Windows hálózati adminisztráció Göcs László mérnöktanár KF-GAMF Informatika Tanszék
2014-15. tanév tavaszi félév
Elérhetőség E-mail: [email protected] Személyes konzultáció: 4. épület (Informatika Tanszék), 1. emelet 116-os iroda
Segédletek, letöltések
www.gocslaszlo.hu/oktatas
Tantárgyleírás A TCP/IP modell. Rétegek összehasonlítása az OSI modell rétegeivel. Fontosabb protokollok rövid áttekintése. IP címek (IPv4), osztályok, magánhálózati címtartományok, alhálózatok. IPv6-os címek. Parancssori alapismeretek. TCP/IP konfiguráció lekérdezése és beállítása parancssori módon. Automatikus magánhálózati IP címkiosztás (APIPA). Egyszerű (otthoni, mikro-vállalati) hálózatok adminisztrálása, konfigurálása. Vékonykliens technológia. Otthoni médiahálózat. NAS szerepe, működése. Virtualizációs megoldások. Felhő alapú informatika. Szerverparkok eszközei. DHCP szolgáltatás, konfigurációs adatok, kapcsolódó üzenetek. DHCP szerver konfigurálása. A NAT szerepe, működése.
Tantárgyleírás Megosztott mappák elérése. Speciális megosztások. Nyomtatók megosztása, alap és speciális engedélyek. Munkacsoport és tartomány alapú szervezés. NetBIOS nevek, a kapcsolódó névfeloldás folyamata, NBT. NetBIOS név-IP cím összerendelések tárolása (LMHOSTS, WINS). Névfeloldás IPv4 és IPv6 címek esetén (NetBIOS, WINS, DNS, LLMNR). DNS szolgáltatás. Zóna fogalma, zónatípusok és tárolásuk, kiszolgáló típusok, rekord típusok. Az ACL és az NTFS engedélyek. Könyvtárak megosztása a hálózaton, kapcsolódó engedélyek Tartományi környezet. A címtár fogalma (Active directory). Séma, konténer objektumok (erdő, fa, tartomány, szervezeti egység), levél objektumok (felhasználói fiók, számítógépfiók, csoportfiók). Felhasználói csoport típusok. Címtárpartíciók. Globális katalógus. Egyedi főkiszolgáló műveletek. Megosztott mappák közzététele a címtárban (DFS, FRS)
Tantárgyleírás Csoportházirend (Group Policy) fogalma. A csoportházirend fő alkalmazási területei. A csoportházirend működése. A csoportházirend öröklődése. A csoportházirend hatásának szűrése. Végrehajtási sorrend. Alapértelmezett csoportházirendek.
Adatbiztonság, adatvédelem. Biztonsági mentés. Replikációs topológia. RAID technológia. Power Shell. Távoli menedzselés, RDP. A VPN kapcsolat.
Ajánlott irodalom Petrényi József: Windows Server 2008. TCP/IP. Az alapok. Microsoft Magyarország, 2009 Petrényi József: TCP/IP - 1 óra alatt ; TCP/IP Alapok 1. kötet v2.0, TCP/IP Alapok 2. kötet v1.0 Microsoft Magyarország, 2009
William R. Stanek: Windows Server 2008. A rendszergazda zsebkönyve, Szak Kiadó, 2008, ISBN: 978-963-9131-99-6 Gál Tamás, Szabó Levente, Szerényi László: Rendszerfelügyelet rendszergazdáknak, Szak Kiadó, ISBN 978-963-9131-98-9
Félévi számonkérés 1 elméleti ZH (12. előadáson)
50 perc 40 pont (min. 21pont) 1 gyakorlati ZH (11. gyakorlaton)
70 perc 60 pont (min. 30 pont) Plusz pontok (kettes gyakorlati jegyhez teljesíteni kell a minimális pontokat)
előadások
IP alapok
IP címek IPV4 4 db decimális szám ponttal elválasztva
0
.
0
.
0
1db decimális szám 8 biten ábrázolva bináris számrendszerben
Hatókör szerint Nyilvános Magánhálózati Automatikus konfigurációnál használt
Magánhálózati címtartományok A
10.0.0.0 – 127.0.0.0
B
172.16.0.0 – 172.31.0.0
C
192.168.1.0 – 192.168.255.0
APIPA (Automatic Private Internet Protocol Addressing ) A Microsoft otthoni és kisebb irodai hálózatokhoz vezette be a még csak draft formájában létező APIPA-t, olyan helyekre, ahol bizonyosan nincs kiszolgáló, mert nem érné meg, és nincs szaktudás sem a hálózat konfigurálására.
APIPA (Automatic Private Internet Protocol Addressing ) Ha induláskor az operációs rendszer nem talál DHCP kiszolgálót, a draft által lefoglalt, B típusú IPcímtartományból véletlenszerűen kiválaszt egy címet, meggyőződik arról, hogy azt más nem használja, majd elindul. A meggyőződés annyit tesz, hogy egy ICMP csomagot indít a kiválasztott cím felé. Ha érkezik rá válasz, már létezik a cím a hálózatban, tehát másikat kell keresni. Tízszer próbál így címhez jutni, és tekintve, hogy 65535 a lehetséges címek száma, kicsi az esélye, hogy nem találja meg az „igazit”.
APIPA (Automatic Private Internet Protocol Addressing ) Az automatikusan meghatározott címhez azután nem ragaszkodik, és minden ötödik percben kibocsát egy DHCP-Discover csomagot, hátha meggondolták magukat az üzemeltetők és működőképes állapotba hoztak egy címkiosztó szolgáltatást. A DHCP és az APIPA azért fér meg egymás mellett, mert az operációs rendszer el tudja dönteni, hogy milyen szituációban van.
169.254.0.0-169.254.255.255 /16
Hálózati maszk Az a szám, amely meghatározza, hogy az IP-cím mely része hálózati, és mely része állomáscím. Az alhálózati maszk (subnet mask) segítségével a rendszergazdák a helyi hálózatban egymástól elkülönülő alhálózatokat tudnak létrehozni. IP-cím: 196.225.15.5 Alhálózati maszk: 255.255.255.0 Kettes számrendszerben: IP-cím: 11000100 11100001 00001111 00000101 Alh.maszk: 11111111 11111111 11111111 00000000 A két szám bitenkénti ÉS (AND) műveletet elvégezve megkapjuk a hálózat címét: 11000100 11100001 00001111 00000000
Jelöl
Címek
Alháló maszk d. Alháló maszk bin.
/8
16777216
255.0.0.0
/9
128x65536 255.128.0.0
11111111.10000000.00000000.00000000
/10
64x65536
255.192.0.0
11111111.11000000.00000000.00000000
/11
32x65536
255.224.0.0
11111111.11100000.00000000.00000000
/12
16x65536
255.240.0.0
11111111.11110000.00000000.00000000
/13
8x65536
255.248.0.0
11111111.11111000.00000000.00000000
/14
4x65536
255.252.0.0
11111111.11111100.00000000.00000000
/15
2x65536
255.254.0.0
11111111.11111110.00000000.00000000
/16
1x65536
255.255.0.0
11111111.11111111.00000000.00000000
/17
128x256
255.255.128.0
11111111.11111111.10000000.00000000
/18
64x256
255.255.192.0
11111111.11111111.11000000.00000000
/19
32x256
255.255.224.0
11111111.11111111.11100000.00000000
/20
16x256
255.255.240.0
11111111.11111111.11110000.00000000
/21
8x256
255.255.248.0
11111111.11111111.11111000.00000000
11111111.00000000.00000000.00000000
Jelöl
Címek
Alháló maszk d. Alháló maszk bin.
/22
4x256
255.255.252.0
11111111.11111111.11111100.00000000
/23
2x256
255.255.254.0
11111111.11111111.11111110.00000000
/24
1x256
255.255.255.0
11111111.11111111.11111111.00000000
/25
128x1
255.255.255.128
11111111.11111111.11111111.10000000
/26
64x1
255.255.255.192
11111111.11111111.11111111.11000000
/27
32x1
255.255.255.224
11111111.11111111.11111111.11100000
/28
16x1
255.255.255.240
11111111.11111111.11111111.11110000
/29
8x1
255.255.255.248
11111111.11111111.11111111.11111000
/30
4x1
255.255.255.252
11111111.11111111.11111111.11111100
/31
2x1
255.255.255.254
11111111.11111111.11111111.11111110
/32
1x1
255.255.255.255
11111111.11111111.11111111.11111111
Megoldások az IPv4 címek kis száma miatti problémára CIDR, VLSM (alhálózatok számítása maszkokkal) NAT IPv6
IPv6 Tulajdonságok 128 bit, 1994 A címzés hierarchikus – miért jó? Támogatja a munkaállomások automatikus hálózati konfigurálását CIDR-t használ Egy interfésznek több címe is lehet
IPv6 – cím típusok Egycélú (Egyedi küldés) (unicast) : egy adott interfészt azonosít Választható célú (Csomópont-választásos küldés) (anycast) : interfészek egy csoportját azonosítja, de a csomagot elég a csoport egyetlen tetszőleges tagjához eljuttatni (ha a csoportból valaki megkapja, a többiek már nem kapják meg) Többcélú (Csoportos küldés) (multicast) : az interfészek egy csoportját azonosítja, a csomagot minden a csoportba tartozó interfész meg kell kapja (Broadcast helyett)
IPv6 cím felépítése 8 db 4 hexadecimális számjegyből álló csoport kettőspontokkal elválasztva Kezdőbitek határozzák meg a cím típusát
2001:0db8:85a3:08d3:1319:8a2e:0370:7344
128 bites IPv6 cím 3FFE:085B:1F1F:0000:0000:0000:00A9:1234 8 csoport 16-bites hexa számokból, elválasztó jel “:”
Kezdő nullák elhagyhatók
3FFE:85B:1F1F::A9:1234
:: = egy vagy több egymást követő csoportban csak nullák vannak
IPv6 címek 0:0:0:0:0:0:0:0 vagy :: – helyettesítő cím, ha nincs cím, Pl. kezdeti DHCP kérés ::1 –localhost (loopback) cím
Unicast címek felosztása érvényességi kör szerint Világméretű (mint az IPv4 publikus) Global unicast
Lokális (mint az IPv4 privát) Telephely (site) szintű: Site-local (elavult!) Helyi: Unique-local Szegmens szintű: Link-local
Global unicast cím
A globális azon (45 bit) lehet ISP vagy site azonosító A 16 bit alhálózat vagy site azonosító A 64 bit lehet MAC cím alapján
Site-Local unicast címek
Cégen belüli (privát) címzés - intranet A címek generálása nem automatikus
Nem routolják Lehetővé teszi szervezeti hálózat címzését Elavult! RFC 3879 (2004) érvénytelenné tette, csak régebben volt használatos FEC0:: through FFFF::
Unique local címek
Cégen belüli (privát) címzés - intranet De a cím egyedi a világon – cégen belüli házirenddel tiltható a forgalom
Link-Local unicast címek (interface)
FE80::/64 Csak egy linken (szegmensen) belül értelmezett Router nem továbbítja Konfigurálása mindig automatikus Átjáró felderítés, más 2. rétegbeli szomszédok (azonos szegmensen levő eszközök) felderítése
Multicast címek
Csoportos címzés, helyettesíti az üzenetszórást A csoport minden tagja megkapja
Állandó multicast címek Hatókörtől függetlenek Az összes interfész node-local és linklocal hatókörben: FF01::1 (node-local scope all-nodes address) FF02::1 (link-local scope all-nodes address)
Az összes router node-local, link-local, és site-local hatókörben: FF01::2 (node-local scope all-routers address) FF02::2 (link-local scope all-routers address) FF05::2 (site-local scope all-routers address)
Anycast címek Azonos felépítésű a unicast-tal Cél, hogy a legközelebbi interfész kapja meg a csomagot Automatikusan keletkezik, amikor egy unicast címet egynél több interfészhez rendelünk
ARP (Address-Resolution-Protokoll) A hálózati hozzáférési réteget abba a helyzetbe kell hozni, hogy egy csomagfogadónak, akinek csak az IP-címe ismert, elküldjön egy csomagot az ethernet-címmel. 1. Kiad egy broadcast-üzenetet, vagyis egy olyan üzenetet, amit a hálózaton minden számítógép fogad. Ebben az ARP mintegy megkérdezi : Kinek az IP-címe a 192.168.1.15 ?
2. A hálózaton mindegyik számítógép megvizsgálja, hogy nem az ő IP-címe a 192.168.1.15. Az a számítógép fog válaszolni, amelyiknek ez az IP-címe : Az enyém, és az ethernet-címem a következő: af.23.98.00.2e.a3
3. Az ARP tárolja ezt az információt azért, hogy ne kérdezze le ismételten minden csomag esetén. Egy meghatározott időtartam (kb. 20 perc) eltelte után automatikusan eldobja azért, hogy fel legyen készülve egy esetleges hardwareváltozásra.
ICMP (Internet Control Message Protocol) Elérhetetlen gépek felismerése Hibaüzenetek vagy a TCP/IP-t megvalósító szoftvernek szánt üzenetek információgyűjtés a hálózatról. Pl: ha egy gateway felismeri, hogy egy adott számítógép elérhetetlen, akkor az ICMP-n keresztül kiküld egy Destination unreachable üzenetet a csomag küldőjének. Útvonal Optimalizálás Ha egy gateway felismeri, hogy kerülőutat használ, akkor a csomagküldő gépnek küld egy üzenetet, amiben benne van a gyorsabb útvonal. A csomagküldő gép (ill. az IP-rétege) a következő csomagot már a jobb útvonalon tudja elküldeni.
IGMP (Internet Group Management Protocol Protocol) Multicast üzenetek továbbítását teszi lehetővé. Közvetíti a csoporttagságot a hosztok és az útvonalválasztók felé. A multicasting lehetővé teszi, hogy egy felhasználó ugyanazt a tartalmat egy teljes csoport számára hozzáférhetővé tegye.
FTP – File Transfer Protocol A TCP/IP hálózatokon történő állományátvitelre szolgáló szabvány. Gyakran van szükség arra, hogy valamilyen állományt hálózaton keresztül töltsünk le saját gépünkre, vagy egy állományt mások számára hozzáférhetővé tegyünk. Lehetővé teszi a különböző operációs rendszerű gépek között is az információcserét. Az FTP kapcsolat ügyfél/kiszolgáló alapú, vagyis szükség van egy kiszolgáló- (szerver) és egy ügyfélprogramra (kliens). Elterjedt protokoll, a legtöbb modern operációs rendszerhez létezik FTP-szerver és kliens program, sok web böngésző is képes FTP-kliensként működni.
HTTP - HyperText Transfer Protocol Egy kérés-válasz alapú protokoll kliensek és szerverek között. A kommunikációt mindig a kliens kezdeményezi. A HTTP egy állapot nélküli protokoll. Az állapot nélküli protokollok előnye, hogy a szervernek nem kell nyilvántartania felhasználói információkat az egyes kérések kiszolgálása között. A HTTP terjedt el széles körben más, felhasználói bejelentkezést támogató protokollok helyett, ami arra kényszerítette a web fejlesztőket, hogy kerülőutakon járva tárolják a felhasználók munkamenet-állapotait. Egy tipikus megoldás cookie-kban tárolni a felhasználói állapotot. Egyéb módszerek még a rejtett változók (például ) vagy az URL-ben kódolt paraméterek (például: /index.php?userid=3) használata illetve a szerveroldali állapotmegőrzés.
POP3 A Post Office Protocol version 3 Segítségével az e-mail kliensek egy meglévő TCP/IP kapcsolaton keresztül letölthetik az elektronikus leveleket a kiszolgálóról. Napjainkban ez a legelterjedtebb protokoll az elektronikus levelek lekéréséhez. A protokollra eredetileg az időszakosan létrejövő TCP/IP kapcsolatok (pl. dial-up) miatt volt szükség, ugyanis lehetővé teszi a kapcsolódás korlátozott ideje alatt a levelek kezelését a felhasználó gépén, úgy, hogy a levelek összességében akár a szerveren is maradhatnak. A leveleket azután helyben lehet olvasni, szerkeszteni, tárolni stb. A POP3 protokoll kizárólag a levelek letöltésére alkalmas; küldésükre az SMTP protokoll szolgál.
SMTP Simple Mail Transfer Protocol Ez egy kommunikációs protokoll az e-mailek Interneten történő továbbítására. Az SMTP egy viszonylag egyszerű, szöveg alapú protokoll, ahol egy üzenetnek egy vagy több címzettje is lehet. Az SMTP szolgáltatás a TCP 25-ös portját használja. Ahhoz, hogy meghatározza, hogy az adott domain névhez melyik SMTP szerver tartozik, a Domain név MX (Mail eXchange) rekordját használja. Az SMTP protokoll az indításkor sima szöveg alapú (ASCII karakterek) volt, nem kellett hozzá bináris file kezelés. De mára már kifejlesztették a MIME kódolást, ahol bináris fájlok formájában “utaznak” a levelek. Ma már minden SMTP kiszolgáló támogatja a 8-bites, azaz a 8BITMIME kiterjesztésű leveleket, ami bináris formában tárolja / küldi az üzeneteket.
SNMP Simple Network Management Protocol Egy szerver-kliens kapcsolatra épülő protokoll. A szerver program, amit hálózati menedzsernek (network manager) is szoktak nevezni - virtuális kapcsolatot létesít a kliens programmal, amit SNMP ügynöknek (SNMP agent) is neveznek, és a távoli, felügyelt hálózati egyeden van telepítve. Hálózatra kötött eszközök vezérlése, adatainak lekérdezése. A menedzselhető eszközön (pl. nyomtatók, forgalomirányító, szerver, stb.) fut egy démon. A menedzselő eszközön fut a kliens program.
SSH Secure Shell Egy szabványcsalád, és egyben egy protokoll is, amit egy helyi és egy távoli számítógép közötti biztonságos csatorna kiépítésére fejlesztettek ki. Nyilvános kulcsú titkosítást használ a távoli számítógép hitelesítésére, és opcionálisan a távoli számítógép is hitelesítheti a felhasználót. Az SSH-t leggyakrabban arra használják, hogy egy távoli gépre belépjenek vele és parancsokat adjanak ki, de támogatja a tunnelinget, azaz tetszőleges TCP portok és X11 kapcsolatok továbbítását. Fájlok biztonságos átvitelére is használható a kapcsolódó SFTP (Secure FTP) és SCP (Secure Copy) protokollok segítségével. Az SSH szerverek alapértelmezésben a 22-es TCP porton hallgatóznak.
Parancssori alapok
Parancssori alapok Cmd.exe
Segítségkérés:help
help parancs parancs /?
netsh – konfiguráció lekérdezése
Statikus IP cím és DNS kiszolgáló cím beállítás
IP cím és DNS kiszolgáló adatainak kérése DHCP-n keresztül
Beállítások lementése
Lementett beállítások újbóli alkalmazása
TCP/IP jellemzők beállítása konzol felületen IP cím lekérdezése konzolon ipconfig /all
/renew /release
netsh interface ip set address name="Helyi kapcsolat 2" source=static addr=192.168.2.3 mask=255.255.255.0 gateway=192.168.2.1 1
TCP/IP jellemzők beállítása konzol felületen Export szöveges állomány netsh interface dump > c:\valami.txt Import netsh exec c:\valami.txt DNS beállítás Netsh interface ip set dns „név” static 192.168.2.200
TCP/IP konfiguráció - ipconfig
Állományokkal és mappákkal kapcsolatos műveletek1 Fájlok és mappák törlése del /s kezdő\* (végérvényesen töröl fájlokat) rd /s kezdő (könyvtárat és tartalmát) Mappa létrehozása md mappa Könyvtár tartalmának kilistázása dir könyvtár\*.doc /s
Attribútumok Alap attribútumok A – archív R – csak olvasható H – rejtett S – system
Speciális (kiterjesztett) attribútumok Archiválási és indexelési
A fájl archiválásra kész Gyors fájlkereséshez az indexelő szolgáltatás indexelje a fájlt
Tömörítés és titkosítás Tartalom tömörítése Tartalom titkosítása
Állományokkal és mappákkal kapcsolatos műveletek Másolás: xcopy eredeti másolat /s Állományok átnevezése: ren *.txt *.doc Állományok mozgatása: move /y hely\*.doc újhely\
Állományokkal és mappákkal kapcsolatos műveletek Mappaváltás: cd újmappa Könyvtárszerkezet megjelenítése fastruktúrában: tree Konzolablak tartalmának törlése: cls
Parancsok Merevlemez ellenőrzése: chkdsk lemez
Legközelebbi rendszerindításkor automatikus ellenőrzés: chkntfs Időzített feladatvégrehajtás: at
Szöveges állomány tartalmának megjelenítése: type állománynév type állománynév | more Boot.ini lekérdezése/javítása: bootcfg
Parancsok Gép NetBIOS nevének lekérdezése: hostname
Fizikai cím lekérdezése: getmac Szolgáltatás indítása|leállítása: net start|stop XXX
Felhasználói fiók parancssorból
Létező felhasználók listája net user Létrehozás net user kiss.istvan /ADD /fullname:”Kiss Istvan” /expires:2010/03/31 /homedir:”C:\Felhasználók\kiss.istvan” Törlés net kiss.istvan /DELETE
Környezeti változók Beállítás set változónév=érték set PATH=f:\valami Lekérdezés/hivatkozás echo változó echo %COMPSEC% Fontosabb változók %PATH%, %COMSPEC%, %CD%, %USERNAME%, %SYSTEMROOT%, %HOMEPATH%, %HOMEDRIVE%, %DATE%, %TIME%, %COMPUTERNAME%
Parancsállomány Szöveges állomány, ami parancssori utasításokat tartalmaz Parancsértelmező dolgozza fel *.CMD vagy *.BAT
Jól alkalmazható ismétlődő rendszeradminisztrációs feladatokra
Parancsállomány 1 utasítás 1 sor
Tagadás: NOT Feltételes végrehajtás if "%USERNAME%"= = "hallgato" echo Szia hallgato!
Összefűzés & &&
Vírtualizáció, Szerverparkok
VIRTUALIZÁCIÓ A virtualizáció célja, hogy az informatikai rendszerek komponensei egyre kevésbé függjenek egymástól - így tetszés szerint lehessen őket mozgatni, változtatni, ezáltal növelni a rendszer rugalmasságát, és csökkenteni a változtatásokhoz szükséges időt.
Mi is az a virtuális gép? A virtuális gép egy jól elszigetelt szoftver köteg, mely saját operációs rendszerét és alkalmazásait futtatja úgy, mintha egy fizikai számítógép lenne. Egy virtuális gép pontosan úgy működik, mint egy fizikai számítógép, és saját virtuális processzorral, memóriával, merevlemezzel és hálózati kártyával rendelkezik
Mi az a virtuális infrastruktúra?
A virtuális infrastruktúra lehetővé teszi, hogy fizikai erőforrásait megossza több virtuális géppel a teljes infrastruktúrán keresztül.
Egy virtuális gép lehetővé teszi, hogy megossza egy fizikai gép erőforrásait több virtuális gépen keresztül maximális hatékonysággal.
A Vírtualizáció előnyei • Magasabb fokú mobilitás a munkaterhelés dinamikus elosztásának köszönhetően • Nagyobb rugalmasság az új megoldások bevezetése és az életciklus-kezelés során • Jobb számítógép-kihasználás és ezáltal a beruházások optimalizálása • Kisebb helyszükséglet és az alacsonyabb hardverigénynek köszönhetően csökkentett energiaköltségek
A vírtualizáció előnyei • A rendszerek fokozott rendelkezésre állása a dinamikus karbantartási és helyreállítási lehetőségek révén • Csökkentett karbantartási költségek az összevont infrastruktúrának és az automatizálható folyamatoknak köszönhetően • Egyedülálló méretezhetőség az erőforrások rugalmas kezelhetősége révén • Nagyobb fokú átláthatóság és alacsonyabb karbantartási költségek
HARDVER vírtualizáció
A hardver virtualizáció megfelel egy processzor áramköreinek, és a memóriavezérlőnek, amely lehetővé teszi több operációs rendszer futatását (több VM).
HYPERVISOR
A hypervisor vagy Virtual Machine Manager (VMM) egy program, amely a virtuális gép-ek menedzsere, és a hoszt hardware felosztásával teszi lehetővé, több VM, és ezzel több (guest OS) operációs rendszer telepítését, futtatását, egy, egyedüli hw-en.
Mindegyik operációs rendszer rendelkezik processzorral, memóriával, és más erőforrásokkal. A hypervisor vezérli a processzort, és az erőforrásokat, allokálva minden operációs rendszerhez, amire szüksége van.
HYPERVISOR
OPERÁCIÓS RENDSZER VIRTUALIZÁCIÓ A operációs rendszer virtualizáció egy módszer, amikor a hoszt operációs rendszeren több virtuális operációs rendszer fut. A hoszt operációs rendszerek általában a szabványos operációs rendszerek (Windows, Linux). A VM-eken elhelyezett OS-ek, illetve alkalmazások újrainstallálás nélkül áthelyezhetők a virtuális környezetben, eltérő infrastruktúrában lévő VM-ekre, illetve a fizikai eszközre vagy onnan a VM-ekre. • Virtual to Virtual (V2V) • Virtual to Physical (V2P) • Physical to Virtual (P2V)
SZERVER VIRTUALIZÁCIÓ
A szerver virtualizáció, a szerver erőforrásoknak az elfedése a szerver felhasználói elől, beleértve az eggyes fizikai szervereket, processzorokat, és az operációs rendszereket.
A szerver adminisztrátor egy fizikai szerver több szigetelt virtuális környezetre való felosztására, egy szoftver alkalmazást használ. A virtuális környezeteket gyakran virtuális privát szervereknek hívják, de particióknak, guestnek, konténernek vagy emulációnak is nevezik. Azaz a szerver virtualizáció sok szerver funkcionalitást átviszi kevesebb szerverre (konszolidáció).
TÁROLÓ VIRTUALIZÁCIÓ A tároló virtualizáció a fizikai tároló egyesítése, több hálózati tároló eszközből egy tároló eszközzé, amelyet egy központi konzolról kezelnek. A tároló virtualizáció segíti a tároló adminisztrátort a háttér biztosításának a könnyebb megoldásban.
A tároló virtualizáció lehetővé teszi sok felhasználónak vagy alkalmazásnak, hogy hozzáférjen a tárolóhoz anélkül, hogy érdekelt lenne, hogy hol, és hogyan van a tároló fizikailag elhelyezve, menedzselve.
ALKALMAZÁS VIRTUALIZÁCIÓ Az alkalmazás virtualizáció, amikor a végfelhasználó rendelkezésére áll, egy távoli, központi szerverről, egy alkalmazás, illetve tárolók anélkül, hogy a felhasználó lokális rendszerén teljesen installálni kellene azt. Ekkor tehát a szerverek, alkalmazások, tárolók, az alkalmazási erőforrások dinamikusan el vannak választva.
DESKTOP VIRTUALIZÁCIÓ A desktop virtualizáció a végfelhasználó számára lehetővé teszi, egy desktop környezetben a jogosult hozzáférést, valamely alkalmazáshoz, attól függetlenül, hogy pillanatnyilag az alkalmazás hol van elhelyezve. Így a felhasználónak egy virtuális interface-e, virtuális eszköze (virtual appliance) van, amelyen indíthatja a hozzáférést a Web, lokális vagy szerver bázisú alkalmazáshoz, anélkül, hogy szüksége lenne Web oldalakra, Windows Start menüre vagy a terminálszolgáltatás intefacére.
A virtuális desktop a központi szervertől távol van elhelyezve, lehetővé téve a felhasználónak a hozzáférést a távol, helyben elhelyezett alkalmazásokhoz.
ADAT VIRTUALIZÁCIÓ Az adat virtualizáció, amikor az egyes adat tételek a forrástól el vannak vonatkoztatva, és a különböző adat hozzáférési módszereknek, egy közös adat hozzáférési rétege van.
HÁLÓZAT VIRTUALIZÁCIÓ A hálózat virtualizáció a rendelkezésre álló erőforrások összefogásának módszere, a rendelkezésre álló sávszélesség csatornákra osztására, amelyek függetlenek egymástól, és bármelyik hozzá, illetve visszarendelhető egy szerverhez vagy eszközhöz, valós időben.
DHCP
DHCP Dynamic Host Configuration Protocol Ez a protokoll azt oldja meg, hogy a TCP/IP hálózatra csatlakozó hálózati végpontok (például számítógépek) automatikusan megkapják a hálózat használatához szükséges beállításokat. A DHCP szerver-kliens alapú protokoll, nagy vonalakban a kliensek által küldött DHCP kérésekből, és a szerver által adott DHCP válaszokból áll.
DHCP működése
DHCP 3 féle IP-kiosztás lehetséges DHCP-vel: • kézi (MAC cím alapján) • automatikus (DHCP-vel kiadható IP-tartomány megadásával) • dinamikus (IP-tartomány megadásával, de az IP címek „újrahasznosításával”)
Mit kap az ügyfél? •IP cím •Átjáró címe (forgalomirányító) •DNS kiszolgálók címei •DNS tartománynév •Alhálózati maszk •Bérleti időtartam •WINS csomóponttípus •WINS kiszolgálók címei
NetBIOS nevek NetBIOS over TCP/IP = NBT Egyszintes névtér Egyedi nevek, max. 16 karakter Azonosítás szórt üzenetekkel Névfeloldás: név-cím összerendelések tárolása és visszakeresése (csak IPv4)
Névfeloldás
NB Névfeloldási módok osztályozása a névfeloldás helye szerint Helyi: gyorsítótár (ált. 10 percig tartja meg)
Helyi: LMHOSTS fájl %SYSTEMROOT%\SYSTEM32\DRIVERS\ETC Kézi feltöltést igényel → csak kis és ritkán változó hálózatban WINS kiszolgálóval Regisztrálja az ügyfelek NetBIOS neveit meghatározott időre (lease time), és ügyfél kérésre névfeloldást végez. Üzenetszórással, router nem továbbítja
Munkamenetek WINS kiszolgálóval Névbejegyzés:
Ügyfélgép indításkor->IP+név->WINS (címbérlet) Névmegújítás Névfelszabadítás lejár a címbérlet Névfeloldás
NB Névfeloldási módok osztályozása a konfigurációs besorolás szerint B-csomópont (broadcast) - nagy forgalmat generál a helyi hálózatban P-csomópont (peer-to-peer) – az ügyfél a WINS szerverhez fordul M-csomópont (mixed) – először a B-node, és ha az sikertelen, akkor P-node
H-csomópont (hybrid) – először P-node, és ha az sikertelen, akkor B – node. Alapértelmezett.
LLMNR Kapcsolati szintű csoportos névfeloldás
• • •
Link Local Multicast Name Resolution IPv4 és IPv6 támogatás Csak a helyi alhálózaton belül
• •
Fordított lekérdezés is lehetséges NetBIOS over TCP helyett Lépések 1. DNS lekérdezése. Ha nincs DNS kiszolgáló vagy nem válaszol, akkor LLMNR. 2. Az állomás UDP csomagot küld csoportos címzéssel a helyi hálózatra. 3. Ha a keresett gép támogatja az LLMNR-t, akkor egycímes üzenetben küldi az IP címét a lekérdező gépnek
DNS A Windows tartomány neve azonos kell legyen a DNS tartománynévvel
Ismétlés: DNS névfeloldás menete DNS gyorsítótár ügyfél gépen Lekérdezés: ipconfig /displaydns Ürítés: ipconfig /flushdns DNS gyorsítótár kiszolgáló gépen mmc konzolról Negatív gyorsítótárazás
DNS névfeloldás
DNS zóna Az adatok visszakeresésének iránya alapján Címkeresési zóna (Forward Lookup Zone) Névkeresési zóna (Reverse Lookup Zone) Szervezési szempontból Szabványos elsődleges (Standard Primary) Szabványos másodlagos (Standard Secondary) Helyettes zóna (Stub)
DNS kiszolgáló típusok Elsődleges (Primary) Másodlagos (Secondary) Gyorsítótárazó (Cache-only)
%SYSTEMNROOT%\SYSTEM32\DNS\*.DNS Címtárba integrálva (MS megoldás) A DNS kiszolgáló a tartományvezérlőn kell legyen. Megvalósítható a zónák és a címtár egységes replikációja.
Gyakran alkalmazott rekord típusok
• • • • • • • • •
SOA (Start Of Authority) A (Address) – AAAA (IPv6) NS (Authoritative Name Server) CNAME (Canonical Name) MX (Mail Exchange) PTR (Pointer) SRV (Service locator) AD-vel integrált DNS kiszolgálón: WINS
NAT (Network Address and Port Translation)
NAT (Network Address and Port Translation) A NAT egy olyan technika, amelynek segítségével egy belső privát hálózat gépeinek IP címeit teljesen elrejthetjük a külső hálózat nyilvánossága elöl. A belső hálózaton levő gépek általában A, B, vagy C osztályú IP címekkel rendelkeznek. Az IP címek kiosztásánál figyelembe kell venni az RFC1957 ajánlását.
NAT (Network Address and Port Translation) A gépek úgy kerülnek kapcsolatba az Internet publikus hálózatával, hogy egy ún. átjáró (gateway) gépen, a NAT-oló gépen keresztül kapcsolódnak.
A belső hálózaton levő gépek úgy kommunikálnak a nem lokális hálózaton levő gépekkel, hogy az átjáró gép kernele továbbítja az üzenetcsomagokat a külső és a belső hálózat között.
NAT (Network Address and Port Translation) A továbbítás során kicseréli a belső hálózat IP címeit a saját, publikus IP címére. A külső hálózatból érkező válasz üzenetcsomagoknál ennek az ellenkezőjét teszi, azaz visszacseréli a célállomás IP címét a belső hálózati IP címre, és a csomagot a belső hálózatra továbbítja.
NAT (Network Address and Port Translation)
Könyvtárak megosztása
Hol kell megosztani? • Helyi gépen • Hálózaton keresztül
Hozzáférés szabályozás NTFS partíción
Standard engedélyek
Mappa
Állomány
Teljes hozzáférés
Olvasás, írás, módosítás, törlés almappákra és állományokra
Áll. olvasása, írása, módosítása, törlése
Módosítás
Állományok és almappák olvasása, írása, könyvtár törlése
Áll. olvasása, írása, törlése
Olvasás és végrehajtás
Áll.k és almappák megtekintése, kilistázása. Áll.-k végrehajtása. Állk és mappák öröklik
Áll. olvasása és végrehajtása
Mappa tartalmának listázása
Állk és almappák kilistázása, megtekintése és állk végrehajtása. Csak mappák öröklik
---
Olvasás
Állk és almappák kilistázása, megtekintése
Tartalom olvasása
Írás
Állk és almappák hozzáadása
Írás állományba
Hozzáférés szabályozás NTFS partíción • A megtagadás mindig erősebb, mint az engedélyezés • Szkript futtatásához csak olvasási engedély kell
• Ha egy felhasználó teljes hozzáférést kap egy mappához, akkor abban az esetben is törölhet, ha az egyes állományokra nincs joga
Standard engedélyek
Speciális engedélyek1 SpE\St E Teljes Hozzáférés Mappa bejárása fájl végrehajtása Mappa lista adatok olvasás Attribútum olvasás Kiterjesztett attribútum olvasás Fájl létrehoz adatok írása Mappák létre adatok hozzá
TH MF MF
M MF MF
OV MF MF
ML MF M
O MF
MF MF MF
MF MF MF
MF MF MF
M M M
MF MF MF
MF MF
MF MF
SpE – speciális engedélyek StE – standard engedélyek M – mappák esetén F – fájlok esetén
Í MF
MF MF TH - Teljes hozzáférés M - Módosítás OV - Olvasás és végrehajtás ML - Mappa tartalmának listázása O - Olvasás Í – Írás
Speciális engedélyek2 SpE\St E
TH
Mó
OV
Attr írása
MF
MF
MF
Kiterjesztett attr írása
MF
MF
MF
Almappák és fájlok törlése
MF
Törlés
MF
MF
Engedélyek olvasása
MF
MF
Saját tulajdonba v
MF
Engedélyek módosítása
MF
MF
ML
M
O
MF
Í
MF
Speciális engedélyek
Access Control List Hozzáférés szabályozási lista • Ha létrehozunk egy új mappát, akkor az örökli a szülőtől az ACL-t • A speciális részben megszakítható az öröklés • A megtagadás erősebb az örökölt engedélyeknél • A tulajdonos jogokat adhat és vonhat meg • Ha megvonja az engedélyeket a Rendszergazdától, akkor az csak „Tulajdonba vétel” által juthat hozzáféréshez
Access Control List Alapelv: mindenki csak annyi jogosultsággal rendelkezzen, ami feltétlenül indokolt a munkájához. Cél: a működőképesség és a biztonság garantálása
Könyvtárak és állományok megosztása a hálózaton • Általános megosztás (hagyományos, speciális)
• Nyilvános megosztás • %SYSTEMDRIVE%\Users\Public-ba kell másolni a megosztani kívánt állományokat
Könyvtárak megosztása a hálózaton Kiemelt felhasználók vagy Rendszergazdák csoport tagja Hozzáférés szabályozás Olvasás (Read) Módosítás (Modify) Teljes hozzáférés (Full Control) A megosztásnév eltérhet az eredeti könyvtárnévtől Szerepkörök: kiszolgáló: aki megoszt Ügyfél: aki igénybe veszi a megosztást
Mappák megosztása a hálózaton
Megosztás parancssorból net share megosztásnév=helyi elérési útvonal /users:felhasználószám /grant:felhasználó,FULL|CHANGE|READ
net share megosztásnév /delete Alapértelmezés szerint a Mindenki csoport olvasási engedélyt kap
Megosztott könyvtár elérése Elérés UNC megadásával grafikus felületen vagy parancssorban \\gépnév\megosztásnév Előny: egyszerű Hátrány: lassú
Meghajtó betűjel rendelése a megosztáshoz Parancssorban: net use x: \\gép\megosztás /user:xxx jelszó xxx: tartomány\felhasználó xxx: felhasználó@tartomány net use x: /delete Előny: gyors
Meghajtó hozzárendelése tallózás után - grafikus felületen
Meghajtó hozzárendelése
Speciális megosztások Alapértelmezett felügyeleti megosztások
Minden partícióhoz egy (pl. C$) ADMIN$ IPC$
PRINT$
Nyomtató megosztása
Megosztott nyomtatókhoz kapcsolódó standard engedélyek Nyomtatás: dokumentumok nyomtatása. Saját dokumentumok nyomtatásának megállítása, újraindítása, törlése valamint nyomtatási jellemzők beállítása. Dokumentumok kezelése: a nyomtatási sorban levő dokumentumok nyomtatásának megállítása, újraindítása, mozgatása és törlése Nyomtatókezelés: nyomtató megosztása, eltávolítása, tulajdonságainak megváltoztatása. Leállítás és újraindítás.
Megosztott nyomtatókhoz kapcsolódó standard engedélyek A jogosultsági listába automatikusan bekerül a • Mindenki csoport Nyomtatás engedéllyel • Rendszergazdák csoport az összes engedéllyel
Speciális engedélyek Nyomtatás Nyomtatás
Dokumentumok kezelése
X
X
Nyomtató kezelés
X
Dokumentumok kezelése Engedélyek olvasása
Nyomtató kezelés
X X
X
X
Engedélyek módosítása
X
X
Saját tulajdonba vétel
X
X
Nyomtató megosztása grafikus felületen
Automatikusan kapott engedélyek
Hálózati Tárolók DAS, SAN, NAS
DAS
(Direct Attached Storage)
A megosztott adatok tárolásának klasszikus módja a szerverekben elhelyezett merevlemezek használata, azaz a közvetlenül csatolt tárolás. A hálózati szerverekkel direkt módon összekötött tárolók alkalmazása. Legnagyobb problémája, hogy a szerver esetleges leállása esetén a csatolt háttértárak nem elérhetők, illetve hogy sok esetben felesleges kapacitások alakulnak ki, hiszen a rendelkezésre álló szabad helyek nem csoportosíthatók át egyik szervertől a másikhoz.
SAN (Storage Area Network)
A merevlemezeket tartalmazó eszközök valamilyen gyors kapcsolaton keresztül egyfajta hálózatba vannak szervezve, ez az alhálózat pedig a kapcsolókon keresztül elérhető a szerverek számára. A transzparens megvalósítás miatt nincs elpazarolt kapacitás, rekordok kezelése, illetve tranzakciókezelés esetén pedig ez a megoldás sebességben is verhetetlen.
NAS (Network Attached Storage)
A NAS, egy hálózatra kötött adattároló. Sok mindenben hasonlít egy külső merevlemezre. A NAS egy drága külső HDD-keret, amely nem dedikáltan egy gépre csatlakozik, hanem routeren keresztül a hálózat valamennyi számítógépéhez.
• nagy maximális tárolókapacitás, • többplatformos hozzáférés lehetősége, a hálózatra csatlakozó gép operációs rendszerének fájlrendszerét képes emulálni. • csökkenthetők az elpazarolt kapacitások, illetve az adminisztrációs költségek.
UTP csatlakozás
NAS (Network Attached Storage)
NAS (Network Attached Storage) Megosztási lehetőségek: NFS (Unix)
CIFS/SMB (WIN) AFP (MAC) Alkalmazások:
FTP szerver, Mail szerver, Nyomtató szerver Backup RAID Domain
Otthoni és mikro-vállalati hálózat
A bejövő internet kapcsolat Vezetékes kapcsolat Telefonhálózat UTP kábel Vezeték nélküli kapcsolat Mikrohullám Mobil internet
Telefonosos bejövő kapcsolat Telefon
Bejövő telefonos hálózat
Jel elosztás
Modem
Számítógép
UTP-s bejövő kapcsolat Bejövő Internet (UTP)
ROUTER
Számítógép
Mikrohullámú kapcsolat Mikrohullámú torony jel
Mikrohullámú vevő antenna
PoE eszköz
ROUTER
Számítógép
Mobil internet kapcsolat Mobilszolgáltatói hálózat
Összetett Router Több kliens gép kapcsolódása vezetékkel LAN1-4 Vezeték nélküli kommunikáció Még több kliens számára Titkosításos megoldás (WPA2/PSK) USB Hálózati nyomtató kezelése Központi adattároló
USB konfigurálási lehetőségei
HOMEPLUG AV Az otthoni hálózatot használja adatok továbbításra.
• • • •
200-500Mbps 300méter távolság Rossz WiFi jel esetén Nagy távolságok áthidalására
Vékony kliens technológia
Vékony kliens technológia
A vékony kliensek úgynevezett solid-state készülékek, diszk és mozgó alkatrészek nélkül, amelyek kapcsolatban vannak egy központi szerverrel néhány elérési szoftver vagy böngésző által. Az információ feldolgozása a szerveren történik, az adatok bevitele pedig a felhasználó által a vékony kliens készüléken.
Minden alkalmazás a központi szerveren fut, mialatt a felhasználó egység csak annyi számítógépes forrást használ, amennyi szükséges, hogy elérje a szervert.
Vékony kliens technológia
Előnyök: Alacsony üzemeltetési költségek Jóval olcsóbb, mint a hagyományos PC Kevesebb karbantartás (nincs mozgó alkatrész) Kisebb teljesítményfelvétel (alacsony fogyasztás) Könnyen mozgatható, költöztethető az egész infrastruktúra Magas szintű biztonság Központosított a rendszer karbantartása Hátrány:
Nem igazán támogatja a 3D-t és az AutCad-et Gyenge multimédiás megjelenítés Gyenge minőségű hang átvitel
Vékony kliens technológia Alkalmazási terület:
Vékonykliens infrastruktúrát elsősorban irodáknak tervezték, ahol a fő tevékenység a dokumentum szerkesztés, és ügyviteli szoftverek alkalmazása.
Iskolák Könyvtárak Net kávézók
Vékony kliens technológia
Vékony kliens technológia
Vékony kliens Technológia Konnektorba szerelhető PC
Felhő alapú informatika
ONLINE alkalmazások Amikor nem lokálisan szerkesztjük és tároljuk az adatunkat, fájlokat, hanem egy nagy közös szerveren vannak elhelyezve. - Webes levelezőprogram - Online dokumentum szerkesztők - Fájlmegosztó szolgáltatások
A számítási felhő segít a különböző eszközökön, (PC, notebook, PDA, mobiltelefon) lévő adatok szinkronizálásában is.
2008-ban az Apple indított el egy számítási felhőt, a MobileMe szolgáltatást, amelynek azonban az adatszinkronizálási működése nem volt elég korszerű, ezért hamarosan felváltotta az iCloud felhő.
Felhő alapú számítástechnika Az internet felhasználásával nyújtott szolgáltatások összességét jelenti. Egy olyan felhőalapú virtuális infrastruktúraszolgáltatás, ahol saját szerverparkunk lehet virtuális hálózattal és mindezt egy könnyen kezelhető vezérlőpultból irányíthatjuk, bővíthetjük.
Olyan állományokkal és programokkal dolgozunk, melyek fizikailag nem a saját gépünkön, hanem az interneten, egy ismeretlen helyen vannak, valahol a „felhőben”.
A felhasználó csupán egy egyszerű, kis teljesítményű számítógéppel, és egy böngészővel rendelkezik.
Nagy teljesítményű szerverek
Felhőszolgáltatások szintjei Legalsó szint: Iaas - Infrastracture as a Service, vagyis infrastruktúra nyújtása szolgáltatásként. Ez gyakorlatilag csak erőforrás bérlését jelenti, vagyis meghatározott mennyiségű processzor, memória és tárhely használatát egy felhő szolgáltatónál, szoftver nélkül. Középső szint: Paas – Platform as a Service, vagyis fejlesztési platformok nyújtása szolgáltatásként. A platformszolgáltatás igénybevételével a felhasználó általában valamilyen fejlesztői környezetet bérel a cloud szolgáltatótól. Felső szint: SaaS – Software as a Service, vagyis szoftver nyújtása szolgáltatásként. Ez a legegyszerűbb felhő alapú szolgáltatás, olyan szoftverek bérlését biztosítja a felhasználók számára, amiket nem kell telepíteni, használatukhoz elegendő egy webböngésző. A többit a felhő szolgáltatóra bízhatja.
Kiépítés szerint három felhő alapú megoldások: • Privát felhő • Publikus felhő • Számítási felhő
Privát felhő Privát felhő esetén a szolgáltatást nyújtó erőforrások kizárólag a részünkre vannak dedikálva, nem kell osztoznunk azok teljesítményén másokkal. (önkormányzatok, bankok, vagy nagyvállalatok)
Publikus felhő Jelenti a klasszikus felhőt, melynek infrastruktúrjából bárki bérelhet egy részt, megfelelő havidíj kifizetése ellenében.
Számítási felhő Ebben az esetben kiemelten hangsúlyos a szolgáltatás sebessége. Vagyis számítási kapacitást vásárolunk. Ilyenkor a szolgáltató garantál egy rövid válasz időt, egy adott számítás elvégzésére vállal határidőt. Ezeknek a betartása érdekében a szolgáltató akár dinamikusan meg is többszörözheti az erőforrások számát, gyakorlatilag, ha szükséges, akár több száz vagy több ezer új szervert is üzembe állít, amik csak nekünk számolnak.
Redundancia Nagy előnye, hogy segítségével különböző szolgáltatások könnyen redundássá tehetőek. Ez a gyakorlatban azt jelenti, hogy a vállalkozásnak nem kell ugyanarra a feladatra két szervert megvásárolnia, és azokat különböző fizikai helyen elhelyeznie a folyamatos üzletmenet érdekében, hanem elég két földrajzilag eltérő helyen lévő virtuális szervert bérelnie.
Fizikai felépítés
BLADE szerverek A blade rendszerekben egy szerver ugyanúgy egy elkülöníthető eszköz, mint a hagyományos rendszerekben, de nem tartalmaz sok bővítő helyet, nincs önálló tápegysége, így sokkal karcsúbb (ezért is nevezik penge szervernek). A helykihasználás javítása érdekében a penge szerverek befogadására létrehoztak egy keretet, amely a tápellátást, hálózati csatlakozást, a kezelőszervek (billentyűzet, egér) és monitor csatlakoztatását is megoldja.
BLADE szerverek előnyei • a helykihasználás racionalizálása • a kábelezési szükséglet minimalizálása • a gyors bővíthetőség: az új szerver fizikai telepítése mindössze annyi, hogy egy penge szerver modult tolunk a keretbe.
TÁROLÓKKAL (STORAGE) VALÓ KAPCSOLAT A szerverekhez csatlakoztatott tárolók típusától • Fibre Channel avagy üvegszál, • SAS avagy Serial Attached SCSI, • Ethernet felületen elérhető NAS
függően választható a kerethez a megfelelő csatoló modul.
1
Hard disk drives
4 Slots (24)—if present, not used
2
LED—if present, not used
5 Serial/WWN label
3
Button—if present, not used
TÁROLÓK (STORAGE)
SZERVERPARKOK
Hálózati Tárolók DAS, SAN, NAS
DAS
(Direct Attached Storage)
A megosztott adatok tárolásának klasszikus módja a szerverekben elhelyezett merevlemezek használata, azaz a közvetlenül csatolt tárolás. A hálózati szerverekkel direkt módon összekötött tárolók alkalmazása. Legnagyobb problémája, hogy a szerver esetleges leállása esetén a csatolt háttértárak nem elérhetők, illetve hogy sok esetben felesleges kapacitások alakulnak ki, hiszen a rendelkezésre álló szabad helyek nem csoportosíthatók át egyik szervertől a másikhoz.
SAN (Storage Area Network)
A merevlemezeket tartalmazó eszközök valamilyen gyors kapcsolaton keresztül egyfajta hálózatba vannak szervezve, ez az alhálózat pedig a kapcsolókon keresztül elérhető a szerverek számára. A transzparens megvalósítás miatt nincs elpazarolt kapacitás, rekordok kezelése, illetve tranzakciókezelés esetén pedig ez a megoldás sebességben is verhetetlen.
NAS (Network Attached Storage)
A NAS, egy hálózatra kötött adattároló. Sok mindenben hasonlít egy külső merevlemezre. A NAS egy drága külső HDD-keret, amely nem dedikáltan egy gépre csatlakozik, hanem routeren keresztül a hálózat valamennyi számítógépéhez.
• nagy maximális tárolókapacitás, • többplatformos hozzáférés lehetősége, a hálózatra csatlakozó gép operációs rendszerének fájlrendszerét képes emulálni. • csökkenthetők az elpazarolt kapacitások, illetve az adminisztrációs költségek.
UTP csatlakozás
NAS (Network Attached Storage)
NAS (Network Attached Storage) Megosztási lehetőségek: NFS (Unix)
CIFS/SMB (WIN) AFP (MAC) Alkalmazások:
FTP szerver, Mail szerver, Nyomtató szerver Backup RAID Domain
Otthoni és mikro-vállalati hálózat
A bejövő internet kapcsolat Vezetékes kapcsolat Telefonhálózat UTP kábel Vezeték nélküli kapcsolat Mikrohullám Mobil internet
Telefonosos bejövő kapcsolat Telefon
Bejövő telefonos hálózat
Jel elosztás
Modem
Számítógép
UTP-s bejövő kapcsolat Bejövő Internet (UTP)
ROUTER
Számítógép
Mikrohullámú kapcsolat Mikrohullámú torony jel
Mikrohullámú vevő antenna
PoE eszköz
ROUTER
Számítógép
Mobil internet kapcsolat Mobilszolgáltatói hálózat
Összetett Router Több kliens gép kapcsolódása vezetékkel LAN1-4 Vezeték nélküli kommunikáció Még több kliens számára Titkosításos megoldás (WPA2/PSK) USB Hálózati nyomtató kezelése Központi adattároló
USB konfigurálási lehetőségei
HOMEPLUG AV Az otthoni hálózatot használja adatok továbbításra.
• • • •
200-500Mbps 300méter távolság Rossz WiFi jel esetén Nagy távolságok áthidalására
Vékony kliens technológia
Vékony kliens technológia
A vékony kliensek úgynevezett solid-state készülékek, diszk és mozgó alkatrészek nélkül, amelyek kapcsolatban vannak egy központi szerverrel néhány elérési szoftver vagy böngésző által. Az információ feldolgozása a szerveren történik, az adatok bevitele pedig a felhasználó által a vékony kliens készüléken.
Minden alkalmazás a központi szerveren fut, mialatt a felhasználó egység csak annyi számítógépes forrást használ, amennyi szükséges, hogy elérje a szervert.
Vékony kliens technológia
Előnyök: Alacsony üzemeltetési költségek Jóval olcsóbb, mint a hagyományos PC Kevesebb karbantartás (nincs mozgó alkatrész) Kisebb teljesítményfelvétel (alacsony fogyasztás) Könnyen mozgatható, költöztethető az egész infrastruktúra Magas szintű biztonság Központosított a rendszer karbantartása Hátrány:
Nem igazán támogatja a 3D-t és az AutCad-et Gyenge multimédiás megjelenítés Gyenge minőségű hang átvitel
Vékony kliens technológia Alkalmazási terület:
Vékonykliens infrastruktúrát elsősorban irodáknak tervezték, ahol a fő tevékenység a dokumentum szerkesztés, és ügyviteli szoftverek alkalmazása.
Iskolák Könyvtárak Net kávézók
Vékony kliens technológia
Vékony kliens technológia
Vékony kliens Technológia Konnektorba szerelhető PC
Felhő alapú informatika
ONLINE alkalmazások Amikor nem lokálisan szerkesztjük és tároljuk az adatunkat, fájlokat, hanem egy nagy közös szerveren vannak elhelyezve. - Webes levelezőprogram - Online dokumentum szerkesztők - Fájlmegosztó szolgáltatások
A számítási felhő segít a különböző eszközökön, (PC, notebook, PDA, mobiltelefon) lévő adatok szinkronizálásában is.
2008-ban az Apple indított el egy számítási felhőt, a MobileMe szolgáltatást, amelynek azonban az adatszinkronizálási működése nem volt elég korszerű, ezért hamarosan felváltotta az iCloud felhő.
Felhő alapú számítástechnika Az internet felhasználásával nyújtott szolgáltatások összességét jelenti. Egy olyan felhőalapú virtuális infrastruktúraszolgáltatás, ahol saját szerverparkunk lehet virtuális hálózattal és mindezt egy könnyen kezelhető vezérlőpultból irányíthatjuk, bővíthetjük.
Olyan állományokkal és programokkal dolgozunk, melyek fizikailag nem a saját gépünkön, hanem az interneten, egy ismeretlen helyen vannak, valahol a „felhőben”.
A felhasználó csupán egy egyszerű, kis teljesítményű számítógéppel, és egy böngészővel rendelkezik.
Nagy teljesítményű szerverek
Felhőszolgáltatások szintjei Legalsó szint: Iaas - Infrastracture as a Service, vagyis infrastruktúra nyújtása szolgáltatásként. Ez gyakorlatilag csak erőforrás bérlését jelenti, vagyis meghatározott mennyiségű processzor, memória és tárhely használatát egy felhő szolgáltatónál, szoftver nélkül. Középső szint: Paas – Platform as a Service, vagyis fejlesztési platformok nyújtása szolgáltatásként. A platformszolgáltatás igénybevételével a felhasználó általában valamilyen fejlesztői környezetet bérel a cloud szolgáltatótól. Felső szint: SaaS – Software as a Service, vagyis szoftver nyújtása szolgáltatásként. Ez a legegyszerűbb felhő alapú szolgáltatás, olyan szoftverek bérlését biztosítja a felhasználók számára, amiket nem kell telepíteni, használatukhoz elegendő egy webböngésző. A többit a felhő szolgáltatóra bízhatja.
Kiépítés szerint három felhő alapú megoldások: • Privát felhő • Publikus felhő • Számítási felhő
Privát felhő Privát felhő esetén a szolgáltatást nyújtó erőforrások kizárólag a részünkre vannak dedikálva, nem kell osztoznunk azok teljesítményén másokkal. (önkormányzatok, bankok, vagy nagyvállalatok)
Publikus felhő Jelenti a klasszikus felhőt, melynek infrastruktúrjából bárki bérelhet egy részt, megfelelő havidíj kifizetése ellenében.
Számítási felhő Ebben az esetben kiemelten hangsúlyos a szolgáltatás sebessége. Vagyis számítási kapacitást vásárolunk. Ilyenkor a szolgáltató garantál egy rövid válasz időt, egy adott számítás elvégzésére vállal határidőt. Ezeknek a betartása érdekében a szolgáltató akár dinamikusan meg is többszörözheti az erőforrások számát, gyakorlatilag, ha szükséges, akár több száz vagy több ezer új szervert is üzembe állít, amik csak nekünk számolnak.
Redundancia Nagy előnye, hogy segítségével különböző szolgáltatások könnyen redundássá tehetőek. Ez a gyakorlatban azt jelenti, hogy a vállalkozásnak nem kell ugyanarra a feladatra két szervert megvásárolnia, és azokat különböző fizikai helyen elhelyeznie a folyamatos üzletmenet érdekében, hanem elég két földrajzilag eltérő helyen lévő virtuális szervert bérelnie.
Fizikai felépítés
BLADE szerverek A blade rendszerekben egy szerver ugyanúgy egy elkülöníthető eszköz, mint a hagyományos rendszerekben, de nem tartalmaz sok bővítő helyet, nincs önálló tápegysége, így sokkal karcsúbb (ezért is nevezik penge szervernek). A helykihasználás javítása érdekében a penge szerverek befogadására létrehoztak egy keretet, amely a tápellátást, hálózati csatlakozást, a kezelőszervek (billentyűzet, egér) és monitor csatlakoztatását is megoldja.
BLADE szerverek előnyei • a helykihasználás racionalizálása • a kábelezési szükséglet minimalizálása • a gyors bővíthetőség: az új szerver fizikai telepítése mindössze annyi, hogy egy penge szerver modult tolunk a keretbe.
TÁROLÓKKAL (STORAGE) VALÓ KAPCSOLAT A szerverekhez csatlakoztatott tárolók típusától • Fibre Channel avagy üvegszál, • SAS avagy Serial Attached SCSI, • Ethernet felületen elérhető NAS
függően választható a kerethez a megfelelő csatoló modul.
1
Hard disk drives
4 Slots (24)—if present, not used
2
LED—if present, not used
5 Serial/WWN label
3
Button—if present, not used
TÁROLÓK (STORAGE)
SZERVERPARKOK
Windows-os gépek hálózatban
Hálózati típusok Munkacsoport (workgroup)
Laza kapcsolat. Minden gépen Security Account Management (SAM). Minden gép megoszthat erőforrásokat (fájl, nyomtató). Egyenrangú számítógépekből alakított hálózat. Helyi felhasználók.
Tartomány (domain)
Van egy közös tartományi szintű SAM, ami az aktív címtár (AD) adatbázis része. Központosított felhasználói fiók nyilvántartás. Központi felügyelet csoportházirenddel. Distributed File System
Kiszolgáló-ügyfél típusú hálózat Kiszolgáló Hardver : állandó folyamatos üzemre tervezve. Nagyobb teljesítmény, kiszolgálásra optimalizálva.
Szoftver:
Jogosultságok központi kezelése (címtár). Központi felügyelet (címtár). Csoportházirend (nem egyesével állítjuk be a gépeket). IP cím kiosztás központosítva (DHCP) Névfeloldás (WINS, DNS) DFS
Tartomány vagy munkacsoport?
Ökölszabály: Ügyfélszámítógépek száma
≤5 → munkacsoport >5 → tartomány
Szerver alkalmazások Kiszolgálói szerepkörök: valamely hálózati szolgáltatás megvalósítása: pl. alkalmazás kiszolgáló, DNS, DHCP, stb.
Szolgáltatás: szoftver összetevő, ami lehetővé teszi a szerepkör megvalósítását. Minden szerepkörhöz legalább egy szolgáltatás tartozik. Ahol csak egy szolgáltatás van ott az automatikusan települ a szerepkör telepítésekor. A többinél válogathatunk.
AD DS AD DS – Active Directory tartományi szolgáltatások Címtár a hálózati objektumok számára,
A tartományvezérlők segítségével egyszeri bejelentkezési folyamattal hozzáférés a hálózati erőforrásokhoz szabályozott módon DNS kiszolgálót igényel – a DNS a tartományvezérlőn legyen
AD LDS Active Directory Lightweight Directory Services Tárolási szolgáltatást biztosít olyan címtárkompatibilis alkalmazások alkalmazásspecifikus adatai számára, amelyeknek nincs szükségük az AD DS-re. Az AD LDS több példánya is jelen lehet egy kiszolgálón, és mindegyik külön sémával rendelkezhet Az LDAP technológián alapul Nincs szüksége tartományra, de lehet tartományban is Egyszerre képes kiszolgálni egy munkacsoportot és egy tartományt is Olyan adatbázisoknál érdemes használni, ahol gyakrabban történik írás mint olvasás
AD FS - Federation Services Összevonási szolgáltatások
Egyszeri bejelentkezési (SSO) technológiák révén lehetővé teszi, hogy a felhasználók egy online munkamenet időtartamára több, kapcsolódó webalkalmazás számára is hitelesíthessék magukat.
AD FS Legfontosabb funkciói: Összevont és webes egyszeri bejelentkezés (AD DS szükséges) Kompatibilitás a Web Services specifikációval: a Windows és más identitásmodellre épülő környezetek között is lehetővé teszi az összevonás megoldását Bővíthető architektúra Támogatja a SAML típusú jogkivonatokat és a Kerberos hitelesítést, a hozzáférési kérésekben egyéni üzleti logika alapján módosíthatja a jogcímeket
SAML - Security Assertion Markup Language
A SAML egy ipari szabvány, amely egy olyan XML-alapú protokollt definiál, mellyel az azonosító adatok cseréje biztonságosan megoldható különböző szolgáltatások között, vagyis több különböző, egy időben használt szolgáltatás (például e-mail alkalmazások, file-elérés stb.) érhető el egy egyszeri azonosításon keresztül.
AD CS AD CS – AD tanúsítvány szolgáltatások:
Biztosítja az ügyfélszámítógépek és kiszolgálók digitális tanúsítványainak kiadásához és visszavonásához szükséges funkciókat, Hitelesítés szolgáltatók és hozzájuk kapcsolódó szerepkör-szolgáltatások létrehozására használható
AD CS Összetevők (nincs mindegyik jelen összes szerver típusnál) • Hitelesítés szolgáltató • Hálózati eszközök tanúsítvány igénylési szolgáltatása • Online válaszadó szolgáltatás • Hitelesítés szolgáltatói tanúsítvány webes igénylése • Tanúsítványigénylési web szolgáltatás • Tanúsítványigénylési házirend web szolgáltatás
AD RMS AD RMS – jogkezelő szolgáltatások: kiszolgáló-ügyfél architektúrájú rendszer
A kiszolgáló kezeli a tanúsítványokat és a licencelést - Az ügyfél (W7 W8 és Vista): Felhasználók szabhatják meg, hogy egy dokumentum megnyitását, módosítását, nyomtatását, továbbítását kinek engedélyezik A szervezetek házirend sablonokat készíthetnek, ami közvetlenül az információra alkalmazható
A használati jogok a dokumentumba kerülnek
DNS - Domain Name SERVER Azok a szerverek, amelyek számon tartják az egyes IP címekhez tartozó számítógépneveket, illetve biztosítják ezek oda-vissza fordítását, mert a gépek csak a numerikus IP címeket tudják kezelni, az emberek viszont könnyebben megjegyzik a neveket. A DNS lehet Domain Name System jelentésű is, ebben az értelemben a hálózatba kötött számítógépek azonosítóinak elosztott adatbázisa.
DNS - Domain Name System DNS kiszolgáló – névfeloldás Választható szolgáltatások: • RFC kompatibilis DNS kiszolgáló
• Együttműködés más DNS implementációkkal (pl. BIND) AD DS támogatása:
• tartományvezérlők megtalálása • replikáció támogatása Bővítmények a DNS zónatároláshoz AD DS-ben – alkalmazási címtárpartíción
DNS kiszolgáló Feltételes továbbítók: bizonyos tartományokra végződő lekérdezéseket megadott szerver(ek)hez továbbít (van feltétel nélküli továbbítás is) Helyettes zónák: csak olyan rekordot tartalmaz, ami alapján a zóna mérvadó DNS kiszolgálói azonosíthatóak Fokozott DNS biztonsági szolgáltatások Integráció más Microsoft hálózati szolgáltatásokkal (AD DS, WINS, DHCP)
DNS kiszolgáló Továbbfejlesztett egyszerű felügyelet: MMC + varázslók RFC 2136 kompatibilis dinamikus frissítési protokoll támogatása – az ügyfél regisztrálja automatikusan nevét és IP címét Növekményes zónaletöltés támogatása kiszolgálók között - amikor fájlokban van tárolva (nem AD) – csak a megváltozott részeket replikája Egycímkés állomásnév feloldás WINS nélkül
GlobalNames nevű zóna (ahol WINS nem lehetséges)
Fájlszolgáltatások Fájlszolgáltatások: tároláskezelés, replikáció, megosztás, UNIX ügyfelek Választható szolgáltatások: Elosztott fájlrendszer DFS Fájlkiszolgálói erőforrás-kezelő FSRM: kvóták mappákra és kötetekre, átfogó tárolási jelentések NFS szolgáltatások: fájlátvitel NFS protokollon keresztül Windows keresési szolgáltatás: fájlok gyors keresése a kiszolgálón
Fájlszolgáltatások BranchCache hálózati fájlokhoz: az ügyfél gyorsítótárazza a kiszolgáló által megosztott mappát, majd elérhetővé teszi azt a többi helyi gép felé
Windows Server biztonsági másolat: mentés és helyreállítás
Fájlszolgáltatások Tárolóhálózati tárkezelő: száloptikás vagy internetes SCSI tárolórendszerek használata Feladatátvételi fürt: ha egy csomópont meghibásodik, egy másik biztosítja a szolgáltatást Többutas I/O: több adatelérési út fájlkiszolgáló és tárolóeszköz között: terheléselosztás, elérhetőség javítása
Hálózati házirend- és elérési szolgáltatások hálózatvédelem, állapotházirendek létrehozása és kikényszerítése (szoftverkövetelmények, biztonsági frissítések, stb.) Korlátozott hálózatelérés a feltételek teljesüléséig Biztonságos vezetékes és –nélküli hozzáférés: csatlakozás és IP cím kérés csak hitelesítést követően Távelérési megoldások: VPN és betárcsázós Központi hálózati házirend kezelés Útválasztás és távelérés: VPN, telefon, LAN-LAN, LANWAN, NAT
További kiszolgálói szerepkörök Távoli asztal szolgáltatások Webkiszolgáló (IIS): Web, WebDAV, ftp
Faxkiszolgáló: faxok küldése és fogadása, jelentések, naplózás Windows Server Update Services: telepítendő frissítések megadása, frissítéscsoportok és számítógépcsoportok összerendelése, jelentések a számítógépek kompatibilitási szintjéről Hyper-V: szolgáltatások virtuális gépek létrehozásához és kezeléséhez
Címtár • Tárolja a hálózat objektumainak (pl.felhasználói fiókok, gépek, nyomtatók, stb.) és erőforrásainak (pl. DFS, névfeloldási adatbázis, stb.) adatait
• Lekérdezésre optimalizált hierarchikus adatbázis. Egységes, jól kereshető formátum. • Beállítások és korlátozások (pl. csoport házirend), saját könyvtárak, be/kijelentkezési szkriptek központosítottan kezelhetők. • Felhasználó azonosítás és hozzáférés szabályozás (pl. ID: SQL Server, Exchange, IIS)
Objektum típusok funkció szerint
Konténer: további objektumokat tartalmazhat. Erdő, fa, tartomány, szervezeti egység Levél objektum: a hálózat elemei
Konténer objektumok Erdő – A legmagasabb szintű tároló egység. Közös sémát és globális katalógust használ. Egy vagy több fa lehet benne. Fa – több AD tartomány közös DNS tartománynévvel. Az AD tartományok szülő-gyerek kapcsolatban állhatnak. Tartomány – Biztonsági egység: ügyfelek, kiszolgálók, hálózati erőforrások közös címtáradatbázissal. Egy vagy több DC. Szervezeti egység – objektumokat tárol: felhasználói fiókok, csoportok, számítógépek felügyelet szempontjából csoportosítva. Csoportházirend, delegálható felügyeleti jog. Levél objektumokat és más SzE-ket tárolhat
Levél objektumok Felhasználói fiók – adatok a felhasználóról + bizonyos korlátozások Számítógép fiók – a tartományba felvett számítógépet reprezentálja. A DC fiókja automatikusan jön létre. Csoportfiók – cél az egyszerűbb felügyelet Beléptetés után a Helyi felhasználók csoportnak tagja lesz a Tartományfelhasználók csoport. A helyi rendszergazdák csoportba bekerül a Tartománygazdák csoport.
Csoportfiók Helyi csoport – helyi számítógépen Tartománybeli csoport Terjesztési csoport – (nem biztonsági) csak levelezésre, nem lehet általa engedélyeket szerezni Biztonsági csoport – engedély kiosztás megkönnyítésére szolgál
Csoport hatókör típusok Tartományi helyi csoport Tartományon belüli erőforrásokhoz ad hozzáférést. Tagja lehet az erdő bármely tartományából vagy más erdő megbízható tartományából. Gyakorlat: globális vagy univerzális csoportok. Mihez ad engedélyt: nyomtatók, megosztott mappák Beépített helyi csoport nem lehet utólag létrehozni vagy törölni.
Csoport hatókör típusok Globális csoport Tagja lehet: a saját tartomány felhasználói és gépei. Szervezési egység, ezt veszik fel a tartományi helyi csoportba. Univerzális csoport A fán belül bárki tagja lehet. Általában: a globális csoportok kerülnek bele. Ha csak egy tartomány van, akkor nem használjuk.
Felhasználói fiók • Belső azonosítás nem a név alapján, hanem SID-del • Jelszó nélküli felhasználó nem jelentkezhet be távolról • Felhasználói fiók létrehozásához kiemelt felhasználói jogosultság szükséges
Felhasználói fiók Helyi (W8, W2012 önálló szerver) csak helyi gépen érvényes, helyi SAM-ben tárolva
Tartománybeli AD –ben tárolva: SSO és a tartomány összes erőforrásának elérése
Bejelentkezési név Tartományban: felhasználónév@tartomány, pl. [email protected] NB_tartománynév\felhasználónév, pl. VALAMI\geza Önálló gépen: NB_gépnév\felhasználónév
Biztonsági azonosító SID
S-1-5-21-3623811015-3361044348-30300820-1013 Tartományt beazonosító rész
Egyedi relatív azonosító (RID) A név megváltoztatható, a SID nem
Felhasználói fiók • Felhasználónév – bejelentkezési név, egyedi és max. 256 karakter. Nem lehet benne speciális karakter. Kis és nagybetű azonosnak számít. • Teljes név – max. 64 karakter • Jelszó – kis/nagybetű érzékeny. Max. 14 karakter (AD-ben 127). Használjunk minél többféle jelet. Komplexitás a Biztonsági házirendben szabályozható.
Jelszó Bonyolultsági feltételek Nem tartalmazhatja a bejelentkezési nevet sem annak részét Hossz ≥ 6 karakter
Legalább 3 teljesüljön az alábbiak közül Latin abc nagybetűi (A..Z) Latin abc kisbetűi (a..z) Számjegyek (0..9) Nem alfanumerikus karakterek (!,#,?,%,$)
Legrövidebb jelszó: 1..14 (0-nem kell jelszó)
Minimális élettartam: 1..999 (0-azonnal változtatható) Maximális élettartam: 1..42 (0-soha nem jár le)
Előző jelszavak megőrzése: 0..24 (alapért.:1)
Biztonsági házirend beállítása
secpol.msc
Alapértelmezett felhasználói fiókok és csoportok • Előre megadott – az OS-sel együtt települnek • Beépített – alkalmazásokkal, szolgáltatásokkal együtt települnek • Implicit – hálózati erőforrás elérésekor vagy egyéb művelet végrehajtásakor jönnek létre
Előre megadott Rendszergazda Nem tiltható le Nem törölhető
Vendég Alapértelmezés szerint letiltva
Beépített felhasználói fiókok Helyi Rendszer – rendszerfolyamatok futtatásához, rendszergazdai jogok, álfiók Helyi Szolgáltatás – csak helyi hozzáférés, Felhasználók csoport tagja, álfiók
Hálózati Szolgáltatás – álfiók, van hálózati kommunikáció
Implicit azonosságok • • • • • • • •
Névtelen bejelentkezés – pl. weboldal Hitelesített felhasználó Létrehozó tulajdonos Telefonos bejelentkezés Mindenki Interaktív – helyileg van bejelentkezve Hálózat – hálózaton éri el az erőforrást Terminálkiszolgáló felhasználója
Beépített csoportok • Rendszergazdák – rendszergazdai jogosultságok helyi gépen • Tartománygazdák – globális hatókör, AD tartományra jogosultság. Alapból tagja a Rendszergazdák csoportnak • Vállalati rendszergazdák – univerzális vagy globális hatókör erdőn belül. A vállalaton belüli összes számítógépet képes felügyelni.
Beépített csoportok Kiemelt felhasználók
Felhasználói fiókokat hozhatnak létre Csak az általuk létrehozott fiókokat módosíthatják vagy törölhetik Helyi csoportokat hozhatnak létre Csak olyan programot telepíthetnek, ami nem nyúl a rendszerállományokhoz Eltávolíthatnak felhasználókat az általuk létrehozott csoportokból valamint a Felhasználók, Kiemelt felhasználók és a Vendégek csoportokból Nem tölthetnek be eszközillesztőket Nem kezelhetik a biztonsági és naplófájlokat
Beépített csoportok Felhasználók
Létrehozhatnak helyi csoportokat és kezelhetik azokat Nem oszthatnak meg könyvtárakat Nem hozhatnak létre helyi nyomtatót
Biztonsági másolat felelősök
Biztonsági másolatot készíthetnek az állományokról és visszaállíthatnak Bejelentkezhetnek a számítógépre és leállíthatják azt Nem módosíthatják a biztonsági beállításokat
Vendégek
Leállíthatják a rendszert
Implicit csoportok • Létrehozó csoport • Tartományvezérlők • Tartományi számítógépek
Rendszergazda fiók Rendszergazda (helyi) teljes hozzáférés mindenhez Rendszergazda (tartományi) teljes hozzáférés a tartományon belül Ajánlás A fiók átnevezése A fiókot csak adminisztrációs feladatokra használjuk A fiók átnevezhető és letiltható, de nem törölhető
Felhasználói fiókok létrehozása és módosítása Elvárások: Egyedi legyen a tartományban 1 - 20 karakter hosszúságú
Elnevezési konvenció alkalmazása pl. kiss.janos
Helyi felhasználói fiók létrehozása és tulajdonságainak beállítása grafikus felületen
Biztonsági házirend beállítása
Windows 2012
Windows 2012
Windows 2012
Active Directory – felhasználók és számítógépek Grafikus felületen: Vezetéknév Utónév Teljes név Bejelentkezési név Bejelentkezési név (Windows 2000 előtti rendszer) Jelszó A következő bejelentkezéskor meg kell változtatni a jelszót A felhasználó nem módosíthatja a jelszót A jelszó soha nem jár le A fiók le van tiltva
Fiók sablonok használata Minta felhasználói fiók Tippek Egyet minden osztályhoz vagy szervezeti egységhez Letiltani a sablon fiókot A sablonfiók neve kezdődjön aláhúzással Minden lehetséges attribútum értéket kitölteni Nem másolható minden attribútum
Több fiók tulajdonságának egyszerre történő módosítása Kiválasztás Ctrl + egér vagy Shift + egér , majd gyorsmenü Végrehajtható műveletek: Hozzáadás csoporthoz… Fiók tiltása Fiók engedélyezése Áthelyezés … Üzenet küldése Kivágás Törlés Tulajdonságok
Általános fül Általános leíró információ a fiókról Fontosabb mezők Megjelenítendő név E-mail Az alaértelmezett levlezési alkalmazással levél küldhető a felhasználónak
Weblap Egy URL, megnyitható a fiókon történő jobb egérkattintással
Fiók fül
A tartományba történő bejelentkezést befolyásoló információk Bejelentkezési név Bejelentkezési idő… Bejelentkezési hely … Fiók zárolásának feloldása Fiókbeállítások Jelszó tárolása visszafejthető titkosítással Smart card szükséges interaktív bejelentkezéshez
A fiók érvényét veszti
A következő tagja fül • Csoporttagságok • Módosítható
• Elsődleges csoport • (Macintosh, Unix, vagy Linux kliensnél)
Windows 2012
Távoli asztal szolgáltatások Windows Server 2008 Terminal Services server Profil elérési útja Kezdőkönyvtár
Windows 2012
Windows 2012
Kapcsolattartó és terjesztési csoport Kapcsolattartó egy olyan Active Directory objektum, ami csak információs célokból tárolja egy személy adatait Általában Microsoft Exchange címjegyzékkel történő integráláshoz Terjesztési csoportot úgyanúgy hozunk létre, mint biztonságit Microsoft Exchange-el használható csoportos levélküldésre
Kapcsolattartó és csoport objektum létrehozása
Felhasználói profil A felhasználóhoz tartozó olyan állományok és beállítások gyűjteménye, ami meghatározza a felhasználó munkakörnyezetét.
Fontosabb könyvtárak AppData Desktop Documents Downloads Favorites Music Pictures (My Pictures) Ntuser.dat
Profil fül Profil elérési útja W7, Vista vagy Server 2008 C:\Users\username Windows XP C:\Documents and Settings\username
Bejelentkezési parancsfájl Csoportházirendnél is megadható egy parancsfájl
Kezdőmappa (saját könyvtár) Meghajtó Helyi elérési út
Helyi profil • Azon a gépen tárolva, ahol a felhasználó bejelentkezik
• Egy alapértelmezett profilból jön létre az első bejelentkezéskor • Csak azon a gépen él, ha másik gépen jelentkezik be a felhasználó mást lát • Megoldás: központi profil (roaming profile)
Központi profil • Bármelyik gépen jelentkezik be a felhasználó, ugyanazt a profilt kapja
• Egy hálózati megosztásról másolódik le a felhasználó gépére • Helyi másolat • A profil módosításai visszamásolódnak a megosztásra kijelentkezéskor • Hátrány: hálózati forgalom növekedése
Kötelező profil (Mandatory Profile) • A felhasználó nem hajthat végre tartós változtatást – csak ideiglenesen módosítható, a változások nem tárolódnak a szerveren • Több felhasználó ugyanazt a profilt használja • Előny: ellenőrzött profil, kisebb hálózati forgalom
Super Mandatory Profiles • Az alap központi profil beállításnál a felhasználó egy ideiglenes profilt kap (az alapértelmezett alapján), ha a központi nem érhető el • Super mandatory profiles – a felhasználó nem jelentkezhet be a tartományba, ha a központi profil nem érhető el
• A profilt tartalmazó könyvtár neve .man-ban kell végződjön
Windows 2012
Windows 2012
Windows 2012
Felhasználói fiókhoz rendelhető képességek • Csoportok által, házirenden keresztül • Jogok (Privilégiumok) - pl. rendszer leállítása, szg felvétele a tartományba, rendszeróra beállítása, hibakeresés, leállítás távolról/helyben, áll/mappa tulajdonba vétel • Bejelentkezési jogok – pl. helyileg/távolról/terminálon bejelentkezhet + ugyanez megtagadva
Felhasználói fiókhoz rendelhető képességek • Beépített lehetőségek – nem változtathatók, pl. felhasználói fiókok létrehozása/törlése/kezelése. Magában foglal privilégiumokat és bejelentkezési jogokat. • Hozzáférési engedélyek – hálózati erőforrásokon végrehajtható műveletek, pl. állományokat hozhat létre egy mappában. Ezt az NTFS és a megosztási engedélyekkel szabályozzák.
Helyi csoport létrehozása és felhasználói fiók felvétele a csoportba
Windows Server 2008 hitelesítési modell Bejelentkezés a tartományba/helyi gépre Név + jelszó vagy Intelligens kártya
A bejelentkezés hitelesítése Helyi fióknál helyben → helyi erőforrások elérése Tartományi fióknál az AD alapján a DC hitelesít → helyi és tartományi erőforrások elérése
Hálózati hitelesítés Tartományi bejelentkezésnél automatikus Helyi bejelentkezés esetén a tartományi erőforrás eléréséhez mindig meg kell adni az azonosító adatokat
Globális katalógus • Kiterjesztett szerepkörű tartományvezérlő • Információ az erdő összes objektumáról (pl. univerzális csoporttagság) • Az első DC egyben GC-is • GC hiányában korlátozott bejelentkezési lehetőség • Active Directory Sites and Services A saját tartományára vonatkozó információk mellett információkat tárol az erdő összes objektumáról. Nem az összes információt, hanem amit gyakrabban keresni szoktak és az univerzális csoporttagságot, mert az kell a bejelentkezéshez
Egyedi főkiszolgáló műveletek Erdő szintű Séma főkiszolgáló (Schema master) dsquery server –hasfmo schema Tartománynév nyilvántartási főkiszolgáló (Domain Naming Master) dsquery server –hasfmo name
Tartomány szintű RID (Relative IDentifier) főkiszolgáló dsquery server –hasfmo rid7 PDC emulátor – Tartományszintű műveleti főkiszolgáló dsquery server –hasfmo pdc Infrastruktúra főkiszolgáló dsquery server –hasfmo infr
Az aktív címtár és a kapcsolódó adatok tárolása %SYSTEMROOT%\NTDS NTDS.DIT (Directory Information Tree) – maga a címtár EDB.LOG – tranzakciónapló EDB.CHK – tranzakció kiegészítő infók TEMP.EDB SYSVOL mappa – megosztott Bejelentkezéskor az ügyfelek által letöltött fájlok Csoportházirend fájlok és sablonok (Policies) Bejelentkezési szkriptek
Tartalmát a File Replication Service szinkronizálja
Megosztott mappák és nyomtatók közzététele a címtárban
Active Directory Users and Computers Minden közzétett megosztáshoz egy címtár objektum Nincs ellenőrzés Az eredeti hely elfedve Előny: •Minden egy helyen •A felhasználó nem kell tudja az igazi helyet •Az erőforrás más IP alhálózaton is lehet •Nincs szükség az üzenetszórásos számítógép tallózó szolgáltatásra – erőforrás igény csökkenése
Címtár partíciók A partíció egy egységként replikálódik 1. Séma p. – az osztály és attribútum leírásokat tartalmazza. Ez közös az egész erdőre nézve. Minden DC-n és minden globális katalógusban tárolódik. 2.
Konfigurációs p. – címtár topológia, replikációs topológia és metaadatok. Ez közös az egész erdőre nézve. Minden DC-n tárolódik.
3.
Tartomány p. – tartományi szintű objektumokra vonatkozó adatok. Csak a tartomány DC-in tárolódik Alkalmazás p. – alkalmazáshoz kötődő. A rendszergazda által testreszabott replikációs egység. Pl. megszabható a DNS információk replikálásának korlátozása.
4.
Replikáció és tartományvezérlők Tartományvezérlő: az AD-t tároló Windows Server operációs rendszerű számítógép Az AD elosztott tárolása: több DC is jelen lehet egy tartományban. Bármelyiken végrehajtható módosítás, tartalmuk automatikusan szinkronizálódik. Ez a több főkiszolgálós (multimaster) replikáció. Replika: az egyes példányok. Ütközés esetén a későbbi módosítást tekinti érvényesnek. Mivel a szinkronizálás nem azonnali, ezért a címtárban ún. „laza konzisztencia” áll fenn. Más szóval rövid ideig a a címtár lehet nem konzisztens.
Replikáció Más tartomány DC-ire séma és konfigurációs adatok A replikáció folyamata és konfigurációja automatikus Adatátvitel csak adatváltozást követően, csak új adat utazik Replikáció konfiguráció: DC-k feltérképezése és kapcsolatok kialakítása
Replikációs topológia Meghatározza, hogy az egyes DC-k mely más DC-kel kerülnek replikációs kapcsolatba A Knowledge Consistency Checker hozza létre az „Active Directory helyek és szolgáltatások” programban megadottak alapján
Új DC telepítését követően a KCC újradefiniálja a topológiát Minden AD partícióhoz külön topológia
Gyűrűs, kétirányú, minden DC-nél legalább 2 kapcsolat, két DC között legfeljebb 3 lépés
Telephely • Olyan számítógép csoportot fog össze, amelynek tagjai között nagy sebességű (≥10 Mb/sec) és megbízható kapcsolat áll rendelkezésre • Egy telephelyen belül több IP alhálózat is lehet • A telephely a hálózat fizikai felépítését tükrözi • A tartomány a szervezet logikai felépítését tükrözi
Replikáció telephelyen belül Nagy sebesség, állandó kapcsolat Tömörítés nélkül Gyors frissítés változásértesítést követően Gyakoribb replikáció
Replikáció telephelyek között Alacsonyabb sebesség, nincs állandó kapcsolat Frissítés 3 óránként (az időköz állítható) Tömörített adatátvitel
Számítógépek telephelyhez rendelése Active Directory helyek és szolgáltatások – IP cím alapján 1.
Telephely létrehozása
2.
Szerverek konténerbe felvesszük a DC-t
3.
Alhálózatok konténerbe bejegyezzük az IP alhálózatokat
4.
Az IP alhálózat tulajdonság lapján hozzárendeljük a telephelyhez
Biztonsági mentés típusok Normál: minden kiválasztott állományról az A attr.-tól függetlenül. Az A attr. törlődik. Másolat: minden kiválasztott állományról az A attr.-tól függetlenül. Az A attr. nem törlődik. Különbségi: a kiválasztottak közül csak az A attr.-al rendelkezőket. Az A attr. nem törlődik. Növekményes: a kiválasztottak közül csak az A attr.-al rendelkezőket. Az A attr. törlődik. Napi: a kiválasztottak közül csak azokat, amelyek módosultak a mentés napján. Az A attr. nem törlődik.
Biztonsági mentési terv példa Mikor?
Milyen?
Mit ment?
Hétfő
Növekményes Vasárnap óta változottakat
Kedd
Növekményes Hétfő óta változottakat
Szerda
Növekményes Kedd óta változottakat
Csütörtök Növekményes Szerda óta változottakat Péntek
Növekményes Csütörtök óta változottakat
Szombat Növekményes Péntek óta változottakat Vasárnap Normál
Mindent
Tárolóeszköz Szalagos meghajtó: lassú, kevésbé megbízható, olcsó, 24-72 GB
Mentőprogramok Windows Server biztonsági másolat (WS Backup) – szolgáltatásként telepíteni kell, normál, másolt vagy növekményes mentés helyi és távoli rendszerről merevlemezre és DVD-re Nem támogatja a különbségi mentést és a szalagos egységet
Parancssori biztonsági mentő eszköz: wbadmin
Csoportházirendek Központi vezérlést biztosítanak a felhasználók és a számítógépek hozzáférési engedélyei, jogosultságai és lehetőségei felett Mire jó? • •
Hozzáférés szabályozás Szkript futtatás
•
Központilag kezelt mappák a speciális könyvtárak számára
•
Szoftvertelepítés
•
Biztonsági beállítások
Hozzáférés szabályozás Operációs rendszerre vonatkozó beállítások: Start menü és asztal egyes ikonjainak eltávolítása/engedélyezése, Vezérlőpult és annak elemeihez történő hozzáférés, parancssor letiltása, rendszerleíró adatbázis közvetlen szerkesztésének engedélyezése/tiltása, rendszerszolgáltatások engedélyezése/tiltása, alkalmazások futtatásának tiltása Hálózatra vonatkozó beállítások: DNS, tűzfal, vezeték nélküli hálózat beállítása Nyomtató beállítása Internet Explorer: proxy, biztonsági beállítások, kedvencek, beállítási fülek engedélyezése és tiltása
Szkript futtatás A gép be/kijelentkezésekor A felhasználó be/kijelentkezésekor A DC SYSVOL mappájában tárolva Nem azonos a felhasználó tulajdonságainál megadott szkripttel
Egy eseményhez több szkript is rendelhető
Központilag kezelt mappák a speciális könyvtárak számára AppData, Asztal, Dokumentumok, Képek, Zene, Videók, Kedvencek, Partnerek, Hivatkozások mappájának központi tárolása A Dokumentumok mappa helyileg gyorstárazható, így kapcsolat nélkül is tovább dolgozhat a felhasználó. Csatlakozás után automatikus szinkronizálás. Megoldások Egy speciális mappa átirányítása minden felhasználó esetén egy központi helyre Helyek megadása csoporttagság alapján
Telepítési módok Felhasználó bejelentkezésekor automatikusan Gép bejelentkezésekor automatikusan Felhasználó által kézzel – felhasználói közzététel Szoftvertelepítési GPO-t hozunk létre, majd azt hozzárendeljük a tárolóhoz
Felhasználói közzététel A szoftver valójában automatikusan települ, ha A felhasználó megnyit egy dokumentumot, amihez szükséges a szoftver A felhasználó megnyit egy parancsikont, ami az alkalmazásra mutat Egy másik szoftver igényli a szoftver valamely összetevőjét Elosztópont: a telepítéshez szükséges állományokat tartalmazó megosztott mappa vagy olyan megosztott mappa, ahol ún. rendszergazdai telepítéssel előtelepítették a szoftvert (pl.Office)
Biztonsági beállítások Jelszóházirend: minimális hossz, bonyolultság, min/max élettartam
Fiókzárolási házirend: hibás bejelentkezések maximális száma Naplózás, Felhasználói jogok (pl. távoli bejelentkezés)
Jogosultság hozzárendelés Sablonok is használhatók
Helyi profil • Azon a gépen tárolva, ahol a felhasználó bejelentkezik
• Egy alapértelmezett profilból jön létre az első bejelentkezéskor • Csak azon a gépen él, ha másik gépen jelentkezik be a felhasználó mást lát • Megoldás: központi profil (roaming profile)
Központi profil • Bármelyik gépen jelentkezik be a felhasználó, ugyanazt a profilt kapja
• Egy hálózati megosztásról másolódik le a felhasználó gépére • Helyi másolat • A profil módosításai visszamásolódnak a megosztásra kijelentkezéskor • Hátrány: hálózati forgalom növekedése
Kötelező profil (Mandatory Profile) • A felhasználó nem hajthat végre tartós változtatást – csak ideiglenesen módosítható, a változások nem tárolódnak a szerveren • Több felhasználó ugyanazt a profilt használja • Előny: ellenőrzött profil, kisebb hálózati forgalom
Super Mandatory Profiles • Az alap központi profil beállításnál a felhasználó egy ideiglenes profilt kap (az alapértelmezett alapján), ha a központi nem érhető el • Super mandatory profiles – a felhasználó nem jelentkezhet be a tartományba, ha a központi profil nem érhető el
• A profilt tartalmazó könyvtár neve .man-ban kell végződjön
Windows 2012
Windows 2012
Windows 2012
Felhasználói fiókhoz rendelhető képességek • Csoportok által, házirenden keresztül • Jogok (Privilégiumok) - pl. rendszer leállítása, szg felvétele a tartományba, rendszeróra beállítása, hibakeresés, leállítás távolról/helyben, áll/mappa tulajdonba vétel • Bejelentkezési jogok – pl. helyileg/távolról/terminálon bejelentkezhet + ugyanez megtagadva
Felhasználói fiókhoz rendelhető képességek • Beépített lehetőségek – nem változtathatók, pl. felhasználói fiókok létrehozása/törlése/kezelése. Magában foglal privilégiumokat és bejelentkezési jogokat. • Hozzáférési engedélyek – hálózati erőforrásokon végrehajtható műveletek, pl. állományokat hozhat létre egy mappában. Ezt az NTFS és a megosztási engedélyekkel szabályozzák.
Helyi csoport létrehozása és felhasználói fiók felvétele a csoportba
Windows Server hitelesítési modell Bejelentkezés a tartományba/helyi gépre Név + jelszó vagy Intelligens kártya
A bejelentkezés hitelesítése Helyi fióknál helyben → helyi erőforrások elérése Tartományi fióknál az AD alapján a DC hitelesít → helyi és tartományi erőforrások elérése
Hálózati hitelesítés Tartományi bejelentkezésnél automatikus Helyi bejelentkezés esetén a tartományi erőforrás eléréséhez mindig meg kell adni az azonosító adatokat
Globális katalógus • Kiterjesztett szerepkörű tartományvezérlő • Információ az erdő összes objektumáról (pl. univerzális csoporttagság) • Az első DC egyben GC-is • GC hiányában korlátozott bejelentkezési lehetőség • Active Directory Sites and Services A saját tartományára vonatkozó információk mellett információkat tárol az erdő összes objektumáról. Nem az összes információt, hanem amit gyakrabban keresni szoktak és az univerzális csoporttagságot, mert az kell a bejelentkezéshez
Egyedi főkiszolgáló műveletek Erdő szintű Séma főkiszolgáló (Schema master) dsquery server –hasfmo schema Tartománynév nyilvántartási főkiszolgáló (Domain Naming Master) dsquery server –hasfmo name
Tartomány szintű RID (Relative IDentifier) főkiszolgáló dsquery server –hasfmo rid7 PDC emulátor – Tartományszintű műveleti főkiszolgáló dsquery server –hasfmo pdc Infrastruktúra főkiszolgáló dsquery server –hasfmo infr
Az aktív címtár és a kapcsolódó adatok tárolása %SYSTEMROOT%\NTDS NTDS.DIT (Directory Information Tree) – maga a címtár EDB.LOG – tranzakciónapló EDB.CHK – tranzakció kiegészítő infók TEMP.EDB SYSVOL mappa – megosztott Bejelentkezéskor az ügyfelek által letöltött fájlok Csoportházirend fájlok és sablonok (Policies) Bejelentkezési szkriptek
Tartalmát a File Replication Service szinkronizálja
Megosztott mappák és nyomtatók közzététele a címtárban
Active Directory Users and Computers Minden közzétett megosztáshoz egy címtár objektum Nincs ellenőrzés Az eredeti hely elfedve Előny: •Minden egy helyen •A felhasználó nem kell tudja az igazi helyet •Az erőforrás más IP alhálózaton is lehet •Nincs szükség az üzenetszórásos számítógép tallózó szolgáltatásra – erőforrás igény csökkenése
Címtár partíciók A partíció egy egységként replikálódik 1. Séma p. – az osztály és attribútum leírásokat tartalmazza. Ez közös az egész erdőre nézve. Minden DC-n és minden globális katalógusban tárolódik. 2.
Konfigurációs p. – címtár topológia, replikációs topológia és metaadatok. Ez közös az egész erdőre nézve. Minden DC-n tárolódik.
3.
Tartomány p. – tartományi szintű objektumokra vonatkozó adatok. Csak a tartomány DC-in tárolódik Alkalmazás p. – alkalmazáshoz kötődő. A rendszergazda által testreszabott replikációs egység. Pl. megszabható a DNS információk replikálásának korlátozása.
4.
Replikáció és tartományvezérlők Tartományvezérlő: az AD-t tároló Windows Server operációs rendszerű számítógép Az AD elosztott tárolása: több DC is jelen lehet egy tartományban. Bármelyiken végrehajtható módosítás, tartalmuk automatikusan szinkronizálódik. Ez a több főkiszolgálós (multimaster) replikáció. Replika: az egyes példányok. Ütközés esetén a későbbi módosítást tekinti érvényesnek. Mivel a szinkronizálás nem azonnali, ezért a címtárban ún. „laza konzisztencia” áll fenn. Más szóval rövid ideig a a címtár lehet nem konzisztens.
Replikáció Más tartomány DC-ire séma és konfigurációs adatok A replikáció folyamata és konfigurációja automatikus Adatátvitel csak adatváltozást követően, csak új adat utazik Replikáció konfiguráció: DC-k feltérképezése és kapcsolatok kialakítása
Replikációs topológia Meghatározza, hogy az egyes DC-k mely más DC-kel kerülnek replikációs kapcsolatba A Knowledge Consistency Checker hozza létre az „Active Directory helyek és szolgáltatások” programban megadottak alapján
Új DC telepítését követően a KCC újradefiniálja a topológiát Minden AD partícióhoz külön topológia
Gyűrűs, kétirányú, minden DC-nél legalább 2 kapcsolat, két DC között legfeljebb 3 lépés
Telephely • Olyan számítógép csoportot fog össze, amelynek tagjai között nagy sebességű (≥10 Mb/sec) és megbízható kapcsolat áll rendelkezésre • Egy telephelyen belül több IP alhálózat is lehet • A telephely a hálózat fizikai felépítését tükrözi • A tartomány a szervezet logikai felépítését tükrözi
Replikáció telephelyen belül Nagy sebesség, állandó kapcsolat Tömörítés nélkül Gyors frissítés változásértesítést követően Gyakoribb replikáció
Replikáció telephelyek között Alacsonyabb sebesség, nincs állandó kapcsolat Frissítés 3 óránként (az időköz állítható) Tömörített adatátvitel
Számítógépek telephelyhez rendelése Active Directory helyek és szolgáltatások – IP cím alapján 1.
Telephely létrehozása
2.
Szerverek konténerbe felvesszük a DC-t
3.
Alhálózatok konténerbe bejegyezzük az IP alhálózatokat
4.
Az IP alhálózat tulajdonság lapján hozzárendeljük a telephelyhez
Csoportházirend
Csoportházirend Helyi csoportházirend: Alapból csak egy GPO: gépre/felhasználóra vonatkozó beállítások LGPO GPEDIT.MSC –közvetlenül ír a rendszerleíró adatbázisba Felhasználókra és csoportokra külön GPO-kat hozhatunk létre MMC beépülő modulokkal
Tartományi csoportházirend: Tartományi gépekre vonatkozó beállítások A GPO-kat egy tárolóhoz (pl. SzE) kapcsolhatjuk GPMC.MSC (Group Policy Management Console – Szolgáltatás hozzáadása varázslóval telepíthető) Felülírja a helyi házirendet
Beállítások érvényesítése Automatikus frissítés Szerveren 5 percenként Ügyfélgépen 90 percenként Kikényszerített frissítés tartományban gpupdate A ki/bejelentkezéshez indításhoz/leállításhoz kapcsolódó parancsállományok csak a következő ilyen esemény bekövetkezésekor fognak lefutni
A csoportházirend működése
Egy GPO két részből áll Gépre vonatkozó beállítások – bárki jelentkezik be Felhasználóra vonatkozó beállítások – bárhol jelentkezik be
Mindig egy tárolóhoz rendelve hozzuk létre, de később további tárolókhoz is hozzárendelhetjük Alapelvek: Minél kevesebb legyen a GPO-k száma - áttekinthetőség Minden összetartozó beállításcsoport számára hozzunk létre GPO-t finomabb szabályozás
Öröklődés A szülő konténer beállításait a gyerek konténer örökli Ha több GPO van egy szinten, akkor az alacsonyabb rangú lesz először feldolgozva Ha nincs ütközés, akkor az összes szinten megadott beállítássor uniója érvényesül
Melyik érvényesül? Ha különböző szinteken eltérő beállítások vannak, akkor az utolsóként feldolgozott érvényesül 1. Helyi házirend, helyi rendszergazdai, nem rendszergazdai, felhasználói 2. Telephely szintű házirend 3. Tartomány szintű házirend 4. Szervezeti egység szintű házirend szülő konténertől levél objektum irányában haladva sorban egymás után
Az öröklődés módosítható Megszakítással – a tartalmazott objektum nem veszi át (örökli) az őt tartalmazó objektum beállításait (csak az adott szinten beállított házirend érvényesül) Kikényszerítéssel – hiába van beállítva a gyerek objektumban a megszakítás
Az egy tárolóhoz rendelt GPO-k hivatkozási sorrendjének módosításával Az öröklés felülbírálásával – ha nincs kikényszerítés (letiltjuk a házirendet az alacsonyabb szinten)
Csoportházirend hatásának szűrése Minden GPO-hoz ACL hozzáférés vezérlési lista Egy GPO csak akkor érvényesül, ha a szabályozás tárgya (szg/fh) olyan biztonsági csoportnak a tagja, amelyik Olvasás/Alkalmazás joggal rendelkezik a GPO-hoz WMI szűrő: memória mennyisége, CPU, program megléte, javító csomag megléte dönti el, hogy érvényesül-e a GPO
Lépések 1.
OS indulás Számítógéphez rendelt GPO végrehajtása Indítási szkript végrehajtása
Alapértelmezett GPO Telepítéskor automatikusan jön létre Alapértelmezett tartományi házirend – a teljes tartományra hat Alapértelmezett tartományvezérlői házirend – csak a tartományvezérlőre hat
Csoportházirendek Központi vezérlést biztosítanak a felhasználók és a számítógépek hozzáférési engedélyei, jogosultságai és lehetőségei felett Mire jó? • •
Hozzáférés szabályozás Szkript futtatás
•
Központilag kezelt mappák a speciális könyvtárak számára
•
Szoftvertelepítés
•
Biztonsági beállítások
Hozzáférés szabályozás Operációs rendszerre vonatkozó beállítások: Start menü és asztal egyes ikonjainak eltávolítása/engedélyezése, Vezérlőpult és annak elemeihez történő hozzáférés, parancssor letiltása, rendszerleíró adatbázis közvetlen szerkesztésének engedélyezése/tiltása, rendszerszolgáltatások engedélyezése/tiltása, alkalmazások futtatásának tiltása Hálózatra vonatkozó beállítások: DNS, tűzfal, vezeték nélküli hálózat beállítása Nyomtató beállítása Internet Explorer: proxy, biztonsági beállítások, kedvencek, beállítási fülek engedélyezése és tiltása
Szkript futtatás A gép be/kijelentkezésekor A felhasználó be/kijelentkezésekor A DC SYSVOL mappájában tárolva Nem azonos a felhasználó tulajdonságainál megadott szkripttel
Egy eseményhez több szkript is rendelhető
Központilag kezelt mappák a speciális könyvtárak számára AppData, Asztal, Dokumentumok, Képek, Zene, Videók, Kedvencek, Partnerek, Hivatkozások mappájának központi tárolása A Dokumentumok mappa helyileg gyorstárazható, így kapcsolat nélkül is tovább dolgozhat a felhasználó. Csatlakozás után automatikus szinkronizálás. Megoldások Egy speciális mappa átirányítása minden felhasználó esetén egy központi helyre Helyek megadása csoporttagság alapján
Telepítési módok Felhasználó bejelentkezésekor automatikusan Gép bejelentkezésekor automatikusan Felhasználó által kézzel – felhasználói közzététel Szoftvertelepítési GPO-t hozunk létre, majd azt hozzárendeljük a tárolóhoz
Felhasználói közzététel A szoftver valójában automatikusan települ, ha A felhasználó megnyit egy dokumentumot, amihez szükséges a szoftver A felhasználó megnyit egy parancsikont, ami az alkalmazásra mutat Egy másik szoftver igényli a szoftver valamely összetevőjét Elosztópont: a telepítéshez szükséges állományokat tartalmazó megosztott mappa vagy olyan megosztott mappa, ahol ún. rendszergazdai telepítéssel előtelepítették a szoftvert (pl.Office)
Biztonsági beállítások Jelszóházirend: minimális hossz, bonyolultság, min/max élettartam
Fiókzárolási házirend: hibás bejelentkezések maximális száma Naplózás, Felhasználói jogok (pl. távoli bejelentkezés)
Jogosultság hozzárendelés Sablonok is használhatók
Default policy
Hardver tiltás
Saját GP csoportnak
Megosztások a tartományban
Megosztások közzététele Active Dirtectory tartomány címtárában A hálózatban található megosztott könyvtárakat és nyomtatókat közzétehetjük (Windows 2000 előtti rendszerekét is) az Active Directory tartomány címtárában, egy helyen központosítva. A módszer előnye az áttekinthetőségen kívül, hogy feleslegessé válik az erőforrás pazarló NetBIOS protokoll rendszer használata.
Megosztások közzététele Active Dirtectory tartomány címtárában A megosztás helyének nem feltétlenül kell egy tartományi gépen lenni. Ezzel megvalósítható egy központi nyilvántartás, • minden egy helyen elérhető • nem kell keresgélni a hálózatban
Megosztások közzététele Active Dirtectory tartomány címtárában A NetBIOS hálózati szolgáltatást használó gépek üzenetszórásokkal közlik a többi géppel, hogy beléptek a hálózatba, ezeket minden gép megkapja. Működik még egy tallózó szolgáltatás is üzenetszórásokkal annak ellenőrzésére, hogy milyen hálózati erőforrások érhetők el.
Megosztások közzététele Active Dirtectory tartomány címtárában Sok gépes hálózati környezetben, ha minden gép ezeket a módszereket alkalmazza, nagy terhelést ró a hálózati hardverre, jelentős kapacitást igényelve. Címtárban való közzététel másik előnye, hogy nélkülözhetővé válik a NetBIOS.
Megosztások közzététele Active Dirtectory tartomány címtárában Miután felvettük a megosztott erőforrást, ennek meglétére vonatkozó ellenőrzés nem történik. Tegyük fel, hogy kikapcsoljuk a hozzá tartozó számítógépet, ennek ellenére a címtárban megmarad a megosztás. Ha megpróbáljuk megnyitni, egy hibaüzenetet kapunk (pl.: "A hálózatnév nem található").
DFS Distributed File System – elosztott fájlrendszer
Miért van szükségünk az elosztott fájlrendszerre? A legtöbb számítógépes hálózatban a felhasználók adataikat központi kiszolgálók megosztott mappáiban tárolják. Minden ilyen hálózatban előbb vagy utóbb bekövetkezik az a kényes szituáció, hogy a • megosztott mappákat másik, újabb, nagyobb teljesítményű kiszolgálóra kell mozgatnunk
• a régi szerver más célokra még a hálózatban marad, azaz a megosztott mappa nevében található szervernév megváltozik.
Miért van szükségünk az elosztott fájlrendszerre? Mi legyen a felhasználók gépein hemzsegő • hálózati meghajtókkal • Parancsikonokkal • Beállításokkal • sok-sok hivatkozással amelyek mind-mind a régi útvonalat tartalmazzák? A közös névtér egyik előnye, hogy a megosztott mappák „valódi” útvonalát elrejti a felhasználók elől, így egy-egy ilyen változtatás nem okoz pluszmunkát az ügyfélgépek oldalán.
A DFS szolgáltatás üzemmódjai Stand-Alone DFS: azaz önálló DFS kiszolgáló. Ebben az esetben a DFS szolgáltatás a névtér információit a DFS kiszolgáló regisztrációs adatbázisában tárolja. Maga a névtér gyökere (DFS root) is a DFS kiszolgálón keresztül érhető el, ha ez a kiszolgáló nem elérhető, a DFS „halott”.
Stand-Alone DFS
A DFS szolgáltatás üzemmódjai Domain DFS: azaz tartományi DFS kiszolgáló. Ilyenkor a DFS szolgáltatás adatai értelemszerűen az Active Directory-ban találhatók.
Tartományi DFS esetén is kell legalább egy kiszolgáló, ami a DFS gyökér egy példányát kiszolgálja, de ebben az üzemmódban maga a DFS gyökér is többszörözhető (azaz gyökérreplikák is rendelkezésre állnak) – persze minden replikának különálló kiszolgálóra kell kerülnie.
Domain DFS
A DFS szolgáltatás üzemmódjai Üzemmódtól függetlenül szabály, hogy •
egy kiszolgálón csak egy DFS gyökér lehet,
• a tartományon belül több DFS gyökeret is létrehozhatunk (nyilván mindegyiknek másik kiszolgálóra kerül a replikája). A kétféle DFS szolgáltatás egyébként nagyon jól megfér egymás mellett, sőt, ezeket kombinálhatjuk is.
FRS File Replication Service
FRS A Windows tartományvezérők rendszermappáinak megosztásait már régóta külön erre a célra készült rendszerszolgáltatások szinkronizálgatják. A Windows 2000 fájlreplikációs szolgáltatása (FRS) azonban nem csak a tartományi adatbázis (azaz a SYSVOL könyvtár) replikálására használható, hanem a DFS mappák replikái közötti szinkronizálásra is.
FRS A File Replication Service minden Windows 2000 Server-ben megtalálható, de automatikusan csak a tartományvezérlőkön indul el. Ha a DFS-ben engedélyezzük a replikációt egy nemtartományvezérő Windows 2000 Server felé, az automatikusan átállítja a szolgáltatás indítási paramétereit és el is indítja azt.
FRS működése Az FRS az Active Directory-replikációhoz nagyon hasonló replikációs szolgáltatást végez. A rokonság olyan szoros, hogy többek között az FRS is figyelembe veszi az Active Directory telephelyek (site-ok) beállításait, a replikációs linkek adatait, és a címtár szinkronizációjával egyidejűleg működik.
FRS működése Ez azt is jelenti, hogy ha a szinkronizálandó megosztott mappák két különböző Active Directory-telephelyhez tartozó kiszolgálón találhatók, akkor a fájlok replikációja a telephely-kapcsolattól függő késlekedést szenved (azaz, akár az is előfordulhat, hogy a mappák tartalma például naponta egyszer szinkronizálódik). Míg az Active Directory replikáció telephelyek között tömörített, az FRS az adatokat még a telephelyek közötti replikáció során sem tömöríti.
FRS működése Az FRS egyébként mindig egész fájlokat szinkronizál, tehát nincs szó az adatok részleges replikációjáról. Stratégiailag pedig az „utolsó mentés érvényes” elvet követi, azaz függetlenül a mentés helyétől. Az a fájl lesz végül a győztes, aminek dátumbélyege a legfrissebb az összes többi között.
Backup: Biztonsági másolat Restore: Biztonsági másolatból való visszaállítás Recovery: Helyreállítás. Ekkor nemcsak az állományinkat, hanem a rendszerünk működőképességét állítjuk vissza egy korábban elmentett állapotba. Ekkor a mentés és a meghibásodás időpontja közt létrejött adatok elvesznek. Repair: Javítás. A meghibásodott, részben vagy egészben tönkrement állományok, esetleg a teljes rendszer javítása.
Storage server: biztonsági másolatokat vagy archívumokat tároló számítógép Redundancia: Szó szerint terjengősség. Olyan többletinformáció, többlet-adat, amelyet biztonsági, vagy más okból az eredeti információhoz, adathoz fűzünk hozzá vagy tárolunk mellette. Az ok nélküli, haszontalan redundancia természetesen nem jó. Tömörítés: Eljárás, amely ugyanazon információt kisebb jelsorozattal próbálja ábrázolni.
A biztonsági mentés teljesítményének mérése, mérőszámai • Egyszeri mentés lefutási ideje • Visszaállítás időigénye • Visszaállítható időtáv, mentés gyakorisága, ütemezése • Elfoglalt tárhely aránya az adatmennyiséghez képest
Mentési szintek • Teljes lemez mentése (bájtszinten) - alacsony szintű backup • Alaprendszer mentése (Windows mappa, system32 mappa, stb.) • Adott fájlok, mappák mentése (felhasználói adatok, emailek, stb.) • Alkalmazás-specifikus mentés - magas szintű backup,
Teljes (normál) mentés A rendszer minden adata válogatás nélkül mentésre kerül. A mentési folyamat ezért egyszerű, ellenben sok ideig tart és sok tárterület szükséges hozzá. Amennyiben adataink olyanok, hogy nem változnak túl sűrűn, a gyakori teljes mentés sok fölösleges adat tárolását okozza. Előnye azonban, hogy a visszaállítás viszonylag gyors.
Inkrementális mentés Alkalmazása esetén nem kerül elmentésre minden adat, hanem csak azok, amelyek egy korábbi mentés óta megváltoztak. Ekkor a visszaállításhoz természetesen több biztonsági mentésre is szükség van. Az inkrementális mentésnek két alapvető fajtája van: a kumulatív és a differenciális mentés. Ezek segítségével többféle mentési stratégia kidolgozható.
Kumulatív (növekményes) mentés: Ezen mentés során mindig az utolsó teljes mentés óta megváltozott adategységek kerülnek elmentésre. A kumulatív mentésekből álló mentési stratégiánál ha egy adategység valamikor megváltozott, akkor az minden kumulatív mentés alkalmával ismételten mentésre kerül egészen a következő teljes mentésig. Visszaállításhoz az eredeti teljes mentésre, és a legutolsó kumulatív mentésre van szükség. A kumulatív mentés gyorsabb a teljes mentésnél és kevesebb helyet is kíván. A differenciális mentésnél azonban lassabb és a tárigénye is nagyobb.
Differenciális (különbségi) mentés: A differenciális mentés során csak az utolsó inkrementális mentés óta megváltozott adategységek kerülnek elmentésre. Ha két teljes mentés között több differenciális mentést végzünk, akkor pl. a második differenciális mentés csak az első óta történt változásokat fogja rögzíteni. Ennek köszönhetően maga a mentés folyamata gyorsabbá válik, és esetenként kevesebb helyet foglal el. Hátránya azonban, hogy a visszaállításhoz a legutolsó teljes mentésre, és az azt követő összes differenciális mentésre szükség van.
Pillanatkép - snapshot készítés: A rendszer teljes állapotáról készítünk egy "pillanatfelvételt". Ilyen például a Windows rendszerekben a visszaállítási pont létrehozása. Ez egy fájl lesz a merevlemezünkön, amely az adott kötet tulajdonságait, programbeállításait tartalmazza, illetve a memória aktuális állapotát.
Biztonsági mentési terv példa Mikor?
Milyen?
Mit ment?
Hétfő
Növekményes Vasárnap óta változottakat
Kedd
Növekményes Hétfő óta változottakat
Szerda
Növekményes Kedd óta változottakat
Csütörtök Növekményes Szerda óta változottakat Péntek
Növekményes Csütörtök óta változottakat
Szombat Növekményes Péntek óta változottakat Vasárnap Normál
Mindent
Tárolóeszköz Szalagos meghajtó: lassú, kevésbé megbízható, olcsó, 24-72 GB
Mentőprogramok Windows Server biztonsági másolat (WS Backup) – szolgáltatásként telepíteni kell, normál, másolt vagy növekményes mentés helyi és távoli rendszerről merevlemezre és DVD-re Nem támogatja a különbségi mentést és a szalagos egységet
Parancssori biztonsági mentő eszköz: wbadmin
Adatok elosztása vagy Replikálása
RAID A RAID technológia alapja az adatok elosztása vagy replikálása több fizikailag független merevlemezen, egy logikai lemezt hozva létre. Minden RAID szint alapjában véve vagy az adatbiztonság növelését vagy az adatátviteli sebesség növelését szolgálja. A RAID-ben eredetileg 5 szintet definiáltak (RAID 1-től RAID 5-ig). Az egyes szintek nem a fejlődési, illetve minőségi sorrendet tükrözik, hanem egyszerűen a különböző megoldásokat.
RAID 0 A RAID 0 az egyes lemezek egyszerű összefűzését jelenti, viszont semmilyen redundanciát nem ad, így nem biztosít hibatűrést, azaz egyetlen meghajtó meghibásodása az egész tömb hibáját okozza.
A megoldás lehetővé teszi különböző kapacitású lemezek összekapcsolását is, viszont a nagyobb kapacitású lemezeken is csak a tömb legkisebb kapacitású lemezének méretét lehet használni (tehát egy 120 GB és egy 100 GB méretű lemez összefűzésekor mindössze egy 200 GB-os logikai meghajtót fogunk kapni, a 120 GB-os lemezen 20 GB szabad terület marad, amit más célokra természetesen felhasználhatunk).
RAID 1 A RAID 1 eljárás alapja az adatok tükrözése (disk mirroring), azaz az információk egyidejű tárolása a tömb minden elemén. A kapott logikai lemez a tömb legkisebb elemével lesz egyenlő méretű. Az adatok olvasása párhuzamosan történik a diszkekről, felgyorsítván az olvasás sebességét; az írás normál sebességgel, párhuzamosan történik a meghajtókon. Az eljárás igen jó hibavédelmet biztosít, bármely meghajtó meghibásodása esetén folytatódhat a működés. A RAID 1 önmagában nem használja a csíkokra bontás módszerét.
RAID 2 A RAID 2 használja a csíkokra bontás módszerét, emellett egyes meghajtókat hibajavító kód (ECC: Error Correcting Code) tárolására tartanak fenn. A hibajavító kód lényege, hogy az adatbitekből valamilyen matematikai művelet segítségével redundáns biteket képeznek. Ezen meghajtók egy-egy csíkjában a különböző lemezeken azonos pozícióban elhelyezkedő csíkokból képzett hibajavító kódot tárolnak. A módszer esetleges lemezhiba esetén képes annak detektálására, illetve kijavítására
RAID 3 A RAID 3 felépítése hasonlít a RAID 2-re, viszont nem a teljes hibajavító kód, hanem csak egy lemeznyi paritásinformáció tárolódik. Egy adott paritáscsík a különböző lemezeken azonos pozícióban elhelyezkedő csíkokból XOR művelet segítségével kapható meg. A rendszerben egy meghajtó kiesése nem okoz problémát, mivel a rajta lévő információ a többi meghajtó (a paritást tároló meghajtót is beleértve) XOR-aként megkapható.
RAID 4 A RAID 4 felépítése a RAID 3-mal megegyezik. Az egyetlen különbség, hogy itt nagyméretű csíkokat definiálnak, így egy rekord egy meghajtón helyezkedik el, lehetővé téve egyszerre több (különböző meghajtókon elhelyezkedő) rekord párhuzamos írását, illetve olvasását (multi-user mode). Problémát okoz viszont, hogy a paritás-meghajtó adott csíkját minden egyes íráskor frissíteni kell (plusz egy olvasás és írás), aminek következtében párhuzamos íráskor a paritásmeghajtó a rendszer szűk keresztmetszetévé válik. Ezenkívül valamely meghajtó kiesése esetén a rendszer olvasási teljesítménye is lecsökken, a paritás-meghajtó jelentette szűk keresztmetszet miatt.
RAID 5 A RAID 5 a paritás információt nem egy kitüntetett meghajtón, hanem „körbeforgó paritás” (rotating parity) használatával, egyenletesen az összes meghajtón elosztva tárolja, kiküszöbölvén a paritás-meghajtó jelentette szűk keresztmetszetet. Minimális meghajtószám: 3. Mind az írási, mind az olvasási műveletek párhuzamosan végezhetőek. Egy meghajtó meghibásodása esetén az adatok sértetlenül visszaolvashatóak, a hibás meghajtó adatait a vezérlő a többi meghajtóról ki tudja számolni. A csíkméret változtatható; kis méretű csíkok esetén a RAID 3-hoz hasonló működést, míg nagy méretű csíkok alkalmazása esetén a RAID 4-hez hasonló működést kapunk. A hibás meghajtót ajánlott azonnal cserélni, mert két meghajtó meghibásodása esetén az adatok elvesznek!
RAID 6 A RAID 6 tekinthető a RAID 5 kibővítésének. Itt nemcsak soronként, hanem oszloponként is kiszámítják a paritást. A módszer segítségével kétszeres meghajtó meghibásodás is kiküszöbölhetővé válik. A paritáscsíkokat itt is az egyes meghajtók között, egyenletesen elosztva tárolják, de ezek természetesen kétszer annyi helyet foglalnak el, mint a RAID 5 esetében.
RAID 0+1 (Raid01) Ez egy olyan hibrid megoldás, amelyben a RAID 0 által hordozott sebességet a RAID 1et jellemző biztonsággal ötvözhetjük. Hátránya, hogy minimálisan 4 eszközre van szükségünk, melyekből 1-1-et összefűzve, majd páronként tükrözve építhetjük fel a tömbünket, ezért a teljes kinyerhető kapacitásnak mindössze a felét tudjuk használni. Mivel a tükrözés (RAID 1) a két összefűzött (RAID 0) tömbre épül, ezért egy lemez meghibásodása esetén az egyik összefűzött tömb mindenképp kiesik, így a tükrözés is megszűnik.
RAID 1+0 (Raid10) Hasonlít a RAID 01 megoldáshoz, annyi különbséggel, hogy itt a lemezeket először tükrözzük, majd a kapott tömböket fűzzük össze. Ez biztonság szempontjából jobb megoldás, mint a RAID 01, mivel egy diszk kiesése csak az adott tükrözött tömböt érinti, a rá épült RAID 0-t nem; sebességben pedig megegyezik vele.
Internet Information Services (IIS)
IIS A Microsoft által írt, Microsoft Windows-platformon futó internet-alapú szolgáltatásokat összefogó termék neve. A világ második legnépszerűbb webkiszolgálója (a weboldalak száma alapján) az Apache HTTP Server után.
IIS Az IIS által nyújtott szolgáltatások közé tartozik FTP FTPS SMTP NNTP HTTP HTTPS. Az IIS több Microsoft-termék telepítésének előfeltétele, ilyen a WSUS Microsoft Exchange Sharepoint.
IIS verziók IIS 7.0 Windows Server 2008 és Windows Vista (Home Premium, Business, Enterprise, Ultimate Editions) IIS 7.5 Windows Server 2008 R2 és Windows 7 IIS 8.0 Windows Server 2012 és Windows 8
IIS 8.0 Az IIS 8.0 újdonságai közé tartozik a weboldalankénti CPU-használati kvóták bevezetése alkalmazás-inicializálás (Application Initialization) központi SSL-tanúsítványkezelés NUMA hardveren sok processzormagos skálázhatóság.
IIS
FTP (File Transfer Protocol) Az Internet klasszikus fájlátviteli protokollja, amely adatállományok két gép közötti kétirányú átvitelét teszi lehetővé.
Az FTP a klasszikus szerver-kliens modell alapján működik, bár a fájlok átvitelét mindkét irányban (a kapcsolatot kezdeményező kliensről a szerverre, illetve visszafelé, a szerverről a kliens irányába) is lehetővé teszi.
FTP Az FTP az átvitelre két külön csatornát alkalmaz. Ezek közül az első a parancs-csatorna, amelyet mindig a kliens épít fel a szerver felé az FTP-menet megkezdésekor, és amelyen keresztül a kéréseit annak elküldi, illetve az azokra adott állapotkódat és hibaüzeneteket visszakapja.
FTP Ezen kívül a fájlok átvitele során a szerver a kliens kérésére annak irányába egy másik ún. adat-csatornát is felépít, amelyen keresztül a fájl tartalmát küldi el részére. A szerver minden egyes fájl átviteléhez külön adat-csatornát nyit, amelyet annak befejeztével mindig le is zár.
Az FTP használatára az URL-ekben az 'ftp://' protokoll-azonosító utal.
SMTP Az SMTP a Simple Mail Transfer Protocol rövidítése. Ez egy kommunikációs protokoll az e-mailek Interneten történő továbbítására. Az SMTP egy viszonylag egyszerű, szöveg alapú protokoll, ahol egy üzenetnek egy vagy több címzettje is lehet. Az SMTP szolgáltatás a TCP (Transmission Control Protocol) 25-ös portját használja. Ahhoz, hogy meghatározza, hogy az adott domain névhez melyik SMTP szerver tartozik, a Domain név MX (Mail eXchange) rekordját használja. Ez a domain DNS rekordjai között szerepel.
Power Shell
alapok Azok a felhasználók (Magukat „Igazi Programozóknak” nevezik) akik igazán egy Unix-terminál előtt ülve érzik magukat elemükben, a Windows rendszereken kényelmetlenül mozogtak. Nem igazán volt számukra igazi alternatíva. Mi is volt? • Command Prompt – kicsit régi, kicsit nehézkes, kicsit korlátolt • Windows Scripting Hosting (WSH) – egész jó, hisz a COM objektumok egész sok és sokféle problémára nyújtanak megfelelő megoldást. De a WSH is korlátolt az interaktivitás területén.
alapok Mi lehet a megoldás? Adott a Microsoft .NET framework, amely rengeteg problémára nyújt megoldást, de a keretrendszer által készített programokat le kell fordítani, hiszen csak programozók használják. De a fejlesztők úgy gondolták, hogy ki kellene aknázni a keretrendszer által nyújtott lehetőségeket a rendszergazdáknak is.
Indítása powershell parancs kiadásával A PowerShellkörnyezetében többféle parancs stílust is használhatunk: Hagyományos „DOS” belső parancsok (pl. DIR) Unix-os parancsok (pl. ls) PowerShell„saját” parancsai, az ún. Cmdlet-ek(pl. GetChildItem) Szabványos Windows futtatható programok A DOS és a Unix parancsok valójában alias-ok a PowerShellsaját parancsaira (Cmdlet)
Cmdlet A PowerShellsaját parancsai Leírásuk minden esetben ige-főnév formájú Pl. Get-ChildItemvagy Get-Process Get-Helpget-*, Get-Help Get-Process -example
A parancs paramétereinek neve kötött A parancs kimenete nem „sima” szöveg, hanem objektum! A parancsok összefűzhetők (kompozit parancsok)
Parancsok összefűzése Ránézésre hasonló, mint a hagyományos parancssor:
dir| find„ARIS” Szöveg helyett azonban objektumok „közlekednek”
> Get-ChildItem| where-object { $_.Length -ge1000 } Ami akár tovább is láncolható
> Get-ChildItem| where-object { $_.Length -ge1000 }| Sort-Object-propertyLength Melyek az egyes objektumok tulajdonságai?
> Get-ChildItem| get-member
Változók A változók neve $jellel kezdődik A változókat nem kell deklarálni A változó értéke a név megadásával lekérhető >$most=Get-Date >$most A változók objektumokat tárolnak >$megint=Get-Date >$elteres=$megint-$most >$elteres
Szöveges változók (System.String) Karekterlánc típusú, értékadáskor a szöveget aposztrófok vagy idézőjelek között kell megadni >$t=“alma” Ez is objektum!
A karakterlánc metódusai és tulajdonságai: >$t | Get-Member -> … (lista)
>$t.Length -> 4 >$t.ToUpper() -> ALMA >$t.Replace(“al”,”fel”) -> felma
Fájl és mappa műveletek munkakönyvtár kiíratása (get-location).Path vagy $pwd Könyvtár létrehozása create-item–typedirectoryalma vagy mdalma
Fájl vagy könyvtár létezésének ellenőrzése test-pathalma Fájl vagy könyvtár törlése
remove-itemalma
Fájl és mappa műveletek Fájl vagy könyvtár átnevezése rename-itemalma barack Fájl vagy könyvtár másolása, mozgatása copy-itembarack citrom move-itemcitrom eper
Hozzáférési jogok lekérése get-aclcitrom
Összes újabb MS szerver Exchange, SQL Server, System Center Operations Manager, System Center VMM, IIS… Fejlesztő környezet: Visual Studio 2010: PowerConsole
VMware: PowerCLI – teljes virtualizációs környezet automatizálása
Elindulás Powershell 2.0 letöltése Windows Management Framework kiegészítés része Windows 7-en fent van, de elérhető XP-re is PowerGUI GUI szerkesztő, debugger
help Mint látjuk a rendszer teljesen önleíró. Láthatjuk a parancsokat, aliasaokat.
help Get-ChildItem Ekkor megkapunk minden információt az adott parancsról.
help Get-ChildItem –example Ekkor példa scripeteket kapunk bőséges leírással
ALIAS Ki lehet listázni az úgynevezett aliasokat.
ALIAS Amint látjuk, hogy a régi DOS-os parancsoknak megtalálhatóak a PowerShellbeli megfelelői.
PÉLDÁUL: a DIR parancs nem más, mint a Get-ChildItem. De meglehet találni néhány Linuxos parancsot is Például az ls –t.
csővezetés A futtatott parancsokat egymáshoz lehet csatolni a pipe ’ | ’ karakter segítségével. Ami annyit tesz, hogy a parancs eredményét nem az outputra borítja, hanem a következő lépésnek adja oda a végrehajtási sorban.
csővezetés Ki írjuk a futó processzek listájából az első 6 elemet.
változók A PowerShellben természetesen lehet használni változókat is. Jelölésük: $valtozonev A változóknak tudunk értéket adni, valamint akár egy teljes parancs eredményét eltárolhatjuk a változóban. Például.: $x = get-childitem
változók Ekkor az x változóban el lesz tárolva a Get-ChildItem eredménye. Ahhoz, hogy a változóból kinyerjük az értéket egyszerűen írjuk be a parancssorba a változó nevét: $x, és a képernyőn megjelenik a benne tárolt érték.
változók Természetesen a változóknál is lehet a csővezetést alkalmazni. PÉLDÁUL: $x | select-object –first 3
get-member
Segítségével megtudhatjuk hogy egy-egy parancs milyen .Net objektumokat használ, és hogy milyen propertyei és metódusai vannak.
Get-ChildItem | Get-Member Láthatjuk, hogy az adott cmdlet melyik névteret használja, vagy épp mely metódusokat és propertyket.
Get-PsDriver Ez a parancs megmutatja a PowerShell driveokat. Mint látható nem csak meghajtókon tudunk járkálni, hanem a registryben, vagy épp a tanúsítványtárban, de akár a környezeti változókat is piszkálhatjuk.
PowerShell üzemmódok Parancs üzemmód: Ha parancsot írok, ami betűvel kezdődik és megtalálja a parancskészletében, Például a DIR parancs akkor az adott parancs értelemszerűen végrehajtódik. Kiértékelő üzemmód:
Ha viszont olyat adok meg, amit nem fedez föl a parancskészletében, de kitudja értékelni akkor a kiértékelő üzemmódba vált át.
PÉLDÁUL: írjuk be, hogy 1,2,3,4,5 Ez a PowerShell számára egy halmaz definícó volt, amit úgy értékelt ki, hogy kiírta őket a képernyőre. Mint láttuk a PowerShell nem írta ki, hogy „bad command or filename” köszönhető ez a kiértékelő üzemmódnak.
Írjuk be, 1MB A válasz: 1048576 byte. Ebből is látszik mennyire informatikus közeli ez az új parancssor.
Oszlopok szerinti szűrés (select-object)
get-childItem | select-object –property name, length csak a name és a length oszlop fog megjelenni.
A where–object parancs segítségével bizonyos feltételnek megfelelően szűkíthetjük a sorokat, esetünkben amelyeknek a workingset –je nagyobb mint 25MB.
Számoljunk (Measure-object)
Ez a parancs egy nagyon ötletes, ugyanis a hozzá beérkező objektumok bizonyos propertyjei alapján tud készíteni összegzést, átlagot, countot stb.
Power Shell és az Active Directory
Active Directory típusmeghatározás:
CN = Common Name = Közönséges név. Kötelező elem minden lekérdezésnél, az erőforrás objektumokra és típus nélküli tárolókra lehet vele hivatkozni. DC = Domain Context = Tartományi környezet. A tartomány nevét írja le.
OU = Organization Unit = Szervezeti egység. Ha az elérni kívánt objektum a tartományon belül valamely szervezeti egységben található, akkor az előző DC parancs mellett az OU-t is meg kell adni.
Parancssori AD
• dsadd user CN=Lajos,CN=Users,DC=Animare,DC=hu -samid lali • dsadd user CN=Lajos,CN=Users,DC=Animare,DC=hu -samid lali -pwd lalika • dsadd user CN=Lajos,CN=Users,DC=Animare,DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth • dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu • dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu -email [email protected] • dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu -email [email protected] -pwdneverexpires yes • dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu -email [email protected] -mustchpwd yes • dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu -email [email protected] -mustchpwd yes -disabled yes
• dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu -email [email protected] -mustchpwd yes -acctexpires 30
dir *.jpg| ForEach-Object {get-date $_.lastwritetime -format "yyyyMM"}
2010-02 2009-09 2009-09 2010-11 …
A dir parancsból kijövő fájlobjektumokat továbbküldjük (| jellel) feldolgozásra. Ezen feldolgozás keretében minden egyes érkező objektumra a Foreach-Object parancs segítségével legeneráltatjuk az év-hó formátumú számsort. Az éppen aktuális futószalagon érkező objektumra, jelen esetben fájlra, a $_ jellel tudunk hivatkozni.
Test-Path ".\mappanév„
True Ez egy nem létező könyvtárra False eredményt fog adni. Nekünk meg pont ekkor kellene alkönyvtárt létrehozni, amikor ez a vizsgálat hamis eredményt ad.
IF vezérlőszerkezet, mellyel akkor lehet végrehajtatni valamit, amikor egy feltétel igaznak értékelődik. Nekünk hamis eredményt ad a Test-Path, amikor tennivalónk lenne, így fordítani kell a kiértékelés eredményén, amit a TestPath eredményének „negálásával” tudjuk elérni:
If(!negálandó feltétel){végrehajtandó kód} Könyvtárat a New-Item paranccsal tudunk létrehozni, a következő formátumban: New-Item –Path hova –ItemType Directory
Fájlt átmozgatni a Move-Item paranccsal tudunk, melynek szerkezete a következő: Move-Item –Path –Destination célkönyvtár