Académique Documents
Professionnel Documents
Culture Documents
megbzsbl
Minden jog fenntartva. A szerz s a kiad a knyv rsa sorn trekedtek arra, hogy a lert tartalom a lehet legpontosabb s napraksz legyen. Ennek ellenre elfordulhatnak hibk, vagy bizonyos informcik elavultt vlhattak. A pldkat s a mdszereket mindenki csak sajt felelssgre alkalmazhatja. Javasoljuk, hogy felhasznls eltt prblja ki s dntse el sajt, hogy megfelel-e a cljainak. A knyvben foglalt informcik felhasznlsbl fakad esetleges krokrt sem a szerz, sem a kiad nem vonhat felelssgre. A cgekkel, termkekkel, honlapokkal kapcsolatos listk, hibk s pldk kizrlag oktatsi jelleggel kerlnek bemutatsra, kedvez vagy kedveztlen kvetkeztetsek nlkl. Az oldalakon elfordul mrka- valamint kereskedelmi vdjegyek bejegyzjk tulajdonban llnak.
Lektorlta: Szentgyrgyi Tibor Anyanyelvi lektor: Venczel Katalin Bort: Varga Tams
Kiad: Jedlik Oktatsi Stdi Kft. 1215 Budapest, v u. 8-12. Internet: http://www.jos.hu E-mail: jos@jos.hu Felels kiad: a Jedlik Oktatsi Stdi Kft. gyvezetje
Tartalom
1 BEVEZET ....................................................................................................................... 9
1.1 PRIVT S NYILVNOS FELHK ....................................................................................................... 9
KISZOLGLKEZEL ......................................................................................................... 27
4.1 4.2 4.3 TELEPTS ................................................................................................................................. 28 SERVER MANAGER HASZNLATA ................................................................................................... 29 GYAKORLATI FELADATSOR ............................................................................................................ 34
ADATTROLS ............................................................................................................... 35
5.1 5.2 5.3 5.4 5.5 5.6 MULTITERABJTOS PARTCIK ...................................................................................................... 35 DATA DEDUPLICATION ................................................................................................................ 35 THIN PROVISIONING ................................................................................................................... 36
ISCSI SERVER SZEREPKR ............................................................................................................ 37
FJLSZOLGLTATSOK ...................................................................................................... 41
6.1 AZ NTFS FJLRENDSZER .............................................................................................................. 41
7.5 7.6 7.7 7.8 7.9 7.10 7.11 7.12 7.13 7.14 7.15 7.16 7.17 7.18 7.19 7.20
TELEPTS POWERSHELL SEGTSGVEL .......................................................................................... 54 TELEPTS SERVER CORE-ON ........................................................................................................ 56 OPERCIS RENDSZER FRISSTSE.................................................................................................. 57 TARTOMNYVEZRL KLNOZS .................................................................................................. 57 DNS BELLTSA........................................................................................................................ 60 DHCP BELLTSA ..................................................................................................................... 62 DHCP FAILOVER ........................................................................................................................ 65 PRINT AND DOCUMENT SERVICES ................................................................................................. 66 READ-ONLY DOMAIN CONTROLLER ............................................................................................... 67 UTMUNKLATOK ..................................................................................................................... 69 FUNKCIONALITSI SZINTEK ........................................................................................................... 70 FSMO SZEREPKRK ................................................................................................................. 70 ACTIVE DIRECTORY STRUKTRA S PTELEMEI .............................................................................. 72 ACTIVE DIRECTORY LOMTR ........................................................................................................ 73 JELSZ MENEDZSMENT................................................................................................................ 74 AD BASED ACTIVATION ............................................................................................................... 75
VIRTUALIZCI ............................................................................................................... 77
8.1 8.2 8.3 8.4 8.5 ALAPOK .................................................................................................................................... 77 SZMTGP VIRTUALIZCI ........................................................................................................ 77 WINDOWS AZURE ...................................................................................................................... 78 DESKTOP VIRTUALIZCI ............................................................................................................. 78 MEGJELENTS VIRTUALIZCI...................................................................................................... 78
HYPER-V ...................................................................................................................... 81
9.2 9.3 9.4 VIRTULIS GPEK LTREHOZSA .................................................................................................... 83 VIRTULIS GP BELLTSA .......................................................................................................... 87 VIRTULIS GP ZEMELTETSE...................................................................................................... 92
10
10.1 10.2 10.3 10.4
CSOPORTHZIREND ...................................................................................................... 99
GROUP POLICY EDITOR FELPTSE .............................................................................................. 100 GROUP POLICY FRISSTSE .......................................................................................................... 101 BIZTONSGI BELLTSOK .......................................................................................................... 102 JDONSGOK .......................................................................................................................... 103
11
TVELRS ................................................................................................................107
11.1 11.2
12
12.1 12.2 12.3 12.4 12.5
13 14
14.1
15
15.2 15.3
16 17
17.1 17.2
18
18.1 18.2 18.3
19
19.1 19.2 19.3 19.4
20 21
21.1 21.2 21.3
21.4 21.5 21.6 21.7 21.8 21.9 21.10 21.11 21.12 21.13 21.14
AZ EGYSZERI BEJELENTKEZS BELLTSA ...................................................................................... 201 CMTR-SZINKRONIZCI BELLTSA .......................................................................................... 209 SZINKRONIZLT FELHASZNLK AKTIVLSA ................................................................................. 211 HIBRID E-MAIL KONFIGURCI ................................................................................................... 213 TLLSOS E-MAIL MIGRCI .................................................................................................... 219 SZAKASZOLT EXCHANGE TTELEPTS........................................................................................... 222 E-MAIL TTELEPTS IMAP PROTOKOLL HASZNLATVAL............................................................ 226 A LEVELEZS ADMINISZTRCIJA ............................................................................................. 230 SHAREPOINT ONLINE ............................................................................................................ 233 LYNC ONLINE ...................................................................................................................... 235 SSL TANSTVNYOK ............................................................................................................ 236
Bevezet
Ez a knyv azoknak a kis-s kzpvllalati rendszergazdknak szl, akik most ismerkednek a Microsoft alap hlzatok zemeltetsvel, vagy mr zemeltettek Windows Server 2003 vagy 2008 kiszolglkat. A fejezetekben vgignzzk egy komplett infrastruktra kialaktst, gyakorlati tletekkel, tancsokkal ltjuk el, s bemutatjuk a legjabb technolgikat, kztk a magas rendelkezsre lls, a virtualizci s a PowerShell alap zemeltets jdonsgait. Az utols fejezetben bemutatjuk az Office365 termkcsaldot, annak szolgltatsait, s vgigvezetjk nt a bevezets, migrls s zemeltetsi feladatokon. A knyv fejezetei egymsra plnek, vgigvezetnek minket a telepts, bevezets lpsein, az zemeltetsi s hibakeressi feladatokon, hogy a vgre egy tfog kpet kapjunk egy optimlis, knnyen kezelhet s stabil hlzat mkdsrl. Minden fejezet vgn kitrnk a parancssori zemeltetsre, ez segteni fogja nt a napi feladatok automatizlsban, illetve a specilis feladatok vgrehajtsban. Ezen kvl gyakorlati feladatsort is sszelltottunk minden fejezet vgn, hogy a megszerzett tudst gyakorolhassa a sajt teszt-rendszern, s kipthesse a sajt komplett hlzatt. A Windows Server 2012 alapvet gondolkozsbeli vltozsokat hoz. Megsznnek a klnll szerverek, adatok, funkcik, s egysges krnyezetben kell gondolkoznunk, belerte a sajt telephelynkn s a felhben lv szolgltatsokat. A kiszolglk elvlnak a hardver elemektl, az adatok a httrtraktl, gy tudjuk biztostani a rendszer folyamatos mkdst, sklzhatsgt s biztonsgt.
1.1
Napjaink informatikai infrastruktrja talakulban van a tradicionlisan zemeltetett hlzatokrl a felh alap szolgltatsokra. A tradicionlis zemetetsi rendszerben klnll szmtgpek futnak, magas zemeltetsi kltsggel s alacsony kihasznltsggal, ltalban magas rendelkezsre llsi rendszerek nlkl, hiszen az ilyen rendszer kiptse tovbbi kltsgekkel jr. A rendszer igny szerinti mretezhetsge szintn bonyolult, a szolgltats bvtse rendszerint tovbbi kiszolglk zembe helyezsvel valsul meg. Egy kis- s kzpvllalat nem mindig engedheti meg magnak, hogy tovbbi anyagi forrsok segtsgvel garantlja a klnbz rendszerek rendelkezsre llst s itt a jl felkszlt zemelteti szakemberekkel mg nem is szmoltunk. Azokrl a szakemberekrl, akik bevezetik, s ksbb pedig zemeltetik ezeket a rendszereket. Amikor felh alap szolgltatsokrl beszlnk, az emberek nagy rsze valami megfoghatatlan, rtelmezhetetlen dologra gondol, pedig semmi ms, mint a meglv szolgltatsok megfelel kombincija egy egysges, komplex rendszer kialaktsra. Beszlhetnk nyilvnos felhrl, ahol a kiszolglkat, szolgltatsokat egy kls cgnl akr a Microsoftnl futtatjuk, illetve a felh-szolgltat tbb gyflnek szolgltat infrastruktra, platform, vagy szolgltats-csomagokat, s beszlhetnk privt felhrl, amikor mi magunk hozzuk ltre a megfelel infrastruktrt a sajt alkalmazsaink futtatshoz.
A publikus felh elnye, hogy nem kell bonyolult infrastruktrt kipteni, st, bizonyos esetekben semmifle infrastruktrra nincs szksgnk. A szmunkra szksges szolgltatsokat pl. levelezs, csoportmunka, vllalatirnyts breljk a klnbz szolgltatktl. A privt felh abban az esetben lehet elnys, ha van megfelel infrastruktrnk hardver s szoftver a rendszer kiptshez, vagy a cges bels informcikat nem szeretnnk a felhben trolni, vagy nincs megfelel gyors s stabil svszlessgnk a publikus felh hasznlathoz. Az infrastruktra nagyjbl ugyanaz, a klnbsg csupn annyi, hogy a publikus felht klnbz cgek, mint elfizetst hasznljk, a privt felht pedig a sajt szolgltatsaink futtatsra hasznljuk.
1.1.1
Hibrid felh
Bizonyos esetekben szksgnk lehet arra, hogy adataink s szolgltatsaink egy rsze a bels infrastruktrn mkdjn tovbb, bizonyos rszt pedig migrljuk a felhbe. Az ilyen hibrid rendszereknl szksgnk lesz a belltsok cmtr, felhasznlk, levelezsi belltsok folyamatos szinkronizlsra. Az Office 365-ben lv Exchange j pldja a hibrid rendszernek, hiszen a felhasznlk egy rsze a helyi hlzaton lv levelezst hasznlja, msik rszk a felhben lv Exchange Servert. A kt rendszer kapcsolatban van egymssal, de egysges egszknt tekinthetnk rjuk. Szolgltatsok a felhben Software as a Service (SaaS) alkalmazs futtatsa a felhben, lehetv teszi, hogy a felhasznlk helytl s eszkztl fggetlenl elrjk az adott alkalmazst. A rendszergazdknak nem kell kipteni a futtatshoz szksges infrastruktrt. Akkor hasznos, ha ltalnos alkalmazsokat akarunk futtatni, pl. levelezst, csoportmunkt, CRM rendszert. Tipikus pldja az Office 365, ahol szemben a helyi infrastruktra zemeltetsvel nincs szksgnk sajt kiszolglra, nem kell Windows-t, Exchange-et, vrusirtt, tanstvnyt, tzfalat, stb. teleptennk, csak egyszeren ltrehozzuk a felhasznlinkat, akik azonnal hasznlhatjk az Exchange, SharePoint s a CRM rendszer teljes funkcionalitst. SaaS krnyezetben minimlis zemeltetsi feladatunk, de ezzel szemben kevesebb lehetsgnk is van. Platform as a Service (PaaS) Alkalmazsval platformot kapunk a sajt rendszernk zemeltetshez a felhben. Ez a platform lehet trterlet, adatbzis-hozzfrs, futtatsi krnyezet, stb. PaaS hasznlatval a fejlesztknek lehetsget adunk, hogy alkalmazsaikat a felhben teszteljk s futtassk. Az SQL Azure tipikus pldja a PaaS rendszernek, ahol az alap infrastruktrt, a Windows s SQL Server krnyezetet breljk, itt tudunk adatbzisokat futtatni, illetve ssze is kthetjk a sajt infrastruktrnkon fut alkalmazsainkkal. Infrastructure as a Service (IaaS): Ebben az esetben alap infrastruktrt kapunk, virtulis gpeket, trterletet s hlzati hozzfrst, gy lehetsgnk van egyni feladatokat megvalstani, vagy meglv hlzatunkat bekltztetni a felhbe. Nincs szksgnk sajt hardverre vagy internet-kapcsolatra az infrastruktrnk futtatshoz. Az IaaS rendszerek biztostjk a folyamatos elrhetsget, a magas rendelkezsre llst, a mentsi folyamatokat, mi pedig hasznlat utn fizetnk, illetve brmikor, rugalmasan bvthetjk gpeinket vagy ignyelhetnk jabbakat. A Microsoft Azure IaaS alapja a Hyper-V technolgia s a System Center csald.
10
1.1.2
A Microsoft felh
A Microsoft rgta futtat klnbz felh alap szolgltatsokat, mint a Windows Live Messenger 500 milli felhasznlval, BPOS s CRM online szolgltatsok 40 milli elfizetvel, vagy akr a Windows Update szolgltatsok, ahonnan havonta tbb mint 1 petabjt frisstst tltenek le a vilg tbb szzmilli szmtgpre. Magyarorszgon is rgta elrhet az iskolk szmra a Microsoft Live@Edu szolgltats, ahol az Exchange Online szolgltatst hasznlhatjk ingyenesen, de az Office 365 felhasznlsa is rohamosan terjed a kis-s kzpvllalati szektorban.
11
12
Verzik, jdonsgok
Az j opercis rendszer szmos jdonsgot s jelents klnbsget is jelent a Windows Server 2008 R2-hz kpest. Frissts illetve a telepts eltt ki kell vlasztanunk azt a kiadst, amely alkalmazsok ignyeit illetve rendelkezsre llsi, virtualizcis szndkainkat tkletesen lefedik. Emellett figyelembe kell vennnk a felhasznli ltszmot, amely csatlakozni fog a kiszolglhoz. A Windows Server 2012 kvetkez kiadsokban rhet el: Verzi Datacenter Ajnlott Magas rendelkezsrells privt s hibrid virtualizcis krnyezetbe Funkcik Licenc
Teljes funkcionalits Processzor x 2 + kiszolgl krnyezet, CAL korltlan szm virtulis kiszolglval.
Standard
Kevsb vagy nem Teljes funkcionalits Processzor x 2 + virtualizlt krnye- kiszolgl krnyezet, CAL zetbe maximum 2 virtulis kiszolglval. Kisvllalkozsok szmra. Elre konfigurlt hl- Szerver (25 f zati belltsok a fel- felhasznli limit) hbe val integrcihoz, virtualizcis lehetsgek nlkl. Ez lecserli a Small Business Essential kiadst.
Essentials
Foundation
Olcs megolds, pr ltalnos funkcionali- Szerver (15 f fs cgeknek. ts clszerver megol- felhasznli limit) ds, virtualizcis lehetsgek nlkl.
A kiadsok rai a kvetkezkppen alakulnak: Verzi Datacenter Standard Essentials Foundation r $4.809 $882 $425 csak OEM-knt
13
2.1
A licencigny alapjn kijelenthet, hogy ha pldul van 2 db fjlszervernk 1-1 CPU-val, amelyen Windows Server 2008 R2 Standard fut, akkor ezt a kt szervert konszolidlhatjuk 1 db 2 processzoros Windows Server 2012 Standard vagy Datacenter-re. A Microsoft a Windows Server 2012 licenceknl figyelembe vette, hogy legalbb 2 magos processzorok vannak a forgalomban. Az Datacenter s Standard vltozat a szerepkrkben s szolgltatsokban tkletesen megegyezik. A Windows 2008 R2-hz kpest vltozs, hogy teljesen eltnik a Web, az Enterprise s a HPC verzi. Az Enterprise verzibl a kvetkez funkcik immr a Standard vltozatnak is rszei: Windows Server Failover Clustering BranchCache Hosted Cache Server Active Directory Federated Services Additional Active Directory Certificate Services capabilities Distributed File Services (tmogat 1 DFS root-nl tbbet is) DFS-R Cross-File Replication Az Datacenter s Standard vltozata teht szerepkrkben s szolgltatsokban tkletesen megegyezik. Tovbbi vltozs a Windows Server 2008 R2-hoz kpest, hogy az j Standard verziban mr nincs memria s CPU korlt, azaz a korbbi maximum 32 GB memria s 4 db CPU korlt eltnik. Teht a Standard ebbl a szempontbl is megegyezik a Datacenter kiadssal. Az j Windows Server verzi immr nem tmogatja az Itanium processzort.
2.2
Virtualizci
A Datacenter s Standard kztti alapvet klnbsg a virtualizlhat gpek szma. A Datacenter vltozatban a szerver erforrsa hatrozza meg a virtualizlhat gpek szmt, a Standard vltozatnl sszesen 2 db virtulis gpet telepthetnk. Ha szeretnnk tbb mint kt virtulis gpet telepteni s nem szeretnnk Datacenter verzira frissteni, akkor tovbbi licenceket kell vsrolnunk: Standard Edition licencek
1
2 3 4
4 6 8
Termszetesen a virtulis gpekre nem szksges tovbbi licenceket vsrolnunk, legyen az Standard vagy akr Datacenter.
14
2.3
A Remote Desktop Services s Rights Management Service licencek tovbbra is vltozatlanok, azaz az opercis rendszer licencn kvl tovbbi RDS s AD RMS CAL-t kell vsrolnunk.
2.4
A Windows Server Essential vonal tovbb l, a fbb jdonsgok a kvetkezk: Windows Server 2012 opercis rendszer Adatvdelem Hozzfrs brhonnan Egszsgi monitorozs Rugalmas terhelhetsg Bvthetsg Kiegsztk tovbbi kisvllalati megoldsokhoz, tbbek kztt az Office 365-hz
A Windows Small Business Edition vltozat megsznik, ehelyett ajnljk a Windows Server Essentials-t, a felh alap szolgltatsokkal kiegsztve (e-mail, csoportmunka tmogats, online mentsi szolgltats stb.)
2.5
Frisstsi jogok
A Windows Server 2008-rl s Windows Server 2008 R2-rl indthatjuk a frisstst, az ez eltti verzik nem tmogatottak. A frisstst csak ugyanarra a kiadsra tehetjk meg. Windows Server 2008 (R2) Standard Windows Server 2012 Standard Windows Server 2008 (R2) Enterprise Windows Server 2012 Standard Windows Server 2008 (R2) Datacenter Windows Server 2012 Datacenter
2.6
Downgrade jogok
Ha esetleg mgis gy dntnk, hogy visszallunk Windows Server 2008 R2 opercis rendszerre (pl. alkalmazs kompatibilitsi szempontbl), ezt is megtehetjk. Egy Windows Server 2012 Standard verzirl lefokozhatjuk a kiszolglnkat egy Windows Server 2008 R2 Standard-ra vagy egy Enterpise-ra, egy Windows Server 2012 Datacenter-rl brmelyik Windows Server 2008 R2 verzira.
15
16
Ebben a fejezetben megnzzk a Windows Server 2012 teleptshez szksges hardver feltteleket, a teleptsi mdokat, s a grafikus verzi teleptst. Fizikai vagy virtulis gp Els lpsben el kell dntennk, hogy j szervernket fizikai vagy virtulis gpre szeretnnk telepteni. Ehhez a dntshez fontos tudnunk, hogy a kiszolgl milyen feladatokat fog elltni, mert bizonyos funkcik nem telepthetk virtulis krnyezetbe. Virtulis gpet rdemes teleptennk, ha: A futtatand szerepkr nem ignyli egy teljes rtk szmtgp teljestmnyt Fontos a magas rendelkezsre lls Knnyen sklzhat rendszert szeretnnk (pl. memria-, processzorbvts) Fizikai gpet rdemes teleptennk, ha: A gpnek nagyobb erforrsra van szksge Kzvetlen hozzfrssel kell rendelkeznie bizonyos hardver erforrsokhoz A rajta fut szolgltats nem tmogatja a virtualizcit Ebbe az utols rszbe tartozott rgen az Active Directory is, de a Windows Server 2012-ben mr telepthetnk tartomnyvezrlt virtulis gpre is. Fontos tgondolni a licencelsi krdst is, hiszen a Windows Server 2012 Standard verzi licence egy fizikai s kt virtulis gp hasznlatra jogost, teht ugyanazon a vason egyszerre hrom pldnyban futtathatunk Windows Servert, s telepthetnk klnbz szolgltatsokat a gpekre. Hardver felttelek: A Windows Server 2012 teleptshez a kvetkez minimlis hardver-feltteleknek kell megfelelnie a szervernknek: 64 bites CPU Processzor sebessg: 1.4 gigahertz 512 megabyte RAM 32 GB lemezterlet, ha a szerverben nincs tbb, mint 16 GB RAM
A Datacenter verziban tmogatott maximlis hardver: 640 logikai processzor 4 TB RAM 63 tagbl ll feladattvev frt
A telepts forrsa lehet DVD lemez, USB pendrive, hlzati megoszts vagy kzponti teleptsi kiszolgl (WDS), System Center hasznlata esetn pedig hasznlhatunk SCCM Zero Touch teleptst, vagy System Center Virtual Machine Manager (SCVMM) krnyezetben Virtulis gp sablonokat is.
17
Amennyiben DVD-rl teleptjk az opercis rendszert, a gpben kell, hogy legyen DVD olvas, ez virtulis krnyezetben tovbbi konfigurlst ignyel. A telept DVD-re nincs lehetsgnk frisstseket elhelyezni, s egyszerre csak egy gpre telepthetnk vele. Az USB alap telepts jelentsen gyorsabb, s Windows frisstseket, drivereket is el tudunk helyezni a teleptsi mdiumon. A szmtgpek jelents rsze kpes USB-rl bootolni. Az USB eszkzn elre elksztett vlaszfjlt is elhelyezhetnk, ezzel automatizlhatjuk a teleptst. Elksztshez szksgnk lesz a Windows USB DVD Download Tool-ra mely kicsomagolja az ISO vagy DVD tartalmt az USB eszkzre. A program letlthet a Microsoft Store-bl: http://www.microsoftstore.com/store/msstore/html/pbPage.Help_Win7_usbdvd_dwnTool Virtulis krnyezetben legegyszerbben ISO fjlbl tudunk telepteni, amennyiben a virtualizcis hoszton elrhet a telept ISO fjl. A Windows Deployment Services alap teleptsnl a szmtgp hlzatrl indul PXE protokoll segtsgvel, ilyenkor nincs szksgnk kln DVD lemezre vagy USB eszkzre, s akr egyszerre tbb gpre is telepthetnk opercis rendszert. Teleptsi opcik Az opercis rendszer teleptsekor a kvetkez mdszerek kzl vlaszthatunk Friss telepts: j opercis rendszer teleptse j lemezre. Ez a leggyakrabban hasznlt mdszer Frissts: a felhasznli dokumentumok, adatok s programok megtartsval, egy meglv opercis rendszer frisstse. A frisstsi alap lehet Windows Server 2003, R2, Windows 2008 vagy R2, de mindenkppen 64 bites verzi. Frissts nem lehetsges 32 bitrl 64 bitre illetve klnbz nyelvi verzira. A frissts a telept lemezen lv SETUP.EXE futtatsval indthat a meglv opercis rendszerrl. Migrci: meglv opercis rendszer tteleptse Windows Server 2012-re, j szmtgpre, a Windows Server Migration Tools segtsgvel. Ebben az esetben a belltsok s fjlok tkerlnek az j opercis rendszerre.
3.1
Telepts
Windows Server 2008 ta a telepts kt jl elklnthet rszre oszthat: telepts s testre szabs. Maga a teleptsi folyamat kizrlag partcionlst s fjlmsolst vgez. A telepts utn a szmtgpnv, IP cm, s minden egyb bellts megadsa a kezdeti konfigurcis varzslban trtnik. A Windows Server telept lemeznek kt legfontosabb llomnya a boot.wim s az install.wim. A Windows Server teleptse az n. boot.wim llomny betltsvel indul. Ez egy Windows PE alap grafikus rendszer, amely a megfelel hlzati s lemezkezel illesztprogramok betltse utn elindtja a teleptt. (ez a wim llomny bvthet tovbbi driverekkel, mkdsvel a WDS fejezetben fogunk rszletesen foglalkozni.) A terleti s billentyzet belltsok utn meg kell adnunk, milyen vltozatot szeretnnk telepteni: grafikus vagy Server Core felletet. Ez az elz Windows Server verzikkal ellenttben telepts utn is brmikor vltoztathat: a grafikus fellet egy ki-, s bekapcsolhat szol-
18
gltats, gy brmikor vlthatunk a kt fellet kztt, br ehhez szksgnk lesz a telept lemezre.
A teleptsnl vlaszthatunk a frissts s az egyni (j) telepts kzl. A frissts indtshoz azonban a teleptt a frisstend opercis rendszerbl kell futtatni, gy ennek a menpontnak itt nincs nagy jelentsge. Az j telepts kivlasztsa utn meg kell adnunk a lemezt vagy a felcsatolt VHD fjlt, ahov az opercis rendszert szeretnnk telepteni, utna pedig mr semmi dolgunk nincs, a telept megformzza a lemezt, kicsomagolja az install.wim llomnyt, generl egy vletlenszer nevet s biztonsgi azonostt (SID) a szmtgpnek, s belltja a hlzati krtyt DHCP kliensknt. Fontos, hogy a telepts kzben brmikor elhvhatjuk a parancssort a SHIFT-F10 billentykombinci segtsgvel, akr IP konfigurci lekrdezshez, akr lemezkezelshez a diskpart.exe segtsgvel. Telepts utni teendk A telepts utn a kiszolgl jraindul, majd grafikus verzinl bejelentkezs utn elindul az j kiszolglkezel. A helyi kiszolgl konfigurlst vlasztva elrhetjk kezdeti bellts kpernyt:
19
A kezdeti konfigurcis kpernyn a kvetkez belltsokat tudjuk elvgezni: (lehetleg ebben a sorrendben) IP cm(ek) megadsa Szmtgpnv Csatlakozs tartomnyhoz Idzna belltsa Automatikus frisstsek engedlyezse Szerepkrk s szolgltatsok teleptse Tvoli asztal engedlyezse Windows Tzfal belltsa
Nem elhanyagolhat, hogy itt tudjuk kikapcsolni az internet Explorer Fokozott Biztonsgi Funkciit (IE ESC) a rendszergazdk s a felhasznlk szmra, kizrlag ezen a gpen. IP cm belltsa Itt adhatjuk meg a klnbz hlzati krtyink nevt (pl. LAN, DMZ, stb.), az IPv4-es IP cmket, tjrt s DNS kiszolglt. Ha a gpet szeretnnk AD tartomnyba lptetni, az elsdleges DNS kiszolglnak mindenkppen valamelyik tartomnyvezrlt rdemes belltani. Az IPv4 cm megadsa trtnhet parancssorbl is:
Netsh interface ipv4 set address Local Area Connection static 10.1.1.1 255.0.0.0
NIC Teaming jdonsgknt jelenik meg a Windows Server 2012-ben a NIC Teaming, ami segtsgvel tbb hlzati krtyt tudunk sszefzni, ezzel nagyobb svszlessget s rendelkezsre llst tudunk elrni. A NIC Teaming hasznlathoz nem ktelez ugyanattl a gyrttl szrmaz hlzati krtykat hasznlnunk, de csak azonos sebessg krtykat hasznlhatunk. Amennyiben az egyik hlzati krtya elromlik, vagy megsznik a kapcsolata, a tbbi krtyn tovbb folyik az adattvitel. Ez a funkci klnsen hasznos, ha iSCSI rendszerrel dolgozunk, vagy ha tbb virtulis gpek futtatunk, s szeretnnk nagyobb svszlessget hasznlni.
20
Offline Domain Join Ez a funkci azoknak lehet hasznos, akiknek tbb telephelyk van, s a telephelyeken nem rendelkeznek folyamatos Internet-kapcsolattal. Ebben az esetben lehetsgnk van elkszteni egy szmtgp-fikot az Active Directoryban, majd a tvoli szmtgpet belptetni a tartomnyba kapcsolat nlkli mdban. Els lpsben el kell ksztennk a szmtgpfikot. A tartomnyvezrln, rendszergazdai jogosultsgokkal hozzunk ltre egy fjlt:
djoin.exe /provision /domain sztj.local /machine tavoligep /savefile c:\tavoligep.txt
Remote Management Itt engedlyezhetjk a kiszolgl tvoli kezelst Kiszolglkezelbl, WMI vagy PowerShell segtsgvel. Ha engedlyezzk, a kliens gpnkre teleptett Remote Server Administration Toolkit (RSAT) segtsgvel kzponti helyrl kezelhetjk az sszes kiszolglnkat, vagy akr kiszolglcsoportokat hozhatunk ltre a knnyebb kezelshez. Server Core A grafikus fellet nlkli verziban, a telepts utni els lpseket az sconfig.cmd program segtsgvel tudjuk elvgezni. A Server Core-ral a 22. fejezetben foglalkozunk rszletesebben.
GYAKORLATI FELADATSOR 1) Az n ltal hasznlt virtulis krnyezetben hozzon ltre egy j virtulis gpet DC1 nven. 2) Hardver paramterek: 1 CPU, 1GB RAM, 60GB HDD, 2 hlzati krtya 21
3) Indtsa el a Windows Server 2012 teleptjt 4) Vlassza ki a teleptsi nyelvet, billentyzet-kiosztst magyarra, amennyiben lehetsges 5) Teleptse a Windows Server 2012 (Server with a GUI) verzit 6) Vlassza az egyni teleptst 7) Hozzon ltre egy 40GB-os ktetet. 8) lltsa be a jelszt: Pa$$w0rd 9) A kiszolglkezelbl vlassza a helyi gp belltst 10) Nevezze t a szmtgpet DC1 nvre 11) lltsa be az idznt 12) Engedlyezze a NIC Teaming funkcit, adja hozz mindkt hlzati krtyt. 13) lltsa be az IP cmet: a) IP cm: 172.16.0.1 b) alhlzati maszk: 255.255.0.0. c) tjr: 172.16.0.254 d) DNS kiszolgl: 172.16.0.1,172.16.0.254 14) A szerepkrk kzl teleptse fel a DNS kiszolglt
3.2
A Windows Server 2012-ben, csakgy, mint a Windows Server 2008-ban, a kiszolgl a telepts utn fleg biztonsgi okokbl - semmilyen funkcit nem lt el. Az opercis rendszer teleptse utn a kezdeti konfigurcis varzslval tudjuk testre szabni a kiszolglnkat, gpnevet, IP-cmet s tartomny tagsgot lltani. A kezdeti belltsok utn pedig klnbz funkcikat telepthetnk, melyeket alapveten kt rszre oszthatunk: Szerepkrk Olyan funkcik gyjtemnye, ami hlzati szolgltatst nyjt a felhasznlk s szmtgpek szmra. pl. fjlkiszolgl, tartomnyi szolgltatsok, stb. A szerepkrk rendszerint tovbbi rsz-szerepkrket tartalmazhatnak. A Kiszolglkezel feltelepti a szerepkrhz szksges tovbbi funkcikat is. A 2012-es Kiszolglkezelvel egyszerre tbb kiszolglt is kezelhetnk, szerepkrnknt csoportostva. A szolgltatsokhoz szksges tzfal-szablyok automatikusan ltrejnnek azok teleptsekor. Akr PowerShellbl is telepthetnk az Add-WindowsFeatures parancs segtsgvel. Ez klnsen hasznos, ha Server Core verzin dolgozunk. Funkci
Szerepkr
Active Directory Tanstvnyok ltrehozsra, kezelsre hasznlhat. Certificate Services (AD CS)
22
AD DS
Tartomnyszolgltats a felhasznlk, szmtgpek s egyb hlzati objektumok kzponti kezelsre, hitelestsre s azonostsra. Federcis szolgltats webes egyszeri bejelentkezsre (SSO) s azonossgkezelsre. Egyszerstett cmtrszolgltats, ami nem tartalmaz jelszavakat s bizalmas informcikat, de felhasznlkat, csoportokat, e-mail cmeket igen, gy felhasznlhatjuk pl. telefonknyvknt vagy egyb eszkzkhz, ahol felhasznli adatokra van szksg. (hlzati scan, VoIP telefonkzpont, stb.)
AD FS
Active Directory RMS hzirendek segtsgvel vdhetjk a hlzaton lv dokumentuRights Management mainkat, szablyozhatjuk, kinek milyen hozzfrse legyen. (pl toServices (AD RMS) vbbklds, nyomtats, szerkeszts) Application Server Microsoft .NET Framework 4.5, s .NET Enterprise szolgltatsok kzponti kezelsre Kliens szmtgpek IP cm-kiosztsra. Nvfelolds TCP/IP hlzatokon. Faxok kldsre s fogadsra, faxok hlzaton keresztli kezelsre Storage Megosztott mappk, elosztott fjlrendszer s hlzati trol funkcik tmogatsa. Virtulis gpek futtatsra.
DHCP Server DNS Server Fax Server File and Services Hyper-V
Network Policy and Hitelestsi szolgltats tvelrsi gyfeleknek, tartalmazza a HRA s Access Services NAP szolgltatsokat. Print and Document Hlzati nyomtatk, scannerek s dokumentumok kzponti kezelse. Services Remote Access A DirectAccess funkcival folyamatos hlzati hozzfrst biztost az gyflgpeknek, melyek gy mindig elrhetek s menedzselhetek lesznek. Emellett tmogatja a VPN technolgikat s betrcszsi rendszereket.
Remote
23
Services (RDS) Volume Activation jdonsg a Windows Server 2012-ben, a mennyisgi licenc kulcsok Services kzponti kezelsre s aktivlsra szolgl. Segtsgvel a VLK kulcsos szmtgpeket AD alapokon, automatikusan aktivlhatjuk domain tagsg alapjn. Web Server (IIS) Windows DS A Windows Server 2012 webkiszolgl komponense Windows opercis rendszerek hlzaton keresztli kzponti teleptsre.
Szolgltatsok A szolgltatsok kiegszt funkcikat ltnak el a Windows Serveren, s ltalban nem nyjtanak hlzati szolgltatst a kliensek fel. Ilyen pldul a feladatfrt-tvevszolgltats, vagy a Windows Biztonsgi Ments. A szerepkrk fggsgei kztt szerepelhetnek bizonyos szolgltatsok, amelyeket a kiszolglkezel automatikusan feltelept. Nhny szolgltatst kiemeltnk, a teljessg ignye nlkl: Szolgltats Lers
Background Intelligent Httrben fut aszinkron letlts, akr Windows frisstsek letltTransfer Service (BITS) sre, akr BranchCache hasznlatra. Ha a felhasznl ppen hasznlja a hlzatot, a BITS szolgltats lelltja a httrbeli letltst Windows BitLocker Teljes lemez vagy ktet titkostsa Drive Encryption BitLocker unlock network Segtsgvel a BitLockerrel titkostott lemezeket tudjuk visszafejteni a tartomnyi gpeken, AD-ban trolt informcik segtsgvel.
Windows BranchCache Telephelyeken hasznlhat file-cache lehetsg, fjlok, Windows frisstsek letltsre Failover Clustering Magas rendelkezsre lls rendszereket pthetnk
24
Group Policy Manage- Vllalati csoporthzirend-szerkesztsi lehetsg ment IP Address Management j szolgltats a Windows Server 2012-ben, az IP cmek kzponti (IPAM) Server kezelst, adminisztrlst segti el Remote Server Felgyeleti konzol, segtsgvel tovbbi kiszolglkon fut szolAdministration Tools gltatsokat tudunk felgyelni Remote Procedure Call Bels RPC forgalmat csomagol HTTP(S) alagtba. (RPC) over HTTP Proxy Simple Mail Transfer Egyszer levlkldsi protokoll Protocol (SMTP) Server Telnet Client User Interfaces Infrastructure Telnet kliens program, alaprtelmezsben nincs felteleptve and Grafikus felhasznli fellet, a 2012-ben mr kikapcsolhat kpessg, gy menet kzben tudunk vltani GUI s core opercis rendszer kztt.
Windows Database
Internal Beptett SQL Express, amit csak a Windows szolgltatsok s a WSUS kiszolgl hasznlhat.
Windows Server Backup Biztonsgi ments s visszallts program Windows Server PowerShell parancsok gyjtemnye, amik segtenek szerepkrk, Migration Tools rendszerfjlok, adatok migrlsban, a Windows Server elz verziirl. PowerShell parancsok: Get-WindowsFeature: szerepkrk s szolgltatsok lekrdezse Install-WindowsFeature: szerepkr hozzads Remove-WindowsFeature: szerepkr eltvoltsa Get-WindowsFeature | Where-Object {$_.InstallState -eq Installed} teleptett szerepkrk lekrdezse Uninstall-WindowsFeature User-Interfaces-Infra grafikus fellet eltvoltsa
25
26
Kiszolglkezel
A Server Manager (Kiszolglkezel) szerepet tlthet be a kis- s kzpvllalatoknl, nagyobb szervezeteknl a Microsoft a System Center csaldot ajnlja. A Windows Server 2008 s a Windows 2008 R2-ben megjelent Server Managert a Microsoft teljesen jrarta s szmos zemelteti tevkenysget segt jdonsggal egsztette ki. Az elz Windows Server verziknl tbbnyire a loklis szerveren lv Server Managert hasznltuk, tvoli kiszolglknl krlmnyes volt csatlakoztats, amely azt jelentette, hogy engedlyezni kellett a tvoli kiszolglnl a Server Managert, majd ezutn tudtunk kapcsoldni a szerverhez. Ezen kvl egy idben csak egy gpre tudtunk csatlakozni.
A Windows Server 2012-nl jval knnyebb dolgunk van. A Server Managerrel egyszerre tbb kiszolglhoz csatlakozhatunk, a kiszolglkat csoportokba szervezhetjk s a tvoli Windows Server 2012-es szervereknl mr alaprtelmezetten be van kapcsolva a tvoli kapcsolds lehetsge. Lehetsgnk van arra is, hogy egy szerveren hasznlva az sszes ltalunk zemeltetett Windows Server opercis rendszer gpet menedzseljk, de arra is, hogy a Windows 8 munkallomsunkon a Remote Server Administation Tools-t teleptve kezeljk a szerverparkunkat, mivel az j RSAT is tartalmazza a Server Managert. Letlthet itt: http://www.microsoft.com/en-us/download/details.aspx?id=28972 Az j Server Manager-rel a kvetkez opercis rendszerekkel elltott gpekre csatlakozhatunk:
27
Funkcionalits Teljes
Windows Server 2012 with Minimal Server Graphical Teljes Interface Windows Server 2008 R2 Teljes, de szerepkrket s szolgltatsokat nem telepthetnk Teljes, de szerepkrket s szolgltatsokat nem telepthetnk Ersen korltozott, csak a szerverek bekapcsolt illetve lelltott llapott lthatjuk.
4.1
Telepts
Az j Server Managerrel a kvetkez opercis rendszer gpekrl kezelhetjk a kiszolglinkat: Windows Server 2012 Standard Windows Server 2012 Datacenter Windows Server 2012 with Minimal Server Interface (Graphical Management Tools and Infrastructure) Az j Windows Server Kiszolglkezel automatikusan elindul. Helyi illetve tvoli bejelentkezshez sem szksges engedlyezs, ha helyi rendszergazdk vagyunk a szerveren. Telepts s egyb konfigurci nem szksges. A kvetkez elfelttelek szksgesek ahhoz, hogy a Server Managerrel a Windows Server 2008-as s Windows Server 2008 R2 alap kiszolglkhoz csatlakozni tudjunk: Legfrissebb Service Pack-kel elltott kiszolglk .NET Framework 4.0 Letlthet: http://www.microsoft.com/en-us/download/details.aspx?id=17851 Windows Update segtsgvel tegyk fel a legfrissebb hozz kapcsold frisstseket is (jraindts szksges). Windows Management Framework 3.0 (jraindts szksges) Letlthet: http://www.microsoft.com/en-us/download/details.aspx?id=29939 A Windows Server 2012 egyelre nem tudja megjelenteni a Windows Server 2008 s a 2008R2-ben lv teljestmny adatokat. A kiszolgl mellett a kvetkez jelenik meg: Online cannot get performance counter data, ehhez kiadott a Microsoft egy javtst, ami letlthet itt: http://support.microsoft.com/kb/2682011 (jraindts szksges).
28
Ha a teleptsekkel megvagyunk, lpjnk be s indtsunk rendszergazdai jogosultsggal egy PowerShell-t, majd rjuk be a kvetkezt:
winrm quickconfig
A parancs belltja a WinRM-et tvoli elrsre s a hozz szksges porthoz felvesz egy tzfalszablyt.
A Windows Server 2003 R2 kiszolglkra nem szksges egyb komponenst telepteni, viszont itt ersen korltozott zemeltetsi lehetsgeink vannak.
4.2
A Windows Server 2012-be val belps utn automatikusan elindul a Server Manager. Tulajdonkppen ez az eszkz lesz az, amire kiszolglink felgyeletben legjobban fogunk tmaszkodni. Vgre megjelent egy olyan fellet, ahol az sszes szervernket tudjuk zemeltetni, elg egy jobb gombnyoms a kiszolgln mris elrhetv vlnak a legklnflbb zemeltetsi lehetsgek. Ezekhez hasonl megoldsok mr rgen elrhetk voltak a nagyvllalatoknak sznt System Center Operations Manager-ben, de most mr kisebb cgek is ignybe vehetik ezeket a funkcikat, s ehhez elg egy darab Windows Server 2012. Legelszr fel kell vennnk a kiszolglinkat, majd ezeket csoportosthatjuk is. Ennek a csoportostsnak csupn annyi jelentsge van, hogy egy adott kiszolglt vagy kiszolglkat knnyebben megtalljuk, ez tbb ezer szervernl mr elg hatsos lehet. De pldul ha felvesznk egy olyan gpet, amelyen van IIS (Internet Information Services), vagy a kiszolgl tartomnyvezrl, netn DNS vagy DHCP szerepkrkkel rendelkezik, akkor arra automatikusan ltrejn egy csoport, benne a kiszolgl. Tovbbi lehetsg a kiszolgl-rzkeny men, egy jobb klikk a gpre, s a szerver szerepkrnek megfelel parancsokat ltunk.
29
Csak annyit kell tennnk, hogy a Location-nl kijelljk a megfelel domaint (ha tbb van), majd a Find Now-ra kattintunk. Itt megtalljuk az sszes szervernket, azokat pedig, amelyeket szeretnnk felvenni, t kell tennnk a Selected terletre. A felvett kiszolglkat a Manage alatti Create Server Group segtsgvel csoportokba szervezhetjk, pl. opercis rendszer tpusonknt, ahogy az a kpen is ltszik.
Ha a kijellnk egy kiszolglt, akkor szmos informcit kapunk a Server Managerbl. Lthatk az esemnynaplban lv zenetek, a szolgltatsok llapota, a teljestmny adatok, a kiszolgln lv szerepkrk s szolgltatsok.
30
De ugyanitt felvehetnk illetve el is tvolthatunk szerepkrket s szolgltatsokat, nem szksges a bejelentkeznnk a teleptsre sznt kiszolglra, hiszen ugyanezt tvolrl is megtehetjk. Igen hasznos rsznek tekinthet mg a Dashboard rsz.
Ez egy gyors ttekints az infrastruktrnk egszsgi llapotrl. Itt mr indts utn lthatjuk, ha valamelyik kiszolglnkkal valami problma van. Ezeket a csoportokat, illetve benne lv klnbz ellenrzsi, mrsi pontokat piros sznnel jelzi a rendszer. Elg rkattintani a krdses rszekre mris bvebb informcit kapunk.
31
A tvoli kiszolgl adminisztrcija megoldhat PowerShell segtsgvel is. Kattintsunk a kvnt szerverre s az elugr menbl vlasszuk a PowerShell parancsot. Teleptsnk egy szerepkrt, ehhez nagy segtsget nyjthat a kvetkez parancs:
Get-WindowsFeature
Nevvel ellenttben a parancs felsorolja az sszes olyan szerepkrt s szolgltatst, amely teleptve van (Installed) s amely telepthet (Available, Removed). Ha szerepkrrel vagy/s szolgltatssal szeretnnk bvteni kiszolglnkat, akkor a listban lthat Name alatti mezben lv felsorols alapjn knnyen be tudjuk azonostani a pontos nevt. Ha tbb dolgot szeretnnk telepteni, azokat vesszvel elvlasztva soroljuk fel a parancs utn.
32
A parancs vgrehajtst mutatja a kperny tetejn elhelyezked folyamatjelz. Tovbbi hasznos parancsok a teljessg ignye nlkl: Process cmdlet-ek: Get-Process. Informcik a fut folyamatokrl Start-Process Folyamat indtsa Stop-Process Folyamat lelltsa
Event Log Cmdlet-ek: Get-Eventlog berva a napl nevt (pl. system, application, setup), kilistzza az esemnyeket. Clear-Eventlog berva a napl nevt (pl. system, application, setup) kitrli belle az esemnyeket. Limit-Eventlog Az esemnynapl mrett szablyozhatjuk ezzel. Show-Eventlog Grafikus fellet esemnynapl, pl. Server Core-nl hasznos lehet. A Server Managementbl elrhet PowerShell all gy is tudunk szerepkrket s szolgltatsokat telepteni, hogy a teleptend kiszolgl egy kikapcsolt virtulis gp. Ennek a kvetkez felttelei vannak: A teleptend gpnek Windows Server 2012-nek kell lennie. 33
A parancs szintaktikja:
Install-WindowsFeature -Name <feature_name> VHD <path> -ComputerName <computer_name> -Restart
Sok segtsget adhat a Windows 2012-ben megjelen j PowerShell ISE (Integrated Scripting Engine), amely szintn telepthet a fenti mdszerrel, mint szolgltats. Tallhat benne: Integrated Help Keress a PowerShell parancsok kztt, akr pr karakter bersa utn felajnlja a lehetsgeket a parancsok kzl. IntelliSense Tancsot ad a parancs teljes szintaktikjra vonatkozan.
4.3
Gyakorlati feladatsor
Windows Server 2008 s Windows Server 2008 R2 kiszolglinkat tegyk kpess arra, hogy a 2012-es Server Managerbl tudjuk ket felgyelni. 1) Vlasszunk egy tetszleges 2008 vagy 2008 R2 opercis rendszerrel elltott kiszolglt. 2) Telepetsk fel a telepts fejezet ltal rszletezett frisstseket illetve konfigurljuk a WinRM-et. 3) Vegyk fel a kiszolglt a Server Managerbe. 4) Futtassunk rajta Best Practice Analyzert. 5) Hozzunk ltre egy csoportot, nevezzk el s adjuk hozz a kiszolglt. 6) Ellenrizzk, hogy elindul-e a tvoli PowerShell. 7) Itt adjunk hozz a Telnet-Client szolgltatst.
34
Adattrols
A biztonsgos adattrols minden hlzati opercis rendszer egyik f feladata. A jelenlegi adattrak nincsenek megfelelen felksztve a nagymret adatok, vagy akr 10-20 terrabjtos partcik kezelsre. Az j Windows Server ebben a tmakrben is rengeteg kisebb-nagyobb vltozst hoz. Ebben a fejezetben a kvetkez technolgikat nzzk vgig: Multiterabjtos partcik Data deduplication Thin provisioning Storage Spaces iSCSI kiszolgl szerepkr Offloaded data transfer
5.1
Multiterabjtos partcik
Az elz Windows verzikban a tbb terrabjtos partcik kezelse meglehetsen krlmnyes volt. Ha prbltunk mr chkdsk-et futtatni egy nagyobb partcin, akkor tapasztaltuk, hogy a folyamat akr rkig is tarthat, mikzben az adott partci nem elrhet. A tovbbfejlesztett chkdsk viszont kpes a nagyobb mret partcikat rszenknt ellenrizni, mikzben a partci tbbi rsze on-line llapotban marad, gy elrhet a felhasznlk szmra.
5.2
Data deduplication
Az Exchange Server rgebbi verziiban ltezett egy Single Instance Storage nev szolgltats, ami az adatbzison bell kpes volt a dupliklt adatokat egyszeri fjltrolssal tcsoportostani, vagyis, ha egy e-mail tbb pldnyban szerepelt az adatbzisban, akkor egy levelet megtartott, a tbbit trlte, helykre pedig hivatkozsokat helyezett el, amelyek az eredeti levl helyre mutattak. A Windows Server 2012-ben bemutatkoz Data Deduplication szolgltats hasonl feladatot lt el a lemezeinken, persze nem csak fjl, hanem blokk szinten, gy pldul klnbz VHD fjlokban az azonos tartalmakat felismeri, s konszolidlja. Ez a funkci nagyon hasznos lehet akr egyszer fjlmegosztsokon is, de elengedhetetlen kellke a VHD knyvtraknak, a szoftverteleptsek disztribcis knyvtrainak, vagy a Windows kzponti tvteleptsi kiszolgl adattrnak.
35
A Data Deduplication szolgltats rsz-szerepkre a File and Storage management szerepkrnek, teleptst teht a Server Manager/File and Storage management/Add role service-nl tudjuk indtani:
A belltsok partcinknt rvnyeslnek, s a File and Storage Manager-ben, a Volume rsznl tudjuk ket belltani. Itt megadhat, hogy az 5 napnl rgebbi fjlokat kezdje ellenrizni, illetve, hogy milyen mappkat zrjon ki a folyamatbl.
5.3
Thin Provisioning
Ez a funkci a Hyper-V VHD formtumnl hasznlhat dinamikus mret VHD llomnyokra hasonlt, azzal a klnbsggel, hogy a fizikai gp kteteit tudjuk kezelni. A funkci lnyege, hogy amikor ltrehozunk egy partcit, az kizrlag a felhasznlt trterletet fogja
36
hasznlni a lemezen, a tbbi terlet kioszthat tovbbi partciknak. gy akr egy 500GB-os lemezen ltrehozhatunk tbb, 1-1 TB-os partcit is. Amikor a partcik elkezdenek betelni, tovbbi lemezeket adhatunk a mr meglv partcik al.
5.4
Az iSCSI szolgltats lehetv teszi, hogy kiszolglnk gy rje el egy msik kiszolgl lemezt, mintha helyi lemez lenne, teht nem SMB megosztson kereszl, hanem kzvetlenl SCSI parancsokkal, blokk-szinten. A storage-ban lv iSCSI meghajtk teht helyi lemeznek ltszdnak az iSCSI kliens gpeken. Ez nagyon hasznos olyan szolgltatsoknl, amelyek kizrlag helyi meghajtkra kpesek dolgozni (pl. Hyper-V, Exchange, SQL Server), de az adatainkat mgis egy kzponti adattroln szeretnnk elhelyezni. Az iSCSI trol hasznlathoz szksgnk lesz egy iSCSI kiszolglra, ami rsze a Windows Server 2012-nek, s egy iSCSI kezdemnyezre (initiator), ami mr rgta megtallhat a Windows rgebbi verziiban is. A rendszer fontos rsze a redundancia: lehetsgnk van tbbirny IP kapcsolat kiptsre a kiszolgl s a kezdemnyez kztt. Komponensek: IP hlzat: legalbb gigabites kapcsolat a vgpontok kztt. Hasznlhatjuk a NIC teaming funkcit a nagyobb sebessg s magas rendelkezsre lls elrshez. iSCSI Target: a troln fut szerepkr, hozzfrst biztost a lemezekhez. iSCSI initiator (kezdemnyez): szoftver-komponens vagy hardveres eszkz, amely kapcsolatot ltest az iSCSI targettel. Amennyiben hardveres eszkz, akr az opercis rendszer partcija is lehet iSCSI targeten, gy az alap kiszolglban egyltaln nincs merevlemez. iSCSI qualified name (IQN) egy egyni azonost, amely az iSCSI initiator-t s az iSCSI targeteket azonostja. A Windows Server 2012 File and Storage szerepkr rsze az iSCSI Storage Server. Teleptse utn lehetsgnk van iSCSI targetek ltrehozsra, iSCSI initiator hozzrendelsre, illetve tovbbi biztonsgi belltsokra, mint a CHAP hitelests belltsra, akr mindkt irnyba.
5.4.1
A lemezek elrse kritikus az alkalmazsaink s az opercis rendszer szmra, gy fontos, hogy iSCSI rendszernk magas rendelkezsre lls legyen. Els lpsben rdemes egy kln, szeparlt hlzatot kipteni az iSCSI forgalom szmra, illetve tovbbi funkcikat is hasznlhatunk: MCS: lehetsgvel tbb TCP/IP kapcsolatot pthetnk fel a kezdemnyez s a target kztt, s egy kapcsolat megszakadsakor a forgalom automatikusan tterheldik egy msik TCP/IP session-be. MPIO: multipath I/O, szlesebb krben elterjedt eljrs, ilyenkor a targetnket klnbz IP cmeken rjk el, tbb hlzati csatoln keresztl. Ha a target clhardver, szksgnk lesz tovbbi DSM-re (device specific module), de ha a Windows Server target servert hasznljuk, semmilyen tovbbi funkcira nincs szksg.
37
iSCSI rendszer kiptse A szerepkr teleptse utn ltre kell hoznunk iSCSI virtulis lemezeket:
Ezutn ltre kell hoznunk egy j iSCSI target-et, vagy csatolhatjuk a lemezt egy meglv iSCSI targethez. Ezt kveten meg kell adnunk, hogy melyik initiator frhet hozz a targethez. Megadhatunk IQN nevet vagy akr IP cmet is.
Vgl megadhatunk hitelestsi adatokat, mindkt irnyba, akr az initiator, akr a target azonostshoz (CHAP).
38
Miutn ltrehoztuk az iSCSI lemeznket, s a target-et is belltottuk, a kliens oldalon csatlakozni kell a lemezhez. A csatlakozsnl elg a kiszolgl IP cmt megadni, az IQN nevet automatikusan feloldja: Ha mindent jl csinltunk, vgl az j lemez megjelenik a helyi gp lemezkezeljben, mint helyi lemez. Ezutn az initiatornl lehetsgnk van tovbbi IP cmeket megadni az MPIO vagy az MCS kiptshez.
5.5
Storage Spaces
A Windows Server 2012-ben megjelen j Storage Spaces szolgltats lehetv teszi, hogy kiszolglnkat SAN eszkzknt hasznljuk, legalbbis a klnbz lemezeket egy egysgknt (pool) kpes kezelni, s az opercis rendszer fel egy lemezknt megjelenteni. A szolgltats egyfajta lemez-virtualizci, melynek segtsgvel egy egysgknt kezelhetjk klnbz lemezeinket. Felptse: Disk drive: ez a ktet, amit az opercis rendszer elr valamilyen meghajt betjellel.
39
Virtual Disk: ez az eszkz reprezentlja a lemezt az opercis rendszernek, de szemben a fizikai lemezzel, ez menet kzben bvthet, tkrzhet, illetve egyb hibatr megoldssal vdhet. Ltrehozsakor vlaszthatjuk a thin provisioning eljrst is. Storage Pool: fizikai lemezek gyjtemnye, akr helyileg, akr iSCSI-n csatolt lemezekbl ll, ebbl hozhatunk ltre virtual disk-et. Physical Disk: SAS, SATA, iSCSI vagy egyb felleten csatlakoztatott lemez. Legalbb egy lemez kell storage pool ltrehozshoz, kett a RAID1 virtual disk ltrehozshoz, illetve legalbb 3 RAID5-hz. A SATA, SCSI vagy USB-s lemezeket nem hasznlhatjuk failover cluster kialaktshoz, csak olyan csatolfelleteket, amelyek lehetv tesznek tbb egyidej kapcsolatot (pl. SAS, iSCSI)
Storage Space ltrehozsakor klnbz elrendezs kzl vlaszthatunk: Simple volume: egy vagy tbb fizikai lemezbl ll egyszer ktet, ami az adatokat egyszerre tbb lemezen trolja, gy biztostva gyorsabb elrst. Nem hibatr, fontos adatainkat ne troljuk ilyen lemezen. Two-way vagy three-way mirror: az adatokat tkrzve trolja 2 vagy 3 lemezen, illetve cskozni is kpes tbb lemez kztt. Parity: RAID5 ktet, legalbb 3 lemez hasznlatval.
5.6
Az ODX kifejezetten nagyvllalalati krnyezetben, storage hasznlatakor rdekes. Hasznlatval gy tudunk fjlokat, adatbzisokat, virtulis gpeket mozgatni kiszolglk kztt, hogy az adat fizikailag nem megy t a hlzaton, hanem a storage-en bell kpes mozogni, ezzel sokkal nagyobb sebessget tudunk elrni, s nem terheli a kiszolgl CPU-t s memrit.
40
Fjlszolgltatsok
Az adatok s erforrsok megosztsa a legalapvetbb feladat brmely hlzat esetn. A Windows Server 2012 tovbbi szolgltatsokat is nyjt az alapvet megosztsi s NTFS jogosultsgokon fell, pldul az rnykmsolat szolgltatst, a kapcsolat nlkli fjlok, vagy a jogosultsg alap hozzfrs-vezrls. Ebben a fejezetben a kvetkez szolgltatsokat nzzk vgig: NTFS jogosultsgok Megosztsi jogok Kapcsolat nlkli fjlok rnykmsolatok Kvtzs
6.1
Az NTFS fjlrendszer
Az NTFS fjlrendszer a Windows NT 3.1 ta alapkve a kiszolgl opercis rendszereknek. Rengeteg beptett szolgltatst tartalmaz, mint a jogosultsg-kezels, a kvtzs, a titkostsi s tmrtsi lehetsgek, amelyek segtsgvel biztonsgban tudhatjuk adatainkat. Ezek a funkcik a kvetkezk: NTFS jogosultsgok fjlokhoz s mappkhoz Tmrts rnykmsolat Titkosts (EFS) Kvtakezels Adat deduplikci 16TB-os fjl- s partci korlt Partci tmretezhetsg
Az NTFS jogosultsgok kezelsvel kzvetlen engedlyeket definilhatunk fjlokhoz s mappkhoz. Ezek a jogosultsgok mindenkppen rvenyesek, akr helyileg, akr hlzaton keresztl, vagy pl. FTP protokoll segtsgvel rjk el azokat. Az NTFS jogosultsgok f tulajdonsgai: A jogosultsgok kzvetlenl megadhatk fjlokra, mappkra, vagy fjlcsoportokra. A jogok kiadhatk felhasznlknak, csoportoknak, vagy akr szmtgpeknek is. Engedlyt s megtagadst adhatunk a fjlokra. A megtagads mindig ersebb lesz, mint az engedly. Az NTFS jogosultsgok rkldnek, gy amikor egy mappra belltunk egyni jogosultsgokat, a mappban ksbb ltrehozott fjlok s mappk a szlmappa jogait rklik.
41
6.1.1
Kioszthat jogosultsgok
Az NTFS fjlrendszerben a kvetkez, n. standard hozzfrsi jogosultsgokat tudjuk kiosztani: Engedly Teljes hozzfrs Lers A felhasznl minden jogosultsgot megkap a fjlokra s mappkra, illetve engedlyeket is llthat. A felhasznl rs, olvass, trls s ltrehozs jogosultsgot kap. Fjlok olvassa, program futtatsa. Mappk megnyitsa, dokumentumok olvassa. Fjl rsa
Mappa tartalmnak lis- Csak mappra llthat, a felhasznl ltja a mappban lv fjlokat, tzsa de nem tudja megnyitni azokat. Nhny fontos dolog az NTFS jogok belltsnl: Ha egy mappra rklt, s kzvetlen (explicit) jogosultsg is rvnyes, akkor a kzvetlen jogok ersebbek lesznek Ha egy felhasznl egyszerre kap engedlyt s tiltst az adott objektumra, a tilts mindig ersebb lesz (azonos szinten)
A kett sszegezve: egy felhasznl kaphat rklt s kzvetlen endeglyeket s megtagadsokat is. Ebben az esetben a sorrend: Kzvetlen tilts Kzvetlen engedly rklt tilts rklt engedly
6.1.2
rklds
Az NTFS jogok alaprtelmezsknt rkldnek, teht amikor ltrehozunk egy j fjlt vagy mappt, akkor az a szlmappa jogait rkli. Ezt az rkldst blokkolhatjuk, ilyenkor az objektum egyni (explicit) jogosultsgokat kap. Az rklds blokkolsakor kivlaszthatjuk, hogy le szeretnnk-e msolni a szlmappa jogait, vagy trlni szeretnnk azokat, s attl teljesen eltr jogokat szeretnnk definilni.
42
Arra is lehetsgnk van, hogy egy szlmappban visszalltsuk az sszes almappa s fjl jogosultsgait rklt jogokra, gy az egyni jogosultsgok elvesznek. Ezt az brn lthat Replace all child object permission opcival tudjuk elrni.
6.1.3
Megosztsi engedlyek
Amikor a fjlkiszolgln megosztunk egy mappt, az erforrss vlik. Ezeket az erforrsokat tudjk a felhasznlk elrni a hlzaton, s rendszergazdaknt az erforrsoknak kln megosztsi engedlyeket tudunk lltani. Ez egy plusz lpcs az NTFS jogosultsgok mellett, egyfajta fkapcsolknt rdemes tekinteni: a globlis jogosultsgokat lltjuk megosztsi szinten, a specilis, egyni jogosultsgokat pedig az NTFS-ben. A megosztott erforrsokat n. UNC nvvel tudjuk elrni: \\kiszolgl\erforrs\mappanv\fjlnv Pl: \\server\kzs\kpek\logo.jpg Megosztsokat ltrehozni a Windows Server 2012-ben tbbflekppen is tudunk: A File and Storage Services programban Az intz megoszts gyorsmenjvel (mappa/jobb klikk/megoszts) parancssorbl a netsh vagy a net share parancsok segtsgvel A mappa tulajdonsgain a megoszts fln a specilis megosztsra klikkelve
43
6.1.4
Felgyeleti megosztsok
A Windows Server 2012 automatikusan megosztja az sszes merevlemezes partcit rejtett megosztsknt, amihez kizrlag a rendszergazdk frhetnek hozz. Pldul a SERVER nev szmtgp C: meghajtjhoz a \\server\c$ UNC elrsi ton frhetnk hozz. Rejtett megosztsokat mi is ltrehozhatunk, ha a mappa megosztsi nevnek vgre egy $ jelet tesznk, gy a megoszts nem tallzhat megosztss vlik.
6.1.5
Megosztsi jogosultsgok
A legfontosabb tudnival, hogy a megosztsi jogok kizrlag akkor rvnyesek, ha az adott mappt hlzaton keresztl rjk el. Amennyiben a mappt a felhasznlk helyileg is elrik, akkor NTFS engedlyeket kell hasznlnunk. Megosztsi jogosultsgot adhatunk felhasznlkra, csoportokra s szmtgpekre, de megosztani csak mappt tudunk, egyni fjlokat nem, gy megosztsi jog is csak mappnknt llthat. A kvetkez jogokat hasznlhatjuk: Megosztsi jog Olvass Lers A felhasznlk megnzhetik a mappkat s a fjlokat, programokat tudnak futtatni, le tudjk msolni a tartalmt, s a fjlok tulajdonsgait is megnzhetik. A felhasznlk ltrehozhatnak, mdosthatnak s trlhetnek mappkat s fjlokat. A fenti engedlyeken kvl jogosultsgot is mdosthatnak fjlokon s mappkon. Ezt a jogosultsgot ltalban csak rendszergazdknak javasolt kiadni.
Mdosts
Teljes hozzfrs
6.1.6
Effektv jogosultsgok
Engedlyeket teht megosztsi s NTFS szinten is llthatunk, illetve mindkt szinten egy felhasznl tbb jogosultsggal is rendelkezhet, attl fggen, milyen csoportoknak a tagja. Ha azonos szinten (pl. csak megosztsnl) tbb jogot is definilunk, akkor mindig a nagyobb jog rvnyesl. Teht ha Gipsz Jakab, aki az alkalmazottak csoport tagja, egynileg olvass jogot kap, az alkalmazottak csoport pedig mdosts jogot, akkor a nagyobb jog, a mdosts rvnyesl. Ugyanez igaz az NTFS jogosultsgoknl is. Azonban, ha megosztsi s NTFS szinten is definilunk jogot, akkor az effektv jog a kt jogosultsg metszete lesz, vagyis mindig a kisebb jog rvnyesl. Ezrt a javasolt bellts, hogy megosztsi szinten adjuk ki a mappaszerkezetben brhol hasznland legnagyobb jogosultsgot, s NTFS szinten szktsk a felhasznlk hozzfrst az egyni mappkhoz vagy fjlokhoz.
44
Access-based Enumeration (Hozzfrs-alap vezrls) Az ABE lehetsget ad arra, hogy a felhasznlk ell elrejtsk azokat a mappkat, amikhez nincs hozzfrsk, ezzel egyszersthetjk a munkt, biztonsgosabb tesszk rendszernket, s megsprolunk nhny helpdesk hvst. Az ABE megosztsonknt kln definilhat, a Server Manager File and Storage Services menjben:
6.1.7
A megosztsokra llthatunk kapcsolat nlkli elrst is, gy a felhasznlk akkor is elrhetik a megosztott mappk tartalmait, ha nincsenek kapcsolatban a kiszolglval, s a kvetkez kapcsoldskor a kliens gp szinkronizlja a vltozsokat a kiszolglval. Ehhez a megosztsnl engedlyezni kell a cache hasznlatt, illetve a kliens gpeken (Windows XP-tl felfel) engedlyezni kell a kapcsolat nlkli fjlok hasznlatt. A Windows 2012-ben lehetsgnk van arra is, hogy a felhasznlk folyamatosan off-line mdban dolgozzanak, mg akkor is, ha ppen hozzfrnek a kiszolglhoz, s csak a szinkronizlsi temezs szerint fogjk a mdostsaikat felmenteni a serverre. Ezt a belltst csoporthzirendbl tudjuk kiknyszerteni, a felhasznl belltsai/felgyeleti sablonok/hlzat rsznl.
6.1.8
rnykmsolatok
Az rnykmsolat szolgltats beptett rsze az NTFS fjlrendszernek, hasznlatval a fjljaink s mappink elz verziit tudjuk visszalltani, nem csak rendszergazdaknt, hanem akr egyszer felhasznli jogosultsggal is. Hasznlatval cskkenthetjk a mentsbl trtn visszalltsok gyakorisgt.
45
Az rnykmsolatokat partcinknt tudjuk belltani, Windows intzbl, a Configure Shadow Copies menpontban:
Konfigurlsakor megadhatjuk, hogy melyik lemezen troljuk a fjlok elz verziit, az rnykmsolatok ksztsnek idpontjt, illetve a maximlisan felhasznlhat lemezterletet. Alaprtelmezsknt a rendszer minden nap reggel 7-kor s dlben kszt mentst a mdosult fjljainkrl, illetve a ktet 10%-t hasznlja fel rnykmsolatok trolsra:
46
6.1.9
Az rnykmsolatok mkdse
Az rnykmsolat szolgltats teht naponta ktszer kszt ments a fjljainkrl, s annyi elz verzit trol, amennyi elfr a fenntartott 10%-os lemezterleten. Ha a fenntartott terlet megtelik, a legrgebbi rnykmsolatokat automatikusan trli. Mivel az les adatok s az rnykmsolat ugyanazon a lemezen helyezkedik el, ez a megolds nem vltja ki a rendszeres biztonsgi ments hasznlatt.
47
Itt lthatjuk a fjlok korbbi mentseit, lehetsgnk van egy adott mappt megnyitni, egy rgebbi idpontbli tartalommal, a mappa rgebbi llapott lementeni egy msik helyre (msols), illetve fellrni az aktulis verzit a rgebbi llapottal (visszallts). Ha egy trlt fjlt vagy mappt szeretnnk visszalltani, akkor a szlmappa tulajdonsgait kell megnyitnunk, illetve ennek a mappnak a korbbi llapott kell visszalltanunk. A visszalltskor figyelnnk kell arra, hogy az rnykmsolat ksztse ta ltrejtt vagy mdosult fjlok trlsre kerlnek.
6.1.11 Kvtzs
Az NTFS fjlrendszerben lehetsgnk van korltozni a felhasznlk ltal hasznlhat lemezterletet. A korltozsra kt lehetsgnk van: partcinknt kvtzhatunk a lemezkvtk hasznlatval, vagy mappnknt a fjlkiszolgli erforrs-kezel segtsgvel. Az egyszer kvtzs teht csak teljes partcikra rvnyes, s a partcin lv sszes mappra rvnyes, fggetlenl attl, hogy a fjlok hol helyezkednek el. A felhasznlk ltal ltrehozott s felmsolt, vagyis az tulajdonukban lv fjlok szmtanak bele a kvtjukba.
48
Bekapcsolni teht partcinknt, a Windows Intzbl tudjuk. Megadhatunk n. soft quota-t, ilyenkor a rendszer csak figyelmezteti a rendszergazdt, hogy bizonyos felhasznlk tl sok trterletet hasznlnak, illetve megadhatunk hard quota-t is, ilyenkor a rendszer tnylegesen korltozza a felhasznlk lemezterlett. Engedlyezskor meg kell mg adnunk egy alaprtelmezett kvtt, ami a mr meglv felhasznlkra, s a meghajtt ksbb hasznl felhasznlkra is rvnyes lesz, illetve a quota entries rsznl egyni kvtartkeket definilhatunk. Ez az egyni rtk pozitv s negatv irnyban is eltrhet az alaprtelmezett kvttl.
SMB titkosts hasznlatval titkostott csatornt hozhatunk ltre a fjlkiszolgl s a kliens kztt, gy nem kell IPSec titkostst hasznlunk. Megosztsonknt engedlyezhet, vagy akr az egsz fjlkiszolglra. Az SMB multichannel sszekapcsol tbb SMB csatornt, akr tbb hlzati krtyn keresztl, gy nagyobb svszlessget tudunk elrni, s nincs szksgnk MPIO vagy MCS konfigurlsra:
49
Az SMB multichannel alaprtelmezsknt engedlyezve van a Windows Server 2012 kiszolgln, PowerShellbl tudjuk kikapcsolni:
Set-SmbServerConfiguration -EnableMultiChannel $false
Az SMB multichannel elnyei: nagyobb svszlessg tbb hlzati csatol sszefzsvel hibatrs: egy kapcsolat megszakadsakor a forgalmat automatikusan tterheli a maradk kapcsolatra Automatikus konfigurci: a szerver az j hlzati kapcsolatokat automatikusan elkezdi hasznlni. Tbb TCP csatornt hasznlva a terhelst tbb CPU-ra sztoszthatjuk. Az SMB sklzhatsg segtsgvel ltrehozhatunk frtztt fjlmegosztst tbb kiszolgln, ahol a terhelst aktv-aktv mdon sztosztjuk a szerverek kztt, gy nagyobb teljestmnyt, s hibatrst rnk el. A tbb kiszolgls megosztssal a szerverek karbantartsa alatt is elrhetek a megosztsaink.
50
7
7.1
Active Directory
Active Directory jdonsgok
Az albbiakban sszefoglaljuk a Windows Server 2012 Active Directory fbb jdonsgait. Funkci Telepts Fejleszts A Server Managerbl immr elrhet az AD DS szerepkri telepts nem csak a helyi, hanem tvoli gpre is. A teleptst megtehetjk PowerShell all is. A Windows Server 2012 az AD DS teleptsekor egy Prerequisite checket vgez, amelyben feltrkpezi a jelenlegi Active Directory infrastruktrt. Egyszer nisztrci admi- Konfigurls s adminisztrci a Server Manager konzolban: Grafikus fellet Active Directory Lomtr Grafikus fellet Password management Group policy egszsgi llapotfelmrs AD DS specifikus teljestmnymonitorozs s Best Practice analyzer Server Managerbl elrhet AD adminisztrcis eszkzk Virtualizlt tarto- Tartomnyvezrl klnozs az Automated Deployment and Rollback mnyvezrlk Protection segtsgvel. tmogatsa Tartomnyvezrl visszallts snapshotbl problmamentesen Active Directory j PowerShell parancsok a replikcis topolgihoz, Dynamic Access Module for Win- Controlhoz s egyb tevkenysgekhez. Nincs szksg DCPromo-ra az dows PowerShell Active Directory kialaktshoz, mindezt PowerShell all az j cmdlet-ek segtsgvel knyelmesen s egyszeren megtehetjk. Windows PowerShell History Viewer Ha kezdk vagyunk PowerShellben, rvid id alatt el tudjuk sajttani az Active Directory Administrative Centerben, ahol lthatk, milyen PowerShell parancsok hajtdnak vgre.
Active Directory Az AD FS Service szerepkrt tartalmazza a Windows Server 2012, amely Federated elengedhetetlenl szksges felh alap hibrid teleptsekhez. Services (AD FS)
51
7.2
Az Active Directory teleptst ngyfle mdszer alapjn tudunk elvgezni: Server Managerbl, grafikus fellet varzslkkal Server Managerbl, Powershell alapon Unattend teleptssel (DCPromo) Virtulis tartomnyvezrl klnozsval
7.3
Ellenrz lpsek
A telepts eltt ellenrizend lpsek: a kiszolgln Windows Server 2012 alapteleptst elvgeztk a kiszolgl rendszerpartcija NTFS partci a TCP/IP protokollt teleptettk s megfelelen belltottuk; a hlzati kapcsolat kifogstalanul mkdik mr van egy tartomnyvezrlnk, az elrhet, a szksges DNS-szolgltatsok hozzfrhetk s a DNS nvfelolds kifogstalanul mkdik megfelel jogosultsgokkal rendelkeznk a telepts vgrehajtshoz.
7.4
A Server Managerbl kivlasztjuk azt a kiszolglt amelyre Active Directory Domain Services (ADDS) szerepkrt szeretnnk telepteni, lehet a helyi gp vagy brmelyik tvoli kiszolgl. Majd navigljunk az adott kiszolgl Roles and Features rszre, s a Task-ban vlasszuk az Add Roles and Features lehetsget, aztn a megjelen varzslban vlasszuk ki a kvetkez szerepkrket.
52
A belltsokat kveten jra kell indtanunk a kiszolglnkat. Majd a bejelentkezs utn a Server Manager zszls Notifications rsznl a kvetkezt lthatjuk:
Nyomjunk a Post-deployment Configuration-re, lltsuk be az AD DS-t a kiszolgln. Az els kpernyn el kell dntennk az Active Directory telepts mdjt: hozzadjuk a kiszolglt egy meglv tartomnyhoz hozzadunk egy j tartomnyt egy mr meglv erdhz egy j erdt teleptnk.
53
(Jelen pldban a msodik lehetsget vlasztjuk.) Majd meg kell adnunk a tartomny nevt. Ezutn meg kell adnunk az AD erd s tartomnyi szint funkcionalitst, illetve az Active Directory visszalltsnak jelszavt.
A kvetkez kpernynl rjuk be a tartomnyunk NETBIOS nevt. lltsuk be az adatbzis, a napl fjlok s a SYSVOL llomnyok helyt. A Prequisites Check jdonsg a Windows Server 2012-ben, itt mg telepts eltt felsorolja az sszes problmt, ajnlst, amelyet az tvizsgls sorn tallt. Ha minden rendben, indthatjuk a teleptst.
7.5
Indtsuk el az egyik kiszolglnkon a Server Managert s vlasszuk ki a tartomnyvezrl szerepkrrel felruhzand kiszolglt s indtsuk el a PowerShellt. A kiszolglnk felvtele egy mr meglv tartomnyba:
Install-ADDSDomainController Credential (get-credential domain2012.local\Administrator) -CreateDNSDelegation DomainName domain2012.local DatabasePath "c:\NTDS" SYSVOLPath "c:\SYSVOL" LogPath "c:\Logs"
54
j Forest ltrehozsa:
Install-ADDSForest [-SkipPreChecks] DomainName <string> SafeModeAdministratorPassword <SecureString> [CreateDNSDelegation] [-DatabasePath <string>] [DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-DomainNetBIOSName <string>] [-ForestMode <ForestMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-InstallDNS] [LogPath <string>] [-NoRebootOnCompletion] [-SkipAutoConfigureDNS] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>] Install-ADDSForest DomainName domain2012.local CreateDNSDelegation DomainMode Win2008R2 ForestMode Win2008R2 DatabasePath "c:\NTDS" SYSVOLPath "c:\SYSVOL" LogPath "c:\Logs"
j gyerektartomny ltrehozsa:
Install-ADDSDomain [-SkipPreChecks] NewDomainName <string> ParentDomainName <string> -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [AllowDomainReinstall] [-CreateDNSDelegation] [-Credential <PS Credential>] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [DomainType <DomainType> {Child Domain | TreeDomain} [-InstallDNS] [-LogPath <string>] [-NoGlobalCatalog] [-NewDomainNetBIOSName <string>] [NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-Systemkey <SecureString>] [SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
55
7.6
A Server Core idelis eszkz az Active Directory teleptsre, egyrszt kevesebb szervizt futtat, ezltal kevesebb erforrst s biztonsgi frisstst ignyel. Br az adminisztratv eszkzket kzvetlenl nem rjk el a kiszolgln, viszont egy vele egy tartomnyban lv gp Server Managerbl igen. Lpjnk be Local Administratorknt a mr ltrehozott Server Core-ra, amelyen sconfig-al mr belltottuk a nevt, domain tagsgt, hlzati belltsait. Adjuk ki a kvetkez parancsot:
dcpromo.exe /adv
A telepts befejeztvel ltre kell hoznunk egy unattend.txt nev fjlt, amely tartalmazza a teleptsre vonatkoz informcikat. A teleptsi belltsokat a kvetkez paranccsal tudjuk kilistzni.
dcpromo.exe /?Promotion > promotion.txt
Mivel elg sok teleptsi kapcsol ltezik, ezrt fenti parancs egy txt fjlba exportlja a kapcsolkat a knnyebb ttekinthetsg kedvrt. Nyissunk meg egy res unattend.txt fjlt a notepad.exe-vel, s a fenti kapcsolk segtsgvel rjuk bele a teleptsi vlaszainkat, pldul a kvetkezt:
[DCInstall] SafeModeAdminPassword=Passw0rd ReplicaOrNewDomain=Replica ReplicaDomainDNSName=domain2012.local InstallDNS=Yes ConfirmGC=Yes DomainLevel=4 UserName=Administrator UserDomain=Domain2012.local Password=Passw0rd
56
7.7
Lpjnk be a Windows Server 2008 R2 opercis rendszer tartomnyvezrlnkre, miutn eldntttk, hogy frisstjk Windows Server 2012-re. Menjnk a telept mdia Support\Adprep knyvtrba s futtassuk a kvetkez parancsokat:
adprep /forestprep adprep /domainprep
Az in-place upgrade a schema s tartomnyelksztst nem teszi meg. Ezutn indthatjuk az opercis rendszer frisstst. Tegyk be a telept mdit s indtsuk el a teleptt, majd nyomjunk egy Install Now-t. A Get important updates for Windows Setup rsznl engedlyezzk, hogy a legfrissebb frisstseket teleptse. Vlasszuk ki, hogy a Windows Server 2012 melyik verzijt szeretnnk telepteni. Az Installci tpusnl vlasszuk az Upgrade lehetsget. Compatibility Report rsznl a telept tvizsglja a kiszolglt. Ellenrzi a rendelkezsre ll trhelyet s a hardvereszkzket. Next-re kattintva elindul a telepts.
Br maga az inplace upgrade egy egyszer folyamat, a Microsoft ennek ellenre a friss teleptst ajnlja.
7.8
Tartomnyvezrl klnozs
Knnyen ltrehozhat j tartomnyvezrl a Windows 2012-ben beptett klnozsos technikval. Mindennek alapvet felttele, hogy a klnozand tartomnyvezrl virtulis gp legyen. Tovbbi felttelek: A PDC Emultor szerepkr Windows Server 2012 alatt fusson. A klnozand tartomnyvezrl tagja legyen a Cloneable Domain Controller csoportnak. Nem klnozhat, nem kompatibilis alkalmazsok ne legyenek rajta.
Legelszr adjuk hozz a klnozand tartomnyvezrlnket a Cloneable Domain Controller csoporthoz az Active Directory Administrative Center-ben. Jobb gomb a pl. DC03-ra, Add to group. Mindez PowerShell all:
Add-ADGroupMember Identity "CN=Cloneable Domain Controllers,CN=Users, DC=domain2012,DC=local" Member "CN=DC03,OU=Domain Controllers,DC=domain2012,DC=local"
57
Azonostsuk azokat az alkalmazsokat s szerepkrket, amelyeknek a klnozsa nem tmogatott. Nem klnozhat szerepkrk: Dynamic Host Configuration Protocol (DHCP) Active Directory Certificate Services (AD CS) Active Directory Lightweight Directory Services (AD LDS)
A parancs felsorolja azokat az alkalmazsokat s szerepkrket, amelyek klnozsa nem tmogatott. Amennyiben a parancs hatsra a No excluded applications were detected jelenik meg, akkor a klnozs tmogatott a tartomnyvezrln, ellenkez esetben a felsorolt alkalmazsokat, illetve szerepkrket tvoltsuk el, vagy az adott tartomnyvezrlt ne klnozzuk. Konfigurljuk a jvbeni tartomnyvezrlnket:
Majd importljuk az adott Hyper-V kiszolglra vagy akr egy msikra: PowerShellbl:
$path = Get-ChildItem "C:\CloneDCs\DC03\DC03\Virtual Machines" $vm = Import-VM Path $path.fullname Copy -GenerateNewId Rename-VM $vm DC04
58
Fontos, hogy az importnl a DC-nek j egyedi azonostja legyen. Amennyiben az import sikeresen befejezdtt, indtsuk el mindkt tartomnyvezrlt (DC03 s az j DC04).
Start-VM Name DC03 ComputerName HyperV1 Start-VM Name DC04 ComputerName HyperV1
A DC04 indulsa utn megkezddik az XML beolvassa s az annak megfelel konfigurls. 100 % elrse utn a virtulis gpnk jraindul.
59
7.9
DNS belltsa
A DNS nvfelolds helyes mkdse alapveten befolysolja az Active Directory mkdst. A kliensek a DNS-tl kapjk meg, hogy mely szmtgpek a tartomnyvezrlk, s a tartomnyvezrlk a DNS-ben trolt informcik alapjn tallnak replikcis partnereket. Az Active Directory ltal belltott DNS mr hasznlatra ksz, minimlis konfigurci mg szksges lehet (mint pl. reverse lookup zone felvtele, esetleges conditional forwarders belltsa). A tartomnyvezrlk DNS belltsa Active Directory integrlt, ami azt jelenti, hogy a DNS adatok az AD-ban troldnak. A DNS adatok konzisztencijnak biztostsa a Dynamic Updates feladata. A domain2012.local zna tulajdonsgaiban ezeket lthatjuk:
60
Vegynk fel a domain2012.local Forward Lookup Zone-hoz egy Reverse Lookup Zone-t, majd adjuk hozz az sszes DNS szerepkrrel rendelkez tartomnyvezrlnket.
Ajnlott belltsok a DNS-re vonatkozan: Legalbb kt tartomnyvezrlnk legyen. Minden tartomnyvezrl legyen DNS kiszolgl is egyben. A tartomnyvezrlk sajt maguk DNS kliensei, msodlagos DNS-knt pedig egy msik tartomnyvezrl kerljn megadsra. A DNS rendszer Active Directoryba integrlt znk formjban valsuljon meg. Az Active Directory-ba integrlt znknak ksznheten nem kell kln zna-transzfer belltsokkal foglalkozni. Minden DNS szerveren tartsuk meg a root hints belltsokat.
61
7.10
DHCP belltsa
A DHCP szolgltats segtsgvel lehetv vlik a TCP/IP cmek s belltsok dinamikus kiosztsa. A munkallomsok szmra kioszthat IP cmeket hatrozunk meg, amelyeknek a brleti ideje alapbelltsban 8 nap. A brleti id utn a DHCP szerver j IP cmet oszt a munkallomsnak. Szerverek esetn vagy statikus IP cmet adunk meg, s nem hasznljuk a DHCP szolgltatst, vagy pedig a DHCP szerver Reservations opcijt alkalmazzuk, amely azt jelenti, hogy az IP cmet hozzktjk a kiszolgl MAC cmhez, ezltal ez a cm mr nem kerl kiosztsra, s a kiszolglhoz rendeldik. A DHCP konfigurcijhoz elszr egy DHCP Scope-ot kell felvennnk:
62
Mindezek utn meg kell adnunk az alaprtelmezett tjrt, majd a DNS kiszolglkat:
63
A Server Options-nl be kell lltanunk azokat az informcikat, amelyeket ki szeretnnk kldeni a klienseknek, itt ajnlott megadni a kvetkezket:
Ezeket a belltsokat a kliens ipconfig /all parancsval megtalljuk. Ha szeretnnk, hogy a DHCP osztan a kiszolglknak is az IP cmet, akkor lefoglalhatunk nekik egy intervallumot.
Mindezek utn foglaljuk le az IP-jt a DC01-nek. A MAC cmet knnyen megllapthatjuk az ipconfig /all paranccsal.
64
A regisztrci utn a kiszolgl hlzati konfigurcijnl be kell lltanunk, hogy immr DHCP-vel krdezze le az IP cmt.
7.11
DHCP Failover
Az elz verzikban a DHCP rendelkezsre llsnak javtst legtbbszr cluster technolgival vagy DHCP Split Scope-al oldottuk meg. A Windows Server j verzijban bemutatkozik a DHCP Failover. A kliensek bizonyos idkznknt a DHCP szerverhez fordulnak, hogy megjtsk IP cmket. A DHCP szolgltats kiesse esetn a kliensek nem kapnak j IP cmet, ezltal nem tudnak csatlakozni a hlzathoz. Ennek a problmnak az thidalsra kszlt a DHCP Failover, amely kt DHCP kiszolglbl llhat. A DHCP kiszolgl kiesse esetn a msik (partner) DHCP kiszolgl veszi t az IP cm osztst. Az adatok frissessgt a lease replikci garantlja. A replikcis technolgia idrzkeny, ezrt a kt DHCP szerver idejt a bellts eltt egyeztessk, a technolgia 1 percnl nagyobb eltrst mr nem tud tolerlni. A DHCP Failover mkdhet tartomnyi tagsg vagy munkacsoport tagsg esetn is. Az IPv6-os cmek magas rendelkezsre llst a DHCP Failover nem teszi lehetv. A DHCP Management felletn a DHCP IPv4 gn rhetjk el a DHCP Failovert. Kt lehetsgnk van a konfigurcira: Load Balancing Hot Standby Load Balacing esetn mind a kt szerver rszt vesz az IP cmek osztsban, mg azt is be tudjuk lltani, hogy milyen arnyban trtnjen ez meg. Alapbelltsban ez 50-50 % (activeactive). Javasolt egy telephelyes kiptettsgben.
65
Hot Standby esetn az aktv DHCP szerver egyedl osztja az IP cmeket, a passszv DHCP csak akkor lp mkdsbe, amikor az aktv kiszolgl kiesik (active-passive). Javasolt tbb telephelyes kiptettsgben. A ltrehozott Failover konfigurci utn a Replicate Failover Scopes paranccsal mris tesztelhetjk a replikcit.
7.12
A nyomtatk kezelsre a Windows Server 2012-ben elrhet Print Management MMC konzol hasznlhat. A konzol legfontosabb tulajdonsgai: Tbb nyomtat szerver (spooler) kezelse Nyomtatk szrt listzsa egyedi szr felttelek segtsgvel Nyomtat driver kezels Nyomtat port kezels Jogosultsg kezels Ments/visszallts A nyomtatk teleptst, tertst a munkallomsokra Group Policy-n keresztl is megoldhatjuk. A Deployed Printers menpontban vlasszuk ki a teleptend nyomtatkat, majd nyomjunk a Deploy with Group Policy menpontra. Itt mr csak ki kell vlasztanunk azt a GPO-t, amelybe a belltsokat be szeretnnk illeszteni. A nyomtatk rendelkezsre llst a kvetkezkppen oldhatjuk meg: A Printer Management-ben a Printer Servers alatt vlasszuk az Export printers to a file pontot, a konfigurcis fjlt msoljuk t egy msik tartomnyvezrlre, ahol szintn teleptve van a nyomtatk tmogatsa. A tartomnyvezrl kiesse esetn a msik tartomnyvezrln lv Printer Management Console-ban Import Printers from a file menpontot vlasztva a nyomtatk teleplnek. A Group Policy belltsok mdostsa szintn szksges. A GPO Computer Configuration/Policies/Windows Settings/Printer Connections/ alatt lv printer elrsi utakat mdostjuk: \\BackupDC\Nyomtat1 \\BackupDC\Nyomtat2
j nyomtat esetn fontos, hogy megfelel minsg s megbzhatsg drivert hasznljunk, ehhez a kvetkez sorrend a javasolt: Jvhagyott s mr teleptett gyrt specifikus universal driver Windows opercis rendszerrel egytt rkez nyomtat specifikus driver WHQL alrssal rendelkez nyomtat specifikus driver a gyrt weboldalrl Fontos, hogy a nyomtat 32 s 64 bites driverrel egyarnt rendelkezzen, s a kt driver neve (Driver Name mez) pontosan megegyezzen.
66
Hasznljuk a Windows 2008 R2-ben mr bevezetett driver isolation-t. Az j lehetsg a klnbz drivereket egymstl elklnti, gy egy hibs komponens nem befolysolja a szerver mkdst. A Drivers gnl kapcsoljuk be az n. Isolated mdot az sszes felvett printer esetben. A Windows Server 2012 szmos jtst hozott a nyomtats terletn, ennek egyik megtestestje a Branch Office Direct Printing. Ezt a lehetsget olyan esetben rdemes hasznlni, amikor egy tvoli telephelyen keresztl nyomtatunk az ugyanezen a telephelyen lv nyomtatra, de a nyomtatszerver a cg kzpontjban van. A Branch Office Direct Printing eltt az adatok vgigutaztak a drga s egybknt is ersen leterhelt WAN hlzatunkon majd onnan vissza a telephelyen lv nyomtatra. Ez a technolgia ezt az adatutazst zrja ki a folyamatbl, gy, hogy a munkallomsok kzvetlenl a nyomtatra kapcsoldnak. Knnyen belthat, hogy esetleges hlzati kiess a kt telephely kztt, nem befolysolja a nyomtathoz trtn csatlakozsunkat. A Branch Office Direct Printing lehetsg csak a print serverknt mkd Windows Server 2012 s Windows 8 kliens esetn rhet el. A Print and Document Services mr konfigurlhat PowerShell all is, megknnytve ezzel az adminisztrcit. Ez tulajdonkppen 20 db parancsot jelent, a parancsok listjt megkapjuk a kvetkez paranccsal:
Get-Command Module PrintManagement
A Branch Office Direct Printer konfigurcijt a Print and Document Services-ben is bellthatjuk, de legegyszerbb mindez PowerShell all:
Set-Printer -name <String> -ComputerName <String> -RenderingMode BranchOffice
A Windows Server 2012-ben jelent meg a Print Class Driver framework. A keretrendszer tartalmazza az alapvet nyomtatsi kpessgeket, ezrt a gyrtknak csak a nyomtatk specilis kpessgeit kell az eszkzvezrlbe integrlniuk. Ennek folyomnya, hogy a driverek mrete jelentsen cskken s az eszkzvezrlkbl szrmaz lehetsges hibk szma is redukldik. A Windows Vista 768 MB-ja mellett eltrpl a Windows 8 mintegy 180 MB-nyi drivere.
7.13
A Read Only Domain Controller mint neve is mutatja csak olvashat tartomnyvezrl; egy teljes rtk tartomnyvezrl, viszont a rajta lv adatok nem mdosthatk. Ezt a megoldst olyan helyre rdemes telepteni, ahol az adataink biztonsga nem garantlhat. Ilyen lehetsg pldul cgnk egyik kisebb telephelye, ahol szerverszoba sincs. Feltrs vagy eltulajdonts esetn garantlt, hogy a rajta lv tartomnyi adatokhoz nem tudnak hozzfrni, hiszen tulajdonkppen nem trol semmit. Ehhez hasznljunk fel egy Server Core-al teleptett kiszolglt, s erre teleptsnk az RODC-t. Mieltt hozzkezdennk, ellenrizzk, hogy az erdnk funkcionalitsi szintje legalbb Windows 2003-mas. A teleptst indtsuk el a kvetkez paranccsal a Server Core-os gpen bejelentkezve:
67
Server Managerbl egy tvoli gpen indtva a teleptst PowerShellen keresztl: Ltre kell hozni egy RODC fikot a kvetkezkppen:
Add-ADDSReadOnlyDomainControllerAccount DomainControllerAccountName RODC1 DomainName domain2012.local DelegatedAdministratoraccountName RO_Admin
A Server Managerbl indtva a teleptst: A Server Managerbl alapveten ugyanaz az t az RODC-hez, mintha rhat tartomnyvezrlt teleptennk. Elszr fel kell teleptennk az Active Directory binrisokat, majd a post installation sorn a kvetkezket kell konfigurlni:
Ezt kveten meg kell hatroznunk, hogy melyik rhat tartomnyvezrlvel repliklhat. Majd a topolgia vizsglata utn telepthetjk az j RODC-t.
68
7.14
Utmunklatok
7.14.1 Idszinkron
A rendszerid pontossga a teljes Active Directory-ra nzve kritikus fontossg. A tartomnyvezrl a PDC Emultor szerepkre felel az idszinkronizcirt. A tartomnyba belpett gpek szintn a PDC emultor FSMO szerepkrrel rendelkez gphez szinkronizljk a sajt rendszeridejket. A Kerberos hitelests megfelel mkdshez elengedhetetlen a rendszerid pontossga. Alapbellts szerint 5 percnl nagyobb rendszerid eltrs mr problmkat okozhat a rendszer mkdse szempontjbl. A PDC emultor szerepkrrel rendelkez tartomnyvezrlnek kls forrsbl kell megoldanunk az idszinkronizcit, amelyhez a tzfalunkon engedlyezni kell az udp 123-as porton a kommunikcit. Alapbellts szerint a tartomnyvezrl a time.windows.com-hoz igaztja az idejt. A PDC szerepkr hacsak t nem helyeztk mshova az els teleptett tartomnyvezrln tallhat. De megllapthatjuk gy is:
w32tm /monitor /domain:domain2012.local
69
7.15
Funkcionalitsi szintek
A Windows Server 2012-ben a funkcionalitsi szintek nvelshez lpjnk be az Active Directory Administrative Centerbe Enterprise Admins jogosultsggal rendelkez felhasznlval, majd kivlasztva bal oldalt a domain nevet, jobb oldali svban megjelenik az erd, illetve a tartomny funkcionalitsnak nvelse menpont. A funkcionalitsi szint nvelse csak abban az esetben lehetsges Windows Server 2012-re, ha az sszes tartomnyvezrlnk ezen az opercis rendszeren fut. Visszalps a Windows 2008 R2 szintre csak abban az esetben lehetsges, ha nem kapcsoltuk be az AD Recycle Bin-t.
A nvels nem hoz semmifle tovbbi lehetsgeket az Active Directory-ban az elz verzikkal ellenttben.
7.16
FSMO szerepkrk
Az els tartomnyvezrl teleptsekor az sszes FSMO szerepkr teleptsre kerl. Javasolt a szerepkrk tbb gpre trtn sztosztsa, fleg elrhetsgi s terhels-megosztsi szempontbl. Kt lehetsgnk van a szerepkrk thelyezsre: Egyszer thelyezs Erszakos (seize) thelyezs
Az egyszer thelyezsnl knny dolgunk van, mivel a szerepkrt tartalmaz tartomnyvezrl mkdik, azaz az thelyezs minden problma nlkl megtrtnik. Az erszakos thelyezst akkor hasznljuk, amikor a szerepkrt vagy szerepkrket tartalmaz tartomnyvezrl kiesik, s visszalltst nem tervezzk. Ilyenkor csak ezzel a mdszerrel tudjuk a szerepkrt ttenni a mg mkd tartomnyvezrlnkre.
70
Az t egyedi fkiszolgl-mvelet (Flexibile Single Master Operations, FSMO) a kvetkez: RID-fkiszolgl (RID Master): Tartomnyszint mveleti fkiszolgl szerepkr, vagyis minden tartomnyban legfeljebb egy lehet belle. A szerepkrrel elltott tartomnyvezrl sajt, vagy valamelyik msik tartomnyvezrl krsre egy ltrehozand j objektum (felhasznli fik, csoport stb.) szmra kiad egy relatv azonost (Relative Identifier, RID) rszt a leend objektum biztonsgi azonostjhoz. A biztonsgi azonost neve SID (= Security Identifier). A RID Mastertl a tartomnyvezrlk 200-as csomagokban (RID Pool) kapjk a relatv azonostkat, amivel azutn nllan gazdlkodnak. Az tkzsek elkerlse rdekben a sorszmokat egy kzpont bocstja ki. A relatv azonost rsz egyrtelmen azonostja az objektumot a tartomnyon bell. Ha nem rhet el a RID-fkiszolgl, csak addig lehet a tartomnyban j objektumokat ltrehozni, amg a korbban kiosztott RID Poolok el nem fogynak (max. 200). PDC-emultor (PDC Emulator): Tartomnyszint mveleti fkiszolgl szerepkr, minden tartomnyban csak egy lehet belle. A Windows 2000 eltti gyfelek szmra elsdleges Windows NT tartomnyvezrlknt (Primary Domain Controller, PDC) mkdik, vagyis feldolgozza az gyfelek bejelentkezseit, jelszvltozsait, s repliklja a vltozsokat a tbbi tartomnyvezrl fel. Feladatai kz tartozik mg a tartomny sszes tartomnyvezrlje ltal mutatott id automatikus szinkronizlsa a Windows Time szolgltats segtsgvel. Infrastruktra-fkiszolgl (Infrastructure Master): Szintn tartomnyszint mveleti fkiszolgl szerepkr, amelybl szintn egy lehet a tartomnyon bell, de csak akkor van r szksg, ha a hlzat tbb tartomnybl ll. Feladata a sajt tartomnynak objektumai s a tbbi tartomnyban tallhat objektumok kztti hivatkozsok frisstse. Ha nem rhet el, a tartomnyon bell nem vesznk szre vltozst, azonban a tbbi tartomnnyal val kapcsolattarts sorn frisstsi problmk keletkeznek. Tartomnynv-nyilvntartsi fkiszolgl (Domain Naming Master): Erdszint mveleti-fkiszolgl szerepkr, amelybl az erdben kizrlag egy lehet. A specilis szereppel br tartomnyvezrl szablyozza az erdben a tartomnyok hozzadst s trlst. A tartomnyfkkal kapcsolatos vltoztatsok nem hajtdnak vgre, ha a szerepet megvalst tartomnyvezrl nem rhet el. Sma-fkiszolgl (Schema Master): Erdszint mveleti-fkiszolgl szerepkr, kzpontostva vgzi el a sma sszes frisstst s mdostst. Amennyiben az erd smjt frissteni kvnjuk, hozzfrsi joggal kell rendelkeznnk a smafkiszolglhoz. Az elz szerephez hasonlan sma-fkiszolglbl is csak egy lehet az erdben, s szintn nem vesszk szre a hinyt, egszen addig, amg nem kerl sor a sma frisstsre vagy bvtsre. FSMO szerepkrk tvitele: Kattintsunk a Start men Futtats parancsra, rjuk be az ntdsutil parancsot a Megnyits mezbe. rjuk be a roles parancsot. rjuk be a connections parancsot. Majd a connect to server kiszolglnv parancsot, a kiszolglnv helyre annak a tartomnyvezrlnek a nevt rjuk, amelyhez az FSMO-szerepkrt rendelni szeretnnk. rjuk be a server connections parancssorba a q parancsot. rjuk be a transfer szerepkr parancsot. A szerepkr helyre az tadni kvnt szerepkr neve kerl. Az tadni kvnt szerepkrk listjnak megjelentshez rjuk be a ? pa71
rancsot az fsmo maintenance parancssorba. A szerepkrk kezelsekor azok angol elnevezst hasznlhatjuk: a RID-fkiszolgli szerepkr tadshoz pldul rjuk be a transfer rid master parancsot. Az egyetlen kivtelt a PDC-emultor szerepkr jelenti, melynek szintaxisa transfer pdc, nem pedig transfer pdc emulator. Az fsmo maintenance parancssorban rjuk be a q parancsot, az ntdsutil parancssor elrshez. rjuk be a q parancsot az Ntdsutil segdprogram bezrshoz.
Erszakos thelyezs: Kattintunk a Start men Futtats parancsra, rjuk be az ntdsutil parancsot a Megnyits mezbe. rjuk be a roles parancsot. rjuk be a connections parancsot. rjuk be a connect to server kiszolglnv parancsot, a kiszolglnv helyre annak a tartomnyvezrlnek a nevt rja, melyhez az FSMO-szerepkrt rendelni szeretnnk. rjuk be a server connections parancssorba a q parancsot, rja be a seize szerepkr parancsot. A szerepkr helyre a zrolni kvnt szerepkr neve kerl. A zrolni kvnt szerepkrk listjnak megjelentshez rjuk be a ? parancsot az fsmo maintenance parancssorba. A szerepkrk kezelsekor azok angol elnevezst hasznlhatjuk: a RID-fkiszolgli szerepkr zrolshoz pldul rjukbe a seize rid master parancsot. Az egyetlen kivtelt a PDC-emultor szerepkr jelenti, melynek szintaxisa seize pdc, nem pedig seize pdc emulator. Az fsmo maintenance parancssorban rjuk be a q parancsot az ntdsutil parancssor elrshez. rjuk be a q parancsot, az Ntdsutil segdprogram bezrshoz.
7.17
Az Active Directory-ban trtn nyilvntarts objektumokban troldik. Objektumok a felhasznlk, csoportok, szmtgpek, szervezeti egysgek s a megosztott erforrsok (pl. nyomtatk). Ezeknek az objektumoknak vannak attribtumai, ami termszetesen az objektum tpustl fgg. Egy felhasznli fik attribtumainak felel meg a bejelentkezsi neve, jelszava, e-mail cme, csoporttagsga. Mindezt knnyen megfigyelhetjk az ADSIedit segtsgvel. A cmtr objektumait s hozzjuk kapcsold attribtumokat a sma rja le. Az Active Directory Users and Computers-t megnyitva lthatjuk az AD struktrjt, amelyben vannak mr meglv trolk (container) s benne objektumok. A rendszergazda felvehet tovbbi trolkat is, ezeket Organizational Unitnak, neveznk. Egy OU-ban szmtalan egymsba gyazott OU-t ltrehozhatunk, de knnyebb ttekinthetsg kedvrt trekedjnk a minl laposabb struktra kialaktsra. Az OU-kban felhasznlkat, szmtgpeket s egyb objektumokat trolhatunk s ezeket az objektumokat szabadon mozgathatjuk, kltztethetjk. A beptett trolk a Domain Controllers, amelybe kerl minden ltez illetve ksbb ltrejv tartomnyvezrl szmtgp objektuma. A Builtin tartalmazza a mr ltrejtt csoportokat, Computers az Active Directory-ba belptetett (tartomnytag) szmtgpeket trolja, a Users, a tartomnyi felhasznlkat tartalmazza. Az emltett trolkra nem alkalmazhatunk csoporthzirendet (Group Policy), az Organizational Unitokra ellenben igen. A csoporthzirendekkel kzpontilag szablyozhatjuk a felhasznlk szmtgpes krnyezett, belltsait. Szmos belltst eszkzlhetnk, kezdve a felhasznlk asztalnak megjelensvel, a biztonsgi belltsokon keresztl az automatikus alkalmazsteleptsig. A csoporthzirend ennek a knyvnek egy kln fejezett kpezi.
72
Az cmtrban ktfle csoportot llthatunk be: biztonsgi csoport (security group) s terjesztsi csoport (distribution group). A biztonsgi csoportok tagjai kapnak hozzfrsi engedlyeket (pl. egy fjlmegosztshoz) a terjesztsi csoportokat elssorban levelezsi csoportoknak hasznljuk. A kt csoporttpust klcsnsen konvertlhatjuk, azaz a mr meglv terjesztsi csoportbl ltrehozhatunk biztonsgi csoportot s fordtva. A csoportok hatkre (scope) hatrozza meg a csoport tartomnyi tagsgt, mely tartomnyokban lehet eleme ms csoportoknak, mely tartomnyban kaphat hozzfrsi engedlyeket. Tartomnyon belli csoportok (Domain local groups): Mint neve is mutatja, az ilyen csoportok csak sajt tartomnyuk szmtgpein kaphatnak hozzfrsi engedlyeket. A tartomnyi csoportokba viszont szabadon vehetnk fel globlis s univerzlis csoportokat ms tartomnyokbl illetve tovbbi tartomnyi csoportot is felvehetnk, azaz ezek a csoportok szabadon egymsba gyazhatk. Mindez csak a tartomny natv zemmdjban hasznlhat. Globlis csoportok (Global groups): Az erdn bell brmelyik tartomnyban felhasznlhatk. A globlis csoportok viszont csak sajt tartomnyukbl tartalmazhatnak tagokat. Globlis csoportba csak egy msik globlis csoportot vehetnk fel. Mindez csak akkor, ha natv zemmdban mkdik a tartomnyunk. Univerzlis csoportok (Universal groups): A csoport tagjai brmelyik tartomnyunkbl szrmazhatnak. Globlis s tovbbi univerzlis csoportok lehetnek a tagjai, szintn brmelyik tartomnyunkbl. Tetszleges tartomnyban kaphatnak hozzfrsi engedlyeket. Az univerzlis csoportok sszes adata a globlis katalgusban troldik.
7.18
Az Active Directory Recycle Bin mr Windows Server 2008 R2-nl is jelen volt, viszont grafikus megvalstsa a Windows Server j verzijban trtnt meg. A bekapcsolshoz navigljunk a Server Manageren keresztl az Active Directory Administrative Centerbe, ott kattintsunk a tartomnyunk nevre, s a jobb oldali tasknl megtalljuk a Enable Recycle Bin lehetsget. Ennek bekapcsolshoz legalbb Windows Server 2008 R2 erd s tartomny funkcionalitsi szinten kell lennnk.
73
7.19
Jelsz menedzsment
Mr a Windows Server 2008-ban is meglv jelszkezels (Fine-Grained Passwords) jelents mrtkben egyszersdtt. Adsiedit helyett immr megtallhat az Active Directory Administrative Center-ben. Itt klnbz jelsz hzirendeket hozunk ltre, s azokat megfelel csoportokhoz csatolhatjuk. Ennek jelentsge az, hogy pldul az adminisztrtoroktl sokkal ersebb jelszhasznlatot kvetelnk meg (tbb karakteres komplex jelsz, gyakori csere), mint pl. a felhasznlktl. Elrhetsge az ADAC Tartomnynv System Password Settings Container. Itt kattintsunk a New Password Settings lehetsgre.
74
7.20
AD Based Activation
Az Active Directory kzpont aktivci szintn egy j kpessg a Windows Server 2012-ben. Gyakorlatilag a kiss korosod KMS architektrt vlthatjuk le vele. Viszont a kt eszkzt prhuzamosan is hasznlhatjuk, fleg abban az esetben, ha Windows Server 2012 s Windows 8-on kvl korbbi Windows opercis rendszerekkel is rendelkeznk. Mennyisgi licenc esetn AD alap aktivlst nyjt. Az aktivls akkor trtnik meg, amikor a szmtgp a tartomny tagjv vlik. A hasznlathoz a tartomnyi smnkat mdostanunk kell a Windows Server 2012-re, de nem szksges Windows Server 2012 DC-t teleptennk, st Readonly Domain Controllereknl is hasznlhatjuk. Az j eszkzt, mint j szerepkrt kell teleptennk.
75
76
Virtualizci
A Windows Server 2012-t sokan gy emlegetik, mint a felh opercis rendszer, s nem vletlenl. A virtualizci terletn is rengeteg fontos fejleszts trtnt az elz verzihoz kpest. Ebben a fejezetben az alapoktl mutatjuk be a Microsoft virtualizcis technolgijt, megismerkednk a virtulis hlzat-kezelssel, az j VHDX formtummal, s a rengeteg biztonsgi jtssal.
8.1
Alapok
Amikor virtualizcirl beszlnk, nem csak a Hyper-V alap szmtgp virtualizcira kell gondolni. A Microsoft palettjn van nhny egyb, ms terleteken mkd virtualizcis tmakr, ezek a kvetkezk: Szmtgp virtualizci Microsoft Azure Desktop virtualizci Megjelens-virtualizci
8.2
Szmtgp virtualizci
A Hyper-V krnyezetben komplett szmtgpeket virtualizlunk, akr kiszolgl, akr kliens gpeknl is hasznlhatjuk. Szmos elnye kzl a legels, hogy egy fizikai gpen tbb virtulis gpet futtathatunk. Ezek a virtulis gpek teljes rtk szmtgpek, brmilyen opercis rendszert telepthetnk rjuk. A virtulis gpeket hvjuk vendg opercis rendszernek, a Hyper-V-t futtat fizikai gpet pedig hosztnak. A szmtgp virtualizcival optimlisabb hardver-kihasznlst rhetnk el, mivel a mai hardverek ltalban nagyobb teljestmnyre kpesek, mint amit a rajtuk fut opercis rendszer s kiszolgl alkalmazsok ignyelnek. A Hyper-V hasznlatval teht konszolidlni tudjuk a szerverparkunkat, s maximalizlhatjuk a gpeink kihasznltsgt. A konszolidci viszont komoly tervezst ignyel: nem mindegy, milyen szolgltatsokat, terhelseket rakunk ugyanarra a fizikai gpre. A rendszer msik nagy elnye, hogy klnbz kiszolgli szerepkrket, amiket egybknt nem rakhatunk ugyanarra az opercis rendszerre, kpesek vagyunk mgis egy fizikai gpen futtatni, pldul tartomnyvezrl mell nem javasolt Exchange vagy SQL kiszolglt telepteni, virtulis krnyezetben viszont ezek a terhelsek mehetnek klnbz virtulis gpekre. Virtulis krnyezetben sokkal knnyebb j kiszolglt zembe helyezni: a System Center 2012 Virtual Machine Managerrel ltrehozhatunk elre felkonfigurlt kiszolgl sablonokat, amiket percek alatt letre tudunk hvni.
77
8.3
Windows Azure
A Microsoft felh-szolgltatsa, ami a teljes IaaS, PaaS, SaaS termkpalettt lefedi. Vsrolhatunk virtulis gpeket, SQL trterletet, webtrhelyet, trterletet, vagy akr mdiaszolgltatsokat is. A szolgltats havidjas elfizetsben mkdik, gy rugalmasan, menet kzben vltoztathatjuk gpparkunkat, az ignyeknek megfelelen brmikor nvelhetjk vagy cskkenthetjk a virtulis gpeink szmt. A Windows Azure elrhet a http://www.windowsazure.com/en-us/ cmen, ahol lehetsgnk van 90 napig ingyenesen kiprblni a klnbz szolgltatsait.
8.4
Desktop virtualizci
Bizonyos esetekben szksg van arra, hogy a kliens gpnk is tudjon virtualizlni: ha a gpen szeretnnk futtatni egy rgebbi opercis rendszert kompatibilitsi problmk miatt, vagy tesztelni szeretnnk klnbz kliens vagy akr szerver funkcikat. A Windows 8 Pro s Enterprise verzijban megtallhat a Hyper-V szerepkr, szinte azonos funkcionalitssal, mint a Windows Server 2012-ben: a kliens verzi nem tmogatja a magas rendelkezsre llst, illetve a migrcis szolgltatsokat. A Windows 7-ben bevezetett Windows XP md mr nem tallhat meg a Windows 8-ban, gy nincs lehetsgnk arra, hogy a virtulis gp programjait publikljuk a host gp start menjbe. Erre a feladatra nagyvllalati krnyezetben a MED-V (Microsoft Enterpise Deskotop Virtualization) rendszert ajnlja a Microsoft, ahol lehetsgnk van a szervereken fut kliens virtulis gpek (XP-tl felfel) teleptett programjait publiklni az les kliensgpekre.
8.4.1
VDI
A Virtual Desktop Infratructure krnyezetben a komplett kliensgp llomnyunkat futtatjuk Hyper-V alatt, a felhasznlk pedig tvoli asztallal csatlakoznak a gpeikhez, gyakorlatilag brhonnan. A VDI egy sszetett infrastruktra, kihasznlja a virtualizci s a tvoli asztal szolgltatsok klnbz kpessgeit, a bevezetse viszont nagyon leegyszersdtt a Windows Server 2012-ben: a Server Manager szerepkrk hozzadsakor, mint egy szcenrit tudjuk kivlasztani, megadhatjuk, mennyi virtulis gpre van szksgnk, s a telept felkonfigurlja az sszes szksges szerepkrt. A VDI elnye, hogy a kliens gpek mentse csak a Hyper-V hosztok mentst jelenti, a magas rendelkezsre lls knnyen megoldhat, s egy kliens gp meghibsodsakor nincs adatveszts, illetve szolgltats-kiess sem. A VDI tovbbi elnye, hogy a cgnl bevezethetjk a Bring your Own Device elvet, vagyis a dolgozk akr a sajt notebookjukrl, tblagpkrl is dolgozhatnak, hiszen bizalmas informci nem kerl a kliens gpekre. A VDI-jal rszletesebben egy kln fejezetben foglalkozunk.
8.5
Megjelents virtualizci
A megjelents virtualizci fleg a tvoli asztal szolgltatsokat rejti magban, ahol egy kzponti RDP kiszolglra jelentkeznek be a felhasznlk, a programok ezen a kzponti gpen futnak, s csak a megjelents trtnik a kliens gpeken. Ez annyiban klnbzik a VDI-tl, hogy nem mindenki a sajt virtulis gpt hasznlja, hanem egy kzponti gpre egyszerre tbben jelentkeznek be, s ugyanazokat az alkalmazsokat futtatjk kln munkafolyamatban. 78
Ebben a krnyezetben ltalban nem beszlnk virtualizcirl. A rendszer tbb kiegszt szolgltatssal, s nhny korltozssal is rendelkezik: Tvoli asztal krnyezetben hasznlhatunk RemoteApp programokat, gy a felhasznlk a sajt start menbl rhetik el a tvoli asztal alkalmazsokat A RemoteApp alkalmazsokat akr weboldalra is publiklhatjuk RDWeb-en keresztl A tvoli asztal kiszolglkat Internetrl is biztonsgosan rhetjk el a Remote Desktop Gateway alagton keresztl A rendszer korltozsa, hogy az RDP kiszolglkon a felhasznlk nem kaphatnak rendszergazdai jogosultsgot, s nhny alkalmazs nincs felksztve arra, hogy ugyanazon a gpen, egyszerre tbb pldnyban fusson.
79
80
Hyper-V
A Hyper-V hardveres virtualizcit tesz lehetv a megfelel hardver hasznlatval. A szerepkr megtallhat a Windows Server 2012 grafikus s Core verzijban, s az ingyenes Hyper-V Server 2012-ben. A hardveres virtualizci a hypervisor segtsgvel hozzfrst ad a virtulis gpeknek a fizikai erforrsokhoz, mint a processzor, a memria, stb., gy sokkal gyorsabb mkdst tudunk elrni pl. a Virtual PC s Virtual Server termkekhez kpest, ahol szoftveres virtualizcit hasznltunk, vagyis a virtulis gpek a hoszt gpen keresztl, nem pedig vele azonos szinten rtk el a hardvert.
A Hyper-V szerepkrt felgyelhetjk a Hyper-V Manager konzolbl, PowerShellbl, illetve tvoli gpen fut Hyper-V Manager-bl is. Ez utbbi fleg Hyper-V server s Server Core hasznlatakor lehet elnys.
9.1.1
Hardver felttelek
Virtualizcis hardver kivlasztsnl a kvetkez felttekre rdemes figyelni: A Hyper-V hasznlathoz 64 bites processzorra van szksgnk, ami tmogatja a Data Execution Prevention-t s a SLAT-ot. A processzorok lehetnek Intel VT vagy AMD-V technolgit tmogat CPU-k, de arra rdemes odafigyelni, hogy a kt CPU gyrt processzorai nem mkdnek egytt Hyper-V clusterben, sem Hyper-V replikcinl, teht ha lehetsgnk van, azonos gyrt processzorait hasznljuk.
81
A fizikai gp tervezsekor vegyk figyelembe, milyen terhels virtulis gpeket szeretnnk elhelyezni rajta. A virtulis gpek maximum 1 TB memrit hasznlhatnak, s max. 32 virtulis CPU-t tudunk kiosztani szmukra. A fizikai gp minimlis memria-ignye 4GB. A lemezek elrse ltalban a sarkalatos pontja a virtualizcinak. A klnbz virtulis gpeket rdemes kln fizikai diszkekre elhelyezni, vagy ha storage-ot hasznlunk, akkor kln LUN-okra. A virtulis lemezeket mindenkppen rdemes magas rendelkezsre lls (RAID1 vagy RAID5) lemezeken trolni, illetve hasznlhatunk SSD-tmbt is. A hlzatnl tbb lehetsgnk van: akr dediklhatunk kln fizikai NIC-et mindegyik virtulis gphez, akr hasznlhatunk egy fizikai NIC-et megosztva tbb virtulis gp kztt, ha nincs szksgnk nagy hlzati sebessgre, vagy konfigurlhatunk NIC Teaminget a hoszt vagy akr a virtulis gpen bell is, gy sszefzhetnk tbb fizikai hlzati krtyt.
A virtulis gp ltrehozsakor ugyanolyan hardver-feltteleket rdemes biztostanunk, mintha a szervert fizikai gpre teleptennk. A virtulis gpnek a kvetkez erforrsokat adhatjuk: CPU: 1-32 virtulis processzort tudunk egy virtulis gphez rendelni, ezen kvl megadhatunk minimlis fenntartst, amit ez a gp mindenkppen megkap, s maximlis terhelst is, nehogy egy virtulis gp elvegye az erforrst a tbbi gp ell. Memria: virtulis memrit 1TB-ig alloklhatunk a gpnknek, illetve hasznlhatunk dinamikus memriakezelst, pl. egy virtulis Exchange kiszolgl kaphat 8-32GB RAM-ot, aktulis terhelstl fggen. Lemezvezrl: konfigurlhatunk IDE s SCSI vezrlket is. IDE eszkzrl tud bootolni a virtulis gp, viszont maximum 4 lemezt tudunk csatlakoztatni, SCSI vezrl esetn maximum 128 VHD csatolhat, s maximum 4 SCSI vezrlt adhatunk egy gpnek, gy sszesen 512 VHD lemezt tudunk csatlakoztatni. Az IDE s SCSI vezrlk kztt mr nincs teljestmny-klnbsg. NIC: szintn ktfle hlzati csatol kzl vlaszthatunk: szintetikus vagy rklt. Az rklt hlzati csatol egy ltez krtya emulcija, gy megvannak a maga korltozsai, svszlessgben, s funkcionalitsban, de kompatibilis a legtbb nem csak Microsoft - opercis rendszerrel, s rendelkezik PXE tmogatssal, teht hlzati bootolsra alkalmas. A Szintetikus hlzati csatol semmifle korltozssal nem rendelkezik, akr 10GB/sec-os sebessgre is kpes, de natvan csak Windows Server 2008-tl tmogatott, a rgebbi gpekre fel kell teleptennk az integrcis szolgltatst, hogy hasznlni tudjuk. Szintetikus NIC-bl maximum 8-at, rkltbl maximum 4-et hasznlhatunk virtulis gpenknt. Fibre Channel krtya: jdonsg a 2012-ben, a fizikai gpben lv FC krtyt tudjuk felcsatolni a virtulis gpbe, amennyiben a drivere ezt tmogatja RemoteFX video vezrl: 3D-s video vezrl, hasznlatval a virtulis gp kihasznlhatja a fizikai gp GPU-jt s DirectX kpessgt.
9.1.2
Hyper-V teleptse
A szerepkr teleptse eltt meg kell gyzdnnk, hogy a BIOS-ban be van kapcsolva a DEP s a Virtualizci (Intel-VT vagy AMD-V). Ha nincs, bekapcsols utn ramtalantanunk kell a gpet. Telepts utn mr hasznlhatjuk is a Virtual Machine Managernket:
82
A Hyper-V Manager egy MMC 3.0-ra pl konzol: a bal oldali rszben tovbbi Hyper-V hosztokat tudunk felvenni, kzpen fell a virtulis gpeinket ltjuk, alatta a kivlasztott gp pillanatfelvtelt, illetve kis ablakban a gp kpernyjt. Jobb oldalt, az n. Akci panelen, fell a hosztnl, alatta pedig az adott virtulis gpeknl elrhet mveleteket lthatjuk.
9.2
Mieltt ltrehoznnk egy virtulis gpet, rdemes elszr ltrehozni egy hlzati kapcsolatot, illetve egy VHD lemezt.
9.2.1
Virtulis hlzatok
Ahhoz, hogy a virtulis gpeink hozzfrjenek a hlzathoz, elszr virtulis switcheket kell ltrehoznunk. Ezek a virtulis switchek a fizikai hlzaton hasznlt hlzati switchek virtualizlt megoldsai, segtsgkkel a virtulis gpek klnbz hlzatokhoz frhetnek hozz. Ltrehozni a Hyper-V Manager Virtual Switch Manager rsznl tudjuk. a kvetkez tpus switcheket hozhatjuk ltre: External: kls hlzatokhoz csatlakozhatunk. Ltrehozsakor meg kell adnunk egy fizikai hlzati krtyt, NIC Teaminget, vagy egy vezetk nlkli LAN adaptert. Ha csak egy fizikai krtyn van a hoszt gpben, akkor megoszthatjuk a virtulis s a hoszt gp kztt, de javasolt egy kln fizikai krtyt fenntartani a hoszt gp zemeltetshez, amihez nem csatolunk external switch-et 83
Internal: a bels switch a fizikai gppel, s a tbbi virtulis gppel tud kommuniklni, a kls hlzattal nem. Private: kizrlag a virtulis gpek kommuniklhatnak egymssal, akik ugyanazon a privt switchen vannak.
A kls hlzatnl konfigurlhatunk VLAN azonostt is, ha a fizikai hlzatunkon is hasznlunk VLAN-t, gy szegmentlhatjuk a forgalmat. Hlzat ltrehozsakor kt tovbbi bvtmnyt adhatunk meg: Microsoft NDIS capture: ha valamilyen hlzat-elemz programmal elemezni akarjuk a virtulis hlzat forgalmt Microsoft Windows Filtering Platform: ha a hlzati forgalmat szrni szeretnnk.
9.2.2
A virtulis lemez egy specilis fjlformtum, amely magban foglal egy teljes merevlemezt: partcionlni tudjuk, klnbz fjlrendszereket tudunk ltrehozni, adatokat tudunk msolni r. Elszr a Microsoft Virtual PC-ben jelent meg, s f felhasznlsi terlete a virtulis gpek trolsa, de a Windows Server 2008-ban mr a ments is VHD formtumban troldik, illetve az iSCSI lemezek is VHD llomnyok. Egy VHD fjlrl a virtulis gpeink kpesek bootolni is, illetve a Windows Server, a Windows 7 s Windows 8 nhny verzija fizikai gpeken is kpes VHD bootolsra. A virtulis lemezeinket kezelhetjk a Hyper-V Managerbl, illetve a fent felsorolt opercis rendszerek lemezkezeljbl is ltrehozhatunk, mdost84
hatunk s felcsatolhatunk VHD llomnyokat. Ezen kvl PowerShellbl a New-VHD cmdlet-tel vagy akr diskpart segtsgvel is hozhatunk ltre ilyen fjlokat. A Windows Server 2012-ben megjelent VHDX formtum nagyobb lemezek kezelst teszi lehetv, s nagyobb zembiztonsgot biztost ezeknek a nagymret llomnyoknak. A VHD fjlformtum maximum 2TB-os lemezeket tmogat, mg a VHDX maximlis mrete 64TB lehet.
9.2.3
Lemez ltrehozsakor, felhasznlstl fggen a kvetkez tpusok kzl vlaszthatunk: Fixed disk (Fix mret lemez) a VHDX ltrehozsakor a rendszer lefoglalja a teljes lemezterletet a fjl szmra. Erre ritkn van szksg. Dynamic disk: (Dinamikusan nvekv) A virtulis lemez ltrehozsakor csak minimlis terletet foglal, s ahogy elkezdjk feltlteni adattal, a fjl mrete dinamikusan nvekszik. Teljestmny-klnbsg nincs a dinamikus s a fix mret lemezek kztt, s mivel ltalban nem tudjuk, hogy az adott kiszolgln mennyi adatot fogunk trolni a jvben, rdemes ezt a lemeztpust vlasztani. Ha adatokat trlnk egy dinamikus lemezrl, a mrete nem fog automatikusan cskkeni, ilyenkor zsugortani kell a VHD fjlunkat. Pass-through Disk (kzvetlen hozzfrs lemez) ebben az esetben a virtulis gp kzvetlenl hozzfr egy fizikai lemezhez. ltalban iSCSI rendszereknl hasznljuk, hiszen az iSCSI a targeten egybknt is VHD formtum, s pass-through disk hasznlatval elkerljk az egymsba gyazott VHD-k hasznlatt. Ahhoz, hogy egy fizikai lemezt be tudjunk csatolni egy virtulis gpbe, a fizikai gpen offline llapotban kell helyeznnk azt a lemezkezelben. Differencing Disk (klnbzeti lemez) egy mr meglv VHD-t, mint szlpartcit tudunk hasznlni, emellett ltrehozunk egy klnbzeti lemezt, ahol a mdostsokat troljuk. A szl VHD-t csak olvassra rjk el, gy egy szlhz brmennyi klnbzeti VHD-t csatolhatunk. Pl. ltrehozunk egy Windows 8 VHD-t, ide felteleptjk a Windows 8 szksges verzijt, majd tovbbi virtulis gpeket hozunk ltre, egyiken Office 2010, a msikon Office 2013, s gy tovbb. gy a Windows 8 teleptsnket csak egy pldnyban troljuk, ezzel jelents trterletet sprolhatunk meg.
9.2.4
Virtulis gp ltrehozsa
Ha ltrehoztunk virtulis hlzatokat, s esetleg virtulis lemezeket is, akkor nekifoghatunk a virtulis gp ltrehozsnak: Hyper-V Manager/New virtual machine. Ltrehozskor meg kell adnunk egy nevet, illetve egy knyvtrat, ahol a virtulis gpnk belltsai lesznek. Ez nem felttlenl egyezik meg a VHD llomnyunk helyvel, itt a gp konfigurcijt troljuk XML formtumban, illetve a pillanatkpeket. A kvetkez lapon megadhatunk egy indtsi memria mennyisget, ami a virtulis gp indtshoz felttlenl szksges, illetve itt is engedlyezhetjk a dinamikus memriakezelst:
85
Ltrehozhatunk j VHDX fjlt, csatolhatunk meglv lemezt, ha pl. fizikai gpet virtualizlunk be, vagy csatolhatunk ksbb is lemezt, ha pass-through diszket akarunk hasznlni. A teleptsi opcinl csatolhatunk ISO llomnyt, fizikai DVD meghajtt, vagy vlaszthatjuk a hlzati indtst (PXE) is:
86
Network-based installation-nl a virtulis gpnk rklt hlzati krtyt fog kapni, hiszen itt van lehetsgnk PXE boot-ra.
9.3
Virtulis gp belltsa
Miutn ltrehoztuk a virtulis gpnket, de mg nem indtottuk el, tovbbi eszkzket is hozzadhatunk, illetve egyb belltsokat is megadhatunk. Nzzk ezeket: Az Add hardware rsznl tovbbi eszkzket adhatunk hozz, legyen az SCSI, LAN FC vagy RemoteFX videokrtya.
87
A memory rsznl adhatunk dinamikus memrit, illetve slyozhatjuk a gpnket a tbbi virtulis gphez kpest. Ha ez a gpnk az zletileg kritikus vllalatirnytsi rendszert futtatja, rdemes magas slyozsra lltani. A gp aktulis memria-felhasznlsrl a HyperV konzolban kapunk aktulis informcit.
88
A CPU belltsoknl megadhatjuk, a virtulis mennyi magot hasznlhat, illetve fenntartst, s fels limitet adhatunk a virtulis gpnknek. Itt is van lehetsgnk relatv slyt adni a CPU hasznlatra.
Az IDE s SCSI vezrlknl tudunk tovbbi VHD lemezeket hozzadni gpnkhz, IDE csatornnknt maximum 2-t, SCSI krtynknt 128-at.
89
Az jdonsg a Windows Server 2008-hoz kpest a hlzat kezels, ahol szintn adhatunk minimum fenntartott, s maximlis svszlessget. Ez klnsen hasznos lehet, ha ms cgeknek hosztolunk virtulis gpeket, vagy a webkiszolglnknak alloklni szeretnnk a szksges svszlessget:
Itt tudjuk engedlyezni a VLAN azonostst, a hardvergyorstst, amennyiben a hlzati krtynk ezt tmogatja, illetve a specilis kpessgeket, ami szintn j a Windows Server 2012ben:
90
A virtulis hlzati krtynak tudunk MAC cmet adni, ha fizikai gprl migrlunk, s bizonyos szolgltatsok, vagy licencek MAC cmhez vannak ktve. Ha nem adunk meg egyni MAC cmet, a Hyper-V egy dinamikus tartomnybl automatikusan kioszt egyet. Engedlyezhetjk a MAC spoofing-ot, ha bizonyos szolgltatsok tbb MAC cmen mkdnek, vagy a virtulis gpnek cserlnie kell a MAC cmt. Alapbl ez a szolgltats biztonsgi okokbl le van tiltva. A DHCP Guard letiltja a virtulis gpektl rkez DHCP zeneteket. Ha a virtulis gpeket nem mi zemeltetjk, hanem alkalmazs-gazdk, vagy hosztolunk virtulis gpeket, akkor rdemes bekapcsolni. A Router Guard hasonl feladatot lt el, a virtulis gpek nem kldhetnek olyan zeneteket a hlzatra, hogy k a helyi hlzat tjri (IPV6 Router advertisement) A Port Mirroring lemsol minden forgalmat, amit a source hlzati krtyra rkezik, s tkldi egy msik virtulis gpre, ahol a Destination rtket vlasztottuk, gy elemezhetjk a virtulis gp forgalmt egy msik gpen.
91
Ha NIC teaminget nem a gazdagpen, hanem a virtulis gpen szeretnnk hasznlni, erre is lehetsgnk van, ilyenkor az sszes virtulis hlzati krtynl engedlyezni kell, hogy tagja lehessen NIC team-nek.
9.4
Virtulis gp zemeltetse
A virtulis gpeinket a Virtual Machine Connection programmal rhetjk el. A VMC kliens RDP protokollt hasznl, hasonlan a tvoli asztali kiszolglhoz, de a 2179-es TCP portot hasznlja. A gpeket ezen kvl a Hyper-V management console actions paneljbl is vezrelhetjk:
Turn off: a szmtgp kikapcsolsa Shut down: az opercis rendszer szablyos lelltsa. Nhny rgebbi opercis rendszernl fel kell teleptennk az integrcis szolgltatsokat, hogy a hoszt gp utastst tudjon kldeni a virtulis gpen fut opercis rendszernek Save: a virtulis gp mentse. Ilyenkor a memria tartalmt is mentjk, teht brmikor el tudjuk indtani virtulis gpet, anlkl hogy jraindulna. Leginkbb a hibernlshoz hasonlt. Bizonyos szerepkrket, pl. Windows Server 2008 tartomnyvezrlt nem szabad mentett llapotba helyezni, mert adatbzis-konzisztencia hibk lphetnek fel. Pause: hasonlan a Save opcihoz, lementi a virtulis gpet, de nem szabadtja fel a memrit, csak a processzort. Ez nagyjbl megegyezik az alvs funkcival. Reset: jraindtja a virtulis gpet.
9.4.1
Pillanatfelvtelek
Snapshot, vagy pillanatfelvtel ksztsvel a virtulis gpnk aktulis llapott tudjuk menteni, belertve a VHD s a memria tartalmt. Erre a pillanatfelvtelre brmikor visszallhatunk, st, mindegyik virtulis gprl akr 50 pillanatfelvtelt is kszthetnk. Klnbz funkcik teleptsekor, vagy bonyolultabb, tbblpses tesztelskor rdemes hasznlni, de bizonyos kiszolglkon akr patchels eltt is kszthetnk snapshotot. Fontos, hogy tartomnyvezrlnl, SQL, vagy Exchange kiszolglnl a visszallts nem vrt eredmnyeket hozhat, pldul a pillanatfelvtel ksztse ta rkezett levelek elvesznek, vagy a szmtgp
92
elveszti tartomny-tagsgt. Szintn fontos, hogy a pillanatfelvtel ksztse nem helyettesti a rendszeres biztonsgi mentst. A pillanatfelvtelek AVHD vagy AVHDX fjlban troldnak, vagyis amikor ksztnk egyet, az eredeti VHD llomnyunkat a rendszer lezrja, s a mdostsokat egy j AVHD fjlba rja. A visszallts (revert) teht az AVHD trlst jelenti, s visszallst az eredeti AVHDra. Amennyiben tbb snapshotot ksztnk, a rendszer kln-kln AVHD fjlokat kt egyms utn sorba. Ezeket a fjlokat gy tudjuk egyesteni az eredeti VHD-ba, ha exportljuk a gpet, majd visszaimportljuk. Ha trljk a pillanatfelvteleket, a Windows Server 2012 azonnal trli az AVHD fjlt, s felszabadtja a szabad terletet, szemben a Windows Server 2008-al, ahol le kellett lltanunk a virtulis gpet, hogy az AVHD trldjn, vagy esetleg sszefsljk az eredeti VHD-val.
9.4.2
Virtulis gpeinket exportlhatjuk, importlhatjuk, s mozgathatjuk Hyper-V kiszolglk kztt. Amikor virtulis gpet importlunk, akkor betltjk nem csak a VHD llomnyt, de a komplett konfigurcit, a hlzati belltsokat, s az esetleges pillanatfelvteleket is, illetve megrizhetjk a virtulis gp azonostjt. Szemben a Windows Server 2008-al, importlni nem csak egy msik gprl exportlt gpet tudunk, de megadhatunk egy mappt is, ahonnan az importls varzsl behelyezi a gpet a Hyper-V konzolba. Ez a varzsl kijavtja a konfigurcis XML esetleges hibit, a lemezek tvonalait, stb. gy knnyebben tudunk gpeket importlni egy meghibsodott Hyper-V hosztrl. Importlskor arra is lehetsgnk van, hogy egy exportlt gp msolatt importljuk vissza, gy az eredeti exportot ksbb brmikor felhasznlhatjuk. Exportlskor megadhatjuk, hogy a virtulis gp legutols llapott szeretnnk exportlni, vagy az sszes rgebbi pillanatkpre is szksgnk lesz. Az exportls semmilyen hatssal nincs az eredeti virtulis gpre. Mozgatskor kt lehetsg kzl vlaszthatunk: Virtulis gpek mozgatsa hosztok kztt: Windows Server 2012-t futtat Hyper-V 3-as hosztok kztt mozgathatunk gpeket Live Migration hasznlatval, vagyis a virtulis gpek lelltsa nlkl Adatok mozgatsa hoszton bell: klnbz ktetek kztt mozgathatjuk a teljes virtulis gpet, vagy csak bizonyos komponenseit, pl. VHD-t, a pillanatfelvteleket vagy a konfigurcis llomnyokat.
9.4.3
Live Migration
Az egyik legrdekesebb fejleszts a tovbbfejlesztett Live Migration szolgltats. A Windows Server 2008 R2-ben is volt lehetsgnk virtulis gpeket fut llapotban mozgatni, de kizrlag Hyper-V frtn bell, magas rendelkezsre lls rendszereken, ahol kzs storage-ot kellett hasznlnunk. A Windows Server 2012-ben viszont virtulis gpet mozgathatunk frtrl klnll gpre, klnll gprl frtre, s klnll gprl klnll gpre, teht brhonnan brhov, amennyiben mindegyik Hyper-V 3.0-s verzit hasznl A Live Migrationt engedlyezni kell a hoszt gpeken. A Hyper-V Managerben nyissuk meg a Hyper-V Settings rszt:
93
A Live Migration rsznl engedlyezzk a migrlst mindkt hoszton. Lehetsgnk van egy idben tbb Live Migration-t engedlyezni, gy gyorsabban tudunk kltzni egyik hosztrl a msikra. Majd vlasszunk ki egy tetszleges gpet, s a helyi menben vlasszuk a Move opcit:
Az els lehetsg a virtulis gpet migrlja hosztok kztt, a msodik a hoszton bell helyezi t. A Move virtual machine rsznl meg kell adnunk a clszmtgpet, majd meg kell adnunk, hogy milyen mappkba szeretnnk helyezni a virtulis gpnket: 94
Az utols lehetsget (Move only the virtual machine) akkor tudjuk hasznlni, ha a virtulis gpeinket kzs storage-on troljuk. Ilyenkor az Offloaded Data Transfer (ODX) hasznlatval nem a hosztok kztt kltzik a gp, hanem a storage belsejben, ezzel nem terheli a hosztokat, a hlzat, s sokkal gyorsabban mozgathatjuk gpeinket. A clmappa megadsa utn pedig el is kezdhetjk a virtulis gpnk mozgatst. Ez a funkci nem mkdik klnbz processzorral rendelkez gpek kztt, teht nem tudunk AMD-rl Intel hosztra migrlni.
9.4.4
Hyper-V replikci
A Hyper-V replika lehetv teszi, hogy ugyanazt a virtulis gpet kt klnbz hoszton futtathassuk, az egyik gpen egy on-line, a msikon egy offline pldnyban, gy egy esetleges lellskor a msik gpen fut msolat elindthat, s kpes kiszolglni a hlzati krseket. Replikci esetn klnbz tpus hosztokat s kln storage-okat hasznlhatunk, st a kt kiszolgl lehet akr kln telephelyen is. A virtulis gp kt pldnya folyamatos szinkronban van, s brmikor tterhelhet a msik hosztra. A replikci kiptse utn tesztelhetjk a tervezett s a nem tervezett kltzst is. A replikcit engedlyeznnk kell mindkt kiszolgln, majd meg kell adnunk, hogy HTTPn, vagy HTTPS-en szeretnnk a replikcit futtatni. Az els esetben az adataink titkostatlanul mennek t a hlzaton, a msodik esetben viszont tanstvnyokat kell konfigurlnunk. Tesztelsnl hasznlhatunk HTTP-t is, de les krnyezetben ersen javasolt a titkostott csatorna hasznlata.
95
A fogad hoszton engedlyeznnk kell a bejv replikcit, meg kell adnunk, hogy milyen protokollt szeretnnk hasznlni, illetve honnan fogadunk el bejv replikcit, illetve, hogy a repliklt gpeket hol szeretnnk trolni. Ezutn a kld hoszton ki kell vlasztanunk a replikland gpet, majd Enable replication.
96
A varzslban meg kell adnunk a replika szervert, ahov repliklni szeretnnk, a kapcsolathoz hasznlni kvnt protokollt:
97
A visszalltsi pontok kivlasztsa utn pedig meg kell adnunk, hogy a kezdeti replikcit a hlzaton szeretnnk tkldeni, vagy kls adathordozn juttatjuk el a msik gpre. Ha msik telephelyre repliklunk, rdemes a msodik opcit vlasztanunk:
Ezutn kezdett veszi a kezdeti replikci, majd egy id utn a gpek szinkronizlt llapotba kerlnek. Ekkor van lehetsgnk a virtulis gp Replication gyorsmenjben tesztelni a replikcit, egy esetleges failovert, vagy tervezett tllst.
98
10 Csoporthzirend
A csoporthzirend (Group Policy) a Windows Server opercis rendszereinek egy funkcija, amivel megoldhat a felhasznlk, a szmtgpek s a felhasznli munkakrnyezetek viselkedsnek s jogosultsgainak szablyozsa. Ha egy felhasznlra vagy szmtgpre tbb, esetleg egymssal tkz hzirend-bellts vonatkozik, a kvetkez sorrendben kerlnek vgrehajtsra (a ksbb vgrehajtott fellrja a korbbit): helyi szmtgp hely (site) tartomny szervezeti egysgek (OU)
A csoporthzirend objektumokat megtalljuk a tartomnyvezrl SYSVOL mappjban, a kliensek ehhez a mapphoz fordulva tltik le belltsaikat. A SYSVOL mappa vltozsait a tartomnyvezrl automatikusan tovbbtja (repliklja) a tbbi tartomnyvezrlre, gy a mappa tartalma mindig konzisztens marad. Az adattvitelre a Windows Server a Distributed File System Replication (DFSR) technolgit hasznlja. Zrjelben megjegyzend, hogy ez a technolgia hasznlatos mg nagymret fjlkiszolglk szinkronizlsra is, akr WAN hlzaton keresztl is megrizve adataink konzisztencijt. A Csoporthzirend objektumok listjt a fjlstruktrban a tartomnynv alatt talljuk, ezeket egy 16 karakterbl ll GUID szm azonostja. Ha ezeket megnyitjuk, eltnnek a szmtgp s a felhasznli belltsok.
A szmtgp indulsakor elszr a szmtgp (Computer Configuration) alatti, r vonatkoz csoporthzrend objektumokat olvassa be, majd amikor erre a szmtgpre a felhasznl bejelentkezik, akkor az szemlyre vonatkoz (User Configuration) belltsokat tlti be. Az rvnyestsre kerl hzirendek, a fellrl trtn rklds miatt tbb csoporthzirendnek az sszessgt jelenti.
99
Az rkldst lehet kiknyszerteni (enforcement vagy no override), illetve blokkolni (block inheritence). Kiknyszerts (enforcement) esetn az rkls a legutols szintig megtrtnik. A Blokkols sorn szervezeti egysg vagy tartomny esetn megszntetjk egy fels szintrl trtn rkldst, de csak abban az esetben, ha nincs kiknyszertve. A fenti kt lehetsg alkalmazsa elgg ktsges, hiszen az rkldsek erltetse s megszaktsa folyamn egy id utn mr nem ltjuk t, hogy bizonyos csoporthzirend elemek mirt nem hajtdnak vgre, vagy honnan kapunk bizonyos belltsokat. A csoporthzirend struktrjnak tervezse sorn trekedni kell arra, hogy a fentieket csak kivteles, valban indokolt esetekben hasznljuk. A csoporthzirend egyik fontos eleme az Intellimirror technolgia. Ez a technolgia lehetv teszi, hogy egy szmtgp meghibsodsa esetn, egy j zembelltsa utn a rendszer teleptse automatikusan megtrtnjen. Ennek hrom rsze a kvetkez: User Data Management: Minden olyan fjl, dokumentum, tblzat elrhetv ttele, amely a felhasznl napi munkjhoz tartozik. Ez csoporthzirend szinten azt jelenti, hogy a felhasznl szmtgpt gy lltjuk be, hogy pl. a munkjt egy kzponti megosztsbl vgezze, amelyen mi rendszeres mentst vgznk. Software Installation and Maintenence: Megtehetjk, hogy egy alkalmazst hozzrendelnk (assign) a felhasznlhoz, amely akkor telepl, amikor a felhasznlnak valban szksge van r. Megtehetjk azt is, hogy egy alkalmazst kiadunk a felhasznl rszre, amit, amikor szksge van r, nllan telepthet. Az gy publiklt alkalmazsokat a Control Panel Programs and Features rszben talljuk meg. User Settings Management: Itt visszallthatjuk a felhasznl korbbi belltsait. Csoporthzirenddel szablyozzuk a felhasznl, illetve a szmtgp belltsait. Itt olyanokat tallunk, mint pl.: o Felhasznl szinten: Internet Explorer kedvencek, Outlook Express, Outlook belltsok. o Szmtgp szinten: Energiagazdlkodsi lehetsgek, szmtgp belltsai a fjlok offline hasznlatra vonatkozan, szemlyes tzfal belltsok.
Az opercis rendszer automatikus teleptsre hasznlhat a Windows Deployment Services (WDS) vagy a System Center termkcsald Configuration Manager alkalmazs.
10.1
A csoporthzirendek kt f rszbl llnak: az egyik a szmtgpre, a msik a felhasznlra vonatkozik. Ezek a kvetkezk: Computer Configuration User Configuration
Mind a Computer, mind a User Configuration-ben megtalljuk a kvetkezket: Software Settings: Ennek a segtsgvel alkalmazsokat tudunk kikldeni a kliensekre, alaprtelmezs szerint .msi csomagknt, de van lehetsg .exe kiterjeszts fjl terjesztsre is. A programok teleptse csak akkor trtnik, amikor a felhasznlnak erre tnylegesen szksge van. Ugyanakkor itt megtehetjk, frissthetjk az alkalmazsokat, de akr el is tvolthatjuk.
100
Windows Settings: Itt tudjuk belltani a Folder redirection-t, scripteket s biztonsgi belltsokat. Administrative Templates: Opercis rendszer s komponensei, alkalmazsok belltsai. Preferences: A Group Policy Preferences a Windows Server 2008-as verzijban mutatkozott be elszr, nagyrszt azon feladatok elltsra szolgl, amelyekre a korbbiakban bejelentkezsi s rendszerindtsi parancsfjlokra volt szksgnk. A felhasznlk, a tbbi hzirenddel ellenttben szabadon megvltoztathatjk a Preferences-ben kapott konfigurcit.
Ha vltoztatni szeretnnk az egyik hzirend elemn, akkor kattintsunk r ktszer az egrrel, majd lpjnk az "Engedlyezve" (Enabled) rdigombra. Ha a "Letiltva" ("Disabled") rdigombot jelljk ki, akkor kikapcsolst (Disabled) valstunk meg. A "Nem konfigurlt" (Not Configured) belltsnak akkor van jelentsge, ha tbb csoporthzirend rklds van belltva, ezen bellts mellett ez a hzirend nem fogja befolysolni az rkldst.
10.2
A csoporthzirendek frisstse a kvetkez esetekben trtnik meg: A szmtgp elindul A felhasznl bejelentkezik Alkalmazs vagy a felhasznl kr egy frisstst A csoporthzirend automatikusan frisstdik alaprtelmezett vagy mdostott belltsok szerint.
A csoporthzirend-kliens pull modell alapjn dolgozik. Alaprtelmezsben a csoporthzirend a tartomnyvezrlk esetben 4 percenknt, szmtgpek esetben minimum 90, maximum 120 percenknt hajtdik vgre automatikusan. A vllalat aktv klienseinek a szmtl fggen az idintervallumot kisebbre is vehetjk, stlusosan mindezt csoporthzirendbl. A Computer Configuration\Administrative Template\System\Group Policy alatt tallhatjuk a Set
101
group policy refresh interval for computers lehetsget. Itt a vlasztsi lehetsg elg szles, hiszen 0-tl 44641 percig llthatunk. A 0 tulajdonkppen azt jelenti, hogy 7 msodpercenknt frisstdik a csoporthzirend. Br a kliensek szmtl ersen fgg, de nem rdemes nagyon rvid idintervallumot hasznlni a hlzat terhelse miatt. A Group policy frisstse a kliens oldalrl kiknyszerthet, ha a megadott automatikus vgrehajtst nem szeretnnk kivrni. A parancs neve gpupdate, s mind a szmtgp, mind a felhasznli rszt frissti. PowerShellben hasznlhatjuk az Invoke-Gpupdate parancsot.
10.3
Biztonsgi belltsok
10.3.1 Auditls
A csoporthzirendben lehetsgnk van a felhasznlk tevkenysgeit naplzni. Az event logban alaprtelmezetten belltva mr megtallhatjuk a security log-ot, viszont elkpzelhet, hogy sokkal tbb informcikra van szksgnk, mint amit ott megtallunk. Milyen esetek fordulhatnak el egy vllalat letben, amelyeket rdemes lehet naplzni? Egy rendszergazda, aki mdostja az adatokat egy fjlszerveren lv pnzgy megosztsban. Egy felhasznl, aki egy titkos mappt nyit meg s mdost. Egy felhasznl, aki tbbszr prbl belpni egy szerverre, de hozzfrs hinyban ezt nem tudja megtenni.
Navigljunk el a Group Policy Management-ben a kvetkez tvonalra: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit policy. Itt a kvetkez fontosabb lehetsgeket talljuk: Audit account logon events (fikbejelentkezs naplzsa): Akkor naplz, amikor a hlzatunkban trtnt egy sikeres vagy sikertelen ki- vagy bejelentkezs. Audit accounting management (fikkezels naplzsa): fikok vagy csoportok ltrehozsa, mdostsa, trlse, tnevezse, engedlyezse, tiltsa, jelszavak belltsa vagy megvltoztatsa. Audit object access (objektum-hozzfrs naplzsa): A rendszer objektumai a fjlok, mappk, nyomtatk stb. Minden objektum hozzfrssel kapcsolatos tnykeds esemnyt vlt ki, ami bejegyzsre is kerl a naplba. Audit system events. (rendszeresemnyek naplzsa): Az opercis rendszer elindulsa, lellsa s minden rendszerbiztonsgi esemny feljegyzsre kerl.
102
10.4
jdonsgok
Ahogy eddig szinte minden Windows Server 2012 komponensnl, itt is trtntek vltozsok, melyek mellesleg igen hasznosak. Az elz vltozatban, ha ltrehoztunk egy csoporthzirend objektumot, azt nem tudtuk elrni, hogy ez a kzeljvben vgre is hajtdjon. Jelenleg is az opercis rendszerek rszt kpezi a gpupdate parancs, amelynek segtsgvel ki tudjuk erszakolni a kliens gpen a policy vgrehajtst, viszont ez olyankor problmt okozhat, ha egy szervezeti egysg (OU) tbb ezer felhasznlt s/vagy szmtgpet tartalmaz. Ennek a problmnak a megoldsra jtt ltre a Force Update, amely 10 percen bell vgrehajtja az adott szervezeti egysgre kiadott csoporthzirendet. A parancs a Group Policy Management Console-bl rhet el, jobb klikk a szervezeti egysgre s eltn menbl mr lthatjuk is a lehetsget.
103
A parancs vgrehajtsnak hatsra lthatjuk, hogy az adott szervezeti egysgben lv hzirend vgrehajtdott-e a benne lv sszes objektumon. A kpernyn megjelen listt elmenthetjk egy csv fjlba.
Ugyanezt a lehetsget megtalljuk PowerShellbl is. A Windows Server 2012-ben j Invoke-Gpupdate paranccsal lehetv vlik tvoli szmtgpek hzirendjnek frisstse. A kvetkez utasts frissti a COMPUTER-02 nev szmtgpet, annak is csak felhasznli hzirendjt:
Invoke-GPUpdate -computer COMPUTER-02 -Target user
A msik jdonsg a Status detection, ezt szintn a Group Policy Management Console-ban rjk el. Csak vlasszuk ki a tartomnyunkat, s a jobb oldalon megjelen status alatt a Detect Now-t megnyomva, a tartomnyvezrlnk nyit egy kommunikcit az sszes tbbi tartomnyvezrl fel azzal a cllal, hogy megvizsglja a SYSVOL knyvtr tartalmt s replikci sikeressgt. Termszetesen az j csoporthzirendben szmos Windows 8 policy-t is tallunk. gy az j Windows 8 szmtgpeinket is tudjuk szablyozni a csoporthzirend all.
104
A Group Policy Result kibvlt, s a hibajavtsok egyik f clpontja lesz. Ha egy felhasznlra vagy egy szmtgpre nem hajtdik vgre egy hzirend, itt knnyen beazonosthatjuk a hiba okt. A Group Policy Result varzsl megkrdezi a szmtgp, majd a felhasznl nevt, s a rjuk rvnyes csoporthzirendeket kirtkeli. Az sszefoglaln csak a legfontosabb sttuszok jelennek meg, ellenben a Details-en mr alaposabb vizsglatra van lehetsgnk. A Component Statusban lthatjuk, hogy az egyes sszetevk, mint pl. a Group policy infrastruktra, a registry vagy security settings, a vonal sebessgnek fggvnyben mennyi id alatt hajtdtak vgre, illetve mikor trtnt az utols vgrehajts. Events fl egy csoporthzirend esemny napl, amelyben az id tekintetben lthatjuk a csoporthzirendek vgrehajtsnak sikeressgt mind szmtgp, mind felhasznl tekintetben. Az AppLockert mr ismerhetjk a Windows Server 2008 R2-es verzibl. Az AppLocker segtsgvel tudjuk szablyozni, hogy a vllalatunknl milyen programokat (executable rules), teleptsi forrsokat (Windows Installer rules), PowerShell, Visual Basic, JavaScript scripteket (Script rules) tudunk futtatni. Szrsi lehetsgnk addik a kvetkezkre: Gyrt neve Termk neve Fjl neve Fjl verzija
Szably vgrehajtsa Engedlyez szably Tilt szably Kiknyszerts, vagy csak a naplzs bekapcsolsa A Windows Server 2012-ben az emltett hrom lehetsgen kvl tallunk egy negyediket is: Packaged App Rules. Ennek segtsgvel tudjuk engedlyezni vagy ppen tiltani a Windows App Store-rl letlttt alkalmazstpusokat. A varzslban meg kell adnunk a felhasznlk krt, az engedlyez vagy tilt szablyt. Referenciaknt meg kell adnunk egy alrt appx telept referencia fjlt, amely alapjn a csoporthzirend ltrehozza a szksges szablyt. A hzirendet itt talljuk Computer Configuration\Policies\Windows Settings\Security Settings\Application Control Policies\Applocker.
105
A Bing Weather teleptst s indtst tiltjuk. Ha mr teleptve van a gpnkre, akkor indtsakor a lenti zenetet kapjuk.
106
11 Tvelrs
A felhasznlk munkastlusa alapveten vltozott meg az elmlt vekben. A tvmunka, a tbb eszkz hasznlata, s az llandan ton lv felhasznlk folyamatos hozzfrst ignyelnek a cg bels erforrsaihoz, legyen az kis- kzp- vagy nagyvllalat. A Windows Server 2008 R2-ben bemutatott DirectAccess ezt a feladatot hivatott megvalstani, a Windows Server 2012-ben pedig kikszrltek minden olyan hinyossgot vagy bonyolultsgot, ami miatt a 2008-as rendszerben nem lltunk neki a bevezetsnek. Termszetesen a Windows Server 2012-ben a tradicionlis VPN megoldsok is elrhetek, mint a PPTP, L2TP, SSTP vagy az IKEv2. Ezek a szolgltatsok viszont kevesebb funkcival brnak, ezen keresztl a kliens gpek nem menedzselhetek, nem esik rjuk csoporthzirend, nem pl fel a kapcsolat automatikusan a gp bekapcsolsakor, stb. Az egysges zemelteti felleten, egy helyen konfigurlhatjuk a DirectAccess s a VPN belltsokat is.
11.1
DirectAccess
A Windows Server 2012-ben tallhat DirectAccess szolgltats segtsgvel a tvoli szmtgpeken felhasznlk beavatkozsa nlkl, a kliens bekapcsolsakor automatikusam bejelentkezik a kzponti kiszolglra, elrik az infrastruktraszolgltatsokat (AD, DNS, Group Policy, stb.) Ez zemelteti oldalrl knnyti meg a dolgunkat, hiszen a frisstsek, csoporthzirend belltsok kikerlnek a tvoli gpekre, s menedzselhetek a megszokott felgyeleti rendszerrel, pl. SCCM. A DirectAccess alapja az IPv6 protokoll, gy minden olyan alkalmazs kpes DA-n keresztl kommuniklni, ami tmogatja az IPv6-ot
A bels hlzaton nem ktelez IPv6-ot hasznlnunk Tbb telephelyes krnyezetnl a Windows 8-as kliensek automatikusan a legkzelebbi vgpontra csatlakoznak. (a Windows 7-es klienseknl kzzel kell megadnunk a megfelel vgpontot)
11.1.3 DA komponensek
A DirectAccess infrastruktra kiptshez a kvetkez komponensekre lesz szksgnk: DA Server: brmelyik, tartomnyba lptetett Windows Server 2012. Ez a gp lesz a hitelestsi kiszolgl, illetve az IPSec csatorna vgpontja DA kliens: brmelyik Windows 8, Windows 7 Enterprise, vagy Windows 7 Ultimate Edition-t futtat kliensgp Network Location Server: egy webszolgltats, ami alapjn a kliensek eldntik, hogy a bels vagy a kls hlzaton tartzkodnak. Ha HTTPS-el elrik az NLS kiszolglt, akkor bels hlzaton vannak, s kikapcsoljk a DA szolgltatst, ha nem rik el, akkor megprbljk felpteni a DA csatornt. Bels erforrsok: brmilyen, IPv6-ot tmogat bels kiszolglt megadhatunk, amit a DA kliensek elrnek. Ha az erforrsok nem tmogatjk az IPv6-ot, a Windows Server 2012 kpes tfordtani a protokollt NAT64 segtsgvel, illetve a nvfeloldst is DNS64-el Active Directory: A DA hasznlathoz mindenkppen AD-re van szksgnk, a minimum tartomnyi mkdsi szint Windows Server 2008 R2. A 2012-es DA tmogatja a tbb tartomnyos mkdst is. Csoporthzirend: a kliens belltsokat csoporthzirenden keresztl tudjuk kikldeni. A DirectAccess belltsa varzsl ltrehozza a szksges csoporthzirendobjektumokat, mind a kliensek, mind a kiszolglk szmra. PKI: nem ktelez komponens, de ha bezemeljk, egyszersthet a tartomnyi hitelestsi folyamat. DNS: A DNS kiszolglnknak legalbb Windows Server 2008R2-nek kell lennie NAP kiszolgl: ha szeretnnk a kliens gpek egszsggyi llapott ellenrizni DA csatlakozskor, esetleg bizonyos biztonsgi belltsokhoz ktni a csatlakozst, javasolt a NAP infrastruktra hasznlata.
11.1.4 NRPT
Ahhoz, hogy el tudjuk vlasztani a bels hlzati s az Internetes kommunikcit a kliens gpeinken, Name Resolution Policy Table-t (NRPT) kell szerkesztennk. Ez a szolgltats elre meghatrozott hzirend alapjn sztvlasztja a DNS krseket kls s bels krsekre. Ha a DNS krs bels nvre hivatkozik, akkor a cg bels hlzatn lv DNS server vlaszol, s a forgalom is a DA csatornra tereldik. Ha a krs nincs rajta az NRPT tbln, akkor a kliens az Internet-kapcsolat DNS kiszolgljt krdezi meg.
kls hlzaton van, be tud jelentkezni a tartomnyba, lefut a bejelentkezsi parancsfjl, rvnyesl a csoporthzirend, felveszi a kapcsolatot az infrastruktra kiszolglkkal, stb.
A Getting Started Wizardban hrom lehetsgnk van: DirectAccess s VPN konfigurlsa, gy minden kliensnk be tud jelentkezni tvolrl, a Windows brmelyik verzijt hasznlva Csak DirectAccess Csak VPN
109
Vlasszuk a DirectAccess s VPN belltst, majd az elfelttelek ellenrzse utn vlasszuk ki a szmunkra megfelel topolgit:
Az Edge topolginl kt hlzati krtyra van szksgnk, egy Internetes csatlakozssal, egy pedig a bels hlzat fel. A msodik opcinl a DA szerver tzfal mgtt van, egyik lba a bels hlzatra, a msik a DMZ hlzatra csatlakoztatva A harmadik opci egy hlzati krtyt s egy IP cmet ignyel, itt viszont csak IP-HTTPS technolgit hasznlhatunk.
110
Ha kivlasztottuk a szmunkra megfelel topolgit, meg kell adnunk a kiszolgl kls nevt, ahov az Internetes kliensek csatlakoznak. Egy, erre a nvre szl tanstvnyt a rendszer automatikusan legenerl, majd csoporthzirendbl kikldi a kliensgpekre, mint megbzhat tanstvny. Az egyszer belltsi varzsl ezzel kszen is van, a kvetkez belltsokat vgzi el: ltrehoz 2 hzirendet, a kliens s a kiszolgl belltsra, megadva az NRPT, NLS belltsokat Belltja a tvelrsi jogosultsgot a Domain Computers tartomnyi csoportra, ez ksbb mdosthat, ha az ltalunk ltrehozott csoportot szeretnnk engedlyezni A DA-t nem tmogat eszkzk szmra engedlyezi a VPN hozzfrst, Windows hitelestssel. Alaprtelmezsknt a VPN kliensek a bels DHCP kiszolgltl kapnak IP cmet. Belltja az infrastruktra kiszolglkat, amelyek a hitelestst fogjk vgezni A konfigurls befejezse utn egy sszefoglal kpernyt kapunk a DA infrastruktrnkrl, illetve mdosthatunk is a belltsainkon:
11.2
VPN Kiszolgl
A DirectAccess mellett a Remote Access kiszolglnk alkalmas VPN kapcsolatok kezelsre is, legyen az PPTP, L2TP, SSTP vagy IKEv2 protokoll. Ezeket a tvelrsi protokollokat hasznlhatjuk akr Windows XP-n, Windows 7-en vagy 8-on is, illetve kipthetnk telephelyek kztti Site-to-Site VPN kapcsolatot. Ha mr teleptettk a Remote Access Szerepkrt, akkor a Server Managerbl indtsuk el a Routing and Remote Access-t: Az RRAS konzolon felgyelhetjk a VPN kiszolglnkat: 111
Tvelrsi protokollokat engedlyezhetnk/tilthatunk IP belltsokat definilhatunk Felgyelhetjk a csatlakozott gyfeleket A felhasznlk hozzfrst viszont nem itt, hanem a Network Policy Serveren vagy az Active Directoryban tudjuk szablyozni, de errl majd ksbb. Elszr lssuk az RRAS zemeltetsi fellett:
A Remote Access Clients menben lthatjuk az aktulisan csatlakozott gyfeleinket, illetve meg tudjuk szaktani a kapcsolatokat A Ports rsznl lthatjuk, hogy ha a Remote Access Server konfigurlsakor DirectAccess s VPN belltst vlasztottuk, akkor az RRAS engedlyezte az sszes VPN protokollt, mindegyik protokollra maximum 128 egyidej kapcsolattal:
Ezt rdemes korltozni az ltalunk ignyelt protokollokra, illetve a kapcsolatok szmt is az ltalunk hasznltra. A Windows Server 2012-ben tmogatott tvelrsi protokollok a kvetkezk: PPTP: Egyszer, kzepesen biztonsgos tvelrsi protokoll, a TCP 1723-as portot hasznlja. Hitelestse s titkostsa is korltozott, ezrt ltalnos clokra hasznlhatjuk, de magasabb biztonsgi szinten rdemes kerlni. Specilis belltst nem ignyel, s telephelyek sszektsre is alkalmas. L2TP alapesetben nem titkostja a forgalmat, viszont brmilyen titkostssal felvrtezhetjk. ltalban IPSec-el titkostjuk a forgalmat, akr tanstvny alapon, akr elre megosztott kulccsal. A Windows XP-tl tmogatott protokoll.
112
Az SSTP a forgalmat HTTPS alagtban viszi t a kt vgpont kztt a 443-as TCP porton, gy brhol tudjuk hasznlni, ahol a PPTP s L2TP technolgikat esetleg korltozzk. SSL titkostst hasznl, hitelestshez pedig konfigurlhatunk akr magasabb biztonsg EAP-TLS-t is. Az Internet Key Exchange version 2 (IKEv2) IPSec alagutat hasznl az 500-as UDP porton. Fleg olyan helyeken hasznljuk, ahol a tvoli felhasznlk srn vltanak tviteli kzeget, WIFI-rl mobilinternetre, vagy kbeles kapcsolatra. Az IKEv2 MOBIKE tmogatsa miatt kpes ezeket a vltozsokat szrevtlenl kezelni, s folyamatos hozzfrst biztostani. A fenti VPN protokollok hasznlathoz a tzfalon a kvetkez portokat kell engedlyezni: A PPTP elrshez a TCP 1723-as portjt kell konfigurlnunk Az L2TP hasznlathoz az UDP 500-as, UDP 1701-es, UDP 4500-as portokat, s az 50-es IP opcit kell engedlyeznnk Az SSTP hasznlathoz mindssze a 443-as portot kell kinyitnunk Az IKEv2 az UDP 500-as portot hasznlja
Megadhatjuk, hogy a protokollt milyen irnyban szeretnnk hasznlni, tvelrsre, vagyis bejv hvsok fogadsra, mindkt irnyba, vagy csak trcszni szeretnnk kifel. A PPPoE protokollt pldul csak kifel trcszsra tudjuk hasznlni, pl ADSL kapcsolatnl. Az SSTP protokoll viszont csak bejv hvsok fogadsra alkalmas, ezrt is nem lehet telephelyek kztti VPN kapcsolatot kipteni, csak PPTP vagy L2TP/IPsec csatornn.
113
A Network Access Permission rsznl hrom bellts kzl vlaszthatunk: Allow Access: a felhasznl hozzfrst kap a VPN kiszolglhoz, fggetlenl a tvelrsi hzirendektl. Ez a bellts nem javasolt, mert zemeltetsi szempontbl nehezen nyomon kvethet, hogy kinek van hozzfrse. Deny Access: a felhasznl explicit tiltst kap, fggetlenl a hzirendektl. Control access through NPS Network Policy: A hozzfrst tvelrsi hzirendbl, kzpontilag szablyozzuk.
11.2.2 Hzirendek
VPN s egyb tvelrsi hzirendeket, pl. NAP vagy 802.1x szablyokat a Network Policy Serveren (NPS) hozhatunk ltre.
A tvelrs engedlyezshez a kvetkez hzirendeket kell ltrehoznunk: Connection Request Policy: ez a hzirend definilja, hogy a hitelests a helyi gpen trtnik, vagy egy msik NPS kiszolgln Network Policy: hozzfrsi engedlyt adhatunk csoportoknak, illetve titkostsi, hitelestsi s egyb belltsokat szablyozhatunk.
114
A szksges hzirendeket a varzslbl is ltrehozhatjuk, ha a bal fels sarokban az NPS (local) kiszolgln a Radius Server for Dial-up or VPN Connections konfigurcit vlasztjuk:
Ha elindtjuk a Configure VPN or Dial-Up varzslt, akkor vlasszuk a VPN kapcsolatot, majd a RADIUS kliens rszen lpjnk tovbb. Erre akkor lenne szksgnk, ha a VPN kiszolgl s a hitelestsi kiszolgl kln szmtgpeken van, vagy ha tbb VPN kiszolglt szeretnnk egy NPS-rl szablyozni. A kvetkez lpsnl az albbi hitelestsi mdszerek kzl vlaszthatunk:
115
EAP: bvthet hitelests, akr intelligens krtyval, akr tanstvnnyal, de akr jelszval is azonosthatjuk a felhasznlinkat. Rszletesebb lers: http://technet.microsoft.com/en-us/network/bb643147.aspx MS-CHAPv2: ktirny, Windows jelszavas hitelests. Lers: http://technet.microsoft.com/en-us/library/cc957983.aspx MS-CHAP: rgebbi klienseken hasznlhat hitelests
Ha lehetsgnk van, hasznljuk az EAP alap hitelestsi mdszert, itt is tbb opci kzl vlaszthatunk: Smart Card or Other Certificate: intelligens krtys vagy egyb tanstvnnyal azonostjuk a felhasznlinkat, hasznlathoz PKI infrastruktra szksges PEAP: TLS-el titkostott csatorna, hasznlathoz kiszolgli tanstvnyra van szksgnk. A csatornn bell hasznlhatunk jelszavas vagy tanstvny alap hitelestst EAP-MSCHAPv2: szintn kiszolgli tanstvny szksges a hitelestshez. Kevsb biztonsgos, mint a PEAP protokoll
A kvetkez lpsben ki kell vlasztanunk egy felhasznli csoportot, akik VPN hozzfrst kapnak. Javasolt egy kln erforrs-csoportot ltrehozni (pl. tvelrsi felhasznlk), s ebbe a csoportba behelyezni a felhasznlinkat vagy csoportjainkat. Az IP filternl korltozhatjuk, hogy a VPN felhasznlk a hlzat mely rszhez frhetnek hozz, kimen s bejv szrk hasznlatval. A VPN titkostsnl kivlaszthatjuk, milyen kulcshosszsg biztonsgi szintet szeretnnk hasznlni:
Ha mindhrmat bekapcsolva hagyjuk, a VPN kiszolgl elszr a legnagyobb kulcs titkostssal prblkozik, s ha a kliens ezt nem tmogatja, cskkenti a titkostst. Bizonyos kliensek csak 40-bites titkostst kpesek hasznlni, teht rdemes mindhrom opcit engedlyezni. A realm name kihagysa utn (ezt csak bizonyos szolgltatk ignylik) az sszefoglal kpernyn lthatjuk, hogy ltrehoztunk egy kapcsolatkrelmi hzirendet (connection request policy) s egy hlzati hzirendet (Network policy) is. Ezzel kszen is vagyunk a hzirendek ltrehozsval, nzzk is t a Network policy-t: A szably tulajdonsgait megnyitva, az Overview fln kapcsolhatjuk ki/be a szablyt, illetve megadhatjuk, hogy engedlyez/tilt szablyrl van sz pl. munkaidben tiltjuk a VPN-t illetve fellbrlhatjuk az AD-ben belltott engedlyezst. A Conditions fln tovbbi feltteleket adhatunk meg, pl. mikor jelentkezhetnek be a felhasznlink:
116
A constraints fln a megadott hitelestsi mdszereken tudunk vltoztatni, korltozhatjuk a VPN kapcsolat idejt, illetve bellthatjuk, hogy bizonyos ttlensgi id utn a server bontsa a kapcsolatot.
Ezzel a kiszolgl oldallal kszen vagyunk, nzzk a VPN kliens oldali belltst. A VPN kapcsolatot ltrehozhatjuk kzzel, csoporthzirendbl, vagy a Connection Manager Administration Kit (CMAK) hasznlatval is. Nzzk a kzi belltst: A Windows 8-on nyissuk meg a Hlzati s Megosztsi Kzpontot (Network and Sharing Center) Nyissuk meg a set up a new connection or network varzslt:
117
118
Ltrehozs utn a VPN kliensnk megprbl csatlakozni a kiszolglhoz. A VPN protokollt automatikusan prblja megllaptani, elszr prblkozik IKEv2-vel, SSTP-vel, L2TP-val, majd PPTP-vel. Ha nem szeretnnk vgigvrni, rdemes kzzel megadni a hasznlt protokollt a VPN kapcsolat tulajdonsgainl:
119
120
A Windows Server Backup lehetsget ad arra is, hogy n. Bare Metal Restore-t (opercis rendszer nlkl visszallts) hajtsunk vgre, amennyiben a mentett szmtgp teljesen tnkremegy, a Windows Recovery Enviroment segtsgvel egy msik gpre a komplett felteleptett Windows-t kpesek vagyunk visszalltani.
12.1
A Microsoft j, felh alap mentsi megoldsa, mely a Windows Azure platformot hasznlja az adatok trolsra, a kvetkez elnyket nyjtja: Egyszer fellet, a szolgltats bepl a Windows Server Biztonsgi Ments konzolba Blokk-szint klnbzeti ments Adatok tvitele tmrtett s titkostott formtumban Adatmegrzsi hzirend segtsgvel megadhatjuk, meddig szeretnnk megrizni a mentseket Adatintegrits ellenrzse a felhben. A Windows Online Backup mint elfizets vsrolhat, s kizrlag fjlokat s mappkat kpes menteni, pl. rendszer-llapotot, Exchange vagy SQL adatbzist nem. Ezrt ez a megolds inkbb kiegszti a Windows Server Biztonsgi Msolatot, nem helyettesti. Hasznlathoz elszr regisztrlnunk kell a szolgltatsra, majd a kapott felhasznlnv s jelsz segtsgvel regisztrlnunk kell kiszolglnkat a Microsoft Online Backup felhbe. A rendszer jelenleg tesztelsi fziban mkdik, ingyenesen kiprblhat, de maximum 10GBnyi adatot tlthetnk fel. Sikeres regisztrci utn a fellet ugyangy mkdik, mintha helyi mentst vgeznnk.
121
A Windows Online Backup fellete bepl a Windows Biztonsgi ments programba Az on-line ments belltsnl megadhatunk egy 16 karakteres jelszt, amivel a titkostst vgzi a rendszer, gy a felhben trolt dokumentumokhoz msok nem frhetnek hozz, megadhatunk proxy kiszolglt a szinkronizlshoz, illetve korltozhatjuk a mentshez hasznlt svszlessget is. A mentsek vgrehajtshoz szksgnk lesz a Microsoft Online Backup Agent-re, mely a Connect oldalrl rhet el: http://connect.microsoft.com/site1277/Downloads/DownloadDetails.aspx?DownloadID=40629
12.2
Rendszerllapot mentse
A rendszerllapot mentse, mint klnll komponens vlaszthat a ments temezsekor vagy kzi mentskor. Ez a kvetkez elemeket tartalmazza: Active Directory DNS DHCP Fjl- s nyomtatszolgltatsok Tanstvny kiszolgl IIS tvlaszts s tvelrs
Segtsgvel a rendszer meghibsodsa esetn knnyen visszallhatunk egy rgebbi, mg mkd llapotra. Biztonsgi ments temezse A ments temezshez indtsuk el a Windows Server Biztonsgi Ments programot:
122
A ments temezse gombra klikkelve elindul a biztonsgi ments varzsl, ahol a kvetkez paramtereket kell megadnunk: Teljes ments vagy egyni mentst szeretnnk idzteni Az egyni mentsnl megadhatjuk, milyen meghajtkat szeretnnk menteni, illetve szeretnnk-e bare metal restore-t vagy system state mentst vgezni Az idztsnl megadhatjuk, milyen napokon s rkban szeretnnk futtatni a mentst.
123
(rdemes megfigyelni, hogyan tudunk virtulis gpeket menteni a Hyper-V hoszton.) A ments helynek vlaszthatunk dediklt httrtrat, (helyileg csatolt vagy iSCSI lemezt), meglv ktetet vagy hlzati megosztst. A hlzati megosztsnl nem tudunk tbb mentst megtartani, az aktulis ments mindig fellrja a legutbbit. A javasolt megolds a dediklt httrtr, gy nem kvethetnk el olyan hibt, hogy pl. ugyanazon a lemezen vannak a mentseink, ahol az adatokat troljuk. A legbiztosabb megolds, ha egy msik gpen lv iSCSI target-re vgezzk a mentst, errl a lemezkezels rszben olvashat rszletesebben. Miutn megadtuk a cllemezt, ahov a mentseink kszlni fognak, egy sszefoglal kpernyn ellenrizhetjk a belltsokat, majd a rendszer ltrehozza az temezett feladatot. Fontos tudni, hogy a biztonsgi ments eltrolja a fjlok s mappk biztonsgi belltsait is, gy egy visszallts utn nem szksges jra belltani a jogosultsgokat. Ez akkor is igaz, ha a visszalltst egy msik kiszolglra vgezzk.
12.3
Fjlok visszalltsa
Esetleges adatveszts utn a visszallts menvel tudjuk elindtani az adatok visszalltst: A ments forrsa lehet a helyi szmtgp vagy egy msik kiszolgl temezett ments esetn ki tudjuk vlasztani, melyik idpontra szeretnnk visszallni Ezutn ki kell vlasztanunk, milyen adatokat szeretnnk visszalltani A visszallts helynl ki tudjuk vlasztani az eredeti helyet is, vagy msik mappba is visszallthatjuk adatainkat
124
A biztonsgi belltsoknl megadhatjuk, hogy szeretnnk-e visszalltani a mappk s fjlok jogosultsgait (ACL bejegyzseit) is.
12.4
Kiszolgl helyrelltsa
Bizonyos esetekben szksgnk lehet a teljes kiszolgl visszalltsra, ha pl. a kiszolgl legett, elloptk, vagy egyb mdon teljesen megsemmislt. Ilyen esetekre a biztonsgi ments a kvetkez lehetsgeket nyjtja: Opercis rendszer nlkl helyrellts eredeti hardverre vagy msik gpre Virtulis gp visszalltsa eredeti helyre vagy msik Hyper-V hosztra Mivel a ments VHD formtumot hasznl, gy a fizikai gpmentst visszallthatjuk Hyper-V krnyezetbe is, gy virtualizlva a fizikai gpet.
12.5
Parancssori eszkzk
Ugyan a biztonsgi ments programhoz vannak PowerShell Cmdlet-ek, de van sajt parancssori alkalmazsa, a wbadmin.exe: wbadmin start backup: egyszeri ments ksztshez wbadmin start systembackup: rendszerllapot mentst hoz ltre wbadmin get status: a folyamatban lv ments llapott krdezi le
125
126
13 Tvtelepts
A Windows Deployment Services hasznlatval hlzaton keresztl tudunk opercis rendszert terteni a fizikai s virtulis gpeinkre. A hlzati teleptshez nincs szksgnk DVD lemezekre, USB eszkzkre, illetve egy idben akr tbb gpet is telepthetnk. Elnyei: Kliens s kiszolgl gpek gyorsabb, egyszerbb teleptse Mixed mdban telepthetnk Windows XP, 2003, Windows 7, Windows 8, s Windows Server 2008, 2012-es opercis rendszereket Egysges krnyezetet alakthatunk ki A beptett Windows PE szolgltatsokat hasznlja, gy hardver fggetlenl telepthetnk Egy idben tbb gpet telepthetnk multicast cmzs segtsgvel Ltrehozhatunk cges referencia opercis rendszert, amit ksbb terjeszthetnk WDS-el Illesztprogramokat tudunk illeszteni a teleptsi krnyezetnkbe.
13.1.2 Felttelek
A Windows Deployment Services teleptshez szksgnk lesz egy AD cmtrra (kivve standalone server mode), DNS, DHCP kiszolglra, s javasolt egy kln NTFS partcit fenntartani a telepts fjloknak. A WDS kiszolgl lehet tartomnyvezrln vagy tartomnytagon, s telepthetjk fizikai vagy virtulis gpre is.
13.1.3 Mkds
A WDS krnyezet hlzati bootolsi krnyezetet (PXE) ignyel. A telepteni kvnt gp PXErl indul, majd els lpsben a DHCP kiszolgltl kr IP cmet, illetve informcit a TFTP (trivial FTP) kiszolglrl. Miutn felvette a kapcsolatot a TFTP kiszolglval, letlt egy kivlasztott Windows PE-t, ami lehet telepts krnyezet, x86 vagy x64-es, lemezkp kszt, vagy akr testreszabott, karbantart Windows PE is akr. Ha teleptsi Windows PE-t vlasztunk, akkor a PE betlti a hlzati s lemezkezel meghajt-programokat, s elindtja a Windows teleptt. A WDS alaprtelmezsknt belpteti a gpet az Active Directory tartomnyba, s automatikusan elnevezi a szmtgpet.
127
Deployment Server: alapkomponens, opercis rendszerek teleptse, testreszabsra. Tartalmazza a TFTP kiszolglt s minden szksges fjlt a gpek egyni teleptshez Transport Server: hasznlatval multicast teleptst indthatunk, teht akr egy komplett szmtgp-termet telepthetnk egy idben. Ez a szerepkr kln gpre is telepthet.
Telepts utn testre kell szabnunk a WDS kiszolglnkat, akr a konzolbl, akr a WDSUtil parancssori eszkz hasznlatval. Mi most a grafikus felletet nzzk vgig:
A testreszabs sorn meg kell adnunk, hogy AD integrlt, vagy standalone WDS kiszolglt szeretnnk-e konfigurlni, majd meg kell adunk egy NTFS partcit, ahol a teleptsi fjlokat troljuk. A kvetkez bellts a DHCP-re vonatkozik:
128
Amennyiben a DHCP kiszolgl a helyi gpnkn fut, a WDS-t gy kell belltanunk, hogy ne tkzzn a DHCP-vel, teht ne figyeljen a DHCP s DHCPv6 portokon, illetve lltsa be a helyi DHCP servert, hogy ossza ki a 60-as PXE belltsokat, gy a PXE-vel indul DHCP klienseink megtalljk a TFTP kiszolglt. A WDS kiszolglnkat telepthetjk gy, hogy csak az elre megadott klienseknek vlaszoljon, ilyenkor a kliens gpeink GUID azonostjt elre fel kell konfigurlnunk, vagy vlaszthatjuk azt, hogy minden kliensnek vlaszoljon, ami azonban biztonsgi kockzattal jr: ebben az esetben brki teleptheti a cges Windows lemezkpeket, akr a sajt notebookjra is. Ebben az esetben megadhatjuk, hogy rendszergazdai beavatkozs szksges a telepts elkezdshez:
Ezutn a WDS elindtja a szksges szolgltatsokat, majd hozz kell adnunk az indtsi s teleptsi WIM llomnyt.
129
A WIM fjlformtum, hasonlan a VHD formtumhoz, egy komplett lemezkpet trol. A Windows teleptsi mdin is kt WIM llomny tallhat, az els a BOOT.WIM, ami a Windows PE elteleptsi lemezkpet tartalmazza, illetve az INSTALL.WIM, ami magt a teleptend opercis rendszer lemezkpt trolja. Ezeket a WIM llomnyokat kell bemsolnunk a WDS kiszolglra.
A WDS konzolon tudjuk felvinni az indtsi lemezkpeinket, a Boot Images rsznl, az Add Image segtsgvel. Indtsi lemezkpbl mindig rdemes a legjabbat hasznlni, pldul a Windows 7 SP1 vagy Windows 8-as boot llomnyt, illetve a kliens gpeinktl fggn rdemes felvenni az x86-os s x64-es WIM llomnyokat egyarnt. A felvett lemezkpekbl tudunk majd n. Capture Image-et ltrehozni, amellyel egy mr elre felteleptett opercis rendszert tudunk visszamsolni a teleptsi kiszolglnkra. Az Install Image rsznl, elszr rdemes megfelel mappkat vagy image group-okat ltrehozni a klnbz opercis rendszereinknek, majd fel kell msolnunk a Windows telept DVD-rl az install.wim llomnyunkat. A teleptsi lemezkp ltalban adott opercis rendszer tbb verzijt is tartalmazza, s ki tudjuk vlasztani, mely verzikat szeretnnk hasznlni cgnknl.
Miutn hozzadtuk az indtsi s teleptsi WIM llomnyunkat, ha szksges, hozzadhatunk tovbbi illesztprogramot a Drivers rsznl. A hozzadott drivereket ksbb begyazhatjuk az indtsi lemezkpbe, gy jabb hlzati krtyval vagy specilis merevlemez-vezrlvel szerelt gpeinket is tudjuk telepteni WDS-bl:
130
Driver hozzadsakor megadhatjuk kzvetlenl az INF llomnyt, vagy rbzhatjuk a WDS konzolra, hogy adott mappban keresse meg az sszes hasznlhat driver csomagot. EXE s MSI fjlokat nem tud hozzadni, ezrt fontos, hogy kicsomagolt illesztprogramjaink legyenek.
Ha az sszes szksges driver csomagot hozzadtuk a WDS-hez, a csomagokat be kell helyeznnk a teleptsi BOOT.WIM llomnyunkba az add driver package to Image menben:
131
Ezutn brmilyen tpus gpen el tudjuk indtani a WDS kliens krnyezetnket, s tudjuk telepteni a kivlasztott opercis rendszert
132
Ha a WDS kiszolglt gy lltottuk be, hogy az ismeretlen gpekre csak rendszergazdai engedlyezssel lehet telepteni, akkor ennl a lpsnl engedlyeznnk kell a gpet a WDS konzol pending devices rsznl:
133
A name and approve opcival a gpet engedlyezzk, el is tudjuk nevezni, illetve megadhatjuk, hogy melyik szervezeti egysgbe kerljn, de azt is megadhatjuk, hogy a gpet ne lptesse be tartomnyba Visszatrve a kliens gpre, a Windows indtsi kpernyn ki kell vlasztanunk, hogy melyik indtsi lemezkpet szeretnnk elindtani, 32 vagy 64 bites verzit. A hlzaton letltdik a Boot.wim llomnyunk, s tartomnyi hitelests utn el tudjuk kezdeni az opercis rendszer teleptst.
Nzzk vgig ezeket a lpseket: A referencia gp vagy Master image egy testreszabott Windows, ezt ltalban a virtulis krnyezetnkben futtatjuk, s adott idkznknt frisstjk. Az aktulis referencia gp mindig tartalmazza a legfrissebb programokat, drivereket, Windows frisstseket, s az esetleges egyni alkalmazsainkat. A referencia gpet is WDS-bl rdemes telepteni. Az res referenciagp teleptse utn teht testre kell azt szabnunk, minden olyan alkalmazst fel kell telepteni, amit az gyflgpeken szeretnnk hasznlni. Ha klnbz hardverekre szeretnnk terteni, akkor az adott hardverek illesztprogramjait fel kell telepteni a referenciagpre Ezutn el kell tvoltanunk minden egyni belltst a gprl, pl. szmtgpnv, termkkd, egyb azonostk, s vissza kell zrnunk a telepts utni llapotra. Ezt a kliens gp c:\windows\system32\sysprep mappban tallhat sysprep.exe-t kell lefuttatnunk, majd kivlasztanunk a generalize opcit:
134
Ha a sysprep sikeresen lefutott, akkor a WDS kiszolgln ltre kell hoznunk egy n. capture image-et. Ez a begyjt lemezkp fogja felmsolni a mr meglv opercis rendszernket a WDS kiszolglra.
A capture fjlt le kell mentennk egy tmeneti helyre, illetve meg kell adni a nevt s a lerst:
135
Miutn a WDS konzol elksztette a capture lemezkpnket, vissza kell tltennk a WDS kiszolglra:
Sikeres visszatlts utn a felhasznlk PXE indulskor mr ki tudjk vlasztani a capture opcit is, s a megfelelen elksztett opercis rendszer partcit a capture betmrti egy j WIM llomnyba, majd feltlti a tvteleptsi kiszolglra, ahol az install image-ek kztt meg is jelenik.
136
A multicast tpusoknl vlaszthatunk auto-cast mdszert, ilyenkor mindegyik gp becsatlakozik menet kzben a teleptsbe, illetve Scheduled-Cast-ot, amikor bizonyos felttelek teljeslsekor (idpont vagy gpszm) a telepts automatikusan s egyszerre indul el. A msodik lehetsgbe a ksbb indtott kliensek mr nem kpesek becsatlakozni.
A multicast tvitel elindtsa utn a konzol lthatjuk az aktulisan bejelentkezett klienseket, illetve kzzel el tudjuk indtani a Scheduled-Cast tvitelt is, ha esetleg kevesebb gpet szeretnnk telepteni, mint kezdetben terveztnk:
137
138
14 PowerShell 3.0
A Windows Server 2012-ben a PowerShell hasznlatval szerepkrket s szolgltatsokat telepthetnk, konfigurlhatunk, s egyb kiszolgl szoftvereket Exchange, Sharepoint, System Center 2012 zemeltethetnk. A grafikus fellet alkalmas a napi munkk elvgzsre, a PowerShell hasznlatval pedig specilis feladatokat, vagy automatizlsokat hajthatunk vgre. Bizonyos funkcikat pedig kizrlag PowerShellbl tudunk elrni. A Windows Server 2012 zemeltetshez hasznos, st, szinte elengedhetetlen a PowerShell ismerete.
14.1
Mi az a PowerShell?
A PowerShell sokkal tbb, mint egy egyszer parancssori eszkz: Objektum-orientlt zemeltetsi krnyezet, ahol a rendszergazdk scripteket hozhatnak ltre, ktegelt mdostsokat vgezhetnek, s a grafikus felleten nem elrhet funkcikat hasznlhatnak. Bizonyos programoknl (pl. Exchange) a grafikus fellet (GUI) is a httrben PowerShell cmdlet-eket futtat, st, ezeket a parancsokat le is menthetjk, ha az adott feladatot automatizlni szeretnnk. A PowerShellel hozzfrhetnk rengeteg objektumhoz, komponenshez, legyen az fjlrendszer, Active Directory, registry, tanustvnytr, stb. A PowerShell szintaxisa az ige-fnv, pl. get-command vagy new-user. Az ige lehet get-, set-, new-, enable-, disable-, stb, a fnv pedig lehet brmilyen objektum, amit kezelni szeretnnk. Ezt a szerkezetet hvjuk cmdlet-nek. A cmdlet utn kvetkeznek a paramterek, amelyek parancsonknt vltoznak, de a kvetkez kategrikba sorolhatk: Named: nevestett rtk, pl egy knyvtr, vagy egy felhasznl neve Switch: kapcsol, paramtert llt, pl. $true vagy $false Positional: a paramter helytl fggen rtelmezhet, pl. get-user identity Gipszj helyett elg annyit rnunk, hogy get-user Gipszj. Mivel az els paramter az identity, gy nem kell kln kirnunk.
14.1.2 Alias-ok
Az aliasok egy mr jl ismert parancs PowerShelles megfelelje, gy az eddigi scriptjeinek, vagy megszokott parancsainkat tovbbra is hasznlhatjuk. A DIR parancs megfelelje a get-
139
childitem, vagy a copy parancs cmdlete a copy-item. Teljes listt a get-alias parancs segtsgvel krhetnk. Nhny plda:
kill -> Stop-Process move -> Move-Item rm -> Remove-Item type -> Get-Content help -> Get-Help
A PowerShell ISE indtshoz nyissunk egy PS ablakot, s gpeljk be: ISE. A program megtallhat a Windows Server 2012 grafikus s n. Minimal User Interface verzijban is, s a Windows 8-ban is. Rszletesebb lers: http://blogs.msdn.com/b/powershell/archive/2012/06/13/intellisense-inwindows-powershell-ise-3-0.aspx
140
14.1.4 Sg
A sg elrshez rjuk be a get-help-et, utna a hasznlni kvnt parancsot:
get-help Get-Certificate
A sg rszletessgt is tudjuk szablyozni a kvetkez paramterekkel: -detailed: rszletesebb sg -examples: pldkkal illusztrlva -full: teljes sg, pldkkal -online: bngszben megnyitja a Microsoft Online Help oldalt a cmdlet szintaxisval
14.1.5 Modulok
A klnbz szolgltatsok s szerepkrk teleptsvel a PowerShell jabb modulokkal bvlnek. Ezek a modulok jabb cmdlet-eket tartalmaznak, az adott funkci felgyelethez. A Hyper-V teleptsvel pldul feltelepl a Hyper-V nev modul. Ezeket a modulokat betlthetjk az Import-module-al, illetve a betlttt modulokat kilistzhatjuk a get-module cmdlet-tel:
import-module activedirectory get-module
Ha valamilyen cmdlet nem elrhet, akkor vagy nem tltdtt be a modul, vagy nincs jogosultsgunk az adott utastshoz: A PowerShell csak azokat a parancsokat engedi hasznlni, amihez jogosulstgunk van. Bizonyos alkalmazsok teleptsve (pl. Exchange) a szksges modulok automatikusan betltdnek, gy hasznlhatjuk is a megfelel cmdlet-eket.
A PowerShell ISE konzolbl a file men/New Remote Powershell-el indthat a csatlakozs 141
14.1.7 Vltozk
A vltozk hasznlatval adatokat tlthetnk be a memriba, illetve lekrdezhetjk azokat egy adott PowerShell session-ben. Hasznos lehet, ha pldul ssze szeretnnk hasonltani rtkeket, vagy az egyik script kimenett szeretnnk betlteni vltozba, s egy msik scriptben felhasznlni. A vltoz mindig $ jellel kezddik, utna pedig tetszlegesen elnevezhetjk, pl. $jelszo. A vltoz trolhat szveget, szmot, objektumot, tmbt, stb. A feltlts trtnhet a Set-Variable utastssal:
Set-Variable Name ADDS Value (Get-ADDomain)
14.1.8 Pipeline
A PowerShell objektum-alap krnyezet, gy az egyik cmdlet eredmnyt, mint rtket betlthetjk egy msik cmdlet bemeneteknt, pl. ha a tartomny sszes fikjt szeretnnk engedlyezni:
get-aduser filter * | enable-account
Mivel a betlttt rtk nem szveg, hanem objektum, arra is lehetsgnk van, hogy az objektum brmely attribtumt kezeljk. A pipe-ban lv adatra a $_-al tudunk hivatkozni, s csak a parancs futsnak idejn rvnyes vltoz. Pldul, ha le szeretnnk krdezni a tiltott fikokokat, s azokat engedlyezni, hasznlhatjuk a Where-Object cmdlet-et:
Get-ADUser | Where-Object {$_.Enabled eq $false} | Enable-ADAccount
142
Format-table: Az eredmnyt tblzatos formban jelenti meg, minden rtk kln oszlop. Itt is hasznlhatjuk a property rtket,. s az FT rvidtst:
get-aduser tibor |ft -Property Name,userprincipalname Name userprincipalname Szentgyrgyi Tibor tibor@sztj.locall
Format-wide: minden objektum egy tulajdonsgt krdezi le, amit a property rtkkel definilunk:
get-aduser -Filter * |fw -Property Name krbtgt Szentgyrgyi Tibor
143
144
15.1.1 Komponensek
A Tvoli asztal segtsgvel a felhasznlk alkalmazsokat futtathatnak, vagy tvoli szmtgpeket rhetnek el RDP protokoll hasznlatval. Az alkalmazsok futhatnak Remote Desktop Session Host-on (RDSH), ebben az esetben egy kiszolglt tbb felhasznl r el egyidejleg. A kzsen hasznlt RDSH kiszolgln a felhasznlk nem kaphatnak rendszergazdai jogot, illetve nhny program nem biztos, hogy fut Windows Server 2012 alatt. A msik lehetsg, hogy a felhasznlk virtulis gpeken a mr megszokott Windows 7/ Windows 8 fellettel tallkoznak, s akr rendszergazda jogot is kaphatnak. Ezt a krnyezetet Remote Desktop Virtualization Host-nak (RDVH) nevezzk. Arra is lehetsgnk van, hogy az alkalmazsainkat weboldalon keresztl kiajnljuk a felhasznlknak (Remote Desktop Web Access), vagy a helyi gp start menjben a programok kztt elhelyezzk a tvoli kiszolgl alkalmazsait (RemoteApp), ilyenkor a felhasznl
145
szmra mg egysgesebb felletete hozhatunk ltre, hiszen az alkalmazottak nem is tudjk, hogy az adott alkalmazs a helyi gpkn, vagy a kzponti kiszolgln fut. Ha tbb RDSH s RDVH kiszolglt hasznlunk, a felhasznlk csatlakozsi pontjnl rdemes teleptennk egy Remote Desktop Connection Broker-t, ami a bejv krseket tovbbtja a megfelel kiszolglnak, kezeli a kapcsolatok jraptst, s terhelselosztst valst meg. A Remote Desktop Gateway biztonsgos hozzfrst biztost a bels kiszolglinkhoz az Internetrl: szablyozhatjuk, kik s hogyan frjenek hozz a serverekhez, s HTTPS csatornba csomagolja az RDP forgalmat. A Remote Desktop Licensing kiszolglval pedig egy helyrl kezelhetjk az sszes Remote Desktop licencnket.
Pooled Collection
Egy megosztott virtulis gp, tbb pldnyban fut klnbzeti lemezeken. a mdostsok nem troldnak kilpskor, de a felhasznli belltsokat kln VHD-ban trolhatjuk (User Profile Disk) csak egy virtulis gpet kell kezelnnk, pl frisstseket telepteni, alkalmazsokat frissteni, stb. Kevesebb helyet foglalhat
Kzpontilag kell frisstennk s kezelnnk a gpeket, akr WSUS-bl, akr System Center 2012-bl A felhasznlk rendszergazda joggal rendelkezhezhetnek, programokat telepthetnek, belltsokat mdosthatnak
A kzs virtulis gpeknl teht ugyanazt a virtulis gpet klnbz idben klnbz felhasznlk hasznlhatjk, s a gpen vgzett belltsok kilpskor trldnek. gy 100 virtulis gpek 3 mszakban akr 300-an is hasznlhatnak. A felhasznlk belltsait - a c:\users\felhasznlnv mappt pedig trolhatjuk kln VHD llomnyban, gy brmelyik virulis gpre bejelentkezve a felhasznl ugyanazt a profilt kapja meg. A szemlyes virtulis gp akkor hasznos, ha a felhasznlk a belltsaikat, programjaikat s adataikat sajt gpen szeretnk trolni. Ebben az esetben, az Active Directoryban mindegyik felhasznlhoz sajt VDI gpet rendelhetnk. Ezek a virtulis gpek nem futnak folyamatosan
146
a Hyper-V hosztokon, a felhasznl kijelentkezse utn mentsre kerlnek, s lekapcsoldnak. Adattrols szempontjbl sokkal tbb helyet foglalhatnak, de ha hasznljuk a Windows Server 2012 data deduplication szolgltatst, ezt a helyet ersen lereduklhatjuk, hiszen a klnbz VHD-k tartalma nagyrszben megegyezik. Session Virtualization Deployment: ebben a forgatknyvben teleptsre kerl a Remote Desktop Session Host, a Licensing Server, Connection Broker, RD Gateway, s az RD Web Access, teht minden szksges komponens. Belltsukat egy egysges felleten tudjuk kezelni a Server Managerben. RDS teleptsnl is vlaszhatunk standard vagy Quick teleptst, az els esetben tbb kiszolglbl ll farmot, a msodik esetben egy kiszolglk krnyezetet hozunk ltre.
15.2
Telepts
Egy tartomnyba, de kln fizikai gpekre telepthetnk VDI s RDS rendszert is. Az els rszben a Session Virtualization-t nzzk vgig: A Server Manager/Add Roles varzsljbl elszr vlasszuk a Remote Desktop Services installation menpontot, majd a Quick Startot, ha szeretnnk minden szolgltatst egy gpre telepteni, vagy a Standard deployment-et, ha a klnbz szolgltatsainkat szt szeretnnk osztani klnbz szerverekre. Mi most a Quick startot mutatjuk be. Az RDS teleptshez, a kvetkez kpernyn vlaszzuk a session-based dektop-deployment lehetsget:
A Quick start teht feltelepti az RD Connection Brokert, az RD Web Access-t a hozz kapcsold IIS szolgltatsokkal, s az RDSH szerepkrket.
147
Sikeres telepts utn az RDS kiszolglt a Server Manager/Remote Desktop Services rszben konfigurlhatjuk:
Az sszefoglal kpernyn lthatunk egy sszefog kpet az infrastruktrnkrl. Mint lthatjuk, az RD licensing s az RD Gateway tovbbi belltst ignyel. Ltrejtt azonban egy n. QuickSessionCollection, ahol a kvetkezket mdosthatjuk: Properties: az RDS kiszolgl alapbelltsait, csoportjogosultsgokat, kliensbelltsokat, User Profile Disk, stb.
148
RemoteApp Programs: alkalmazsokat publiklhatunk a Remote Web Access felletre, illetve a kliens gpekre Host Servers: tovbbi RDSH gpeket adhatunk hozz a collection-hz. Nzzk a collection tulajdonsgait: a QuickCollectionSet Properties rszben indtsuk el az Edit properties taszkot:
General: a Collection neve User Groups: milyen csoportok csatlakozhatnak a tvoli asztali kiszolglhoz, s futtathatnak RemoteApp programokat. rdemes ltrehozni egy kln RDS users csoportot, s ezen a csoporton keresztl kezelni a jogosultsgokat. Session: aktv s resjrati idkorltot adhatunk a tvoli felhasznlknak, megadhatjuk, hogy a lecsatlakozott munkameneteket a rendszer bizonyos id utn fejezze be (jelentkeztesse ki a felhasznlt, illetve az tmeneti fjlokat szablyozhatjuk Security: hitelestsi s vonal-titkostsi szinteket llthatunk, s a hlzati szint hitelestst (NLA) engedlyezhetjk vagy tilthatjuk. NLA hasznlathoz legalbb 7.0-s remote desktop client-et kell hasznlnunk
149
Load Balancing: ha tbb RDSH kiszolglnk van, megadhatjuk, hogy melyik hoszton mennyi kapcsolatot engedlyeznk, illetve mi legyen a kiszolgl relatv terhelse a tbbi kiszolglhoz kpest. Client Settings: megadhatjuk, hogy a felhasznlk milyen eszkzket hasznlhatnak, pl nyomtat, PnP eszkzk, hang, stb.
User Profile Disks: itt engedlyezhetjk a felhasznli profil lemezeket, megadhatjuk a hlzati elrst, ahol a VHD fjlt szeretnnk trolni, ami tartalmazza a profilokat (pl. a felhasznl kezdknyvtra, vagy profilmappja), illetve maximlis mretet adhatunk a VHD fjlnak. Megadhatjuk, hogy minden, a profilban trolt tartalom kltzzn a VHD-ba, vagy csak megadott mappk, vagy minden mappa, kivve, amit kizrunk:
150
Miutn a Collection belltsait megadtuk, mr csak fel kell teleptennk az egyni alkalmazsainkat az RDSH hosztokra, amit szeretnnk, hogy a felhasznlk elrjenek, s mr hasznlhatjuk is az RDS infrastruktrnkat
vagy Windows 7 s Windows 8-nl a vezrlpult/RemoteApp alkalmazsoknl, illetve, ha csoporthzirenbl kikldtk, akkor akr a helyi gp start menjbl is. Amikor a felhasznl elindt egy RemoteApp programot, a httrben megtrtnik az RDP bejelentkezs, majd a
151
tvoli alkalmazs megjelenik a helyi asztalon, ahol szabadon tmretezhetjk, tlcra tehetjk, stb. A msodik RemoteApp program futtatsakor mr nem trtnik jabb bejelentkezs, ezrt ez a program mr sokkal gyorsabban indul.
Vlaszthatunk a felajnlott listbl, vagy egyni alkalmazsokat is tallzhatunk, illetve egyszerre tbb alkalmazst is publiklhatunk. Publikls utn az alkalmazs megjelenik mind az RD Web Acces oldalunkon, illetve a kliens gpeken is, ha feliratkoztunk az adott kiszolgl RemoteApp programjaira.
152
futtathassk, egy szmlz, knyvel programnl pedig pl. a pnzgy csoportnak adhatunk engedlyt a program futtatsra. File type Association: fjlkiterjesztsekhez rendelhetnk klnbz RemoteApp programokat. Ez a funkci az RDWeb-nl nem rhet el, csak azokrl a kliens gpekrl, ahov csoporthzirendbl publikltuk. Ehhez egy j csoporthzirend-objektumot kell ltrehoznunk a tartomnyban, s a to User Configuration -> Policies >Administrative Templates -> Windows Components -> Remote Desktop Services -> RemoteApp and Desktop Connections rsznl a Specify Default Connection URL rtkkt kell belltnunk valami ilyesmire: https://RDWA1.corp.contoso.com/RDWeb
Miutn megadtuk az e-mail cmnket, a rendszer megtallja a tartomnyban a RemoteApp feed-et, amire feliratkozva elrhetjk a publiklt alkalmazsokat. Ha a kiszolgl megtallta a Connection URL-t, sikeresen csatlakoztunk a RemoteApp-hoz:
153
Ahhoz, hogy a felhasznlk fel tudjanak iratkozni a RemoteApp csatornra, a DNS-ben ltre kell hoznunk egy TXT rekordot, amely tartalmazza a RemoteApp kiszolgl feed elrsi tjt: A DNS-ben, a tartomnyunk kivlasztsa utn hozzunk ltre egy j TXT tips rekordot. A Rekord neve legyen _msradc. A szveg rszbe adjuk meg a kiszolglnk RDWeb elrsi tjt, pl.: https://RDWA1.corp.contoso.com/RDWeb/Feed Ha mindent sikeresen belltottunk, a vezrlpult RemoteApp rsznl lthajtuk a publiklt alkalmazsainkat, illetve mkdni fog a fjlkiterjeszts alap program-vlaszts is:
15.3
RD Gateway
A Remote Desktop Gateway biztonsgos hozzfrst biztost a bels hlzatunk RDP kiszolglihoz, szablyozhatjuk a felhasznlkat, a hasznlt szolgltatsokat, illetve titkosthatjuk a
154
tvelrsi forgalmat. Teleptst a Server Manager/Remote Desktop Services rsznl tudjuk indtani, az RD Gateway-ra klikkelve:
Miutn kivlasztottuk a kiszolglnkat, ahov RD Gatewayt szeretnnk telepteni, meg kell adnunk a kiszolgl kls nevt. Ehhez a nvhez megfelel tanstvnnyal kell rendelkeznnk, ha kls felhasznlk csatlakoznak, akkor publikus tanstvnyt rdemes vsrolnunk. Telepts vgn kivlaszthatjuk a megfel tanstvnyt, illetve ksbb is, ha a Collection tulajdonsgain az Edit Deployment taszkot vlasztjuk:
155
Ezen a konzolon (az Exchange 2010-hez hasonlan) egy egysges felleten llthatjuk be az sszes tanstvnyt: ltrehozhatunk nkilltott tanstvnyt importlhatjuk a megvsrolt tanstvnyainkat lthatjuk a tanstvnyaink llapott,
Ha felteleptettk s belltottuk az RD Gateway szolgltatsunkat, akkor a kliens oldalon, a csatlakozskor is meg kell adnunk mind a bels kiszolgl nevt, mind az tjr kls DNS nevt. A kls nven megfelel, elfogadott tanstvnynak kell lennie. A remote desktop kliens advanced fln a Connect from anywhere rsznl adhatjuk meg az tjr nevt:
156
157
158
16 VDI
A Session Virtualization szolgltats mellett a tvoli asztal msik alapkve a Virtual Desktop Infrastructure. Ebben a forgatknyvben a virtulis gpen fut szemlyes vagy kzsen hasznlt kliens gpekhez csatlakoznak a felhasznlk tvoli asztalon (RDP), vagy akr a virtulis klienseken fut alkalmazsokat rik el RemoteApp segtsgvel. A telepts megkezdse eltt el kell ksztennk egy virtulis kliens gpet, n. gold image-t. A gpre fel kell teleptennk az sszes alkalmazst, amit a felhasznlk hasznlni fognak, majd a sysprep segtsgvel le kell zrnunk. A VDI teleptje krni fogja ezt a gold image-et, s ebbl fogja ltrehozni a szksges szm virtulis kliens gpet. A telepts megkezdshez indtsuk el a Server Manager / Add Roles varzsljt, majd a remote desktop services installation lehetsget, azon bell a Quick Start-ot. A virtual machine-based deployment utn megadhajtuk a kiszolglinkat, amelyeket szeretnnk bevonni a VDI infrastruktrba, majd ki kell vlasztanunk a virtulis gpek sablonaknt hasznland VHD llomnyt. Ha ezzel megvagyunk, mr ksz is a VDI krnyezetnk. Nzzk, a varzsl milyen konfigurcikat hoz ltre: Ha nem tallt a hlzaton, akkor feltelepti az RD Connection Broker-t Telepti az RD Web Access-t s az RD Virtualization Host-ot. ltrehozza a virtulis gp sablont Ltrehoz egy collection-t QuickVMCollection nven.
Ebben a gyjtemnyben kzs virtulis gpek jttek ltre. Hozzunk ltre egy j Collection-t: A collections menben a Task fln hozzunk ltre egy j collection-t: Miutn megadtuk a gyjtemny nevt, ki kell vlasztanunk, hogy milyen tpus gpeket szeretnnk hasznlni, kzs, vagy szemlyes:
159
A varzsl felsorolja mindkt vlaszts elnyeit, illetve automatikusan ltrehozza a virtulis gpeket. A hyper-V managerben sem a telepts alatt, sem ksbb nem kell semmilyen konfigurcit mdostanunk, minden belltst a VDI felletrl vgezhetnk el. Ki kell vlasztanunk a virtulis gp sablonunkat (QuickMasterVM), amibl az j virtulis gpek szrmaznak (klnbzeti VHD jn ltre minden j virtulis gphez), majd megadhatjuk, hogy a felhasznl-gp sszerendels automatikus legyen-e (javasolt), s hogy a felhasznlk rendszergazdai joggal brjanak a szemlyes virtulis gpeiken. A kvetkez lpsben betlthetjk az elre elksztett teleptsi vlaszfjlunkat, vagy ha nincs ilyen, a varzslval ltrehozhatunk egyet. Ez a vlaszfjl tartalmazza az idzna belltst, illetve a szmtgpek helyt az Active Directoryban. A vlaszfjl utn meg kell adnunk, hogy kik hasznlhatjk a VDI gpeket, itt rdemes ltrehozni egy kln VDI users csoportot, definilhatjuk a virtulis gpek szmt, illetve elnevezst. A Virtual Desktop Allocation-nl elhelyezhetjk a virtulis gpeinket a klnbz RD Virtualization Host-okon, ha van ilyennk, A Virtual Desktop Storage-nl megadhatjuk, hogy a klnbzeti VHD-kat helyi gpen, megosztott mappn vagy frtztt adattroln szeretnnk trolni. Az SMB megosztsokon trolt VHD jdonsg a Windows Server 2012-ben, hasznlathoz SMB3.0-s, vagyis Windows Server 2012-es fjlkiszolgl vagy fjlkiszolgl-frt szksges. Az sszefoglal kperny utn pedig mr kszl is a szemlyes virtulis gp alap VDI collection-nk: a varzsl exportlja a virtulis gp sablonunkat, majd importlja annyi pldnyban, amennyi VDI gpet krtnk a gyjtemnybe.
160
A kzps properties rsznl llthatjuk a Personal Collection alapbelltsait, ami nagyjbl megegyezik a shared Collection tulajdonsgaival: General: megadhatjuk a Collection nevt, hogy megjelenjen-e az RD Web Access-en, a gpek szmt, illetve engedlyezhetjk a Save Delayt, ami a felhasznl kijelentkezse utn adott idvel mentett llapotba helyezi a virtulis gpet. Virtual Desktops: virtulis gpek elhelyezkedse az Active Directoryban s a fjlrendszerben User Groups: kik frhetnek hozz a virtulis gpekhez Client: milyen erforrsokat rhetnek el a felhasznlk: hang, vglap, PnP, stb.
161
A collection tulajdonsgai alatt a RemoteApp programokat tudjuk publiklni: ki kell vlasztanunk egy virtulis gpet, s az azon a gpen teleptett programokat tudjuk kiajnlani a RemoteApp programok kz, akr az RD Web oldalra, akr a felhasznlk gpeire, a fent megismert mdszerrel, feliratkozssal:
A jobb oldali Virtual Desktops rsznl hozhatunk ltre tovbbi virtulis gpeket, illetve a meglvket rendelhetjk felhasznlkhoz. Ha mindent jl csinltunk, a virtulis gpeink megjelennek az RD Web Access felleten, illetve a Windows 8-as kliensek Start menjben is:
162
163
Active Directory Lightweight Directory Services (AD LDS) Active Directory Rights Management Server (AD RMS) DHCP Server DNS Server File and Storage Services Hyper-V Print and Document Services Remote Desktop Services (RDS) o Remote Desktop Connection Broker o Remote Desktop Licensing o Remote Desktop Virtualization Host Routing and Remote Access Server (RRAS) Web Server Windows Server Update Server (WSUS)
17.1
Telepts
Ha a szmunkra szksges szerepkrk a listban szerepelnek, akkor kezdhetjk kiszolglnkat telepteni egy friss installcival, amely egy teljesen j, DVD-rl trtn Windows Server 2012 telepts, vagy mr meglv teljes rtk Windows Server 2012-t is lecsupaszthatunk Server Core szintre. Mindezt a kvetkez powershell paranccsal:
Uninstall-WindowsFeature Server-Gui-Mgmt-Infra, Server-Gui-Shell -Restart
164
Ha a fenti bra alapjn, mindkt pipt kivesszk akkor vgeredmny egy Windows 2012 Server Core lesz, ha csak a Server-Gui-Shell-t, akkor egy Minimum Server teleptshez jutunk. Amennyiben ksbbiek folyamn szeretnnk mgis visszatrni a grafikus felletre (pl. olyan szerepkrket szeretnnk telepteni, amit cskkentett funkcionalitssal rendelkez vltozatokban nem elrhet), akkor azt Minimal Server Installation esetn Powershellbl, de akr a Kiszolglkezeln keresztl is knnyen megtehetjk. Server Core esetben, mivel itt eltvoltsra kerl a Powershell, megtehetjk tvolrl az emltett kt eszkz segtsgvel, vagy loklisan a Command Promptbl. Ha kzvetlenl a Server Core Command Promptjbl szeretnnk megtenni akkor ezt a dism paranccsal vgezhetjk el:
dism /online /enable-feature /featurename:ServerCore-FullServer
Az jraindts utn mg nincs vge a teleptsnek. A szoksos Command Prompt jelenik meg a belps utn, de mr elrhet a powershell. Teleptsk Powershell-el, gy, hogy a Desktop Experince-t is szeretnnk telepteni:
Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell,Desktop-Experience Restart
165
17.2
Konfigurci
A konfigurci elvgezsre az egyik lehetsg, hogy hasznljuk a Server Configuration Utility-t (sconfig), de azt is megtehetjk, hogy command prompt segtsgvel lltjuk be a szervert. Az sconfig egy text alap men, amely jelentsen megknnyti szervernk konfigurlst. A kvetkez lehetsgek vannak arra, hogy testreszabjuk a kiszolglnkat: Tartomnyba lptets: A kiszolglnk belptetse a tartomnyba vagy egy munkacsoportba. Kiszolgl nevnek vltoztatsa. Helyi rendszergazda fik belltsa: Ha tartomnyi felhasznl akkor hasznljuk a domain\username formcit, amennyiben nem akkor csak a felhasznli nevet adjuk meg. Hlzati belltsok: Bellthatjuk, hogy a kiszolglnk DHCP szervertl kapjon automatikusan a IP cmet illetve manulisan is adhatunk egy IP cmet. A DNS kiszolgl IP cmt szintn itt adhatjuk meg. Windows Update belltsok: Automatikus s manulis frissts belltsa. Alaprtelmezs szerint a szerver 3:00-kor ellenrzi a frisstseket, amennyiben manulis frisstst lltjuk be, ez esetben nem teszi meg. A frissts letltst s teleptst a Download and Install Updates menpont alatt rhetjk el. Remote Desktop belltsok: Alaprtelmezs szerint kikapcsolva. Bellthatjuk, hogy hlzati szint azonostst vgezzen vagy rgebbi tpus rdp klienssel is egyttmkdjn. Date and Time settings: Dtum s id belltsa. Enable Remote Management: Itt megtalljuk a Powershell-t, a Server Managert s a Microsoft Management Console-t. Ezeket az eszkzket csak legalbb Minimal Server installation esetn tudjuk elindtani. To Logoff, Shutdown and Restart the server: Kijelentkezs, a szerver kikapcsolsa s a szerver jraindtsa To Exit to the command line: kilps az sconfig-bl.
166
Az sconfig alatti belltsokat megtehetjk parancssorbl is. A Server Core teleptse utn ltalban kapunk egy vletlenszer nevet a kiszolglnknak, ezt a kvetkez parancssor segtsgvel knnyedn megvltoztathatjuk:
Rename-Computer ServerCore
A fenti parancs mellett tovbbra is hasznlhat az elz vltozatokbl is ismert shutdown. Az jraindts utn adjunk meg egy statikus IP cmet a szervernek:
New-NetIPAddress -IPAddress 192.168.1.10 -InterfaceAlias "Ethernet" DefaultGateway 192.168.1.1 -AddressFamily IPv4 -PrefixLength 24
A Windows Server 2012 hasznlata 30 napig lehetsges a licencinformcik nlkl, mindezt rdemes mielbb megtennnk:
slmgr ipk <Product key>
167
168
18.1
A Windows Server 2012 szerepkreinek egy rsze Active Directory, DNS, DHCP nmagban kpes magas rendelkezsre llst nyjtani: a cmtrszolgltats (AD DS) tbb kiszolgln, klnbz telephelyeken elosztva mkdik, a trlt elemeket pedig az Active Directory lomtrbl llthatjuk vissza. A DNS kiszolgl szintn beptve tartalmazza a magas rendelkezsre lls kpessgeit, az elsdleges s msodlagos znk ltrehozsval. Azoknl a szolgltatsoknl, amelyek nmagukban nem kpesek magas rendelkezsre llst biztostani, a Windows Server 2012 beptett szolgltatsai kzl a kvetkezket vlaszthatjuk: Network Load Balancing: (NLB) szoftverkomponens, amely a hlzati forgalmat kpes klnbz llomsok kztt sztosztani, terhels-elosztst s magas rendelkezsre llst nyjtva ezzel. A kiszolglkon azonos adatoknak kell lennik, pldul webkiszolglknak passzv tartalommal. Failover Cluster: szmtgpek magas rendelkezsre lls frtje, amelyek figyelik egymst, s vagy szinkronizljk az adatokat, vagy egy kzponti adattrat rnek el kzsen. A szolgltatsok vagy virtulis gpek kpesek kltzni a frttagok (NODE) kztt, akr hiba esetn automatikusan, akr tervezett karbantarts esetn manulisan. Nhny szolgltatsnl a Failover Cluster az ajnlott megolds a magas rendelkezsre lls megvalstshoz, ilyen a Hyper-v, az iSCSI target, Exchange, SQL, stb.
169
A kt szolgltatst akr egyszerre is hasznlhatjuk, teht a fenti pldbl kiindulva, az egyik virtulis Exchange kiszolglt futtathatjuk az egyik Hyper-V clusteren, a msik pldnyt egy msikon, gy minden hibra felkszltnk.
18.1.3 sszetevk
A feladattvev frt klnll gpek csoportja, amelyek kzsen magas rendelkezsre llst nyjtanak. Ezeket a gpeket frttagnak, vagy Node-nak hvjuk. Ha az egyik frttag meghibsodik, a rajta lv szolgltatsok (workload) tkltznek egy msik frttagra. Ezt a folyamatot hvjuk failover-nek A feladattvev frt a kvetkez komponensekbl ll: Frttagok Hlzat: a frt kiptshez tbb hlzati kapcsolatra lesz szksgnk, kln hlzaton csatlakoznak a kliensek, kln kommiklnak a frttagok egymssal, egy msik hlzaton trtnik a trolk elrse, stb. Erforrs: a frttagokon lv komponens, amelyet a frt futtat, indt/lellt, s kpes kltztetni a frttagok kztt. Pl. IP cm, hlzati nv, stb. Frt trol: megosztott trol, amit az sszes frttag elr. Nem minden krnyezetben ktelez, az Exchange pldul az adatbzis log-fjlokat msolja a klnll trolkra, s gy tartja szinkronban az adatbzist. Kliensek: szmtgpek, akik a frthz csatlakoznak Szolgltats vagy alkalmazs: szoftver-komponens, amit a kliensek elrnek Quorum: szavazati tbbsg. Ha pros szm frttagunk van, akkor a tagok meghibsods esetn nem kpesek eldnteni, ki legyen az aktv: Ha a passzv tag nem ri el az aktv tagot, akkor kt dolog trtnhet: Vagy az aktv tag lellt, ilyenkor a passzv tagnap aktivv kell vllni, vagy a passzv tag szakadt le a hlzatrl, ilyenkor viszont nem szabad elindulni, mert kt aktv lesz a hlzaton (split brain) Ilyenkor egy kls dntre (witness) van szksg, hogy a passzv tag eldntse, llt-e le, vagy az aktv tag. Ez lehet egy lemez (disk witness) vagy megoszts egy frtn kvli gpen (file share witness). Ha a passzv tag nem ltja az aktv tagot, de a witness-t igen, akkor aktivlja magt, ha nem ltja sem az aktv tagot, sem a witness-t, akkor nem indul el.
170
Amikor lemeztpust vlasztunk, illetve clustert ptnk, a kvetkez felttelekre rdemes odafigyelni: A troln minden frtnek rdemes kln logikai egysgeket (LUN) ltrehozni, hiszen a frtt kltztetnk, a LUN is kltzik az j frttagra. Ha ugyanazon a LUN-on pldul tbb virtulis gp van, s az egyiket kltztetjk, akkor elfordulhat, hogy a tbbi virtulis gp all kirntjuk a lemezeket, ami nem szerencss. Az adattr elrshez rdemes MPIO technolgit hasznlnunk. A lemezeknl a partci tpusa lehet MBR vagy 2TB-nl nagyobb lemezeknl GPT, a fjlrendszer NTFS kell, hogy legyen, a lemezeket pedig alaplepezknt kell importlni, nem dinamikus lemezknt.
18.1.6 Frthlzatok
Egy frt ptshez legalbb 3 hlzatra van szksgnk: Bels hlzat, ahol a frt tagjai kommuniklnak egymssal, ellenrzik a tbbi frttagot. rdemes ezt a hlzatot fizikailag klnvlasztani a tbbi hlzattl Kls hlzat: ezen keresztl csatlakoznak a kliensek a frt erforrsaihoz iSCSI hlzat: a trol blokk-szint elrsre. Ezt a hlzatot szinten szeparlnunk kell a tbbitl. Ha nem iSCSI-ra ptjk a clustert, vagy nincs szksgnk kzs adattrra, akkor erre a hlzatra nem lesz szksgnk.
Ltrehozhatunk vegyes hlzatot is, ahol a cluster bels kommunikcija s a klienshozzfrs trtnik, de ha lehetsgnk van, akkor a vegyes hlzatot csak tartalkknt hasznljuk, ha a bels hlzati kapcsolatunk megszakad. Mindegyik hlzatot lehet s rdemes NIC teaming-re pteni, gy nagyobb sebessg mellett nagyobb rendelkezsre llst is elrhetnk.
Frthlzat
18.2
ptsnk frtt!
Ebben a rszben lpsrl-lpsre vgighaladunk egy frt ptsn, megismerkednk a Validate a Configuration Wizard-al, ltrehozzuk a frtt, CSV-t, majd klnbz szolgltatsokat helyeznk el a frtnkn. A feladattvev frt alapvet feladata, hogy magas rendelkezsre llst biztostson, gy a frttagok hardvert is ez alapjn kell vlasztanunk, az ltalnos kiszolglnak sznt server nem 172
biztos, hogy megfelel magas rendelkezs kiszolglnak. rdemes egybknt azonos gyrt azonos tpus kiszolglibl ptennk a frtt. A hlzati, s adattrol infrastruktrt is magas rendelkezsre llsv kell tennnk.
18.2.2 Felttelek
A frt ptesekor a kvetkez hardver, szoftver s hlzati feltteleket kell figyelembe vennnk: A hardvereknek meg kell felelnik a Certified for Windows Server 2012 feltteleknek. A Validate a Configuration Wizard leellenrzi a tervezett hardvert, lemezelrst, lemezkltztetst, stb. A cluster ltrehozsahoz a tesztnek sikeresen le kell futnia. Hlzat: a node-ok hlzati vezerlinek azonos sebessggel, duplexitssal s funkcikkal kell rendelkeznik. Ha iSCSI hlzatot terveznk, akkor az iSCSI hlzati krtyn egyb belltsokat is el kell vgeznnk: Jumbo framet s a TCP offloadot: https://technetklub.hu/blogs/virtualizacio/archive/2010/08/11/hyper-v-r2-f-252-rttervez-233-s.aspx. A hlzatnak termszetesen redundsnak kell lennie. Szoftver: a frtben ugyanolyan verzij Windows Server 2012-t kell hasznlnunk, vagy az sszes tag Standard verzi (vagy a Standard Server alapjaira ptett ingyenes
173
Hyper-V server 2012), vagy mindegyik Datacenter. A kiszolglkon azonos verzij szervzcsomagnak kell rendelkeznik, s azonos patchelsi szinten kell lennik. A frttagoknak ugyabban a tartomnyban kell lennik. Javasolt, hogy a gpek tartomnytagok legyenek, mert a tartomnyvezrlkn mr tallhat magas rendelkezsre llsi szolgltats, ami tkzhet a frtzssel. A frtlemezt mindkt tervezett node-nak ltnia kell, s NTFS partcival kell, hogy rendelkezzen
18.2.3 Telepts
A Failover Cluster szerepkr teleptst a Server Manager/Add Roles and Features menjbl indthatjuk. Telepts utn a Tools menben megjelenik a Failover Cluster Manager:
Ha mindkt kiszolglnkra felteleptettk a szolgltatst, s a megosztott lemezeket is elrjk, akkor elindthatjuk a Validate Configuration varzslt:
174
Els lpsben hozz kell adnunk az sszes kiszolglt, akik tagjai lesznek a frtnek, majd le kell futtatnunk az sszes tesztet.
A teszt megkeresi a Quorum hasznlatra alkalmas lemezeket, teszteli az iSCSI lemez mozgatst, a lemezrsi sebessget, a hlzati infrastruktrt, szerepkrket, stb. Ha a teszt sikeresen lefutott, akkor nekillhatunk a frt ltrehozsnak a Create Cluster varzslval:
175
Meg kell adnunk az j frt nevt, s egy IP cmet. Ez kt alap-erforrs, ami nlkl a frt tbbi erforrsa nem fog elindulni, illetve ezek az erforrsokat mindig az aktv tag birtokolja. Ha sem a nv, sem az IP cm nincs hasznlatban, akkor ltrehozhatjuk a frtt az albbi belltsokkal:
A Roles rszben adhatunk hozz szolgltatsokat vagy virtulis gpeket a frthz. A Nodes-nl lthatjuk a frt tagjait, az aktulis llapotukat, illetve karbantartsi mdba helyezhetjk brmelyik node-ot. A Storage rsznl az sszes szabad, vagy szolgltatshoz rendelt lemezeinket ltjuk, kztk a Qourom lemezt, illetve itt adhatunk a frthz tovbbi lemezeket, ha az iSCSI
176
target-en ltrehoztuk azt, s az sszes node elri. A 2008 R2-vel szemben a 2012 iSCSI kezeli a 2TB-nl nagyobb lemezeket is Pools: a Windows Storage Spaces-ben ltrehozott, tbb fizikai lemezbl ll virtulis trolt adhatjuk hozz a Clusterhez. Networks: a felismert hlzatok tpust adhatjuk meg, ez lehet kls, bels vagy vegyes hlzat. Cluster Events: a frttagokrl sszegyjttt esemnynaplkat tekinthetjk meg itt.
A szolgltatsok elhelyezse eltt be kell lltanunk mindegyik hlzatunkat, hogy engedlyezzk-e rajt a frt forgalmat, illetve a kls elrst: Az iSCSI krtykon le kell tiltani a Cluster forgalmat A hearthbeat krtykon csak a frttagok kommuniklhatnak A kls hlzaton a klienseket engedjk hozz a frthz:
A konzol als-kzps rszn ltjuk a frt alap erforrsait: IP, nv, Quorum
A lemezek importls utn bekerlnek a szabad trolk kz, gy a szolgltatsok ltrehozsakor ki tudjuk vlasztani ezeket. A Roles menben a Configure Roles menponttal vehetnk fel j szolgltatsokat. A konzol ellenrzi, hogy a kivlasztott szolgltats jelen esetben fjlkiszolgl - teleptve van-e a frttagokon:
A File Server kivlasztsa utn kt lehetsg kzl vlaszthatunk: Clustered file server for general use: Fjlkiszolgl frt ltalnos hasznlatra. Ez a verzi megtallhat a Windows Server 2008R2-ben is. File server for scale-out application data: az j Scale-Out fjlkiszolgl, alkalmazsok, fjlok s virtulis gpek magas rendelkezsre llshoz.
178
A kvetkez tblzatban sszehasonltjuk a kt szolgltatst: Clustered file server for general Scale-Out File Server use Magas rendelkezsre llst nyjt Magas rendelkezsre llst biztost a hossz ideig, az olyan alkalmazsoknl, ahol a vagy folyamatosan nyitva lv fjloknak fjlokat nem maradnak folyamatosan nyitva Egyszerre egy frttagon fut Egyszerre tbb node-on fut, az SMB kliensek kapcsolatai eloszlanak a frttagok kztt, ezzel nagyobb svszlessgre kpes. Ezt a funkcit a Distributed Network Name szolgltatssal ri el, ami lehetv teszi, hogy kln IP cmeken lv frttagok egyszerre vlaszoljanak a krsekre DNS round robin hasznlatval Ktelezen Clustered Shared Volume-ot hasznl
Aktv-passzv mdon mkdik, Nem tmogatja az NFS-t, a BranchCache-t, a Data automatikus failover-el Deduplication-t, s egyb fjlkiszolgli kpessgeket Vlasszuk a Scale-Out fjlkiszolglt, majd adjunk meg egy hozzfrsi nevet, amit a kliensek elrnek majd:
Ha az erforrs sikeresen ltrejtt, akkor mr csak hozz kell adnunk megosztsokat, az erforrs tulajdonsgain Add File Share varzslval.
18.3
Hyper-V Cluster
Ha sikeresen ltrehoztuk a frtnket, akkor akr Hyper-V alap virtulis gpeket is elhelyezhetnk rajta. Ennek felttele a Cluster Shared Volume (CSV), a megfelel hlzatok meglte (kls, bels), s a Hyper-V szerepkr a frttagokon.
179
Ezutn a lemeznket a C:\ClusterStorage\Volume1 knyvtrban rjk el, ide kell majd elhelyeznnk az j magas rendelkezsre lls virtulis gpnket. A kvetkez lpsben ltre is hozhatjuk a VM-et. A Roles menben vlasszuk az j Virtual Machine ment:
A virtulis gp ltrehozsakor meg kell adnunk azt a Node-ot, ahol ltrehozzuk a virtulis gpet. A Hyper-V kezelt sem a gp ltrehozsakor, sem kezelsekor nem kell hasznlunk, minden feladatot a Failover Cluster Managerbl tudunk elvgezni. Ha kivlasztottuk a frttagot, meg kell adnunk az j Virtulis gp nevt, s a konfigurcis llomnyok s pillanatfelvtelek helyt. Fontos, hogy ez mr a CSV-n legyen:
180
Ezutn a szoksos mdon meg kell adnunk a kezdeti memrit, s engedlyezhetjk a dinamikus memriakezelst. Fontos, hogy az sszes node-on kell, hogy legyen ennyi szabad memrink, klnben a VM nem tud kltzni. A hlzat kivlasztsnl adjuk meg a kls hlzatot. Mindkt Hyper-V hoszton ugyanazt a hlzati elnevezst kell hasznlnunk, hogy zkkenmentes legyen a kltzs A VHD llomnyunkat ismt a CSV mappban kell elhelyeznnk. Mivel ebben a mappban troldnak a konfigurcis llomnyok s a pillanatfelvtelek, gy tervezzk az iSCSI lemeznket, hogy ezek mind elfrjenek. Ha a pl a VHD-t 2TB-ra mretezzk, a CSV alap lemeznek legalbb 3TB-ot rdemes adni. Az utols lpsben a teleptsi forrst kell kivlasztanunk. Ha van a hlzatunkon WDS, akkor rdemes hlzatrl telepteni, de a telepts vgn az rklt hlzati krtyt ki kell majd cserlnnk szintetikus krtyra. A varzsl vgn ltrejn a virtulis gpnk, amit a Cluster managerbl kezelhetnk, hasonlan a Hyper-V managerhez: A settings rszben a konfigurcit mdosthatjuk A manage menbl a Hyper-V managert indthatjuk Lemezt hozzadni a lenti Add Storage varzslval tudunk A gp kezelst (start/stop/save) is itt rjk el. Engedlyezhetjk a replikcit egy msik frtre vagy klnll Hyper-V hosztra. A properties rszben adhatjuk meg a preferlt Hyper-V hosztot, illetve failover/failback tulajdonsgait.
181
Storage Migration a Hyper-V konzolon. A virtulis gp alkatrszeit drag&drop-al mozgathatjuk a storage klnbz mappiba
182
19 Windows 8 bevezet
A Microsoft szerint a Windows 8 elmossa a hatrokat a platformok kztt, minden eddiginl tkletesebb felhasznli lmnyt nyjt rintkpernys, illetve hagyomnyos, billentyzettel s egrrel vezrelt eszkzkn egyarnt. Tulajdonkppen egy olyan rendszerbe akarja integrlni termkeit a cg, amely tkletesen tjrhat, s hasonl fellettel rendelkezik. Egy felhasznl, ha a Windows 8 munkallomsa utn kezbe vesz egy Windows 8 RT-vel rendelkez tabletet, vagy elveszi a Windows Phone 8 alap okostelefonjt, kis tlzssal szinte ugyanazt a felletet ltja, azaz nem kell megtanulnia minden eszkznek kezelst. Az adatokkal hasonl a helyzet, hiszen felh segtsgvel brhonnan s brmikor elrheti a Skydrive-on vagy ppen az Office 365-n lv adatait. A fenti cloknak az elrsnek rdekben a Microsoft teljesen az alapoktl kezdte el a Windows 8 fejlesztst. Egy olyan Windows kiadst kell elkpzelnnk, amely olyan mrfldknek tekinthet, mint egykor a Windows 95 kiadsa volt. A PC piac zsugorodik, egyre kevesebb eladst produkl, a felhasznlk a nehz, statikus PC s a szintn nehzkes notebookok helyett a knnyen hordozhat eszkzkre trtek t. Ez arra sztklte a informatikai ipar szereplit, hogy tablet s okostelefon eszkzkre fejlesszenek, akr hardver, akr szoftver termkekrl van sz. A Windows 8 Metro fellete megtallhat szmos eszkzn s kivlan hasznlhat az rintkpernys eszkzkn. A fellet csempkbl pl fel, minden egyes csempe egy-egy alkalmazsnak felel meg. De ezen kvl klnbz informcik is elrhetek, azaz nem kell felttlenl megnyitnunk semmilyen programot, ha ppen az idjrsra, vagy ppen a berkezett levelek szmra vagyunk kvncsiak. A megvltozott fellet a Start men megsznst vonta maga utn ezt felvltotta az ikonsor.
19.1
jdonsgok
A Windows 8-ban szmos jdonsgot tallhatunk, amelyek a kvetkezk: Internet Explorer 10, Metro-stlusban, mely nem tmogatja tbb az ActiveXvezrlket, de kezeli az Adobe Flash-t. Microsoft-fik s SkyDrive-integrci, amelynek eredmnyekpp az adatok szinkronizlhatak egy msik szmtgppel. Jelsz helyett kp alap vdelem s PIN-kd is megadhat. A Windows Intz is megkapja a szalagos mensort. Hibrid indts, mely tvzi a hagyomnyos kilpst a hibernlssal, felgyorstva a rendszer felllsnak idejt. Windows To Go - pendrive-rl indthat opercis rendszer. Kt j helyrelltsi funkci: az egyik segtsgvel a rendszerfjlok visszallthatak eredeti llapotukba, a msikkal pedig a teljes Windows rendszer visszallthat a teleptskori llapotba. USB 3.0 tmogats jfajta kpernylezrsi metdus Vadonatj Feladatkezel Xbox Live integrci
183
Vals merevlemezek virtulis meghajtknt kezelse, akr tbb valdi merevlemezbl is ltrehozhat egyetlen virtulis. Tovbbfejlesztett csaldbiztonsgi funkcik Vrusirtknt is funkcionl Windows Defender
19.2
Kiadsok
A kvetkez Windows 8 kiadsokkal tallkozhatunk, ezek a kvetkezek: Windows 8: Alapveten otthoni hasznlatra tervezve, az vllalati funkcikat kiszedtk belle, mint pl. httrtr titkostst, virtualizcit vagy ppen a group policy szikronizcit. Ezeken kvl viszont megtalljuk a Windows Store-t, amely segtsgvel knnyedn tudunk telepteni j alkalmazsokat, illetve ugyanezen a felleten frissthetjk is. Az itt letlttt alkalmazsokat aztn 5 eszkzn hasznlhatjuk. Windows 8 Professional: Gyakorlatilag a Windows 7 Professional verzijnak utdja. Ezt mr btran hasznlhatjuk zleti krnyezetben is, megkapta a Windows 8 consumer verziban lv funckikat s a Bitlocker s EFS titkostst, a virtualizcis, tartomnyi csatlakozsi lehetsget. Windows 8 Enterprise: Nagyvllalati verzi, ebben minden funkci megtallhat, de csak mennyisgi licensszel rendelkez vllalatoknl rhet el. A Windows 8 Professional verzin fell megtalljuk a Applockert, a Windows to Go-t, DirectAccess-t, Branchcache-t, Hyper-V Remote FX tmogatst. A Windows to Go egy olyan lehetsg, amely ms opercis rendszereknl mr egy ideje elrhet, tulajdonkppen egy l USB eszkzn trolt Windows 8-rl beszlnk. Az elnye, hogy brmilyen USB eszkz indtsra kpes PC-n elindthat, ezltal otthonunkon kvl is a megszokott fellet fogad minket. Egy kls helyszinen lv PC-re nem kell mentennk semmit s a biztonsgi belltsok a Windows-unkon mr elre konfigurltak (mint pl. Windows tzfal, virusvdelem, publikus hlzati belltsok). Windows 8 RT: Tabletekre optimalizlt, rintkpernyvel rendelkez, Office 2013-mas termkekkel elltott kiads.
184
A Windows 7-rl trtn frissts esetn a kvetkez lehetsgek llnak rendelkezsnkre: Windows kiads Enterprise Ultimate Professional Home Premium Home Basic Starter Nem Igen Igen Nem Nem 7 Windows frissts RT Windows frissts 8 Windows 8 Pro Windows 8 frissts Enterprise frissts Nem Igen Nem Igen
19.3
Hasznlat
Az egr s a billentyzet Windows rendszerben trtn hasznlata fknt az asztal esetben alapveten nem vltozott. Ez a tmakr tmutatst nyjt a Windows 8 j szolgltatsainak egrrel s billentyparancsokkal trtn hasznlathoz, valamint nhny megszokott funkci megkeresshez az j krnyezetben. Mvelet A gombok aktivlsa (Keress, Megoszts, Kezdkperny, Eszkzk s Belltsok). Egrrel Mutasson a jobb fels vagy a jobb als sarokra a gombok megjelentshez. (Vigye a mutatt a sarokba egszen addig, amg el nem tnik.) Amikor megjelennek a gombok, a kurzort a szlen fel-le mozgatva kattintson a kvnt gombra. Billentyzettel
Minden gomb: dows billenty +C Keress gomb: dows billenty +Q Megoszts gomb: dows billenty +H WinWinWin-
Kezdkperny gomb: Windows billenty Eszkzk gomb: dows billenty +K Belltsok gomb: dows billenty +I WinWin-
Mutasson a jobb fels vagy a jobb als sarokra a gombok megjelentshez. (Vigye a mutatt a sarokba eg-
zsban.
szen addig, amg el nem tnik.) Amikor megjelennek a gombok, a kurzort a szlen fel-le mozgatva kattintson a Keress gombra, majd adja meg a keresett kifejezst. Ha belltsokat, fjlokat vagy msik alkalmazst kvn keresni, kattintson a kvnt kategrira.
tgpn lv sszes alkalmazst, kattintson a jobb gombbal a kezdkpernyre, majd kattintson a Minden alkalmazs gombra.
Keress az alkalmazsokban vagy egy alkalmazs megkeresse: dows billenty +Q Belltsok keresse: +W dows billenty Fjlok keresse: +F dows billenty WinWin-
Jelentse meg a kezd- Mutasson a bal als sarokra. A billentyzeten nyomja meg a kpernyt. Amikor megjelenik a kezd- Windows billentyt . kperny, kattintson a sarokra. Mutasson a jobb fels vagy a jobb als sarokra a gombok megjelentshez. (Vigye a mutatt a sarokba egszen addig, amg el nem tnik.) Amikor megjelennek a gombok, a kurzort a szlen fel-le mozgatva kattintson a Kezdkperny gombra. Parancsok s helyi me- A jobb gombbal kattintva nk elrse. megjelentheti a parancsokat s a helyi menket. A jobb gombbal az elemekre kattintva ltalban megjelennek az adott elem esetben elrhet lehetsgek.
Windows billenty +Z
A Tab billentyvel vagy a nylbillentykkel jellje ki az elemeket, majd nyomja meg a Szkz vagy az Enter billentyt.
Vlts az utoljra hasz- A legutbb hasznlt alkal- Windows billenty nlt alkalmazsok k- mazsra trtn vltshoz ztt. mutasson a bal fels sarokra. (Vigye a mutatt a sarokba egszen addig, amg el nem tnik.) Amikor megjelenik
+Tab
186
az elz alkalmazs, kattintson a sarokra. Egy msik alkalmazsra trtn vltshoz mutasson a bal fels sarokra, s finoman mozgassa lefel a mutatt. Amikor megjelennek az alkalmazsok, kattintson a kvnt alkalmazsra.
Kt alkalmazs egyms Vigye a mutatt a bal fels Windows billenty melletti hasznlata al- sarokba, amg meg nem jekalmazs dokkolsval. lenik a msodik alkalmazs, majd hzza ezt az alkalmaMegjegyzsek zst a kperny jobb vagy Alkalmazsok dokkol- bal oldalra, amg meg nem shoz legalbb jelenik mgtte egy res 1366768 kppontos terlet. kpernyfelbonts szkHa a bal fels sarokra mutat, sges. A bellts ellemajd lefel mozgatja a munrzse: tatt, megtekintheti a nemA Kpernyfelbonts rg hasznlt alkalmazsokat. megnyitshoz pccint- A kvnt alkalmazst kattinsen befel a kperny tssal s hzssal dokkolhatjobb szlrl, koppint- ja. son a Keress gombra Megtarthatja az alkalmazs (egr hasznlata esetn aktulis mrett, vagy tmmutasson a kperny retezheti gy, hogy a teljes jobb fels sarkra, hzza kperny ktharmadt tltse a mutatt lefel, s katki. tintson a Keress gombra), a keresmezbe rja be a Kperny kifejezst, koppintson vagy kattintson a Belltsok kategrira, majd a Kperny tallatra. Az asztalt alkalmazsknt kezeli a rendszer. Az asztal megnyitsa. Jelentse meg a kezdkper- Windows billenty nyt, s kattintson az Asztal csempre.
+pont
+D
187
Nagyts vagy kicsiny- A kezdkpernyn hasznlja a Ctrl+pluszjel nagyts a jobb als nagyts ikonjt ts sarokban, vagy hasznlja a Ctrl+mnuszjel kicsinyts Ctrl+grgetkerk kombincit. Alkalmazs bezrsa Mutasson a kperny fels Alt+F4 szlre, majd kattintson az alkalmazsra, s hzza a kperny aljra. A bal fels sarokra mutatva, majd a mutatt lefel hzva is bezrhatja a nemrg hasznlt alkalmazsokat. Kattintson a jobb gombbal a kvnt alkalmazsra, majd kattintson a Bezrs gombra. Lellts Mutasson a jobb fels vagy a jobb als sarokra a gombok megjelentshez. (Vigye a mutatt a sarokba egszen addig, amg el nem tnik.) Amikor megjelennek a gombok, a kurzort a szlen fel-le mozgatva kattintson a Belltsok gombra. Kattintson a Fkapcsol ikonra, s vlassza ki a kvnt lelltsi lehetsget. Nyomja le a Ctrl+Alt+Del billentykombincit. A TAB billentyvel lpjen a Fkapcsol ikonra. Megjelenik a lelltsi lehetsgek listja. A fel s le nylbillentykkel vlassza a kvnt lehetsget. Nyomja meg az Enter billentyt.
19.4
Keress
A szmtgpen lv alkalmazsok, belltsok s fjlok a Keress gombbal kereshetk. A Keress gomb hasznlhat a megnyitott alkalmazsban vagy egy msik kijellt alkalmazsban lv elemek keresshez is. A Keress gombbal kereshet pldul j alkalmazsokat az ruhzban vagy nvjegyeket a Kapcsolatok alkalmazsban. A Keress gomb hasznlata Pccintsen befel a kperny jobb szlrl, s koppintson a Keress elemre. (Egr hasznlata esetn mutasson a kperny jobb fels sarkra, hzza a mutatt lefel, s kattintson a Keress elemre.) Adja meg a keressi kifejezst. Ha alkalmazst, belltst vagy fjlt keres a szmtgpen, kattintson az Alkalmazsok, a Belltsok vagy a Fjlok lehetsgre. Ha adott alkalmazson bell keres, koppintson vagy kattintson a listban az alkalmazsra. 188
Ha billentyzettel rendelkezik, s a kezdkpernyn van, a Keress megnyitshoz egyszeren csak kezdjen el berni. Ha a szmtgpen keres egy alkalmazst, megnyomhatja a Windows billenty +Q billentykombincit Ha fjlt keres, megnyomhatja a Windows billenty +F billentykombincit.
189
190
20 Hordozhat munkakrnyezet
Napjaink felhasznli klnbz ugyan klnbz eszkzkrl dolgoznak cges PC, sajt laptop, VDI, RDS krnyezet, de minden eszkzn azonos felletet szeretnnek elrni: asztal, levelezs belltsok, Internetes kedvencek, stb. Ha belegondolunk a sajt munkavgzsi szoksainkba, zemeltetknt hasonl ignyeink vannak: a tanstvnyok, tvoli asztali belltsok, mentett jelszavak brmelyik kliensre vagy kiszolglra bejelentkezve velnk legyenek, s akr a szmtgpnk cserje is kevsb legyen fjdalmas: ne kelljen az sszes belltst jra megadni. A Windows 8-ban a jl ismert technolgik mellett nhny jjal is tallkozunk: felhasznli profilok mappatirnyts File History Elsdleges szmtgp Windows To Go UE-V
20.1.2 Mappatirnyts
Csoporthzirendbl szablyozhatjuk, hogy a tartomnyi felhasznlink a fontos dokumentumaikat ne (ne csak) a helyi gpen troljk, hanem a kiszolglk megosztsain, vagy helyileg s a kiszolgln, folyamatosan szinkronizlva. A dokumentumok mappa tirnytsa mellett vihetjk a tbbi fontos mappt is, mint a fnykpek, videk, letltsek, keressek, stb., gy minden fontos adatot biztonsgban tudhatunk. Ha a felhasznlk hazaviszik a hordozhat gpeiket, a kapcsolat nlkli fjlok segtsgvel otthonrl ugyangy dolgozhatnak a fjljaikkal, s a cges hlzatra csatlakozskor a vltozsok szinkronizldnak. A kapcsolat nlkli elrst a felhasznlk brmelyik tovbbi mappra is engedlyezhetik, pl. kzs mappk, dokumentcik, stb.
191
A File History alapesetben menti az sszes mappnkat, amik a libraries-ben szerepelnek, az asztalt, a kapcsolatokat, kedvenceket s a SkyDrive-unk tartalmt. Ha tovbbi mappkat is szeretnnk menteni, akkor egyszeren fel kell azokat venni brmelyik Library-be, illetve ki is zrhatunk mappkat a Library-n bell.
192
Ezt az rtket kell megadnunk a felhasznlnak, szintn az ADAC-ban, szintn az Extensions / Attribute Editorban, az msDS-PrimaryComputer-nl. Termszetes tbb elsdleges gpet is megadhatunk:
Ha ezzel kszen vagyunk, mr csak egy olyan hzirendet kell ltrehoznunk, ahol megadjuk, hogy a mappa tirnyts csak az elsdleges gpeken rvnyesljn. Ezt a mappatirnytsi hzirendben, a User Configuration/Policies/Administrative Templates/System/Folder redirection tvonalon talljuk, a Redirect Folders on primary computers only opcit kell engedlyeznnk:
193
20.1.5 Windows To Go
A Windows 8-ban j szolgltats (s az USB 3-as szabvny) lehetv teszi, hogy olyan USB pendrive-okat hozzunk ltre a felhasznlknak, ahonnan el tudjk indtani a Windows 8-at, s a cges felhasznli felletket tudjk hasznlni brmelyik szmtgpen. A klss felhasznlknak teht nem kell mindenkppen sajt szmtgpet adni, elg egy Windows To Go USB eszkz, elteleptve a cges hlzati feltteleknek megfelelen pl belltott DirectAccess vagy VPN a felhasznlnak szksges alkalmazsokkal, stb. A Windows To Go-n fut Windows 8-at biztonsggal hasznlhatjuk brmelyik szmtgpen, mert USB-rl indulskor a helyi gp merevlemezei nem lesznek elrhetk. A Windows To Go a Windows 8 Enteprise verzijban tallhat meg, a ksztst is egy mr felteleptett Windows 8 Enterprise-bl tudjuk elindtani:
194
A ltrehozshoz szksgnk lesz egy USB 3-as pendrive-ra, vagy jelen esetben egy USB 3as kls merevlemezre, illetve a telept krni fogja a Windows 8 teleptlemezt is:
Az USB eszkznket ersen javasolt Bitlocker-el titkostani, hiszen a felhasznlk sokkal knyebben elhagyhatjk, mint egy notebookot:
195
A megadott jelszt a Windows To Go minden indtskor krni fogja. Ha minden informcit megadtunk, a varzsl formzza az USB eszkzt, majd feltelept r egy teljesen j Windows 8 Enterprise-t.
196
21 Office 365
Az Office 365 a Microsoft felhalap szolgltatscsomagja, iskolai krnyezetben Microsoft Digitlis Alapcsomag nven is ismers lehet. Ez vltja ki a Tiszta Szoftver program szerver termkeinek egy rszt, s ez az utda a nagy sikerrel fut Live@edu rendszernek, amely vilgszerte iskolk ezreinek a levelezst biztostja. Hrom f rszbl ll: az Exchange Online segtsgvel egysges intzmnyi levelezrendszert hozhatunk ltre sajt domain nv hasznlatval. A SharePoint Online egy fejlett, s az Office alkalmazsokba integrlt intranet rendszert knl, s lehetsget ad egy egyszeren kezelhet publikus weboldal ltrehozsra is. A Lync Online pedig egy azonnali zenetkld, konferencia s egyttmkds-tmogat rendszer, amely ms szolgltatsokkal is sszekapcsolhat, s kpes kivltani akr a bels hagyomnyos telefonhlzatot is. A knyvnek ebben a fejezetben a rendszert rendszergazdai szempontbl mutatjuk be, a regisztrcitl kezdden, a mr helyileg teleptett szolgltatsok felhbe kltztetsn t egszen azok kezelsig.
21.1
Regisztrci
A szolgltatsra a http://office365.hu oldalon tudunk regisztrlni, ahol a Csomagok s djszabs menben vlasszuk az Oktats menpontot. Itt kattintsunk a Csomagok sszehasonltsa gombra. Ezen az oldalon sszehasonlthatjuk az oktatsi csomagokat, melyekbl az A2 csomag ingyenesen jr, a tovbbi csomagokat pedig az oldalon jelzett elfizetsi dj ellenben vehetjk ignybe. A regisztrcihoz kattintsunk a Regisztrljon egy 30 napos prbra felirat gombra.
hozz a sajt domain nevnket a szervezethez, addig a felhasznlk e-mail cmnek ez lesz az uttagja, teht a kukac utni rsze. Az elrhetsg ellenrzse gombra kattintva kiderl, hogy szabad-e mg a vlasztott tartomnynv, s ha igen, akkor tovbbi mezk jelennek meg az rlapon. Meg kell adnunk egy j felhasznli azonostt. Ez lesz az els, rendszergazdai jogkrkkel br felhasznl azonostja. Fontos, hogy ha a ksbbiekben Active Directory szinkronizcit szeretnnk hasznlni, akkor az itt megadott azonost lehetleg ne ltezzen az AD tartomnyban. Hasznljuk pldul az admin, admin365, felhoadmin, vagy ezekhez hasonl azonostt. A pldkban a tartomnynv msiskola.onmicrosoft.com lesz, a felhasznli azonost pedig admin@msiskola.onmicrosoft.com. Az ellenrz kd bersa utn kattintsunk az Elfogads s folytats gombra.
198
Ha magunk hoztuk ltre a krt bejegyzst, akkor a Hitelests gombra kattintva rgtn ellenriztethetjk is a rendszerrel a domaint. Ha levelet kldtnk a szolgltatnak, vagy a mdostsok mg nem lptek rvnybe, akkor kattinthatunk a Ksbb ellenrzm linkre. Ebben az esetben, ha megrkezett a szolgltatnk visszaigazolsa, az adminisztrcis fellet Tartomnyok menpontja alatt hajthatjuk vgre a hitelestst.
Nem kell DNS szakrtnek lenni a belltshoz segt az elre megrt levl
21.2
Licencek ignylse
Az Office 365 rendszerben a szmlzs felhasznlkhoz rendelt licencek alapjn trtnik. A licencek kaphatak csoportokban, amiket egy bet s egy szm kombincijval jellnek, pl. A1, A2, A3; s kaphatak kln-kln is, pl. csak Exchange Online. Licencet vsrolhatunk rgtn a regisztrci vgn, de brmikor ksbb is, az adminisztrcis fellet Elfizetsek men, Vsrls linkjn keresztl. A kzoktats szmra hrom klnbz licenckonstrukci rhet el ingyen: a tantestlet s a dikok az A2-es szint Office 365 csomagot hasznlhatjk, az elballag dikok pedig a levelezsket tarthatjk meg az Exchange Online volt dikoknak licenccel. Ezeknek a csomagoknak az ra 0 Euro az oldalon. Licenc vsrlshoz a Vsrls oldalon kattintsunk a kivlasztott licenc melletti Hozzads linkre. A megjelen ablakban adjuk meg, hny darab licencet szeretnnk ignyelni, majd kattintsunk a Bevsrlkocsiba gombra. Miutn a bevsrlkocsiban van az sszes vsrolni kvnt licenc, kattintsunk a Megrendels gombra. Ezek utn meg kell adnunk a szolgltats felhasznlsi helyt, a szmlzsi adatokat, a fizets mdjt s temezst, majd el kell fogadnunk a szerzdsi feltteleket. A megrendels vglegestse utn a megrendelt licencek rgtn megjelennek a Kezels oldalon, s innentl kezdve felhasznlkhoz is rendelhetek.
199
21.3
Teleptsi terv
Exchange 2010, 2007, 2003 < 1000 Exchange 2007 vagy 2003 Exchange 2010 Exchange 2000 s alatta Nem Exchange Nincs korlt > 1000 Nincs korlt Nincs korlt
200
A varzslt az adminisztrcis fellet Szemlyre szabott terv menpontjbl rhetjk el. Els lpsben ki kell vlasztanunk, hogy Prba vagy Kzponti telepts tpus tervet ksztnk. A kett kztt a legfbb klnbsg az, hogy mg a Prba terv olyan megoldst ajnl, amihez a meglv, helyi rendszereinket a lehet legkisebb mrtkben kell mdostani (ahogy a neve is jelzi, elbb kiprblhatjuk a rendszert), addig a Kzponti telepts tpus terv clja, hogy miutn a kiprbls mr megtrtnt, tnyleges tllst hajtsunk vgre. Vlasszuk ki teht a cljainknak megfelel tpus tervet, s kattintsunk a Tovbb gombra. A kvetkez lapon vlasszuk ki, mely szolgltatsokat szeretnnk belltani, majd kattintsunk ismt a Tovbb gombra. Ha bejelltk, hogy szeretnnk hasznlni a levelez szolgltatst, akkor a kvetkez lapon meg kell adnunk, hogy milyen a jelenlegi levelezrendszernk. Ezutn varzsl felajnlja az elzekben megadott konfigurci tmogatott tteleptsi lehetsgeit. Itt kell majd eldntennk, hogy szeretnnk-e meghagyni helyi postafikokat is, hogy szinkronizljuk-e az Active Directoryt, s hogy a jelszavakat hol troljuk. Egy utols sszefoglal lap utn, a Befejezs gombra kattintva megnzhetjk a vgleges tervet. A teleptsi folyamat ettl a ponttl kezdve jelentsen fgg a tervben meghatrozott cloktl, s a meglv levelezrendszer adottsgaitl. A fejezet htralv rszben bemutatjuk az egyes teleptsi lpseket, de ezek kzl teleptsi krnyezettl fggen nem mindegyiket szksges vgrehajtani, s a sorrend is vltoz lehet. A pontos lpseket s sorrendet az elbbiekben ltrehozott Szemlyre Szabott Terv hatrozza meg.
21.4
Az egyszeri bejelentkezsi szolgltats belltsval elrhet, hogy a felhbeli felhasznlk a helyi Active Directory-beli jelszavukkal tudjanak bejelentkezni az Office 365 szolgltatsaiba. Megfelel konfigurcival az is elrhet, hogy a tartomnyi felhasznlknak (a szolgltats nevvel sszhangban) valban csak egyszer, a Windowsba val belps alkalmval kelljen megadni a jelszavukat, a tovbbiakban a bejelentkeztets automatikus legyen.
201
(https://portal.microsoftonline.com/IdentityFederation/IdentityFederation.aspx)
202
5) A msik megolds a PowerShell hasznlata. Ehhez a kvetkez parancsot hasznlhatjuk a knyv ezzel foglalkoz fejezetben ismertetett mdon:
$regiUtotag = 'msiskola.local' $ujUtotag = 'msiskola.hu' $dcCN = 'ou=Minta,dc=msiskola,dc=local' $tartomanyvezerlo = 'dc' # # # # a mostani uttag az j, alternatv uttag hol keresse a felhasznlkat? a tartomnyvezrl neve
Get-ADUser -SearchBase $dcCN SearchScope subtree -filter * | ForEachObject { $ujUPN = $_.UserPrincipalName.Replace($regiUtotag,$ujUtotag) $_ | Set-ADUser -server $tartomanyvezerlo -UserPrincipalName $ujUPN }
A fenti kdban az els 4 sort kell testre szabnunk. Az els kt vltoz rtkeknt az aposztrfok kz be kell rnunk a jelenlegi s a most ltrehozott alternatv UPNuttagokat. A harmadik vltoz azt az objektumot hatrozza meg, amiben keresi a felhasznlkat a szkript. Azaz jelen belltsok szerint a Minta nev szervezeti egysgben (OU) keres, az msiskola.local tartomnyban. Ha az egsz tartomnyban szeretnnk a keresst vgezni, elhagyhatjuk az ou=Minta felttelt: $dcCN = 'dc=msiskola,dc=local' Az utols vltozba pedig a tartomnyvezrl nevt kell rnunk.
203
2) Importljuk az elbb ltrehozott DNS rekordhoz tartoz tanstvnyt. A pldban: fs.msiskola.hu 3) Ha Windows Server 2008 rendszerre (nem R2-re) teleptnk, akkor kezds eltt teleptsk fel a Webkiszolgl (IIS) szerepkrt az alaprtelmezett szerepkr-szolgltatsokkal, s a .NET keretrendszer 3.5-s verzija nev szolgltatst. 4) Hozzunk ltre egy j felhasznli fikot a tartomnyban, amit a szolgltats fog hasznlni. Pl. MSISKOLA\fs 5) Tltsk le az ADFS 2.0 teleptt, s a hozz tartoz Update Rollup 2 frisstst: ADFS 2.0: http://www.microsoft.com/hu-hu/download/details.aspx?id=10909 Update Rollup 2: http://support.microsoft.com/kb/2681584 (a letltsi linket e-mailben kldik) Megjegyzs: e knyv rsnak idejn a Windows Server 2012 Release Candidate llapotban van, ezrt mg nem kszlhetett hozz ADFS telept. A linkeken a Windows Server 2008 R2-es verzijhoz kszlt teleptk tallhatk. 6) Teleptsk fel az ADFS 2.0 kiszolglt. Ehhez indtsuk el az AdfsSetup.exe-t, majd a licencszerzds elfogadsa utn vlasszuk ki az sszevonsi kiszolgl lehetsget. A Kvetkez gombra kattintva elindul a telepts. A befejez kpernyn vegyk ki a pipt az Induljon ez az ADFS 2.0 kezel bepl modulja a varzsl bezrsa utn ell, majd zrjuk be a varzslt. Ezutn teleptsk fel az Update Rollup 2 csomagot. 7) Indtsuk el az ADFS 2.0 kezelt a Start men / Felgyeleti eszkzk all. A fkpernyn kattintsunk az ADFS 2.0 sszevonsi kiszolgl konfigurlsa varzsl linkre. Az els lapon vlasszuk az j sszevonsi kiszolgl-farm ltrehozsa pontot, majd kattintsunk a Kvetkez gombra. A Teleptstpus kivlasztsa lapon vlasszuk az j sszevonsi kiszolgl-farm pontot, majd kattintsunk a Kvetkez gombra. Az sszevonsi szolgltats neve lapon megjelennek a teleptett s rvnyes tanstvnyok. Vlasszuk ki a korbban importlt fs.msiskola.hu-hoz tartoz tanstvnyt. A varzsl a tanstvny alapjn rgtn kitlti az sszevonsi szolltats neve mezt is. Kattintsunk a Kvetkez gombra. A Szolgltatsfik megadsa lapon ki kell vlasztanunk a korbban ltrehozott tartomnyi szolgltatsfikot, s meg kell adnunk a hozz tartoz jelszt. A Kvetkez gombra kattintva egy sszegzst kapunk a mveletekrl, amit a Kvetkez gombra tett ismtelt kattintssal el is kezd a varzsl. Ha minden pipa zld, a Bezrsra kattintva befejezhetjk a varzslt.
204
Ha eddig mindent jl csinltunk, akkor bels hlzatrl megnyitva a https://fs.msiskola.hu/FederationMetadata/2007-06/FederationMetadata.xml cmen egy XML formtum fjlt tallunk.
Ahol az IP cm helyre rjuk a sajt ADFS szervernk, vagy frtnk IP cmt, a cm helyre pedig a sajt ADFS szolgltatsnevnket. 2) Ha Windows Server 2008 rendszerre (nem R2-re) teleptnk, akkor kezds eltt teleptsk fel a Webkiszolgl (IIS) szerepkrt az alaprtelmezett szerepkr-szolgltatsokkal, s a .NET keretrendszer 3.5-s verzija nev szolgltatst.
205
3) Az ADFS szerver teleptshez hasznlt teleptt indtsuk el ezen a gpen is, azonban most a licenc elfogadsa utn az sszevonsi proxykiszolgl lehetsget vlasszuk. A Kvetkez gombra kattintva elkezddik a telepts. A befejez kpernyn vegyk ki a pipt az Induljon ez az ADFS 2.0 kezel bepl modulja a varzsl bezrsa utn opci ell, majd zrjuk be a varzslt. 4) Az ADFS szerver teleptshez hasznlt Windows Update frisstfjlt futtassuk le ezen a gpen is az Update Rollup 2 teleptshez. 5) Az ADFS szerveren meglv fs.msiskola.hu tanstvnyt importljuk erre a szerverre is. Ezt legegyszerbben az IIS management konzolon tudjuk megtenni. Kattintsunk a szerver nevre, s vlasszuk ki a Kiszolgli Tanstvnyok ikont. A jobb oldali panelen vlaszszuk az Importls linket, tallzzuk a fjlt, s rjuk be a hozz tartoz jelszt. 6) lltsuk be, hogy az alaprtelmezett weboldal HTTPS kapcsolatokat is fogadjon. Ehhez tovbbra is az IIS konzolon nyissuk le a szerver nevt, majd azon bell a Helyek ment. Kattintsunk jobb gombbal a Default Web Site elemre, s vlasszuk a Ktsek szerkesztse lehetsget. A megnyl ablakban kattintsunk a Hozzads gombra. A Hely ktsnek hozzadsa ablakban a tpusnl vlasszuk a https-t, az SSL tanstvnynl pedig az elz pontban importlt tanstvnyunkat. Kattintsunk az Ok, majd a Bezrs gombra.
7) Indtsuk el a Start menbl az ADFS 2.0 proxy kiszolgl konfigurcis varzsljt. Az dvzlkpernyn kattintsunk a Kvetkez gombra. Az sszevonsi szolgltats neve lapon ellenrizzk, hogy az alaprtelmezett nv azonos-e a mienkkel. Ha igen, kattintsunk a Kvetkez gombra. A felugr azonost ablakba rjuk be a tartomnyi rendszergazdai adatainkat, ezt fogja hasznlni a varzsl az ADFS szerver s a proxy sszerendelshez. 8) lltsuk be, hogy a proxy szerver rlap alap azonostst hasznljon. Ehhez az IIS menedzsment konzolon nyissuk le a Default Web Site elemet a bal oldali navigcis panelen. Keressk meg az adfs elemet, nyissuk le, majd kattintsunk az ls elemre. Mikzben az ls elem van kivlasztva, kattintsunk a Hitelests ikonra. Tiltsuk le a Windows hitelestst, s engedlyezzk helyette az rlapos hitelestst.
206
1) A domain nevnk (msiskola.hu) fenntartjnl krnnk kell, hogy hozzon ltre egy j DNS rekordot fs.msiskola.hu nven, aminek arra a kls, interneten is elrhet IP cmre kell mutatnia, amelyre most az ADFS szolgltatst ki fogjuk publiklni. Amennyiben a domain nevet mi tartjuk fenn, ezt magunk is megtehetjk. Ha rendelkeznk tzfallal, akkor azon is ki kell engednnk az ADFS weboldalt. Ennek mikntje tzfal szoftverenknt eltr lehet, ltalnossgban azonban elmondhat, hogy egy egyszer weboldalhoz hasonl mdon kell eljrnunk (amely azonban minden esetben HTTPS protokollt hasznl), ahol a weboldal kls neve fs.msiskola.hu, a bels szerver pedig az ADFS proxy szervernk cme, vagy ha frtbe szerveztk a proxykiszolglkat, akkor a frt IP cme. Az albbiakban a Microsoft Forefront Threat Management Gateway szoftvern rszletesen is ismertetjk a szksges lpseket, mivel itt nhny specifikus lpsre is szksg van a helyes mkdshez. 2) Importljuk az fs.msiskola.hu cmhez tartoz SSL tanstvnyunkat erre a gpre is. Ehhez a Windows s az R gombok lenyomsa utn megjelen ablakba rjuk be: mmc, majd a megjelen ablakban kattintsunk a Fjl, Bepl modul hozzadsa/eltvoltsa elemre. A bal oldali listbl vlasszuk a Tanstvnyok elemet, s kattintsunk a Hozzads gombra. A felugr ablakban vlasszuk a Szmtgpfik lehetsget, a kvetkez lapon pedig a Helyi szmtgpet. Vgl kattintsunk a Befejezs, majd az OK gombra. Nyissuk le a bal oldali navigcis ft a Tanstvnyok/Szemlyes/Tanstvnyok elemig. Kattintsunk erre az elemre jobb gombbal, s a helyi menben vlasszuk az sszes feladat/Importlst. Ebben a varzslban tallzzuk a tanstvny privt kulccsal egytt exportlt pldnyt, adjuk meg a hozz tartoz jelszt, majd kattintsunk a Befejezs gombra.
3) Indtsuk el a Forefront TMG menedzsment konzolt. A Tasks oldalpanelen vlasszuk a Publish Web Sites linket. 4) A megjelen varzslban nevezzk el az j szablyt, pldul ADFS proxy publikls. 5) A kvetkez hrom kpernyn fogadjuk el az alapbelltsokat, s kattintsunk a Next gombra. 6) Az Internal Site Name mezbe rjuk be az ADFS szolgltats nevt, pl. fs.msiskola.hu, a Computer Name or IP address mezbe pedig rjuk be az ADFS proxy szerver vagy frt IP cmt. 7) A kvetkez lapon a Path mezbe rjuk a kvetkezt: /* A Forward the original host header eltti pipt jelljk be. 8) A Public Name Details lapon a Public name mezbe rjuk be ismt az ADFS szolgltatsunk cmt: fs.msiskola.hu, majd lpjnk tovbb.
207
9) Ltre kell hoznunk egy Web listenert. Ehhez kattintsunk a New gombra. Adjunk neki egy nevet, pl. fs.msiskola.hu, majd lpjnk tovbb. Hagyjuk kivlasztva a Require SSL lehetsget. A kvetkez lapon pipljuk ki az External melletti pipt. A Select IP addresses gombbal kivlaszthatjuk, melyik IP cmen fogjuk fogadni a kapcsolatokat ezzel a listenerrel. Ennek akkor van gyakorlati jelentsge, ha tbb kls IP cmnk is van. A kvetkez lapon vlasszuk a Use a single certificate lehetsget, a Select Certificate gombra kattintva pedig vlasszuk ki az els lpsben importlt tanstvnyunkat, amely az fs.msiskola.hu cmre szl, majd lpjnk a kvetkez lapra. A legrdl menbl vlasszuk a No Authentication lehetsget, s lpjnk tovbb, majd fejezzk be a varzslt. Visszatrve az elz varzslra, vlasszuk ki a most ltrehozott Web Listenert a listbl, s lpjnk a kvetkez lapra. 10) Az Authentication Delegation lapon vlasszuk a No delegation, but client may authenticate directly lehetsget, majd lpjnk tovbb. 11) A Users lapon hagyjuk meg az alaprtelmezett All Users rtket, majd fejezzk be a varzslt. 12) Nyissuk meg a frissen ltrehozott szablyt, lpjnk a Link translation flre, majd vegyk ki a pipt az Apply link translation to this rule ell. 13) Mg mindig a szably tulajdonsgainl lpjnk a Traffic flre, s kattintsunk a Filtering gombra, majd a Configure HTTP lehetsgre. A megjelen ablakban vegyk ki a pipkat a Verify normalization s a Block high bit characters opcik ell.
Kattintsunk az OK gombra mindkt ablakban. 14) Vgl alkalmazzuk az elvgzett belltsokat fels srga cskban tallhat Apply gombra kattintva.
208
1) Tltsk le, s teleptsk a Microsoft Online Services bejelentkezsi segd (MOS SIA) informatikai szakembereknek nev programot: http://www.microsoft.com/hu-hu/download/details.aspx?id=28177 2) Teleptsk fel a korbbiakban letlttt Microsoft Online Services modul Windows PowerShell krnyezethez programot. 3) Indtsuk el a programot az asztalon tallhat parancsikonnal. Egy parancssort kell ltunk. 4) rjuk be a kvetkez parancsokat, ebben a sorrendben:
$c = Get-Credential
A megjelen ablakban adjuk meg az Office 365 rendszergazdai felhasznlnk azonostjt s jelszavt! Pl.: admin@msiskola.onmicrosoft.com
Connect-MsolService -Credential $c
Ezzel pedig talaktjuk az msiskola.hu domain nevet egyszeri bejelentkezst hasznl domain nvv.
Ellenrizzk a mvelet sikeressgt az adminisztrcis felleten. Kattintsunk a bal oldali menben a Tartomnyok linkre, majd a listban az imnt talaktott domain nevnkre: msiskola.hu Sikeres talakts esetn a Tartomnytpusnl a Egyszeri bejelentkezs: A tartomny egyszeri bejelentkezsre van konfigurlva. szveget ltjuk.
21.5
Cmtr-szinkronizci belltsa
Az egyszeri bejelentkezs szolgltats minden valsznsg szerint mr mkdik, de mg nincsenek felhasznlink a felhben, akik be tudnnak vele jelentkezni. Ahhoz, hogy a helyi Active Directory felhasznlink megjelenjenek a felhben is, szinkronizlnunk kell ket. Ehhez a Microsoft Cmtr-szinkronizl eszkzt kell teleptennk.
21.5.1 Rendszerkvetelmnyek
A Cmtr-szinkronizl eszkzt egy olyan szerverre kell teleptennk, amely:
209
Tartomnyi tag abban a tartomnyban, amit szinkronizlni szeretnnk Nem tartomnyvezrl Teleptve van rajta a .NET keretrendszer 3.5.1-es verzija Opercis rendszer kvetelmnyek: o 32 bites: Windows Server 2003 vagy Windows Server 2008 o 64 bites: Windows Server 2008 R2 vagy Windows Server 2008
3) Tltsk le a Cmtr-szinkronizl eszkzt. A letltsi linket az elz pontban ismertetett oldalon talljuk, az AD szinkronizci aktivl gombja alatt. 4) Teleptsk fel a szinkronizl eszkzt egy olyan szmtgpre, ami megfelel a fent rszletezett rendszerkvetelmnyeknek. 5) Telepts utn alaprtelmezs szerint automatikusan indul a konfigurcis varzsl. a) Meg kell adnunk az Office 365 adminisztrtori azonostnkat s jelszavunkat. Pl.: admin@msiskola.onmicrosoft.com Ha a Tovbb gombra kattints utn hibazenetet kapunk, miszerint az Active Directory szinkronizci nincs engedlyezve a domainnkn, akkor lehetsges, hogy mr elindtottuk az aktivlst, de mg nem fejezdtt be. b) A msodik lapon meg kell adnunk a tartomnyi adminisztrtori adatainkat. Ennek segtsgvel fogja a konfigurcis varzsl megadni a szinkronizcis szolgltatsnak a megfelel jogosultsgokat. c) A kvetkez lapon meg kell adnunk, hogy szeretnnk-e Exchange Hibrid konfigurcit belltani a ksbbiekben. Ha igen, akkor a varzsl rsi jogosultsgokat is be fog lltani magnak az Active Directoryban, ellenkez esetben csak olvassi jogosultsgokat fog kapni.
210
d) Vgl rvid vrakozs utn alaprtelmezs szerint azonnal elindul a szinkronizci. A folyamatot az esemnynaplbl kvethetjk, hiba esetn pedig e-mailt fogunk kapni a felhbeli adminisztrtori fikunkba. 6) Ellenrizzk a szinkronizci eredmnyeit. A szinkronizland elemek szmtl fggen nhny percen bell az adminisztrcis fellet Felhasznlk menpontjnak el kell kezdenie feltltdni az AD-beli felhasznlinkkal.
A nevek melletti ikonok is jelzik, hogy az utols hrom felhasznl szinkronizlva van
Trelmetlenebbek a Windows esemnynapljban rszletesen lthatjk a szinkronizci lpseit azon a gpen, amelyre a Cmtr-szinkronizl eszkzt teleptettk. A kezdeti szinkronizci utn 3 rnknt inkrementlis szinkronizci trtnik, amikor csak a vltozsokat szinkronizlja a program. Ha a ksbbiekben kzzel szeretnnk szinkronizcit indtani, akkor ltogassunk el a C:\Program Files\Microsoft Online Directory Sync mappba, ahol tallunk egy DirSyncConfigShell.psc1 nev fjlt. Ezt elindtva egy konfigurcis konzol nylik meg, ahol a Start-OnlineCoexistenceSync parancs kiadsval azonnal szinkronizcit indthatunk. Ehhez a fjlhoz rdemes egy parancsikont is ltrehozni az Asztalra, mivel a szinkronizcis hibk elhrtsa sorn ez egy srn hasznlt parancs lehet.
21.6
Az Office 365 szolgltatsban az Active Directorybl szinkronizlt felhasznlkat aktivlni kell. Aktivls alatt a szolgltats ignybevteli helynek megadst s a megfelel licenc hozzrendelst rtjk. Ezt a folyamatot elvgezhetjk a webes adminisztrcis felletrl s PowerShellbl is.
211
4) Alatta lthatjuk az elrhet licenceket. Kivlaszthatunk egy egsz szolgltatscsomagot (pl. Microsoft Office 365 A3 csomag dikoknak), vagy csak bizonyos szolgltatsokat (pl. Lync Online + Exchange Online). 5) A Tovbb gombra val kattints utn megadhatunk egy e-mail cmet, amire az aktivls vgn egy sszest levelet fog kldeni a rendszer. Ez elssorban akkor fontos, ha gy konfigurljuk a szolgltatst, hogy a felhasznlknak az Office 365-hz kln jelszavuk lesz, mivel ebben az esetben a jelszavakat most fogja generlni a rendszer, s ez clszer, ha e-mailben is megvan. 6) Az Aktivls gombra kattintva a rendszer elvgzi a krt belltsokat a kijellt felhasznlkon. A folyamat vgn megjelennek a mveletek eredmnyei.
A megjelen ablakban adjuk meg az Office 365-beli adminisztrtori adatainkat, pl.: admin@msiskola.onmicrosoft.com
Get-MsolAccountSku
212
Az els kt sor az A3 szint prbalicenceket jelzi, a msodik kett pedig utlag ignyelt A2 szint kzoktatsi csomag.
Ha egy AD-beli csoport tagjaira szeretnnk alkalmazni egy belltst, akkor a kvetkez szkriptet futtassuk:
$csoport = '2006d' # az AD-beli csoport neve $licenc='msiskola:STANDARDWOFFPACK_STUDENT' # a hozzrendelend licenc neve Get-ADGroupMember -Identity $csoport | Get-ADUser | ForEach-Object { $_ | Set-MsolUser -UsageLocation HU # felhasznls helye Magyarorszg $_ | Set-MsolUserLicense -UserPrincipalName $_.UserPrincipalName -AddLicenses $licenc # licenc hozzrendelse }
Ha az Active Directoryban nem csoportokban, hanem szervezeti egysgekben (OU) vannak a felhasznlink, akkor ez a szkript fog segteni:
$keresesHelye = 'ou=Minta,dc=msiskola,dc=local' # a keresend OU $licenc = 'msiskola:STANDARDWOFFPACK_STUDENT' # a hozzrendelend licenc Get-ADUser -SearchBase $keresesHelye -filter * | ForEach-Object { $_ | Set-MsolUser -UsageLocation HU # felhasznls helye Magyarorszg $_ | Set-MsolUserLicense -UserPrincipalName $_.UserPrincipalName -AddLicenses $licenc # licenc hozzrendelse }
21.7
Hibrid Exchange telepts esetn a jelenleg mr ltez Exchange teleptsnk is megmarad az Office 365 felhalap szolgltats mellett. A postaldk egy rsze gy helyben maradhat, mikzben a msik rszk a felhben van. A globlis cmlista, az elrhetsgi informcik, a keress a postalda helytl fggetlenl mkdik, a felhasznl szmra teljesen transzparens mdon.
213
21.7.1 Rendszerkvetelmnyek
A hibrid Exchange konfigurci knlja a migrcis tpusok kzl a legszlesebb kr funkcionalitst, ugyanakkor ezek elrshez teljeslnik kell bizonyos rendszerkvetelmnyeknek: Exchange 2010 Service Pack 2 szerver, melyre teleptve van az Update Rollup 3 csomag Lennie kell legalbb egy rhat Windows Server 2003 SP1 vagy jabb rendszer tartomnyvezrlnek Az AD erd mkdsi szintjnek legalbb Windows Server 2003-asnak kell lennie Cmtr-szinkronizl mkdik (lsd korbban) Egyszeri bejelentkezs szolgltats mkdik (ADFS 2.0, lsd korbban) Kls tanstvnyok a webes s SMTP cmekhez
A kvetkez pldban felttelezzk, hogy van egy mkd, a fenti rendszerkvetelmnyeknek megfelel Exchange levelezrendszer, mely az albbi cmeken rhet el: Outlook Web App: mail.msiskola.hu SMTP: smtp.msiskola.hu Felttelezzk tovbb, hogy mindkt cmhez s szolgltatshoz be van lltva a megfelel, kls tanstvnyszolgltattl szrmaz tanstvny. Amennyiben nincs, a 21.14-es fejezetben bemutatunk egy ingyenes tanstvnyszolgltatt, amivel ez megoldhat.
21.7.2 Elkszletek
1) Els lpsben, a korbbiakban mr ismertetett mdon be kell lltanunk kt DNS rekordot, vagy meg kell krnnk a domain nevnk fenntartjt, hogy lltsa be neknk. Termszetesen ezekre csak akkor van szksg, ha mg nincs konfigurlva az adott szolgltats az Exchange krnyezetnkben. Az els az autodiscover.msiskola.hu. Ennek a rekordnak annak az Exchange szervernek a kls IP cmre kell mutatnia, amelyik a Client Access szerepkrt birtokolja. Erre a cmre az Outlook Autodiscover szolgltatst konfigurljuk. Ez az IP cm ltalban ugyanaz, mint amin az Outlook Web App-ot is elrjk. Amennyiben tzfalat hasznlunk, ltre kell hoznunk egy j weboldal-publikcis szablyt, amely az Exchange Client Access szervernkre irnytja az erre a cmre rkez forgalmat, s engedlyezi a /AutoDiscover/* tvonal oldalak elrst. A msodik ltrehozand rekord egy n. SPF rekord, ami a spamek elkerlst segti. Belltsa nem ktelez, csak ajnlott. Ez egy TXT tpus rekord, aminek az rtke a kvetkez:
v=spf1 include:outlook.com include:spf.messaging.microsoft.com ~all
2) Ellenrizzk az AutoDiscover szolgltats mkdst. Ehhez ltogassunk el a https://www.testexchangeconnectivity.com/ weboldalra, vlasszuk az Outlook Autodiscover menpontot, s kattintsunk a Next gombra. Adjuk meg egy rvnyes felhasznl bejelentkezsi adatait, s az ellenrz kdot, majd kattintsunk a Perform Test gombra.
214
A program elkezdi ellenrizni a szolgltats mkdst, s ha problmt szlel, azt rszletesen jelzi, s javaslatot is tesz a megoldsra.
3) A postaldk mozgatsa a felh s a helyi Exchange kztt a Mailbox Replication Service segtsgvel trtnik. Ahhoz, hogy ezt az interneten keresztl el tudja rni az Exchange Online, lehetsges, hogy mdostanunk kell a tzfal szablyainkon. A szolgltats cme, amit publiklnunk kell: a) /EWS/mrsproxy.svc/WSSecurity b) /EWS/Exchange.asmx/WSSecurity 4) Adjuk hozz az Office 365 szervezetnket az Exchange 2010 menedzsment konzoljhoz. Ehhez nyissuk meg a konzolt, s kattintsunk jobb egrgombbal a Microsoft Exchange elemre a navigcis fban. Vlasszuk ki az Add Exchange forest elemet a helyi menbl. A megjelen ablakban adjunk egy tetszleges nevet a felhbeli szervezetnknek, a Specify the FQDN or URL of the server running the Remote PowerShell instance legrdl menbl vlasszuk az Exchange Online elemet, majd kattintsunk az OK gombra. A megjelen ablakban adjuk meg a felhbeli adminisztrtori adatainkat, pl.: admin@msiskola.onmicrosoft.com Ha az adatok helyesek voltak, a helyi Exchange teleptsnk mellett megjelenik egy j Exchange erd a navigcis fban, amit a helyi teleptshez hasonl mdon kezelhetnk.
215
3) A megjelen varzsl sszefoglalja a vgrehajtand parancsokat. A vgrehajtshoz kattintsunk a New gombra. Ezzel a varzsl ltrehozta a Hibrid konfigurcis objektumot. Ennyire azrt nem egyszer a dolgunk, mert ezt az objektumot konfigurlnunk is kell. 4) Ehhez kattintsunk dupln a Hybrid Configuration elemre. 5) A Credentials lapon meg kell adnunk elszr a helyi, alatta pedig a felhhz tartoz adminisztrtori adatainkat. rjuk be ezeket, majd kattintsunk a Next gombra. 6) A Domains lapon a levelezshez hasznlt domain nevet vagy neveket kell megadnunk. A hibrid konfigurci ltrehozshoz legalbb egy domain nevet ki kell vlasztanunk. 7) A Domain Proof of Ownership lapon minden kivlasztott domainhez generl a rendszer egy kdot. Ezt a kdot az adott domain DNS znjba, egy TXT rekord rtkeknt kell elhelyeznnk. A kdot a Ctrl-C billentyk lenyomsval msolhatjuk ki az ablakbl.
Helyezzk el a kdot, vagy krjk meg a domain fenntartjt, hogy hozza ltre a szksges rekordokat helyettnk. Ha ez minden domain nvhez megtrtnt, pipljuk be az oldalon lv jellngyzetet, hogy tovbblphessnk. 8) A Servers lapon vlasszuk ki azt a szervert, vagy azokat a szervereket, amelyek az Online szolgltatssal fognak kommuniklni. Meg kell adnunk legalbb egy Client Access szervert, amely az adatok megosztst s a postafikok mozgatst fogja vgezni, s legalbb egy Hub Transport szervert, amely a helyi s az online postafikok kztti levlforgalmat bonyoltja. 9) A Mail Flow Settings lapon adjuk meg a Hub Transport szerver(ek) kls, internet fell lthat IP cmt vagy cmeit, s ugyanennek a szervernek a teljes cmt, pl.: smtp.msiskola.hu 10) A Mail Flow Security lapon ki kell vlasztanunk az elbb megadott teljes cmhez tartoz, korbban ignyelt vagy importlt tanstvnyt. A varzsl csak a kls tanstvnyszolgltatktl szrmaz, rvnyes tanstvnyokat jelenti meg. Ezen a lapon kell kivlasztanunk azt is, hogy az Exchange Online-on trolt postafikokbl kimen levelek milyen ton jussanak el a cmzetthez. Deliver Internet-bound messages directly using the external recipients DNS settings: a leveleket a rendszer a helyi telepts megkerlsvel, kzvetlenl a cmzetthez tovbbtja (ajnlott) Route all Internet-bound messages through your on-premises Exchange servers: a leveleket a rendszer minden esetben a helyi Exchange-en keresztl fogja tovbbtani 11) A Progress lapon tallunk egy sszefoglalt a futtatand parancsokrl, amiket a Manage gombbal el is indthatunk. A folyamat akr 15 percig is tarthat, s csak akkor fog sikeresen vgzdni, ha az ellenrz kd mr szerepel a domain DNS-ben.
216
12) Hozzunk ltre egy teszt postafikot! Kattintsunk az Exchange On-Premises/Recipient Configuration elemre, majd a jobboldali mveletek panelen vlasszuk a New Remote Mailbox lehetsget. 13) Az Introduction lapon vlasszuk a User mailbox tpust, s kattintsunk a Next gombra. 14) A User Information lapon adjuk meg a szksges adatokat. A UPN-uttag legrdl listbl a @msiskola.hu rtket vlasszuk. 15) Az Archive Mailbox lapon ne jelljk be a jellngyzetet, csak kattintsunk a Next gombra. 16) A Progress lapon kapunk egy sszefoglalt a lefuttatand parancsokrl. Kattintsunk a New gombra a vgrehajtshoz. 17) A cmtr-szinkronizci alaprtelmezs szerint 3 rnknt megy vgbe. Megvrhatjuk, amg automatikusan megtrtnik, vagy kzzel is elindthatjuk. Ehhez rszletes tmutatt a Cmtr-szinkronizls belltsa fejezetben tallunk. 18) A webes adminisztrcis felleten aktivljuk a frissen ltrehozott felhasznlt, rendeljnk hozz licencet. 19) Prbljunk meg bejelentkezni a friss felhasznlval a http://mail.office365.com oldalon.
6) A Target Forest legrdl listbl vlasszuk ki az Office 365 szolgltats ltalunk megadott becenevt, az FQDN of the Microsoft Exchange Mailbox Replication service proxy server in the source forest mezbe pedig rjuk be a Client Access szervernk kls domain nevt, pl.: mail.msiskola.hu
A Use the following source forests credentials jellngyzetet jelljk be, s adjuk meg a helyi teleptshez tartoz adminisztrtori felhasznl adatait, akinek joga van a postafikokat thelyezni. 7) A Target Delivery Domain mezbe a Browse gomb segtsgvel vlasszuk ki a hibrid telepts domain nevt, pl.: msiskola.hu 8) A kvetkez lapon egy sszefoglalt lthatunk a vgrehajtand parancsokrl, amiket a New gombbal le is futtathatunk. 9) A gombra val kattintssal ltrejn egy j Move Request, ami az azonos nev menpont alatt jelenik meg, postafikonknt egy darab. Itt figyelhetjk az tteleptsi folyamatot. 10) Az ttelepts befejeztvel nem helyezhetjk t jbl a postaldt mindaddig, amg a hozz tartoz Move Requestet ki nem trltk.
A pontos MX belltsokat megtalljuk az adminisztrcis fellet Tartomnyok menpontjn bell, ha kijelljk a levelezsi domain nevnket, s a tblzat feletti DNS belltsok megtekintse linkre kattintunk. ltalnossgban elmondhat, hogy az MX rekord rtknek <domain>.mail.eo.outlook.com formtumnak kell lennie, ahol a <domain> rszt a levelezsi domain nevnkkel kell behelyettesteni gy, hogy a pontokat ktjelekre cserljk. Az msiskola.hu domainhez tartoz MX rekord rtke pldul: msiskola-hu.mail.eo.outlook.com
218
21.8
Az tllsos e-mail migrci sorn egy temben lltjuk t az sszes postaldt az Exchange Online hasznlatra. Az egyik legkedveltebb mdszer, ksznheten egyszer belltsnak. Az tllts utn a helyi Exchange telepts eltvolthat. Az tllts 4 lpsben foglalhat ssze: 1) A szolgltats minden felhasznlhoz ltrehoz egy postafikot az Exchange Online szolgltatsban. A terjesztsi csoportok, kapcsolattartk szintn msolsra kerlnek. 2) Minden egyes postafik tartalmt s belltsait tmsolja a felhbeli postafikba. 3) 24 rnknt nvekmnyes szinkronizcit vgez, ami azt jelenti, hogy az jonnan rkezett zeneteket is tmsolja a felhbe, hogy a kt postalda ismt teljesen megegyezzen. 4) Amikor belltjuk, hogy az j levelek mr a felhbe rkezzenek, s gy dntnk, hogy a migrci lezrhat, mg egyszer utoljra szinkronizlja a hinyz elemeket a rendszer, s ezzel az ttelepts befejezdik.
21.8.1 Rendszerkvetelmnyek
A hibrid teleptshez hasonlan itt is van nhny felttel a mdszer hasznlathoz: Maximum 1000 postafik telepthet t ezzel a mdszerrel Exchange 2003, 2007, vagy 2010 rendszer szksges a hasznlathoz Ha a cmtr-szinkronizls aktv, akkor elbb ki kell kapcsolni, s az tlls befejeztvel lehet jra aktivlni Az Outlook Anywhere szolgltatsnak mkdnie kell
21.8.2 Elkszletek
1) Ha be van kapcsolva a cmtr-szinkronizls, nem fogunk tudni tllsos migrciba kezdeni, ezrt ideiglenesen ki kell kapcsolnunk. Ehhez jelentkezznk be az adminisztrcis felletre, s a menbl vlasszuk a Felhasznlk pontot. Az Active Directoryszinkronizls mellett kattintsunk az Inaktivls linkre. 2) A szolgltats a postaldk szinkronizlsra az Outlook Anywhere szolgltatst hasznlja, ezrt ezt mindenkppen engedlyeznnk s konfigurlnunk kell, ha mg nem tettk meg. a) Ehhez indtsuk el az Exchange menedzsment konzolt, s navigljunk a Server Configuration, Client Access pontra. b) A jobb oldali mveletek panelen kattintsunk az Enable Outlook Anywhere linkre. c) A megjelen varzsl External host name mezjben adjuk meg azt a kvlrl is elrhet domain nevet, amit a szolgltatshoz hasznlni szeretnnk. Clszer azt a cmet hasznlni, amin a Web Appot is publikltuk, mivel gy nem szksges j tanstvnyt ignyelnnk. d) Vlasszunk egy hitelestsi mdot. Az NTLM hitelests biztonsgosabb, azonban nem minden tzfal szoftver tmogatja. Forefront TMG esetn hasznlhatjuk ezt is. e) Kattintsunk az Enable gombra az Outlook Anywhere engedlyezshez. f) Publikljuk a tzfalunkon a szolgltatst. Ha a Web App hosztnevt adtuk meg az elbbiekben, akkor elegend annak a tzfal szablyt mdostanunk gy, hogy a /rpc/* tvonalat is engedlyezze. 219
g) Ellenrizzk a szolgltats mkdst! Megprblhatunk Outlookbl kapcsoldni a szerverhez, vagy hasznlhatjuk a http://testexchangeconnectivity.com weboldalt. 3) Hozzunk ltre egy tartomnyi felhasznlt, aminek nevben az Exchange Online kapcsoldni fog a helyi szervezetnkhz, pl.: MSISKOLA\migracio 4) Az elbb ltrehozott felhasznlnak meg kell adnunk minden jogosultsgot a postafikokhoz, hogy a msols sikeres legyen. Ehhez indtsuk el az Exchange Management Shell-t, s futtassuk a kvetkez PowerShell parancsokat (kt parancs, egy-egy sorba rand):
Get-Mailbox | Add-MailboxPermission -User MSISKOLA\migracio -AccessRights FullAccess Get-MailboxDatabase | Add-ADPermission -User MSISKOLA\migracio -ExtendedRights Receiver
21.8.3 Migrci
Most, hogy minden elfelttelt teljestettnk, elkezdhetjk magt a migrcit. 1) Jelentkezznk be az adminisztrcis felletre, s a Rendszergazdai ttekints oldalon kattintsunk az Exchange felirat alatti Kezels linkre. Ezzel az Exchange Online kezelfelletre jutunk. 2) A Felhasznlk s csoportok lapon kattintsunk az E-mail ttelepts ikonra, majd az j gombra.
3) Az j ablakban megnyl E-mail ttelepts varzslban ki kell vlasztanunk, hogy milyen rendszerrl teleptjk t a postafikokat. 4) A kvetkez lapon adjuk meg a korbban ltrehozott, s jogosultsgokat kapott felhasznl e-mail cmt, pl.: migracio@msiskola.hu. Adjuk meg a felhasznli nevt s jelszavt is. Az egyidejleg msoland postafikok szmt az Exchange szervernk internetkapcsolata s teljestmnye alapjn vlasszuk meg. 5) A Tovbb gombra val kattints utn a szolgltats megprbl kapcsolatot ltesteni a helyi Exchangenkkel. Ha nem sikerl automatikusan megtallnia a belltsokat, akkor tovbbi belltsok megadst krheti. Az Exchange-kiszolgl mezben a helyi szervernk bels domain nevt kell megadnunk, pl.: exchg.msiskola.local. Az RPCproxykiszolgl cme az Outlook Anywhere kls domain neve, pl.: mail.msiskola.hu. A Hitelests mezben pedig vlasszuk ki azt a hitelests tpust, amit az Outlook Anywhere engedlyezsekor vlasztottunk. 6) A harmadik lps lapon el kell neveznnk az tteleptsi kteget. A Kteg neve mezbe rjuk be az tteleptsi kteg nevt. Ha azt szeretnnk, hogy a kteg eredmnyeit ms felhasznl is megkapja e-mailben, ne csak az, akinek neve alatt a kteget ltrehoztuk, vlasszuk ki a felhasznlt a Tallzs gombra kattintva. Ha ezen a lapon egy CSV fjlt kr tlnk a rendszer, az azt jelenti, hogy a cmtrszinkronizls mg be van kapcsolva. Amg ki nem kapcsoljuk, nem fogunk tudni tllsos tteleptst vgrehajtani. 220
7) A varzsl a Tovbb gombra kattintva ltrehozza a kteget, s sszefoglalskppen megjelenti annak belltsait. Zrjuk be a varzslt a Bezrs gombra kattintva. 8) Ezzel visszakerlnk az Exchange Online adminisztrcis fellethez, ahol mr megjelenik az jonnan ltrehozott tteleptsi ktegnk, melynek llapota Ltrehozva. Indtsuk el ezt a kteget az Indts linkre kattintva!
9) Indts utn a kteg llapota elszr Vrakozs lesz. Ez azt jelenti, hogy vrlistn van a szerveren, rvidesen elindul a szinkronizls, amit a Fut llapot jelez. Vgl, ha a szinkronizls megtrtnt, az llapot Szinkronizlva rtkre vltozik. 10) A szinkronizls befejeztvel letlthetv vlik a szinkronizlsi jelents s hibalista. Ezek alapjn orvosoljuk az esetlegesen felmerl hibkat, s indtsuk jra a szinkronizcit mindaddig, amg minden postalda sikeresen t nem telepl. Sikeres szinkronizci utn 24 rnknt frissti a rendszer a postafikokat. Ha kszen llunk a vglegestsre, akkor lltsuk t a domain nevnk MX rekordjt. A pontos belltsokat megtalljuk az adminisztrcis fellet Tartomnyok menpontjn bell, ha kijelljk a levelezsi domain nevnket, s a tblzat feletti DNS belltsok megtekintse linkre kattintunk. ltalnossgban elmondhat, hogy az MX rekord rtknek <domain>.mail.eo.outlook.com formtumnak kell lennie, ahol a <domain> rszt a levelezsi domain nevnkkel kell behelyettesteni gy, hogy a pontokat ktjelekre cserljk. Az msiskola.hu domainhez tartoz MX rekord rtke pldul: msiskola-hu.mail.eo.outlook.com 11) Vrjunk 24-72 rt, hogy a belltsok vgigfussanak a DNS rendszeren, s biztosan minden j levl az online postafikokba rkezzen. 12) Ha megbizonyosodtunk arrl, hogy a belltsok rvnybe lptek, trljk ki az tteleptsi kteget az adminisztrcis felleten. Ezzel egy utols szinkronizci is elindul, hogy az sszes levl tkerljn a felhbeli postafikokba.
3) Opcionlisan bellthatunk egy knnyebben megjegyezhet cmet az Outlook Web Appnak is. Alapbelltsknt a felhasznlk a http://mail.office365.com vagy a http://outlook.com/owa/msiskola.hu oldalon tudnak bejelentkezni a levelezskbe, de mindkettn egyszersthetnk, ha ltrehozunk egy CNAME rekordot a domainnk DNSben, amelynek neve pl. mail.msiskola.hu, rtke pedig mail.office365.com Ilyenkor, ha a felhasznlk a mail.msiskola.hu cmet rjk a bngszjkbe, rgtn az egyszeri bejelentkezsi oldalunkra jutnak. 4) Ha az sszes postafik tteleplt, akr el is tvolthatjuk a helyi Exchange teleptsnket. Ezzel kapcsolatban bvebb informcit a kvetkez TechNet oldalon tallhatunk: http://technet.microsoft.com/en-us/library/ee332361(EXCHG.141).aspx
21.9
Az elzekben bemutatott eszkzzel, azaz az Exchange Online adminisztrcis felletnek Email ttelepts eszkzvel a postaldk egy rsze is ttelepthet.
21.9.1 Rendszerkvetelmnyek
Exchange Server 2003 vagy 2007 (2010 nem tmogatott) Mkd Outlook Anywhere (belltst lsd korbban) Mkd cmtr-szinkronizls (belltst lsd korbban)
21.9.2 Elkszletek
1) A szakaszos ttelepts sorn az tteleptend felhasznlk krt egy CSV formtum fjl segtsgvel kell megadnunk a szolgltatsnak. Az ttelepts a fjlban megadott sorrend szerint trtnik. Egy fjlban maximum 1000 postafikot adhatunk meg, de tbb fjlt is feltlthetnk. A fjlnak a kvetkez oszlopokat kell tartalmaznia: EmailAddress: a helyi postaldhoz tartoz elsdleges SMTP cm. Fontos, hogy mindenkppen az elsdleges cm legyen itt megadva. Password: az j postalda jelszava. Ha egyszeri bejelentkezst hasznlunk, akkor ezt a paramtert nem ktelez megadni. ForceChangePassword: rtke True vagy False lehet. Azt adja meg, hogy a felhasznlnak meg kell-e vltoztatnia a jelszavt az els belpskor. Ha egyszeri bejelentkezst hasznlunk, az rtke False legyen.
222
A CSV fjlt elkszthetjk tblzatkezel szoftver segtsgvel, mint amilyen pldul a Microsoft Excel, vagy hasznlhatunk PowerShellt is.
2) Hozzunk ltre egy tartomnyi felhasznlt, aminek nevben az Exchange Online kapcsoldni fog a helyi szervezetnkhz, pl.: MSISKOLA\migracio 3) Az elbb ltrehozott felhasznlnak meg kell adnunk minden jogosultsgot a postafikokhoz, hogy a msols sikeres legyen. Ehhez indtsuk el az Exchange Management Shell-t, s futtassuk a kvetkez PowerShell parancsokat (kt parancs, egy-egy sorba rand):
Get-Mailbox | Add-MailboxPermission -User MSISKOLA\migracio -AccessRights FullAccess Get-MailboxDatabase | Add-ADPermission -User MSISKOLA\migracio -ExtendedRights Receiver
21.9.3 Migrci
Most, hogy minden elfelttelt teljestettnk, elkezdhetjk magt a migrcit. 1) Jelentkezznk be az adminisztrcis felletre, s a Rendszergazdai ttekints oldalon kattintsunk az Exchange felirat alatti Kezels linkre. Ezzel az Exchange Online kezelfelletre jutunk. 2) A Felhasznlk s csoportok lapon kattintsunk az E-mail ttelepts ikonra, majd az j gombra.
3) Az j ablakban megnyl E-mail ttelepts varzslban ki kell vlasztanunk, hogy milyen rendszerrl teleptjk t a postafikokat. 4) A kvetkez lapon adjuk meg a korbban ltrehozott s jogosultsgokat kapott felhasznl e-mail cmt, pl.: migracio@msiskola.hu. Adjuk meg a felhasznli nevt s jelszavt is. Az egyidejleg msoland postafikok szmt az internetkapcsolatunk s az Exchange szervernk sebessge alapjn vlasszuk meg. 5) A Tovbb gombra val kattints utn a szolgltats megprbl kapcsolatot ltesteni a helyi Exchangenkkel. Ha nem sikerl automatikusan megtallnia a belltsokat, akkor tovbbi belltsok megadst krheti. Az Exchange-kiszolgl mezben a helyi szervernk bels domain nevt kell megadnunk, pl.: exchg.msiskola.local. Az RPC223
6) 7) 8)
9)
proxykiszolgl cme az Outlook Anywhere kls domain neve, pl.: mail.msiskola.hu. A Hitelests mezben pedig vlasszuk ki azt a hitelests tpust, amit az Outlook Anywhere engedlyezsekor vlasztottunk. A kvetkez lapon tallznunk kell a korbban ltrehozott CSV tpus fjlunkat, s elnevezni az tteleptsi kteget, amit most ltrehozunk. A Tovbb gombra kattintva a rendszer ellenrzi a feltlttt fjlt. Ha problmt tall, rszletes lerst ad, s javaslatot tesz a megoldsra. A varzsl bezrsa utn visszakerlnk az E-mail ttelepts eszkz oldalra. Ha voltak problms elemek, akkor dnthetnk gy, hogy kitrljk a kteget, s a problmk javtsa utn jra feltltjk, de el is indthatjuk a kteget, s a kihagyott elemeket ksbb egy j ktegben kln is ttelepthetjk. Indtsuk el ezt a kteget az Indts linkre kattintva!
10) Indts utn a kteg llapota elszr Vrakozs lesz. Ez azt jelenti, hogy vrlistn van a szerveren, rvidesen elindul a szinkronizls, amit a Fut llapot jelez. Vgl, ha a szinkronizls megtrtnt, az llapot Szinkronizlva rtkre vltozik. 11) A szinkronizls befejeztvel letlthetv vlik a szinkronizlsi jelents s hibalista. Ezek alapjn orvosoljuk az esetlegesen felmerl hibkat, s indtsuk jra a szinkronizcit mindaddig, amg minden postalda sikeresen t nem telepl. 12) Az ttelepts befejeztvel ajnlott a helyi postafikok talaktsa levelezsre jogosult felhasznlkk. Erre azrt van szksg, mert az ttelepts utn a felhasznlnak van egy felhbeli s egy helyi postaldja is. Az j levelek automatikusan tovbbtva lesznek a felhbeli postafikjba, ugyanakkor, ha Outlook hasznlatval szeretne kapcsoldni, az AutoDiscover szolgltats a helyi postaldra fogja irnytani a felhasznlt. Msrszt, ha nem alaktjuk t a postafikokat, akkor az Exchange szerver esetleges ksbbi eltvoltsa nem vrt kvetkezmnyekkel jrhat. A konvertlshoz szksges PowerShell szkriptek a kvetkez oldalrl tlthetek le: Exchange 2007: http://community.office365.com/en-us/wikis/exchange/845.aspx Exchange 2003: http://community.office365.com/en-us/wikis/exchange/834.aspx Az talakts menete: a) Msoljuk az ExportO365UserInfo.ps1, Exchange2007MBtoMEU.ps1 fjlokat, s az tteleptshez hasznlt csv fjlt egy j knyvtrba az Exchange szervernkn. b) Nevezzk t a CSV fjlt migration.csv-re. c) Indtsuk el az Exchange Management Shellt, lpjnk az elbb ltrehozott mappba, s futtassuk le a .\ExportO365UserInfo.ps1 parancsot. 224
d) A szkript meg fogja krdezni, hogy j kapcsolatot szeretnnk-e ltrehozni, vagy egy meglvt fogunk hasznlni. rjunk egy n bett az j kapcsolat ltrehozshoz, majd adjuk meg a felhbeli adminisztrtori adatainkat. A szkript futtatsa sorn ltrehoz egy Cloud.csv fjlt. e) Ha az elz szkript futtatsa befejezdtt, ugyanabba az ablakba rjuk be a kvetkezt:
.\Exchange2007MBtoMEU.ps1 dc.msiskola.local
Ahol a dc.msiskola.local helyre a tartomnyban tallhat egyik rhat tartomnyvezrl cmt rjuk. Ez a szkript elvgzi az talaktst. f) Ezt a folyamatot hajtsuk vgre az sszes tteleptsi kteg CSV fjljval. Exchange 2003 esetn a folyamat hasonl, azonban a msodik szkript nem PowerShell, hanem VBScript. Ezrt a parancs a kvetkezre vltozik:
cscript Exchange2003MBtoMEU.vbs c .\Cloud.csv dc.msiskola.local
13) Ha az tteleptsi kteg sikeresen tteleptette a felhasznlkat, s azokat t is alaktottuk levelezsre jogosult felhasznlkk, az tteleptsi kteget trlhetjk.
225
mindkettn egyszersthetnk, ha ltrehozunk egy CNAME rekordot a domainnk DNSben, amelynek neve pl. mail.msiskola.hu, rtke pedig mail.office365.com Ilyenkor, ha a felhasznlk a mail.msiskola.hu cmet rjk a bngszjkbe, rgtn az egyszeri bejelentkezsi oldalunkra jutnak. 4) Be kell lltanunk, hogy az j levelek kzvetlenl a felhalap postaldkba rkezzenek. Ehhez lltsuk t a domain nevnk MX rekordjt! A pontos belltsokat megtalljuk az adminisztrcis fellet Tartomnyok menpontjn bell, ha kijelljk a levelezsi domain nevnket, s a tblzat feletti DNS belltsok megtekintse linkre kattintunk. ltalnossgban elmondhat, hogy az MX rekord rtknek <domain>.mail.eo.outlook.com formtumnak kell lennie, ahol a <domain> rszt a levelezsi domain nevnkkel kell behelyettesteni gy, hogy a pontokat ktjelekre cserljk. Az msiskola.hu domainhez tartoz MX rekord rtke pldul: msiskola-hu.mail.eo.outlook.com Vrjunk 24-72 rt, hogy a belltsok vgigfussanak a DNS rendszeren, s biztosan minden j levl az online postafikokba rkezzen. 5) Ezek utn a helyi kiszolgl eltvolthat. Ezzel kapcsolatban bvebb informcit a kvetkez TechNet oldalon tallhatunk: http://technet.microsoft.com/en-us/library/ee332361(EXCHG.141).aspx
21.10.1 Elkszletek
1) Ltre kell hoznunk minden tteleptend felhasznlnak egy postafikot az Exchange Online rendszerben. Jelentkezznk be az adminisztrcis felletre, s a Rendszergazdai ttekints oldalon kattintsunk az Exchange felirat alatti Kezels linkre. Ezzel az Exchange Online kezelfelletre jutunk.
226
A postafikok ltrehozsra kt lehetsg ll rendelkezsnkre. Ltrehozhatjuk ket egyesvel, kzzel, vagy kszthetnk egy CSV fjlt, amit feltltnk a Felhasznlk importlsa varzslba, ami ltrehozza a szksges postafikokat. Ha a kzi mdszert vlasztjuk, az Exchange Online Postaldk eszkznek felletn vlasszuk az j lehetsget. A megjelen ablakban tltsk ki az rlapot, s ismteljk ezt meg az sszes tteleptend felhasznl adataival. Ha sok postaldt szeretnnk ttelepteni, a kzi megolds rendkvl idignyes, radsul nagy a hibalehetsg is. Ilyen esetben hozzunk ltre egy CSV fjlt. Ehhez sokfle programot hasznlhatunk, pl. a Jegyzettmbt, vagy a Microsoft Excelt. A fjlban a kvetkez oszlopokat ktelez hasznlnunk: Name: a felhasznl egyedi azonostja EmailAddress: a felhasznl teljes e-mail cme FirstName: a felhasznl keresztneve LastName: a felhasznl vezetkneve Password: a felhasznl kezdeti jelszava Minta fjl:
Name,EmailAddress,FirstName,LastName,Password minta1,minta1@msiskola.hu,Kis,Jzsef,abc123 minta2,minta2@msiskola.hu,Nagy,Istvn,bcd345
Ezeken kvl hasznlhatunk egy sor nem ktelez tulajdonsgot, pldul: DisplayName, ForceChangePassword, Company, City 2) A varzsl a fjl tallzsa utn egy szintaktikai ellenrzst vgez a fjlon, hogy az formailag megfelel-e a kvetelmnyeknek. Ha igen, akkor az Importls gombra kattintva kezddik meg a postafikok ltrehozsa. Az importls folyamata alatt a Postaldk lapon megjelenik egy j llapotablak, amelyben folyamatosan nyomon kvethetek a sikeres s sikertelen importlsi ksrletek. A feldolgozs befejeztvel a fjlt feltlt adminisztrtor e-mailben kap sszefoglalt az importls eredmnyrl. 3) Engedlyezzk a meglv levelezrendszernkben az IMAP protokoll hasznlatval trtn postalda-hozzfrst, s a tzfalunkat is lltsuk be, hogy az internet fell is elrhet legyen ezen a mdon a levelezszerver. 4) A felhasznlk importlshoz hasonl mdon ltre kell hoznunk mg egy CSV fjlt, amelyben minden felhasznlhoz megadjuk a hozzfrsi adatokat. Lehetsgnk van megadni minden felhasznlhoz a hozz tartoz jelszt, vagy hasznlhatunk minden postafikhoz egy adminisztrtori felhasznlt, akinek hozzfrse van a postafikokhoz. A fjlban a kvetkez ktelez oszlopokat kell megadnunk: EmailAddress: a felhasznl teljes e-mail cme Username: a felhasznl vagy az adminisztrtor felhasznli neve Ha egy adminisztrtori felhasznlval szeretnnk hozzfrni a postaldkhoz, akkor a felhasznlnevet a kvetkez formtumban kell megadni: Exchange IMAP esetn: Tartomny/admin_felhasznlnv/felhasznl_felhasznlnv SASL protokollt tmogat IMAP szerver esetn (pl.: Dovecot): admin_felhasznlnv*felhasznl_felhasznlnv Mirapoint Message Server esetn: 227
#felhasznl@tartomny#admin_felhasznl# Password: a felhasznl, vagy az adminisztrtor jelszava Courier IMAP kiszolgl esetn a felhasznlnv s a jelsz mezkbe az adminisztrtor nevt s jelszavt kell megadni, s egy j, UserRoot oszlopba kell megadni egy n. virtulis megosztott mappa tvonalat, amelyen a kvnt postafik elrhet. Errl bvebb informci a Courier levelezszerver weboldaln tallhat: http://www.couriermta.org/imap/README.sharedfolders.html 5) Ha az elbb ltrehozott CSV fjlban rendszergazdai adatokkal kapcsoldunk a postafikokhoz, akkor gyzdjnk meg rla, hogy ennek a felhasznlnak van jogosultsga olvasni az tteleptend postaldkat.
21.10.2 Migrci
1) Jelentkezznk be az adminisztrcis felletre, s a Rendszergazdai ttekints oldalon kattintsunk az Exchange felirat alatti Kezels linkre. Ezzel az Exchange Online kezelfelletre jutunk. 2) A Felhasznlk s csoportok lapon kattintsunk az E-mail ttelepts ikonra, majd az j gombra.
3) Az j ablakban megnyl E-mail ttelepts varzslban ki kell vlasztanunk, hogy milyen rendszerrl teleptjk t a postafikokat. Itt vlasszuk az IMAP lehetsget, s kattintsunk a Tovbb gombra. 4) A kvetkez lapon meg kell adnunk az IMAP kiszolgl belltsait: IMAP kiszolgl: az IMAP kiszolgl internet felli cme, pl.: imap.msiskola.hu Hitelests: a szerver ltal tmogatott hitelestsi mdszer. Az NTLM mdszert tbbnyire Microsoft rendszerek tmogatjk. Titkosts: a kiszolgl ltal tmogatott titkostsi mdszer Port: a kapcsoldshoz hasznlt port. Az alaprtelmezett IMAP port a 143, de ha SSLtitkostott kapcsolatot hasznlunk, ez ltalban 993. Egyidejleg tteleptend postaldk szma: vlasszuk ki a szerver s az internetkapcsolat kapacitsnak figyelembevtelvel.
228
5) A Tovbb gombra val kattints utn a rendszer megprbl kapcsoldni a megadott belltsokkal. Ha a kapcsolds sikeres volt, a kvetkez lapon ki kell vlasztanunk az elbbiekben ltrehozott postalda adatokat tartalmaz CSV fjlt. Nevezzk el a ktetet, majd adjuk meg azokat a mappkat, amelyeket nem szeretnnk tmsolni az j postaldba. Ilyen lehet pldul a Levlszemt. A nyilvnos s megosztott mappkat sem ajnlott tmsolni, mivel ezek tbb nem nyilvnos mappaknt fognak mkdni, hanem minden postaldba kln-kln tmsoldik a tartalmuk. A / (per) jelet tartalmaz mappk nem msoldnak t. Megadhatunk tovbb ms felhasznlkat is, akiknek az ttelepts jelentst el szeretnnk kldeni. 6) Ha a CSV fjllal minden rendben volt, az E-mail ttelepts oldalrl indtsuk el az tteleptsi kteget. 7) A postaldk els szinkronizlsa utn a rendszer 24 rnknt nvekmnyes szinkronizlst hajt vgre, ami azt jelenti, hogy a postaldkon trtnt vltozsokat tmsolja a felhbeli postaldba is. Ha az sszes postalda sikeresen szinkronizldik, s kszen llunk a vglegestsre, akkor lltsuk t a domain nevnk MX rekordjt. A pontos belltsokat megtalljuk az adminisztrcis fellet Tartomnyok menpontjn bell, ha kijelljk a levelezsi domain nevnket, s a tblzat feletti DNS belltsok megtekintse linkre kattintunk. ltalnossgban elmondhat, hogy az MX rekord rtknek <domain>.mail.eo.outlook.com formtumnak kell lennie, ahol a <domain> rszt a levelezsi domain nevnkkel kell behelyettesteni gy, hogy a pontokat ktjelekre cserljk. Az msiskola.hu domainhez tartoz MX rekord rtke pldul: msiskola-hu.mail.eo.outlook.com 8) Vrjunk 24-72 rt, hogy a belltsok vgigfussanak a DNS rendszeren, s biztosan minden j levl az online postafikokba rkezzen. 9) Ha megbizonyosodtunk arrl, hogy a belltsok rvnybe lptek, trljk ki az tteleptsi kteget az adminisztrcis felleten. Ezzel egy utols szinkronizci is elindul, hogy az sszes levl tkerljn a felhbeli postafikokba.
229
1) Ha mg nem tettk meg, trstsunk licenceket a felhasznlkhoz. A kezdeti trelmi idszak utn a postafikok elrhetetlenn vlnak, ha nincsen hozzjuk megfelel licenc trstva. 2) A megfelel mkds rdekben ltre kell hoznunk, vagy mdostanunk kell az AutoDiscover rekordot a domainnk DNS bejegyzsei kztt. Az autodiscover.msiskola.hu CNAME tpus rekordnak az autodiscover.outlook.com cmre kell mutatnia. 3) Opcionlisan bellthatunk egy knnyebben megjegyezhet cmet az Outlook Web Appnak is. Alapbelltsknt a felhasznlk a http://mail.office365.com vagy a http://outlook.com/msiskola.hu oldalon tudnak bejelentkezni a levelezskbe, de mindkettn egyszersthetnk, ha ltrehozunk egy CNAME rekordot a domainnk DNS-ben, amelynek neve pl. mail, rtke pedig mail.office365.com 4) Ilyenkor, ha a felhasznlk a mail.msiskola.hu cmet rjk a bngszjkbe, rgtn az egyszeri bejelentkezsi oldalunkra jutnak. 5) Ezek utn a helyi telepts levelezrendszert akr el is tvolthatjuk.
230
A Felhasznlk s csoportok lapon kezelhetjk az egyes postafikokat, terjesztsi csoportokat s kapcsolattartkat. Az E-mail ttelepts eszkz mr ismers lehet. A Szerepkrk s naplzs lapon rendszergazdai s felhasznli szerepkrket llthatunk be, azonban ezt ajnlott az Office 365 adminisztrcis felletn intzni. A Naplzs fln klnbz biztonsgi s hozzfrsi naplfjlokat tudunk megtekinteni s letlteni. A Levelezs-vezrl lapon bell a Szablyok fln a levlforgalom egy rszt vagy egszt befolysolhatjuk. Bellthatjuk pldul, hogy egy adott csoport tagjainak kldtt leveleket elszr kldje el a rendszer jvhagysra egy bizonyos szemlynek, ha az zenet mellkleteket is tartalmazott. A Naplzs fln bellthatjuk, hogy a rendszer naplba rgztse az sszes kommunikcit, ami a szervezeten keresztl zajlik, a Kzbestsi jelentsek eszkzzel pedig zenetek sorsa fell szerezhetnk informcikat.
zben megmondhatjuk, mi trtnjen az szlelt spam zenetekkel. Az Additional Spam Filtering (ASF) Options mezben bellthatjuk, hogy bizonyos tnyezk, pl. ha egy levlben IP cmre mutat link van, nveljk-e a levl spam-kockzati rtkt. Ezeket a belltsokat vgleges bellts eltt tesztelni is tudjuk. Az Outbound E-mail Footer bellts segtsgvel minden kimen zenet vgre beszrhatunk egy szveges vagy HTML zenetet.
A Users lap Office 365 felhasznlk szmra nem rdekes, mivel a felhasznlink itt nem fognak megjelenni. Annl rdekesebb viszont a Policy Rules lap. Ezen a lapon klnbz szablyokat hozhatunk ltre, amelyek segtsgvel irnythatjuk s szrhetjk a levlforgalmat. A bal oldali Rules Settings ablakban kell megadnunk, hogy melyik domain nvre rkez, milyen irny levllel mit szeretnnk kezdeni. Lehetsgnk van tbbek kztt elvetni, engedlyezni, karantnba helyezni, tirnytani, titkos msolattal tovbbtani az zenetet. A szrst tbbek kztt az zenet fejlcei, a kld IP cme, domain neve, e-mail cme, a cmzett hasonl tulajdonsgai s mg egy sor egyb felttel alapjn tudjuk finomtani. A Filters lapon sztrakat tudunk feltlteni. Egy sztr tartalmazhat kulcsszavakat, IP cmeket, domain neveket, ami alapjn egy szablyban szrni tudjuk az zeneteket. A My Reports fln jelentseket kszthetnk s futtathatunk klnbz tmakrkben. A Tools fln bell a Message Trace oldalon zeneteket kereshetnk meg, s megtudhatjuk, milyen okbl (nem) kapta meg a cmzett, mg az Audit Trail lapon az adminisztrcis felleten keresztl vgrehajtott mdostsokat kvethetjk nyomon.
232
Az adminisztrtori hitelest adataink megadsa utn ebbl az ablakbl gy kezelhetjk a levelezsnket kiszolgl tvoli Exchange szervert, mintha a helyi teleptsnk volna. Termszetesen nem minden parancs rhet el, ami helyi telepts esetn viszont igen. Az engedlyezett parancsok listja, s rvid hasznlati tmutatja ezen a cmen tallhat: http://help.outlook.com/hu-hu/140/dd575549.aspx
A szolgltatssal jelenleg profi weboldalakat ugyan nem lehet kszteni, de az egyszer kezelhetsghez mrten igen jl testre szabhat a vgeredmny, gy ha egy egyszeren elkszthet s karbantarthat weboldalt szeretnnk kszteni, nem fogunk csaldni.
233
A felhasznlhat trterlet szintn felhasznlnknt szmtdik. A szervezet kiindulsi 10 Gigabjt trhelyhez minden nem-kioszk felhasznl utn jr 500 Megabjt hely. Ezen kvl termszetesen kln is vsrolhat trhely.
Bels, intranetes SharePoint webhelycsoportok esetn a szolgltats jelen verzijban sajnos nincs lehetsgnk sajt domain nv hozzrendelsre.
234
21.12.4 Migrci
Hivatalos Microsoft eszkz vagy mdszer a szolgltats jelenlegi verzijban sajnos nem ll rendelkezsre, amellyel egy helyi SharePoint Server 2010 alap webhelycsoportot t lehetne kltztetni a SharePoint Online szolgltatsba, azonban szmos kls gyrt ksztett szoftvereket, amelyek megknnytik az tllst. Ezek kzl a Quest Migration Suite for SharePoint mr prbaverziban is kpes webhelyeket tkltztetni, ugyanakkor az eredmny a legtbb esetben kzi finomhangolst ignyel, klnsen a bonyolultabb intranetes oldalak esetben. A szoftver a http://www.quest.com/migration-suite-for-sharepoint/ oldalrl tlthet le.
21.13.2 Klienstelepts
A Lync azonnali zenetkldsi funkcijt mr az Outlook Web App-ba val belps utn elrjk, a teljes funkcionalitst azonban csak az asztali alkalmazs felteleptsvel kaphatjuk meg. A letltsi link minden felhasznl szmra elrhet az Office 365 Kezdoldaln, ahol a Lync cmsor alatt rgtn ott van a Lync teleptse hivatkozs. Az els bejelentkezs eltt lehetsges, hogy teleptennk kell a Microsoft Online Services Bejelentkezsi segdet is. Ha gy van, akkor a program rtesteni fog minket errl, s a letltsi linket is megjelenti.
235
21.13.3 Kapcsolatok
Amikor elszr bejelentkeznk a rendszerbe, egy res kapcsolati lista fog fogadni. Itt azonban a publikus zenetkldktl amilyen pldul a Live Messenger eltren nem szksges msok valamilyen azonostjt tudni a kapcsolatfelvtelhez. Egyszeren kezdjk el rni a nevt a keressvba, s a program a szervezetnk sszes felhasznlja kztt keres. A leggyakoribb kapcsolatainkat hozzadhatjuk a kedvenceink listjhoz, gy legkzelebb mr a kezdkpernyn lesznek. Az Office 365 adminisztrcis felletn keresztl elrhet Lync vezrlpulton lehetsgnk van engedlyezni a kls partnerek felvtelt is. Ilyenkor a felhasznlk nem csak vllalaton bell kommuniklhatnak, hanem felvehetik a kapcsolatot ms szervezetek Lync felhasznlival, st, akr Live Messenger felhasznlkkal is. Vrhatan a jvben a Skype felhasznlk is kapcsolhatak lesznek.
236
vnyszolgltat ltezik, amelynek hitelessgt a legtbb opercis rendszer kztk a Windows minden bellts nlkl elfogadja, ez pedig a StartSSL. Termszetesen az ingyenessg rdekben el kell fogadnunk bizonyos vllalhat kompromiszszumokat, mint pldul, hogy a tanstvnyokat csak dj ellenben vonjk vissza. Rszletes ismertet a http://startssl.com oldalon rhet el.
21.14.2 Regisztrci
A tanstvnyok ignylshez regisztrlnunk kell magunkat a StartSSL oldaln. 1) Ltogassunk el a http://startssl.com weboldalra, s kattintsunk a bal fels sarokban tallhat Sign-up felirat kpre.
2) Tltsk ki a megjelen rlapban az adatainkat. Minden mez kitltse ktelez. 3) A Continue gombra kattintva elfogadjuk a felhasznlsi feltteleket, amelyeket rdemes valban megnzni, klnsen, ha cg szmra szeretnnk tanstvnyt ignyelni. 4) E-mailben kapunk egy regisztrcis kdot, amit a kvetkez oldalon meg kell adnunk. 5) Ezutn az oldal generl szmunkra egy privt kulcsot. Ez a generls valjban a sajt szmtgpnkn trtnik, gy a privt kulcs nem kerl ki a gpnkrl ekzben sem. gy ez eltarthat nhny msodpercig. 6) Kvetkez lpsben teleptennk kell a most generlt kliensazonost tanstvnyt a szmtgpnkre. Az Install gomb megnyomsval ez automatikusan megtrtnik. 7) Ezt a tanstvnyt ersen ajnlott exportlni, s egy biztonsgos helyen trolni, mivel a jvben ezzel lphetnk be a StartSSL oldalra, s ezzel adminisztrlhatjuk a ksbbiekben ignyelt tbbi tanstvnyunkat. gy kell elkpzelnnk ezt a kliens tanstvnyt, mint a felhasznli nevnket s jelszavunkat. Az exportlshoz instrukcikat a FAQ oldalon tallunk.
237
1) A Control Panel oldalon kattintsunk a Validations Wizard flre. 2) A Type mezben vlasszuk a Domain Name Validation lehetsget
3) A kvetkez oldalon adjuk meg a domain nevet, amit ellenrizni szeretnnk. 4) Vlasszuk ki, hogy a hrom lehetsg kzl melyik e-mail cmre kldje a rendszer az ellenrzkdot. 5) A kapott e-mailbl msoljuk be a kdot az oldalon lthat mezbe. Ezzel az ellenrzs megtrtnt.
21.14.4 Tanstvnyignyls
Maga a tanstvnyignyls trtnhet tanstvnykrelembl, amit valamilyen program, pldul IIS generl, vagy trtnhet teljesen nllan, ilyenkor a privt kulcsot a bngsz generlja, hasonlan a regisztrcikor generlt kliens tanstvny privt kulcshoz. 1) Ksztsk el a tanstvny krelmnket a kvnt programmal. Vgeredmnyknt ltalban egy .req kiterjeszts fjlt kapunk. 2) A StartSSL Control Panel oldaln kattintsunk a Certificates Wizard flre. 3) A Certificate Target listbl vlasszuk a Web Server SSL/TLS Certificate lehetsget (felttelezve, hogy IIS vagy bizonyos Exchange szolgltatsokhoz ignyeljk a tanstvnyt)
4) Mivel a tanstvnyt krelembl fogjuk ignyelni, ezrt a kvetkez oldalon a privt kulcs generlst ki kell hagynunk. Kattintsunk a Skip gombra. 5) Nyissuk meg egy szvegszerkeszt programmal (pl. a Jegyzettmb tkletesen megfelel) a krelem generlsakor kapott .req fjlt, s az elejtl a vgig jelljk ki, majd msoljuk be a StartSSL Submit Certificate Request oldaln tallhat mezbe. gyeljnk r, hogy vletlenl se mdostsuk a kdot, egyetlen szkz is hibt okozhat. 6) A kvetkez oldal tjkoztat, hogy a kd feltltse sikeres volt, s most jbl meg kell majd adnunk az adatokat. 7) A Continue gombra val kattints utn vlasszuk ki azt a domaint, amihez a tanstvnyt ignyelni szeretnnk. A listban csak azok a domainek jelennek meg, amit az elmlt 30 napban rvnyestettnk.
238
8) rjuk be, hogy milyen harmadszint domaint szeretnnk a tanstvnyhoz hozzadni. Megadhatjuk pldul a www-t, ilyenkor, ha az msiskola.hu domainhez ignylnk tanstvnyt, akkor az rvnyes lesz a www.msiskola.hu s az msiskola.hu cmekre is. 9) A kvetkez oldalon egy sszefoglalt olvashatunk a megadott adatokrl. A Continue gombra kattintva benyjthatjuk a krelmet. 10) Ha ez az els tanstvnykrelmnk, akkor az alrt tanstvnyt nem kapjuk meg azonnal, eltte a StartSSL munkatrsai manulisan ellenrzik a megadott adatokat. A msodik krelemtl kezdve azonban ilyenkor rgtn megkapjuk a tanstvnyt. Msoljuk ki a kapott kdot a mezbl, illesszk be egy szvegszerkesztbe, s mentsk el .cer kiterjesztssel. Ezt a fjlt importljuk a szerveren a tanstvnyaink kz. 11) Vgl minden esetben exportljuk a kapott tanstvnyt a privt kulccsal egytt, s troljuk biztos helyen!
239