Viridian - vagy
a Windows Server Virtualization márkanéven ismertünk), amely a cég szerint "az operációs rend
szerbe beépülő Hypervisor alapú virtualizációs platforrnak következő generációja, amely lehetővé
teszi a fizikai és virtuális erőforrások dinamikus felvételét".
A virtualizációt általánosságban már ismerhetjük, de lehetséges, hogy nem tudjuk, mire a nagy
felhajtás. Ebben a fejezetben górcső alá vesszük a Hyper-V-t: megnézzük, hogyan működik, mik
a legfontosabb előnyei, és rnikorra várhatjuk, hogy üzemi környezetben is telepíthetjük ezt
a szolgáltatást. Ezenkívül felvázolunk egy virtualizációs stratégiát is, amely segít, hogy a Hyper-V-t
vagy az egyéb virtualizációs megoldásokat beépítsük a munkafolyamatunkba.
A fejezet célja, hogy a Hyper-V-t a lehető legfrissebben még a végleges kiadás előt
Figyelem!
ti állapotában bemutassa, olyan közel a Windows Server 2008 kiadásának idejéhez,
amennyire csak lehetséges. A fejezetben szereplő információk és konkrét eljárások tehát elavulhatnak,
mire a Hyper-V a nagyközönség elé kerül, de a felépítéssel kapcsolatos adatok és a Hyper-V kezelésé
nek általános lépései valószínűleg nem nagyon fognak változni.
A Hyper-V működése
Ahhoz, hogy megérthessük a Hyper-V működését, ismernünk kell a három fő összetevőjét:
a ruperfelügyelőt (hypervisor), a virtualizációs vermet és az új virtualizált I/0-modellt. A Windows
hiperfelügyelőjének feladata lényegében azoknak a különböző lemezrészeknek" (partícióknak)
"
a létrehozása, amelyeken belül az egyes virtuálissá tett kódpéldányok futni fognak. A virtualizáci
ós verem és a bemeneti-kimeneti (input/output, I/0) összetevő az interaktivitást biztosítja magá
val a Windows rendszerrel és a létrehozott különféle partíciókkaL
-'t1•1 Windows Server 2008
Az említett három összetevő egymással összehangoltan működik. Az olyan kiszolgálókon, ame
lyek az Intel VT vagy az AMD-V technológiával felszerelt processzorokra épülnek, a Hyper-V
együttműködik a Hypervisor nevű hiperfelügyelővel, amely egy nagyon kicsi szaftverréteg
közvetlenül a processzoron. Ez a szaftver horgokat biztosít a folyamatok és szálak kezeléséhez
a feldolgozóegységen, amelyek segítségével a gazda operációs rendszer hatékonyan kezelhet
egyszerre több virtuális számítógépet és virtuális operációs rendszert, amelyek egyetlen fizikai
processzoron futnak. Mivel nincs szükség semmilyen külső szaftver vagy illesztőprogram
telepítésére, az összeegyeztethetőség szinte tökéletesen biztos, hogy megvalósul, azok nélkül
a nehezen kijavítható hibák nélkül, amelyeket a szaftverhibák okozhatnak a rendszerben.
A hatékony folyamatkezelés mellett a virtualizált szolgáltatásokat nyújtó számítógép üzem közben

is bővíthető erőforrásokkaL A processzoroktól a memórialapkákig, a hálózati kártyáktól a tároló
egységekig mindeféle eszköz hozzáadható a géphez anélkül, hogy bármilyen szolgáltatást le kel
lene állítanunk, vagy meg kellene szakítanunk a felhasználók munkameneteit. Ezenkívül 64 bites
vendég-munkameneteknek is helyet adhatunk, ami hatalmas előnyt jelent a 64 bites programokra
átállni készülő hálózatok számára. Az átállást virtuálissá tehetjük, így lefaraghatunk a telepítési
költségekbó1, és felmérhetjük, hogy hány fizikai számítógépre lesz szükségünk a teljes átálláshoz.
Magas rendelkezésre állás

A virtualizáció célja nem csupán az, hogy kiküszöböljük a felesleges számítógépeket és költsége
ket takarítsunk meg, hanem az is, hogy növeljük a szolgáltatások elérhetőségét a nem virtuális
kiszolgálókhoz képest. Ebben az összefüggésben érthetjük meg, hogy a Hyper-V miért támogatja
több vendég fürtbe szervezését. Ezen kívül a Hyper-V összetevőt futtató fizikai számítógépekből
is fürtöt alkothatunk, hogy a virtualizált kódpéldányok egy másik állomást használhassanak tarta
lékként, ha valami történne az elsődleges gazdávaL A virtualizált vendégeket leállás nélkül áttele
píthetjük egy fizikai állomásról egy másikra, ami megkönnyíti a szolgáltatást, a tervezést és az új
raszervezést is, miközben jelentősen korlátozza a hátrányos hatásokat az üzemi szolgáltatásokra.
Emellett kihasználhatjuk a Windows Server 2008 új lemezdöntnöki szolgáltatásait, amelyek lehe
tővé teszik, hogy egy fürt anélkül nyúljon át több helyre - mondjuk az Egyesült Államok két
partjára vagy különböző országokra-, hogy azok akár egyetlen megosztott lemezt is használná
nak, ahogy azt a Windows Server 2003 megkövetelte a fürtözéshez.
Ezenkívül a Hyper-V a Server Care lehetőséggel telepített Windows Server 2008-példányokra is

telepíthető, így kihasználhatjuk azokat a nagyobb stabilitásból és kisebb terhelésből eredő előnyö
ket is (amelyek természetesen összecsengenek a magas rendelkezésre állás követelményével),
amelyek ebből a fajta telepítésből erednek.
A Hyper-V használatának első lépései

Ahhoz, hogy elkezdhessük használni a Hyper-V-t, szükségünk lesz a megfelelő hardverre
konkrétan egy olyan számítógépre, amely képes 64 bites operációs rendszert futtatni. A Win
dows Server 2008 Enterprise Edition 64 bites kiadásának tiszta telepítése követelmény, mivel
a rendszer a hardveresen támogatott virtualizáció szükségessége miatt nem fut egy virtuális
számítógépen belül.
14. fejezet • Hyper-V If)-
Miután beszereztük a megfelelő hardvert, tennünk kell néhány óvintézkedést, rnivel kiadás előtt
álló, nem véglegesített szaftverrel fogunk dolgozni. A következő műveleteket kell végrehajtanunk:
•
Készítsünk biztonsági másolatot a rendszerünkön található összes adatróL
•
Írjunk össze minden virtuális számítógépet, amelyet át szeretnénk telepíteni a Hyper-V-t
futtató számítógépre, a virtuális hardverre vonatkozó összes beállításukkal együtt.
•
Készítsünk biztonsági másolatot az esetleg áttelepíteni kívánt virtuális merevlemezekről
(VHD, virtual hard disk) is.
•
Engedélyezzük a hardveresen támogatott virtualizációt. Az erre szolgáló kapcsolót rend
szerint a számítógép BIOS-ában találhatjuk meg, ezért célszerű kapcsolatba lépnünk
a gyártóval, vagy fellapoznunk a számítógéphez kapott leírást, hogy megtaláljuk a megfe
lelő beállítást és annak bekapcsalási módját.
•
Telepítsük a Windows Server 2008-at. Mi most a teljes telepítést választjuk, bár a Hyper-V
a Server Care telepítéseken is használható.
•
A célszámítógépre ne telepítsünk másik szerepkört; a virtuális számítógépeknek helyet
adó számítógépen a Hyper-V-nek az egyetlen szerepkörnek kell lennie. A Hyper-V egyik
előzetes változata egyenesen kék képernyős hibát ad, ha egy virtuális számítógépet egy
olyan állomáson próbálunk elindítani, amelyre telepítették az Active Directory-tartomány
szolgáltatásokat.
A Hyper-V telepítése
Most, hogy készen állunk, telepítsük a Hyper-V szerepkört. Jelentkezzünk be rendszergazdaként,
és hajtsuk végre az alábbi műveleteket:
1. Indítsuk el a Server Managert (Kiszolgálókezelő) a Start, Adrninistrative Tools (Start,

Felügyeleti eszközök) menüből.
2. A Roles Summary (Szerepkörök összegzése) alatt kattintsunk az Add Roles (Szerepkör
hozzáadása) hivatkozásra, majd válasszuk a Hyper-V lehetőséget.
3. Kövessük a varázsló lépéseit. A virtuális számítógépeknek nem kell engedélyeznünk
a hálózati erőforrások elérését, bár egy hálózati kártyát ki kell választanunk, hogy egy
virtuális kapcsolóhoz köthessük. Ezenkívül ha a számítógépünkben csak egy hálózati
csatoló található, figyelmeztetést kapunk, ugyanis két kártya megléte javasolt.
4. Miután a varázsló befejezte a munkáját, indítsuk újra a számítógépet
5. Miután a rendszer újraindult, töltsük be újra a Server Managert, bontsuk ki a Roles
(Szerepkörök) ágat a bal oldali ablaktáblában, és válasszuk a Hyper-V elemet.
6. A jobb oldali ablaktáblában ellenőrizzük, hogy a "vhdsvc" és a "vmms" fut-e. Ha igen,
a Hyper-V szerepkör telepítése sikeres volt.
Ha a Server Care telepítési lehetőséget választottuk, a Hyper-V telepítése nagyon egyszerű.

Csak a következő parancsot kell kiadnunk a parancssorban, majd amikor a program kéri,
újraindítani a rendszert:
start /w ocsetup Microsoft-Hyper-V

-.t{l Windows Server 2008
Ismerkedés a Hyper-V felügyeleti eszközeivel
A Hyper-V legtöbb beállítását a Hyper-V MMC-kezelőkonzolján adhatjuk meg. A Hyper-V
Manager (Hyper-V-kezelő) konzolt, amelyet a Start menü Administrative Tools csoportjában
érhetünk el, a 14.1. ábra mutatja.
Comect to a Microsoft rftper-V servefto maoage iL You can use a Hyper-V New 'N'i1dow fra...
server to create. corf�gure and manage virtual machines. You can use virtual
..
machines to run different woridoads. Each Virtual mactine :n...ns in an isolated
execution envlronmen1, which gíves you the flexibility to n:n different operating
systems and applications on one ph}'S.ical complil:er.
fi Help
Wl'ldows Seiver 2008 Tedncal Ub!ary

Microsoft \o\rtua!ization
This is a prei"elease version of Miaosoft Hyper-V. See the Microsoft

�page in the Wndows Server 2008 T echCenter formore
information.
14.1. ábra
A Hyper-V felügyeleti konzolja
A Hyper-V Manager konzolon az adott gépre és a más, távoli gépekre telepített Hyper-V szerep
köröket is kezdhetjük, az előzetes változatok azonban nem engedik, hogy a Hyper-V Managert
egy másik gép távoli asztaláról használjuk.
Új virtuális számítógépet így hozhatunk létre:
1. Indítsuk el a New Virtual Machine (új virtuális számítógép) kezelőt a Hyper-V Manager_
konzolróL
2. Az első megjelenő képernyő a Before You Begin. Itt létrehozhatunk egy virtuális számító
gépet, anélkül, hogy végrehajtanánk a varázsló többi lépését. Ha a Finish (Befejezés)
gombra kattintunk, egy új virtuális számítógép jön létre az alapértelmezett beállításokkaL
Ha tovább szeretnénk lépni, kattintsunk a Next (Tovább) gombra.
3. A következő képernyő a Specify Name and Location (név és hely megadása). Itt adhatunk
nevet a virtuális számítógépünknek és határozhatjuk meg a tárolási helyének az elérési
útját. Ha készen vagyunk, lépjünk tovább.
14. fejezet • Hyper-V IfJ-
4. Ekkor az Assign Memory (memória kiosztása) képernyő jelenik meg. Gondoskodjunk
róla, hogy megfelelő mennyiségű memória álljon a virtuális gép (VM, virtual machine)
·
rendelkezésére, majd lépjünk tovább.

5. A következő képernyő a Configure Networking (a hálózat beállítása). A virtuális számító
gépet itt máshol létrehozott virtuális hálózatokhoz csatlakoztathatjuk, de kapcsolat nélkül
is hagyhatjuk. Ha döntöttünk, lépjünk tovább.
6. Ekkor a Connect Virtual Hard Disk (virtuális merevlemez csatlakoztatása) képernyőt
láthatjuk. Az új virtuális számítógépünkhöz új és már meglevő virtuális merevlemezt is
csatlakoztathatunk. Ha készen vagyunk, kattintsunk ismét a Next gombra.
7. Ekkor az Installation Options (telepítési lehetőségek) képernyő jelenik meg. Ha a vendég
operációs rendszerünket csak a varázsló futásának befejezése után szeretnénk telepíteni,
adjuk meg itt az operációs rendszer telepítőlemezének elérési útját, majd lépjünk tovább.
8. Miután ellenőriztük a beállításainkat, a Finish gombbal zárjuk be a varázslót.
Amikor új virtuális számítógépeket hozunk létre, figyelembe kell vennünk néhány dolgot.
Az egyik, hogy a Hyper-V a 32 és 64 bites vendég operációs rendszereket egyaránt támogatja, és
támogatni fog különféle tárolási módszereket is, amilyen az iSCSI és az üvegszálas SAN. Egy-egy
virtuális számítógéphez legfeljebb 64 GB memóriát rendelhetünk, és bekapcsolhatunk egy
beépített virtuális kapcsolót, amellyel sZÜkségtelenné tehetjük a virtuális-fizikai-virtuális rétegek
bejárását a hálózati tevékenységek elvégzéséhez.
Amennyiben a Hyper-V egyik első előzetes változatát használjuk, a Windows Server 2003 és
a Windows Server 2008 egyaránt jó eredményt ad. A Service Pack 1-gyel ellátott SuSE Enterprise
Linux Server 10-et szintén tesztelték, és ennek a használata is javasolt. Más operációs rendszerek
is működőképesnek bizonyulhatnak, de a Hyper-V előzetes kiadásain futva teljesítménygondok
és összeegyeztethetőségi problémák merülhetnek fel. Az előzetes változaton emellett csak négy
virtuális processzort futtathatunk a Windows Server 2008 egy vendégpéldányával, más vendég
operációs rendszerekkel pedig csak egyet.
A Hyper-V eltávolítása
A Hyper-V eltávolítása jelenleg meglehetősen egyszerű: csak töltsük be a Server Managert, és
a jobb oldali ablaktáblában a Roles Summary alatt kattintsunk a Remove Roles (szerepkörök
eltávolítása) lehetőségre, majd válasszuk a Hyper-V elemet a Remove Roles Wizardban (szerep
körök eltávolítása varázsló), és indítsuk újra a 'rendszert- ezzel az eltávolítás be is fejeződik.
Ha a leghatékonyabb megoldások követői vagyunk, ezután más szerepköröket telepíthetünk

az adott számítógépre, anélkül, hogy feltétlenül meg kellene szabadulnunk a jelenlegi rend
szertelepítéstől, bár mivel a Hyper-V olyan előzetes szoftverváltozat, amely a rendszer alapvető
részeibe települ, jobban tesszük, ha éles adatokat nem bízunk rá.
Virtualizációs stratégia
A virtualizációt - a valódi, fizikai hardverről virtuális hardverre történő átállást- az információ
technológia egyik következő "nagy dobásának" tartják, a Hyper-V pedig egyértelműen kitűnő
szoftver, még a végleges kiadás előtti állapotában is. Ha azonban mindez újdonság a számunkra,
lehet, hogy nem tudjuk, hol is kezdjük.
Windows Server 2008
Számos szakember fordult már hozzám azzal a kérdéssel, hogy mi a legjobb stratégia a virtuali
záció bevezetésére egy üzemi környezetben, és írtam is a kérdésről a Computerworld-ben.
Alább egy frissített változatát olvashatjuk az általam javasolt eljárásnak, amellyel felmérhetjük,
hogy szükségünk van-e a virtualizációra, és ha igen, hogyan hozhatjuk működésbe azt.
1. Határozzuk meg, hogy a kiszolgálóink egyesíthetők-e! A hardveregyesítés az első

számú ok, amiért a virtualizáció bevezetésén gondolkodhatunk. Az elöregedő hardver,
a kipukkadó adatközpontok és a mérték:telen energiafogyasztás mind közrejátszanak
a virtualizációra történő átállásban. Miért kellene újabb és újabb fizikai számítógépeket
vásárolnunk, ha egy nagyobb gépen 3 vagy akár 10 valódi kiszolgálót üzemeltethetünk?
A virtualizáció első lépése annak a meghatározása, hogy megfelelő infrastruktúrával
rendelkezünk-e a virtualizáció támogatásához. Ha sok számítógépünk hajt végre hasonló
feladatokat, nézzük meg, hogy 10-nél több van-e belőlük. 10 vagy kevesebb azonos
szerepű gép esetén nem biztos, hogy kifizetődő az átállás.
2. Gondoljuk végig az átállás üzleti következményeit! Az olyan összetett lépések, mint
a kiszolgálók egyesítése, valószínűleg hatással vannak az üzleti folyamatokra. Mint minden
nagyobb vállalkozás esetében, fontos, hogy megszerezzük a részvényesek és a vezetőség
támogatását. Szinte biztos, hogy üzleti érvekkel is alá kell támasztanunk a virtuális szolgál
tatásokra való átállást, beleértve a költségvonzatok és a megtakarítás összehasonlítását.
A személyzeti kérdésekkel is foglalkoznunk kell: ahogy csökkentjük a fizikai kiszolgálók
számát, a költségvetés logikája azt diktálja, hogy ezzel arányosan csökkentsük az alkalma
zottak számát is. Előfordulhat, hogy a munkaterhelés előzetes kiszámitását is kérik tőlünk,
és számszerűsírenünk kell a kevesebb fizikai - de több virtuális - kiszolgálónak a részle
günk teljes munkaterhelésére gyakorolt hatását.
A szükséges felhasználói engedélyeket is számba kell vennünk. Attól függően, hogy rnilyen
programokat és milyen összetételben futtatunk majd a virtuális számítógépeinken, lehet,
hogy ezen a téren is változásokra lesz szükség.
3. Válasszuk ki a hardvert és a szoftvert! A kínálat elég széles, és az árak is nagy szóródást
mutatnak. Minden attól függ, hogy egyszerűen kiszolgálók egyesítésére van szükségünk,
vagy fejlettebb szolgáltatási és hálózatbeállítási lehetőségekre is. Több gyártó is kínál
indulócsomagokat, amelyek segítségével viszonylag alacsony költséggel próbálhatjuk ki
a technológiát, és fedezhetjük fel annak képességeit.
4. Kezdjük meg a virtualizációra történő átállást! Amikor eljön a fizikairól virtuálisra váltás
tényleges ideje, több áttelepítő eszköz segítségét is igénybe vehetjük. A Microsoft hama
rosan piacra dob olyan eszközöket, amelyek lehetővé teszik, hogy egy teljes telepítésű
kiszolgálót, amely a W indows egy támogatott változatát futtatja, egy olyan virtuális
merevlemezre helyezzünk át, amelyet a cég Virtual Server (virtuális kiszolgáló) terméke
teljes mértékben támogat, és a VMWare ugyancsak dolgozik egy hasonló eszközön. Ezek
az áttelepítő eszközök több órányi (ha nem több napi) munkát fognak megtakarítani
nekünk, amikor majd végrehajtjuk a tényleges átállást. Néhány további dolog, amit figye
lembe kell vennünk:
•
Használjuk ki a fürtözési képességeket! A nagy teljesítményű fürtök használata
a virtuális számítógépeinknek magasabb rendelkezésre állást és jobb teljesítményt
biztosít.
14. fejezet • Hyper-V
•
Gondoljuk végig a felügyelet kérdéseit! Hogyan fogják kezelni az alkalmazottak
a virtuális számítógépeket? Milyen parancsnyelveket és alkalmazásprogramozási
felületeket támogat a virtuális kiszolgálószoftverünk? Képesek vagyunk bizonyos
vezérlőket elérni a parancssoron keresztül, hogy egyszerű táveléréssei hajthassunk
végre felügyeleti feladatokat?
• Ne feledkezzünk meg a tárolóegységekről! Ahhoz, hogy a virtuálissá tett kiszolgá
lóinkból a lehető legnagyobb teljesítményt hozzuk ki, nagyon gyors lemezes al
rendszerre lesz szükségünk. A legjobb ár-érték arányt valószínűleg az iSCSI alapú
lemezekkel érhetjük el, amelyek gyorsak, megfizethetők, és jól hangolható beállí
tásokkal rendelkeznek.
5. Végezzünk megfigyelést, felmérést, finomhangolást és javításokat! Amikor végre elindítjuk
a virtuálissá tett operációs rendszert, még nem ér véget a munkánk. Tartsuk szemmel
a rendszert, ahogy a felhasználókat és szolgáltatásokat áthelyezzük az új felületre.
Határozzunk meg irányelveket és küszöbértékeket a teljesítményre és a használatra vonat
kozóan, majd a méréseink alapján folyamatosan finomítsunk a beállításokon. Igény szerint
a hardverkiépítésnek és a hálózati szerkezetnek a módosítására vagy a sávszélesség növe
lésére is szükség lehet.
Zárszó
Már csak az a kérdés, hogy mikor vehetjük használatba a Hype-V összes szolgáltatását, és mikor
élvezhetjük azok előnyeit? A jó hír az, hogy a terméket már most is kipróbálhatjuk: jelenleg egy
bétaváltozat áll rendelkezésre, amelyet letölthetünk a Microsoft.com-ról. A Microsoft tervei sze
rint a Hyper-V végleges változatát a Windows Server 2008 gyártásának megkezdésétől számított
180 napon belül hagyják jóvá, és különböző, a Hyper-V-t tartalmazó, illetve nem tartalmazó
Windows Server 2008 csomagokat fognak kínálni.
Ha már bernháztunk némi időt és pénzt a virtualizált infrastruktúrába, bizonyára örülni fogunk,
mert a Microsoft Virtual Server 2005-öt használók viszonylag zökkenőmentesen állhatnak majd
át a Hyper-V-re, amikor az elkészül, anélkül, hogy a Virtual Serverbe fektetett erőfeszítéseik
eredményét elvesztenék. Mindazonáltal egyes esetekben új hardvereszközökre lehet szükség,
mivel a Hyper-V 64 bites hardvert igényel, és nem is lesz x86-os (32 bites) kiadása.
A Hyper-V a természetes következő lépés azon az úton, amelyen a Microsoft a virtualizáció felé
halad. Ha megfelelő hardverrel rendelkezünk, készen állunk arra, hogy számos olyan előnyt
élvezzünk, ami korábban elképzelhetetlen volt.
Tárgymutató
%systemroot% 51 Account lockout threshold 272
.BAT 255 Account Policies 268
.COM 255 ACL 59, 267_
.NET 412 Active Directory 52, 137
.NET keretrendszer 412 Active Directory Domain Services 137
.ps1 395, 410 Active Directory Domain Services
.ps1xml 395, 406 Installation Wizard 148
.pscl 395 Active Directory Domains and Trusts 171
.rdp fájlok 342 Active Directory-ba beágyazott zónák 121
/boot kapcsaló 261 Active Directory-előkészítő eszköz 153
/d kapcsaló 88 Active Directory-tartományszolgáltatások
/force kapcsaló 261 138
Ilagoff 261 Active Directory-tartományszolgáltatások
/target kapcsaló 261 újraindítása 193
/tsweb 343 AD DS 137
/verbose kapcsaló 390 adatbiztonsági követelmény 267
_gc 101 adatkövetkezetesség-ellenőrző 177
_kerberos 101 adatok hozzáfűzése 55
_kpasswd 101 adatok írása 55
_ldap 101 adatok olvasása 55
<system.webserver> 303 adatok szintje 267
3389-es TCP-kapu 322 adatszintű védelem 267
53-as kapu 135 adattár 400
802. lx alapú kényszerítés 361, 363 Add Roles Wizard 39
ADMIN$ 51
A, Á Administrator 268
ADSI 140
ABE 46 adsiedit 269
ablakméret XII affinitás 374
ACC 348 AGE 120
Account lockout duration 272 aktív szűrés 70
-·f1:1 Windows Server 2008
aktiválás 316 asztalösszetétel 324
aláírás nélküli adatcsere 273 átalakítófájl 245
alapértelmezett átjáró 351 átirányítás 124
alapértelmezett formázó 406 átirányítási házirend eltávolítása 251
alapértelmezett lemezkvóták 73 átjáró 14
alapértelmezett megosztás 51 átruházás 53, 95, 115, 166
alapértelmezett tartományi házirend 276 áttelepítési tábla 230
alapértelmezett telepítési lemezkép 28 áttelepítő eszközök 424
álerdő 145 attribútum 55
alhálózatokra osztás 267 átvételi házirend 382
alias 98 átvitelkiszolgáló 23
alkalmazáskészlet 295, 298 auditálás 60
alkalmazáskiszolgáló 291 automatikus frissítés 315
alkalmazáskiszolgálói szerepkör telepítése automatikus kijelentkeztetés 273
291 automatikus kilépterés 273
alkalmazásnapló maximális mérete 282 automatikus kvóták 65
alkalmazásnapló megőrzése 282 automatikus privát IP címzés 348
alkalmazások szintje 267 automatikus ügyfélbeállítás 348
alkalmazásszintű védelem 267 AutoRetry kapcsaló 91
alkalmi jelentés 71 autosize paraméter 407
ali kapcsaló 91 AXFR 102
állapotházirend 359 azonnali kényszerítés 363
állapotházirend létrehozása 365
állapotmegfelelés 17, 359
állapottanúsítvány 362
B
Állomás-bejegyzés 97 BDC 167, 190
állomáscím 367 beágyazás 142, 143
almappák és fájlok törlése 56 beállítás jogának átruházása 303
álnév 108 beállításjegyzék 97
álnevek 98, 402 beállítások megosztása 303
általános csoportok 142 beállítófájlok 303
altartomány 115, 116, 144, 153 bedugaszolás 381
alternatív cím 348 bejelentkezés naplózása 280
AMD-V 420 bejelentkezési idő 273
APIPA 348 bejelentkezési parancsfájlok 254
APPCMD 289 belső hálózat határa 267
appcmd.exe 12, 301 belső hálózat szintje 267
Application Log 284 betörést érzékelő rendszer 267
Application Pools 299 BitLoeker ll, 15
Application Server 291 bizalmasság 266
applicationHost.config 303 bizalmi viszony 139
árnyékmásolat 38, 77 biztonság 395
ARP 375 biztonsági adatbázis 235
asztal távoli felhasználói 325 biztonsági azonosító 32, 288
asztali élmény 324 biztonsági beállítások 200, 268
�
biztonsági csoport142,212 CNAME-bejegyzés98,108
biztonsági megfontolások265 COM412
biztonsági mentés132,227 COM-objektumok414
biztonsági napló maximális mérete282 compatws.inf233
biztonsági napló megőrzése282 Computer Configuration204
biztonsági sablonok232 Copy-ltemProperty401
biztonsági szint267 Core kiszolgálók XI
BOOT.WIM27 cprofile345
BOOTP355 CTRL+ALT+DEL311
bővített jellemzők írása56 CTRL+ALT+DEL lenyomása bejelentkezéshez
bővített jellemzők olvasása55 274
buta terminál321 Custom (advanced)16
csatlakozás munkamenethez331
C,Cs csatlakozási pont383

CSE259
C$51 csomagprogramok240
capture image30 csomópont383
change logon345 csomópontok eltávolítása380
change port345 csomópontok hozzáadása380
change user345 csomóponttöbbség-beállítású fürtök382
Change Zone Replication Scope123 csonkzónák129
CIA-elv266 csoport141
ciklusok411 csoporthatókör142
ciklusszeevező utasítás411 csoportházirend alapú szaftvertelepítés240
címbérlet348 Csoportházirendek137,199
címbérlet megújítása348 Csoportházirendek felügyeletének
címbérleti időszak348 átruházása231
címfeloldási protokoll375 Csoportházirendek kezelése230
címtár138 csoportházirendekkel kapcsolatos hibák
címtár metaadatai196 258
címtárszolgáltatás-hozzáférés naplózása csoportházirend-kezelő eszközök260
280 csoportházirend-kezelő konzol201
címtárszolgáltatások helyreállító módja151 csoportházirend-létrehozó tulajdonosok
címtár-többszörözés175 231
Citrix MetaFrame13 csoportházirend-modellezés 222
Class C377 csoportházirend-napló259
Clear-ltem401 csoportházirend-objektum200
Clear-ltemProperty401 csoportházirend-objektum létrehozása204
ClearType323 csoportházirend-objektumok hatóköre211
clussvc391 csoportházirend-objektumok keresése226
cluster390 csoportnevek155
CMD.EXE393 csoportok154
cmdlet397 csoporttagság250
cmdlet-ek álnevei402 csővezeték404
Cn165 csv227
Windows Server 2008
D DNS-többszörözés124
DnsUpdateProxy357
dátum311 Dokumentumok mappa250
DC security.inf233 dollárjel408
Dcdiag194 DOS 308
DCPROMO148, 153, 318 Do-Unti! 411
Default Domain Policy276 döntnöki modell382
DefaultAppPool300 drainstop381
DefaultRegistrationRefreshinterval118 Drvload 309
DFS ll, 38, 80 DSADD 165
DFS Replication Log284 DSREVOKE 167
DFS-névtérkiszolgáló383 DTC384
DFSR ll
DFS-többszörözés86
DHCP347, 357, 383
E, É
DHCP alapú kényszerítés361 EasyPrint 324
DHCPACK347 EC361
DHCP-beállítások350 EFS15, 38
DHCP-címbérlet beállítási információi348 egyállomásos mód 376
DHCPDISCOVER347 egycímes mód374, 375, 381
DHCP-foglalás354 egyéni biztonsági sablon234
DHCP-hatókör létrehozása349 egyéni lemezképek29
DHCP-kiszolgáló117 egyéni nézet létrehozása285
DHCP-kiszolgáló engedélyezése353 egyéni telepítési lemezkép31
DHCP-kiszolgáló telepítése349 egyetlen hálózati kártya376
DHCPOFFER347 egyrnesteres többszörözés168
DHCPREQUEST 347 egyszeri bejelentkezés324
DHCPServerCore317 egyszerű fájlmegosztás44
digitális aláírás252, 273, 410 élettartam100,107
digitálisan aláírt parancsfájlok410 ellenőrző kulcs15
dinamikus állomásbeállító protokoll 347 ellenőrző parancsfájl359
dinamikus DNS 117 előkészítetlen erdő154
dinamikus DNS-bejegyzés előre haladó keresési zóna105
megakadályozása120 előre haladó keresési zónák94
dinamikus DNS-frissítés105 elosztott fájlrendszer38, 80
Directory Service Log284 elosztott tranzakciók koordinátora384
Directory Services Restore Made195 elsőbbségi szám99
DisableDynamicUpdate121 elsődleges kiszolgáló107
discover image30 elsődleges tartományvezérlő167, 190
DNS 93, 258, 357 elsődleges zóna105
DNS DHCP alapú frissítése 358 elvont hardverréteg15
DNS Server Log284 e-mail értesítések62
DNSCmd133 Email Notifications62
DNS-forgatás97 Enable Remote Management301
DNSLint134, 194 engedékeny írás73
�
engedélyek 43, 53 FAZAM 260
engedélyek módosítása 56 Feature Delegation 303
engedélyek olvasása 56 feladatátvételi házirend 382
engedélyezett DHCP-kiszolgálók 353 felderítési lemezkép 30
engedélyezett protokollok 295 felhasználási engedély 322
engedélykiszolgáló 322 felhasználási szerződés 16
engedélykiszolgáló keresésének módja 338 felhasználóhoz rendelt alkalmazások 239
enyhe korlát 74 felhasználói elsődleges név 165
erdő 138, 144, 230 felhasználói környezet 328
erdő működési szintje 149 felhasználói osztályok 355
erdő-gyökértartomány 145 felhasználói profil 158
eredetjelző USN 183 felhasznáJók 154
erőforrás 383 felhasznáJók korlátozása egy
erőforrás-bejegyzés 96 munkamenetre 337
erőforráscsoport 383 feltételes átirányítás 127, 129
erőforrás-engedélyezési házirend 344 felügyelet nélküli mód 318
erőforrásrekord 96 felügyelet nélküli telepítés 32
értesítés 63 felügyeleti feladatok 164
értesítési küszöb 62 felügyeleti megosztott mappák 51
eseménynaplók 284 felügyeleti sablonok 199
eseménynaplózás 279, 282 felügyelt beállítások 205
esődlegesirányadó-bejegyzés 99 felügyelt kód 309
Event Viewer 283 felügyelt számítógép 205
Exchange Management Console 415 felvett lemezkép 30
Exchange Management Shell 396 File Replication Service Log 284
File Screen Policy 49
F File Server Resource Manager 39

fiókadatbázis 167
fa 139 fiókbejelentkezés naplózása 280
failback 382 fiókházirend 268
failover 382 fiókkezelés naplózása 280
fájl- és mappaszintű engedélyek 43 fiókzárolás 173
fájl végrehajtása 55 fiókzárolás időtartama 272
fájlcsoportok 68 fiókzároJási házirendek 271
fájlkiszolgálói erőforrás-kezelő 62 fiókzároJási küszöb 272
fájlkiszolgálói szerepkör 39 fiókzároJási számláló nullázása 272
fájlok korábbi változatai 77 FIPS szabványnak megfelelő 340
fájlok létrehozása 55 fizikai biztonság szintje 267
fájlrendszer objektumai 237 fizikai összetevők 138
fájlszűrő 69 fizikai védelem 266, 267
fájlszűrő sablon 68 flattemp 345
fájltípusok szűrése 68 FlowContro!Channe!Bandwidth 324
fájltöbbszörözési szaigáitatás 284 FlowContro!DisplayBandwidth 324
fák 144 fogadóképesség 374, 377
FastCGI288 foglalás 354
-'ftl Windows Server 2008
főhatókör 356 Get-Itern 401
főkiszolgáló 168 Get-ltemProperty 401
fokozatos zónafrissítés 102,104 Get-Process 397
folyamataktiválási szolgáltatás 289, 290 Get-PSDrive 403
folyamatobjektumok 404 Get-WMI 405
folyamatok nyomon követésének Get-WMIObject 409,414
naplózása 280 globális katalógus 147
For 411 globálisan egyedi azonosító 89,259
fordított keresési zónák 94,95,110 globáliskatalógus-kiszolgáló 149
For-each 412 GMT 178
forgatásos terheléselosztás 106 GP 137
Format-Custom 405,406 GPCO 231
Format-List 405,406,407 GPMC 201
Format-Table 405,406,407 GPO 200
Format-Wide 405,406 GPO-k kézi frissítése 208
formázás 405 GPO-k közzététele 258
forrás MAC címének álcázása 381 GPOTOOL 259
forrásszámítógép 31 GPResult 261
Forwardeci Events Log 284 GPRESULT.EXE 225
FQDN 105 GPT fájlok 260
frissítés nélküli időköz 119 gpupdate 208,261
frissítési időköz 99,107,119,209 gpupdate /force 61
frissítési sorszámok 181 greenwich-i középidő 178
frissítési ütközés 179 Group Policy 137,199
frissítési vektor 183 Group Policy Creator Owners 231
frissítési vektorok megtekintése 186 Guest 268
FSRM 65 GUID 89,259
FSRM beállítása 62 gyártói osztály 355
FSUTIL 89 gyermektartomány 144
fsutil.exe 89 gyógyítás 362
FTP-közzétételi szolgáltatás 290 gyógyító kiszolgálók 361
full mesh 87 gyors bejelentkezésre optimalizálás 252
fürt 420
fürt megtervezése 385
fürtözés 371
H
hálók 176
G,Gy hálózat 383

hálózat-hozzáférési karanténkezelés 359
GC 147 hálózati elosztó 381
gépszintű védelem 267 hálózati felület 313
Get-Childltem 401 hálózati házirend-kiszolgáló 360,363
Get-Command 399 hálózati kapcsolatok beállítása 312
Get-Help 399 hálózati kártya gyártója 355
Get-Help about* 399 hálózati szintű hitelesítés 323
Get-Help about_if 399 hálózati terheléselosztás-kezelő 377
�
hálózati terheléselosztó fürtök 371, 372, hub 381
380 hub and spoke 87
hálózatvédelem 347, 359 hurkok 176
hálózatvédelem beállítása 363 hurrikán 266
hardveresemények 284 Hyper-V 419
hardver-illesztőprogramok 312 Hyper-V eltávolítása 423
Hardware Events Log 284 Hyper-V Manager 422
hárombillentyűs üdvözlés 274, 311 Hyper-V telepítése 421
hash 252 hypervisor 419
hatályos engedélyek meghatározása 59
hatókör 349
hatókör aktiválása 352
l, í
házirendek egyes részeinek kikapcsolása IANA 96
207 ICANN 94
házirendek elrendezése 278 ideiglenes mappák törlése kilépéskor 337
házirendek kikényszerítése 211 idő 311
házirendfrissítés 208 időbélyeg 120, 180
házirendkapcsolatok kezelése 231 időegyeztetés 177
házirendöröklés letiltása 214 időforrás 177
házirendváltozás naplózása 280 időzóna 311
héjprogramok 410 időzónák 178
hely 311 idx 313
hely szerint értelmezett paraméterek 398 Iesacls.inf 233
helyi biztonsági házirend 232, 268, 273 If-then-else 411
helyi Csoportházirendek 232 IlS 287
helyi házirend 200, 232 IlS 7 felépítése 289
helyi RODC alapú DNS-kiszolgáló 191 IlS parancssoros elérése 301
helyi vendégek 282 illesztőprogramok 309
helyreállítás 132 image 21
helyreállító mód 150, 193 imaszerű értelmezés 404
hibaelhárítás 192, 194 in-addr.arpa 94, 95
hibatűrés 86 Include inheritable perrnissions from this
High Avaliability Wizard 389 object's parent 57
HIPAA 266 indexszám 313
hiperfelügyelő 419 indítómenü 29
hisecdc.inf 233 infrastruktúra-mester 173
hisecws.inf 233 Initial Configuration Tasks 18
hitelesítés 273 INSTALLWIM 28
host record 97 Instal!Shield 241
hosszú jelszavak 268 Integrált mód 298
hozzáférés alapú számbavétel 46 Intel VT 420
hozzáférés alapú számlálás 59 IntelliMirror 199, 239, 249
hozzáférés korlátozása 360 IntelliMirror újratelepítés 247
hozzáférés-szabályozási listák 267 interconnect 383
HITP -alapszolgáltatások 289 Internet Information Services 7 287
Windows Server 2008
Internet Information Services Manager 293 kapcsolatengedélyezési házirend 344

internetes hitelesítő szolgáltatás 359 kapcsolatfigyelő létrehozása 338
internetes tárolók névszolgáltató kapcsolatjelző 327
kiszolgálója 384 kapcsolatok számának korlátozása 339
Invoke-Item 401 kapcsaló 381
IP címek kezelése 347 kapuszabályok 374, 376
IP címtartomány 349 karantén-kényszerítési ügyfél 370
IP-biztonság 267 karbantartás 192
IPC$ 51 KCC 177
ipconfig /all 313, 354 kényszerítés 213, 362
ipconfig /registerdns 118 kényszerítő eljárások 361
IPsec 267 kényszerítő ügyfelek 361
IPsec alapú kényszerítés 362 képernyő adatainak fontossági sorrendbe
irányadó kiszolgáló 94 állítása 323
írásvédett tartományvezérlő 149, 191 képviselet 53, 115
írásvédett tartományvezérlők 190 képviselő névkiszolgáló 116
ISAPI 288 Kerberos 177
ISAPI-szűrők 297 Kerberos-házirendek 275
iSNS 384 keresés 226
ISTG 189 keresési szolgáltatás 38, 39
IUSR 288 keresőkifejezések 226
IXFR 102 késleltetett kényszerítés 363
kevert módú fürt 382
J Key Management Service 20

kezdeti beállítások 18
javítócsomagok telepítése 248 kezdeti csoportházirend-objektumok 206
jelentés 63 kijelentkezés munkamenetből 332
jellemző 138, 180 kijelentkezési parancsfájlok 254
jellemzők írása 55 kijelölt erdőgyökér modell 145
jellemzők olvasása 55 kijelölt névkiszolgáló 116
jelmondat 271 kimenet gyorstárazása 297
jelszavak 268 kiszolgáló elnevezése 314
jelszó lejárati ideje 274 kiszolgálófürt 387
jelszóbeállítás-objektum 269 kiszolgálófürtök 371
jelszóbeállítás-tároló 269 kiszolgálófürtözés 382
jelszóházirendek 268 kiszolgáló-hitelesítés 323
]Script 254 kiszolgálók biztonsági elvei 266
kiterjesztett attribútum 55
K kivonatszabály 252
klasszikus mód 298
kanonikus név 108 kódvégrehajtási házirend 396
kanonikusnév-bejegyzés 98 korábbi fájlváltozatok 77, 79
kapcsolat nélküli fájlok 75, 76 korlátozott csoportok 236
kapcsolat nélküli mappák 90 korlátozott hozzáférés 360
kapcsolat nélküli szerepátadás 174 költséghányad 189
�
kötegfájlok254 Local Security Policy268, 272
kötet37 logikai összetevők138
kötet-árnyékmásolat38, 78 logoff332, 345
központi telepítési kiszolgáló23 Logon Hours273
központi Windows-telepítési szolgáltatások Longhorn Server287, 307
21 LSDOU 201
központosított beállítások300
közzététel147
közzététel elosztott fájlrendszerbeli névtér
M
50 MAC375
kulcskezelő szaigáitatás20 MAK20
különleges engedélyek53 Manage Policy Links231
külső névkiszolgáló128 managedBy 231
kvóta48 Management Service301
kvótabeállítás89 mappa bejárása55
kvótabejegyzések meghatározása74 mappa-átirányítás199, 251
kvóták39, 65 mappahivatkozás82
kvóták beállítása65 mappahivatkozások80, 85
kvótakezelés66 mappák létrehozása55
kvótasablon67 mappatartalom kiíratása55
kvótatulajdonságok66 MaskSourceMAC382
másodiagos keresési zóna112
l másodiagos kiszolgáló94
másodiagos névkiszolgáló lll
lassú kapcsolatok észlelése211 másodiagos névkiszolgáló előléptetése112
LDAP140,164 másodszintű tartomány94
legfelső szintű tartomány93 MaxCacheEntryTtlLimit97
legkisebb futtatható kódrészlet397 Maximum password age268
legmagasabb USN-ek megtekintése187 megbízhatósági kapcsolat139
legrövidebb jelszó268 meghajtó37
lemez37 megkülönböztető név felvétele270
lemez alapú kvóták73 megosztási elérési útja46
lemezdöntnök382, 383 megosztási engedélyek43
lemezkép21 megosztási protokollok46
lemezképek létrehozása29 megosztott konfiguráció 300
lemezkötet37 megosztott mappa helye44
lemezkvóták 39 megosztott mappa létrehozása43
lemezmeghajtó37 megosztott mappák147
lemezrész 37 Megosztott mappák közzététele52
lemezrészek17 Microsoft hálózati házirend-kiszolgáló360
lemezterület korlátozása 39 Microsoft lnstaller240
leválasztott munkamenet 331 Microsoft Network Policy Server360
levélkiszolgáló-bejegyzés98 MIME-típusok297
licenc322 Minimum password length268
licenckiszolgáló322 mmc ls233
-'fil Windows Server 2008
moduláris felépítés289 NETLOGON51
MOF217 netsh103, 313
Monad309 netsh interface ipv4 312
Move-Item 401 Network Load Balancing Manager 377
Move-ItemProperty 401 név szerint értelmezett paraméterek 398
msDS-PSOAppliesTo 270 névfeloldás93
MSFT 355 névjegy147
msg335, 345 névkiosztá hatóság96
MST fájl245 névkiszolgáló 94, 101
működési mód374 névkiszolgáló-bejegyzés99
multicast374 névtelen felhasznáJók 272
munkamenet323 névtelen hozzáférés csak külön
munkamenet alaphelyzetbe állítása333 engedéllyel272
munkamenet leválasztása331 névtér80
munkamenet vezérlésének átvétele336 névtér létrehozása83
munkamenetadatok333 New Scope Wizard349
mutató110 New-Itern 401
mutatóbejegyzés100 New-ItemProperty401
műveleti mester167 New-Object413
műveletmesteri szerepkör169 New-PSDrive403
MX-bejegyzés98 NLA 323
MX-bejegyzések 109 NLB371
MX-elsóobség98 NLB fürt létrehozása377
My Documents 250 NLB-illesztőprogram 374
No Override 258
N,Ny no topology 87
node kapcsaló 390
nagy vörös gomb187 Notification Limits62
NAP347, 359 NS-bejegyzés99, 108
NAP felépítése 361 nslookup96
napló259 NTCONFIG.POL201
naplórend 60, 192, 280 NTDS.DIT139, 150, 195
naplózás281 NTDSUtil174, 195
Naplózó mód218 NTFS-engedélyek43, 45
NAQC359, 361 nyomtatókiszolgáló384
nem fürtképes alkalmazások384
nem tanúsított szaftver233
NET Global Assembly Cache 395
O, Ö
NET keretrendszer 393 objektum53, 138
net share90 objektum-hozzáférés naplózása 280
net use88 objektumjellemző180
net user311 objektumok412
NetBIOS375 oclist317
netdom 314 OperatingSystemSKU 319
NetiQ Group Policy Administrator261 OSCDIMG 31
Tárgymutató
osztály 139 Provision a Shared Folder Wizard 44

osztályok 355 PSO 269
osztott DNS-felépítés 128 PTR-bejegyzés 100
ou 138,140 PTR-bejegyzések 110
Out-Default 406 PXE XVIII,22
önálló névterek 80 PXE-válaszbeállítások 26
öröklés 57,213,258
öröklés leültása 215
öröklött tiltás 214
Q
összehangolás 258 query process 334,345
query session 334,345
p query termserver 334,345

query user 334,346
parancsfájlok 199,254,393,410 Quest ActiveRoles 261
parancssori segédprogramok 88,261,345, Quest AD cmdlet 417
390 quorum 383
partíció 37 Quota Management 66
Password Policy 268 Quota Policy 48
passwordd 315
PasswordPolicyAdmins 269
passzív szűrés 70
R
PDC 167,190 RADIUS-kiszolgáló 363
PDC-emulátor 172 ragasztó bejegyzés 116
PDC-utánzó 172 RDC 81,323
People5oft 327 rdesktop 329
ping 357,375 RDP XIII,322,325
pipeline 404 RDP-ügyfél 326
Plug and Play 312 RDP-ügyfelek 329
Plug and Play eszközök átirányítási referencia-számítógép 31
keretrendszere 324 régebbi operációs rendszer 265
pnputil 312 register 346
PowerGUI 417 rekordok 96
PowerShell 288,309,393,395 relatív azonosító 171
PowerShell beépítése 415 Remote Control 336
PowerShell Community Extensions 417 Remote Desktop 325
PowerShell elindítása 396 Remote Desktop Client for Mac 330
PowerShell konzol 395 Remote Desktop Connection 323
PowerShell megjelenítő XML 395 Remote Desktop Protocol 322
PowerShell parancsfájl 395 RemoteApp prograrnak hozzáadása 342
PowerShell telepítése 394 Remove-ltem 401
PowerShell-szolgáltató 400 Remove-lternProperty 401
PRINT$ 51 Rename-ltem 401
profil 158 Rename-IternProperty 401
prograrnak újratelepítése 247 rendelkezésre állás 266,385,420
programvezérlési szerkezetek 411 rendszer hozzáférésvezérlő-lista 280
Windows Server 2008
rendszerállapot-érvényesítés359, 361 SAM adatbázis 167

rendszerállapot-ügynök361 SCA235
rendszerelőkészítő32 schrnmgmt.dll170
rendszeresemények naplózása280 scregedit.wsf315
rendszergazda jelszavának beállítása311 Scriptamatic217
rendszergazdai jelszó17 SECEDIT 235
rendszerhéj307 securedc.inf233
rendszerindítási parancsfájlok254 securews.inf233
rendszerindító lemezkép27, 30 Security Configuration and Analysis235
rendszerjogok használatának naplózása Security Log284
280 Security Settings268
rendszerleállítás bejelentkezés nélkül272 segítség kérése398
rendszerleállírási parancsfájlok254 SEIZE 175
rendszerleíró adatbázis237 Select-Object405
rendszernapló megőrzése 282 séma 138
REPADMIN186 sémakezelés 170
replikáció80, 139, 140 sémamester169
REPLMON259 sértetlenség266
Report Locations64 Server Care307, 312
Require user's permission 336 session 323
reset333 set address313
Reset account lockout after272 set-executionpolicy cmdlet396
reset session346 Set-Itern 402
Reskit.net417 Setup Log284
restore302 Setup security.inf233
rétegzett megközelítés266 setup.iss 241
Review Reports64 SetupCommand242
RFC1995 102 SHA361
RID-gyűjtő172 SHADOW336, 346
RID-mester171 Shadow=ID kapcsaló91
RIS21 shim308
RODC190, 191 SHV 361
Rootsec.inf233 SID 32, 288
rosszindulatú prograrnak359 sikertelen belépés271
round-robin DNS97 sikertelen kérelmek nyomkövetése295
RSoP341 slmgr.vbs316
RSoP naplózó módja222 SMB-engedélyek47
RSoP tervező módja218 SOA-bejegyzés99, 106
RunDiagnosticLoggingGroupPolicy259 sorozatszám106
Sort-Object404
S, Sz sovány ügyfelek321
SRV-bejegyzés100
SACL280 SSL-beállítások297
saját tulajdonba vétel56 Starter GPO206
SAM140 statikus IP címek354
�
Storage Reports 63 tartományi szint 149
support.cab 133 tartománynév-kiosztó 171
SUPPTOOLS.MSI 186 tartománynévrendszer 93
switch 381, 411 tartományra nézve globális csoportok 142
sysprep 31, 32 tartományra nézve helyi csoportok 142
System Log 284 tartományvezérlő 123, 138
System.Random 413 tartományvezérlő alapértelmezett
SYSVOL 51 biztonsági házirendje 277
szabványos engedélyek 53 tartományvezérlő érvényben levő
számítógép szintje 267 biztonsági házirendje 278
számítógép-házirendek 204 tartományvezérlő hozzáadása 152
számítógép-házirendek frissítése 208 távoli alkalmazás indítása 343
számítógépre nézve helyi csoportok 142 távoli asztal 316, 325
szavazat 382 távoli asztal mód 326
szélesvásznú monitor 323 távoli beállítások 326
szerepkör elvétele 175 távoli differenciális tömörítés 81
szerepkörök 290 távoli kapcsolatok engedélyezése 301
szerepkörök átadása 174 távoli rendszerfelügyelet 322
szervezeti egység 138, 140 távoli rendszerhéj 318
szoftverházirendek 200 távoli telepítés 21
szoftverkorlátozási házirendek 252 távoliasztal-protokoll 322
szaftvertelepítés 239 távsegítség 336
szolgáltatás-bejegyzés 100 távvezérlés 336
szolgáltató 400, 402 távvezérlés engedélyezése 341
szolgáltatott alkalmazások 342 telephely 139, 141, 176
szótár alapú támadás 268 telephelyek közötti többszörözés 187
szűrés 206 telephely-kapcsolatok 187
szűrőkivétel 70 telepítés 15
telepítési lemezkép 28, 31
T, Ty telepíthető szerepkörök 291

telepítő parancsfájl 32
T.120 322 teljes képernyős munkamenet 327
takarítás 118, 196 teljes zónafrissítés 102
tanúlemez 382 teljesen rninősített tartománynév 105
tanúsítványszabály 252 teljesítmény-optimalizálás 381
tárhelyhasználat-figyelés 39 térfigyelő rendszer 267
tárolójelentés 63, 71 terheléselosztás 385
társítás 91 terheléselvető felépítés 387
tartalék tartományvezérlő 167, 190 terjesztési csoport 142
tartomány 137, 138 termékaktiválás 19
tartomány alapú névterek 80 termékkulcs 15
tartomány átruházása 115 Terminal Services Configuration 330, 337,
tartomány felvétele 153 338
tartományhoz csatlakoztatás 314 Terminal Services Licensing 330
tartományi Csoportházirendek 235 Terminal Services Manager 330
-·ij\•1 Windows Server 2008
Terminal Services RemoteApp 342 tsdiscon 346
terminálkiszolgálói szerepkör felvétele 324 tskill 346
terminálszolgáltatás mód 326 TSM 330
terminálszolgáltatási átjáró 325, 344 tsprof 346
terminálszolgáltatások 321 tsshutdn 346
terminálszolgáltatások felügyelete 330 TIL 100, 107
terminálszolgáltatások profilja 329 tulajdonjog 57, 58
terminálszolgáltatások webes elérése 343 tűzfal 267
területi és nyelvi beállítások 312
Tervező mód 218
tétlen csomópont 386
u, ú, ü
tevékenységvizsgálat 279 újracsomagoló eszköz 241
Throw 412 újrahasznosítás 299
time.windows.com 177 újraindítás 272
titkosítási szint 339 újrapróbálkozási időköz 99, 107
titkosított fájlrendszer 38, 267 unattend.txt 318
titkosított helyreállító ügynök 275 unattend.xml 34
TID93 unicast 374
TIS 323 UPDATE.MSI 248
továbbgyűrűző meghibásodás 387 Upgrade 16
továbbított események 284 UPN 165
több hálózati kártya 376 URLScan 290
több manitor 323 User Configuration 204
többállomásos mód 377 userd 315
többcímes mód 374, 376 userenv.log 259
többrnesteres környezet 140 UserenvDebugLevel 259
többrnesteres többszörözés 168 USN 181
többször használható aktiválási Irules 20 DTD-vektor 183
többszörözés 80, 123, 139, 140, 175, 186 utolsó felhasználónév megjelenítése 274
többszörözési csoport 86 útválasztó 351
többszörözési időköz 189 ügyféloldali bővítmények 259
többszörözési partner 176 üközések észlelése 357
többszörözési partnerek megtekintése 186 üres tartomány 145
többszörözési topológiák 178 ütemezett jelentés 72
többszöröző 81 üzenet küldése 335
tömeges telepítés 21 üzenet-sorbaállítás 384
töredezettség-mentesítés 194
törlés 56
v
tranzitív erdőgyökér-bizalmi viszony 144 valódi kiszolgálófürt 382, 387
Trap 412 valódi kiszolgálófürtök 371
TS 321 változók 408
TS Session Broker 325 vándorló profil 38
TS Web Access 325 védelmi eszközök 359
TS-átjáró alapú kényszerítés 362 véletlenszám-osztály 413
tscon 346 Veritas W ininstall LE 241
Tárgymutató
vésztartalék 385 Windows Deployment Services 22

vezérlési szerkezet 411 Windows Deployment Services telepítése
VHD 421 23
vhdsvc 421 Windows Imaging Forrnat 21
Viridian 419 Windows lezárása 268
Virtual Server 424 Windows Management Interface 414
virtuális csatornák 322 Windows PE 21
virtuális könyvtárak 297 Windows Process Activation Service 290
virtuális magánhálózat 267 Windows Remote Shell 318
virtuális számítógép 422 Windows Search Service 38
virtualizáció 419 Windows Server 2008 Support Tools 133
virtualizációs strat�gia 423 Windows Server Virtualizarian 419
virtualizációs verem 419 Windows terheléselosztó szolgáltatás 372
virtualizált I/0-modell 419 Windows Terminal Services 321
vírusok 359 Windows Time Service 177
Visual Basic Scripting Edition 254 WINPOLICIES.EXE 226
visszatérési házirend 382 WinRS 318
visszhangkérés 348, 375 WinRS figyelő 318
visszhangkérő teszt 357 WINS 93
VM 423 WIN5-kiszolgáló 352, 385
vmms 421 wlbs.exe 372
Volume Activation 2.0 20 WMI 412
VPN alapú kényszerítés 361 WMI-lekérdezőnyelv 215
VSSADMIN 90 WMI-objektumok 414
vssadmin.exe 90 WMI-szűrők 215
WMS 300
w WPAS 290
WQL 215
WDS 21
WDS-kiszolgáló 23
WDSUTIL 23
x
Web Management Service 300 XPS 324
web.config 288, 303
webhely létrehozása 294
webhely tulajdonságainak beállítása 295
z
webkezelési szolgáltatás 300 ZAP 240
webkiszolgálói szerepkör telepítése 291 zárolás 271
Where-Object 405 zónafájl 94, 95
While 411 zónafájlok kézi szerkesztése 113
WIM 21 zónafrissítés 101, 113
Windows 2000 erdő működési szint 149 zónák 94
Windows 2003 erdő működési szint 149 zónamódosítási értesítés 114
Windows 2008 erdő működési szint 149
Záradék
A Windows Seroer 2008- Az első számú útmutató borítóján látható állat az albatrosz
(Diomedeidae), amely az egyik legnagyobb tengeri madár. Alfajai közül a vándorló albatrosz
(Diomedea exulans) súlya akár tíz kiló, szárnyának fesztávolsága pedig közel négy méter is
lehet. Az albatroszokat a legméltóságteljesebb déli-sarki madaraknak tartják: szárnyuk
hosszú és keskeny, nagy fejük jellegzetes horgas csőrű. Bár az egyes alfajok színe változó,
az albatrosz jellemzően fehér tollú, szürke, barna vagy fekete foltokkal.
Az albatrosz kiváló siklórepülő. Erőfeszítés nélkül képes egy nap több ezer mérföldet meg
tenni, miközben halakra, tintahalakra és krillekre vadászik. Egy szürke fejű albatroszról
(Diomedea chrysostoma) feljegyezték, hogy mindössze 46 nap alatt körülrepülte a Déli-sar
kot. Az albatrosz szárnya azzal az egyedülálló képességgel rendelkezik, hogy kiterjesztett
helyzetben "rögzíthető", ami csökkenti a terhelést az ilyen hosszú távú repüléseknéL A madár
a legtöbbször zord időjárási körülmények között látható, amikor a magas hullámok erős fel
hajtó légáramlatokat keltenek, ami lehetővé teszi a számára, hogy akár több órán át a levegő
ben maradjon szinte egyetlen szárnycsapás nélkül. A vándorló albatroszról úgy tartják, hogy
követi a déli tengereken járó hajókat, így nem véletlen, hogy a hajósok történeteiben régóta
szerepel. A matrózhagyomány szerint az albatroszban halott tengerészek lelke él, ezért ha egy
hajós megöl egyet közülük, élete végéig balszerencsre fogja sújtani.
Ma már az albatrosz számos alfaja veszélyeztetett állatnak számít. A biológusok szerint közel
l 00 OOO albatroszt ölnek meg évente a halászok, akik közül sokan illegálisan végzik a tevé
kenységüket. A vándorló albatraszak bekapják a tonhalra vadászó halászok hosszú horgain
ülő csalit, ami lehúzza őket a víz alá, és megfulladnak, de a halászhálókba is gyakran bele
akadnak, ami ugyancsak jelentősen hozzájárul ahhoz, hogy folyamatosan csökken a számuk.
A kormányok, a környezetvédők és a halászati ipar képviselői együtt igyekeznek megoldáso
kat kidolgozni a problémára: például olyan, súlyokkal ellátott hálók használatát javasolják,
amelyek gyorsan lesüllyednek, így az albatraszak kevésbé veszik őket észre, illetve élénk szí
nű madárhálókat feszítenek ki, amelyek elriasztják a madarakat a halászhajóktóL
A borítón szereplő kép forrása Wood Animate Creation című munkája. Az angol eredeti borító
betűtípusa Adobe ITC Garamond, a szövegé Linotype Birka, a címeké Adobe Myriad Conden
sed, a kódoké pedig a LucasFont TheSans Mono Condense betűje.

Windows - Server.2008.az - Elso.szamu - Utmutato.2009.ebook DigIT

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Windows - Server.2008.az - Elso.szamu - Utmutato.2009.ebook DigIT

Uploaded by

Copyright:

Available Formats

Windows Server 2008

Windows Server 2008: The Definitive Guide

Copyright © 2008 by Jonathan Hassell. Ali rights reserved!

© Kiskapu Kft. 2009

Fordítás és magyar változat © 2009 Kiskapu Kft. Minden jog fenntartva!

Lektor: Rézműves László

Felelős kiadó a Kiskapu Kft. ügyvezető igazgatója

ISBN: 978 963 9637 54 2

Készült a debreceni Kinizsi Nyomdában

1. fejezet • A Windows Server 2008 - bevezetés

Server Care .................................................. 2

Javítások az liS-ben ............................................. 3

Active Directory: írásvédett tartományvezérlők 6 . . . . . . . . . . . . . . . . . . . . . . . .

Biztonsági javítások . . ... .. .6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Az operációs rendszer fájljainak védelme . 7 . . . . . . . . . . . . . . . . . . . . . . . . . . .

2. fejezet • Helyi és távoli telepítés

A Windows Server 2008 15 telepítése . . . . o • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •

Windows Imaging Forrnat . . 21 . . . . . . . . . . . o • • • • • • o o • • • • • o • • • • • • o • • • •

Windows Deployment Services ................................... 22

Lemezképek létrehozása és módosítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Fájl- és nyomtatókiszolgálói szolgáltatások . . . . . . . . . . . . . . . . . . . . . . . . . . 38

A forgatásos terheléselosztás vezérlése . . . . . . . . . . . . . . . . . . . . . . . . . . . . l06

5. fejezet • Az Active Directory

Active Directory-tartományszolgáltatások: fogalmak és objektumok . . . . . . . . . 138

Bevezetés a Csoportházirendek világába . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199

7. fejezet • A Windows biztonsági beállításai és a javítócsomagok kezelése

A biztonsági megfontolások alapjai . . . . . . . . . . . . . . . . o • • • • • • o • • o • • • • • • • 265

Amit érdemes vizsgálni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

8. fejezet • Intemet Information Services 7

Jelentősebb fejleszrések . 287 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . .

Az IlS 7 felépítése . 289 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Újdonság: a Windows folyamataktiválási szolgáltatás 290 . . . . . . . . . . . . . . . . . . . .

Az IlS grafikus kezelése . .. ... . 293 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Új webhely létrehozása 294 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Webhely tulajdonságainak beállítása . :....... 295 . . . . . . . . . . . . . . . . . . . . .

Virtuális könyvtárak . . . 297 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Központosított beállítások engedélyezése . . 300 . . . . . . . . . . . . . . . . . . . . . . . .

A Web Management Service használata . 300 . . . . . . . . . . . . . . . . . . . . . . . . . . .

Az IlS parancssoros elérése . . . 301 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

AppCmd.exe: minden egy helyen . . . 301 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Beállítás XML fájlokkal . .. . . . 303 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

9. fejezet • A Windows Server 2008 Server Core

A rendszerhéj hiánya 307 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Telepítési forgatókönyvek 308 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Nincs felügyelt kód . . 309 . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Külső alkalmazások . ... 309 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Telepítés . . . . . .. ... 310

Kezdeti beállítás ... . . 310 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

A rendszergazda jelszavának beállítása . 311 . . . . . . .. . . . . . . . . . . . . . . . . . . .

Dátum-, idő- és helybeállítások . 311 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Hardver-illesztőprogramok telepítése és alkalmazása . . 312 . . . .. . . . . . . . . . .

Hálózati kapcsolatok beállítása . 312 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

A kiszolgáló elnevezése és tartományhoz csatlakoztatása 314 . ... . . . . . . . . . .

Az automatikus frissítés engedélyezése 315 . . . . . . . . . . . . . . . . . . . . . . . . . . . .

A kiszolgáló aktiválása . .... 316 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Távoli asztali szolgáltatások engedélyezése . 316 . . . . . . . . . . . . . . . . . . . . . . . .

A Windows Server 2008 Server Core gépek felügyelete 317 . . . . . . . . . . . . . . . . . .

Az Active Directory tartományszolgáltatások telepítése a Server Core-ra 318 . . .

Windows távoli rendszerhéj . 318 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

A Server Core vezérlése Csoportházirendek segítségével . . 319 . . . . . . . . . . . . .

Parancssori segédprogramok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345

11. fejezet • A DHCP és hálózatvédelem

A dinamikus állomásbeállító protokoll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347

A második új szolgáltatás a Terminal Services Gateway (Terminálszolgáltatási átjáró), amely lehe

Az operációs rendszer fájljainak védelme a lemezmeghajtón található minden bináris rendszerle

Természetesen a hardvereszközök kiválasztását vezérlő tényezők függetlenek az operációs rend