Příručka k upgradu systému Windows NT Server 4.0

Příručka k upgradu systému Windows NT Server 4.0 Přechod ze systému Windows NT 4.0 Server na systém Windows Server 2003 Microsoft Corporation Publikováno: červenec 2003

Shrnutí Tato příručka by měla zákazníkům usnadnit přechod z prostředí systému Microsoft Windows NT® Server 4.0 na operační systém Microsoft Windows Server™ 2003. Informace uvedené v příručce jsou určeny vývojářům i správcům. Hlavním cílem je však poskytnutí odborných informací správcům systému. Tato příručka vysvětluje důležité otázky, které je třeba při upgradu zvážit, a kroky nutné k migraci na systém Windows Server 2003.

Dokument White Paper k systému Microsoft® Windows Server™ 2003

Informace obsažené v tomto dokumentu představují aktuální pohled společnosti Microsoft na diskutovaná témata platný ke dni vydání. Protože společnost Microsoft musí reagovat na vývoj trhu, nemohou být tyto informace považovány za zavazující a společnost Microsoft nemůže ručit za jejich správnost po zveřejnění. Tento dokument slouží pouze k informativním účelům. SPOLEČNOST MICROSOFT NEPOSKYTUJE NA INFORMACE UVEDENÉ V TOMTO DOKUMENTU ŽÁDNÉ VÝSLOVNĚ UVEDENÉ ČI IMPLICITNĚ PŘEDPOKLÁDANÉ ZÁRUKY NA INFORMACE UVEDENÉ V TOMTO DOKUMENTU. Uživatel plně zodpovídá za dodržení všech příslušných autorských zákonů. Bez omezení práv plynoucích z autorského zákona nesmí být tento dokument po částech ani jako celek reprodukován, ukládán, převáděn ani přenášen v jakékoli formě ať elektronicky, mechanicky, fotokopírováním, záznamem či jinak, a to pro jakékoli účely, bez předchozího výslovného písemného svolení společnosti Microsoft Corporation. Společnost Microsoft může být držitelem patentů, žádostí o patenty, ochranných známek, autorských práv nebo jiných práv chránících duševní vlastnictví, které se mohou vztahovat na obsah tohoto dokumentu. Kromě práv výslovně uvedených v případné písemné licenční smlouvě se společností Microsoft vám z použití tohoto dokumentu neplynou žádná práva k těmto patentům či ochranným známkám, autorská práva ani práva chránící duševní vlastnictví. Názvy společností, organizací, produktů, osoby a události použité v ukázkách jsou smyšlené. Nemůže být vyvozováno žádné jejich spojení se skutečnými společnostmi, organizacemi, produkty, osobami a událostmi. © 2003 Microsoft Corporation. Všechna práva vyhrazena. Microsoft, Active Directory, Windows NT a Windows Server jsou buď registrované ochranné známky, nebo ochranné známky společnosti Microsoft Corporation ve Spojených státech amerických a v dalších zemích. Uvedené názvy dalších produktů nebo společností mohou být ochrannými známkami vlastníků těchto známek.

Příručka k upgradu systému Windows NT Server 4.0

2


Obsah Část 1: Plánování migrace.......................................................................................................................... 6 Úvod.............................................................................................................................................................. 7 Plán upgradu ............................................................................................................................................ 7 Proč upgradovat? ..................................................................................................................................... 8 10 hlavních důvodů k upgradu ............................................................................................................... 10 Příprava na upgrade.................................................................................................................................. 14 Určení podpory upgradu softwaru .......................................................................................................... 14 Upgrade se serverem Exchange 2000................................................................................................... 15 Upgrade se serverem Microsoft SQL Server™ 7.0................................................................................ 15 Aspekty hardwaru................................................................................................................................... 15 Minimální požadavky na systém Windows Server 2003........................................................................ 18 Vyhodnocení a zdokumentování pořadí upgradu serverů ..................................................................... 19 Kontrolní seznamy pro upgrade serverů ................................................................................................ 21 Vyhodnocení kompatibility aplikací ........................................................................................................ 26 Sada nástrojů ACT 3.0 ........................................................................................................................... 26 Instalace sady nástrojů ACT 3.0 ............................................................................................................ 27 Vytvoření inventárního seznamu pomocí programu Collector ............................................................... 27 Ukázkový inventární seznam aplikací vytvořený pomocí programu Collector....................................... 29 Použití nástroje Analyzer 1.0.................................................................................................................. 31 Následující postup.................................................................................................................................. 37 Upgrade serverů Windows NT 4.0 ........................................................................................................... 38 Upgrade samostatných serverů se systémem Windows NT 4.0 ........................................................... 38 Upgrade členských serverů Windows NT 4.0 ........................................................................................ 38 Příklad přímého upgradu primárního řadiče domény se systémem Windows NT................................. 43 Výsledky ukázkového upgradu systému Windows NT .......................................................................... 50 Příklad aktivace produktu ....................................................................................................................... 52 Migrace na službu Active Directory......................................................................................................... 53 Výhody služby Active Directory .............................................................................................................. 53 Dokonalejší správa pomocí zásad skupiny ............................................................................................ 54 Návrh a plánování upgradu systému Windows NT Server 4.0 .............................................................. 55 Připojení se systémy Windows NT Server 4.0, Windows 2000 a Windows Server 2003...................... 58 Upgrade domény systému Windows NT na službu Active Directory ..................................................... 61 Příklad plánu migrace služby Active Directory ....................................................................................... 72 Výsledky upgradu................................................................................................................................... 85 Poslední fáze ukázkového upgradu ....................................................................................................... 87


3


Část 2: Vysvětlení klíčových součástí systému Windows Server 2003............................................... 90 Služby systému Windows......................................................................................................................... 91 Nové služby v systému Windows Server 2003 ...................................................................................... 91 Nastavení serverových rolí pomocí Průvodce konfigurací serveru........................................................ 91 Spuštění a zastavení služeb pomocí konzoly MMC............................................................................... 92 Bezpečnostní kontexty služeb................................................................................................................ 94 Spouštění služeb pomocí souboru Svchost ........................................................................................... 98 Změny zabezpečení v systému Windows Server 2003........................................................................ 101 Cíle iniciativy Trustworthy Computing .................................................................................................. 101 Změny zabezpečení služby IIS 6.0 ...................................................................................................... 102 Nové změny zásad souvisejících se zabezpečením............................................................................ 105 Zabezpečení modelu COM+ a služby Active Directory........................................................................ 108 Vylepšení zabezpečení v rámci rozhraní .NET Framework................................................................. 109 Vylepšení ověřování v oblasti zabezpečení ......................................................................................... 110 Zvýšení zabezpečení pro řízení přístupu ............................................................................................. 113 Zabezpečení sítě .................................................................................................................................. 114 Protokol TCP/IP a podpora dřívějších síťových protokolů ................................................................. 116 NetBEUI................................................................................................................................................ 116 Protokol DLC (Data Link Control)......................................................................................................... 116 Služba Quality of Service and signály protokolu RSVP ....................................................................... 117 Podpora telefonického připojení k síti: IPX a AppleTalk ...................................................................... 117 Datové proudy ...................................................................................................................................... 117 Část 3: Informace o kompatibilitě aplikací............................................................................................ 118 Služba IIS 6.0............................................................................................................................................ 119 Spolehlivost a dostupnost služby IIS 6.0.............................................................................................. 119 Možnosti správy služby IIS 6.0............................................................................................................. 120 Zabezpečení služby IIS 6.0 .................................................................................................................. 121 Hlavní rozdíly mezi verzemi služby IIS................................................................................................. 121 Režimy izolace ..................................................................................................................................... 123 Aplikace po upgradu............................................................................................................................. 129 Nastavení rozšíření ISAPI .................................................................................................................... 130 Odebrané filtry ISAPI............................................................................................................................ 131 Upgrade webových aplikací ASP ......................................................................................................... 131 Upgrade webových aplikací ASP na aplikace ASP.NET ..................................................................... 132 Aplikace ASP.NET 1.0 a ASP.NET 1.1................................................................................................ 132 Exchange Server ..................................................................................................................................... 133 Aspekty upgradu na verzi Exchange 2000 a Exchange 2003 ............................................................. 133 Upgrade na verzi Exchange Server 2000 ............................................................................................ 139 Příručka k upgradu systému Windows NT Server 4.0

4


Funkce zastaralé po upgradu............................................................................................................... 140 Možnosti upgradu na verzi Exchange Server 2003 ............................................................................. 141 Služba komponent (COM+ 1.5)............................................................................................................... 142 Změny funkcí od předchozí verze ........................................................................................................ 142 Nové funkce Služby komponent (COM+)............................................................................................. 142 Souběžná implementace rozhraní .NET Framework verze 1.0 a 1.1 .................................................. 144 Vysvětlení principu práce se souběžnými verzemi .............................................................................. 144 Sestavení a souběžné spouštění ......................................................................................................... 144 Změny ovlivňující zpětnou a dopřednou kompatibilitu ......................................................................... 145 Výhody souběžného spouštění ............................................................................................................ 146 Příloha A: Příklad upgradu služby Active Directory ............................................................................ 148 Příloha B: Ukázkový soubor protokolu kontroly kompatibility .......................................................... 158 Příloha C: Související odkazy................................................................................................................. 161


5


Část 1: Plánování migrace


6


Úvod Upgrade z prostředí operačního systému Microsoft® Windows NT® Server 4.0 do prostředí systému Microsoft Windows Server™ 2003 lze provést několika způsoby. Každý upgrade je nutné zanalyzovat a naplánovat tak, aby bylo možné určit nejlepší možný přístup pro konkrétní situaci. Tato příručka popisuje několik modelových situací, pomocí kterých budete schopni lépe naplánovat a provést upgrade ve své organizaci. Během rozhodování o způsobu upgradu je nutné vyřešit mnoho otázek. Jaké možnosti upgradu ze systému Windows NT Server 4.0 na požadovanou verzi systému Windows Server 2003 jsou podporovány? Je třeba upgradovat na verzi Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition nebo Windows Server 2003 Web Edition? Bude možné spustit aplikace běžící v systému Windows NT Server 4.0 také v systému Windows Server 2003? Které faktory určují pořadí upgradu serverů se systémem Windows NT Server? Je nutné upgradovat doménu na adresářovou službu Microsoft Active Directory®? Je nutné při upgradu brát v úvahu otázky týkající se produktu Microsoft Exchange Server? Odpovědi na uvedené otázky byste měli získat v této příručce. Struktura příručky: •

Část 1 obsahuje podrobné vysvětlení upgradu ze systému Windows NT Server 4.0 na systém Windows Server 2003. Začíná informacemi o plánování a implementaci a zahrnuje čtyři hlavní témata: příprava na upgrade, vyhodnocení kompatibility aplikací, spuštění procesu upgradu pro servery Windows NT 4.0 a vysvětlení požadavků na upgrade na službu Active Directory.

•

Část 2 je věnována klíčovým změnám v operačním systému, včetně změn služeb systému Windows a problémů se zabezpečením.

•

Část 3 se zabývá úvahami o kompatibilitě specifických aplikací pro službu IIS (Internet Information Services), Exchange Server, aplikace modelu COM+ a rozhraní Microsoft® .NET Framework.

Tato příručka by měla zákazníkům usnadnit přechod ze systému Microsoft Windows NT® Server 4.0 na operační systém Microsoft Windows Server™ 2003. Informace uvedené v příručce jsou určeny vývojářům i správcům. Hlavním cílem je však poskytnutí odborných informací správcům systému. Jsou uvedeny modelové situace s podrobnými postupy, které ukazují, jaké aspekty je třeba brát v úvahu, a také metody upgradu na systém Windows Server 2003 v praxi.

Plán upgradu Tato příručka podrobně vysvětluje různé možnosti provedení upgradu. Obecně lze upgrade na systém Windows Server 2003 provést dvěma způsoby: •

Upgradovat na systém Windows Server 2003 přímo ze systému Windows NT Server 4.0.

•

Provést čistou instalaci systému Windows Server 2003 a následně nainstalovat požadované aplikace.

V řadě případů je vhodnější čistá instalace, aby bylo možné provést některé běžné úkoly, jako například vytvořit nové oddíly na disku, nebo zajistit, že budou odebrány všechny zbytečné či nepoužívané soubory Příručka k upgradu systému Windows NT Server 4.0

7


a zakázány služby, které nejsou potřeba. Přestože lze upgrade provést tak, aby bylo zachováno existující nastavení konfigurace aplikací, je upřednostňováno provedení čisté instalace. Prvním krokem při každé takto závažné operaci je plánování. Následující kroky je doporučeno provést v uvedeném pořadí, které umožní úspěšně migrovat ze systému Windows NT Server 4.0 na systém Windows Server 2003: •

•

•

Plánování a implementace: o

příprava na upgrade

o

vyhodnocení kompatibility aplikací pomocí sady nástrojů Application Compatibility Toolkit 3.0

o

upgrade serverů Windows NT 4.0

o

implementace služby Active Directory

Vyhodnocení základních změn v operačním systému: o

pochopení změn služeb systému Windows

o

zjištění již nepodporovaných protokolů

o

pochopení důsledků změn v zabezpečení

Zajištění podpory aplikací: o

práce se službou IIS 6.0

o

zvážení otázky výběru verze produktu Exchange Server

o

pochopení změn Služby komponent (COM+ 1.5)

o

upgrade z rozhraní .NET Framework 1.0 na rozhraní .NET Framework 1.1

Proč upgradovat? Pro upgrade může být několik důvodů. Jedním z nich je schopnost udržení tempa s vývojem nových technologií. Vynaložený čas i prostředky však mohou být značné, a to i při upgradu jediného počítače. Je proto třeba zvážit návratnost investic. Systém Windows Server 2003 má v porovnání s dřívějšími verzemi serverových operačních systémů Windows řadu výhod. Mnoho z nich spadá do oblasti zvýšení zabezpečení systému. I další významné nové funkce dělají z této verze operačního systému Windows nejspolehlivější a nejrozšiřitelnější operační systém, jaký zatím společnost Microsoft uvedla na trh. To znamená, že se vám investice vynaložené na přechod na systém Windows Server 2003 rychle vrátí. Mezi nové funkce patří zcela přepracovaná verze služby IIS 6.0 s rozhraním ASP.NET a zlepšení služby Active Directory, která usnadňují správu, včetně vztahů důvěryhodností mezi doménovými strukturami a režimu AS/AM (Active Directory in Application Mode). Dále se jedná o funkci Stínová kopie svazku


8


umožňující vytvářet kopie důležitých dat v konkrétních bodech v čase. Tyto kopie lze pak dále používat pro obnovení dat při chybě nebo pro účely archivace. Navíc systém obsahuje podporu infrastruktury veřejného klíče (PKI – public key infrastructure) pomocí protokolu Kerberos 5.0, obsahuje vylepšení Terminálové služby, podporu vytváření clusterů s 8 uzly a inteligentní souborové služby. Klíčové výhody upgradu jsou shrnuty v následující tabulce.

Klíčové výhody Výhoda Snížení nákladů

Popis Z případových studií vyplývá, že organizace jsou schopny kompenzovat náklady vynaložené na upgrade na systém Windows Server 2003 během 6 až 18 měsíců s 2030% snížením celkových nákladů na vlastnictví. Systém Windows Server 2003 má o 50 % delší dobu provozu bez výpadku než systém Windows NT Server 4.0. To snižuje náklady, protože se zkrátí doba, kdy je server mimo provoz. Ukázalo se, že díky novým funkcím, jako je například služba Stínová kopie svazku, lze až o 90 % snížit výskyt událostí, při kterých je třeba data obnovovat ze zálohy.

Snížení rizik

Bezpečnostní vylepšení systému Windows Server 2003 umožňují snížit rizika. Systém je lépe zabezpečen než v předchozích verzích a jsou také lépe chráněna důležitá data. §

Za účelem snížení počtu zranitelných míst v systému, která by mohli zneužít uživatelé se zlými úmysly, se již řada služeb neinstaluje ve výchozím nastavení a pro řadu z těch, které spouštěny jsou, se používají omezená oprávnění.

§

Zásady omezení softwaru umožňují snížit rizika zabezpečení tím, že lze nastavit, aby uživatelé nemohli spouštět nebezpečné aplikace.

§

Ze studií vyplývá, že přibližně 60 % podnikových dat je uloženo v pracovních stanicích uživatelů, aniž by tato data byla jakkoli chráněna. Nové funkce v systému Windows Server 2003 umožňují zabezpečit počítače v síti přesměrováním ukládání dat do složky Dokumenty: na serveru v podobě šifrovaných souborů. Tato změna také zajišťuje efektivnější zálohy prostřednictvím služby Stínová kopie svazku.

Zvýšení produktivity

U řady funkcí došlo díky vylepšením v systému Windows Server 2003 k výraznému zvýšení výkonu v porovnání se systémem Windows NT Server 4.0. V porovnání se systémem Windows NT Server 4.0 byla pozorována zlepšení zejména u souborových, webových, adresářových a transakčních služeb.

Při migraci na nový systém lze využít řadu užitečných nástrojů

Úspěšný upgrade zajišťují výkonné nástroje, například: §

nástroj pro migraci služby IIS 6.0;

§

nástroj ADMT (Active Directory Migration Tool);

§

nástroj Application Compatibility Toolkit 3.0;

§

nástroj Vzdálená instalace;

§

služby automatické implementace;

§

* řada dalších nástrojů jiných výrobců.


9


10 hlavních důvodů k upgradu Následuje popis hlavních nových funkcí a zlepšení pro organizace zvažující upgrade ze systému Windows NT Server 4.0: 1. Služba Active Directory Služba Active Directory zjednodušuje správu složitých síťových adresářů a usnadňuje uživatelům vyhledávání prostředků i ve velmi rozsáhlých sítích. Tato adresářová služba, která najde nejlépe uplatnění v organizacích, je snadno rozšiřitelná. Byla zcela přepracována s využitím standardních internetových technologií a je plně integrována na úrovni operačního systému v těchto verzích: Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition a Windows Server 2003 Datacenter Edition. Systém Windows Server 2003 obsahuje řadu vylepšení služby Active Directory, která usnadňují její použití, a nové funkce, včetně vztahů důvěryhodnosti mezi doménovými strukturami, možnost přejmenovávat domény a deaktivovat atributy a třídy ve schématech z důvodu změn jejich definic. 2. Zásady skupiny Správci mohou pomocí zásad skupiny definovat nastavení a povolené akce pro uživatele a počítače. Na rozdíl od místních zásad lze zásady skupiny používat k nastavování zásad, které v rámci služby Active Directory platí pro celou síť, doménu nebo organizační jednotku. Správa využívající zásady zjednodušuje takové úlohy, jako je například operace aktualizace systému, instalace aplikací, profily uživatelů a uzamčení systému pracovní stanice. Konzola pro správu zásad skupiny (GPMC – Group Policy Management Console) představuje nový systém správy zásad skupiny. Díky této konzole lze zásady skupiny používat daleko snadněji. Organizace tak mohou více a lépe používat službu Active Directory a využívat výhody funkcí správy, které tato konzola poskytuje. 3. Výkon serveru Při interních testech se ukázalo, že systém Windows Server 2003 nabízí výrazné zvýšení výkonu v porovnání s dřívějšími verzemi operačního systému Windows. Například souborový a webový server je v porovnání s výkonem v systému Windows NT Server 4.0 dvakrát rychlejší. Vzhledem k jedinečnosti nastavení sítě a jednotlivých počítačů se může zlepšení výkonu v jednotlivých organizacích lišit. Společnost Microsoft si je však jista, že vyšší výkon systému Windows Server 2003 dokáže zajistit rychlejší služby pro síťová řešení.

4. Stínové kopie sdílených složek Tato funkce je součástí služby Stínová kopie svazku a umožňuje správcům nakonfigurovat automatické vytváření kopií důležitých dat v konkrétních bodech v čase. Tyto kopie pak lze využít pro obnovení služby, archivační účely či obnovení dat. Uživatelé mohou používat archivované verze svých dokumentů, které jsou na pozadí na serveru udržovány. Díky těmto vylepšeným možnostem obnovování dokumentů lze pak dosáhnout vyšší produktivity.


10


5. Služba IIS 6.0 a rozhraní .NET Framework IIS 6.0 je plnohodnotný webový server, který umožňuje pracovat s webovými aplikacemi a webovými službami XML. Služba IIS 6.0 byla zcela přepracována s novým modelem procesů odolných proti chybám, který významně zvyšuje spolehlivost webových serverů a aplikací. Služba IIS umožňuje izolovat jednotlivé webové aplikace či několik webů do jediného procesu s názvem „fond aplikací“, který komunikuje přímo s jádrem operačního systému. Tato funkce zvyšuje propustnost dat a kapacitu aplikací a díky efektivnímu snížení požadavků na hardware také nabízí vyšší rezervu kapacity serveru. Tyto fondy aplikací zabraňují jedné aplikaci či webu v rušení webových služeb XML nebo jiných webových aplikací na serveru. Služba IIS také poskytuje možnosti sledování stavu, pomocí kterých lze zjišťovat chyby webových aplikací, zabraňovat jim a zároveň webové aplikace při takových chybách obnovovat. V systému Windows Server 2003 používá rozhraní ASP.NET nativně již nový model procesů služby IIS. Tyto rozšířené funkce zjišťování stavu jsou také k dispozici pro existující aplikace využívající službu IIS 4.0 a IIS 5.0 a většinu aplikací není třeba nijak upravovat. Rozhraní .NET Framework poskytuje programovací model pro vytváření, implementaci a spouštění webových aplikací a webových služeb XML v prostředí služby IIS. Zajišťuje produktivní prostředí pro více jazyků založené na standardech umožňující integrovat existující investice s další generací aplikací a služeb a také flexibilně reagovat na problémy s implementací a provozem internetových aplikací. Existující aplikace lze přetvořit na webové služby XML a aplikace pro systém UNIX lze do řešení integrovat (či upgradovat) snadněji než dříve.

6. Terminálová služba Terminálový server umožňuje správcům zajistit používání aplikací pro systém Windows (či samotné plochy systému Windows) prakticky na jakémkoli výpočetním zařízení – včetně těch, ve kterých nelze používat systém Windows. Jakmile uživatelé spustí aplikaci na Terminálovém serveru, je aplikace spuštěna na serveru a přes síť se přenášejí pouze informace o používání klávesnice, myši a o zobrazení. Uživatelé vidí pouze své vlastní relace, které jsou na pozadí spravovány serverovým operačním systémem a zůstávají nezávislé ve všech klientských relacích. Vzdálená plocha pro správu je založena na režimu vzdálené správy služby Windows 2000 Terminal Services. Kromě dvou virtuálních relací, které jsou k dispozici v režimu vzdálené správy služby Windows 2000 Terminal Services, se může správce také vzdáleně připojovat ke konzole serveru. Terminálový server umožňuje zlepšit možnosti implementace podnikového softwaru v řadě situací, které je obtížné řešit pomocí tradičních technologií distribuce aplikací.

7. Služba clusterů (podpora 8 uzlů) Tato služba je k dispozici pouze v systému Windows Server 2003 Enterprise Edition a Windows Server 2003 Datacenter Edition. Zajišťuje vysokou dostupnost a škálovatelnost například pro Příručka k upgradu systému Windows NT Server 4.0

11


databáze, systémy pro zasílání zpráv a souborové a tiskové služby. Služba clusterů funguje tak, že povoluje potřebné množství serverů (uzlů), aby byla zachována stejná úroveň komunikace. Pokud jeden z uzlů nebude v důsledku chyby nebo údržby dostupný, začne služby okamžitě poskytovat jiný uzel. Tento proces se nazývá převzetí služeb při selhání. Uživatelé, kteří službu v dané chvíli používali, budou pokračovat ve svých činnostech, aniž by museli vědět, že jim nyní služby poskytuje jiný server (uzel). Ve verzi Windows Server 2003 Enterprise Edition i Windows Server 2003 Datacenter Edition je podporována konfigurace serverového clusteru až s osmi uzly.

8. Integrovaná podpora infrastruktury veřejného klíče (PKI) pomocí protokolu Kerberos 5.0 Pomocí Certifikační služby a nástrojů pro správu certifikátů mohou organizace implementovat své vlastní infrastruktury PKI. Pomocí infrastruktury PKI mohou správci implementovat technologie na základě standardů, například možnosti přihlašování pomocí karet Smart Card, ověřování klientů pomocí protokolů SSL (Secure Sockets Layer) a TLS (Transport Layer Security), zlepšené zabezpečení e-mailů, digitální podpisy a připojení prostřednictvím protokolu IPSec (Internet Protocol security). Pomocí Certifikační služby mohou správci nastavovat a spravovat certifikační úřady, které vystavují či odvolávají certifikáty X.509 V3. To znamená, že organizace nemusí spoléhat na komerční služby ověřování klientů, přestože mohou být integrovány do infrastruktury PKI organizace. Kerberos 5.0 je velmi vyspělý protokol pro ověřování v síti, který představuje standard v oboru. Protokol Kerberos 5.0 umožňuje uživatelům získat pomocí procesu jednotného přihlašování rychle potřebný přístup k prostředkům organizace a také do jiných prostředí, které tento protokol podporují. Mezi další výhody patří vzájemné ověřování, kde ověřování musí proběhnout u klienta i na serveru, a delegované ověřování, kde jsou sledována pověření uživatelů.

9. Správa pomocí příkazového řádku Produkty řady Windows Server 2003 obsahují značně rozšířenou infrastrukturu příkazového řádku, což umožňuje správcům provádět většinu úloh správy bez grafického uživatelského rozhraní (GUI). Důležitá je také možnost provádět velkou řadu úloh využíváním přístupu k úložišti informací se službou WMI (Windows Management Instrumentation). Tato funkce WMIC (WMI command-line) zajišťuje jednoduché rozhraní příkazového řádku, které komunikuje s existujícími prostředími a příkazy nástrojů a lze je snadno rozšířit pomocí skriptů či jiných aplikací zaměřených na správu. Díky této vylepšené funkci v produktech řady Windows Server 2003 a připraveným skriptům se tento systém dokáže vyrovnat jiným operačním systémům, které však často mají vyšší náklady na vlastnictví. Správci, kteří jsou zvyklí na správu systémů UNIX nebo Linux z příkazového řádku, mohou pokračovat ve správě z příkazového řádku i v produktech řady Windows Server 2003.


12


10. Inteligentní souborové služby Encrypting File System (EFS) umožňuje uživatelům šifrovat a dešifrovat soubory, aby byly chráněny před uživateli se zlými úmysly, kteří by mohli získat fyzický neoprávněný přístup k citlivým datům, která jsou uložena v počítači (například při odcizení přenosného počítače nebo externí diskové jednotky). Šifrování probíhá na pozadí, tzn. že uživatelé pracují se šifrovanými soubory a složkami stejným způsobem jako s jakýmikoli jinými soubory či složkami. Pokud se šifrovanými soubory či složkami pracuje stejný uživatel služby EFS, který je zašifroval, systém je automaticky dešifruje, jakmile je uživatel potřebuje znovu používat. Distribuovaný systém souborů (DFS) zjednodušuje správu sdílených diskových prostředků v síti. Správci mohou přiřazovat sdíleným jednotkám v síti logické názvy. Uživatelé tak nemusí znát fyzický název přiřazený konkrétnímu serveru, ke kterému potřebují získat přístup. Služba replikace souborů (FRS) představuje významné zdokonalení funkce replikace adresáře v systému Windows NT Server 4.0. Tato služba například zajišťuje replikaci několika hlavních kopií souborů pro určené adresářové struktury mezi danými servery. Je také používána službou Distribuovaný systém souborů (DFS) k synchronizaci obsahu mezi přiřazenými replikami a službou Active Directory k synchronizaci obsahu z informací o systémovém svazku mezi řadiči domény.


13


Příprava na upgrade Před zahájením upgradu ze systému Windows NT Server 4.0 na systém Windows Server 2003 je třeba naplánovat všechny úlohy, které bude nutné provést. Pokud je součástí upgradu i služba Active Directory, je vhodné upgrade plánovat ještě pečlivěji. Pomocí tohoto plánu upgradu lze stanovit pořadí, ve kterém mají být upgradovány jednotlivé servery a domény, zjistit dostupné prostředky a získat informace nezbytné k tomu, aby bylo možné upgrade provést co nejefektivnějším způsobem. Plán upgradu by měl také obsahovat všechny součásti, které je třeba upgradovat, a správné pořadí upgradu. Také je třeba pečlivě prozkoumat všechny závislosti mezi servery a aplikacemi. Rovněž je nutné získat informace o hardwaru. Lze upgradovat stávající servery nebo je třeba zakoupit nový hardware? Je třeba upgradovat některé aplikace? Je možné, že některé servery upgradovat nelze? Při upgradu na systém Windows Server 2003 získají organizace řadu výhod bez ohledu na to, zda upgradují jediný server nebo je upgradují všechny. V této části příručky naleznete informace, které vám mohou pomoci při plánování pořadí migrace hardwaru a serverů.

Určení podpory upgradu softwaru Před zahájením je třeba identifikovat operační systémy používané v daném prostředí a určit, zda lze příslušné počítače upgradovat přímo ze stávajících systémů na systém Windows Server 2003 nebo zda je třeba provést čistou instalaci operačního systému. Aby bylo možné upgradovat počítač se systémem Windows NT Server 4.0 na systém Windows Server 2003, musí být nainstalována aktualizace Service Pack 5 (SP5) nebo vyšší. Ve skutečnosti je nejlepším řešením nainstalovat poslední dostupnou verzi aktualizace Service Pack pro systém Windows NT Server 4.0 (pokud u ní nebyly zjištěny potíže) a také všechny ostatní aplikace, které lze spustit na serverech Windows NT 4.0. V následující tabulce jsou uvedeny operační systémy Windows NT Server 4.0 s informacemi o tom, zde je lze přímo upgradovat na některou z verzí operačního systému Windows Server 2003. Při provádění upgradu na systém Windows Server 2003 není třeba přeinstalovat většinu aplikací. Možnosti upgradu verzí systému Windows NT Server Aktuální verze operačního systému Windows NT 4.0 Server Standard Edition Windows NT 4.0 Server Enterprise Edition

Verze upgradu Windows Server 2003 Standard Edition X

Windows Server 2003 Enterprise Edition X

Windows Server 2003 Datacenter Edition

X

Pokud potřebujete upgradovat počítače s operačními systémy, které nelze přímo upgradovat na některou z verzí operačního systému Windows Server 2003, proveďte jeden z následujících kroků:


14


•

•

Upgradujte počítač na operační systém, který lze přímo upgradovat na systém Windows Server 2003. Proveďte v těchto počítačích čistou instalaci systému Windows Server 2003.

Upgrade se serverem Exchange 2000 Vzhledem k významným změnám v zabezpečení systému Windows Server 2003 a dalším funkcím je s tímto operačním systémem kompatibilní pouze verze Exchange Server 2003. V době vytváření této příručky však ještě nebyl produkt Exchange Server 2003 k dispozici. (Tato verze bude uvedena na trh ke konci roku 2003.) Navíc nelze verzi Exchange 2000 na server se systémem Windows Server 2003 nainstalovat ani spustit. Je třeba ji nainstalovat na server se systémem Windows 2000 Server. Naštěstí je možné tuto platformu (server Exchange 2000 a systém Windows 2000) provozovat v prostředí systému Windows Server 2003 souběžně. Pokud zvažujete, zda upgradovat servery se systémem Windows na verzi Windows Server 2003, můžete si být jisti, že to nebude mít žádný vliv na infrastrukturu pro zasílání zpráv. Souborové a tiskové servery, řadiče domén i servery globálních katalogů lze upgradovat na systém Windows Server 2003 bez jakýchkoli negativních dopadů na provoz serveru Exchange.

Upgrade se serverem Microsoft SQL Server™ 7.0 Společnost Microsoft se vždy snaží pro své zákazníky zajistit produkty se zvýšeným zabezpečením, a proto je v systému Windows Server 2003 podporován pouze SQL Server 2000 s aktualizací Service Pack 3 (SP3) nebo vyšší a MSDE 2000 s aktualizací SP3 nebo vyšší. Produkty SQL Server 7.0 a MSDE 1.0 nejsou v systému Windows Server 2003 podporovány. Doporučuje se, aby zákazníci využívající aplikace pro SQL Server 7.0 a MSDE 1.0 zvážili v systému Windows Server 2003 upgrade na SQL Server 2000 a SQL Server Desktop Engine (tento produkt se také uvádí pod názvem MSDE 2000) s aktualizací SP3. Další informace o podpoře serverů SQL Server a informace o upgradu získáte v části Running SQL Server on Windows Server 2003 (Spuštění serveru SQL Server v systému Windows Server 2003) na webové stránce společnosti Microsoft určené pro produkty SQL Server na adrese http://www.microsoft.com/sql/howtobuy/windowsnetsupport.asp

Aspekty hardwaru V rámci svého plánu upgradu zjistěte a zdokumentujte existující hardwarovou konfiguraci a operační systém pro jednotlivé řadiče domén, které chcete upgradovat. Pomocí těchto informací lze identifikovat počítače, které bude vhodné upgradovat na systém Windows Server 2003, a počítače, které je třeba vyřadit z provozu, nebo je převést zpět na členský server. Ponechejte si pak vyřazené servery pro případ, že by bylo třeba provedený upgrade vrátit zpět.


15


Kompatibilita hardwaru a ovladačů Je vhodné zjistit, zda je hardware systému na seznamu kompatibilního hardwaru. Pokud ne, je třeba na webu výrobce hardwaru vyhledat aktualizované ovladače. Jakmile ovladač najdete, zkontrolujte, zda je podepsán. Podepisování ovladačů je proces, při kterém jsou ovladače zařízení ověřovány v řadě testů prováděných laboratoří WHQL (Windows Hardware Quality Lab). Ovladače s tímto certifikátem mnohem robustnější, a proto jsou upřednostňovány. Společnost Microsoft digitálně podepisuje ovladače, které projdou testy WHQL, aby byly nativně rozpoznávány systémem Windows Server 2003. Patří mezi ně tato zařízení: •

klávesnice

•

řadiče pevných disků

•

multimediální zařízení

•

grafické karty

•

modemy

•

myši

•

síťové adaptéry

•

tiskárny

•

adaptéry SCSI

•

čtečky karet Smart Card

Systémové soubory dodávané se systémem Windows Server 2003 mají digitální podpis společnosti Microsoft, který indikuje, že soubory jsou původní (nebyly nijak pozměněny) a byly schváleny společností Microsoft pro použití v systému Windows Server 2003. Všechny ovladače, které jsou součástí systému Windows Server 2003, jsou digitálně podepsány společností Microsoft. Můžete ověřit, zda ovladače jiného výrobce vyhovují standardům WHQL a nebyly od doby testování nijak pozměněny. Chcete-li mít jistotu, že ovladače zařízení jsou kompatibilní se systémem Windows Server 2003, zaměřte se na dodavatele nabízející ovladače podepsané společností Microsoft.

Kontrola digitálních podpisů Systém Windows Server 2003 obsahuje Nástroj pro ověření podpisu souboru a funkci kontroly podpisů, které umožňují identifikovat podepsané soubory. Nástroj pro ověření podpisu souboru umožňuje určit, zda je soubor podepsán, a provést následující kroky:


16


•

Zobrazit certifikáty podepsaných souborů a ověřit tak, že soubor nebyl po udělení certifikátu nijak pozměněn.

•

Vyhledat podepsané soubory v zadaném umístění.

•

Vyhledat nepodepsané soubory v zadaném umístění.

Chcete-li spustit Nástroj pro ověření podpisu souboru, klepněte v nabídce Start na příkaz Spustit, zadejte příkaz sigverif a poté klepněte na tlačítko OK. Zobrazí se okno Ověření podpisu souboru. Chcete-li upravit nastavení tohoto nástroje, klepněte na tlačítko Upřesnit. Dialogové okno Upřesňující nastavení ověřování podpisů souborů obsahuje následující karty s možnostmi: •

Hledat Umožňuje vyhledat všechny ovladače nebo zadat název a umístění pro vyhledávání ovladačů.

•

Protokolování Uloží výsledky programu do souboru protokolu. Můžete zadat název souboru a určit, zda se má existující soubor přepisovat nebo zda se mají výsledky do existujícího souboru přidávat. Také lze existující protokol zobrazit.

Soubor protokolu (Sigverif.txt) je ve výchozím nastavení uložen ve složce %kořenová_složka_systému% a zaznamenávají se do něj následující informace o prohledávaných souborech: •

název

•

datum změny

•

číslo verze

•

stav (podepsáno/nepodepsáno)

•

umístění

Kontrola podpisů Povolením kontroly podpisů mohou správci systému nastavit, aby systém Windows Server 2003 vždy při instalaci ovladačů kontroloval digitální podpisy. Kontrola podpisů probíhá na třech úrovních: •

Úroveň 0 Kontrola digitálních podpisů je zakázána. Dialogové okno, které se používá pro identifikaci digitálně podepsaných ovladačů, se nezobrazí a jsou nainstalovány všechny ovladače bez ohledu na to, zda jsou podepsány.

•

Úroveň 1 Určuje, zda ovladač prošel testováním WHQL. Kdykoli se uživatel pokusí nainstalovat ovladač, který neprojde kontrolou digitálního podpisu, zobrazí se zpráva.

•

Úroveň 2 Blokuje instalaci ovladače, který neprošel kontrolou podpisu. Uživateli se zobrazí oznámení o tom, že ovladač nelze nainstalovat, protože není digitálně podepsán. Funkci kontroly podpisů lze aktivovat na kartě Hardware dialogového okna Vlastnosti systému.


17


Minimální požadavky na systém Windows Server 2003 Požadavky na systém podle verze Požadavek

Standard Edition

Enterprise Edition

Datacenter Edition

Web Edition

Minimální rychlost

133 MHz

§

133 MHz pro

§

133 MHz

§

počítače s

počítače

procesorem x86

s procesory x86

procesoru

§

733 MHz pro počítače s procesory Itanium1

§

400 MHz pro

733 MHz pro počítače s procesory Itanium1

Doporučená rychlost procesoru

550 MHz

733 MHz

733 MHz

550 MHz

Minimální velikost paměti RAM

128 MB

128 MB

512 MB

128 MB

Doporučená velikost paměti RAM

256 MB

256 MB

1 GB

256 MB

Maximální velikost paměti RAM

4 GB

§

§

2 GB

§

Podpora více procesorů2 Místo na disku pro instalaci

Maximálně 4

32 GB pro

64 GB pro

počítače

počítače

s procesory x86

s procesory x86

64 GB pro počítače s procesory Itanium1

Maximálně 8

§

§

512 GB pro počítače s procesory Itanium1 Minimální

Maximálně 2

požadavek 8

1,5 GB

§

1,5 GB pro

§

Maximálně 64

§

1,5 GB pro

počítače

počítače

s procesory x86

§

2,0 GB pro počítače s procesory Itanium1

1,5 GB

s procesory x86 §

2,0 GB pro počítače s procesory Itanium1

1

Důležité informace 64bitové verze systému Windows Server 2003 Enterprise Edition a Windows Server 2003 Datacenter Edition jsou kompatibilní pouze se systémy, ve kterých se používají 64bitové procesory Intel Itanium, a nelze je úspěšně nainstalovat do 32bitových systémů.

2

Systém Windows Server 2003 nemusí být v případě některých procesorů Intel Pentium Pro nebo Pentium II schopen používat více procesorů. Další informace naleznete v článku 319091 znalostní báze Microsoft Knowledge Base.


18


Pro řadiče domén se doporučuje další místo na disku za účelem podpory databáze a souborů protokolu služby Active Directory. Při zjišťování požadavků na místo na disku pro instalaci služby Active Directory postupujte podle následujících pokynů: •

Na jednotce, která bude obsahovat šablonu databáze Active Directory (NTDS.dit), je třeba zajistit volné místo rovnající se 10 procentům velikosti existující databáze nebo alespoň 250 MB.

•

Na jednotce obsahující soubory protokolů transakcí Active Directory ESENT zajistěte alespoň 50 MB volného místa na disku.

•

Za účelem dosažení optimálního výkonu uložte databázi Active Directory, soubory protokolu Active Directory a operační systém Windows Server 2003 na jiné fyzické pevné disky.

•

Pokud plánujete na řadiči domény instalaci dalších služeb, alokujte dostatečný procesor, paměť a diskové prostředky. Další informace o plánování kapacity řadiče domény získáte v části Planning for Domain Controller Capacity (Plánování kapacity řadičů domén) v příručce Windows Server 2003 Deployment Guide (Příručka k implementaci systému Windows Server 2003), která je k dispozici na webovém serveru služby TechNet na adrese http://www.microsoft.com/technet/prodtechnol/WindowsNetServer/Evaluate/CPP/Reskit/ADSec/

•

Informace o hardwaru a softwaru jednotlivých řadičů domén zaznamenávejte do tabulky. Příklad tabulky, který by vám mohl pomoci při dokumentování informací o hardwaru, získáte v dokumentu Hardware Assessment (Vyhodnocení hardwaru) v sadě Windows Server 2003 Deployment Kit.

Vyhodnocení a zdokumentování pořadí upgradu serverů V plánu upgradu je třeba identifikovat a zdokumentovat řadiče domény v existující doméně systému Windows NT 4.0. Dokumentace by měla také obsahovat informace o tom, jakou roli mají jednotlivé řadiče v doméně a služby, které jednotlivé řadiče poskytují. Je třeba identifikovat servery, které poskytují službu RAS (Remote Access Service) a LMRepl (LAN Manager Replication), protože upgrade na systém Windows Server 2003 tyto služby ovlivňuje. Příklad tabulky, která by vám mohla pomoci při dokumentování serverů a služeb, získáte v dokumentu Domain Controllers and Services Documentation (Zdokumentování řadičů domén a služeb) v sadě Windows Server 2003 Deployment Kit. Analyzováním serverů určete pořadí, ve kterém je třeba jednotlivé servery upgradovat. Při této analýze je třeba brát v úvahu následující otázky: •

počet serverů k vyřazení či upgradu

•

aplikace používané na jednotlivých serverech

•

služby používané na jednotlivých serverech


19


Počet serverů Určete, kolika serverů se bude upgrade týkat. Určete prioritu upgradu jednotlivých serverů. Pokud například plánujete přímý upgrade domény na vyšší verzi, bude primární řadič domény (PDC – primary domain controller) systému Windows NT 4.0 na jednom z prvních míst v seznamu, protože je třeba jej upgradovat ještě před tím, než bude možné upgradovat službu Active Directory. Upgrade lze také zahájit od členských serverů. Členské servery systému Windows NT 4.0 lze upgradovat na systém Windows Server 2003 ještě před upgradem služby Active Directory. Tento postup také umožňuje zajistit úspěšné provedení upgradu, přičemž správci mohou využít nové funkce systému Windows Server 2003, například službu Stínová kopie svazku. Je třeba zjistit a zdokumentovat, které servery bude třeba vyřadit z provozu. Hardware na některých serverech Windows NT 4.0 může být již poměrně zastaralý. Určete, které počítače je potřeba vyřadit, a naplánujte převedení služeb a aplikací, které na nich byly provozovány, na jiné servery (nebo hardware serveru nahraďte novým).

Aplikace na serverech Určete důležité podnikové aplikace a odpovídající servery a následně těmto serverům přiřaďte priority. Pokud byl například zvolen paralelní upgrade, bude pravděpodobně nejvhodnější upgradovat nejdříve server s málo používanými aplikacemi do nové paralelní domény Active Directory systému Windows Server 2003. Díky zkušenostem získaným při prvním upgradu a každém následujícím upgradu lze snadněji upgradovat ostatní servery. Další informace o určování kompatibility aplikací získáte dále v této příručce v části Vyhodnocení kompatibility aplikací.

Služby na serverech Přiřaďte priority službám používaným na jednotlivých serverech. Je třeba provést podrobnou analýzu služeb systému Windows. Nejdříve vytvořte seznam všech služeb a označte si u nich, jak velký vliv mají na práci uživatelů. Naplánováním pořadí upgradu služeb lze lépe určit celkové pořadí upgradu serverů. Je třeba vzít v úvahu následující služby: •

DHCP (Dynamic Host Configuration Protocol)

•

WINS (Windows Internet Name Service)

•

Terminálová služba

•

souborová a tisková služba

•

webová služba


20


Kontrolní seznamy pro upgrade serverů Pomocí následujících kontrolních seznamů lze vytvořit správný plán upgradu, jehož součástí je analýza hardwaru a vyhodnocení správného pořadí migrace serverů. Další informace o problémech s kompatibilitou aplikací získáte dále v této příručce v části Vyhodnocení kompatibility aplikací. Kontrolní seznamy pro přechod ze systému Windows NT 4.0 Server na systém Windows Server 2003 Fáze zjištění a zdokumentování existujícího prostředí Proveďte počáteční úkoly: Určení podpory upgradu softwaru serverů Windows NT 4.0 Identifikace počítačů, které lze upgradovat Identifikace počítačů k vyřazení z provozu Zdokumentujte existující doménovou strukturu a přiřazení řadičů domény: Topologie Síťová připojení Servery v doméně Poskytované služby Členové globální skupiny Domain Administrators Počet uživatelů v doméně Operační systémy pracovních stanic Všechny ostatní poskytované prostředky v doméně, například tisková či faxová služba Vytvořte diagram existující domény Windows NT 4.0. Do diagramu zahrňte: Název domény Názvy serverů v doméně Počet řadičů v doméně Vztahy důvěryhodnosti, které doména sdílí s ostatními doménami


21


Zdokumentujte, jak jsou momentálně přiřazeny existující řadiče domén, včetně například těchto položek: Názvy počítačů Informace o síti, například adresy IP a masky podsítě Poskytované služby Zdokumentujte plánovanou strukturu sítě systému Windows Server 2003, včetně těchto informací: Struktura domény Plánované role hlavních operačních serverů po upgradu Pořadí, ve kterém budou řadiče domén upgradovány Infrastruktura DNS (Domain Name System) a obor názvů Struktura doménové struktury systému Windows Server 2003 Vztah domén systému Windows Server 2003 s existujícími doménami systému Windows NT 4.0 Vztah doménové struktury systému Windows Server 2003 k ostatním doménovým strukturám

Fáze plánování upgradu Určete pořadí, ve kterém mají být upgradovány domény: Určete pořadí, ve kterém mají být upgradovány domény účtů. Určete pořadí, ve kterém mají být upgradovány domény prostředků. Určete pořadí, ve kterém mají být upgradovány objekty domény. Identifikujte problémy s kompatibilitou služeb a klientů: Zjistěte, zda lze aplikace ze systému Windows NT 4.0 Server spustit v systému Windows Server 2003. Ověřte kompatibilitu služby RAS. Ověřte kompatibilitu klientů Windows 2000 a Windows XP. Vytvořte testovací plán, který ověří, že: Uživatel se může přihlásit.


22


Uživatel má přístup k souborům, ke kterým má oprávnění jako uživatel. Uživatel má přístup k souborům, ke kterým má oprávnění jako člen skupiny. Uživatel nemá přístup k souborům, ke kterým nemá oprávnění jako člen skupiny. Uživatel má přístup k e-mailovým prostředkům (pokud je používá). Vytvořte testovací plán, který ověří funkčnost domén systému Windows NT 4.0 a služby Active Directory systému Windows Server 2003: Ověřte, že je existující doména systému Windows NT 4.0 funkční a že řádně probíhá replikace mezi řadiči. Ověřte pomocí nástrojů systému Windows Server 2003 různé aspekty konfigurace služby Active Directory. Ověřte, že služba Active Directory funguje správně. Vytvořte plán obnovování ze záloh s kroky potřebnými k obnovení domény do původního stavu, včetně následujících akcí: Odeberte z domény všechny řadiče domén systému Windows Server 2003. Obnovte síťové připojení k určenému záložnímu řadiči domény (BDC – backup domain controller). Nastavte určený záložní řadič domény jako primární řadič domény. Synchronizujte všechny řadiče domény Windows NT 4.0. Otestujte operace serveru Windows NT 4.0 a ověřování domény. Zdokumentujte důvody neúspěšného upgradu domény a sdělte je projektovému týmu. Znovu začněte plánovat upgrade domény. Je třeba odhadnout čas nutný pro obnovení v případě chyby. Týmová kontrola a schválení

Fáze provádění úkolů a postupů v rámci přípravy na upgrade Proveďte počáteční úkoly: Vytvořte členský server se systémem Windows Server 2003. Přečtěte si informace týkající se úrovně funkčnosti Windows Server 2003 – provizorní.


23


Změňte umístění služby replikace souborů LMRepl. Zabezpečte data domény: Vytvořte zálohu primárního řadiče domény a nejméně jednoho záložního řadiče domény. Synchronizujte záložní řadič domény s primárním řadičem domény a potom záložní řadič odeberte ze sítě. V plném rozsahu zálohujte všechny služby spuštěné v řadičích domény. Před povolením dokončení změn prostředí systému Windows NT 4.0 zajistěte následující podmínky nebo kroky: Všechny aktualizace domény se systémem Windows NT 4.0 byly dokončeny a v plné míře replikovány. Globální skupina Domain Administrators systému Windows NT 4.0 je správně nakonfigurována. Záložní řadič domény byl synchronizován a za účelem obnovení převeden do režimu offline. Proveďte testovací plány pro uživatele a domény se systémem Windows NT 4.0.

Fáze upgradu domén ze systému Windows NT 4.0 na systém Windows Server 2003 Počáteční úkoly: Konfigurace služby DNS v primárním řadiči domény Upgrade primárního řadiče domény se systémem Windows NT 4.0 Nakonfigurujte systém tak, abyste zabránili přetížení lokátoru primárního řadiče domény: Emulujte řadič domény se systémem Windows NT 4.0. Neutralizujte emulaci systému Windows NT 4.0. Synchronizujte služby replikace souborů. Proveďte testovací plány pro uživatele a službu Active Directory. Proveďte testovací plány pro uživatele a službu Active Directory. Proveďte úkoly v rámci fáze po upgradu: Přidejte do domény systému Windows Server 2003 další řadiče.


24


Opakujte kroky upgradu u zbývajících domén systému Windows NT 4.0. Podle potřeby konsolidujte účty a domény. Zvyšte úroveň funkčnosti doménové struktury a domény (pokud je to nutné). Použijte oddíly adresáře aplikace služby DNS. Dokončete upgrade: Pokud je potřeba vrátit provedený upgrade zpět, uveďte znovu do provozu vyřazené servery. Zkontrolujte, aktualizujte a zaznamenejte architekturu domény a doménové struktury. Zkontrolujte provozní procedury a úlohy správy. Odeberte skript služby replikace souborů z řadiče domény pro každodenní export skriptů. Proveďte závěrečné testovací plány pro uživatele a službu Active Directory.


25


Vyhodnocení kompatibility aplikací Při plánování upgradu je nutné zjistit, zda budou v nové verzi operačního systému fungovat stávající aplikace. V systému Windows Server 2003 tento proces usnadňuje sada nástrojů, pomocí kterých lze případné problémy s kompatibilitou aplikací zjistit a vyřešit ještě před upgradem. Jedná se o aplikaci ACT (Application Compatibility Toolkit), která zahrnuje několik nástrojů umožňujících systémovým odborníkům a vývojářům přípravu a přechod na systém Windows Server 2003. Pomocí této sady nástrojů můžete existující aplikaci, kterou chcete spustit v systému Windows Server 2003, zapsat do inventárního seznamu, testovat, implementovat a ladit nebo řešit případné potíže s ní. Aplikace ACT 3.0 také obsahuje nástroje umožňující vytvoření oprav instalace pro aplikace. Nástroj ACT již obsahuje opravy známých potíží s různými aplikacemi. V této části získáte základní informace o používání aplikace ACT. Další informace najdete v dokumentaci dodané k této sadě nástrojů. Můžete také vyhledat téma Using the Application Compatibility Toolkit (Použití aplikace Application Compatibility Toolkit) na webovém serveru určeném pro produkty řady Windows Server 2003.

Sada nástrojů ACT 3.0 Sada nástrojů ACT 3.0 obsahuje tři hlavní nástroje: •

nástroj Application Compatibility Analyzer 1.0

•

nástroj Windows Application Verifier 2.5

•

nástroj Compatibility Administrator 3.0

Nástroj Application Compatibility Analyzer obsahuje následující programy pro klienty: Collector (Collector.exe), Merger (Merger.exe) a Analyzer (Analyzer.exe). Program Collector umožňuje shromažďovat informace o počítačích v organizaci a nainstalovaném softwaru. Program Analyzer umožňuje vyhodnotit inventární seznam softwaru, který byl vytvořen pomocí programu Collector. Program Merger uloží kombinaci různých protokolových souborů se shromážděnými informacemi do souboru databáze. Ve výchozím nastavení jsou data programem Merger uložena do souboru databáze aplikace Microsoft Access (formát MDB). Protokoly však mohou být také odeslány do databáze serveru SQL Server. Shromážděné informace je možné porovnat s databází online společnosti Microsoft, která obsahuje informace o známých problémech s kompatibilitou u konkrétních aplikací. V této databázi jsou v mnoha případech k dispozici implementační balíčky potřebné pro odstranění určitých chyb kompatibility, které umožňují spuštění aplikace v systému Windows Server 2003. Po instalaci sady nástrojů ACT 3.0 se obvykle s jednotlivými nástroji pracuje v následujícím pořadí: 1. Spustíte program Collector. 2. Spustíte program Analyzer. 3. Spustíte nástroj Application Verifier. 4. Spustíte nástroj Compatibility Administrator.


26


Instalace sady nástrojů ACT 3.0 Chcete-li produkt ACT 3.0 stáhnout a instalovat, proveďte následující kroky: 1. Sadu nástrojů můžete stáhnout ze stránky Windows Application Compatibility Toolkit 3.0 na webu centra pro stahování softwaru společnosti Microsoft (http://www.microsoft.com/downloads/details.aspx?FamilyID=7fc46855-b8a4-46cd-a2363159970fde94). 2. Poklepejte na soubor Act30pkg.exe. 3. Postupujte podle pokynů na obrazovce. Mnoho nástrojů sady ACT 3.0 lze spustit pouze v systému Windows Server 2003, Windows XP nebo Windows 2000. Program Collector (nástroj pro klienty) je možné spustit ve všech operačních systémech Windows 95 a vyšších. Podrobnosti obsahuje následující tabulka. Operační systémy podporované sadou nástrojů ACT 3.0 a programem Collector Nástroj

Podporované operační systémy

ACT 3.0

§

Windows Server 2003

§

Windows XP

§

Windows 2000 Professional

§

Windows 2000 Server

§

Windows Server 2003

§

Windows XP

§

Windows 2000 Professional

§

Windows 2000 Server

§

Windows NT 4.0 Workstation

§

Windows NT 4.0 Server

§

Windows 95

§

Windows 98

§

Windows Millennium Edition (Windows ME)

Collector (Collector.exe)

Vytvoření inventárního seznamu pomocí programu Collector Inventární seznam všech aplikací spuštěných v systému můžete získat pomocí jednoduchého nástroje příkazového řádku s názvem Collector, který je součástí sady ACT 3.0. Program Collector je nástroj pracující na straně klienta a může být do počítačů zaveden tak, že zkopírujete soubor Collector.exe na disketu a nainstalujete jej v klientském počítači, nebo prostřednictvím dokonalejších mechanismů, jako je například přidání programu do přihlašovacího skriptu nebo využitím serveru (SMS) Microsoft Systems Management Server. Cílem spuštění programu Collector je získání úplného inventárního seznamu všech aplikací v podniku, pro které je nutné zajistit podporu v systému Windows Server 2003.


27


Spuštění programu Collector Data generovaná programem Collector se ve výchozím nastavení ukládají do komprimovaných souborů CAB nebo do nekomprimovaných souborů XML, pokud tuto možnost určíte. Umístění těchto souborů můžete ovlivnit zadáním přepínačů příkazového řádku při spuštění programu. Je vhodné vytvořit nejprve síťovou sdílenou položku pro ukládání souborů inventárních seznamů a pak spustit program Collector ve všech počítačích, u kterých je plánován upgrade. Pokud není umístění pro ukládání souborů inventárních seznamů určeno, zobrazí se ve výchozím nastavení tyto soubory na ploše uživatele, který program Collector vyvolal. Soubory jsou jedinečné, takže není možné, aby data v jednom počítači přepsala data shromážděná o jiném počítači. Soubor Collector.exe je umístěn v následující složce: Program Files\Microsoft Windows Application Compatibility Toolkit\Applications\Microsoft Application Compatibility Analyzer\Collector Chcete-li získat pokyny pro spuštění nástroje, zadejte příkaz collector /?, pomocí kterého zobrazíte informace podobné následujícím:


28


Obrázek 1. Pokyny pro používání programu Collector.exe

Ukázkový inventární seznam aplikací vytvořený pomocí programu Collector Následující příklad je názornou ukázkou využití programu Collector a nástroje Application Compatibility Analyzer v prostředí sítě. Společnost se připravuje na implementaci systému Windows XP Professional ve všech pracovních stanicích. Organizaci tvoří tři fyzicky oddělené celky propojené vysokorychlostním připojením. Organizace


29


využívá službu Active Directory v rámci jediné domény a vytvořila organizační jednotku pro každý fyzický celek (Centrála, Východ a Západ). Oddělení IT vytvoří na serveru1 sdílenou složku pro ukládání všech protokolových souborů generovaných programem Collector s cestou ve formátu UNC \\Server1\Analyzer a jinou sdílenou složku pro uložení spustitelného souboru programu Collector s cestou \\Server1\Collector. Oddělení IT se rozhodlo, že pro distribuci a spuštění programu Collector využije přihlašovací skript přiřazený prostřednictvím služby Active Directory. Vzhledem k tomu, že uvedené tři fyzicky oddělené celky představují v rámci domény tři samostatné organizační jednotky, rozhodla se organizace shromažďovat data podle organizačních jednotek. Oddělení IT proto přidává do přihlašovacího skriptu následující řádky: Copy \\server1\collector\collector.exe c:\ C:\collector.exe /O \\server1\analyzer /N /E CT /CW

Pomocí prvního řádku kódu bude zkopírován spustitelný soubor programu Collector ze sdílené složky na serveru server1 na jednotku C: klientského počítače. Druhý řádek obsahuje následující pokyny pro program Collector: •

Odeslat výstup protokolového souboru do sdílené složky na serveru server1, která je určena k ukládání protokolů (přepínač /O)

•

Prohledávat případné namapované síťové jednotky (přepínač /N)

•

Vyznačit data s označením CT pro organizační jednotku Centrála (přepínač /E)

•

Čekat pět minut před zahájením sběru dat Oddělení IT může přidat podobné řádky do přihlašovacích skriptů organizačních jednotek Východ a Západ s tou výjimkou, že prostřednictvím přepínače /E bude definován název příslušné organizační jednotky.

Funkce programu Collector Program Collector zjišťuje všechny aplikace instalované v počítači a vytváří soubor inventárního seznamu v komprimovaném formátu CAB i v nekomprimovaném formátu XML. Uvedené informace jsou pak zpracovány programem Analyzer. Data lze v síti snadno a rychle shromáždit využitím mechanismů, jako například přihlašovací skripty. Účelem programu Collector je zajišťovat rychlý a snadný způsob shromažďování informací o inventáři systémů v podniku. Shromážděná data potom slouží k vyhledání, určení a řešení potíží s kompatibilitou. Poznámka Nezapomeňte instalovat a zařadit do inventárního seznamu aplikace, které chcete spustit v novém prostředí, ale které jste dosud nespustili. Tímto způsobem můžete také ověřit kompatibilitu s těmito novými aplikacemi. Ukázkový soubor vytvořený programem Collector je ve formátu XML a je podobný následujícímu souboru:


30


Obrázek 2. Soubor XML generovaný programem Collector

Použití nástroje Analyzer 1.0 Nástroj Analyzer 1.0 se skládá ze dvou částí: program Collector určený ke sběru dat a program Analyzer pro zpracování těchto dat. Po spuštění programu Collector zpracujete shromážděná data pomocí programu Analyzer.

Spuštění programu Analyzer Program Analyzer slouží k analýze a vytváření sestav všech dat shromážděných programem Collector. Před spuštěním programu Analyzer se přesvědčte, zda byl spuštěn program Collector a zda vygeneroval soubory protokolů určené ke zpracování programem Analyzer. Potom proveďte kroky ke spuštění analýzy inventárního seznamu softwaru. Po spuštění programu Analyzer se zobrazí následující obrazovka:


31


Obrázek 3. Nástroj Analyzer 1.0

Vytvoření databáze v programu Analyzer Při prvním spuštění programu Analyzer je uživatel vyzván k vytvoření nové databáze nebo k otevření existující databáze. K dispozici je také možnost vytvoření databáze aplikace Access nebo databáze serveru SQL Server. Pokud zvolíte databázi serveru SQL Server, je nutné nainstalovat a spustit SQL Server. Jestliže není SQL Server k dispozici, zvolte možnost aplikace Access, pomocí které vytvoříte databázi aplikace Access.


32


Obrázek 4. Vytvoření nové databáze

Obrázek 5. Určení typu databáze


33


Určení protokolů vytvořených programem Collector Jakmile je databáze vygenerována, je naplněna daty ze souborů inventárních seznamů. Soubory generované programem Collector jsou považovány za protokoly, které je nutné sloučit do databáze za účelem zpracování programem Analyzer. Další krok představuje vyhledání umístění protokolů (soubory CAB nebo XML) vytvořených programem Collector (viz následující obrázek).

Obrázek 6. Určení protokolů vytvořených programem Collector

Připojení k databázi kompatibility společnosti Microsoft Jakmile program Analyzer získá potřebná data, zobrazí se nabídka možnosti připojení k databázi kompatibility společnosti Microsoft. Díky této možnosti můžete zjistit další informace o kompatibilitě aplikací uvedených v souborech inventárních seznamů. Chcete-li, aby program Analyzer zkontroloval data o známých potížích s kompatibilitou, zvolte níže označenou možnost připojení k databázi online.


34


Obrázek 7. Databáze kompatibility společnosti Microsoft Program Analyzer může potom sloučit příslušná data v databázi, takže je možné vytvořit sestavy a analyzovat data. Program Analyzer je vyvolán, soubory inventárních seznamů jsou sloučeny v databázi a je provedena kontrola dat databáze kompatibility online. Pokud z nějakého důvodu nelze získat připojení k Internetu, nebude kontrola dat databáze kompatibility provedena. Nejedná se o závažnou chybu, protože kontrolu kompatibility lze provést později. Jestliže však chcete uvedený krok provést úspěšně, zajistěte v počítači, ve kterém je program spuštěn, připojení k Internetu a potom pokračujte. V programu Analyzer se zobrazí seznam souborů slučovaných do databáze jako na následujícím obrázku:


35


Obrázek 8. Generování databáze a zpracování souborů inventárních seznamů Po vygenerování databáze a sloučení všech souborů inventárních seznamů se zobrazí sestava obsahující veškeré informace shromážděné o aplikacích implementovaných v podniku. V této sestavě je uveden počet aplikací, které jsou kompatibilní, které nejsou kompatibilní a u kterých nebylo možné tento údaj zjistit. Máte k dispozici mnoho možností filtrování, exportu a vytváření sestav informací důležitých pro upgrade.


36


Obrázek 9. Souhrn informací o aplikacích v programu Analyzer

Následující postup Dalším krokem po vytvoření inventárního seznamu je vytvoření plánu přípravy. Můžete začít určením důležitých aplikací, které mají být podporovány. Ověřte jejich kompatibilitu a získejte od společnosti Microsoft dostupné opravy. Potom pomocí nástroje Application Compatibility Administrator nainstalujte případné opravy aplikací. Nástroj Administrator (podobně jako nástroj Analyzer) je možné zdarma stáhnout z webu společnosti Microsoft (tvoří součást sady nástrojů ACT 3.0).

Další informace o používání nástroje Application Compatibility Administrator získáte v dokumentaci k sadě nástrojů ACT 3.0.


37


Upgrade serverů Windows NT 4.0 Jakmile zjistíte kompatibilitu aplikací, je čas zaměřit se na kroky potřebné k upgradu počítačů se systémem Windows NT Server 4.0 na systém Windows Server 2003. Tato část je věnována výhodám upgradu na systém Windows Server 2003 s výjimkou služby Active Directory, kterou se bude zabývat jiná část. Upgrade na systém Windows Server 2003 může být výhodný z hlediska nákladů i v případě, že není nainstalována služba Active Directory. Systém Windows Server 2003 poskytuje mnoho výhod, včetně výkonu, škálovatelnosti a vylepšených funkcí pro zotavení při selhání, umožňujících konsolidaci serverů. V řadě upgradů systému Windows NT 4.0 na systém Windows Server 2003 se začíná spíše u jednotlivých serverů než u služby Active Directory. Tento přístup správcům umožňuje poznat funkce systému Windows Server 2003 a využít jeho výhody, aniž by museli na sebe brát zodpovědnost za upgrade celé domény. Proto je vhodné začít se servery, které ovlivňují menší počet uživatelů. Tímto způsobem mohou pracovníci oddělení IT implementovat systém Windows Server 2003 s malým vlivem na uživatele a seznámit se s tímto operačním systémem ještě před tím, než se pustí do komplikovanějších upgradů, které mohou například zahrnovat službu Active Directory. Co se stane se servery, které nebudou upgradovány? Některé servery však nevyhnutelně upgradovat nelze. Může se stát, že pomocí nástroje Application Compatibility Toolkit zjistíte, že některá aplikace vyvinutá interně nebo externě nebude po upgradu fungovat. Pravděpodobně bude trvat nějakou dobu, než budete moci provést migraci této aplikace na novou verzi. Organizace mohou rozhodnout, že začátek procesu upgradu nebude možné kvůli jedné aplikaci odložit. I v takových případech je však možné systém Windows Server 2003 implementovat ve všech ostatních serverech se systémem Windows NT 4.0. Systém Windows Server 2003 a služba Active Directory jsou navrženy tak, aby podporovaly zpětnou kompatibilitu s počítači se systémem Windows NT Server 4.0 i Windows 2000. (Podrobné informace získáte dále v této příručce v části Migrace na službu Active Directory.) Tato část se zabývá výhodami upgradu samostatných a členských serverů i bez služby Active Directory a obsahuje modelové situace upgradu, pomocí kterých lze demonstrovat každý krok procesu.

Upgrade samostatných serverů se systémem Windows NT 4.0 Samostatný server se systémem Windows NT 4.0 je server, který netvoří součást domény. Pro vytvoření zcela samostatných serverů existuje mnoho důvodů. Jedním příkladem může být server SMTP umístěný v obvodové síti (známé také jako DMZ). Není neobvyklé najít tento typ serveru v pracovní skupině místo v doméně. Výhody upgradu na systém Windows Server 2003 však může využívat server se systémem Windows NT 4.0, který tvoří součást domény i který představuje samostatný server v pracovní skupině.

Upgrade členských serverů Windows NT 4.0 Pro upgrade členských serverů v doméně na systém Windows Server 2003 můžeme najít mnoho důvodů. Správa systému souborů je na vyšší úrovni než u systému Windows NT Server 4.0 díky vylepšení systému souborů DFS a přidání služby Stínová kopie svazku. Spolupráce uvedených funkcí zajišťuje snadnou navigaci v rámci souborových serverů a jejich vysokou dostupnost. Příručka k upgradu systému Windows NT Server 4.0

38


Jako tiskový server nabízí systém Windows Server 2003 zdokonalení správy, spolehlivosti a výkonu. Správa a spolehlivost tiskového ovladače byla vylepšena blokováním ovladače v režimu jádra, což správcům umožňuje ovlivnit instalaci ovladače na serveru. Systém Windows Server 2003 zachovává vysokou úroveň zpětné kompatibility s počítačovým prostředím systémů Windows 2000 a Windows NT 4.0. Režim izolace služby IIS 5.0, který představuje funkci služby IIS 6.0, zajišťuje kompatibilitu s předchozími verzemi produktů a s produkty jiných výrobců. Přidání nového serveru se systémem Windows Server 2003 do existující domény systému Windows NT nemusí nutně znamenat nahrazení existujícího softwaru a infrastruktury. Díky vylepšenému výkonu a správě je Windows Server ideální operační systém pro konsolidaci existujících služeb. Následující části popisují některé rozšířené funkce zahrnuté v systému Windows Server 2003. Podrobnější informace o uvedených vylepšeních získáte na webu věnovaném systému Windows Server 2003 v části Coexistence of Windows Server 2003 and Windows NT 4.0 (Souběžné provozování systémů Windows Server 2003 a Windows NT 4.0).

Služba DFS Jedno z nejvýznamnějších vylepšení souborových serverů představuje služba DFS, která pomocí existující infrastruktury souborů tvoří jediné logické zobrazení souborů uložených na mnoha serverech. Tento systém funguje v místních počítačích s klientem DFS zcela automaticky na pozadí. Klient DFS je integrovaný v systému Windows NT 4.0 a všech vyšších verzích operačních systémů společnosti Microsoft. Služba DFS do značné míry usnadňuje vyhledávání souborů, protože uživatelé nemusí vědět, na kterém serveru jsou uloženy. Služba DFS zároveň zvyšuje škálovatelnost, protože umožňuje přidávat souborové servery nebo vyrovnávat zatížení mezi servery, aniž by byla narušena schopnost uživatelů vyhledat soubory a získat k nim přístup. V systému Windows Server 2003 je spolehlivost služby DFS vylepšena tak, že jeden server může být hostitelem mnoha kořenových adresářů služby DFS, což znamená, že nyní lze vytvořit clustery služby DFS a dosáhnout tak vysoké dostupnosti a vyrovnání zatížení. Můžete také uložit více kopií sdílených souborů za účelem redundance dat. Služba replikace souborů uchovává pomocí služby DFS synchronizované kopie dat ve sdílených souborech, takže v případě selhání může služba DFS automaticky přesměrovat požadavky týkající se dat na jiný server. Správci mohou z důvodu usnadnění správy na podnikové úrovni chtít získat kontrolu pouze nad určitou částí oboru názvů DFS, nikoli nad celým oborem. Uvedená funkce zjednodušuje procesy IT a usnadňuje údržbu celé infrastruktury. Služba DFS je zcela integrovaná se zabezpečením systému Windows NT 4.0. Jeden či více serverů se systémem Windows Server 2003 a službou DFS umožňuje nahradit existující strukturu souborů nebo tuto strukturu seskupit v jedinou hierarchii, kterou lze snadno používat a udržovat.

Služba Stínová kopie svazku Služba Stínová kopie svazku je novou funkcí systému Windows Server 2003. Zdokonaluje správu dat dvěma základními způsoby. Služba umožňuje vytvořit kopie dat uložených na svazku v konkrétních


39


bodech v čase. Zálohování lze provést v režimu online, aniž by bylo nutné zastavit činnost serveru. Navíc nedochází k problémům z důvodu vynechání nekonzistentních dat nebo otevřených souborů. Zálohování lze také naplánovat tak, aby probíhalo v době malého využívání sítě. Prostřednictvím služby Stínová kopie svazku se uchovává sada předchozích verzí souboru (nazývají se stínové kopie), které lze využít při obnovení dat v případě, že soubor byl chybou uživatele poškozen. Tento způsob umožňuje snížit počet nutných obnovení souborů ze zálohovacích pásek. Stínové kopie představují přírůstkové zálohy, ve kterých jsou zaznamenány pouze soubory změněné od posledního zálohování. Zálohy pak zabírají méně místa. Služba Stínová kopie svazku je zároveň podporována veřejným rozhraním API, takže vývojáři mohou vyvíjet aplikace využívající funkce této technologie. Většina případů náhodných ztrát souborů je způsobena chybou uživatele. Jestliže uživatel nechtěně přepíše nebo odstraní soubor, ztrácí obvykle čas tím, že ztracená data znovu vytvoří nebo požádá správce o obnovení souboru ze zálohy. Uživatelé operačních systémů Windows Server 2003 a Windows XP Professional mohou používat stínové kopie souborů v programu Průzkumník Windows. Díky tomu mohou dosáhnout vyšší produktivity a snížení počtu požadavků na obnovení souborů směrovaných na pracovníky služby technické podpory. Služba Stínová kopie svazku pro uživatele vyžaduje klienta služby Stínová kopie svazku pro systém Windows XP Professional, kterého najdete na instalačním disku CDROM systému Windows Server 2003.

Obrázek 10. Karta Stínové kopie


40


Virtuální disková služba Virtuální disková služba umožňuje spolupráci paměťových zařízení od různých dodavatelů v systému Windows. Zahrnuje rozhraní API pro hardware pro ukládání dat a programy správy, pomocí kterých je tento hardware spravován. Správci mohou zjišťovat zařízení pro ukládání dat od mnoha výrobců a mohou tyto prostředky konfigurovat pomocí jednotného rozhraní. Bez Virtuální diskové služby by zařízení pro ukládání dat od jednotlivých výrobců obvykle poskytovala vlastní rozhraní pro správu.

Obnovení stínové kopie Po povolení funkce vytváření stínových kopií na serveru nebo v síťové sdílené složce mohou uživatelé najít předchozí verze souboru v programu Průzkumník Windows klepnutím pravým tlačítkem myši a výběrem příkazu Vlastnosti. Chcete-li však zobrazit kartu Předchozí verze, musí být soubor uložen ve sdílené složce umístěné na serveru, pro který byla služba Stínová kopie svazku povolena.

Obrázek 11. Karta Předchozí verze


41


Vylepšení tiskového serveru Poslední rozšíření technologie Plug and Play a integrovaná podpora více než 3 800 tiskových ovladačů podstatně usnadňují instalaci, konfiguraci a upgrade hardwaru. V systému Windows Server 2003 lze tiskárny instalovat a konfigurovat vzdáleně a pomocí skriptů s pomocí rozhraní WMI. Pokud pracujete s tiskovým clusterem, můžete navíc nyní instalovat ovladače ve všech uzlech clusteru najednou. Správci mají k dispozici ovládání pro plánování a přístup, takže mohou optimalizovat dostupnost a využití tiskárny. Většinu funkcí správy tiskárny lze nyní zpracovat prostřednictvím rozhraní příkazového řádku nebo zapsat do skriptu pro automatickou správu. Zařazování souborů do tiskové fronty bylo optimalizováno na správu vyššího objemu tisku. Tímto způsobem mohou být dokumenty dodány uživatelům rychleji. Upgradem tiskových serverů na systém Windows Server 2003 nebo rozšířením skupiny serverů organizace o tiskový server s tímto systémem můžete do velké míry omezit úkony správy spojené s údržbou infrastruktury tisku.

Konsolidace serverů Mnoho společností dosahuje významné úspory prostředků konsolidací základních služeb systému Windows Server 2003. Konsolidaci základních služeb (například přihlášení uživatele, služba DHCP, služba DNS atd.) je vhodné zvážit v případě, že chcete využívat výhod funkcí a výkonu systému Windows Server 2003 a zároveň zachovat existující strukturu domény systému Windows NT 4.0. Tímto způsobem můžete například postupovat v případě, že potřebujete zachovat podporu předchozích systémů, které nelze upgradovat, nebo pokud chcete systémy upgradovat postupně. Mezi výhody konsolidace základních služeb patří zvýšený výkon, vyšší dostupnost, spolehlivost nebo přístup k novým funkcím a technologiím. Systém Windows Server 2003 může pro doménu systému Windows NT 4.0 zajišťovat rychlejší a efektivnější přihlašování, práci v síti a překlad názvů. Vzhledem k eliminaci nadbytečných serverů poskytuje konsolidace služeb zároveň možnost konsolidace hardwaru. Konsolidované prostředí lze navíc snadněji spravovat nejen proto, že je centralizovanější, ale také proto, že systém Windows Server 2003 nabízí dokonalejší funkce správy.

Služba DNS a DHCP Členský server domény systému Windows Server 2003 může být v doméně systému Windows NT 4.0 použit jako hostitel služby DNS pro danou doménu. Tímto způsobem můžete využít vyšší spolehlivost a výkon služby DNS v systému Windows Server 2003 a také funkce zdokonalující zabezpečení, jako například dynamická aktualizace a podpora rozšíření zabezpečení Internet Engineering Task Force (IETF) RFC2535 DNS. Služba DHCP zdokonaluje možnosti mobilních uživatelů, protože usnadňuje jejich připojení k síti bez ohledu na místo, kde se právě nacházejí. Služba zároveň zjednodušuje správcům správu adres IP. Systém Windows Server 2003 zahrnuje vylepšené nástroje správy pro službu DHCP, včetně automatického zálohování, obnovení a upgradu databáze DHCP. Uvedené nástroje odstraňují mnoho časově náročných úloh, které bylo dříve nutné provádět ručně.


42


V případě použití systému Windows Server 2003 pro služby DNS a DHCP není obecně hlavním kritériem určení počtu požadovaných serverů výkon serveru, ale spíše geografické rozmístění a výkon sítě v rámci jednotlivých míst. V mnoha organizacích může uvedená skutečnost znamenat eliminaci velkého počtu existujících serverů, jejímž výsledkem bude úspora v oblasti hardwaru.

Postupný upgrade Konsolidace základních služeb tvoří důležitý krok na cestě postupného upgradu na domény a doménové struktury systému Windows Server 2003 se službou Active Directory. V poslední době chce mnoho organizací využít možnosti, které nabízí implementace služby Active Directory. Upgrade na službu Active Directory však může představovat náročný proces. Naproti tomu upgrade základních služeb není většinou tak komplexní a umožňuje správcům postupně se seznámit s novým operačním systémem. Kromě komplexního upgradu veškeré infrastruktury najednou je k dispozici také alternativní řešení – postupný upgrade. Základní služby, jejichž hostitelem je systém Windows Server 2003, bude možné po zavedení služby Active Directory v konečné fázi snadněji integrovat. Tvrzení o snadné integraci zvláště platí v případě služby DNS. Upgrade serverů DNS je nezbytným krokem směrem k upgradu domény. Služba Active Directory zajišťuje funkce jednotného přihlášení a centrálního úložiště informací celé infrastruktury. Jedná se o funkce usnadňující uživateli správu a poskytující nejvyšší úroveň přístupu k síťovým prostředkům.

Příklad přímého upgradu primárního řadiče domény se systémem Windows NT Tato část obsahuje podrobný popis jednotlivých kroků upgradu řadiče domény s obvyklou konfigurací systému Windows NT 4.0 na systém Windows Server 2003. Účelem tohoto popisu je seznámit uživatele s procesem upgradu a možnými chybami. Upgrade bude mnohem zajímavější a výsledky se lépe projeví, jestliže budeme v příkladu předpokládat, že na serveru je nainstalován produkt Exchange Server 5.5 a SQL Server 7.0 (běžné aplikace systému Windows NT 4.0). Přestože není běžné zavádět serverové aplikace SQL Server a Exchange Server na řadič domény, zahrnuli jsme je, abychom mohli ukázat způsob migrace uvedených aplikací na systém Windows Server 2003. V příkladu se dále předpokládá, že server byl naposledy záměrně aktualizován pouze aktualizací Service Pack 4 (SP4). Ukázkový server systému Windows NT 4 má následující konfiguraci: •

procesor Pentium II 400 MHz

•

128 MB paměti RAM

•

pevný disk 8 GB SCSI (oddíl C: 4 GB a oddíl D: 4 GB)

•

adaptér Adaptec SCSI


43


•

síťová karta Intel

•

síťová karta Kingston

•

grafická karta ATI

•

jednotka CD-ROM SCSI

•

systém Windows NT 4.0 Server s aktualizací SP4

V příkladu jsou nainstalovány následující služby a aplikace: •

PDC – databáze služby Správce zabezpečení účtů (SAM)

•

IIS

•

FTP

•

Exchange 5.5

•

SQL Server 7.0

Kontrola kompatibility systému během upgradu Chcete-li zahájit upgrade operačního systému v primárním řadiči domény se systémem Windows NT 4.0, můžete použít místní nebo sdílené médium. Jestliže zvolíte instalaci prostřednictvím místního média a je povolena funkce automatického přehrávání, můžete upgrade spustit vložením disku CD-ROM systému Windows Server 2003 do jednotky primárního řadiče domény. Pokud je funkce automatického přehrávání zakázána, vyhledejte na disku CD-ROM příkaz winnt32.exe a spusťte jej. V případě, že chcete použít médium v síťové sdílené položce, můžete upgrade zahájit připojením k příslušnému sdílenému bodu média a spuštěním příkazu winnt32.exe. Po vložení disku CD-ROM systému Windows Server 2003 Standard Edition do jednotky CD-ROM se automaticky spustí instalační program a zobrazí se následující obrazovka:


44


Obrázek 12. Instalační obrazovka systému Windows Server 2003 První obrazovka nabízí správci k výběru tři možnosti. Zde si může správce zvolit instalaci, provedení dalších úloh (například procházení disku CD-ROM) nebo kontrolu kompatibility systému. V této fázi je nejrozumnějším řešením kontrola kompatibility systému umožňující získat lepší představu o součástech, které by mohly během upgradu nebo po něm působit potíže. Po zvolení možnosti Zkontrolovat kompatibilitu systému se zobrazí obrazovka podobná obrazovce na následujícím obrázku.


45


Obrázek 13. Obrazovka kontroly kompatibility systému Na této obrazovce můžete zvolit návrat na předchozí nabídku, přechod na web pro kompatibilitu, kde můžete získat další informace, nebo automatickou kontrolu systému. Při automatické kontrole systému probíhá prohledávání systému, během kterého se zjišťují možné potíže s aplikacemi a službami spuštěnými na serveru. Pokud zvolíte možnost Automaticky zkontrolovat systém, zobrazí se následující obrazovka:

Obrázek 14. Kontrola kompatibility systému se zjištěnými chybami


46


Sestava vrátila podle očekávání několik chyb. Ikona s červeným křížkem označuje, že instalace nemůže pokračovat, dokud nebude problém vyřešen. Nemusí nás to však znepokojovat. Tato chyba je v souladu s předpoklady upgradu, jejichž podmínkou je instalace aktualizace SP5 ještě před zahájením upgradu na systém Windows Server 2003. Žlutá ikona varování označuje, že instalace může pokračovat, ale u vyznačených položek můžeme očekávat potíže. Uvedené chyby můžete vybrat a klepnutím na tlačítko Podrobnosti zobrazit další informace (viz následující obrázek).

Obrázek 15. Dialogová okna s upozorněními týkajícími se serveru Exchange Obě obrazovky na obrázku 15 obsahují informace o konfliktu kompatibility aplikace Exchange 5.5 se systémem Windows Server 2003. Chyba uvedená na pravé obrazovce je nejdůležitější, protože vystihuje skutečný stav aplikace Exchange 5.5 v systému Windows Server 2003. Aplikace Exchange 5.5 a Exchange 2000 nejsou podporovány a po upgradu počítače je nelze spustit. Upozorněním a výstražným zprávám je nutné věnovat pozornost a zcela porozumět jejich obsahu. Během kontroly kompatibility je také vytvořen textový soubor, ve kterém je uveden seznam možným potíží. Klepněte na tlačítko Uložit jako, zadejte název souboru a potom si výsledky kontroly kompatibility projděte. Ukázkový soubor protokolu s výsledky kontroly kompatibility pro tento příklad přímého upgradu na vyšší verzi můžete najít v části Příloha B: Ukázkový soubor protokolu kontroly kompatibility.

Zahájení upgradu Jakmile vyřešíte potíže zjištěné při kontrole kompatibility, je možné zahájit upgrade. Po zvolení možnosti instalace systému Windows Server 2003 se zobrazí následující obrazovka:


47


Obrázek 16. Instalační obrazovka nabízející možnost upgradu nebo nové instalace Správce může zvolit možnost nové instalace nebo upgrade existujícího operačního systému. V tomto případě vybereme možnost upgradu, takže se zobrazí následující obrazovka, pomocí níž může správce stáhnout nejnovější instalační soubory nebo použít existující instalační soubory na disku CD-ROM.

Obrázek 17. Možnost, pomocí které lze získat nejnovější instalační soubory Po zvolení doporučeného postupu spustí instalační program proces upgradu a uživatelé jsou vyzváni k přijetí podmínek licenční smlouvy (viz následující obrázek):


48


Obrázek 18. Přijetí podmínek licenční smlouvy Po přijetí podmínek licenční smlouvy musí uživatel zadat kód Product Key:

Obrázek 19. Dialogové okno pro zadání kódu Product Key Uživatel je dále upozorněn na potíže s kompatibilitou, které byly zjištěny již dříve při spuštění kontroly kompatibility systému. Po výběru tlačítka Pokračovat skončí fáze instalace určená ke shromažďování informací a pokračuje další fáze postupu, který je zobrazen na levém panelu instalačních obrazovek. V případě potřeby budou instalačním programem vyhledány nejnovější instalační soubory a bude zahájen


49


proces přípravy instalace. Během tohoto procesu dojde k restartování ukázkového serveru a proces bude pokračovat bez zásahu uživatele. Dokud nebude upgrade dokončen, nezobrazí se žádné výzvy k zadání informací. Upgrade je dokončen po hodině a čtvrt. Počítač je nastaven jako primární řadič domény, takže po restartování spustí instalační program automaticky Průvodce instalací služby Active Directory. Další informace o upgradu na službu Active Directory získáte dále v této příručce v části Příloha A: Příklad upgradu služby Active Directory.

Výsledky ukázkového upgradu systému Windows NT Následuje několik důležitých poznámek: •

Síťový adaptér Intel byl automaticky zjištěn a podle očekávání později správně pracoval. Síťová karta Kingston zjištěna nebyla a po upgradu nefungovala.

•

Složka \Winnt obsahovala před instalací 262 MB. Po instalaci se její velikost zvětšila na 1,45 GB. Zvětšení velikosti představuje důležitý aspekt, protože na jednotce C: většiny serverů se systémem Windows NT je k dispozici 4 GB nebo méně. Místo na disku může být hlavním faktorem při rozhodování, zda provést novou instalaci nebo přímý upgrade. Uvědomte si, že v příkladu se nejednalo o provozní server. V oddílu C jednotky bylo k dispozici téměř maximální množství volného místa na disku. Provozní servery se systémem Windows NT, které již nějaký čas pracují, obvykle nemají ve spouštěcím oddílu k dispozici velké množství volného místa.

•

Aplikaci SQL Server 7.0 bylo možné po upgradu normálně spustit, přestože ji systém Windows Server 2003 oficiálně nepodporuje.

•

Všechny ovladače (s výjimkou jedné síťové karty) byly automaticky zjištěny a podle očekávání správně fungovaly (včetně ovladačů adaptéru SCSI, síťového adaptéru Intel a grafické karty ATI).

•

V tomto příkladu nebyly testovány všechny možné služby, protože účelem bylo předvést pouze jednu z typických situací upgradu zahrnující běžné aplikace a služby. Nebyly testovány další služby, jako například služba WINS, DHCP, Terminálová služba atd.

•

Po upgradu nebylo možné spustit aplikaci Exchange Server. Pokud by se jednalo o provozní server, přestal by fungovat poštovní server. Bylo možné spustit pouze služby Exchange System Attendant a Exchange Directory Service. Ve všech službách aplikace Exchange byly zachovány informace o účtech služeb, ale většinu z nich nebylo možné spustit. Při pokusu o spuštění služby Exchange Information Store se zobrazí Prohlížeč událostí (viz obrázek 20). Podrobné informace zobrazíte poklepáním na chybu.


50


Obrázek 20. Protokol aplikací s chybami služby Exchange IS Hlavním cílem ukázkového upgradu bylo věnovat zvláštní pozornost kontrole kompatibility systému a odhalit možné potíže ještě před upgradem. Podrobné informace o události s ID 5000 (jedna z chyb uvedených na obrázku 20) se například zobrazí následujícím způsobem:

Obrázek 21. Podrobnosti ID události aplikace Exchange 5.5


51


Příklad aktivace produktu Jestliže jste upgradovali server a vyřešili potíže, můžete se začít zabývat aktivací produktu. Pomocí tohoto procesu chce společnost Microsoft omezit softwarovou kriminalitu a zároveň zajistit svým zákazníků kvalitu produktu, kterou očekávají. Uživatelé, kteří licence na software získali prostřednictvím některého multilicenčního programu společnosti Microsoft, nemusí své licence aktivovat. Společnost Microsoft chápe jedinečné implementační požadavky různých firem, které potřebují získat velké množství licencí, a těmto zákazníkům poskytuje produkty nevyžadující aktivaci. Není příliš těžké stát se zákazníkem některého z multilicenčních programů. Nárok na zařazení do programu Microsoft Open Licensing mohou získat již zákazníci, kteří zakoupí jen pět licencí. Další informace o programu Microsoft Open Licensing a dalších multilicenčních programech společnosti Microsoft můžete najít na webu Microsoft Licensing (http://www.microsoft.com/licensing/). Produkt získaný v koncové verzi je nutné aktivovat. Aktivaci také vyžaduje software instalovaný v novém osobním počítači, který jste získali od výrobce OEM. Tento software však již mohl výrobce OEM aktivovat ještě ve výrobě před dodáním koncovému uživateli. Zákazníci, kteří sami aktivují svůj software, musí provést jednoduchý a anonymní postup trvající v případě aktivace pomocí Internetu méně než jednu minutu. Software můžete také aktivovat telefonicky s pracovníkem služeb pro zákazníky společnosti Microsoft. Pokud software aktivujete prostřednictvím Internetu, převezme většinu úkonů příslušný produkt, takže proces bude vyžadovat jen minimální účast ze strany uživatele. Jestliže budete produkt aktivovat telefonicky, pomůže vám s aktivací pracovník služeb pro zákazníky. Aktivace neznamená registraci produktu. Při aktivaci je nutné uvést pouze ID instalace generované softwarem a v případě sady Office XP a aplikace Visio 2002 také země, ve které je software instalován. Aktivace nevyžaduje zadání žádných osobních údajů umožňujících identifikaci. Proces aktivace softwaru probíhá následujícím způsobem: 1. Uživatel je vyzván k aktivaci produktu během instalace nebo během používání. Poznámka U produktů je k dispozici zkušební období, během kterého fungují i bez aktivace. 2. Uživatel vybere způsob aktivace: prostřednictvím Internetu, nebo telefonicky za pomoci pracovníka společnosti Microsoft. 3. Aktivační server společnosti Microsoft zpracuje požadavek na aktivaci a ověří pravost softwaru. 4. Jestliže uživatel zahájil proces aktivace prostřednictvím Internetu, odešle aktivační server společnosti Microsoft potvrzení aktivace klientskému počítači v tichém režimu. Jestliže je požadavek zpracován během telefonického rozhovoru, získá uživatel ID potvrzení aktivace ústně. Pomocí získaného ID potom dokončí aktivaci. 5. Software uživatele je aktivován.


52


Migrace na službu Active Directory Informace související se síťovými prostředky jsou uloženy v adresáři. Tyto prostředky mohou být prostřednictvím adresáře vyhledány a spravovány. Adresářová služba je síťová služba, která dokáže identifikovat všechny prostředky v síti a zajišťuje uživatelům a aplikacím přístup k uvedeným prostředkům. Adresářová služba i adresář představují zdroj informací, ale liší se tím, že adresářová služba umožňuje zpřístupnění informací uživatelům. Služba Active Directory je adresářová služba zahrnutá v systému Windows Server 2003. Obsahuje adresář, ve kterém jsou uloženy informace související se síťovými prostředky, a všechny služby umožňující přístup k těmto informacím. Služba Active Directory je závislá na službě DNS, takže při všech migracích na službu Active Directory je nutné brát v úvahu také službu DNS.

Výhody služby Active Directory Systém Windows Server 2003 rozšiřuje možnosti správců pro efektivní konfiguraci a správu služby Active Directory v různě velkých organizacích. Služba Active Directory systému Windows Server 2003 umožňuje organizacím ovlivňovat náklady na správu počítačových adresářů pomocí jediné sjednocující adresářové služby. Díky službě Active Directory mohou zaměstnanci rychle vyhledat informace o síťových prostředcích a správci mohou snadno spravovat síť z centrálního místa. Efektivní procesy služby Active Directory mohou navíc snížit náklady v oblasti IT a zlepšit produktivitu v rámci organizace. Systém Windows Server 2003 usnadňuje používání služby Active Directory a obsahuje nové funkce, jako například vztahy důvěryhodnosti mezi doménovými strukturami, možnost přejmenovávat domény a deaktivovat atributy a třídy ve schématech, aby bylo možné měnit jejich definice. Organizace mohou dále využít následujících výhod: •

Rychlé vyhledávání informací: Služba Active Directory představuje (zjednodušeně řečeno) databázi informací o uživatelích, počítačích, tiskárnách a o všech položkách souvisejících s počítači v podniku. Uživatelům přináší služba Active Directory výhodu rychlého vyhledání potřebných informací na libovolném místě v síti. Služba Active Directory může sloužit podobně jako telefonní adresář. Automaticky vyhledá nejbližší tiskárnu, přičemž uživatel nemusí znát správný název ani cestu k tiskárně.

•

Využití vylepšených nástrojů správy: Vylepšené nástroje pro upgrade a správu spolu s možností přejmenovávat domény služby Active Directory významně usnadňují implementaci této služby ve srovnání od jejího prvního zavedení v systému Windows 2000 Server.

Následující funkce umožňují efektivnější upgrade a plánování: •

Nástroj ADMT (Active Directory Migration Tool) 2.0: Upgrade na službu Active Directory zjednodušuje mnoho vylepšení nástroje ADMT 2.0. Nástroj nyní umožňuje upgrade hesel z domén systému Windows NT 4.0 na domény systému Windows 2000 a Windows Server 2003 nebo z domén systému Windows 2000 na domény systému Windows Server 2003.


53


•

Přejmenování domén: Správci mohou nyní změnit názvy DNS nebo NetBIOS existujících domén doménové struktury, přičemž zachovají správnou hierarchii výsledné doménové struktury. Správci mohou zároveň po implementaci služby Active Directory pružněji měnit strukturu adresáře služby. Rozhodnutí o návrzích struktury lze v této verzi vrátit zpět, což ocení organizace, které slučují nebo restrukturalizují oddělení.

•

Změna definice schématu: Flexibilita služby Active Directory byla rozšířena o možnost deaktivace definic atributů a tříd ve schématu této služby. Pokud například původní definice atributů a tříd obsahuje chybu, lze ji změnit.

Dokonalejší správa pomocí zásad skupiny Organizace, které stále pracují se systémem Windows NT 4.0, mohou významně snížit náklady, jestliže využijí výhod a efektivních postupů zásad skupiny a služby Active Directory. Ačkoli systém Windows NT 4.0 poskytoval základní nástroje pro nastavení zásad, byly zásady nastavovány na úrovni serverů a jejich správa byla obtížná. Pomocí zásad skupiny systému Windows Server 2003 můžete nastavit zásady pro klientské počítače i servery. Potom budou prostřednictvím služby Active Directory automaticky nastaveny pro požadované klientské počítače a servery. Jak lze vidět na obrázku 22, mohou správci prostřednictvím služby Active Directory a zásad skupiny provádět správu na základě zásad, umožnit správu typu 1:N všech uživatelů a počítačů v podniku a zautomatizovat proces přiřazení zásad IT.

Obrázek 22. Zásady skupiny umožňují správu typu 1:N všech uživatelů a počítačů v organizaci. Zásady skupiny nabízí v systému Windows Server 2003 výhody v následujících oblastech: •

Dokonalejší zabezpečení: Správci mohou snadno definovat a automaticky přiřazovat zásady zabezpečení softwaru.

•

Vyšší spokojenost zákazníků a snížené náklady na odbornou pomoc: Správci mohou implementovat standardizovaná prostředí klientských počítačů a serverů. Tato možnost snižuje riziko


54


narušení konfigurací softwaru a uživatelských chyb a zlepšuje schopnost organizace IT odstraňovat potíže. •

Zvýšené zabezpečení a dostupnost dat: Díky zásadám skupiny mohou správci zajistit automatické přesměrování složek, zálohování dat a jejich obnovení.

•

Flexibilní řízení počítačového prostředí: Správci mohou prostřednictvím zásad skupiny definovat a uplatnit standardy organizace nebo rychle změnit konfiguraci nastavení zásad skupiny a přizpůsobit je měnícím se požadavkům organizace. Zásady skupiny lze také implementovat do široké škály typů organizací od prostředí malých pracovních skupin až po vysoce zatížená datová centra. Pomocí zásad skupiny je možné simulovat a ověřit vliv libovolných změn ještě před jejich zavedením do výrobního prostředí.

•

Zvýšení produktivity: Správci mohou spravovat celou skupinu uživatelů a položek IT stejně snadno jako jedinou entitu. Zásady skupiny umožňují správcům rychle reagovat na požadované změny konfigurace skupiny nebo požadavky zásad, což v organizaci zlepšuje efektivitu provádění operací IT. Výkonnost a efektivitu procesů IT může ještě vylepšit vytvoření skriptů operací zásad skupiny.

Návrh a plánování upgradu systému Windows NT Server 4.0 Služba Active Directory systému Windows Server 2003 je kompatibilní se systémem Windows NT Server 4.0 a zahrnuje řadu operací, jejichž prostřednictvím zajišťuje podporu řadičů domény se systémy Windows NT Server 4.0, Windows 2000 a Windows Server 2003. Organizace mohou díky této podpoře upgradovat domény a počítače požadovaným tempem na základě svých potřeb. Služba Active Directory podporuje protokol NTLM (Windows NT LAN Manager) používaný systémem Windows NT. Tato podpora umožňuje oprávněným uživatelům a počítačům z domény systému Windows NT přístup k prostředkům v doménách se systémem Windows 2000 nebo Windows Server 2003. V klientských počítačích se systémy Windows 95, Windows 98 nebo Windows NT, ve kterých není spuštěn klientský software služby Active Directory, se doména systému Windows 2000 nebo Windows Server 2003 zobrazí jako doména systému Windows NT Server 4.0. Další informace získáte v nápovědě online v Centru pro nápovědu a odbornou pomoc systému Windows Server 2003 v části týkající se klientů služby Active Directory.

Příprava na službu Active Directory Příprava domény systému Windows NT 4.0 na službu Active Directory vyžaduje značnou míru plánování a vzdělávání. Je nutné, aby správci systému Windows NT 4.0 chápali rozdíly mezi doménami se systémem Windows NT a doménami se systémem Windows Server 2003. Jedna z nejtypičtějších chyb je plánování domény se službou Active Directory, jako kdyby se jednalo o doménu se systémem Windows NT. V mnoha případech je možné počet domén v doménové struktuře služby Active Directory snížit použitím organizačních jednotek.


55


Pochopení změn, ke kterým dochází při upgradu na službu Active Directory, může trvat nějakou dobu. Jednu z největších změn představuje závislost na službě DNS. Není ani možné dostatečně zdůraznit důležitost služby DNS pro správný provoz služby Active Directory a všech služeb, které tvoří její součást. Implementaci služby DNS je třeba pečlivě naplánovat tak, aby správně fungovala. V opačném případě je velmi pravděpodobné, že bude docházet k potížím se službou Active Directory. Další informace můžete získat v následujících dokumentech: •

dokument White Paper s názvem DNS and Microsoft Windows NT 4.0 (Služba DNS a systém Microsoft Windows NT 4.0);

•

dokument White Paper s názvem Windows 2000 DNS (Služba DNS systému Windows 2000) – dokument pro verzi 2003 dosud není k dispozici;

•

DNS and BIND (Služba DNS a BIND), jehož autory jsou Paul Albitz a Cricket Liu (O’Reilly and Associates).

První dvě příručky představují praktický úvod do správy služby DNS pro systém Windows NT. Další hlavní oblastí studia, která je zvláště důležitá pro správce systému Windows NT, jsou role FSMO (Flexible Single Master Operations). Rozhodující vliv na úspěšné provedení upgradu adresářové služby Active Directory systému Windows Server 2003 ze systému Windows NT 4.0 může mít role emulátoru primárního řadiče domény. Pomocí této role jsou emulovány funkce primárního řadiče domény pro klienty se systémy, které předcházejí verzi Windows 2000. V následující části můžete získat návod k navržení infrastruktury služby Active Directory na vysoké úrovni.

Navržení plánu doménové struktury Jedno z prvních rozhodnutí v rámci plánování upgradu služby Active Directory představuje určení počtu doménových struktur v organizaci. Doménová struktura v podstatě tvoří rozmezí jedné či více domén. Všechny domény doménové struktury sdílejí společné schéma služby Active Directory. Schéma služby Active Directory definuje objekty, které lze v rámci adresáře této služby uložit. Objekt je pojmenovaná sada různých atributů, která představuje síťový prostředek. Atributy objektu představují charakteristiku objektu v adresáři. Objekt Tiskárna například charakterizují atributy název, umístění, ovladač atd. Uvedené atributy tvoří objekt Tiskárna a definují způsob jeho funkce. Cílem všech upgradů je minimalizovat počet doménových struktur a v důsledku toho také počet schémat. Nejvyšším cílem je zachování pouze jediné doménové struktury. Tento ideální stav však nemusí vždy představovat praktické řešení. Může se například stát, že organizace má dva rozdílné podniky, které spolu navzájem nekomunikují. Jsou nezávislé, přestože jsou součástí stejné společnosti. V takovém případě je nutné vytvořit dvě doménové struktury. Důsledky změn schématu se mohou projevit v rámci celého podniku, proto je v této fázi důležité určit zásady modifikace schématu. Zásady definují, kteří uživatelé mohou schéma měnit. Tyto změny se rozšíří na všechny domény a řadiče domény v doménové struktuře. Jedná se proto o důležité zásady.


56


Navržení plánu domény Při navrhování plánu domény mějte na paměti, že služba Active Directory pravděpodobně umožní používání méně domén než systém Windows NT 4.0. V doménách systému Windows NT 4.0 neexistují organizační jednotky. Organizační jednotka představuje kontejner, který slouží k uspořádání objektů v rámci domény do logické administrativní skupiny. Pokud chtěl podnikový správce u domén se systémem Windows NT 4.0 povolit správci ve vzdáleném místě správu vlastních síťových prostředků (nikoli všech síťových prostředků podniku), bylo nutné instalovat další doménu. Stejnou funkci splňují ve službě Active Directory organizační jednotky. Pomocí organizačních jednotek může podnikový správce udělit místnímu správci přístup pro správu všech objektů ve vzdáleném místě a zároveň zakázat přístup k objektům mimo příslušnou organizační jednotku. Ve fázi návrhu domény by měl být vyhodnocen počet domén, které budou upgradovány, a zejména je také třeba zjistit důvody vytvoření uvedených domén. Jestliže je možné doménu odebrat a nahradit organizační jednotkou, měly by plány upgradu zahrnovat také odebrání nepotřebných domén. Takovému postupu se říká konsolidace domén.

Navržení plánu organizačních jednotek Při určování organizačních jednotek, které chcete zahrnout, je důležité rozumět jejich účelu. Organizační jednotka slouží v zásadě třem účelům: •

Zajišťuje logické seskupení objektů (za účelem vyhledání objektů).

•

Usnadňuje zavádění zásad skupiny.

•

Zajišťuje administrativní seskupení objektů (pro administrativní účely).

S uvedenými účely na paměti můžete začít definovat organizační jednotky, uživatele a skupiny na základě struktury organizace. Je vhodné uvést, že organizační jednotky a skupiny se velmi liší. Organizační jednotky, jak již bylo řečeno, slouží k uspořádání objektů pro administrativní účely (například delegování). Prostřednictvím organizačních jednotek však nelze udělovat oprávnění nebo práva. Oprávnění a práva jsou udělována pomocí skupin. Organizační jednotky lze definovat na základě mnoha položek, včetně funkce organizace nebo fyzického umístění. Konečný výsledek plánu organizačních jednotek zahrnuje následující položky: •

Diagram struktur organizačních jednotek pro jednotlivé domény

•

Seznam uživatelů v rámci každé organizační jednotky

•

Seznam skupin v každé doméně


57


Navržení plánu topologie sítě Sítě obvykle reprezentují fyzická místa oddělená prostřednictvím pomalého připojení sítě WAN (Wide Area Network). Vytvoření topologie sítě zahrnuje následující úkoly: •

Definování sítí

•

Rozmístění řadičů domény

•

Definování strategie replikace

•

Konfigurace serverů předmostí

•

Rozmístění serverů globálního katalogu

•

Rozmístění hlavních operačních serverů

Plán topologie sítě by měl zahrnovat diagram sítě s rozmístěním řadičů domén, umístění hlavních operačních serverů, typy připojení sítě a dokumentaci týkající se uvedených typů a jejich příslušné konfigurace.

Připojení se systémy Windows NT Server 4.0, Windows 2000 a Windows Server 2003 Funkce domény a doménové struktury zavedené ve službě Active Directory systému Windows Server 2003 představují pro sítě založené na systému Windows 2000 rozšíření ve smíšeném a nativním režimu. Umožňují povolit funkce služby Active Directory na úrovni domény nebo doménové struktury v prostředí sítě. Zvýšením úrovně funkčnosti domény můžete povolit nové funkce služby Active Directory, které lze použít pouze v příslušné doméně. Existují čtyři úrovně funkčnosti domény: •

Smíšený režim systému Windows 2000

•

Nativní režim systému Windows 2000

•

Windows Server 2003 - provizorní

•

Windows Server 2003

Výchozí úrovní funkčnosti domény je smíšený režim systému Windows 2000. Další funkce služby Active Directory jsou k dispozici, jestliže se zvýší úroveň funkčnosti domény na nativní režim systému Windows 2000, provizorní režim systému Windows Server 2003 nebo režim systému Windows Server 2003. Úroveň funkčnosti domény můžete nastavit nebo určit pomocí modulu snap-in Uživatelé a počítače služby Active Directory (viz obrázky 23 a 24).


58


Obrázek 23. Nastavení úrovně funkčnosti domén

Obrázek 24. Podrobné zobrazení změny úrovně funkčnosti domény Funkčnost doménové struktury umožňuje povolit funkce v rámci všech domén doménové struktury. Existují tři úrovně funkčnosti doménové struktury: •

Windows 2000

•

Windows Server 2003 - provizorní

•

Windows Server 2003

Při upgradu primárního řadiče domény systému Windows NT 4.0 na systém Windows Server 2003 je automaticky nastavena úroveň funkčnosti Windows Server 2003 – provizorní. Úroveň funkčnosti Windows Server 2003 – provizorní podporuje řadiče domén se systémem Windows NT 4.0 i se systémem Windows Příručka k upgradu systému Windows NT Server 4.0

59


Server 2003. Uvedená úroveň funkčnosti je ideální v případě, že v existujícím prostředí systému Windows NT 4.0 pracujete se skupinami, které obsahují více než 5 000 členů. Nejvhodnější je zůstat na této úrovni funkčnosti, dokud nedokončíte upgrade všech ostatních řadičů domény systému Windows NT 4.0 na systém Windows Server 2003. Poznámka Pokud je úroveň funkčnosti doménové struktury nastavena na hodnotu Windows 2000, nelze úroveň změnit na hodnotu Windows Server 2003 – provizorní prostřednictvím konzol pro správu služby Active Directory. Úroveň funkčnosti doménové struktury nelze změnit z hodnoty Windows 2000 na hodnotu Windows Server 2003 – provizorní pomocí konzol pro správu služby Active Directory. Ačkoli by toto omezení nemělo způsobit potíže při přímém upgradu domény na vyšší verzi, může k problémům dojít v případě migrace do nové souběžně sdílené domény systému Windows Server 2003. Chcete-li zvýšit úroveň funkčnosti doménové struktury nebo domény na hodnotu Windows Server 2003 – provizorní, je nutné upravit hodnotu atributu msDS-Behavior-Version pomocí aplikace využívající protokol LDAP (Lightweight Directory Access Protocol), jako například ADSI Edit nebo Ldp (můžete je najít mezi nástroji podpory systému Windows). Atribut můžete změnit pouze v případě, že se přihlásíte jako člen skupiny Enterprise Admins. Úroveň funkčnosti doménové struktury můžete změnit pomocí modulu snap-in Domény a vztahy důvěryhodnosti služby Active Directory (viz obrázky 25 a 26).

Obrázek 25. Nastavení úrovně funkčnosti doménové struktury


60


Obrázek 26. Chyba při zvýšení úrovně funkčnosti doménové struktury Další informace o povolení úrovní funkčnosti v prostředí systému Windows NT 4.0 získáte na webu TechNet v tématu Enabling Functional Levels (Povolování úrovní funkčnosti).

Upgrade domény systému Windows NT na službu Active Directory Po dokončení fáze plánování na vysoké úrovni je možné začít s implementací plánu. Proces upgradu zahrnuje následující kroky: •

Plánování a implementace oboru názvů a infrastruktury služby DNS

•

Určení funkčnosti doménové struktury

•

Upgrade primárního řadiče domény se systémem Windows NT Server 4.0 nebo s dřívějším systémem

•

Upgrade zbývajících záložních řadičů domény

•

Převedení skupin

•

Dokončení upgradu dané domény

Plánování a implementace oboru názvů a infrastruktury DNS Obor názvů označuje konvence vytváření názvů, která definuje sadu jedinečných názvů prostředků v síti. Jedná se například o službu DNS (hierarchická struktura názvů identifikující každý síťový prostředek a jeho umístění v hierarchii oboru názvů) a službu WINS (struktura prostých názvů identifikující každý síťový prostředek pomocí jednoho jedinečného názvu). Služba Active Directory vyžaduje službu DNS. Služba DNS představuje hierarchickou, distribuovanou databázi, která obsahuje mapování názvů domén DNS na různé typy dat, jako například adresy IP.


61


Služba DNS umožňuje pojmenovat umístění počítačů a služeb popisnými názvy a také zjistit další informace uložené v databázi. Při nastavování oborů názvů je vhodné nejprve zvolit a zaregistrovat jedinečný název nadřazené domény DNS, která může sloužit jako hostitel dané organizace v Internetu (například doména Microsoft.com). Jakmile zvolíte název nadřazené domény, můžete kombinací tohoto názvu s názvem umístění nebo organizačním názvem příslušné organizace vytvořit názvy ostatních subdomén. Můžete například přidat subdoménu určenou prostředkům, které využívá skupina oddělení IT v organizaci, s názvem větve doménové struktury it.priklad.microsoft.com. Další názvy subdomén lze potom vytvořit pomocí uvedeného názvu, například edi.it.priklad.microsoft.com je subdoména pro skupinu programátorů, kteří se v oddělení IT zabývají elektronickou výměnou dat (EDI). Jiná skupina pracovníků poskytující v daném oddělení podporu může analogicky použít název podpora.it.priklad.microsoft.com. Před zahájením upgradu ze systému Windows NT Server 4.0 na službu Active Directory systému Windows Server 2003 se přesvědčte, zda jste navrhli obor názvů služeb DNS a Active Directory a nakonfigurovali servery DNS nebo plánujete automatickou instalaci služby DNS na řadiči domény pomocí Průvodce instalací služby Active Directory.

Integrace služeb Active Directory a DNS Služba Active Directory může být se službou DNS integrována následujícími způsoby: •

Služby Active Directory a DNS mají stejnou hierarchickou strukturu. Ačkoli jsou služby DNS a Active Directory samostatné a implementují se rozdílným způsobem pro rozdílné účely, má obor názvů organizace pro obě služby stejnou strukturu. Doména microsoft.com je například doménou služby DNS i služby Active Directory.

•

Zóny služby DNS lze uložit v rámci služby Active Directory. Pokud využíváte službu Windows Server DNS, můžete soubory primární zóny uložit v adresáři služby Active Directory za účelem replikace v dalších řadičích domén se službou Active Directory.

•

Služba Active Directory využívá službu DNS jako službu lokátoru, která překládá názvy domén, sítí a služeb v rámci služby Active Directory na adresy IP. Klient služby Active Directory při přihlášení k doméně Active Directory odešle na příslušný konfigurovaný server DNS požadavek na adresu IP služby LDAP spuštěné v řadiči určené domény. Další informace o závislosti klientů služby Active Directory na službě DNS získáte v nápovědě online v Centru pro nápovědu a odbornou pomoc systému Windows Server 2003 v části týkající se vyhledání řadiče domény.

Rozdíly služeb Active Directory a DNS Služba Active Directory je se službou DNS integrovaná a sdílejí stejnou strukturu oboru názvu. Je však důležité rozeznávat základní rozdíly mezi oběma službami: •

Služba DNS slouží k překladu názvů. Klienti služby DNS odesílají příslušnému nakonfigurovanému serveru DNS dotazy týkající se názvů DNS. Server DNS příjme dotaz na název a přeloží jej pomocí Příručka k upgradu systému Windows NT Server 4.0

62


souborů uložených na serveru nebo využije k překladu jiný server DNS. Služba DNS není závislá na fungování služby Active Directory. •

Služba Active Directory je adresářová služba. Služba Active Directory poskytuje úložiště informací a služby umožňující uživatelům a aplikacím přístup k těmto informacím. Klienti služby Active Directory odesílají dotazy na servery Active Directory prostřednictvím protokolu LDAP. Za účelem vyhledání serveru Active Directory odešle klient služby Active Directory dotaz na server DNS. Služba Active Directory je závislá na činnosti služby DNS. Další informace o konfiguraci DNS získáte v nápovědě online v Centru pro nápovědu a odbornou pomoc systému Windows Server 2003.

Role FSMO (Flexible Single Master Operations) V doménové struktuře je jednomu nebo více řadičům domény přiřazeno nejméně pět rolí FSMO. Jedná se o následujících pět rolí FSMO: •

Hlavní server schémat: Řadič domény s rolí hlavního serveru schémat řídí všechny aktualizace a změny schématu. Chcete-li aktualizovat schéma doménové struktury, je nutné získat přístup k hlavnímu serveru schémat. Celá doménová struktura může zahrnovat pouze jeden hlavní server schémat.

•

Hlavní server pro pojmenování domén: Řadič domény s rolí hlavního serveru pro pojmenování domén řídí přidávání nebo odebírání domén v rámci doménové struktury. Celá doménová struktura může zahrnovat pouze jeden hlavní server pojmenování domén.

•

Hlavní server infrastruktury: Zodpovědností infrastruktury je aktualizace odkazů objektů v příslušné doméně na objekty v jiných doménách. Hlavním serverem infrastruktury může být v každé doméně vždy pouze jeden řadič domény.

•

Hlavní server RID (Relative ID): Hlavní server RID je zodpovědný za zpracování požadavků na fond relativních ID (RID) odeslaných ze všech řadičů příslušné domény. Hlavním serverem RID může být v každé doméně vždy pouze jeden řadič domény.

•

Emulátor primárního řadiče domény: Emulátor primárního řadiče domény je řadič domény, který se pracovním stanicím, členským serverům a řadičům domén s dřívějšími verzemi systému Windows ohlašuje jako primární řadič domény. Pokud například doména obsahuje počítače bez klientského softwaru v podobě systému Microsoft Windows XP Professional nebo Microsoft Windows 2000 nebo obsahuje záložní řadiče domény systému Microsoft Windows NT, bude se emulátor primárního řadiče domény chovat jako primární řadič domény se systémem Windows NT. Zároveň funguje jako prohlížeč hlavního serveru domény a zpracovává nesoulad v heslech. Emulátorem primárního řadiče domény může být v každé doméně v rámci doménové struktury vždy pouze jeden řadič domény.

Role FSMO můžete převádět pomocí nástroje modulu snap-in konzoly Microsoft Management Console (MMC). V závislosti na roli FSMO, kterou chcete převést, můžete využít některý z následujících tří nástrojů modulu snap-in konzoly MMC: •

Modul snap-in Schéma služby Active Directory Příručka k upgradu systému Windows NT Server 4.0

63


•

Modul snap-in Domény a vztahy důvěryhodnosti služby Active Directory

•

Modul snap-in Uživatelé a počítače služby Active Directory

Pokud již počítač neexistuje, musí být jeho role převedena. Jestliže server s rolí FSMO nepracuje, není nutné, aby jeho role FSMO převzal jiný server – zvláště v případě, že server bude opraven a znovu převeden do režimu online. Bude-li provoz původního serveru vykonávající příslušnou roli obnoven, je třeba zajistit, aby uvedenou roli nepřevzal jiný server. Situace, při které se více serverů snaží vykonávat stejnou roli FSMO, může způsobit potíže ve službě Active Directory. Za předpokladu, že je nezbytné roli převzít, však postupujte podle následujících pokynů a zajistěte převzetí role pomocí jednoho z modulů snap-in konzoly MMC (viz předchozí seznam s odrážkami). Roli hlavního serveru schématu můžete převést následujícím způsobem: 1. Klepněte na tlačítko Start a na příkaz Spustit, do pole Otevřít zadejte příkaz mmc a klepněte na tlačítko OK. 2. V nabídce Soubor klepněte na příkaz Přidat nebo odebrat modul snap-in. 3. Klepněte na tlačítko Přidat. 4. Klepněte na položku Schéma služby Active Directory, klepněte na tlačítko Přidat, tlačítko Zavřít a potom na tlačítko OK. 5. Ve stromu konzoly klepněte pravým tlačítkem myši na položku Schéma služby Active Directory a klepněte na příkaz Změnit řadič domény. 6. Klepněte na možnost Název serveru, zadejte název řadiče domény, který převezme roli, a potom klepněte na tlačítko OK. 7. Klepněte pravým tlačítkem na položku Schéma služby Active Directory a potom klepněte na příkaz Hlavní operační server. 8. Klepněte na možnost Název serveru, zadejte název řadiče domény, který má převzít roli hlavního serveru schématu, a potom klepněte na tlačítko OK.


64


9. Ve stromu konzoly klepněte pravým tlačítkem myši na položku Schéma služby Active Directory a klepněte na příkaz Hlavní operační server.

10.Klepněte na možnost Změnit. 11.Klepnutím na tlačítko OK potvrďte převod příslušné role a potom klepněte na tlačítko Zavřít.


65


Roli hlavního serveru pro pojmenování domén můžete převést následujícím způsobem: 1. Klepněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a klepněte na položku Domény a vztahy důvěryhodnosti služby Active Directory. 2. Klepněte pravým tlačítkem myši na možnost Domény a vztahy důvěryhodnosti služby Active Directory a klepněte na příkaz Připojit k řadiči domény. Poznámka Tento krok je nutné provést, jestliže nepracujete na řadiči domény, na který chcete roli převést. V případě, že jste již připojeni k řadiči domény, jehož roli chcete převést, nemusíte uvedený krok provádět. 3. Proveďte jeden z následujících postupů: •

Do pole Zadejte název jiného řadiče domény zadejte název řadiče domény, který převezme příslušnou roli, a potom klepněte na tlačítko OK.

—NEBO— 1. V seznamu Nebo vyberte dostupný řadič domény klepněte na řadič domény, který převezme příslušnou roli, a potom klepněte na tlačítko OK. 2. Ve stromu konzoly klepněte pravým tlačítkem myši na položku Domény a vztahy důvěryhodnosti služby Active Directory a klepněte na příkaz Hlavní operační server.

3. Klepněte na tlačítko Změnit.


66


4. Klepnutím na tlačítko OK potvrďte převod příslušné role a potom klepněte na tlačítko Zavřít.

Chcete-li převést role hlavního serveru RID, emulátoru primárního řadiče domény a hlavního serveru infrastruktury, postupujte následujícím způsobem: 1. Klepněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a klepněte na položku Uživatelé a počítače služby Active Directory. 2. Klepněte pravým tlačítkem myši na možnost Uživatelé a počítače služby Active Directory a klepněte na příkaz Připojit k řadiči domény. Poznámka Tento krok je nutné provést, jestliže nepracujete na řadiči domény, na který chcete roli převést. V případě, že jste již připojeni k řadiči domény, jehož roli chcete převést, nemusíte uvedený krok provádět. 3. Proveďte jeden z následujících postupů: •

Do pole Zadejte název jiného řadiče domény zadejte název řadiče domény, který převezme příslušnou roli, a potom klepněte na tlačítko OK.

—NEBO— 1. V seznamu Nebo vyberte dostupný řadič domény klepněte na řadič domény, který převezme příslušnou roli, a potom klepněte na tlačítko OK.


67


2. Ve stromu konzoly klepněte pravým tlačítkem myši na položku Uživatelé a počítače služby Active Directory, přejděte na příkaz Všechny úkoly a klepněte na příkaz Hlavní operační server.

3. Klepněte na příslušnou kartu role, kterou chcete převést (RID, Primární řadič domény nebo Infrastruktura), a klepněte na tlačítko Změnit.


68


4. Klepnutím na tlačítko OK potvrďte převod příslušné role a potom klepněte na tlačítko Zavřít.

Určení funkčnosti doménové struktury Funkčnost domény určuje typ funkcí služby Active Directory, které lze povolit v rozsahu jedné doménové struktury. Každá úroveň funkčnosti má sadu specifických požadavků na verzi operačního systému, které mohou být na řadičích domén v doménové struktuře spuštěny. Například úroveň funkčnosti domény Windows vyžaduje, aby se na všech řadičích domény používaly operační systémy Windows Server 2003. V případě, že upgradujete úplně první doménu Windows NT, tzn. že se z ní stane první doména v nové doménové struktuře systému Windows Server 2003, doporučuje se nastavit úroveň funkčnosti doménové struktury na možnost Windows – provizorní. (Zobrazí se výzva během upgradu.) Tato úroveň obsahuje všechny funkce používané v rámci úrovně funkčnosti doménové struktury systému Windows 2000 a také zahrnuje dvě důležité rozšířené funkce služby Active Directory: •

Zdokonalené algoritmy replikace pro generátor mezisíťových topologií

•

Zdokonalení replikace pro členství ve skupině

Úroveň funkčnosti Windows – provizorní se používá při upgradu první domény Windows NT na novou doménovou strukturu a lze ji ručně nakonfigurovat po upgradu. Další informace o ručním nastavování této úrovně funkčnosti získáte v sadách Windows Deployment and Resource Kit na webu systémů Windows. Úroveň funkčnosti doménové struktury systému Windows – provizorní podporuje pouze řadiče domén se systémem Windows a Windows NT, nikoli řadiče domén se systémem Windows 2000. Servery se systémem Windows 2000 nelze převést na řadič domény v doménové struktuře, ve které je úroveň funkčnosti doménové struktury nastavena na možnost Windows – provizorní.

Upgrade primárního řadiče domény (PDC) se systémem Windows NT Server 4.0 či dřívějším První server se systémem Windows NT Server 4.0, který je potřeba upgradovat, je primární řadič domény. Úspěšný upgrade domény je podmíněn upgradem primárního řadiče domény se systémem Windows NT. Během upgradu Průvodce instalací služby Active Directory vyžaduje, abyste zvolili připojení k existující větvi doménové struktury či existující doménové struktuře nebo vytvořili novou větev či celou doménovou strukturu. Pokud se rozhodnete připojit k existující větvi doménové struktury, je třeba zadat odkaz na příslušnou nadřazenou doménu. Další informace získáte v nápovědě online v Centru pro nápovědu a odbornou pomoc v tématu Kontrolní seznam: Instalace řadiče domény systému Windows Server 2003. Spuštěním Průvodce instalací služby Active Directory lze nainstalovat všechny nezbytné součásti řadiče domény, například úložiště dat adresáře, a software ověřování pomocí protokolu Kerberos v5. Po instalaci protokolu Kerberos spustí proces instalace službu ověřování a službu udělování lístků. Pokud navíc řadič domény představuje novou podřízenou doménu, je s nadřazenou doménou vytvořen přenositelný vztah důvěryhodnosti. Řadič domény z nadřazené domény nakonec zkopíruje veškeré informace o schématech a konfiguraci do řadiče nové podřízené domény. Existující objekty SAM jsou kopírovány z registru do nového úložiště dat. Tyto objekty představují zaregistrované objekty zabezpečení. Příručka k upgradu systému Windows NT Server 4.0

69


Během upgradu se vytvářejí objekty obsahující účty a skupiny z domény Windows NT. Tyto objekty kontejneru s názvem Users, Computers a Built-in se zobrazí jako složky v modulu snap-in Uživatelé a počítače služby Active Directory. Uživatelské účty a předem definované skupiny jsou umístěny ve složce Users. Účty počítačů jsou umístěny do složky Computers. Předdefinované skupiny jsou umístěny ve složce Built-in. Tyto zvláštní objekty kontejneru nejsou organizační jednotky. Nelze je proto přesunout, přejmenovat ani odstranit. Existující skupiny ze systému Windows NT Server 4.0 (či dřívějších) jsou umístěny v jiných složkách (v závislosti na povaze skupiny). Předdefinované místní skupiny ze systému Windows NT Server 4.0 (či nižších), například Administrators a Server Operators, jsou umístěny ve složce Built-in. Globální skupiny ze systému Windows NT Server 4.0 (či dřívějších), například Domain Admins, a všechny místní a globální skupiny vytvořené uživateli jsou umístěny ve složce Users. Upgradovaný primární řadič domény dokáže synchronizovat změny objektů zabezpečení mezi zbývajícími záložními řadiči domény se systémem Windows NT Server 4.0 či dřívějším. Bude servery záložních řadičů domény se systémem Windows NT Server 4.0 či dřívějším považován za hlavní v doméně. V případě, že je řadič domény se systémem Windows Server 2003 offline nebo je nedostupný z jiného důvodu a v doméně neexistují žádné další řadiče domény Windows Server 2003, lze záložní řadič domény se systémem Windows NT převést na primární řadič domény, aby převzal roli řadiče domény se systémem Windows Server 2003, který je momentálně offline. Upgradovaný řadič domény je plně funkční člen doménové struktury. Nová doména je přidána do struktury domény a sítě a všem řadičům domény bude doručeno oznámení s informacemi o tom, že do doménové struktury přibyla doména.

Upgrade všech zbývajících záložních řadičů domén Po upgradu primárního řadiče domény se systémem Windows NT Server 4.0 či dřívějším lze pokračovat v upgradu všech zbývajících záložních řadičů domény. Během upgradu je možné odebrat záložní řadič domény ze sítě, a zabránit tak možným problémům v síti. Na tomto záložním řadiči domény je uložena kopie aktuální databáze domény. Pokud by během upgradu došlo k jakýmkoli problémům, lze odebrat všechny řadiče domény se systémem Windows z provozního prostředí a následně připojit záložní řadič domény zpět do sítě nastavit ho jako primární řadič. Tento nový primární řadič potom replikuje svá data v celé doméně a doména je tak vrácena do svého původního stavu. Jedinou nevýhodou této metody je to, že všechny změny provedené v záložním řadiči domény v režimu offline budou ztraceny. Chcete-li minimalizovat ztráty, můžete během upgradu opakovaně záložní řadič domény zapnout a vypnout (v době, kdy je doména ve stabilním stavu), a aktualizovat tak jeho kopii adresáře. Při upgradu domén se systémem Windows NT Server 4.0 či předchozím, může pouze jeden řadič domény se systémem Windows Server 2003 vytvářet objekty zabezpečení (uživatelské účty, účty skupin a účty počítačů). Tento jediný primární řadič domény lze nakonfigurovat jako hlavní emulátor primárního řadiče Příručka k upgradu systému Windows NT Server 4.0

70


domény. Hlavní emulátor primárního řadiče domény emuluje primární řadiče domén se systémem Windows NT Server 4.0 či dřívějším. Další informace o roli emulátoru primárního řadiče domény získáte v nápovědě online v Centru pro nápovědu a odbornou pomoc systému Windows Server 2003 v části týkající se hlavních operačních serverů.

Převádění skupin Při upgradu primárního řadiče domény se systémem Windows NT Server 4.0 na server se systémem Windows Server 2003 jsou existující skupiny Windows NT převedeny. Konkrétně v případě, kdy je doména se systémem Windows Server 2003 převedena do nativního režimu, jsou místní skupiny systému Windows NT převedeny na serverech se systémem Windows Server 2003 na místní skupiny domény. Počítače se systémem Windows NT, které jsou členy domény, mají dále k převedeným skupinám přístup. Skupiny se těmto klientům zobrazí jako místní a globální skupiny systému Windows NT Server 4.0. Klient Windows NT však nemůže zobrazovat členy skupin ani modifikovat vlastnosti členů, pokud toto členství narušuje pravidla skupiny Windows NT. Pokud například klient Windows NT zobrazí členy globální skupiny na serveru se systémem Windows Server 2003, nezobrazí se mu žádné jiné skupiny, které jsou členy této globální skupiny.

Používání převedených skupin na serverech se systémem Windows Server 2003 Klientské počítače, ve kterých není spuštěn klientský software Active Directory, identifikují na serverech se systémem Windows Server 2003 skupiny s univerzálním oborem jako skupiny s globálním oborem. Při zobrazování členů skupiny s univerzálním oborem může klient Windows NT zobrazit a přistupovat ke členům skupiny, kteří splňují pravidla členství globálních skupin na serverech se systémem Windows Server 2003. V doméně systému Windows Server 2003, která je nastavena na úroveň funkčnosti domény nativního režimu systému Windows 2000, musí být všechny řadiče domény spuštěny na serverech se systémem Windows Server 2003. Doména však může obsahovat členské servery se systémem Windows NT Server 4.0. Tyto servery zobrazují skupiny, které mají univerzální obor, jako by měly globální obor a mohou skupinám s univerzálními obory přiřazovat práva a oprávnění a zařazovat je do místních skupin. V doméně systému Windows Server 2003 nemůže členský server se systémem Windows NT Server 4.0 a nástroji pro správu systému Windows NT získat přístup k místním skupinám domény. Tento problém však lze vyřešit tak, že použijete server se systémem Windows Server 2003 a pro přístup k serveru se systémem Windows NT Server 4.0 dále použijete nástroje v Sadě nástrojů pro správu systému Windows Server 2003. Pomocí těchto nástrojů lze zobrazit místní skupiny domény a přiřadit jim oprávnění k prostředkům na serveru se systémem Windows NT Server 4.0.

Dokončení upgradu domény Pokud jste upgradovali všechny existující primární a záložní řadiče domény se systémem Windows NT Server 4.0 či dřívějším na systém Windows Server 2003 a nebudete chtít používat řadiče domény se Příručka k upgradu systému Windows NT Server 4.0

71


systémem Windows NT Server 4.0 či dřívějším, můžete zvýšit úroveň funkčnosti domény ze smíšeného režimu systému Windows 2000 na nativní. Po zvýšení úrovně funkčnosti domény na nativní režim systém Windows 2000 dojde k několika změnám: •

Řadiče domén již nepodporují replikaci NTLM.

•

Řadič domény, který emuluje hlavní operační server s primárním řadičem domény nemůže synchronizovat data se záložním řadičem domény se systémem Windows NT Server 4.0 či dřívějším.

•

Řadiče domény se systémem Windows NT Server 4.0 či dřívějším nelze přidat do domény. (Lze přidat nové řadiče domény se systémem Windows 2000 nebo Windows Server 2003.)

•

Uživatelé a počítače používající některou předchozí verzi systému Windows začnou využívat výhod přenositelných vztahů důvěryhodnosti služby Active Directory a (při správném ověření) mohou získat přístup k libovolným prostředkům v doménové struktuře. Přestože předchozí verze systému Windows nepodporují protokol Kerberos v5, umožňují předávací ověření přihlašovacích událostí zajišťované řadiči domén ověřovat uživatele a počítače v libovolné doméně v doménové struktuře. Toto ověřování umožňuje uživatelům a počítačům získat přístup k libovolné doméně v doménové struktuře, pro kterou mají příslušná oprávnění.

Klienti si při práci v doméně nevšimnou žádného jiného rozdílu než rozšířeného přístupu ke všem ostatním doménám v doménové struktuře.

Příklad plánu migrace služby Active Directory Doménu Windows NT 4.0 lze upgradovat na doménu služby Active Directory systému Windows Server 2003 několika způsoby. V následující modelové situaci je jeden takový způsob zdokumentován. Tento příklad byl záměrně zjednodušen, aby jej bylo možné použít v této příručce. Může však sloužit jako návod pro řadu typických upgradů systému Windows NT 4.0. Klíčovým bodem je plánování. Pokud je plán vytvořen správně, měl by týmu provádějícímu upgrade pomoci i ve velmi složitých situacích upgradu systému Windows NT. V tomto příkladě budeme používat fiktivní společnost HGF Properties z Jižní Kalifornie, která má čtyři pobočky. Společnost bude chtít upgradovat z aktuální struktury Windows NT 4.0 na systém Windows Server 2003 a službu Active Directory. V této části vás provedeme některými kroky, které je potřeba provést při upgradu malé sítě s jednou doménou. Na obrázku 27 jsou vidět aktuální sítě, doména a servery společnosti HGF Properties.


72


Obrázek 27. Model jedné domény se systémem Windows NT 4.0 společnosti HGF Properties

Seznam serverů Společnost HGF Properties má jedinou doménu s názvem HGFPROPERTIES na všech čtyřech místech. V následující tabulce je uveden seznam serverů a jejich odpovídající role. Servery společnosti HGF Properties a jejich role Název serveru

Role

Verze

HGFPDC

Primární řadič domény celé organizace

Windows NT 4.0 SP6

HGFBDC

Záložní řadič domény pro pobočku v Los Angeles; pro služby

Windows NT 4.0 SP6

DHCP a WINS HGFFILE

Souborové a tiskové služby a účetní server

Windows NT 4.0 SP6

HGFSQLSERVER

Databáze SQL Server 6.5 pro vlastní interní aplikaci

Windows NT 4.0 SP6


73


HGFREMOTE

Server pro vzdálený přístup (s Terminálovou službou)

Windows 2000 SP3

HGFPORTAL

Intranetový server se službou Microsoft SharePoint™

Windows 2000 SP3

HGFWEB

Webový server (IIS) zajišťující interní aplikace

Windows NT 4.0 SP6

HGFFILE2

Souborové a tiskové služby

Windows NT 4.0 SP6

HGFEXCHANGE

Exchange 5.5 Server

Windows NT 4.0 SP6

HGFSQLSERVER2

Databáze SQL Server 2000 pro nahrazení databáze SQL

Windows 2000 SP3

Server 6.5 interní aplikace IRVBDC

Záložní řadič domény pro doménu HGFPROPERTIES

Windows NT 4.0 SP4

zajišťující místní ověřování pro pobočku ve městě Irvine IRVFILE

Místní souborový a tiskový server pro pobočku ve městě Irvine

Windows NT 4.0 SP4

HAYBDC


Windows NT 4.0 SP5

zajišťující místní ověřování pro pobočku ve městě Hayward HAYFILE

Místní souborový a tiskový server pro pobočku ve městě

Windows NT 4.0 SP5

Hayward ANABDC


Windows NT 4.0 SP6

zajišťující místní ověřování pro pobočku ve městě Anaheim ANAFILE


Windows NT 4.0 SP6

Anaheim

Metodologie upgradu Jedním z prvních kroků při upgradu domény Windows NT 4.0 je rozhodnout o typu upgradu, který budete chtít provést. Chcete aktuální doménu přímo upgradovat na službu Active Directory? Nebo ji chcete upgradovat na paralelní doménu Active Directory? V takovém případě lze upgradovat uživatele, servery, tiskárny atd. na novou doménu Active Directory pomocí nástroje ADMT (Active Directory Migration Tool). Společnost HGF Properties se rozhodla pro přímý upgrade aktuální domény. Toto rozhodnutí znamená, že je potřeba upgradovat primární řadič domény. Tento upgrade lze provést několika různými způsoby. Jedním ze způsobů je začít s upgradem u členských serverů a všechny je upgradovat na systém Windows Server 2003. Po upgradu členských serverů lze upgradovat řadiče domény – nainstalovat službu Active Directory. Správci se tak seznámí s upgradem ještě před tím, než budou upgradovat vlastní databázi účtů.


74


Dále lze nejdříve upgradovat řadiče domény. Jakmile je doména přesunuta do adresáře služby Active Directory, lze upgradovat všechny členské servery. Tento způsob upgradu je užitečnější pro organizace, které chtějí co nejdříve využívat výhody služby Active Directory. Je také vhodný v případě, že je třeba upgradovat na službu Active Directory kvůli konkrétní aplikaci. Například v případě, že organizace potřebuje upgradovat určitou aplikaci, avšak její poslední verze vyžaduje službu Active Directory. V tomto příkladu budeme předpokládat, že společnost HGFPROPERTIES provozuje server Exchange 5.5 Standard Edition s úložištěm informací o kapacitě 15,5 GB. Tato verze Exchange má 16GB limit úložiště informací. Pokud bude chtít společnost HGFPROPERTIES upgradovat svůj server na verzi Exchange 2000 Enterprise s podporou vyšší kapacity úložiště informací, bude muset nainstalovat službu Active Directory.

Pořadí upgradu serverů V tomto příkladě se společnost HGF Properties rozhodla před upgradem řadičů domén upgradovat co nejvíce členských serverů. Další otázkou je, jaké servery upgradovat a v jakém pořadí. Při rozhodování mohou hrát roli například tyto faktory: •

Služby používané na jednotlivých serverech. Jaký bude mít upgrade počítače vliv na služby spuštěné v tomto počítači? Například po upgradu domény na Active Directory bude třeba nejdříve ověřit servery DHCP. Teprve potom budou moci tyto servery začít přidělovat adresy.

•

Počet uživatelů ovlivněných upgradem určitého serveru: Provozujete v síti server, který používá jen několik málo uživatelů? Pokud ano, mohlo by být vhodné začít právě u něj a teprve potom pokračovat s upgradem serverů, na kterých je závislá celá organizace.

•

Závislost aplikace na službě Active Directory či jiných aplikacích: Vyvinuli jste nebo zakoupili konkrétní aplikaci, která vyžaduje službu Active Directory? Provozujete servery, které je potřeba upgradovat zároveň, protože jsou na sobě vzájemně závislé?

•

Hardware serveru: Je hardware serveru dostatečně výkonný pro systém Windows Server 2003? Většina serverů se systémem Windows NT 4.0 má spouštěcí oddíly o velikosti 4 GB či menší. Je pro upgrade na systém Windows Server 2003 dostatek místa na diskových jednotkách? Je procesor dostatečně výkonný?

Je rozhodnuto, že nejdříve se budou upgradovat souborové a tiskové servery. Správci tak mohou začít upgradovat počítače, které nemají vliv na příliš mnoho dalších funkcí. Jednou z oblastí, na kterou bude potřeba se při upgradu zaměřit, jsou ovladače tiskáren. Je třeba zjistit, zda budou tiskárny v novém operačním systému fungovat a zda budou všichni klienti stále schopni tiskárny po upgradu používat. Provedení tohoto úkolu lze otestovat v laboratorních podmínkách před samotným upgradem. Také je třeba pamatovat na to, že server IRVFILE je třeba nejdříve před upgradem na nový operační systém upgradovat na aktualizaci SP 5.0. Z plánu je zjištěno, že servery HGFSQLSERVER2 a HGFWEB v podstatě nahrazují funkčnost serveru HGFSQLSERVER, databáze SQL Server 6.5 pro vlastní interní aplikace. Vzhledem k tomu, že migrace


75


na novou vlastní aplikaci je proces, ke kterému dojde v blízké budoucnosti, je rozhodnuto, že server HGFSQLSERVER nebude upgradován. Hardware je v podstatě také již zastaralý, takže je rozhodnuto, že bude server po upgradu aplikace (přibližně za měsíc) vyřazen. Server HGFEXCHANGE představuje problém. Pokud bude upgradován na systém Windows Server 2003, nebude fungovat server Exchange 5.5. Úložiště informací nebude možné po upgradu spustit. Pokud je nejdříve server Exchange 5.5 upgradován na verzi Exchange 2000 a následně je server upgradován na verzi Windows Server 2003, výsledek bude stejný. Server verze Exchange 5.5 ani Exchange 2000 není v systému Windows Server 2003 podporován. V době, kdy se psala tato příručka, ještě nebyla verze Exchange 2003 na trhu, takže server je třeba ponechat v systému Windows NT 4.0 nebo upgradovat na systém Windows 2000. Pokud bude počítač upgradován na systém Windows 2000, lze server Exchange také upgradovat na verzi Exchange 2000. Společnost HGF Properties se rozhodla pro jiný krok. Bylo rozhodnuto, že bude zakoupen nový server, který bude fungovat jako nový e-mailový server, na který bude nainstalován operační systém Windows 2000 a server Exchange 2000. Později bude tento server upgradován na operační systém Windows Server 2003 a server Exchange 2003. Hardware serveru Exchange 5.5 je stále dostačující pro ostatní úkoly a po upgradu systému Exchange na novou verzi lze změnit jeho roli. Druhý na řadě je server HGFWEB. Aktuální webové aplikace jsou v laboratorním prostředí testovány na serveru se systémem Windows Server 2003 a službou IIS 6.0. Po vyřešení všech problémů je serveru upgradován na systém Windows Server 2003. Server HGFSQLSERVER2 je následně upgradován ze systému Windows 2000 na systém Windows Server 2003. Na serveru HGFREMOTE je spuštěna Terminálová služba v systému Windows 2000, proto je dalším na řadě pro upgrade. Nakonec je upgradován portálový server HGFPORTAL ze systému Windows 2000 na systém Windows Server 2003.

Upgrade služby Active Directory Po upgradu všech členských serverů je nyní třeba upgradovat na službu Active Directory. Chcete-li to provést, je třeba nejdříve upgradovat primární řadič domény. Jedním z doporučených způsobů, jak to provést, je použít nový počítač. Použijete-li nový počítač, lze se vyhnout některým rizikům, která s sebou upgrade na službu Active Directory nese. Správci společnosti HGF Properties nejdříve nainstalují nový server (s názvem HGFDC1) jako záložní řadič domény se systémem Windows NT 4.0 v doméně HGFPROPERTIES. Dále je tento nový server převeden na primární řadič domény. Díky tomuto kroku bude možné původní řadič domény (nyní záložní řadič domény) převést zpět na primární řadič domény, pokud by při upgradu došlo k jakýmkoli problémům. V rámci bezpečnostních opatření je také původní primární řadič domény nastaven po úspěšně provedeném upgradu zcela do režimu offline. Tento proces zajišťuje správcům určitou úroveň komfortu. Je dobré vědět, že lze v případě neúspěšného upgradu doménu kdykoli vrátit zpět do původní konfigurace. Správci samozřejmě před zahájením upgradu provedli i standardní zálohu počítačů, takže se v podstatě k původnímu nastavení mohou dostat několika způsoby.


76


Server HGFDC1 je upgradován vložením instalačního disku CD-ROM se systémem Windows Server 2003. Automaticky dojde ke spuštění průvodce upgradem a proces upgradu je zahájen. Správce musí během upgradu na operační systém Windows Server 2003 odpovědět na otázky týkající se instalace. Po dokončení upgradu je server restartován a správce se přihlásí k nově nainstalovanému systému Windows Server 2003. Po upgradu operačního systému serveru se automaticky spustí Průvodce instalací služby Active Directory. V tomto bodě stále ještě není služba Active Directory nainstalována, k tomu dojde za chvíli. Během upgradu musí správci pojmenovat novou doménu Active Directory. Pro doménu služby Active Directory je zvolen interní název corp.hgfproperties.com. Externě bude společnost HGF Properties známá pod názvem hgfproperties.com. Ve společnosti HGF Properties se tak bude díky tomuto rozhodnutí používat dvojí struktura DNS. Externě budou nezbytné počítače a služby vystaveny za použití externího názvu domény. Interně se bude používat zcela jiný název domény. Po dokončení Průvodce instalací služby Active Directory a restartování počítače je služba Active Directory nainstalována a je spuštěna. Následují některé z otázek, které řešili správci společnosti HGF Properties při svém upgradu:

Úroveň funkčnosti doménové struktury Při procesu upgradu nastavuje Průvodce instalací služby Active Directory ve spolupráci s instalačním programem úrovně funkčnosti doménové struktury. Toto nastavení potom službě Active Directory indikuje, do jaké míry se má zajišťovat zpětná kompatibilita pro ostatní řadiče domény. Toto nastavení je podobné jako nastavení zpětné kompatibility na úrovni smíšeného versus nativního režimu systému Windows 2000.

Obrázek 28. Volba úrovně funkčnosti doménové struktury


77


Úroveň funkčnosti domén umožňuje správcům zvolit zpětnou kompatibilitu se systémem Windows 2000 a Windows NT 4.0. Díky různým možnostem lze vyladit úrovně kompatibility poskytováním podpory pro řadiče domény Windows 2000, Windows NT 4.0 nebo pro oba typy zároveň. Vzhledem k tomu, že se v rámci této instalace používají pouze řadiče domén systému Windows NT 4.0 a žádné řadiče domén Windows 2000, bude zvolena výchozí možnost Windows Server 2003 – provizorní.

DNS Dalším problémem, který je třeba při upgradu primárního řadiče domény systému Windows NT 4.0 na systém Windows Server 2003 řešit, je služba DNS. Průvodce instalací služby Active Directory bude hledat server DNS. Pokud ho nenajde, zobrazí uživateli dotaz, zda chce zprávu ignorovat a opravit problém až po instalaci, kdy server DNS sám ručně nainstaluje a nakonfiguruje, nebo zda má průvodce opětovně otestovat připojení k serveru DNS. Jestliže tento problém není vyřešen při instalaci, nebude služba Active Directory po dokončení instalace správně fungovat. Přestože to není zcela nezbytné, je možné zvážit pro službu Active Directory použití serverů DNS společnosti Microsoft. Servery DNS společnosti Microsoft podporují všechny nezbytné služby DNS, například záznamy SRV a dynamické aktualizace pro efektivní spuštění služby Active Directory. Dostatečnou podporu pro službu Active Directory také nabízí různé verze služby BIND, neposkytují však servery DNS integrované v rámci služby Active Directory. Integrace v rámci služby Active Directory nabízí následující výhody: •

Aktualizace více hlavních kopií a vyšší zabezpečení založené na možnostech služby Active Directory.

•

Zóny jsou replikovány a synchronizovány s novými řadiči domény vždy, když je do domény služby Active Directory přidána nová.

•

Integrace úložiště databází zóny DNS v rámci služby Active Directory usnadňuje plánování replikace databází.

•

Replikace adresářů je rychlejší a efektivnější než standardní replikace DNS.

Další informace o výhodách integrace serverů DNS v rámci služby Active Directory získáte v dokumentaci k systému Windows Server 2003, která je k dispozici z Centra pro nápovědu a odbornou pomoc.

Emulátor primárního řadiče domény Po upgradu primárního řadiče domény se systémem Windows NT 4.0 na řadič domény se systémem Windows Server 2003 je nyní nová doménová struktura Active Directory (i doména) spuštěna v režimu Windows Server 2003 – provizorní. Tento režim umožňuje pokračovat v komunikaci se záložními řadiči domény se systémem Windows NT 4.0. Ve skutečnosti se nový řadič domény se systémem Windows Server 2003 jeví záložním řadičům domény jako primární řadič domény se systémem Windows NT 4.0. Tento počítač je v doméně Active Directory první, takže přebírá všechny role FSMO. Je třeba pamatovat na to, že role emulátoru primárního řadiče domény je součást, pomocí které se tento server jeví jako primární řadič domény. Příručka k upgradu systému Windows NT Server 4.0

78


DHCP Vzhledem k tomu, že doména nyní funguje jako doména služby Active Directory, je třeba otestovat příslušné služby, aby bylo zajištěno, že pracují správně. Důležitá je služba DHCP. Adresy protokolu TCP/IP mohou v systému Windows Server 2003 poskytovat pouze oprávněné servery DHCP. Chcete-li tuto skutečnost ověřit, otevřete modul snap-in pro správu služby DHCP z Nástrojů pro správu a přidejte server DHCP na seznam spravovaných serverů DHCP. Pokud objekt serveru zobrazí v pravém dolním rohu červenou šipku, je třeba server ověřit. To lze provést klepnutím pravým tlačítkem na objekt serveru a následně klepnutím na příkaz Ověřit. Změna se pravděpodobně projeví až po aktualizaci zobrazení. Prohlédněte si možnosti na následující obrazovce.

Obrázek 29. Modul snap-in pro správu služby DHCP

WINS Služba WINS je stále k dispozici, aby byli podporováni i klienti na nižší úrovni. Služba WINS měla v předchozích verzích systému Windows NT roli lokátoru domén a počítačů. Systém Windows Server 2003 nevyžaduje službu WINS v prostředí bez rozhraní NetBIOS. Služba WINS se však vždy vyžaduje ve smíšeném prostředí, kde počítače se systémem Windows Server 2003 komunikují s ostatními systémy, například se systémem Windows NT 4.0, Windows 95, Windows 98 a Windows for Workgroups. Doporučeným způsobem adresování počítačů na nižší úrovni registrovaných v rámci služby WINS v systému Windows Server 2003 je používání odkazů služby WINS. Vzhledem k tomu, že v systému Příručka k upgradu systému Windows NT Server 4.0

79


Windows Server 2003 je překlad názvů optimalizován na používání služby DNS, je při tomto překladu daleko efektivnější vyhledávat klienty na nižších úrovních v databázi DNS než v databázi WINS. Za účelem povolení takovéhoto vyhledávání je třeba v rámci služby DNS vytvořit zónu odkazů služby WINS, která odkazuje na databázi WINS. Například zóna zobrazená v následujícím dialogovém okně neprovádí žádné registrace ani aktualizace; odkazuje hledání v databázi DNS na databázi WINS.

Obrázek 30. Karta odkazů z databáze DNS na databázi WINS Kdykoli servery se systémem Windows Server 2003 nebo klienti se systémem Windows XP odešlou dotaz s neúplným názvem (například domena_ntserver), bude nejdříve použita přípona výchozího názvu domény. V rámci konfigurace DHCP však lze přidat i další přípony. Pokud je název zóny odkazů WINS jedním z nich, lze přeložit všechny názvy klientů WINS. Na následujícím obrázku je například vidět zóna odkazů WINS s názvem wins.mydomain.microsoft.com, která byla vytvořena a nasměrována na databázi WINS.


80


Obrázek 31. Priorita překladu názvů mezi zónami odkazů U obrázku 31 se předpokládá, že klient se systémem Windows NT 4.0 se jmenuje client1. Klient se systémem Windows XP patří do domény mydomain.microsoft.com. Jestliže klient se systémem Windows XP získal se svou konfigurací DHCP příponu wins.mydomain.microsoft.com., bude následně při pokusu o překlad neúplného názvu client1 nejdříve vyzkoušena přípona mydomain.microsoft.com. (tj. client1.mydomain.microsoft.com). Jestliže pokus nebude úspěšný, bude proveden další pokus o překlad názvu, a to pomocí přípony wins.mydomain.microsoft.com (tj. client1.wins.mydomain.microsoft.com). Jakmile server oprávněný pro zónu wins.mydomain.microsoft.com přijme dotaz, nebude schopen přeložit požadovaný název. Je na něm však nakonfigurováno použití vyhledávání v databázi WINS, odešle proto dotaz na přeložení názvu client1 na server WINS. Server WINS obsahující příslušnou registraci vrátí adresu IP hostitele na server DNS a následně ji předá klientovi se systémem Windows XP. Společnost HGF Properties provozuje několik klientů se systémem Windows NT 4.0 Workstation a dokonce i několik klientů se systémem Windows 98, bude proto službu WINS nutné využívat až do doby, než budou tito klienti upgradováni. Jakmile bude služba WINS zcela odebrána, bude vhodné nejdříve službu vypnout. Tímto způsobem může správce z protokolů událostí zjistit, zda nedošlo k neočekávaným chybám. Pokud vypnutí služby způsobí chyby, lze buď zjistit příčinu problému a problém následně vyřešit, anebo službu opět zapnout. Pokud je služba vypnuta po delší dobu a zdá se, že nedochází k žádným potížím, lze ji zcela odebrat.

Zbývající záložní řadiče domény Každý z pěti zbývajících záložních řadičů domény je potřeba upgradovat. Dva řadiče jsou v Los Angeles a v pobočce v městě Irvine, Hayward a Anaheim je vždy jeden. Nejdříve je třeba upgradovat zmíněné dva Příručka k upgradu systému Windows NT Server 4.0

81


servery v Los Angeles. Bylo rozhodnuto, že se nejdříve bude upgradovat server HGFBDC, protože na něm běží služby WINS a DHCP. Název serveru, HGFBDC, představuje zajímavý problém.Po upgradu na řadič domény se systémem Windows Server 2003, již není záložním řadičem (BDC – Backup Domain Controller). Všechny řadiče domény v rámci služby Active Directory jsou na rovnocenné úrovni (peer-to-peer) a využívají vztahu s více hlavními kopiemi. Název serveru bude po upgradu změněn. Řadič domén lze přejmenovat, avšak doména musí být spuštěna na úrovni funkčnosti Windows Server 2003, aby tuto možnost podporovala. Vzhledem k tomu, že úroveň funkčnosti domény je Windows Server 2003 – provizorní, je třeba s přejmenováním řadiče domény počkat. Ještě jednou je třeba připomenout, že funkčnost domény je třeba nejdříve nastavit na úroveň Windows Server 2003. Teprve potom bude možné řadič domény přejmenovat. Následující postup pro přejmenování naleznete také v Centru pro nápovědu a odbornou pomoc v systému Windows Server 2003. Chcete-li přejmenovat řadič domény, proveďte následující kroky: 1. Otevřete okno příkazového řádku. 2. Zadejte následující příkaz: netdom computername aktuální_název_počítače /add: nový_název_počítače

Tento příkaz aktualizuje atributy SPN (service principal name) v rámci služby Active Directory pro tento účet počítače a zaregistruje záznamy o prostředích DNS pro nový název počítače. Hodnota SPN účtu počítače musí být replikována na všechny řadiče domény v doméně a záznamy o prostředku DNS pro nový název počítače musí být distribuovány na všechny autoritativní servery DNS pro název domény. Pokud aktualizace a registrace neproběhly před odebráním starého názvu počítače, nebudou pravděpodobně někteří klienti schopni vyhledat tento počítač podle nového či původního názvu počítače. 3. Dokončete aktualizace účtu počítače a registrace DNS. 4. Zadejte následující příkaz: netdom computername aktuální_název_počítače /makeprimary: nový_název_počítače

5. Restartujte počítač. 6. Do příkazového řádku zadejte následující příkaz: netdom computername nový_název_počítače /remove: původní_název_počítače

Hodnota

Popis

aktuální_název_počítače

Aktuální (primární) název počítače nebo adresa IP počítače, který přejmenováváte.


82


nový_název_počítače

Nový název počítače. Hodnota nový_název_počítače musí představovat úplný název (FQDN). Primární přípona DNS zadaná v názvu FQDN pro hodnotu nový_název_počítače musí být stejná jako primární přípona DNS hodnoty aktuální_název_počítače nebo musí být obsažena v seznamu povolených přípon DNS zadaných v atributu msDS-AllowedDNSSuffixes objektu domainDns.

původní_název_počítače

Původní název přejmenovaného počítače.

Přejmenování řadiče domény vyžaduje, abyste nejdříve zadali jako nový název počítače pro řadič domény název FQDN. Všechny účty počítače pro řadič domény musí obsahovat aktualizovaný atribut SPN a všechny autoritativní servery DNS pro název domény musí obsahovat záznam prostředku hostitele (A) pro nový název počítače. Původní a nový název počítače se udržuje až do té doby, než odeberete původní název počítače, aby klienti mohli bez přerušení vyhledávat nebo ověřovat názvy ve spolupráci s přejmenovaným řadičem domény (kromě případů, kdy je přerušení způsobeno restartováním řadiče domény). Poznámka Tento postup mohou provádět pouze členové skupiny Domain Admins nebo skupiny Enterprise Admins v rámci služby Active Directory nebo uživatelé, kterým byla udělena příslušná oprávnění. Za účelem dosažení vyšší úrovně zabezpečení se doporučuje tento postup provést pomocí příkazu Run as. Chcete-li otevřít příkazový řádek, klepněte na tlačítko Start, přejděte na příkaz Všechny programy, přejděte na položku Příslušenství a klepněte na položku Příkazový řádek. Teto metoda, při které se používá rozhraní příkazového řádku, vyžaduje, aby byl nainstalován nástroj Netdom, instalovaný při instalaci nástrojů podpory systému Windows (Windows Support Tools) z disku CD-ROM se systémem Windows ve složce Support\Tools. Pokud řadič domény patří do skupiny s povolenou zásadou skupiny u primární přípony DNS, bude se řetězec zadaný v rámci zásady skupiny používat jako primární přípona DNS. Místní nastavení se používá pouze v případě, že je zásada skupiny zakázána nebo není zadána. Ve výchozím nastavení je část s primární příponou DNS úplného názvu FQDN počítače stejná jako název domény služby Active Directory, ke které je počítač připojen. Pokud mají být povoleny různé přípony DNS, může správce domény vytvořit omezený seznam povolených přípon vytvořením atributu msDSAllowedDNSSuffixesv kontejneru objektů domény. Tento atribut je spravován správcem domény pomocí rozhraní ADSI (Active Directory Service Interfaces) nebo protokolu LDAP. Záznamy o prostředku DNS lokátoru řadiče domény (Locator) jsou registrovány řadičem domény po restartování přejmenovaného řadiče domény. Registrované záznamy jsou v řadiči domény k dispozici v souboru systemroot\System32\Config\Netlogon.dns.


83


Chcete-li zobrazit názvy, na které je počítač momentálně nakonfigurován, zadejte do příkazového řádku následující příkaz: netdom computername název_počítače /enumerate: {AlternateNames | PrimaryName | AllNames}

Můžete také zadat parametr, který používá pověření správce požadovaná pro modifikaci účtu počítače v rámci služby Active Directory. Pokud není tento parametr zadán, používá nástroj Netdom pověření uživatele, který je momentálně přihlášen. Další informace získáte v nápovědě k příkazu Netdom v okně příkazového řádku. Pokud přejmenujete řadič domény v dialogovém okně Vlastnosti systému místo pomocí nástroje Netdom, může časový odstup replikace služby DNS a Active Directory způsobit zpoždění, se kterým budou klienti muset pracovat při vyhledávání a ověřování názvů ve spolupráci s přejmenovaným řadičem domény. Délka tohoto zpoždění závisí na návrhu sítě a topologie replikace ve vaší organizaci.

Další zbývající záložní řadiče domény Dále je upgradován záložní řadič domény s názvem HGFPDC. Upgrade probíhá podobně jako u dvou předchozích řadičů domény. Nyní jsou již v pobočce v Los Angeles tři řadiče domény, avšak pobočka nemá tolik zaměstnanců, aby bylo potřeba tolik řadičů provozovat. Členové týmu chtějí snížit počet řadičů domény a je rozhodnuto, že server PGFPDC bude převeden zpět na členský server. Je třeba myslet na to, že primární i záložní řadiče domén v systému Windows NT Server 4.0 nelze převádět zpět na členské servery. Správce spustí program DCPROMO a převede řadič domény na členský server. Jakmile je server převeden opět na členský, lze jeho název kdykoli změnit.

Globální katalogy Správci podobným způsobem systematicky upgradují všechny zbývající záložní řadiče domény v jednotlivých pobočkách. Každý řadič domény je také třeba nakonfigurovat jako server globálního katalogu, což je server, na kterém je udržována databáze adresáře, na kterou zadávají dotazy aplikace a klienti, kteří potřebují najít objekt v doménové struktuře. Hostitelem globálního katalogu je jeden či více řadičů domén. Globální katalog obsahuje částečnou repliku všech oddílů adresáře domény v doménové struktuře. Tyto částečné repliky zahrnují repliky všech objektů v doménové struktuře (viz obrázek 32): atributy nejčastěji používané při vyhledávacích operacích a atributy požadované k vyhledání úplné repliky objektu.


84


Obrázek 32. Nastavení globálního katalogu

Výsledky upgradu Společnost HGF Properties je již s upgradem na systém Windows Server 2003 a službu Active Directory téměř u konce. Ačkoli ještě zbývá provést některé kroky (například upgrade poštovního serveru na produkt Exchange 2003 po jeho uvedení na trh), byly již nejnáročnější části upgradu dokončeny. Na obrázku 33 si můžete prohlédnout novou strukturu služby Active Directory v doméně.


85


Obrázek 33. Seznam upgradovaných serverů Společnost HGF Properties má nyní jedinou doménu s názvem corp.hgfproperties.com na všech čtyřech místech. V následující tabulce je uveden seznam serverů a jejich odpovídající role. Servery a role společnosti HGF Properties po upgradu Server

Role

Verze

HGFDC1

§

Windows Server 2003

Řadič domény pro Los Angeles a celou organizaci. Pokud dojde k selhání řadiče domény ve vzdálené pobočce, budou řadiče domény v Los Angeles zajišťovat ověřování domény.

§

Hlavní server schématu, hlavní server pro pojmenování domén, hlavní server RID, emulátor primárního řadiče domény a hlavní server infrastruktury

§

Globální katalog

§

DNS Příručka k upgradu systému Windows NT Server 4.0

86


HGFPDC

HGFBDC

§

Řadič domény pro Los Angeles a celou organizaci

§

Globální katalog

§

DNS

§

Řadič domény pro Los Angeles a celou organizaci

§

Globální katalog

§

DNS

§

Služby DHCP a WINS

Windows Server 2003

Windows Server 2003

HGFFILE

Souborové a tiskové služby a účetní server

Windows Server 2003

HGFSQLSERVER

Databáze SQL Server 6.5 pro vlastní interní aplikaci

Windows NT 4.0 SP6

HGFREMOTE

Server pro vzdálený přístup (s Terminálovou službou)

Windows Server 2003

HGFPORTAL

Intranetový server se službou Windows® SharePoint™

Windows Server 2003

HGFWEB

Webový server (IIS) zajišťující interní aplikace

Windows Server 2003

HGFFILE2

Souborové a tiskové služby

Windows Server 2003

HGFEXCHANGE

Exchange 2000 Server

Windows 2000 SP3

HGFSQLSERVER2

Databáze SQL Server 2000 pro nahrazení databáze SQL

Windows Server 2003

Server 6.5 interní aplikace IRVBDC

Řadič domény pro doménu HGFPROPERTIES zajišťující

Windows Server 2003

místní ověřování pro pobočku ve městě Irvine IRVFILE


Windows Server 2003

Irvine HAYBDC


HAYFILE


Windows Server 2003

místní ověřování pro pobočku ve městě Hayward Windows Server 2003

Hayward ANABDC


Windows Server 2003

místní ověřování pro pobočku ve městě Anaheim ANAFILE


Windows Server 2003

Anaheim

Poslední fáze ukázkového upgradu Společnost HGF dokončila většinu nejobtížnějších kroků a může využívat službu Active Directory. Zbývá však ještě naplánovat nebo implementovat několik úkolů. Týmu provádějící upgrade ve společnosti HGF Properties zbývá dokončit následující kroky: •

Snížení úrovně řadiče domény

•

Upgrade interních podnikových aplikací

•

Změna názvů počítačů původních řadičů domény

•

Plánování upgradu pro Exchange Server

•

Plánování vyřazení serveru HGFSQLSERVER


87


•

Změna úrovně funkčnosti doménové struktury nebo domény na hodnotu Windows Server 2003

Snížení úrovně řadiče domény Společnost HGF Properties se již rozhodla odebrat jeden ze tří řadičů domény v Los Angeles. Tým provádějící upgrade má v úmyslu snížit úroveň jednoho z řadičů a začít jej využívat jako faxový server. Tým chce snížit úroveň serveru HGFPDC. Při porovnání obou původních řadičů domény systému Windows NT 4.0 zajišťuje tento server méně služeb. Porovnání: Na serveru HGFBCD se provozují služby DHCP a WINS. Lepším řešením než přesunutí uvedených služeb na jiný server je zachování serveru HGFBDC a snížení úrovně serveru HGFPDC. Úroveň serveru HGFPDC může správce snížit spuštěním programu DCPROMO nebo pomocí nástroje Konfigurace serveru, ze kterého je také možné spustit program DCPROMO. Po úspěšném spuštění průvodce je server restartován a již nepatří mezi řadiče domény. V této fázi je možné server nastavit pro jiné účely a využití.

Upgrade interní podnikové aplikace Aktuální webová podniková aplikace sdílí rozhraní s databází serveru SQL Server 6.5 na serveru HGFSQLSERVER. Aplikace byla vyvinuta tak, aby mohla využívat nový server SQL 2000 s názvem HGFSQLSSERVER2. Server HGFSQLSERVER je jediný počítač, na kterém zůstal zachován systém Windows NT 4.0. Vzhledem k tomu, že upgrade na novou aplikaci byl téměř dokončen, bylo rozhodnuto, že tento server nebude upgradován. Po dokončení upgradu aplikace na server HGFSQLSERVER2 bude server HGFSQLSERVER odebrán z domény a vyřazen.

Změna názvů počítačů původních řadičů domény Po převedení řadiče domény HGFPDC na členský server mají správci v úmyslu změnit ještě před jeho dalším využitím jeho název. Po změně názvu je server restartován. V této fázi již server není řadičem domény ani nemá název původního řadiče. Správcům však stále zbývá jeden řadič domény, jehož název chtějí změnit. Vzhledem k tomu, že stále pracuje jako řadič domény, nelze jeho název v dané chvíli změnit. Bylo by vhodné nejdříve změnit úroveň funkčnosti doménové struktury na režim systému Windows Server 2003. Všechny řadiče domény nyní pracují v systému Windows Server 2003, takže je možné provést tuto změnu kdykoli. Správci se však před provedením tohoto nevratného kroku chtějí ujistit, že je všechno v pořádku. Ještě potřebují vyřadit server se systémem Windows NT 4.0, na kterém se provozuje server SQL Server. Navíc by mělo být upgradováno nebo vyřazeno poměrně velké množství počítačů se systémem Windows NT 4.0 Workstation a Windows 98. I když uvedený úkol není nezbytným předpokladem, umožní týmu zahrnout do upgradu všechny klienty na nejnižší úrovni ještě před provedením definitivní změny.


88


Plánování upgradu pro Exchange Server Tým se nyní rozhodl upgradovat Exchange Server na produkt Exchange 2000. Upgrade mohl tým provést buď instalací nového počítače a upgradem poštovních schránek na nový server, anebo přímým upgradem na vyšší verzi. Rozhodnutí o přímém upgradu na vyšší verzi znamená, že není nutné měnit hardware serveru. Jako operační systém však musí zůstat Windows 2000, protože produkt Exchange 2000 nelze spustit v systému Windows Server 2003. Je rozhodnuto upgradovat na produkt Exchange 2003 v blízké době. Uvedený upgrade se již plánuje.

Plánování vyřazení serveru HGFSQLSERVER Interní aplikace, která využívala data na serveru HGFSQLSERVER, byla aktualizována na využívání nového serveru s produktem SQL Server 2000. Po tomto kroku je možné původní server vyřadit. Tým znovu nejdříve vypne počítač se serverem SQL Server na několik dní, aby se ujistil, že vyřazení počítače nepůsobí žádné problémy. Pokud k potížím dojde, bude možné server zapnout a potíže vyřešit.


89


Část 2: Vysvětlení klíčových součástí systému Windows Server 2003


90


Služby systému Windows V oblasti služeb systému došlo ve verzi Windows Server 2003 k řadě změn. Služba je proces (nebo sada procesů), který nabízí základní a rozšířené funkce systému Windows poskytováním podpory programům na systémové úrovni. Všechny služby jsou spuštěny na pozadí a jsou nakonfigurovány prostřednictvím použití aplikace služby v systému Windows NT Server 4.0 nebo modulu snap-in konzoly MMC v systému Windows 2000 a Windows Server 2003. Například služba Publikování na webu zajišťuje webové služby a funkčnost HTTP. Řada změn služeb v systému Windows Server 2003 byla provedena za účelem zvýšení zabezpečení a minimalizace zranitelných míst v systému ve výchozí instalaci. Některé služby se nyní spouští s oprávněními na nižší úrovni než v předchozích verzích systému. Ostatní služby nejsou ve výchozím nastavení vůbec povoleny; lze je podle potřeby povolit po instalaci systému Windows Server 2003.

Nové služby v systému Windows Server 2003 Je důležité pochopit výchozí a rozšířené služby, které jsou k dispozici v systému Windows Server 2003, protože tak budete schopni plně pochopit i funkce serveru. Také budete lépe schopni odstraňovat problémy a zvýšit zabezpečení systému. Například zakázáním nepotřebných služeb lze snížit bezpečnostní rizika na serveru, snížit využití paměti a také zajistit rychlejší spouštění systému. Za účelem snížení počtu zranitelných míst v systému Windows Server 2003 společnost Microsoft zakázala 19 služeb a u některých služeb nastavila při spuštění oprávnění na nižší úrovni. Například za účelem snížení počtu zranitelných míst ve webové infrastruktuře není při instalaci operačního systému ve výchozím nastavení nainstalována služba IIS 6.0 – je třeba ji explicitně vybrat a nainstalovat. Při instalaci je navíc pro službu IIS 6.0 nakonfigurováno nastavení maximálního zabezpečení. Po instalaci služba IIS 6.0 přijímá požadavky pouze na statické soubory, dokud není nakonfigurována na zpracovávání dynamického obsahu, a všechny hodnoty vypršení časového limitu a nastavení jsou nakonfigurovány na nejstriktnější výchozí hodnoty zabezpečení. Službu IIS 6.0 lze také zakázat pomocí zásad skupiny systému Windows Server 2003. Další informace o službě IIS získáte dále v této části v oddílu Změny zabezpečení služby IIS 6.0. V porovnání se systémem Windows NT Server 4.0 se v systému Windows Server 2003 změnil způsob poskytování řady služeb. Úplný seznam služeb a jejich funkcí získáte na webovém serveru Microsoft TechNet v části System Services for the Windows Server 2003 Family and Windows XP Operating Systems (Systémové služby pro skupinu operačních systémů Windows Server 2003 a pro operační systémy Windows XP).

Nastavení serverových rolí pomocí Průvodce konfigurací serveru Důležitou změnou v oblasti služeb je použití serverových rolí. Použitím Průvodce konfigurací serveru podle obrázku 34 můžete zvolit typ serveru – tj. souborový server, aplikační server, řadič domény nebo server DNS – systém Windows Server 2003 automaticky povoluje a zakazuje příslušné služby pro danou roli. Příručka k upgradu systému Windows NT Server 4.0

91


Obrázek 34. Průvodce konfigurací serveru

Spuštění a zastavení služeb pomocí konzoly MMC Aplet Služby v systému Windows NT 4.0 byl nahrazen v systému Windows Server 2003 modulem snap-in v konzole MMC (services.msccan), který se nachází ve složce %kořenová_složka_systému%\system32. Pomocí tohoto modulu snap-in lze zobrazit a nakonfigurovat systémové služby a provádět následující úkoly: •

Spuštění, zastavení, pozastavení, opětovné spuštění nebo zakázání služby ve vzdálených a místních počítačích.

•

Nastavení činností při selhání služby. Chování služby lze nakonfigurovat rozdílně pro případ prvního, druhého a všech následujících selhání.

•

Povolení a zakázání služeb pro určitý hardwarový profil.

•

Export informací o službě do souboru TXT nebo CSV pro účely správy systému – použijte příkaz Exportovat seznam z nabídky Akce.

•

Zobrazení stavu, popisu a závislostí služby.

•

Zobrazení a změna kontextu zabezpečení služby.


92


Obrázek 35. Rozšíření zobrazení modulu snap-in Služby Aplet v Ovládacích panelech systému Windows NT 4.0 byl v systému Windows Server 2003 odebrán. Místo něj lze použít zástupce v Nástrojích pro správu, který slouží k otevření tohoto modulu snap-in. Modul snap-in Služby v systému Windows Server 2003 nabízí dva pohledy na systémové služby: •

Rozšířené zobrazení obsahuje popis služeb a také tlačítka pro zastavení, pozastavení a restartování služby.

•

Standardní zobrazení je podobné tomu v systému Windows 2000 a nezobrazuje úplný popis ani nenabízí tlačítka pro změnu stavu služeb.

Chcete-li změnit stav služby ve Standardním zobrazení, zobrazíte příslušné možnosti klepnutím pravým tlačítkem myši na název služby.


93


Obrázek 36. Standardní zobrazení modulu snap-in Služby

Bezpečnostní kontexty služeb Systémy Windows NT Server 4.0 a Windows 2000 podporují jediný předdefinovaný účet používaný pro různé služby. Všechny služby v systému Windows NT Server 4.0 a Windows 2000 používají buď účet LocalSystem nebo uživatelsky definovaný účet, kterému se obvykle říká účet služby. Většina uživatelsky definovaných účtů služeb vytvořených pro různé aplikace v systému Windows NT Server 4.0 se vytvářejí s oprávněními na vysoké úrovni, například správce domény. Běžným problémem u účtů služeb je to, jak nastavit heslo, které by bylo pro tyto účty co možná nejbezpečnější. Většina správců systému Windows NT 4.0 nastavuje pro účty služeb příznak Heslo je stále platné, aby bylo zajištěno, že tyto účty nepřestanou automaticky fungovat, jakmile někdy v budoucnosti vyprší platnost tohoto hesla. Tento běžný postup představuje zranitelné místo v řadě domén systému Windows NT 4.0. Většina účtů služeb v systému Windows NT 4.0 měla zvýšená oprávnění s hesly, která se velmi málo měnila. V některých aplikacích (například Exchange Server 5.5) však neexistuje jiná možnost, než použít samostatný uživatelsky definovaný účet služby. Vzhledem ke složitosti ověřování v doménách systému Windows NT 4.0 pomocí služeb Exchange 5.5 byl vyžadován uživatelsky definovaný účet služby. V rámci systému Windows 2000 a služby Active Directory bylo možné v některých aplikacích použít místo uživatelsky definovaného účtu služby účet LocalSystem. Produkt Exchange 2000 byl vytvořen tak, aby bylo možné využívat této základní změny v používání účtu LocalSystem. Systém Windows Server posouvá kontext zabezpečení pomocí účtu LocalSystem ještě o krok dále. Tyto dva nové předdefinované účty nabízejí nižší oprávnění pro spouštění služeb. Nyní lze místo jediného předdefinovaného účtu využívat tři účty, které nabízejí různé kontexty zabezpečení. Kontext zabezpečení


94


omezuje přístup služby k prostředkům přístupným pro zadaný účet. Jedná se o tyto tři předdefinované účty služeb: •

LocalSystem: Jde o předem definovaný místní účet zajišťující v místním počítači velmi rozsáhlá oprávnění. Funguje jako počítač v síti. Název účtu je LocalSystem. U tohoto účtu se nepoužívá standardní heslo.

•

LocalService: Jde o předem definovaný místní účet, u kterého jsou nastavena minimální oprávnění v místním počítači a který v síti zajišťuje anonymní pověření. Název účtu je NT AUTHORITY\LocalService. U tohoto účtu se nepoužívá standardní heslo.

•

NetworkService: Jde o předem definovaný místní účet zajišťující v místním počítači minimální oprávnění. Funguje jako počítač v síti. Název účtu je NT AUTHORITY\NetworkService. U tohoto účtu se nepoužívá standardní heslo.

Obrázek 37. Karta Přihlášení v dialogovém okně Vlastnosti – Klient DNS Tyto tři předdefinované účty jsou určeny pro systémové činnosti a nelze je používat pro interaktivní přístup, na rozdíl od uživatelsky definovaných účtů služeb, jež může používat kterýkoli uživatel, který zná heslo. Tyto předdefinované účty nemají spravovatelné heslo. V systémech Windows 2000 a Windows Server 2003 se heslo pro předdefinované účty mění automaticky. Heslo nikdy nepředstavuje slovníkový termín, což znesnadňuje jeho rozluštění. Výsledné heslo je pak obvykle bezpečnější než jakákoli hodnota zadaná správci, protože operační systém heslo náhodně generuje a často je automaticky mění.


95


Chcete-li tyto účty vyhledat pomocí služby Active Directory, otevřete modul snap-in Uživatelé a počítače služby Active Directory. V nabídce Zobrazit tohoto modulu snap-in zvolte příkaz Rozšiřující funkce. Rozbalením složky ForeignSecurityPrincipals zobrazte seznam objektů (jak je vidět na obrázku 38). Zvětšením šířky sloupce Čitelný název zobrazíte názvy objektů místo názvů počítačů.

Obrázek 38. Složka ForeignSecurityPrincipals v modulu snap-in Uživatelé a počítače služby Active Directory Další informace o zabezpečení získáte na webu Microsoft TechNet v části Windows Server 2003 Security Guide (Průvodce zabezpečením systému Windows Server 2003).

Služby spuštěné pomocí účtu LocalService •

Výstrahy

•

Služba brány aplikačního rozhraní

•

Vzdálený registr

•

Smart Card

•

Podpora karet Smart Card

•

Služba rozpoznávání pomocí protokolu SSDP

•

Podpora rozhraní NetBios nad protokolem TCP/IP

•

Telnet

•

Nepřerušitelný zdroj napájení (UPS)


96


•

Plug and Play

•

Webový klient

•

Načítání obrázků (WIA)

•

Služba WinHTTP WPAD

Služby spuštěné pomocí účtu NetworkService •

Klient DHCP

•

Koordinátor DTC

•

Klient DNS

•

Protokolování licencí

•

Výstrahy a protokolování výkonu

•

Vzdálené volná procedur (RPC)

Služby zakázané ve výchozím nastavení •

IIS (není nainstalována ve výchozím nastavení)

•

Výstrahy

•

Síťová schránka

•

Server sledování distribuovaného propojení

•

Přístup k zařízením standardu HID

•

Služba modelu COM pro zápis na disk CD (IMAPI)

•

Součást ICF(Brána firewall pro připojení k Internetu)\součást ICS (Sdílení připojení k Internetu)

•

Mezisíťové zasílání zpráv

•

Protokolování licencí

•

Kurýrní služba

•

NetMeeting – Vzdálené sdílení plochy

•

Služba DDE v síti

•

Správce DSDM služby DDE v síti


97


•

Směrování a vzdálený přístup

•

Telnet

•

Terminal Service Session Discovery

•

Motivy

•

Webový klient

•

WIA

•

Řadič domény Kerberos KDC3

Spouštění služeb pomocí souboru Svchost Další změnou při porovnání systému Windows NT Server 4.0 a systému Windows Server 2003 je spouštění konkrétních služeb pomocí spustitelného souboru Svchost. Svchost.exe je generický název hostitelského procesu pro služby, které se spouštějí z knihoven DLL (dynamic-link library). Soubor Svchost.exe naleznete ve složce %kořenová_složka_systému%\System32. Při spuštění soubor Svchost.exe zkontroluje v registru oddíl služeb a vytvoří seznam služeb, které je třeba načíst. Najednou lze spustit i více instancí souboru Svchost.exe. Každá relace Svchost.exe může obsahovat seskupení služeb tak, aby bylo možné spouštět služby samostatně podle toho, jak a kde je soubor Svchost.exe spuštěn. Tato flexibilita zajišťuje lepší možnosti kontroly a ladění. Skupiny Svchost.exe jsou identifikovány v následujícím klíči registru: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost

Každá hodnota v tomto klíči představuje samostatnou skupinu Svchost a při prohlížení aktivních procesů se zobrazí jako samostatná instance. Každá hodnota je hodnota REG_MULTI_SZ a obsahuje služby spuštěné ve skupině Svchost, jak je vidět na obrázku 39. Každá skupina Svchost může obsahovat jeden či více názvů služeb extrahovaných z následujícího klíče registru, přičemž klíč Parameters (Parametry) obsahuje hodnotu ServiceDLL: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service

3

Služba Řadič domény Kerberos KDC je ve výchozím nastavení zakázána a při vytvoření řadiče domény je potom automaticky povolena. Příručka k upgradu systému Windows NT Server 4.0

98


Obrázek 39. Klíč Svchost v registru Je vhodné vědět, jaké procesy jsou v počítači spuštěny. Otevřením karty Procesy v programu Správce úloh lze zobrazit seznam aktuálně spuštěných procesů. Ve správně fungujícím serverovém systému Windows Server 2003 bude spuštěno více procesů Svchost.exe, jak je vidět na obrázku 40. Z použití těchto míst v registru lze pochopit účel jednotlivých instancí programu Svchost.exe.

Obrázek 40. Seznam procesů Svchost.exe v programu Správce úloh


99


Chcete-li zobrazit seznam služeb, které jsou v systému Windows Server 2003 spuštěny v rámci programu Svchost.exe, zadejte do příkazového řádku příkaz Tasklist /svc. Pomocí přepínače /svc lze zobrazit služby, pro něž jsou jednotlivé procesy hostiteli. Zadáním příkazu Tasklist /? zobrazíte seznam dostupných přepínačů (jak je vidět na obrázku 41).

Obrázek 41. Seznam všech služeb spuštěných v rámci procesu Svchost.exe


100


Změny zabezpečení v systému Windows Server 2003 Windows Server 2003 je první operační systém, který je uveden na trh v rámci vyhlášené iniciativy Trustworthy Computing (Bezpečná a spolehlivá práce s počítačem). V důsledku této iniciativy byly provedeny důležité změny, díky kterým bude možné dosáhnout toho, aby byl systém Windows Server 2003 jedním z nejlépe zabezpečených operačních systémů, které společnost Microsoft uvedla na trh. Aby bylo možné tento závazek společnosti zrealizovat, byla do produktu implementována řada nových funkcí a změn. Vzhledem k tomu, že systém Windows Server 2003 obsahuje velmi mnoho nových funkcí a nelze je zde všechny vyjmenovat, zaměřují se následující části na změny zvláště zajímavé pro organizace, které migrují na nový systém ze systému Windows NT 4.0 Server. Tato část obsahuje přehled klíčových rozdílů ve funkcích souvisejících se zabezpečením při porovnání systémů Windows NT 4.0 a Windows Server 2003. Podrobněji jsou popsány změny funkcí souvisejících se zabezpečením zejména pro službu IIS 6.0, Službu komponent (COM+), rozhraní.NET Framework, ověřování, řízení přístupu a zabezpečení sítě.

Cíle iniciativy Trustworthy Computing Iniciativu Trustworthy Computing si můžeme krátce představit tak, že se podíváme na její cíle a následně na funkce a změny v systému Windows Server 2003, které umožňují těchto cílů dosáhnout. Iniciativa Trustworthy Computing se zaměřuje na vztah důvěryhodnosti z pohledu uživatele. Cíle lze definovat pomocí následujících klíčových otázek: Je technologie k dispozici tehdy, kdy je potřeba? Jsou při jejím použití v bezpečí důvěrné informace? Odpovídají výsledky jejího použití předpokladům? Jsou kroky osob vlastnících a provozujících společnost, která tuto technologii zajišťuje, vždy správné? Tyto cíle musí splňovat počítačové prostředí, které má být považováno za spolehlivé a bezpečné. Jejich souhrn je uveden v následující tabulce. Cíle iniciativy Trustworthy Computing Cíl

Popis

Zabezpečení

Zákazník může očekávat, že systémy budou odolné proti útokům a že je chráněn systém i důvěrné informace, jejich integrita i dostupnost.

Ochrana osobních

Zákazník je schopen kontrolovat data o sobě; uživatelé, kteří tato data používají, dodržují

údajů

principy sdílení informací.

Spolehlivost

Zákazníci se mohou spolehnout, že v případě potřeby bude možné spolehlivě využívat funkce produktu.

Podnikání

Dodavatel produktu se chová kladně a zodpovědně.

Společnost Microsoft vytvořila systém pro sledování a měření postupu při plnění cílů zabezpečení a úkolů stanovených v rámci iniciativy Trustworthy Computing. Další informace získáte na webu Microsoft


101


TechNet v dokumentu White Paper s názvem Building a Platform for Trustworthy Computing (Vytvoření platformy s bezpečným a spolehlivým počítačovým prostředím).

Změny zabezpečení služby IIS 6.0 Pravděpodobně největší změnou v systému Windows Server 2003 je to, že se služba IIS 6.0 neinstaluje ve výchozím nastavení. Po instalaci služby IIS 6.0 je povolena podpora rozhraní ASP.NET, avšak standardní rozšíření ASP a ISAPI jsou ve výchozím nastavení zakázána. Při upgradu počítače se systémem Windows NT Server 4.0 se toto bezpečnostní nastavení nezobrazí, protože služba IIS se v počítačích se systémem Windows NT 4.0 instaluje ručně. Můžete pokračovat ve spouštění existujících webových aplikací ASP a dalších povolených rozšíření ISAPI. Pro porovnání – při upgradu počítače se systémem Windows 2000 se služba IIS ve výchozím nastavení instaluje, je však zakázána; rozšíření ASP a ISAPI jsou pak také zakázána. Doporučuje se neupgradovat přímo na vyšší verzi, ale raději provést čistou instalaci operačního systému. Pokud totiž v případě čisté instalace nainstalujete službu IIS, budou rozšíření pro webové služby nakonfigurována tak, jak je vidět na obrázku 42.

Obrázek 42. Složka výchozí konfigurace rozšíření pro webové služby v rámci služby IIS 6.0 Pokud plánujete spouštění předchozích verzí aplikací ASP, je třeba povolit rozšíření ASP ve stejném okně Aplikační server.


102


Režim izolace služby IIS 5.0 Další důležitou změnou zabezpečení, kterou přináší služba IIS, je použití následujících dvou režimů izolace: Režim izolace služby IIS 5.0 a režim izolace pracovního procesu. Režim izolace služby IIS 5.0 umožňuje v počítači zajistit co nejvyšší stupeň kompatibility se staršími webovými aplikacemi. Je vytvořen tak, aby bylo možné úspěšně spouštět aplikace, které jsou závislé na starším paměťovém a procesovém modelu služby IIS 5.0. Nastavení izolace je třeba používat pouze po dobu nezbytnou k vyřešení problémů s kompatibilitou aplikace. Doporučuje se daleko více než novější režim izolace pracovního procesu, který je popsán v následujícím textu. Režim izolace služby IIS 5.0 neumožňuje využívat funkce recyklace aplikací či fondu aplikací. Jak je vidět na obrázku 43, pokud je server nakonfigurován v režimu izolace služby IIS 5.0, nezobrazí se složka Fondy aplikací.

Obrázek 43. Režim izolace služby IIS 5.0

Režim izolace pracovního procesu Režim izolace pracovního procesu je zcela nový model procesů služby IIS 6.0, který představuje upřednostňované nastavení pro všechny počítače. Tento režim umožňuje spouštět všechny virtuální adresáře ve vlastních izolovaných procesech (pokud je to žádoucí). V tomto režimu jsou procesy spouštěny ve výchozím nastavení pod účtem NetworkService místo pod účtem LocalSystem. Účtu NetworkService je uděleno daleko méně práv. V režimu izolace pracovního procesu lze změnit svou identitu na jeden ze tří předem definovaných účtů – LocalSystem, LocalService, NetworkService – nebo na libovolné jméno uživatele. Pokud vytvoříte vlastní účet, je třeba účet přidat do nové skupiny IIS_WPG – skupina používaná seznamy řízení přístupu (ACL) pro prostředky IIS. Příručka k upgradu systému Windows NT Server 4.0

103


Konfigurace režimu izolace služby IIS Na obrázcích 44 a 45 jsou vidět rozdíly mezi oběma režimy izolace.

Obrázek 44. Režim izolace služby IIS 5.0


104


Obrázek 45. Režim izolace pracovního procesu Počítač nelze nakonfigurovat tak, aby se najednou používaly oba režimy izolace. V případě přímého upgradu počítače ze systému Windows NT Server 4.0 na systém Windows Server 2003 je použit režim izolace služby IIS 5.0. Je možné přepnout do režimu izolace pracovního procesu a ověřit, že jsou aplikace kompatibilní s tímto nastavením. Chcete-li to provést, klepněte pravým tlačítkem na možnost Webové servery, vyberte příkaz Vlastnosti, klepněte na kartu Služby a klepnutím zrušte zaškrtnutí políčka Spustit webovou službu v izolovaném režimu služby IIS 5.0. Další informace o těchto režimech získáte v části Služba IIS 6.0 dále v této příručce.

Nové změny zásad souvisejících se zabezpečením Seznam řízení přístupu (ACL – Access Control List) pro kořenový adresář Je nastaven striktnější seznam řízení přístupu (ACL) k zastavení přístupu ke kořenovému adresáři (C:\). Tato změna znemožňuje uživatelům, kteří nemají oprávnění správce, modifikovat soubory vytvořené v kořenových adresářích ostatními uživateli. Díky striktnějším seznamům řízení přístupu (ACL) pro kořenový adresář se také zabraňuje uživatelům v zápisu souborů do kořenového adresáře, což je známý způsob útoku na operační systém, protože kořenový adresář se nachází v systémové cestě. Uživatelé jsou dále schopni vytvářet dílčí adresáře v kořenovém adresáři a také vytvářet dílčí adresáře a soubory


105


v adresářích jiných uživatelů. Tento ústupek je proveden z důvodu kompatibility aplikací. Změnilo se také výchozí sdílení seznamu řízení přístupu (ACL), a to z Everyone – úplné řízení na Everyone – číst.

Změna pořadí vyhledávání knihoven DLL Bylo změněno pořadí vyhledávání knihoven DLL. Aktuální adresář byl přesunut až za systémový adresář. Tato změna ovlivňuje pouze aplikace, které pomocí možnosti SetCurrentDirectory načítaly privátní verze knihoven nalezených v systémových adresářích, například %adresář_systému_Windows%\system32. Toto nastavení nebylo bezpečné pro více podprocesů ani nebylo úplně nezbytné, protože adresář, ze kterého je spustitelný soubor spuštěn, má přednost v každém případě. Nastavení také mohlo zpřístupnit sítě mezi několika uživateli či firemní sítě útokům založeným na falešných systémových knihovnách DLL. Tato změna byla zpětně implementována do dřívějších systémů prostřednictvím aktualizací Service Pack, přičemž nebyly hlášeny žádné vážnější problémy s kompatibilitou.

Zvýšená omezení pro anonymní uživatele Anonymní uživatelé již nejsou ve výchozím nastavením členy skupiny Everyone. Na serverech je zakázán překlad anonymního SID\jména. Toto nastavení však není zakázáno na výchozích řadičích domény. Pokud vaše aplikace využívala účty Guest, je třeba provést podrobnější testování. Anonymní uživatelé a uživatelé Guest byli odebráni jako výchozí členové skupiny Everyone. Pokud vaše aplikace vyžaduje přístup pomocí účtu Guest, je třeba jej explicitně udělit.

Omezení používání prázdných hesel Místní účty s prázdnými hesly již nelze používat pro vzdálené připojení k počítači.

Požadované podepisování paketů SMB (Server Message Block) na řadičích domén Tato změna zajišťuje kontrolu integrity pro komunikaci SMB klientských řadičů domén a vztahuje se zejména na aplikace pojmenovaných kanálů. Ve výchozím nastavení řadiče domén systému Windows Server 2003 vyžadují, aby klienti digitálně podepisovali veškerou komunikaci SMB. Protokol SMB se používá pro sdílení souborů, sdílení tisku, různé funkce vzdálené správy a ověřování přihlašování pro některé klienty na nižší úrovni. V následujících operačních systémech však nelze podepisovat komunikaci SMB a systémy proto ve výchozím nastavení neumožňují připojení k řadičům domén systému Windows Server 2003: •

Windows for Workgroups

•

Počítače se systémem Windows 95 bez sady DS Client Pack

•

Počítače se systémem Windows NT 4.0 bez aktualizace SP3


106


•

Zařízení (včetně zařízení Pocket PC 2002 a předchozích verzí) využívající systém Windows CE .NET verze 4.1 či dřívější

Pokud takové klienty nelze upgradovat na aktuální operační systém či upgradovat tak, aby byly splněny minimální požadavky popsané dříve v tomto článku, lze požadavek na podepisování komunikace SMB odebrat zakázáním následující zásady zabezpečení ve výchozím objektu GPO výchozího řadiče domény organizační jednotky řadiče: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Server sítě Microsoft: Vždy digitálně podepsat komunikaci

Upozornění Zakázáním tohoto nastavení vystavujete komunikaci v rámci řadiče domény útokům typu „man in the middle“. Doporučuje se proto raději místo zakazování tohoto nastavení zabezpečení upgradovat klienty. Sadu DS Client Pack, která je nezbytná pro klienty se systémem Windows 95 k podepisování komunikace SMB, získáte v podadresáři \clients\win9x na disku CD-ROM se systémem Windows 2000 Server.

Komunikace, při které je vyžadován zabezpečený kanál Ve výchozím nastavení vyžadují řadiče domén systému Windows Server 2003, aby byla veškerá komunikace přes zabezpečený kanál podepsána nebo šifrována. Zabezpečené kanály se používají v počítačích se systémem Windows NT pro komunikaci mezi členy domény a řadiči domény a také v rámci řadičů domény, mezi kterými je vztah důvěryhodnosti. Počítače se systémem Windows NT 4.0 před aktualizací SP4 nejsou schopny podepisovat ani šifrovat komunikaci přes zabezpečený kanál. Pokud je třeba počítače Windows NT 4.0 před aktualizací SP4 připojit k této doméně, nebo je třeba vytvořit vztah důvěryhodnosti mezi touto doménou a ostatními doménami, které obsahují řadiče domény před aktualizací SP4, lze požadavek na podepisování komunikace přes zabezpečený kanál odebrat zakázáním následující zásady zabezpečení ve výchozím objektu GPO řadiče domény: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Člen domény: Vždy digitálně zašifrovat nebo podepsat data zabezpečeného kanálu

Upozornění Zakázáním tohoto nastavení vystavujete komunikaci přes zabezpečený kanál útokům typu „man in the middle“. Doporučuje se proto raději místo zakazování tohoto nastavení zabezpečení počítače se systémem Windows NT 4.0 upgradovat.

Změněné podepisování LDAP Tato změna ovlivní inicializační sekvenci vazby wldap32.dll LDAP, aby se podepisování vyžadovalo i v případě, že jej klient nevyžaduje. Tento krok není proveden, pokud se používá protokol TLS nebo SSL. Podepisování LDAP funguje podobně jako podepisování komunikace SMB. Protokol LDAP nyní vždy vyžaduje podepisování.


107


Zastavena možnost úniku dat prostřednictvím klíče AllowedPaths Tato změna eliminuje zbytečné vystavování informací týkajících se systémové konfigurace. V řadě oblastí registru se vyžaduje oprávnění správce pro čtení. Zabezpečení určitých větví však bylo sníženo prostřednictvím klíče registru AllowedPaths, který zajišťoval oprávnění pro čtení dat i jiným uživatelům než správcům v této části registru. Bylo však možné číst příliš mnoho informací. V systému Windows Server 2003 byly cesty omezeny na zadané dílčí stromové struktury a dílčí klíče. V důsledku toho nemohou již aplikace získat přístup k dílčí stromové struktuře v souvislosti s hledanými daty.

Aplikace konzoly Vzdálené spouštění aplikací konzoly je nyní omezeno pouze na správce.

Zabezpečení modelu COM+ a služby Active Directory Zabezpečení v modelu COM+ bylo zvýšeno tak, aby bylo těsněji integrováno se službou Active Directory, a to pomocí dvou nových technologií: oddíly a sady oddílů COM+. Oddíly COM+ uložené v adresáři služby Active Directory se používají k mapování místních oddílů COM+, ve kterých se ukládá vlastní aplikace COM+, na specifické uživatele či organizační jednotky v organizaci. Aplikace COM+ jsou skupiny komponent COM vyvinutých tak, aby fungovaly společně s využíváním služeb COM+ (například fronty, zabezpečení podle rolí atd.). Existují dva typy oddílů modelu COM+: Oddíly COM+ uložené v adresáři služby Active Directory a místní oddíly COM+ uložené na aplikačních serverech. Pomocí oddílů COM+ uložených v adresáři služby Active Directory lze přiřazovat uživatele domén a celé organizační jednotky aplikacím uloženým v místních oddílech COM+. Místní oddíly COM+ jsou kontejnery aplikací používané pro správu více instancí aplikací modelu COM+ na jediném aplikačním serveru. Do místního oddílu COM+ lze uložit pouze jednu instanci aplikace. Pokud například potřebujete, aby byla pro uživatele domény k dispozici více než jedna verze stejné aplikace, je třeba na aplikačním serveru vytvořit dva různé místní oddíly COM+ a přiřadit je (nebo propojit) se dvěma různými oddíly COM+ v adresáři služby Active Directory. Chcete-li povolit oddíly COM+, otevřete modul snap-in Služba komponent, rozbalte seznam a vyberte počítač, pro který chcete oddíly povolit. Klepněte na příkaz Vlastnosti, na kartu Možnosti a zaškrtněte políčko Povolit oddíly. Při povolení oddílů modelu COM+ se zobrazí následující dialogové okno:


108


Obrázek 46. Povolení oddílů modelu COM+ Další informace získáte v Centru pro nápovědu a odbornou pomoc Windows Server 2003 v tématu nápovědy Správa oddílů modelu COM+ ve službě Active Directory.

Vylepšení zabezpečení v rámci rozhraní .NET Framework Rozhraní .NET Framework přidává k zabezpečení operačního systému, na které jste zvyklí, nový model zabezpečení. Před používáním rozhraní .NET Framework se vývojáři aplikací a správci zaměřovali na modely zabezpečení založené na procesech místo na komponentách. Modely zabezpečení založené na procesech spouštějí veškerý kód se stejnou sadou práv jako hostující proces nebo podproces, v rámci kterého je kód ve skutečnosti spuštěn. Modely zabezpečení založené na komponentách určují zabezpečení na základě informací o komponentách. Tento nový model zabezpečení na základě komponent se nazývá CAS (code access security). Existuje řada typů informací o jednotlivých komponentách, například její autor, podpis (pokud je komponenta podepsána) a zdroj (například místní jednotka, sdílená síťová položka nebo adresa URL). V případě rozhraní .NET Framework závisí oprávnění, pomocí kterých jsou konkrétní komponenty


109


spouštěny, na informacích o komponentě a oprávněních přiřazených skupině kódu, která tyto informace obsahuje. Na následujícím obrázku jsou oba modely zabezpečení porovnány.

Obrázek 47. Porovnání procesu uživatele Boba v rámci dřívějšího modelu zabezpečení založeného na procesech a v rámci nového modelu zabezpečení založeného na komponentách (v rozhraní .NET Framework) Nový model zabezpečení v rozhraní .NET Framework zajišťuje řadu funkcí, které nejsou k dispozici v modelu založeném na procesech. Jednou z největších výhod je možnost kontrolovat pomocí společného jazykového modulu runtime zásobník volání při spuštění a ověřovat, že každé sestavení v zásobníku volání má práva k provádění požadovaného úkolu. Vzhledem k tomu, že je nyní zásobník volání kontrolován při spuštění (v režimu runtime), nemůže kód, který není považován za důvěryhodný, způsobit provedení akce důvěryhodným kódem. Toto vylepšení zabezpečení lze využít v aplikacích, které jsou vytvořeny pomocí různých knihoven komponent od různých dodavatelů. Chcete-li získat další informace o zabezpečení, vyhledejte v sadě .NET Framework Software Development Kit heslo „security” (zabezpečení).

Vylepšení ověřování v oblasti zabezpečení Pro ověřování místních i vzdálených uživatelů poskytuje systém Windows Server 2003 následující dvě významné funkce: •

Správce pověření

•

Vynucené delegování


110


Správce pověření Správce pověření ukládá uživatelská jména a hesla a také odkazy na certifikáty a klíče. Výsledkem je konzistentní jednotné přihlašování uživatelů – včetně uživatelů s cestovními profily. Jednotné přihlašování umožňuje uživatelům získat přístup k prostředkům v síti, aniž by museli opakovaně zadávat svá pověření. Správce pověření například zajišťuje rychlý přístup k uloženým uživatelským jménům a heslům. Chcete-li je zobrazit, otevřete Ovládací panely a vyberte možnost Uložená uživatelská jména a hesla. Zobrazí se následující intuitivní rozhraní:

Obrázek 48. Dialogové okno Uložená uživatelská jména a hesla

Vynucené delegování Delegování je činnost, při které je službě povoleno zosobnit uživatelský účet nebo účet počítače, aby mohla získat přístup k požadovaným prostředkům v síti. Vynucené delegování je nová funkce v systému Windows Server 2003, která umožňuje omezit delegování na konkrétní služby a určovat, které prostředky v síti může služba či počítač používat. Například služba, která byla dříve považována za důvěryhodnou pro delegování při přístupu k jinému počítači jménem konkrétního uživatele, může být nyní omezena tak, aby mohla používat svá oprávnění pro delegování pouze na konkrétní počítač a na žádné další počítače ani služby. Příklad použití funkce Vynucené delegování: Otevřete zobrazení Uživatelé a počítače služby Active Directory a vyberte možnost Computers (Počítače). Klepněte pravým tlačítkem myši na počítač, kterému chcete důvěřovat pro delegování, a klepněte na příkaz Vlastnosti. Klepnutím na kartu Delegování zobrazte následující dialogové okno.


111


Obrázek 49. Delegování pro specifické služby Zadejte požadované nastavení k povolení delegování pro specifickou službu. Tím je postup dokončen. Jestliže není karta Delegování zobrazena, přesvědčte se, zda je úroveň funkčnosti domény počítačů nastavena na hodnotu Windows Server 2003. To lze provést tak, že otevřete zobrazení Uživatelé a počítače služby Active Directory, pravým tlačítkem klepnete na doménu a vyberete možnost Zvýšit úroveň funkčnosti domény. Toto dialogové okno je zobrazeno na obrázku 50. Důležité informace Jakmile změníte funkčnost serveru na úroveň Windows Server 2003, nelze ji již změnit zpět. Povolením této funkce také povolíte funkčnost všech domén a doménových struktur v systému Windows Server 2003.


112


Obrázek 50. Zvýšení úrovně funkčnosti domén

Zvýšení zabezpečení pro řízení přístupu Pomocí ověřování lze řídit přístup k prostředkům podle osob (uživatelů), počítačů a služeb. Jedním velmi zajímavým příkladem z této oblasti jsou zásady omezení softwaru. Dalším příkladem je zabezpečení v síti, které je dále popsáno v následujícím textu.

Zásady omezení softwaru Zásady omezení softwaru umožňují řídit spouštění aplikací v systému. Pomocí této funkce lze zabránit spouštění aplikací z počítačů v organizaci. Chcete-li s těmito zásadami omezení softwaru pracovat, je třeba nejdříve nainstalovat Sadu nástrojů pro správu systému Windows Server 2003, kterou naleznete ve složce I386 na disku CD-ROM se systémem Windows Server 2003. Instalaci zahájíte spuštěním souboru Adminpak.msi. Poznámka Před instalací Sady nástrojů pro správu systému Windows Server 2003 ukončete všechny spuštěné aplikace konzoly MMC. Po instalaci této Sady nástrojů pro správu spusťte soubor Mmc.exe. Je třeba vybrat příkaz Přidat nebo odebrat modul snap-in a následně vybrat možnost Editor objektů zásad skupiny. Po provedení tohoto kroku bude možno zobrazit stromovou strukturu pro přidání zásad, jak je vidět na obrázku 51.


113


Obrázek 51. Přidání zásad omezení softwaru z Editoru objektů zásady skupiny

Zabezpečení sítě Se vzrůstající oblibou bezdrátových zařízení také velmi roste potřeba zabezpečení sítí 802.1X. Stále více uživatelů používá mobilní zařízení na pracovišti a řada z nich se potřebuje k organizaci připojovat vzdáleně. Systém Windows Server 2003 nyní nabízí možnost zkontrolovat konfiguraci vzdáleného počítače a teprve potom udělit přístup k soukromé síti. Pomocí této možnosti lze zajistit, aby byly ve vzdáleném počítači nainstalovány aktuální aktualizace Service Pack a další příslušné aktualizace, a teprve potom udělit přístup k síti.

802.1X Zabezpečení bezdrátových sítí je v řadě organizací dnes již povinné. V situaci, kdy se mobilní uživatelé pohybují po výrobních halách a připojují se k prostředkům organizace z různým míst na pracovišti, je zabezpečení komunikace nutností. Systém Windows Server 2003 zajišťuje jednoduchý mechanismus pro správu zásad v rámci bezdrátových připojení.


114


Karanténa Ovládací prvek režimu karantény (IAS Network Access Quarantine Control) zajišťuje fázovaný přístup k síti pro vzdálené klientské počítače tím, že je omezí na režim karantény. Poté, co je konfigurace klientského počítače v souladu se zásadami sítě v organizaci, jsou karanténní omezení, která se skládají z filtrů protokolu TCP/IP a časovač relace karantény, odebrána a pro připojení je použita standardní zásada vzdáleného přístupu.


115


Protokol TCP/IP a podpora dřívějších síťových protokolů V dnešní době je protokol TCP/IP dominantní sadou síťových protokolů v sítích organizací a v Internetu. Po prvním uvedení systému Windows NT 4.0 na trh tomu tak však nebylo. V této části jsou popsány síťové protokoly, které již nejsou v systému Windows Server 2003 podporovány, abyste mohli určit oblasti, ve kterých by mohlo z důvodu nepodporovaných funkcí docházet k potížím. Před globálním rozšířením Internetu se v síťových prostředích používaly různé síťové protokoly a volba protokolu často záležela na velikosti sítě nebo na znalostech a zkušenostech odborných pracovníků oddělení IT. S dnešním globálním využíváním Internetu je pro odborníky v oblasti sítí i při propojování velmi malých sítí se zbytkem světa, nezbytné znát princip použití protokolu TCP/IP. TCP/IP je preferovaný síťový protokol. V důsledku toho ostatní síťové protokoly zastaraly. Vzhledem k tomu, že řada aplikací protokol TCP/IP podporuje, neměly by protokoly popsané v této části představovat příliš velký problém při upgradu většiny aplikací a systémů. Tyto informace byly shromážděny z různých zdrojů, včetně článků z databáze Microsoft Knowledge Base.

NetBEUI Společnost Microsoft podporu síťového protokolu NetBEUI (NetBIOS Extended User Interface) ze systému Windows Server 2003 odebrala. Zůstala však některá volání NetBIOS za účelem dosažení kompatibility aplikací. Tato rozhraní se již netestují a společnost Microsoft nemůže zaručit úroveň funkčnosti. Doporučuje se nastavit specifická volání NetBEUI aplikací na odpovídající volání NetBIOS a spustit je přes jiný síťový protokol, například TCP/IP nebo IPX.

Protokol DLC (Data Link Control) Protokol DLC (Data Link Control) již není v systému Windows Server 2003 podporován a nelze jej nainstalovat. Protokol DLC se primárně používá pro připojení v prostředích IBM SNA pro hlavní servery a minipočítače (například AS/400). Rozhraní DLC se ve většině případů používá pro terminálové emulátory 3270 ke komunikaci s hlavními servery IBM. Mezi funkce zajišťované tímto protokolem patří detekce chyb (pomocí kontrolních znaků), oprava chyb (pomocí časových limitů a opětovných přenosů dat), kontrola toku (pomocí zpožděných potvrzení a odezvy „přijímač není připraven“) možnost využívání více zařízení na stejném médiu (pomocí dotazování a potvrzení). Ovladače DLC, které jsou k dispozici pro systém Windows XP, lze také spustit v systému Windows Server 2003. Ovladač DLC pro systém Microsoft Windows XP je k dispozici v rámci produktu Host Integration Server 2000. Další informace získáte na adrese http://www.microsoft.com/hiserver. Verze protokolu DLC pro systém Windows XP je zdarma k dispozici ke stažení ze serveru centra pro stahování softwaru společnosti Microsoft na adrese http://www.microsoft.com/downloads


116


Důležité informace Verze protokolu DLC pro systém Windows XP je poskytována „tak, jak je“. Protokol DLC nemusí v systému Windows Server 2003 pracovat správně. Nebyl otestován a společnost Microsoft protokol DLC v systému Windows Server 2003 již nepodporuje. Místo toho můžete zjistit, zda na Internetu nenajdete pro protokol DLC binární soubory třetích stran, například webovém serveru společnosti IBM.

Služba Quality of Service and signály protokolu RSVP Funkce signálů protokolu RSVP byla ze systému Windows Server 2003 zcela odebrána. Byla odebrána také součást Řízení přístupu technologie QoS (ACS – QoS Admission Control Service). Služba ACS již v systému Windows Server 2003 neexistuje. Služba RSVP se stále spouští v hostitelích jako komunikační kanál mezi programem a součástmi řízení přenosu dat. Negenerují se však žádné zprávy protokolu RSVP. Programy GQoS mohou označovat pakety bez schvalování zásady ACS. Programy řízení síťového přenosu mohou označovat pakety v systémech Windows 2000, Windows XP a Windows Server 2003. Dřívější programy, které používají možnost soketu IP_TOS, mohou označovat pakety v systému Windows NT 4.0. Správci musí spravovat tyto typy programů ve svých sítích příslušným způsobem s ohledem na požadavky na svou síť a programy.

Podpora telefonického připojení k síti: IPX a AppleTalk Protokol IPX ani AppleTalk (ARAP) není podporován pro telefonická připojení k počítačům se systémem Windows Server 2003.

Datové proudy Podpora datových proudů, které jsou oblíbené v operačním systému UNIX a používají se pro ovladače přenosové vrstvy, byla ze systému Windows Server 2003 odebrána.


117


Část 3: Informace o kompatibilitě aplikací


118


Služba IIS 6.0 IIS 6.0 je úplný webový server dostupný ve všech verzích systému Windows Server 2003. Pomocí služby IIS 6.0 mohou organizace všech velikostí rychle a snadno implementovat výkonné webové servery a aplikace. Služba IIS 6.0 zajišťuje výkonnou platformu pro aplikace vytvořené pomocí rozhraní .NET Framework. Prostřednictvím služby IIS 6.0 mohou organizace také využívat příležitostí ke konsolidaci serverů a také vyšší dostupnosti systému redukováním výpadku služeb. V porovnání s předchozími verzemi zlepšuje služba IIS 6.0 dostupnost webových serverů a aplikací, což pomáhá organizacím snižovat náklady na správu systémů a zároveň zlepšovat zabezpečení webového serveru. Upgrade na službu IIS 6.0 má také další výhody. Služba IIS 6.0 má novou architekturu procesů s odolností proti chybám a se sledováním stavu, která spouští kódy všech aplikací v izolovaném prostředí za účelem dosažení maximální spolehlivosti a dostupnosti. Správa webových serverů je zjednodušena pomocí konfiguračního souboru ve formátu XML, který lze upravovat, aniž by bylo potřeba zastavit a restartovat server. Vylepšení služby IIS 6.0, například mezipaměť režimu jádra a spřažení procesorů, významně zvyšuje škálovatelnost a výkon v porovnání s předchozími verzemi služby IIS. Služba IIS 6.0 se navíc v systému Windows Server 2003 neinstaluje ve výchozím nastavení a po instalaci je pro ní nastavena nejvyšší možná konfigurace zabezpečení, aby byl snížen počet zranitelných míst v systému. V této části jsou uvedeny funkce služby IIS 6.0, které mají největší vliv na konsolidaci serveru v následujících oblastech: •

Funkce, které zvyšují spolehlivost celkové architektury webových aplikací a dostupnost pro uživatele webových serverů a aplikací, pro které je tato architektura hostitelem.

•

Funkce zjednodušující správu webového serveru (v režimu příkazového řádku nebo pomocí rozhraní GUI).

•

Funkce škálovatelnosti, které maximalizují používání stávajících a plánovaných hardwarových technologií a možností.

•

Funkce zabezpečení, které umožňují snižovat riziko napadení útočníky a zajišťují zabezpečení při vytváření a implementaci webových aplikací.

Spolehlivost a dostupnost služby IIS 6.0 Služba IIS 6.0 byla zcela přepracována na novou architekturou procesů odolných proti chybám, která výrazně zvyšuje spolehlivost webových serverů a aplikací. V předchozích verzích produktu mohlo selhání jedné webové aplikace způsobit selhání dalších webových serverů a aplikací na stejném serveru. Služba IIS 6.0 izoluje webové servery a aplikace do jednotek nazývaných fondy aplikací, které jsou odděleny od ostatních aplikací, pro něž je hostitelem stejný server. Pro každý fond aplikací se používá nejméně jeden zvláštní pracovní proces systému Windows. Pracovní procesy fungují nezávisle. Pokud tedy dojde k jejich chybě, neovlivňují jiné pracovní procesy. Vytváření fondů aplikací chrání aplikace před vlivy pracovních procesů, které podporují jiné fondy aplikací a chrání aplikace jednu před druhou. Architektura služby IIS 6.0, která je odolná proti chybám, zvyšuje celkovou spolehlivost infrastruktury webových serverů, zvyšuje


119


dostupnost webových serverů a aplikací a zvyšuje také počet samostatných webových serverů a aplikací, které lze spustit na jediném serveru. Řada dalších funkcí zvýšení výkonu a spolehlivosti služby IIS 6.0 povoluje konsolidaci webového serveru, včetně následujících funkcí: •

Sledování stavu: Služba IIS 6.0 periodicky kontroluje stav fondu aplikací a automaticky jej restartuje, pokud dojde k chybě webových serverů či aplikací v rámci fondu. Výsledkem je zvýšení dostupnosti aplikací a celkové spolehlivosti webové infrastruktury.

•

Fondy aplikací: Fondy aplikací služby IIS 6.0 představují vhodný prostředek správy sady webových serverů a aplikací. Zvyšují spolehlivost, protože chyby v jednom fondu aplikací nemohou způsobit selhání jiného fondu aplikací či serveru samotného.

•

Automatická recyklace procesů: Služba IIS 6.0 automaticky zastavuje a restartuje chybové webové servery a aplikace na základě flexibilní sady kritérií – včetně využití procesoru a paměti – při řazení požadavků do fronty.

•

Zakázání webových serverů a aplikací při rychlém selhávání: Služba IIS 6.0 umožňuje chránit serverové a další aplikace automatickým zakazováním webových serverů a aplikací, které příliš často a ve velmi krátkém čase selhávají.

Možnosti správy služby IIS 6.0 Služba IIS 6.0 obsahuje řadu důležitých vylepšení, která zajišťují větší flexibilitu správy infrastruktury webových serverů, včetně následujících možností: •

Konfigurační soubor ve formátu XML: Konfigurační data se ukládají jako příkazy XML do textového souboru, který lze kdykoli upravit pomocí standardních nástrojů pro úpravy textu a snadno integrovat s ostatními nástroji správy systému.

•

Úpravy během spuštění serveru: Tato funkce umožňuje provádět ruční nebo programové změny konfiguračních souborů XML i v době, kdy je server spuštěn, aniž by bylo potřeba restartovat systém nebo provádět rekompilaci.

•

Správa a skriptování z příkazového řádku: Řadu běžných úkolů správy lze provádět na jednom či více serverech, které jsou vzdálené nebo místní, pomocí rozhraní příkazového řádku. Služba IIS 6.0 má také kompletní prostředí pro skriptování k automatizaci běžných úloh správy systému z příkazového řádku bez nutnosti používání rozhraní GUI.

•

Podpora rozhraní WMI (Windows Management Instrumentation): Programovací rozhraní WMI nabízí flexibilní způsoby správy webové infrastruktury.

Pomocí těchto funkcí lze zkrátit čas potřebný pro správu vysokého zatížení serveru a snížit náklady na zaměstnance.


120


Službu IIS 6.lze navíc spravovat prostřednictvím správce WSRM (Windows System Resource Manager). Ten umožňuje správcům nastavit zásady využívání aplikačních prostředků (například pro využití procesoru a paměti), spravovat prostředky počítačů podle zásad, používat zásady podle stanoveného plánu a generovat, ukládat, zobrazovat a exportovat záznamy o účtování.

Zabezpečení služby IIS 6.0 Zabezpečení je důležitým aspektem plánů konsolidace serverů. Tato verze služby IIS 6.0 je zaměřena na zabezpečení. Například na začátku roku 2002 celý vývojářský tým společnosti Microsoft pracující na systému Windows (více než 8 500 lidí) nemohl pokračovat v práci, protože společnost prováděla velmi intenzivní školení v oblasti zabezpečení. Po dokončení školení analyzovaly vývojářské týmy základní kód systému Windows, včetně služby IIS 6.0, aby mohly být zaimplementovány nové poznatky. Toto školení představuje značnou investici do oblasti zvýšení zabezpečení platformy systému Windows. Ve fázi návrhu produktu také společnost Microsoft provedla velmi rozsáhlé modelování hrozeb, aby bylo zajištěno, že vývojáři softwaru společnosti chápou, jakým typů útoků může být server vystaven při implementaci v zákaznických prostředích. Při vývoji plánu konsolidace serveru je také třeba vzít v úvahu několik klíčových funkcí zabezpečení: •

Nové výchozí nastavení zpečení serveru: Služba IIS 6.0 se ve výchozím nastavení při instalaci systému Windows Server 2003 (ani při upgradu na tento systém) neinstaluje, což snižuje počet zranitelných míst ve webové infrastruktuře. Jakmile správci zvolí instalaci služby IIS 6.0, je služba nakonfigurována tak, aby ve výchozím nastavení využívala maximální nastavení zabezpečení.

•

Výchozí účet s omezenými oprávněními: Všechny pracovní procesy služby IIS 6.0 jsou ve výchozím nastavení společně se všemi integrovanými funkcemi ASP vždy spouštěny s oprávněními uživatelských účtů NetworkService. Tento nový účet, který je v systému předdefinován, má omezená systémová oprávnění.

•

Ověřování pomocí vynuceného delegování: Správci domén mohou omezit delegování pověření pro ověření na omezenou sadu síťových prostředků.

Další informace naleznete v části Změny zabezpečení služby IIS 6.0 dříve v textu.

Hlavní rozdíly mezi verzemi služby IIS V následující tabulce jsou uvedeny důležité rozdíly mezi jednotlivými verzemi služby IIS. Dva klíčové rozdíly: •

Služba IIS 6.0 obsahuje ovladač režimu jádra (HTTP.SYS), který přijímá příchozí požadavky na webový server.

•

Služba IIS 6.0 zahrnuje dva režimy provozu: Režim izolace služby IIS 5.0 a režim izolace pracovního procesu, které jsou podrobněji popsány v následujících částech.


121


Rozdíly mezi verzemi služby IIS Oblast

IIS 4.0

IIS 5.0

IIS 5.1

IIS 6.0

Operační systém

Windows NT 4.0

Windows 2000

Windows XP

Systémy řady

Professional

Windows Server 2003

Architektura

32bitová

32bitová

32bitová a 64bitová

32bitová a 64bitová

Model procesů

TCP/IP (jádro)

TCP/IP (jádro)

TCP/IP (jádro)

HTTP.sys (jádro)

aplikací

Mtx.exe

Dllhost.exe (několik

Dllhost.exe (několik

hostitelů knihoven

hostitelů knihoven

DLL v režimu střední

DLL v režimu střední

či vysoké izolace)

či vysoké izolace)

Režim izolace služby IIS 5.0: Soubor Intetinfo.exe v procesu nebo soubor Dllhost.exe mimo proces Režim izolace pracovního procesu: W3wp.exe, několik pracovních procesů

Konfigurace

Binární

Binární

Binární

XML

Ověřování systému




Windows

Windows

Windows

Windows

Protokol SSL

Protokol SSL

Protokol SSL

Protokol SSL

Protokol Kerberos

Protokol Kerberos

Protokol Kerberos

Průvodce

Podpora služby

zabezpečením

Passport

Bez HTMLA

Nástroj pro

metabáze Zabezpečení

Vzdálená správa

HTMLA

HTMLA

Terminálová služba

vzdálenou správu (HTML) Sada SAK (Web Server Appliance Kit) Terminálová služba

Podpora clusterů

V systému Windows

Služba clusterů (IIS)

Podpora systému


Podpora systému

122


NT 4.0 Webová služba

Windows

Windows

Služba IIS v systému


Služba IIS volitelně v


NT 4.0

Windows 2000

systému Windows

Windows Server

XP Professional

2003 libovolné verze

Režimy izolace Služba IIS 6.0 může být spuštěna ve dvou různých režimech izolace aplikací: Režim izolace služby IIS 5.0 a režim izolace pracovního procesu. Izolace aplikací představuje oddělení aplikací na základě procesů, čímž lze zabránit vzájemnému ovlivňování jednotlivých aplikací. Každý z režimů služby je nakonfigurován jiným způsobem. Režim izolace pracovního procesu používá přepracovanou architekturu služby IIS 6.0. Tento režim izolace aplikací spouští kód všech aplikací v izolovaném prostředí. Avšak na rozdíl od dřívějších verzí služby IIS zajišťuje služba IIS 6.0 izolaci bez snížení výkonu, protože při přepínání mezi fondy aplikací se používá méně instrukcí procesoru. Režim izolace pracovního procesu je kompatibilní s většinou existujících webových serverů a aplikací. Kdykoli je to možné, je vhodné spustit službu IIS 6.0 v režimu izolace pracovního procesu, aby tato služba mohla využívat vyšší výkon a vyšší úroveň zabezpečení, které jsou k dispozici ve verzi IIS 6.0. Režim izolace služby IIS 5.0 zajišťuje kompatibilitu pro aplikace, které jsou závislé na chování procesů a paměťovém modelu služby IIS 5.0. V tomto režimu spusťte službu IIS pouze v případě, že nelze webový server či webové aplikace spustit v režimu izolace pracovního procesu, a po vyřešení problémů s kompatibilitou jej ukončete. Službu IIS 6.0 nelze na stejném serveru spustit najednou v obou režimech izolace aplikací. Jinými slovy: na jediném serveru, na kterém je spuštěna služba IIS 6.0, nelze zároveň spustit některé webové aplikace v režimu izolace pracovního procesu a další v režimu izolace služby IIS 5.0. Pokud aplikace vyžadují rozdílné režimy, je třeba aplikace spustit na zvláštních serverech.

Problémy s kompatibilitou Po upgradu operačního systému je služba IIS ve výchozím nastavení nakonfigurována na spuštění v režimu izolace služby IIS 5.0. Než nakonfigurujete službu IIS 6.0 tak, aby byla spuštěna v režimu izolace pracovního procesu, je třeba vyhodnotit, zda jsou webové servery a aplikace s tímto režimem kompatibilní. Ke většině problémů s kompatibilitou v rámci služby IIS 6.0 dochází právě při nakonfigurování spouštění služby IIS 6.0 v režimu izolace pracovního procesu. Jedním z nejběžnějších důvodu nekompatibility s režimem izolace pracovního procesu je to, že aplikace nedokáží rozpoznat přizpůsobená rozšíření ISAPI nebo knihovny DLL, která závisejí na modelech využití paměti a zpracování požadavků používaných v dřívějších verzích služby IIS. Před upgradem stávajícího serveru IIS je třeba v testovacím prostředí zjistit kompatibilitu aplikací. Pokud bude výsledkem zjištění, že aplikace nejsou kompatibilní s režimem izolace pracovního procesu, lze spustit aplikace v režimu izolace služby IIS 5.0. Příručka k upgradu systému Windows NT Server 4.0

123


Tabulka režimu izolace Možnosti upgradu/požadavky

Systém Windows NT 4.0: Přímý upgrade na systém Windows Server 2003

Režim izolace

Režim izolace

služby IIS 5.0

procesu

X4

Systém Windows NT 4.0: Čistá instalace systému Windows Server 2003

X

Windows 2000: Přímý upgrade na systém Windows Server 2003

X5

Aplikace se závislostí na starším paměťovém modelu:

X

Je potřeba spouštět vnitřní procesy v rámci služby IIS nebo je zde závislost na účtu System. ASP.NET 1.0: Dříve instalováno a závislé na chování rozhraní verze .NET

X

Framework verze 1.0 nikoli verze 1.1 Požadavek na model nejvyššího zabezpečení, možnosti recyklace aplikací a

X

nové funkce služby IIS 6.0

Povolení služby IIS 6.0 po upgradu Za účelem zabezpečení je po upgradu ze systému Windows 2000 Server nebo Windows 2000 Advanced Server na systém Windows Server 2003 nebo Windows Server 2003 Enterprise Edition zakázána služba Publikování na webu. V případě instalace systému Windows 2000 Server se služba IIS 5.0 ve výchozím nastavení instaluje. V řadě případů se však Webová služba vůbec nepoužívala. V důsledku toho je nyní po upgradu zakázána. Za účelem snížení počtu zranitelných míst na serveru je služba IIS 6.0 ve výchozím nastavení po přímém upgradu ze systému Windows 2000 Server na systém Windows Server 2003 zakázána, pokud neprovedete jednu následujících akcí:

4 5

•

V případě ručních upgradů nebo upgradů v bezobslužném režimu spusťte v systému Windows 2000 Server před spouštěním procesu upgradu nástroj pro uzamčení služby IIS.

•

V případě ručních upgradů nebo upgradů v bezobslužném režimu přidejte do registru položku RetainW3SVCStatus.

•

V případě upgradů v bezobslužném režimu přidejte do instalačního skriptu pro bezobslužný režim položku DisableWebServiceOnUpgrade = False.

•

Pokračujte v upgradu a po upgradu povolte Webovou službu.

Služba IIS není po upgradu zakázána. Služba IIS je ve výchozím nastavení zakázána.


124


Architektura zpracování v systému Windows Server 2003 Architektura zpracování služby IIS 6.0 se liší v závislosti na konfiguraci nastavení izolace aplikací. V případě konfigurace nastavení na režim izolace služby IIS 5.0 jsou volání přicházející do HTTP.sys směrovány do procesu uživatelského režimu: Inetinfo.exe, Dllhost.exe nebo Aspnet_wp.exe. To, který proces volání zpracovává, závisí na konkrétním typu požadavku a také na konfiguraci virtuálního adresáře. Všechny aplikace ASP.NET se spouštějí v rámci procesu Aspnet_wp.exe. Standardní webové aplikace ASP se však spouštějí následujícím způsobem: •

Aplikace s nízkou ochranou aplikací se spouštějí v rámci procesu Inetinfo.exe.

•

Aplikace se středním nastavením ochrany aplikací se spouštějí v rámci sdílené instance procesu Dllhost.exe.

•

Aplikace s vysokým nastavením ochrany aplikací se spouštějí v rámci své vlastní instance procesu Dllhost.exe.

Za účelem kontrolování procesů, ve kterých se spouštějí aplikace ASP, lze nakonfigurovat nastavení Ochrana aplikace na hodnotu Nízká, Střední nebo Vysoká pomocí dialogového okna na obrázku 52.

Obrázek 52. Ochrana aplikace s režimem izolace služby IIS 5.0


125


Pro porovnání – v režimu izolace pracovního procesu jsou všechny požadavky na webové aplikace ASP.NET a ASP zpracovávány v rámci instance procesu W3WP.exe. Můžete vytvořit více fondů aplikací a izolovat spouštění virtuálních adresářů ve specifickém fondu aplikací. Poznámka Ve výchozím nastavení platí, že se instance procesu W3WP.exe spouští pod identitou NetworkService, nikoli LocalSystem nebo IWAM_název_počítače.

Změna izolace aplikací Režim izolace pracovního procesu je upřednostňovaný a také výchozí režim pro čisté instalace systému Windows Server 2003. Avšak pro upgrady systému Windows NT Server 4.0 je třeba překonfigurovat režim izolace aplikací ručně. Změna režimu izolace na režim izolace pracovního procesu: 1. Pravým tlačítkem klepněte na možnost Webové servery a klepněte na příkaz Vlastnosti. 2. Klepněte na kartu Služba, jak je vidět na obrázku:

3. Zrušte zaškrtnutí políčka Spustit webovou službu v režimu izolace Internetové informační služby 5.0.


126


Po změně režimu izolace je server spuštěn v režimu izolace pracovního procesu. Chcete-li získat další informace o povolení služby IIS 6.0 při upgradu, stáhněte si z centra pro stahování softwaru společnosti Microsoft zdroje Windows Server 2003 Deployment Kit: Deploying IIS 6.0 (Implementace služby IIS 6.0).

Vlivy režimu izolace na modul snap-in služby IIS v konzole MMC Po změně režimu izolace aplikace na režim izolace pracovního procesu dojde u modulu snap-in pro službu IIS v konzole MMC k řadě změn, jak je vidět na následujícím obrázku. Na obrázku 53 je vidět okno průzkumníka služby IIS v režimu izolace služby IIS 5.0 a na obrázku 54 je vidět v režimu izolace pracovního procesu, což zahrnuje také to, že je přidána složka Fondy aplikací:

Obrázek 53. Mimoprocesové aplikace ve fondu v režimu izolace služby IIS 5.0


127


Obrázek 54. Složka Fondy aplikací v režimu izolace pracovního procesu

Konfigurace fondu aplikací Při spuštění režimu izolace pracovního procesu lze pro virtuální adresář nakonfigurovat spuštění ve specifickém fondu aplikací. Chcete-li změnit fond aplikací virtuálních adresářů, použijte kartu Domovský adresář dialogového okna vlastností webového serveru, jak je vidět na následujícím obrázku.


128


Obrázek 55. Při spuštění režimu izolace pracovního procesu lze v dialogovém okně vlastností webového serveru nakonfigurovat pro virtuální adresář spuštění ve specifickém fondu aplikací.

Aplikace po upgradu Většina aplikací se spouští v novém režimu izolace pracovního procesu bez dalších změn. Avšak identitu používanou procesem je třeba po upgradu konfigurovat. Pokud nakonfigurujete fond aplikací tak, aby se spouštěl jako vlastní identita, je třeba přidat identitu účtu do nové skupiny IIS_WPG vytvořené při upgradu. IIS_WPG je uživatelská skupina zajišťovaná službou IIS 6.0. Členství skupiny IIS_WPG zajišťuje minimální sadu uživatelských práv a oprávnění požadovaných pro spuštění v podobě aplikace. Zajišťuje vhodný způsob použití specifického uživatelského účtu, který by byl členem skupiny IIS_WPG pro účet identity pracovního procesu, aniž by bylo potřeba ručně přiřazovat uživatelská práva a oprávnění k tomuto účtu. V případě, kdy účet není ve skupině IIS_WPG a nemá příslušná oprávnění, nebude možné pracovní proces spustit. V následující tabulce jsou uvedeny některé běžné konfigurace před upgradem a možné konfigurace po upgradu.


129


Možnosti upgradu aplikací Aplikace

Proces/Identita před upgradem

Proces/Identita po upgradu

Aplikace A

Vnitřní proces/LocalSystem

Výchozí fond/Network Service

Aplikace B

Izolovaný proces/IWAM_název_počítače


Aplikace C

Izolovaný proces/Specifická identita


Aplikace D

Izolovaný proces/Specifická identita

Výchozí fond/Specifická identita

Aplikace E


Výchozí fond/Local System

Aplikace F


Nový fond/Network Service

Aplikace G


Nový fond/Specifická identita

Nastavení rozšíření ISAPI Při provedení upgradu jsou rozšíření ISAPI povolena. Pokud je však provedena čistá instalace, jsou rozšíření ISAPI zakázána. Jak je vidět na následujícím obrázku, je po provedení přímého upgradu ze systému Windows NT Server 4.0 vše povoleno.

Obrázek 56. Povolená rozšíření ISAPI po přímém upgradu na vyšší verzi Pokud místo toho provedete čistou instalaci a je povolena role Aplikace, je vše zakázáno kromě rozhraní ASP.NET, jak je vidět na následujícím obrázku.


130


Obrázek 57. Zakázaná rozšíření IIS ISAPI po provedení čisté instalace

Odebrané filtry ISAPI Funkce pro řadu filtrů ISAPI z předchozích verzí služby IIS jsou nyní integrovány do služby IIS. Tyto změny jsou vidět v následující tabulce. Filtry ISAPI integrované do služby IIS 6.0 Funkce filtru ISAPI

Název souboru filtru ISAPI

Umístění

Komprese

SSPIFILT.dll

Integrováno do služby IIS 6.0

Šifrování SSL

COMPFILT.dll


Ověřování Kerberos

MD5FILT.dll


Upgrade webových aplikací ASP Při upgradu webových aplikací ASP na systém Windows Server 2003 je třeba se zaměřit na následující oblasti: •

Povolení rozšíření ASP: Rozšíření ASP je třeba nastavit na hodnotu Povoleno, což je výchozí nastavení při přímém upgradu ze systému Windows NT Server 4.0 na systém Windows Server 2003. Při čisté instalaci budou rozšíření ASP zakázána, jak bylo uvedeno dříve.


131


•

Povolení skriptů na straně serveru: Stránky ASP napsané v jazyce VBScript nebo ECMAScript (JScript, JavaScript) nebudou spuštěny, dokud nebudou povolena rozšíření ASP ISAPI.

Upgrade webových aplikací ASP na aplikace ASP.NET Aplikace napsané v jazyce VBScript je třeba integrovat do kódu v jazyce Visual Basic .NET nebo C#, protože skripty VBScript již nejsou v rozhraní ASP.NET podporovány. Kód nelze migrovat na Visual Basic .NET. Nestačí pouze přejmenovat příponu stránky ASP z ASP na ASPX. Upgrade vyžaduje provedení podstatných změn kódu. Vzhledem k tomu, že jsou stránky ASP.NET kompilovány do sestavení, získáte významné zlepšení výkonu. Stránky již nejsou interpretovány při každém spuštění. Aplikace mají nyní úplnou podporu pro rozsáhlý systém typů společného jazykového modulu runtime a všechny knihovny tříd definované v knihovnách Framework Class Libraries. Podrobné informace pro upgrade z pohledu vývojáře získáte na webovém serveru MSDN® v tématu Migrating ASP Pages to ASP.NET (Migrace stránek ASP na ASP .NET).

Aplikace ASP.NET 1.0 a ASP.NET 1.1 Při upgradu existujícího serveru, na kterém jsou nainstalovány aplikace ASP .NET používající rozhraní NET Framework 1.0, je výsledný upgradovaný počítač nakonfigurován na použití rozhraní .NET Framework 1.1. Verze 1.0 zůstává nainstalována při tzv. souběžné implementaci. Souběžná implementace je však podporována pouze při spuštění v režimu izolace služby IIS 5.0. Další informace získáte v části Souběžná implementace rozhraní.NET Framework verze 1.0 a 1.1 dále v této příručce. Většina aplikací ASP.NET 1.0 funguje při spuštění v novém režimu izolace pracovního procesu bez problémů, avšak některé webové aplikace ASP.NET 1.0 nefungují správně s rozhraním .NET Framework 1.1, zejména z důvodu přísnějšího nastavení zabezpečení. Například ve verzi 1.0 bylo možné úspěšně předat připojovací řetězec SQL s ID uživatele a prázdným heslem. Ve verzi 1.1 není tato akce povolena. Nakonfigurováním jednotlivých aplikací lze určit, která verze rozhraní má být spuštěna (nakonfigurováním map skriptů pro jednotlivé virtuální adresáře). Chcete-li získat další informace, stáhněte si zdroje Windows Server 2003 Deployment Kit: Deploying IIS 6.0 (Implementace sady IIS 6.0). Viz kapitola Upgrading an IIS Server to IIS 6.0 (Upgrade serveru IIS Server na verzi IIS 6.0).


132


Exchange Server Exchange server není důležitý jen pro e-mail. Jedná se o důležitý systém ve většině společností a základ řady komunikačních infrastruktur. V řadě organizací podobně funguje infrastruktura pro zasílání zpráv založená na serveru Exchange 5.5. Softwaru, který tuto infrastrukturu řídí, však již končí životnost. Organizace hledající možnosti upgradu ze serveru Exchange Server 5.5 v prostředí systému Windows NT 4.0 mají příležitost upgradovat relativně snadno na systém Windows Server 2003 a Exchange Server 2003. Společnost Microsoft poskytuje nové a zdokonalené nástroje pro upgrade systému Windows i serveru Exchange. Tyto nástroje (a zpětná kompatibilita nabízená v rámci těchto produktů) jsou navrženy tak, aby proces upgradu usnadňovaly. Tato část je zaměřena na realizaci upgradu aktuální e-mailové infrastruktury Exchange 5.5 na Exchange 2003. Poznámka Exchange je serverový produkt pro zasílání elektronické pošty, na rozdíl od aplikace Microsoft Outlook®, která se používá jako klient elektronické pošty.

Aspekty upgradu na verzi Exchange 2000 a Exchange 2003 Upgrade na verzi Exchange 2003 je třeba chápat jako přírůstkový upgrade k verzi Exchange 2000 s hlavním zaměřením na přidané funkce a nikoli na hlavní změny architektury. Uvedení produktu Exchange 2003 na trh bude těsně následovat za uvedením systému Windows Server 2003. To znamená, že koncem roku 2003 budou mít organizace využívající produkt Exchange 5.5 dvě možnosti upgradu. Implementace Exchange 5.5 lze upgradovat na verzi Exchange 2000 nebo na verzi Exchange 2003. S blížícím se koncem životnosti produktu Exchange 5.5 si řada organizací klade stejnou otázku: Je lepší upgradovat na verzi Exchange 2000 nebo verzi Exchange 2000 vynechat a počkat až na verzi Exchange 2003? Při tak důležitém rozhodnutí hraje roli řada faktorů. Příkladem dalších faktorů, které je třeba brát v úvahu, je dostupnost hardwaru a náklady na něj, dostupnost nástrojů pro upgrade, zdokonalení funkcí a spolehlivost.

Aspekty cyklu životnosti produktu Exchange 2003 nabízí všechna vylepšení, která přináší verze Exchange 2000, a navíc obsahuje řadu dalších vylepšení a výhodu plného pětiletého cyklu životnosti. Verze Exchange 2003 navíc vyžaduje stejný hardware jako verze Exchange 2000, takže při rozhodnutí upgradovat na verzi Exchange 2003 by neměly být náklady vyšší než při upgradu na verzi Exchange 2000. Verze Exchange 2003 také nabízí celou řadu implementačních nástrojů, pomocí kterých lze upgrade snadněji provést, a to jak z verze Exchange 5.5, tak z verze Exchange 2000. Verze Exchange 2000 na rozdíl od verze Exchange 2003 obsahuje pouze minimum těchto nástrojů (k nástrojům navíc není k dispozici dokumentace). Informace o cyklech životnosti produktů Microsoft lze také využít při rozhodování. Produkty společnosti Microsoft mají standardní pětiletou dobu životnosti. Po pěti letech již nejsou dřívější verze podporovány. To znamená, že služby odborné pomoci poskytované společností Microsoft jsou na konci cyklu životnosti


133


produktu pouze minimální a nejsou již vyvíjeny aktualizace Service Pack ani opravy hotfix pro nově zjištěné chyby softwaru. Proto bude ke konci roku 2003 společnost Microsoft poskytovat k produktu Exchange 5.5 již jen minimální podporu. Cyklus životnosti produktu Exchange 2000 bude končit koncem roku 2005. Pokud necháme stranou technologické otázky, je třeba zdůraznit, že upgradu na verzi Exchange 2000 vám na konci roku 2003 zbývají do konce cyklu životnosti produktu Exchange 2000 pouze dva roky. Vzhledem k tomu, že se blíží konec cyklu životnosti produktu Exchange 5.5, stojí společnosti, které stále využívají produkt Exchange 5.5, před rozhodnutím o nové verzi. Silným argumentem pro upgrade na verzi Exchange 2003 může být následující faktor. Je totiž třeba si uvědomit, že pokud se organizace rozhodne upgradovat na systém Windows Server 2003, je výchozím rozhodnutím právě upgrade na verzi Exchange 2003, protože produkt Exchange 5.5 ani Exchange 2000 nelze v systému Windows Server 2003 spustit. Jakmile bude další verze produktu Exchange uvedena na trh, bude třeba upgrade pečlivě promyslet a naplánovat. V případě správného plánování by většina operací při provádění upgradu neměla mít téměř žádný vliv na aktuální uživatele systému. Řada zdokonalení ve verzi Exchange 2003 mění způsob práce uživatelů aplikace Outlook 2003. Aplikace Outlook 2003 je aktuálně upřednostňovaným klientem pro přístup k poštovním schránkám na serveru Exchange 2003. Jedním z cílů produktu Exchange 2003 je poskytnout uživatelům stejné pracovní prostředí bez ohledu na to, zda se připojují při práci s e-maily místně v kanceláři nebo ze vzdáleného umístění. Vylepšení v oblasti funkcí vzdáleného přístupu ve verzi Exchange 2003 umožňují uživatelům dosahovat vyšší produktivity, což je velmi důležitý faktor vzhledem k rostoucímu počtu uživatelů, kteří pracují z domu (po pracovní době nebo jako externí pracovníci firmy). Pokud se společnost rozhodne vynechat verzi Exchange 2000 a bude upgradovat až na verzi Exchange 2003, bude moci využívat verzi Exchange 5.5 až do konce cyklu životnosti produktu. V dnešní době není možné udržovat tempo s vývojem softwaru v oblasti IT a mít k dispozici vždy všechny nejnovější verze. Jako některé důvody pro tento fakt, kterým organizace čelí, lze uvést náklady, nedostupnost systému během upgradu pro uživatele, zdroje pro provedení upgradu či školení. To organizace ve svém důsledku ovlivňuje natolik, že dají v řadě případů nakonec přednost aktuálně stabilním systémům před novými verzemi. Organizace však nakonec na nové verze přece jen přecházejí, a to zejména kvůli funkcím důležitým pro jejich podnikání, času a omezení cyklu životnosti produktu. Organizace využívající produkt Exchange 5.5, které s upgradem počkají až na verzi Exchange 2003, získají propracovaný produkt nabízející rozsáhlou sadu funkcí a vyšší spolehlivost.

Faktory stability a nákladů Řada organizací se rozhodla zůstat u produktu Exchange 5.5 vzhledem k jeho stabilitě a nákladům na upgrade na verzi Exchange 2000. V řadě případů nebyly společnosti schopny najít přesvědčivý důvod pro upgrade na verzi Exchange 2000, i když tato verze poskytuje lepší kompatibilitu se službou Active Directory. Společnost Microsoft si je tohoto problému vědoma a zaměřila se na vývoj speciálních nástrojů, pomocí kterých budou společnosti schopny snadněji upgradovat na verzi Exchange 2003, a to z verze Exchange 5.5 i Exchange 2000. Tyto nástroje umožní společnostem velmi snadno upgradovat na verzi Exchange 2003. Příručka k upgradu systému Windows NT Server 4.0

134


Skupina META Group, zabývající se výzkumem informačních technologií, poradenskými službami a strategickými konzultačními službami, doporučuje, aby „organizace, které momentálně plánují dokončení upgradu do konce roku 2003, upgradovaly na verzi Exchange 2000. Společnosti, které plánují migraci ve druhé polovině roku 2003 s dokončením v roce 2004, by měly počkat na verzi Titanium, čímž se vyhnou nutnosti dvojí migrace.” Skupina META Group uvádí, že projekt upgradu zahájený ke konci roku 2003 by měl zahrnovat upgrade na verzi Exchange 2003, tzn. přeskočení upgradu na verzi Exchange 2000. To lze jinými slovy shrnout také tak, že se organizacím, které nepotřebují urgentně upgradovat na verzi Exchange 2000, doporučuje počkat až na uvedení verze Exchange 2003 na trh. Pokud společnosti, které stále využívají produkt Exchange 5.5, počkají až na verzi Exchange 2003, mohou zbývající čas využít k pečlivému plánování upgradu na verzi Exchange 2003 a ověření funkčnosti produktu v testovacím prostředí. Toto plánování by také mělo společnostem umožnit naorganizování školení správců. Takový plán potom splňuje všechny předpoklady pro úspěšné provedení plánovaného upgradu.

E-mailová infrastruktura Organizace musí aktualizovat svou infrastrukturu pro zasílání zpráv, aby byla schopna zajišťovat spolehlivost požadovanou u aplikací důležitých pro chod podniku. V minulosti znamenalo zasílání zpráv pouze e-mail, který byl považován pouze za jiný způsob komunikace (podobně jako jsou telefony, faxy, formuláře a tištěné dokumenty způsobem sdílení informací). V dnešní době již nestačí pouze zasílání emailu a přístup k Internetu. V dnešním světě elektronického obchodování lze přežít pouze tak, že společnosti budou správně analyzovat změny na trhu a okamžitě na ně reagovat. To je možné právě díky výkonnému systému pro zasílání zpráv. V řadě organizací se pro odesílání a příjem e-mailů dnes používá primárně server Exchange 5.5. Pokud mají společnosti rychle a inteligentně reagovat na změny poptávky na trhu, musí být tyto společnosti schopny překročit časové, vzdálenostní a technologické bariéry, aby byly schopny každému zaměstnanci v organizaci zajistit okamžitý přístup k požadovaným informacím. Při používání produktu Exchange Server 2003 mohou organizace pomocí své infrastruktury pro zasílání zpráv dále zvyšovat produktivitu zaměstnanců s řešeními pro spolupráci nabízejícími přidanou hodnotu. Ve verzi Exchange Server 2003 se používá celá řada nových digitálních technologií, které zajišťují pro uživatele v reálném čase přístup k požadovaným informacím, a to bez ohledu na to, kde se nacházejí. Produkt Exchange Server 2003 je navržen tak, aby bylo možné využívat výkon systému Windows Server 2003, a zajišťuje jednotnou správu všech možností pro zasílání zpráv, spolupráci a práci v síti a také příslušné prostředky. Výpočetní prostředí se serverem Exchange Server 2003 nabízí nízké náklady na vlastnictví a také vyšší odolnost proti chybám a škálovatelnost navrženou pro prostředí velkých organizací. Implementace serveru Exchange Server 2003 umožňuje společnostem nabídnout svým zaměstnancům nejnovější technologické možnosti v oblasti podnikového zasílání zpráv a také lepší možnosti zálohování a obnovování ze zálohy.


135


Společnost Microsoft již provozuje verze beta produktu Exchange Server 2003 od září doku 2002, aby byl tento produkt důkladně otestován v provozním prostředí. Spolehlivost produktu byla otestována většinou zaměstnanců společnosti Microsoft, kteří používají Exchange Server 2003 již od začátku roku 2003.

Škálovatelnost a zotavení po selhání Řada společností provozuje servery Exchange s rozsáhlými úložišti informací. Častá jsou i úložiště o velikosti 50 GB a více. Server Exchange 5.5 dokáže pracovat s rozsáhlými úložišti informací, avšak obnovování dat ze zálohy v případě selhání může představovat problém. Tyto servery Exchange 5.5 lze dnes ještě bez problémů provozovat, organizace by však měly zvážit, zda by byly v případě potřeby schopny zvládnout řešení poškození těchto rozsáhlých úložišť informací. Na serveru Exchange Server 2003 mohou organizace rozdělit úložiště informací na menší části, které lze lépe spravovat, přestože jsou uloženy na jednom serveru. Například v modelové situaci upgradu popsané v jedné z předchozích částí stála před tímto rozhodnutím společnost HGF Properties. Na jejich serveru se používal produkt Exchange 5.5 Standard Edition s 16GB omezením velikosti úložiště, přičemž úložiště serveru mělo aktuálně velikost 15,8 GB. Společnost, která je v podobné situaci, by pravděpodobně neměla s upgradem čekat až na uvedení verze Exchange Server 2003 na trh. Nejlepším řešením v takovém případě je okamžitý upgrade na verzi Exchange 2000 Enterprise Edition. Pro upgrade na verzi Exchange Server 2003 existuje řada důvodů. Nejdůležitější z nich je však výjimečná škálovatelnost a vynikající mechanismus obnovování ze zálohy v případě selhání. Zvažte, jaké by byly vaše náklady v případě, pokud by došlo ve vašem systému pro zasílání zpráv k výpadku na dobu jedné hodiny, jednoho dne či dokonce několika dnů. Pro některé zaměstnance může být problémem i 15minutový výpadek. Náklady související s delším výpadkem e-mailového serveru budou pravděpodobně značné. Exchange Server 2003 poskytuje lepší nástroje pro zálohování dat a konsolidaci serverů, než tomu bylo v předchozích verzích produktu. Ve spolupráci se systémem Windows Server 2003 podporuje server Exchange 2003 novou technologii služby Stínová kopie svazku, která umožňuje správcům zrcadlit disk, na kterém jsou uložena data serveru Exchange, a která provádí rychlé zálohy bez sebemenších prostojů na straně uživatelů. Aktuální verze produktu Exchange nedisponují integrovanou podporou pro obnovování jednotlivých poštovních schránek (ztracených či poškozených). Správce musí v takových případech buď opětovně načít celý server nebo pro tuto akci využít produkt třetí strany. Exchange Server 2003 zajišťuje obnovování jednotlivých poštovních schránek prostřednictvím integrované funkce. Díky této funkci lze významně zkrátit celý proces obnovování dat v případě, že dojde ke ztrátě či poškození jediné poštovní schránky. Verze Exchange 5.5 podporuje pro ukládání zpráv uložených ve všech poštovních schránkách jedinou databázi (úložiště). Databáze funguje bez problémů i při zvětšování úložiště, lze s ní však velmi problematicky pracovat v případě nutnosti obnovování dat ze zálohy. Exchange Server 2003 umožňuje používat několik úložišť zpráv. Rozsáhlá úložiště lze rozdělit na několik menších úložišť, která lze lépe


136


spravovat. Tato malá úložiště lépe podporují situace obnovování dat při chybě a umožňují minimalizovat vliv obnovování dat na organizaci jako celek, protože poštovní schránky jsou rozloženy do více úložišť.

Nástroje pro zavádění Exchange Server 2003 je navržen tak, aby mohl v systému existovat souběžně s verzí Exchange 2000 i Exchange 5.5. Společnost Microsoft zajišťuje sadu s celou řadou nástrojů pro zavedení serveru Exchange 2003. Díky těmto nástrojům je plánování i vlastní provedení upgradu na verzi Exchange Server 2003 jednodušší než při předchozích upgradech. Zmíněné nástroje jsou užitečné zejména pro organizace upgradující z verze Exchange 5.x (se službou Active Directory či bez ní). Lze pomocí nich zkontrolovat aktuální prostředí Exchange a zjistit, které položky v rámci aktuální konfigurace by mohly bránit úspěšnému provedení upgradu. Sada nástrojů pro implementaci serveru Exchange obsahuje řadu nástrojů a dokumentaci, které vás provedou následujícími procesy: •

Plánování implementace

•

Příprava služby Active Directory použitím položek ForestPrep a DomainPrep

•

Instalace funkce ADC (Active Directory Connector) a nástrojů ADC

•

Instalace serveru Exchange

•

Dokončení implementace a přesunutí poštovních schránek a veřejných složek

Použití nástroje ADC Jedním z nejtěžších úkolů při upgradu serveru Exchange 5.5 na verzi Exchange 2000 nebo Exchange 2003 je nastavení nástroje ADC. Nástroj ADC zajišťuje nezbytnou komunikaci z adresářové služby Exchange 5.5 a adresářové databáze do databáze Active Directory používané ve verzi Exchange 2000 i Exchange 2003. V dřívějších verzích bylo možné snadno funkci nástroje ADC nakonfigurovat nesprávně, což pak způsobovalo problémy při upgradu. Správné nastavení nástroje ADC je nezbytné pro úspěšný upgrade z verze Exchange 5.5. V rámci nástroje ADC je k dispozici řada průvodců a nástrojů, které umožňují nastavit propojovací dohodu prohledáním aktuálního adresáře služby Active Directory a adresáře serveru Exchange 5.5 a organizace a následně automatickým vytvořením doporučených propojovacích dohod. Tento nástroj je pro správce serveru Exchange 5.5, kteří provádí upgrade na verzi Exchange 2003, velmi užitečný.

Dokumentace k upgradu Dokumentace poskytovaná k balíčku nástrojů pro zavádění byla také vylepšena. Dřívější verze produktu Exchange (včetně verze Exchange 2000) obsahovaly pouze několik málo nástrojů pro upgrade a dokumentace k nim často nebyla příliš podrobná. Společnost Microsoft se zavázala dosáhnout toho, aby


137


byly upgrady z verze Exchange 5.5 na verzi Exchange 2003 co nejjednodušší – další důvod, proč zvažovat upgrade až na verzi Exchange 2003 místo na verzi Exchange 2000.

Zlepšení funkcí v produktu Exchange 2003 V následující tabulce je uveden souhrn hlavních funkcí v produktu Exchange Server 2003.

Nové a vylepšené funkce ve verzi Exchange Server 2003 Možnost

Popis

OWA (Outlook Web

Nejnovější rozhraní aplikace OWA se velmi podobá rozhraní nového klienta Microsoft

Access)

Office Outlook 2003, což poskytuje uživatelům stejné pracovní prostředí bez ohledu na to, zda se připojují při práci s e-maily místně v kanceláři nebo ze vzdáleného umístění. Zlepšeno bylo také zabezpečení a výkon, kontrola pravopisu, plánování úloh a byly také přidány funkce konfigurace pro příjem nevyžádané pošty.

Outlook 2003

Aplikace Outlook 2003 je optimalizována pro použití se serverem Exchange 2003. Nové rozhraní usnadňuje přístup k osobním složkám a zobrazuje aktuálně otevřené e-mailové zprávy. Použití produktů Exchange 2003 a Outlook 2003 v kombinaci zlepšuje výkon klientů Outlook v případě připojení s malou šířkou pásma a u nespolehlivých připojení WAN, aby měli vzdálení uživatelé aplikace Outlook podobné pracovní podmínky jako uživatelé místní sítě (LAN). Díky tomu mohou vzdálení uživatelé v malých kancelářích používat vzdálený server Exchange místo místního serveru Exchange (z důvodů výkonu).

Mobilní přístup a

Exchange 2003 nabízí podporu a komunikaci pro větší počet mobilních zařízení. Podpora

synchronizace

miniprohlížečů iMode, cHTML a WAP 2.0 umožňuje uživatelům používat pro přístup ke své poštovní schránce nejnovější technologie pro zařízení typu handheld (například zařízení PDA či mobilní telefony). Je zajištěna také podpora zpráv SMS (Short Message Service), pomocí kterých lze upozorňovat na nové zprávy v poštovní schránce odesláním oznámení na mobilní zařízení, která jsou stále v provozu. Uživatel potom může v případě potřeby správy synchronizovat.

Konsolidace serveru

Exchange 2003 staví na funkcích konsolidace serveru ve verzi Exchange 2000 a zdokonaluje využití prostředků serveru a úložiště podporou následujících oblastí:

§

Služby serveru Windows Server 2003 podporující službu Stínová kopie svazku. Služba Stínová kopie svazku umožňuje provádět online zálohy skupin úložišť Exchange, systém proto není potřeba nastavovat do režimu offline.

§

Okamžité zálohování a obnovování ze zálohy, které odstraňuje jeden z praktických omezení počtu uživatelů podporovaných na jednom serveru – čas potřebný k zálohování e-mailového úložiště.

§

Rychlejší a spolehlivější synchronizace. Protokol pro komunikace mezi klientem a serverem byl přepsán a optimalizován. Díky těmto zlepšením efektivity lze zajišťovat vyšší a konzistentní výkon pro klienty, aniž by bylo potřeba pro vzdálené pobočky


138


zřizovat další servery pro server Exchange. §

Režim mezipaměti aplikace Outlook 2003. Vzhledem k tomu, že aplikace Outlook 2003 funguje primárně se svou vlastní kopií poštovní schránky uživatele uloženou v mezipaměti, je na server odesíláno méně požadavků, což snižuje zatížení serveru a umožňuje na serveru podporovat více uživatelů.

Zabezpečení

Byla provedena řada důležitých vylepšení za účelem zvýšení zabezpečení systému Exchange, a to v řadě oblastí. Podobně jako v systému Windows Server 2003 je pro všechny systémové proměnné serveru Exchange Server 2003 nakonfigurováno výchozí nastavení, což umožňuje maximalizovat zabezpečení systému.

§

V aplikaci OWA se nyní používají pro ověřování soubory cookie a procesy časového limitu připojení, což umožňuje eliminovat pravděpodobnost prolomení zabezpečení přes nehlídané prohlížeče. Aplikace OWA dále podporuje používání protokolu zabezpečení S/MIME pro odesílání e-mailových zpráv.

§

Rozhraní VSAPI (rozhraní API pro vyhledávání virů) bylo vylepšeno, aby správcům zajišťovalo další možnosti implementace. Nové možnosti správy nevyžádaných e-mailů umožňují zabránit doručování nevyžádané pošty s podporou filtrování připojení na základě seznamu zakázaných odesílatelů aktualizovaného v reálném čase, filtrování příjemců a blokování odesílání webových signálů (beaconing). Antivirový software VSAPI lze nyní spouštět přes bránu Exchange a servery předmostí jako e-mailové servery.

§

Podpora protokolu IPSec (Internet Protocol security) pro správu klientů a serverů.

§

V kombinaci se systémem Windows Server 2003 zajišťují vzdálená volání procedur (RPC – remote procedure calls) přes tunelové propojení pomocí protokolu HTTPS bezpečné připojení klientů Outlook 2003 k serveru Exchange Server 2003 bez potřeby sítě VPN.

Upgrade na verzi Exchange Server 2000 Přestože z řady argumentů vyplývá, že je výhodnější upgradovat ze systému Exchange 5.5 přímo na verzi Exchange 2003, může organizace zvážit, zda pro ni není přece jen vhodnější upgradovat nejdříve na verzi Exchange 2000. Jedním z důvodů je to, že aktuální verzi Exchange 5.5 nelze upgradovat přímo na verzi Exchange 2003. Upgrade lze provést pouze z verze Exchange 2000. Přesto je však třeba poznamenat, že takový přímý upgrade serverů Exchange může být v některých případech problematický. Dokonce i malé poškození úložišť (databází) Exchange může celý proces upgradu narušit. Čím větší je pak úložiště Exchange, tím větší je pravděpodobnost chyb. Zejména v organizacích s rozsáhlými úložišti informací by mohl s sebou pokus o provedení přímého upgradu na vyšší verzi nést velká rizika. Menším rizikem při upgradu pak je přesunutí poštovních schránek z jedné verze Exchange do jiné verze Exchange. Přestože je tato metoda časově náročnější než metoda přímého upgradu na vyšší verzi, nenese s sebou taková rizika.


139


Verze operačního systému Dalším faktorem, který by měly organizace zvážit, je používaný operační systém. Exchange Server 2003 lze provozovat v systému Windows 2000 s aktualizací SP3 nebo v systému Windows Server 2003. Aby však bylo možné maximálně využít nové funkce, je požadován systém Windows Server 2003. Například nová zálohovací strategie systému Exchange Server 2003 je daleko flexibilnější při použití služby Stínová kopie svazku, která je k dispozici pouze v operačním systému Windows Server 2003. Podobně platí, že organizace, které se rozhodly pro upgrade na systém Windows Server 2003, mají při výběru e-mailového řešení jedinou možnost, a tou je produkt Exchange Server 2003. Je možné, že v organizacích, které potřebují dosáhnout větší flexibility operačního systému, se bude upřednostňovat upgrade na verzi Exchange Server 2000.

Správa rizik Jedním z hlavních cílů všech upgradů je správa rizik. Chcete-li snížit rizika související s upgradem, je třeba tato rizika identifikovat. Přináší s sebou upgrade na verzi Exchange Server 2003 více rizik než upgrade na verzi Exchange 2000? Krátce řečeno, ano, a to vzhledem k relativně krátké době, po kterou byla verze Exchange Server 2003 testována v provozním prostředí. Z tohoto důvodu mohou dát organizace přednost tomu, že nejdříve upgradují na verzi Exchange Server 2000.

Funkce zastaralé po upgradu Řada funkcí, které se používaly ve verzi Exchange 2000 nebo Exchange 5.5 již ve verzi Exchange 2003 není podporována nebo byla převedena do jiných produktů. Ve verzi Exchange Server 2003 již nejsou k dispozici následující funkce: •

Funkce pro spolupráci v reálném čase: Ve verzi Exchange 2000 je podporována řada funkcí pro spolupráci v reálném čase, například Konverzace, Rychlé zasílání zpráv, konference (pomocí serveru Exchange Conferencing Server) a zasílání multimediálních zpráv. Tyto funkce byly ve verzi Exchange Server 2003 odebrány. Novým podnikovým řešení pro rychlé zasílání zpráv (IM – Instant Messaging) je nyní RTC Server (Microsoft Office Real-Time Communications Server 2003), který dříve nesl kódové označení „Greenwich“. Jde o rozšiřitelnou platformu společnosti Microsoft pro komunikaci v reálném čase, která je momentálně ve vývoji. Další informace získáte na domovské stránce serveru RTC Server na webu sady Microsoft na adrese http://www.microsoft.com/office/preview/rtcserver/default.asp

•

Jednotka M: V dřívějších verzích bylo úložiště informací Exchange (které používá obor názvů \\.\BackOfficeStorage\) mapováno na serveru Exchange na jednotku M:.Mapování jednotku M: poskytuje systému souborů přístup k úložišti Exchange.V některých případech však může dojít v důsledku operací systému souborů, například z důvodu spuštění programu pro vyhledávání virů na jednotce M: na úrovni souborů nebo spuštěním softwaru pro zálohování souborů na této jednotce, k poškození poštovní schránky.V důsledku toho je jednotka M: ve výchozím nastavení ve verzi Exchange Server 2003 zakázána.


140


•

Služba správy klíčů (KMS – Key Management Service): Produkty verze Exchange 2000 a Exchange 5.5 obsahují službu KMS, která ve spolupráci s certifikační službou systému Windows 2000 umožňuje vytvářet infrastrukturu veřejných klíčů (PKI) pro zasílání zpráv. Jakmile je infrastruktura PKI vytvořena, mohou si uživatelé zasílat podepsané a šifrované zprávy. Služba KMS ve verzi Exchange 2000 obsahuje mechanismus pro zajištění vyššího stupně zabezpečení pro uživatele a zpracovává klíčové funkce archivace a obnovování ze zálohy. Exchange Server 2003 již službu KMS neobsahuje. Infrastruktura PKI, která je součástí řešení Windows Server 2003, nyní zpracovává klíčové úkoly archivace a obnovování ze zálohy, které ve verzi Exchange 2000 prováděla služba KMS.

Možnosti upgradu na verzi Exchange Server 2003 Jakmile bude verze Exchange 2003 uvedena na trh, budete mít možnost upgradovat z verze Exchange 5.5 jedním ze dvou způsobů: •

Upgradovat na verzi Exchange 2000 a následně upgradovat na verzi Exchange Server 2003. Tato možnost je vhodná zejména pro organizace, které potřebují urgentně přejít na novou verzi z verze Exchange 5.5.

•

Upgradovat přímo až na verzi Exchange Server 2003. Tato možnost je doporučena pro všechny ostatní organizace.

Pokud není pro vaší společnost nezbytné nutné okamžitě upgradovat na verzi Exchange 2000, je pravděpodobně nejvhodnější počkat až na verzi Exchange Server 2003. Byly zdokonaleny nástroje a vylepšena dokumentace. Tato verze navíc poskytuje důležité nové funkce, jako například ochranu před doručováním nevyžádané pošty. Pečlivým naplánováním upgradu na verzi Exchange Server 2003, na které tak budete mít dostatek času, lze navíc do značné míry snížit riziko upgradu. Exchange Server 2003 lze nainstalovat v rámci pilotního programu pro účely testování. Nový server lze pak uvést do provozu s minimální kapacitou, abyste viděli, jak reaguje v provozním prostředí. Se vzrůstající důvěrou v nový server pak mohou na novou verzi upgradovat i ostatní uživatele.


141


Služba komponent (COM+ 1.5) Služba komponent je i nadále základní aplikační platformou pro řadu aplikací a vývojářů. Systém Windows Server 2003 obsahuje verzi COM+ 1.5, která přináší řadu nových funkcí. Tato část obsahuje krátký přehled klíčových nových funkcí Služby komponent (COM+ 1.5), na které je vhodné myslet při upgradu ze systému Windows NT Server 4.0. Model COM+ lze používat pro vývoj důležitých distribuovaných podnikových aplikací využívajících platformy Windows. Model COM+ staví na aplikacích vyvinutých pomocí technologií COM, MTS a dalších technologií založených na modelu COM. Slouží ke zpracování řady úkolů pro správu prostředků, které vývojáři dříve museli programovat, například alokace podprocesů a zabezpečení. Nové funkce Služby komponent (COM+ 1.5) nejsou k dispozici v dřívějších platformách, například v systému Windows 2000, ve kterém je podporována Služba komponent verze COM+ 1.0. Avšak aplikace COM+ 1.5 jsou stále obsluhovány procesem Dllhost.exe pro mimoprocesové aplikace (serverové aplikace) a jsou obsaženy v procesu volajícího pro vnitroprocesové aplikace (knihovní aplikace).

Změny funkcí od předchozí verze Nástroj pro správu Služba komponent obsahuje následující nové funkce: •

Zabezpečení aplikací COM+: Nyní máte možnost pro své aplikace COM+ nakonfigurovat zásady omezení softwaru, a to buď prostřednictvím nástroje pro správu Služba komponent nebo naprogramováním. Zásada omezení softwaru byla vytvořena za účelem chránění systémů před neznámým a potenciálně nebezpečným kódem a také za účelem zajištění mechanismu, v rámci kterého je pouze důvěryhodnému kódu udělen neomezený přístup k oprávněním uživatele.

•

Komponenty COM+ zařazené do fronty: Ve verzi COM+ 1.0 bylo možné nastavit maximální počet podprocesů pro zprávy o komponentách COM+ zařazených do fronty pomocí klíče registru. Toto nastavení se aplikovalo na úrovni počítačů a všechny aplikace používaly stejné nastavení. Nyní však lze nastavit pro každou aplikaci jiný maximální počet podprocesů.

•

Změna klíče registru: Služba komponent (COM+) již nečte klíč registru HKLM\Software\Microsoft\COM3\Debug\QCListenerMaxThread.

Nové funkce Služby komponent (COM+) Funkce

Popis

Fondy aplikací

Nová služba vytváření fondů aplikací COM+ znamená větší škálovatelnost pro procesy s jedním podprocesem a je integrována s novou službou recyklace aplikací COM+.

Recyklace aplikací

Výkon aplikací se může postupně snižovat, a to z důvodu problémů s aplikací (například nevrácená paměť, neškálovatelné použití prostředků a chyby procesů). Služba recyklace aplikací COM+ umožňuje automaticky ukončit a následně restartovat aplikaci, čímž opětovně


142


inicializuje chybový proces a opětovně přidělí paměť, kterou tento proces využívá. Oddíly modelu

Ve Službě komponent verze COM+ 1.5 se zavádí podpora oddílů, což je funkce, která v

COM+

jednom počítači umožňuje spouštět souběžně více konfigurací aplikací COM+. Pomocí této funkce lze šetřit náklady a čas, protože není ke správně různých konfigurací aplikací nutné používat více serverů. Můžete například vytvořit testovací a implementační konfiguraci aplikace COM+.

Služba COM+ SOAP

Nová služba COM+ SOAP umožňuje klientům získat přístup ke konfigurovaným komponentám modelu COM na síťovém serveru pomocí jazyka XML a protokolu SOAP. Pomocí služby COM+ SOAP lze snadno implementovat aplikace COM+ po síti jako webové služby XML, přičemž je zachováno centralizované řízení.

Limity aktivace při

V této verzi lze v rámci Služby komponent automaticky kontrolovat stav paměti před

malé paměti

vytvořením serverového objektu COM+. Pokud je procentuální hodnota dostupné virtuální paměti pod pevně definovanou hranicí, dojde před vytvořením objektu k chybě aktivace. Nepovolením aktivací, které by byly za normálních okolností spuštěny, přispívá tato funkce významně ke spolehlivosti systému.

Pozastavení a

V porovnání s dřívějšími verzemi lze aplikace COM+ nyní lépe spravovat. Správce může

zakázání aplikací

pozastavit serverové aplikace COM+ (nebo je obnovovat) či zakázat a povolit aplikace knihovny COM+ nebo serverové aplikace či dokonce jednotlivé nakonfigurované komponenty. Pozastavení a zakázání funkcí zabraňuje budoucí aktivaci bez ovlivňování existujících instancí komponent.

Výpis stavu procesu

Služba komponent (COM+) nyní zajišťuje řešení problémů souvisejících s odstraňováním potíží s aplikacemi v provozní prostředí. Tato nová funkce výpisu stavu procesu umožňuje správci systému vypsat celý stav procesu, aniž by jej bylo potřeba ukončit. Tímto způsobem lze získat informace o problému, aniž by byly ovlivněny spuštěné procesy.

Další informace o Službě komponent (COM+) získáte v dokumentaci k sadě COM+ Software Development Kit v části What's New in COM+ 1.5 (Nové funkce Služby komponent verze COM+ 1.5).


143


Souběžná implementace rozhraní .NET Framework verze 1.0 a 1.1 Hlavní výhodou rozhraní .NET Framework 1.1 v systému Windows Server 2003 je to, že je možné do jednoho počítače nainstalovat různé verze. Například verzi 1.0 a 1.1 rozhraní .NET Framework lze nainstalovat do jednoho počítače, což umožňuje lepší podporu pro řadu možností konfigurace aplikací. Výhody podpory souběžné implementace mohou podobně využívat správci a vývojáři, protože jim odpadne spousta problémů se starými verzemi knihoven DLL. V kontextu této příručky jsou verze definovány následujícím způsobem: •

Aplikace verze 1.0 je aplikace vyvinutá a určená pro rozhraní .NET Framework 1.0. Tímto způsobem jsou vytvořeny všechny aplikace Visual Studio .NET 2002.

•

Aplikace verze 1.1 je aplikace vyvinutá a určená pro rozhraní .NET Framework 1.1. Tímto způsobem jsou vytvořeny všechny aplikace Visual Studio .NET 2003. Všechny verze systému Windows Server 2003 se dodávají s rozhraním .NET Framework.

Vysvětlení principu práce se souběžnými verzemi Podpora souběžných verzí rozhraní.NET Framework funguje velmi podobně jako režim Visual Basic runtime. V jazyce Visual Basic může vývojář vytvořit aplikaci, jejímž cílem je modul Visual Basic 5.0 runtime, a implementovat ji do počítače. Později lze vytvořit aplikaci, jejímž cílem je Visual Basic 6.0 runtime, a implementovat ji do stejného počítače. Nakonec jsou v počítači nainstalovány obě verze modulu Visual Basic runtime (5.0 i 6.0). Avšak aplikace určená pro konkrétní verzi funguje pouze ve verzi, pro kterou je kompilována, což je chování, které se pro moduly runtime a rozhraní .NET Framework liší. V případě rozhraní .NET Framework si lze představit situace, kdy je aplikace vytvořena a kompilována ve verzi 1.0, přičemž následně může správce v případě, že je nainstalována verze 1.1, přesměrovat aplikaci tak, aby používala modul runtime verze 1.1. Není potřeba, aby vývojář překompiloval původní aplikaci ve verzi 1.1. V případě souběžné instalace více verzí rozhraní.NET Framework je aplikace dynamicky přesměrována na novou verzi modulu runtime a knihovny .NET Framework bez zásahu vývojáře.

Sestavení a souběžné spouštění Souběžné spouštění představuje schopnost ukládat a spouštět ve stejném počítači různé verze aplikací nebo komponent. To znamená, že můžete v jednom počítači najednou používat více verzí modulů runtime a také více verzí aplikací a komponent využívajících tuto verzi modulu runtime. Souběžné spouštění umožňuje získat kontrolu nad verzemi komponent, se kterou je aplikace svázána, a také větší kontrolu nad verzí modulu runtime, kterou aplikace používá. Podpora souběžného úložiště a spouštění různých verzí stejného sestavení je nedělitelnou součástí strategie jedinečných názvů (strong naming) a je integrována do infrastruktury modulu runtime. Vzhledem k tomu, že je číslo verze sestavení s jedinečným názvem (strong-named) součástí ID, lze v rámci modulu runtime ukládat různé verze stejného sestavení v globální mezipaměti sestavení a načíst tato sestavení v režimu runtime. Příručka k upgradu systému Windows NT Server 4.0

144


Přestože lze pomocí modulů runtime vytvářet souběžné aplikace, není souběžné spouštění automatické. Další informace naleznete v nápovědě k sadě .NET Framework Software Development Kit a v tématu Side-by-Side Execution (Souběžné spouštění) na webovém serveru MSDN.

Změny ovlivňující zpětnou a dopřednou kompatibilitu Společnost Microsoft se zaměřila na to, aby bylo možné spouštět aplikace kompilované ve verzi 1.0 rozhraní i ve verzi 1.1. Aplikace kompilované ve verzi 1.1 mohou také v některých případech fungovat ve verzi 1.0, avšak základním cílem byla podpora kompatibility z verze 1.0 na verzi 1.1. V každé nové verzi může nastat situace, že vzhledem ke změnám dojde k rozdílnému chování aplikací či chybě při spuštění. Jedná se například o tyto oblasti: •

Změna atributů důvěryhodnosti: Ve verzi 1.0 a 1.1 nemohou aplikace, které nejsou systémem zabezpečení přístupu ke kódu runtime považovány za zcela důvěryhodné, volat sdílené spravované knihovny, pokud jim to autor knihovny specificky nepovolí prostřednictvím atributu AllowPartiallyTrustedCallersAttribute. Pokud plánujete používání knihoven z částečně důvěryhodných kódů, je třeba počítat s tím, že některé knihovny nebudou pro kód k dispozici. Ve verzi 1.1 je v seznamu sestavení s atributem AllowPartiallyTrustedCallersAttribute uveden soubor System.Web.dll, System.Web.Mobile.dll a System.Web.RegularExpressions.dll. Ty lze volat z částečně důvěryhodného kódu.

•

Změna výchozí zásady zabezpečení: Výchozí zásada zabezpečení byla změněna, aby aplikace spouštěné ze zóny sítě Internet a přiřazené do skupiny kódu zóny sítě Internet nyní získávaly oprávnění přiřazená k sadě oprávnění pro Internet. Výsledkem je to, že aplikace z Internetu nyní získají dostatečná oprávnění pro spuštění. V rozhraní .NET Framework 1.0 s aktualizací Service Pack 1 (SP1) a Service Pack 2 (SP2) získávaly takovéto aplikace oprávnění přidružená k sadě oprávnění Nothing (Žádné) a nebylo je možné spustit.

Další informace o těchto změnách získáte v nápovědě k sadě .NET Framework Software Development Kit. Podrobný seznam všech změn, které by mohly ovlivňovat zpětnou nebo dopřednou kompatibilitu, získáte v části Backwards Breaking Changes from Version 1.0 to 1.1 (Změny z verze 1.0 na verzi 1.1 ovlivňující zpětnou kompatibilitu) na webovém serveru Got Dot Net, což je server komunity rozhraní .NET Framework, a to na adrese http://www.gotdotnet.com/team/changeinfo/Backwards1.0to1.1/default.aspx

Příklady souběžného spouštění Na následujícím obrázku je vidět několik aplikací používajících různé verze modulu ve stejném počítači. Aplikace A, B a C používá modul runtime verze 1.0, zatímco aplikace D používá modul runtime verze 1.1.


145


Obrázek 58. Souběžné spouštění různých verzí modulu runtime Rozhraní .NET Framework se skládá ze společného jazykového modulu runtime a kolem dvaceti sestavení obsahujících typy API. Pro moduly runtime a sestavení rozhraní.NET Framework se používají samostatné verze. Například verze 1.0 modulu runtime je ve skutečnosti verze 1.0.3705.0, zatímco verze 1.0 sestavení .NET Framework je 1.0.3300.0. Na následujícím obrázku je vidět několik aplikací používajících dvě různé verze komponent ve stejném počítači. Aplikace A a B používá komponentu verze 1.0, zatímco aplikace C používá stejnou komponentu verze 2.0.

Obrázek 59. Souběžné spouštění různých verzí komponent

Výhody souběžného spouštění Před systémem Windows XP a rozhraním .NET Framework docházelo ke konfliktům knihoven DLL, protože aplikace nedokázaly rozlišovat nekompatibilní verze stejného kódu. Informace o typu obsažené v knihovně DLL se pojily pouze s názvem souboru. Aplikace nedokázala nijak zjistit, zda typy obsažené v


146


knihovně DLL jsou stejné typy, pomocí kterých byla aplikace vytvořena. V důsledku toho bylo možné přepsat novou verzi komponenty starší verzí a aplikace poškodit. Souběžné spouštění a rozhraní.NET Framework zajišťuje následující funkce pro eliminování konfliktů s knihovnami DLL: •

Sestavení s jedinečnými názvy (strong-named): Pro souběžné spouštění se používají sestavení s jedinečnými názvy ke svázání informací o typech se specifickou verzí sestavení. Tato funkce brání aplikaci nebo komponentě ve spojování se s neplatnou verzí sestavení. Sestavení s jedinečnými názvy také umožňují, aby ve stejném počítači existovalo více verzí souboru, které by bylo možné používat v aplikacích.

•

Úložiště kódu umožňující rozlišovat verze: Rozhraní .NET Framework zajišťuje v globální mezipaměti sestavení úložiště kódu umožňující rozlišovat verze. Tato mezipaměť je nainstalována ve všech počítačích, ve kterých je nainstalováno rozhraní.NET Framework. V globální mezipaměti sestavení se ukládají sestavení na základě informací o verzi, kultuře a vydavateli. Tato mezipaměť podporuje používání více verzí komponent a aplikací.

•

Izolace: Pomocí rozhraní .NET Framework lze vytvářet aplikace a komponenty, které jsou spouštěny v izolaci, což je nezbytná podmínka při souběžném spouštění. Izolace zahrnuje také rozlišování používaných prostředků a opatrné sdílení prostředků mezi více verzemi aplikace nebo komponenty. Izolace také zahrnuje ukládání souborů podle jednotlivých verzí. Další informace o izolaci získáte v nápovědě k sadě .NET Framework Software Development Kit v tématu Guidelines for Creating Applications and Components for Side-by-Side Execution (Návod k vytváření aplikací a komponent pro souběžné spouštění).


147


Příloha A: Příklad upgradu služby Active Directory Ta příloha pokračuje v příkladu upgradu uvedeného v jedné z předcházejících částí tohoto dokumentu (viz část Příklad přímého upgradu primárního řadiče domény se systémem Windows NT dříve v této příručce). V následujících krocích je vysvětleno, jak provést upgrade domény Windows NT 4.0 na doménu služby Active Directory. Tento proces představuje první činnost, kterou je třeba provést po dokončení upgradu řadiče domény systému Windows NT 4.0. Úkoly spojené s upgradem domény Windows NT na službu Active Directory systému Windows Server 2003 zjednodušuje Průvodce instalací služby Active Directory. Průvodce instalací služby Active Directory nainstaluje a nakonfiguruje řadiče domény, které zajišťují uživatelům a počítačům v síti přístup ke službě Active Directory. Pomocí Průvodce instalací služby Active Directory lze na řadič domény převést jakýkoli členský server (kromě serverů s omezeními v licenčních smlouvách). Průvodce lze spustit několika způsoby. Doporučuje se však zadat do příkazového řádku pomocí příkazu Spustit příkaz DCPROMO. Průvodce se však také automaticky spustí po upgradu řadiče domény systému Windows NT 4.0. Na následujícím obrázku je vidět průvodce, který se automaticky spustí po upgradu primárního řadiče domény.

Obrázek 60. Úvodní obrazovka Průvodce instalací služby Active Directory Dále se zobrazí chybová zpráva o dostupnosti pro klienty na nižší úrovni:


148


Obrázek 61. Upozornění operačního systému na kompatibilitu V dalším dialogovém okně se zobrazí dotaz, zda chcete vytvořit doménu v nové doménové struktuře, vytvořit podřízenou doménu v existující větvi doménové struktury nebo vytvořit větev v existující doménové struktuře. V tomto příkladě je počítač primárním řadičem se systémem Windows NT 4.0, předpokládá se proto, že neexistuje žádná doménová struktura a je zvolena možnost vytvoření domény v nové doménové struktuře. Dále je třeba zadat název domény. Na obrázku 62 je vidět obrazovka, která se zobrazí v případě, že je třeba zadat název DNS.


149


Obrázek 62. Zadejte název domény Poznámka Všichni správci systému Windows NT by měli ovládat principy práce se službou DNS, která je nezbytná pro práci se službou Active Directory. I tak jednoduchý krok, jakým je připojení pracovní stanice do domény, vyžaduje správnou funkci služby DNS. Po zadání názvu domény se zobrazí dialogové okno s výzvou, aby správce zadal úroveň funkčnosti doménové struktury, jak je vidět na následujícím obrázku.

Obrázek 63. Výběr úrovně funkčnosti doménové struktury Úroveň funkčnosti doménové struktury zajišťuje zpětnou kompatibilitu s řadiči domén Windows 2000. Pokud nebudou servery Windows 2000 zajišťovat služby řadiče domény, například ověřování, lze vybrat Příručka k upgradu systému Windows NT Server 4.0

150


možnost Windows Server 2003 - provizorní. Je třeba pamatovat na to, že zvolené nastavení nelze v tomto případě vrátit zpět. Kompatibilita s řadiči domén Windows NT 4.0 je k dispozici v obou režimech. V systému Windows Server 2003 existují čtyři úrovně funkčnosti domény: •

Smíšený režim systému Windows 2000: Podporuje systémy Windows NT 4.0, Windows 2000 a Windows Server 2003.

•

Nativní režim systému Windows 2000: Podporuje systém Windows 2000 a Windows Server 2003.

•

Windows Server 2003 – provizorní: Podporuje systém Windows NT 4.0 a Windows Server 2003.

•

Windows Server 2003: Podporuje systém Windows Server 2003.

Zvolením výchozí možnosti Windows Server 2003 – provizorní povolíte v systému Windows Server 2003 zpětnou kompatibilitu řadičů domén systému Windows NT 4.0. Pokud si nejste jisti, kterou z možností vybrat, zvolte tuto možnost. Podporu výhradně systému Windows Server 2003 lze kdykoli nastavit v dialogovém okně Uživatelé a počítače služby Active Directory. Po provedení tohoto důležitého rozhodnutí se uživateli, který instalaci provádí, zobrazí dialogové okno, ve kterém lze zvolit umístění pro ukládání databáze služby Active Directory, jak je vidět na následujícím obrázku.

Obrázek 64. Zvolte umístění databáze služby Active Directory Na upgradovaném řadiči domény systému Windows NT 4.0 je vhodné zvážit uložení databáze služby Active Directory na jiný oddíl, než na jakém je uložen operační systém, a to vzhledem k možnému nedostatku místa na 4GB oddílu. Dále je třeba nastavit do správného umístění složku Sysvol, jak je vidět na následujícím obrázku.


151


Obrázek 65. Zadejte umístění sdílené složky Sysvol Systém Windows Server 2003 dále indikuje, že potřebuje komunikovat se službou DNS k nastavení záznamů potřebných pro správnou funkci služby Active Directory. Tento řadič domény systému Windows NT 4.0 je pravděpodobně prvním serverem se systémem Windows Server 2003 v doméně, je tedy velká pravděpodobnost, že v této fázi upgradu ještě neexistují žádné servery DNS. Na následujícím obrázku jsou vidět výsledky diagnostiky s informacemi o problému.

Obrázek 66. Dialogové okno s upozorněním služby DNS V tomto příkladě je třeba tento počítač nejdříve upgradovat na systém Windows Server 2003. V doméně nejsou k dispozici žádné další servery DNS. Byl zvolen přepínač Instalovat a konfigurovat službu DNS


152


v tomto počítači. Tento přepínač také zajišťuje, aby bylo nastavení TCP/IP změněno tak, aby se na tento server odkazovalo jako na primární server DNS. Přestože to není nutné, je vhodné povolit na serveru DNS vytváření a zpracovávání všech nezbytných záznamů služby Active Directory. Aby bylo možné službu Active Directory po upgradu úspěšně spustit a aby správně fungovala, je třeba, aby byl nainstalován server DNS. Používaný server DNS musí kromě jiného podporovat záznamy SRV a dynamické aktualizace, aby mohla služba Active Directory správně pracovat. Po nastavení služby Active Directory by měla následovat důkladná kontrola nastavení serveru DNS, při které je třeba zjistit, zda jsou uvedeny všechny nezbytné položky DNS. Jakmile je tento dotaz zodpovězen, zobrazí průvodce dotaz na výchozí oprávnění, která se mají používat pro objekty uživatelů a skupin, jak je vidět na následujícím obrázku.

Obrázek 67. Dialogové okno kompatibility oprávnění Na serverech se systémem Windows NT Server 4.0 či dřívějším je udělován přístup pro čtení informací uživatelů a skupin anonymním uživatelům, aby mohly správně fungovat existující aplikace, včetně produktů Microsoft BackOffice®, SQL Server a některých aplikací od jiných dodavatelů než Microsoft. V systému Windows 2000 a Windows Server 2003 mají členové skupiny Anonymous Logon přístup pro čtení k těmto informacím pouze v případě, že je skupina přidána do skupiny Pre–Windows 2000 Compatible Access. Pomocí Průvodce instalací služby Active Directory můžete zvolit, zda chcete skupiny zabezpečení Anonymous Logon a Everyone security přidat do skupiny Pre–Windows 2000 Compatible Access, a to zvolením přepínače Oprávnění kompatibilní s operačními systémy staršími než Windows 2000 Server. Chcete-li zabránit členům skupiny Anonymous Logon v přístupu pro čtení k informacím uživatelů a skupin, zvolte přepínač Oprávnění kompatibilní pouze s operačními systémy řady Windows Server 2003.


153


Ručně pak lze u objektů Active Directory přepínat mezi zpětně kompatibilním nastavením a nastavením vysoké úrovně zabezpečení, a to přidáním skupiny zabezpečení Anonymous Logon do skupiny zabezpečení Pre-Windows 2000 Compatible Access v modulu snap-in Uživatelé a počítače služby Active Directory. První možnost zvolte v případě, že se budou používat řadiče domény a servery Windows NT 4.0, které musí nadále komunikovat s doménou služby Active Directory systému Windows Server 2003. Tato možnost znamená snížení úrovně zabezpečení, je však zcela nezbytná, pokud tyto servery existují. Jestliže se nepoužívají žádné další řadiče domény ani servery Windows NT 4.0, zvolte druhou možnost. Po provedení tohoto výběru se zobrazí dialogové okno s dotazem na Heslo pro režim obnovení, jak je vidět na následujícím obrázku.

Obrázek 68. Dialogové okno k zadání hesla pro režim obnovení Toto heslo se používá v případě závažné chyby serveru. K řešení problémů se serverem, na kterém došlo k chybě, lze vyvolat zvláštní rozhraní příkazového řádku s názvem Režim obnovení. Toto heslo se používá právě pro tento Režim obnovení. Po zadání hesla pro režim obnovení se zobrazí obrazovka se souhrnnými informace, jak je vidět na následujícím obrázku. Uživatel je požádán o kontrolu odpovědí na otázky zadávané při práci s průvodcem a potvrzení vybraných možností. V případě nutnosti opravy údajů je možně přejít zpět na příslušnou stránku průvodce a provést požadované změny.


154


Obrázek 69. Dialogové okno se souhrnnými informacemi Po klepnutí na tlačítko Další dojde ke spuštění Průvodce instalací služby Active Directory, jak je vidět na následujícím obrázku.

Obrázek 70. Průběh instalace služby Active Directory Během instalace služby Active Directory musí být nainstalována a nakonfigurována služba DNS, jak je vidět na následujícím obrázku.


155


Obrázek 71. Instalace služby DNS během instalace služby Active Directory Po dokončení instalace průvodce zobrazí souhrnné informace, jak je vidět na následujícím obrázku.

Obrázek 72. Souhrnné informace o výsledcích instalace Po klepnutí na tlačítko Dokončit je třeba restartovat server a zkontrolovat, zda v systému služba Active Directory funguje správně. Nejprve je vždy třeba zkontrolovat správnou funkčnost služby DNS. Pomocí modulu snap-in DNS v konzole MMC lze zkontrolovat záznamy vytvořené službou Active Directory. Není možné ani nezbytné umět interpretovat všechny záznamy vytvořené službou Active Directory, správce by však měl mít dostatečné znalosti k tomu, aby si mohl být jist, že byly vytvořeny správné typy záznamů. Na následujícím obrázku jsou vidět záznamy DNS a DNS Administrator vytvořené službou Active Directory.


156


Obrázek 73. Modul snap-in správy služby DNS se záznamy služby Active Directory Nejdůležitější záznamy jsou uvedeny v zóně _msdcs.bwcs.com a v uzlech _msdcs, _sites, _tcp a _udp v zóně bwcs.com. Tyto základní záznamy zajišťují správnou funkci služby Active Directory. Správnou funkci služby DNS lze také prověřit pečlivým prostudováním protokolů serveru DNS v Prohlížeči událostí.


157


Příloha B: Ukázkový soubor protokolu kontroly kompatibility Během instalace systému Windows Server 2003 je možné provést automatický test kompatibility systému. Pokud zvolíte možnost Zkontrolovat kompatibilitu systému, provede instalační program porovnání. Následující výstup obsahuje ukázkové výsledky v případě přímého upgradu primárního řadiče systému Windows NT na novou verzi. Další informace o přímém upgradu na vyšší verzi získáte v části Příklad přímého upgradu primárního řadiče domény se systémem Windows NT dříve v tomto dokumentu.

******************************************************************** Kompatibilita aktualizace systému Windows ******************************************************************** Instalační program systému Windows nemůže pokračovat, aniž by byl nainstalován opravný balík service pack 5 nebo vyšší. Nainstalujte nejnovější opravu Service Pack systému Windows NT 4.0. =================================================================================

Exchange Server =============== Software pro produkty Microsoft Exchange Server 5.5 Standard Edition a Microsoft Exchange Server 5.5 Enterprise Edition není kompatibilní s touto verzí systému Microsoft Windows. Aby bylo možné tyto programy spustit v této verzi systému Windows, je třeba nainstalovat Exchange Server 5.5 s aktualizací Server Pack 3 nebo vyšší. Pokud chcete získat další informace o tomto softwaru a stáhnout aktualizaci Service Pack 3 či vyšší pro Exchange Server 5.5, přejděte na webovou stránku výrobce na adrese http://www.microsoft.com/exchange Seznam softwaru podporovaného touto verzí systému Microsoft Windows naleznete na stránce Microsoft Windows Compatibility List na webovém serveru http://go.microsoft.com/fwlink/?LinkId=9946. Microsoft Exchange 5.5 ====================== Následující software není v této verzi systému Microsoft Windows podporován: Exchange 5.5 Exchange 2000 Site Server 3.0 (aktualizace SP4 a nižší) System Management Server 2.0 (aktualizace SP2 a nižší)


158


Proxy Serve Další informace o tomto softwaru získáte na stránce Microsoft BackOffice Server na adrese http://www.microsoft.com/backofficeserver. Webové adresy se mohou měnit, je tedy možné, že se k tomuto webovém serveru nebude možné připojit. Seznam softwaru podporovaného touto verzí systému Microsoft Windows naleznete na stránce Microsoft Windows Compatibility List na webovém serveru http://go.microsoft.com/fwlink/?LinkId=9946.

Problémy spolupráce se systémy Windows 95 a Windows NT 4.0 (čtěte podrobnosti) ============================================================================== Problémy spolupráce se systémy Windows 95 a Windows NT 4.0 SOUHRN Na řadičích domén se systémem Windows Server 2003 je implementováno výchozí nastavení zabezpečení, které umožňuje zabránit zachycení komunikace řadiče domény a změně přenášených dat. Určité počítače na nižší úrovni nesplňují tyto požadavky na zabezpečení a nemohou proto bez zásahu správce s řadiči domén systému Windows Server 2003 komunikovat. Týká se to například počítačů se systémem Windows for Workgroups a Windows 95, ve kterých není nainstalována sada DS client pack, počítačů se systémem Windows NT 4.0 bez aktualizace Service Pack 4 a dalších zařízení, včetně zařízení Pocket PC 2002 a předchozích verzí se systémem Windows CE .NET verze 4.1 či nižší. PODEPISOVÁNÍ KOMUNIKACE SMB Ve výchozím nastavení řadiče domén systému Windows Server 2003 vyžadují, aby klienti digitálně podepisovali veškerou komunikaci SMB. Protokol SMB se používá pro sdílení souborů, sdílení tisku, různé funkce vzdálené správy a ověřování přihlašování pro některé klienty na nižší úrovni. Počítače se systémem Windows for Workgroups a Windows 95, ve kterých není nainstalována sada DS client pack, počítače se systémem Windows NT 4.0 před aktualizací Service Pack 3 a další zařízení, včetně zařízení Pocket PC 2002 a předchozích verzí se systémem Windows CE .NET verze 4.1 či nižší nedokáží podepisovat komunikaci SMB, a proto se nemohou ve výchozím nastavení připojovat k řadičům domén systému Windows Server 2003. Pokud takové klienty nelze upgradovat na aktuální operační systém či upgradovat tak, aby byly splněny minimální požadavky popsané výše, lze požadavek na podepisování komunikace SMB odebrat zakázáním následující zásady zabezpečení ve výchozím objektu GPO výchozího řadiče domény organizační jednotky řadiče: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnostizabezpečení\Server sítě Microsoft: Vždy digitálně podepsat komunikaci Podrobné pokyny k úpravě tohoto nastavení naleznete níže. Upozornění: Zakázáním tohoto nastavení vystavujete veškerou komunikaci v rámci řadiče domény útokům typu „man in the middle“. Doporučuje se proto raději místo zakazování tohoto nastavení zabezpečení upgradovat klienty. Sadu DS Client Pack, která je nezbytná pro klienty se systémem Windows 95 k podepisování komunikace SMB, získáte v podadresáři \clients\win9x na disku CD-ROM se systémem Windows 2000 Server.


159


PODEPISOVÁNÍ ZABEZPEČENÉHO KANÁLU Ve výchozím nastavení řadiče domén systému Windows Server 2003 vyžadují, aby byla veškerá komunikace přes zabezpečený kanál podepsána nebo šifrována. Zabezpečené kanály se používají v počítačích se systémem Windows NT pro komunikaci mezi členy domény a řadiči domény a také mezi řadiči domén, mezi kterými je vztah důvěryhodnosti. Počítače se systémem Windows NT 4.0 před aktualizací SP4 nejsou schopny podepisovat ani šifrovat komunikaci přes zabezpečený kanál. Pokud je třeba počítače Windows NT 4.0 před aktualizací SP4 připojit k této doméně, nebo je třeba vytvořit vztah důvěryhodnosti mezi touto doménou a ostatními doménami, které obsahují řadiče domény před aktualizací SP4, lze požadavek na podepisování komunikace přes zabezpečený kanál odebrat zakázáním následující zásady zabezpečení ve výchozím objektu GPO řadiče domény: Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení\Člen domény: Vždy digitálně zašifrovat nebo podepsat data zabezpečeného kanálu Podrobné pokyny k úpravě tohoto nastavení naleznete níže. Upozornění: Zakázáním tohoto nastavení vystavujete komunikaci přes zabezpečený kanál útokům typu „man in the middle“. Doporučuje se proto raději místo zakazování tohoto nastavení zabezpečení upgradovat počítače se systémem Windows NT 4.0. ÚPRAVA OBJEKTU ZÁSAD SKUPINY (GPO) VÝCHOZÍHO ŘADIČE DOMÉNY Chcete-li zajistit, aby se pro všechny řadiče domény vynucovaly stejné požadavky na podepisování komunikace SMB a komunikace přes zabezpečený kanál, definujte odpovídající nastavení zabezpečení pro objekt zásad skupiny (GPO) výchozího řadiče domény následujícím způsobem: 1. Přihlaste se k počítači, ve kterém je nainstalován modul snap-in Uživatelé a počítače služby Active Directory. 2. Start --> Spustit --> DSA.MSC 3. Rozbalte doménu obsahující řadiče domény Windows Server 2003. 4. Pravým tlačítkem klepněte na organizační jednotku řadičů domény a klepněte na příkaz Vlastnosti. 5. Klepněte na kartu Skupina zásad, vyberte možnost Výchozí zásada řadiče domény a klepněte na tlačítko Upravit. 6. Rozbalte složky Konfigurace počítače, Nastavení systému Windows, Nastavení zabezpečení, Místní zásady, Možnosti zabezpečení. 7. V podokně výsledků poklepejte na možnost zabezpečení, kterou chcete upravit. Například Server sítě Microsoft: Vždy digitálně podepsat komunikaci nebo Člen domény: Vždy digitálně zašifrovat nebo podepsat data zabezpečeného kanálu. 8. Zaškrtněte políčko Definovat toto nastavení zásad. 9. Podle potřeby povolte nebo zakažte nastavení zabezpečení a klepněte na tlačítko OK.


160


Příloha C: Související odkazy Další informace lze získat z následujících zdrojů: •

Windows Application Compatibility (Kompatibilita aplikací systému Windows) na adrese http://www.microsoft.com/windows/appcompatibility/default.mspx

•

Tools and Documentation for Upgrading to Windows Server 2003 (Nástroje a dokumentace pro upgrade na systém Windows Server 2003) na webu systému Windows Server 2003 na adrese http://www.microsoft.com/windowsserver2003/upgrading/nt4/tooldocs/default.mspx

•

Článek How to: Set Up ADMT for a Windows NT 4.0-to-Windows Server 2003 Migration (Jak nastavit nástroj ADMT pro migraci ze systému Windows NT 4.0 na systém Windows Server 2003) v databázi Microsoft Knowledge Base na adrese http://support.microsoft.com/default.aspx?scid=kb;en-us;325851

•

Migrating from Windows NT Server 4.0 to Windows Server 2003 (Migrace ze systému Windows NT Server 4.0 na systém Windows Server 2003) v centru společnosti Microsoft pro stahování softwaru na adrese http://www.microsoft.com/downloads/details.aspx?FamilyID=e92cf6a0-76f0-4e25-8de019544062a6e6&DisplayLang=en

•

Migrating Windows NT Server 4.0 Domains to Windows Server 2003 Active Directory (Migrace domén Windows NT Server 4.0 na službu Active Directory systému Windows Server 2003) na webu systému Windows Server 2003 na adrese http://www.microsoft.com/windowsserver2003/evaluation/whyupgrade/nt4/nt4domtoad.mspx

•

Upgrading Your Domain Controllers (Upgrade řadičů domén) na webu systému Windows Server 2003 na adrese http://www.microsoft.com/windowsserver2003/upgrading/nt4/domain/default.mspx

•

Migrating ASP Pages to ASP.NET (Migrace stránek ASP na ASP .NET) na webu MSDN na adrese http://msdn.microsoft.com/library/default.asp?url=/library/enus/ cpguide/html/cpconmigratingasppagestoasp.asp

•

Windows Server 2003 Deployment Kit: Deploying Internet Information Services (IIS) 6.0 (Implementace služby IIS 6.0) v centru společnosti Microsoft pro stahování softwaru na adrese http://microsoft.com/downloads/details.aspx?FamilyId=F31A5FD5- 03DB-46D2-9F34596EDD039EB9&displaylang=en

•

Domovská stránka systému Windows XP na adrese http://microsoft.com/windowsxp

•

DNS and Microsoft Windows NT 4.0 (Služba DNS a systém Microsoft Windows NT 4.0) na webu systému Windows NT Server na adrese http://www.microsoft.com/ntserver/techresources/deployment/NTserver/dnswp.asp

•

Program Designed for Windows logo na adrese http://www.microsoft.com/winlogo/default.mspx

Nejnovější informace o systému Windows Server 2003 získáte na webu systému Windows Server 2003 na adrese http://www.microsoft.com/windowsserver2003.


161

Příručka k upgradu systému Windows NT Server 4.0

Recommend Documents