Windows hálózati adminisztráció

Átírás

1 Windows hálózati adminisztráció Göcs László mérnöktanár KF-GAMF Informatika Tanszék tanév tavaszi félév

2 Elérhetőség Személyes konzultáció: 4. épület (Informatika Tanszék), 1. emelet 116-os iroda

3 Segédletek, letöltések

4 Tantárgyleírás A TCP/IP modell. Rétegek összehasonlítása az OSI modell rétegeivel. Fontosabb protokollok rövid áttekintése. IP címek (IPv4), osztályok, magánhálózati címtartományok, alhálózatok. IPv6-os címek. Parancssori alapismeretek. TCP/IP konfiguráció lekérdezése és beállítása parancssori módon. Automatikus magánhálózati IP címkiosztás (APIPA). Egyszerű (otthoni, mikro-vállalati) hálózatok adminisztrálása, konfigurálása. Vékonykliens technológia. Otthoni médiahálózat. NAS szerepe, működése. Virtualizációs megoldások. Felhő alapú informatika. Szerverparkok eszközei. DHCP szolgáltatás, konfigurációs adatok, kapcsolódó üzenetek. DHCP szerver konfigurálása. A NAT szerepe, működése.

5 Tantárgyleírás Megosztott mappák elérése. Speciális megosztások. Nyomtatók megosztása, alap és speciális engedélyek. Munkacsoport és tartomány alapú szervezés. NetBIOS nevek, a kapcsolódó névfeloldás folyamata, NBT. NetBIOS név-ip cím összerendelések tárolása (LMHOSTS, WINS). Névfeloldás IPv4 és IPv6 címek esetén (NetBIOS, WINS, DNS, LLMNR). DNS szolgáltatás. Zóna fogalma, zónatípusok és tárolásuk, kiszolgáló típusok, rekord típusok. Az ACL és az NTFS engedélyek. Könyvtárak megosztása a hálózaton, kapcsolódó engedélyek Tartományi környezet. A címtár fogalma (Active directory). Séma, konténer objektumok (erdő, fa, tartomány, szervezeti egység), levél objektumok (felhasználói fiók, számítógépfiók, csoportfiók). Felhasználói csoport típusok. Címtárpartíciók. Globális katalógus. Egyedi főkiszolgáló műveletek. Megosztott mappák közzététele a címtárban (DFS, FRS)

6 Tantárgyleírás Csoportházirend (Group Policy) fogalma. A csoportházirend fő alkalmazási területei. A csoportházirend működése. A csoportházirend öröklődése. A csoportházirend hatásának szűrése. Végrehajtási sorrend. Alapértelmezett csoportházirendek. Adatbiztonság, adatvédelem. Biztonsági mentés. Replikációs topológia. RAID technológia. Power Shell. Távoli menedzselés, RDP. A VPN kapcsolat.

7 Ajánlott irodalom Petrényi József: Windows Server TCP/IP. Az alapok. Microsoft Magyarország, 2009 Petrényi József: TCP/IP - 1 óra alatt ; TCP/IP Alapok 1. kötet v2.0, TCP/IP Alapok 2. kötet v1.0 Microsoft Magyarország, 2009 William R. Stanek: Windows Server A rendszergazda zsebkönyve, Szak Kiadó, 2008, ISBN: Gál Tamás, Szabó Levente, Szerényi László: Rendszerfelügyelet rendszergazdáknak, Szak Kiadó, ISBN

8 Félévi számonkérés 1 elméleti ZH (12. előadáson) 50 perc 40 pont (min. 21pont) 1 gyakorlati ZH (11. gyakorlaton) 70 perc 60 pont (min. 30 pont) Plusz pontok (kettes gyakorlati jegyhez teljesíteni kell a minimális pontokat) előadások

9 IP alapok

10 IP címek IPV4 4 db decimális szám ponttal elválasztva db decimális szám 8 biten ábrázolva bináris számrendszerben Pl: 181 =

11 IP címek osztályozása A osztály Kezdő IP: Utolsó IP:

12 IP címek osztályozása B osztály Kezdő IP: Utolsó IP:

13 IP címek osztályozása C osztály Kezdő IP: Utolsó IP:

14 Hatókör szerint Nyilvános Magánhálózati Automatikus konfigurációnál használt

15 Magánhálózati címtartományok A B C

16 APIPA (Automatic Private Internet Protocol Addressing ) A Microsoft otthoni és kisebb irodai hálózatokhoz vezette be a még csak draft formájában létező APIPA-t, olyan helyekre, ahol bizonyosan nincs kiszolgáló, mert nem érné meg, és nincs szaktudás sem a hálózat konfigurálására.

17 APIPA (Automatic Private Internet Protocol Addressing ) Ha induláskor az operációs rendszer nem talál DHCP kiszolgálót, a draft által lefoglalt, B típusú IPcímtartományból véletlenszerűen kiválaszt egy címet, meggyőződik arról, hogy azt más nem használja, majd elindul. A meggyőződés annyit tesz, hogy egy ICMP csomagot indít a kiválasztott cím felé. Ha érkezik rá válasz, már létezik a cím a hálózatban, tehát másikat kell keresni. Tízszer próbál így címhez jutni, és tekintve, hogy a lehetséges címek száma, kicsi az esélye, hogy nem találja meg az igazit.

18 APIPA (Automatic Private Internet Protocol Addressing ) Az automatikusan meghatározott címhez azután nem ragaszkodik, és minden ötödik percben kibocsát egy DHCP-Discover csomagot, hátha meggondolták magukat az üzemeltetők és működőképes állapotba hoztak egy címkiosztó szolgáltatást. A DHCP és az APIPA azért fér meg egymás mellett, mert az operációs rendszer el tudja dönteni, hogy milyen szituációban van /16

19 Hálózati maszk Az a szám, amely meghatározza, hogy az IP-cím mely része hálózati, és mely része állomáscím. Az alhálózati maszk (subnet mask) segítségével a rendszergazdák a helyi hálózatban egymástól elkülönülő alhálózatokat tudnak létrehozni. IP-cím: Alhálózati maszk: Kettes számrendszerben: IP-cím: Alh.maszk: A két szám bitenkénti ÉS (AND) műveletet elvégezve megkapjuk a hálózat címét:

20 Jelöl Címek Alháló maszk d. Alháló maszk bin. / /9 128x /10 64x /11 32x /12 16x /13 8x /14 4x /15 2x /16 1x /17 128x /18 64x /19 32x /20 16x /21 8x

21 Jelöl Címek Alháló maszk d. Alháló maszk bin. /22 4x /23 2x /24 1x /25 128x /26 64x /27 32x /28 16x /29 8x /30 4x /31 2x /32 1x

22 Megoldások az IPv4 címek kis száma miatti problémára CIDR, VLSM (alhálózatok számítása maszkokkal) NAT IPv6

23 IPv6 Tulajdonságok 128 bit, 1994 A címzés hierarchikus miért jó? Támogatja a munkaállomások automatikus hálózati konfigurálását CIDR-t használ Egy interfésznek több címe is lehet

24 IPv6 cím típusok Egycélú (Egyedi küldés) (unicast) : egy adott interfészt azonosít Választható célú (Csomópont-választásos küldés) (anycast) : interfészek egy csoportját azonosítja, de a csomagot elég a csoport egyetlen tetszőleges tagjához eljuttatni (ha a csoportból valaki megkapja, a többiek már nem kapják meg) Többcélú (Csoportos küldés) (multicast) : az interfészek egy csoportját azonosítja, a csomagot minden a csoportba tartozó interfész meg kell kapja (Broadcast helyett)

25 IPv6 cím felépítése 8 db 4 hexadecimális számjegyből álló csoport kettőspontokkal elválasztva Kezdőbitek határozzák meg a cím típusát 2001:0db8:85a3:08d3:1319:8a2e:0370:7344

26 128 bites IPv6 cím 3FFE:085B:1F1F:0000:0000:0000:00A9: csoport 16-bites hexa számokból, elválasztó jel : Kezdő nullák elhagyhatók 3FFE:85B:1F1F::A9:1234 :: = egy vagy több egymást követő csoportban csak nullák vannak

27 IPv6 címek 0:0:0:0:0:0:0:0 vagy :: helyettesítő cím, ha nincs cím, Pl. kezdeti DHCP kérés ::1 localhost (loopback) cím ::ffff: IPv4/96 átfordított (mapped) IPv4-es címekre

28 Unicast címek felosztása érvényességi kör szerint Világméretű (mint az IPv4 publikus) Global unicast Lokális (mint az IPv4 privát) Telephely (site) szintű: Site-local (elavult!) Helyi: Unique-local Szegmens szintű: Link-local

29 Global unicast cím A globális azon (45 bit) lehet ISP vagy site azonosító A 16 bit alhálózat vagy site azonosító A 64 bit lehet MAC cím alapján

30 Site-Local unicast címek Cégen belüli (privát) címzés - intranet A címek generálása nem automatikus Nem routolják Lehetővé teszi szervezeti hálózat címzését Elavult! RFC 3879 (2004) érvénytelenné tette, csak régebben volt használatos FEC0:: through FFFF::

31 Unique local címek Cégen belüli (privát) címzés - intranet De a cím egyedi a világon cégen belüli házirenddel tiltható a forgalom

32 Link-Local unicast címek (interface) FE80::/64 Csak egy linken (szegmensen) belül értelmezett Router nem továbbítja Konfigurálása mindig automatikus Átjáró felderítés, más 2. rétegbeli szomszédok (azonos szegmensen levő eszközök) felderítése

33 Multicast címek Csoportos címzés, helyettesíti az üzenetszórást A csoport minden tagja megkapja

34 Hatókörök értelmezése Forrás:

35 Állandó multicast címek Hatókörtől függetlenek Az összes interfész node-local és linklocal hatókörben: FF01::1 (node-local scope all-nodes address) FF02::1 (link-local scope all-nodes address) Az összes router node-local, link-local, és site-local hatókörben: FF01::2 (node-local scope all-routers address) FF02::2 (link-local scope all-routers address) FF05::2 (site-local scope all-routers address)

36 Anycast címek Azonos felépítésű a unicast-tal Cél, hogy a legközelebbi interfész kapja meg a csomagot Automatikusan keletkezik, amikor egy unicast címet egynél több interfészhez rendelünk

37 TCP/IP hivatkozási modell Alkalmazási Megjelenítési Viszony Szállítási Hálózati Adatkapcsolati Alkalmazási Szállítási Internet Hálózati hozzáférési Fizikai

38 TCP/IP Protokollok DHCP, DNS, FTP, HTTP, IMAP, IRC, POP3, SIP, SMTP, SNMP, SSH, Telnet, BitTorrent SCTP, TCP, RTP, UDP, IL, RUDTP IPv4, IPv6, ARP, ICMP, IGMP Ethernet, FDDI, ATM, PPP, Wi-Fi, Token-Ring,

39 ARP (Address-Resolution-Protokoll) A hálózati hozzáférési réteget abba a helyzetbe kell hozni, hogy egy csomagfogadónak, akinek csak az IP-címe ismert, elküldjön egy csomagot az ethernet-címmel. 1. Kiad egy broadcast-üzenetet, vagyis egy olyan üzenetet, amit a hálózaton minden számítógép fogad. Ebben az ARP mintegy megkérdezi : Kinek az IP-címe a ? 2. A hálózaton mindegyik számítógép megvizsgálja, hogy nem az ő IP-címe a Az a számítógép fog válaszolni, amelyiknek ez az IP-címe : Az enyém, és az ethernet-címem a következő: af e.a3 3. Az ARP tárolja ezt az információt azért, hogy ne kérdezze le ismételten minden csomag esetén. Egy meghatározott időtartam (kb. 20 perc) eltelte után automatikusan eldobja azért, hogy fel legyen készülve egy esetleges hardwareváltozásra.

40 ICMP (Internet Control Message Protocol) Elérhetetlen gépek felismerése Hibaüzenetek vagy a TCP/IP-t megvalósító szoftvernek szánt üzenetek információgyűjtés a hálózatról. Pl: ha egy gateway felismeri, hogy egy adott számítógép elérhetetlen, akkor az ICMP-n keresztül kiküld egy Destination unreachable üzenetet a csomag küldőjének. Útvonal Optimalizálás Ha egy gateway felismeri, hogy kerülőutat használ, akkor a csomagküldő gépnek küld egy üzenetet, amiben benne van a gyorsabb útvonal. A csomagküldő gép (ill. az IP-rétege) a következő csomagot már a jobb útvonalon tudja elküldeni.

41 IGMP (Internet Group Management Protocol Protocol) Multicast üzenetek továbbítását teszi lehetővé. Közvetíti a csoporttagságot a hosztok és az útvonalválasztók felé. A multicasting lehetővé teszi, hogy egy felhasználó ugyanazt a tartalmat egy teljes csoport számára hozzáférhetővé tegye.

42 FTP File Transfer Protocol A TCP/IP hálózatokon történő állományátvitelre szolgáló szabvány. Gyakran van szükség arra, hogy valamilyen állományt hálózaton keresztül töltsünk le saját gépünkre, vagy egy állományt mások számára hozzáférhetővé tegyünk. Lehetővé teszi a különböző operációs rendszerű gépek között is az információcserét. Az FTP kapcsolat ügyfél/kiszolgáló alapú, vagyis szükség van egy kiszolgáló- (szerver) és egy ügyfélprogramra (kliens). Elterjedt protokoll, a legtöbb modern operációs rendszerhez létezik FTP-szerver és kliens program, sok web böngésző is képes FTP-kliensként működni.

43 HTTP - HyperText Transfer Protocol Egy kérés-válasz alapú protokoll kliensek és szerverek között. A kommunikációt mindig a kliens kezdeményezi. A HTTP egy állapot nélküli protokoll. Az állapot nélküli protokollok előnye, hogy a szervernek nem kell nyilvántartania felhasználói információkat az egyes kérések kiszolgálása között. A HTTP terjedt el széles körben más, felhasználói bejelentkezést támogató protokollok helyett, ami arra kényszerítette a web fejlesztőket, hogy kerülőutakon járva tárolják a felhasználók munkamenet-állapotait. Egy tipikus megoldás cookie-kban tárolni a felhasználói állapotot. Egyéb módszerek még a rejtett változók (például <input type=hidden name=session_id value= 1956 >) vagy az URL-ben kódolt paraméterek (például: /index.php?userid=3) használata illetve a szerveroldali állapotmegőrzés.

44 POP3 A Post Office Protocol version 3 Segítségével az kliensek egy meglévő TCP/IP kapcsolaton keresztül letölthetik az elektronikus leveleket a kiszolgálóról. Napjainkban ez a legelterjedtebb protokoll az elektronikus levelek lekéréséhez. A protokollra eredetileg az időszakosan létrejövő TCP/IP kapcsolatok (pl. dial-up) miatt volt szükség, ugyanis lehetővé teszi a kapcsolódás korlátozott ideje alatt a levelek kezelését a felhasználó gépén, úgy, hogy a levelek összességében akár a szerveren is maradhatnak. A leveleket azután helyben lehet olvasni, szerkeszteni, tárolni stb. A POP3 protokoll kizárólag a levelek letöltésére alkalmas; küldésükre az SMTP protokoll szolgál.

45 SMTP Simple Mail Transfer Protocol Ez egy kommunikációs protokoll az ek Interneten történő továbbítására. Az SMTP egy viszonylag egyszerű, szöveg alapú protokoll, ahol egy üzenetnek egy vagy több címzettje is lehet. Az SMTP szolgáltatás a TCP 25-ös portját használja. Ahhoz, hogy meghatározza, hogy az adott domain névhez melyik SMTP szerver tartozik, a Domain név MX (Mail exchange) rekordját használja. Az SMTP protokoll az indításkor sima szöveg alapú (ASCII karakterek) volt, nem kellett hozzá bináris file kezelés. De mára már kifejlesztették a MIME kódolást, ahol bináris fájlok formájában utaznak a levelek. Ma már minden SMTP kiszolgáló támogatja a 8-bites, azaz a 8BITMIME kiterjesztésű leveleket, ami bináris formában tárolja / küldi az üzeneteket.

46 SNMP Simple Network Management Protocol Egy szerver-kliens kapcsolatra épülő protokoll. A szerver program, amit hálózati menedzsernek (network manager) is szoktak nevezni - virtuális kapcsolatot létesít a kliens programmal, amit SNMP ügynöknek (SNMP agent) is neveznek, és a távoli, felügyelt hálózati egyeden van telepítve. Hálózatra kötött eszközök vezérlése, adatainak lekérdezése. A menedzselhető eszközön (pl. nyomtatók, forgalomirányító, szerver, stb.) fut egy démon. A menedzselő eszközön fut a kliens program.

47 SSH Secure Shell Egy szabványcsalád, és egyben egy protokoll is, amit egy helyi és egy távoli számítógép közötti biztonságos csatorna kiépítésére fejlesztettek ki. Nyilvános kulcsú titkosítást használ a távoli számítógép hitelesítésére, és opcionálisan a távoli számítógép is hitelesítheti a felhasználót. Az SSH-t leggyakrabban arra használják, hogy egy távoli gépre belépjenek vele és parancsokat adjanak ki, de támogatja a tunnelinget, azaz tetszőleges TCP portok és X11 kapcsolatok továbbítását. Fájlok biztonságos átvitelére is használható a kapcsolódó SFTP (Secure FTP) és SCP (Secure Copy) protokollok segítségével. Az SSH szerverek alapértelmezésben a 22-es TCP porton hallgatóznak.

48 Parancssori alapok

49 Parancssori alapok Cmd.exe Segítségkérés:help help parancs parancs /?

50 netsh konfiguráció lekérdezése

51 Statikus IP cím és DNS kiszolgáló cím beállítás

52 IP cím és DNS kiszolgáló adatainak kérése DHCP-n keresztül

53 Beállítások lementése

54 Lementett beállítások újbóli alkalmazása

55 TCP/IP jellemzők beállítása konzol felületen IP cím lekérdezése konzolon ipconfig /all /renew /release netsh interface ip set address name="helyi kapcsolat 2" source=static addr= mask= gateway=

56 TCP/IP jellemzők beállítása konzol felületen Export szöveges állomány netsh interface dump > c:\valami.txt Import netsh exec c:\valami.txt DNS beállítás Netsh interface ip set dns név static

57 TCP/IP konfiguráció - ipconfig

58

59 Állományokkal és mappákkal kapcsolatos műveletek 1 Fájlok és mappák törlése del /s kezdő\* (végérvényesen töröl fájlokat) rd /s kezdő (könyvtárat és tartalmát) Mappa létrehozása md mappa Könyvtár tartalmának kilistázása dir könyvtár\*.doc /s

60 Attribútumok Alap attribútumok A archív R csak olvasható H rejtett S system Speciális (kiterjesztett) attribútumok Archiválási és indexelési A fájl archiválásra kész Gyors fájlkereséshez az indexelő szolgáltatás indexelje a fájlt Tömörítés és titkosítás Tartalom tömörítése Tartalom titkosítása

61 Állományokkal és mappákkal kapcsolatos műveletek Másolás: xcopy eredeti másolat /s Állományok átnevezése: ren *.txt *.doc Állományok mozgatása: move /y hely\*.doc újhely\ Attribútumok beállítása: attrib +r +s +h állomány attrib -r mappa /s Meghajtó mappához rendelése: subst x: mappa

62 Állományokkal és mappákkal kapcsolatos műveletek Mappaváltás: cd újmappa Könyvtárszerkezet megjelenítése fastruktúrában: tree Konzolablak tartalmának törlése: cls

63 Parancsok Merevlemez ellenőrzése: chkdsk lemez Legközelebbi rendszerindításkor automatikus ellenőrzés: chkntfs Időzített feladatvégrehajtás: at Szöveges állomány tartalmának megjelenítése: type állománynév type állománynév more Boot.ini lekérdezése/javítása: bootcfg

64 Parancsok Védett rendszerállományok vizsgálata: sfc /scannow Fájlgyorsítótár ürítése: sfc /purgecache Számítógép leállítása: shutdown /s shutdown /s /m \\gépnév Számítógép újraindítása: shutdown /r Futó folyamatok listája: tasklist Folyamat leállítása: taskkill /pid XXX /F

65 Parancsok Gép NetBIOS nevének lekérdezése: hostname Fizikai cím lekérdezése: getmac Szolgáltatás indítása leállítása: net start stop XXX

66 Felhasználói fiók parancssorból Létező felhasználók listája net user Létrehozás net user kiss.istvan /ADD /fullname: Kiss Istvan /expires:2010/03/31 /homedir: C:\Felhasználók\kiss.istvan Törlés net kiss.istvan /DELETE

67 Környezeti változók Beállítás set változónév=érték set PATH=f:\valami Lekérdezés/hivatkozás echo változó echo %COMPSEC% Fontosabb változók %PATH%, %COMSPEC%, %CD%, %USERNAME%, %SYSTEMROOT%, %HOMEPATH%, %HOMEDRIVE%, %DATE%, %TIME%, %COMPUTERNAME%

68 Parancsállomány Szöveges állomány, ami parancssori utasításokat tartalmaz Parancsértelmező dolgozza fel *.CMD vagy *.BAT Jól alkalmazható ismétlődő rendszeradminisztrációs feladatokra

69 Parancsállomány 1 utasítás 1 sor Tagadás: NOT Feltételes végrehajtás if "%USERNAME%"= = "hallgato" echo Szia hallgato! Összefűzés <utasítás1> & <utasítás2> <utasítás1> && <utasítás2>

70 Vírtualizáció, Szerverparkok

71 VIRTUALIZÁCIÓ A virtualizáció célja, hogy az informatikai rendszerek komponensei egyre kevésbé függjenek egymástól - így tetszés szerint lehessen őket mozgatni, változtatni, ezáltal növelni a rendszer rugalmasságát, és csökkenteni a változtatásokhoz szükséges időt. szerver-virtualizáció (Hyper-V, Virtual Server), alkalmazás-virtualizáció (App-V, SoftGrid), desktop-virtualizáció (Med-V, Virtual PC), storage-virtualizáció (iscsi), megjelenítés-virtualizáció (Terminal Services)

72 Mi is az a virtuális gép? A virtuális gép egy jól elszigetelt szoftver köteg, mely saját operációs rendszerét és alkalmazásait futtatja úgy, mintha egy fizikai számítógép lenne. Egy virtuális gép pontosan úgy működik, mint egy fizikai számítógép, és saját virtuális processzorral, memóriával, merevlemezzel és hálózati kártyával rendelkezik

73 Mi az a virtuális infrastruktúra? A virtuális infrastruktúra lehetővé teszi, hogy fizikai erőforrásait megossza több virtuális géppel a teljes infrastruktúrán keresztül. Egy virtuális gép lehetővé teszi, hogy megossza egy fizikai gép erőforrásait több virtuális gépen keresztül maximális hatékonysággal.

74 A Vírtualizáció előnyei Magasabb fokú mobilitás a munkaterhelés dinamikus elosztásának köszönhetően Nagyobb rugalmasság az új megoldások bevezetése és az életciklus-kezelés során Jobb számítógép-kihasználás és ezáltal a beruházások optimalizálása Kisebb helyszükséglet és az alacsonyabb hardverigénynek köszönhetően csökkentett energiaköltségek

75 A vírtualizáció előnyei A rendszerek fokozott rendelkezésre állása a dinamikus karbantartási és helyreállítási lehetőségek révén Csökkentett karbantartási költségek az összevont infrastruktúrának és az automatizálható folyamatoknak köszönhetően Egyedülálló méretezhetőség az erőforrások rugalmas kezelhetősége révén Nagyobb fokú átláthatóság és alacsonyabb karbantartási költségek

76 HARDVER vírtualizáció A hardver virtualizáció megfelel egy processzor áramköreinek, és a memóriavezérlőnek, amely lehetővé teszi több operációs rendszer futatását (több VM).

77 HYPERVISOR A hypervisor vagy Virtual Machine Manager (VMM) egy program, amely a virtuális gép-ek menedzsere, és a hoszt hardware felosztásával teszi lehetővé, több VM, és ezzel több (guest OS) operációs rendszer telepítését, futtatását, egy, egyedüli hw-en. Mindegyik operációs rendszer rendelkezik processzorral, memóriával, és más erőforrásokkal. A hypervisor vezérli a processzort, és az erőforrásokat, allokálva minden operációs rendszerhez, amire szüksége van.

78 HYPERVISOR

79 OPERÁCIÓS RENDSZER VIRTUALIZÁCIÓ A operációs rendszer virtualizáció egy módszer, amikor a hoszt operációs rendszeren több virtuális operációs rendszer fut. A hoszt operációs rendszerek általában a szabványos operációs rendszerek (Windows, Linux). A VM-eken elhelyezett OS-ek, illetve alkalmazások újrainstallálás nélkül áthelyezhetők a virtuális környezetben, eltérő infrastruktúrában lévő VM-ekre, illetve a fizikai eszközre vagy onnan a VM-ekre. Virtual to Virtual (V2V) Virtual to Physical (V2P) Physical to Virtual (P2V)

80 SZERVER VIRTUALIZÁCIÓ A szerver virtualizáció, a szerver erőforrásoknak az elfedése a szerver felhasználói elől, beleértve az eggyes fizikai szervereket, processzorokat, és az operációs rendszereket. A szerver adminisztrátor egy fizikai szerver több szigetelt virtuális környezetre való felosztására, egy szoftver alkalmazást használ. A virtuális környezeteket gyakran virtuális privát szervereknek hívják, de particióknak, guestnek, konténernek vagy emulációnak is nevezik. Azaz a szerver virtualizáció sok szerver funkcionalitást átviszi kevesebb szerverre (konszolidáció).

81 TÁROLÓ VIRTUALIZÁCIÓ A tároló virtualizáció a fizikai tároló egyesítése, több hálózati tároló eszközből egy tároló eszközzé, amelyet egy központi konzolról kezelnek. A tároló virtualizáció segíti a tároló adminisztrátort a háttér biztosításának a könnyebb megoldásban. A tároló virtualizáció lehetővé teszi sok felhasználónak vagy alkalmazásnak, hogy hozzáférjen a tárolóhoz anélkül, hogy érdekelt lenne, hogy hol, és hogyan van a tároló fizikailag elhelyezve, menedzselve.

82 ALKALMAZÁS VIRTUALIZÁCIÓ Az alkalmazás virtualizáció, amikor a végfelhasználó rendelkezésére áll, egy távoli, központi szerverről, egy alkalmazás, illetve tárolók anélkül, hogy a felhasználó lokális rendszerén teljesen installálni kellene azt. Ekkor tehát a szerverek, alkalmazások, tárolók, az alkalmazási erőforrások dinamikusan el vannak választva.

83 DESKTOP VIRTUALIZÁCIÓ A desktop virtualizáció a végfelhasználó számára lehetővé teszi, egy desktop környezetben a jogosult hozzáférést, valamely alkalmazáshoz, attól függetlenül, hogy pillanatnyilag az alkalmazás hol van elhelyezve. Így a felhasználónak egy virtuális interface-e, virtuális eszköze (virtual appliance) van, amelyen indíthatja a hozzáférést a Web, lokális vagy szerver bázisú alkalmazáshoz, anélkül, hogy szüksége lenne Web oldalakra, Windows Start menüre vagy a terminálszolgáltatás intefacére. A virtuális desktop a központi szervertől távol van elhelyezve, lehetővé téve a felhasználónak a hozzáférést a távol, helyben elhelyezett alkalmazásokhoz.

84 ADAT VIRTUALIZÁCIÓ Az adat virtualizáció, amikor az egyes adat tételek a forrástól el vannak vonatkoztatva, és a különböző adat hozzáférési módszereknek, egy közös adat hozzáférési rétege van.

85 HÁLÓZAT VIRTUALIZÁCIÓ A hálózat virtualizáció a rendelkezésre álló erőforrások összefogásának módszere, a rendelkezésre álló sávszélesség csatornákra osztására, amelyek függetlenek egymástól, és bármelyik hozzá, illetve visszarendelhető egy szerverhez vagy eszközhöz, valós időben.

86 DHCP

87 DHCP Dynamic Host Configuration Protocol Ez a protokoll azt oldja meg, hogy a TCP/IP hálózatra csatlakozó hálózati végpontok (például számítógépek) automatikusan megkapják a hálózat használatához szükséges beállításokat. A DHCP szerver-kliens alapú protokoll, nagy vonalakban a kliensek által küldött DHCP kérésekből, és a szerver által adott DHCP válaszokból áll.

88 DHCP működése

89 DHCP 3 féle IP-kiosztás lehetséges DHCP-vel: kézi (MAC cím alapján) automatikus (DHCP-vel kiadható IP-tartomány megadásával) dinamikus (IP-tartomány megadásával, de az IP címek újrahasznosításával )

90 Mit kap az ügyfél? IP cím Átjáró címe (forgalomirányító) DNS kiszolgálók címei DNS tartománynév Alhálózati maszk Bérleti időtartam WINS csomóponttípus WINS kiszolgálók címei

91 NetBIOS nevek NetBIOS over TCP/IP = NBT Egyszintes névtér Egyedi nevek, max. 16 karakter Azonosítás szórt üzenetekkel Névfeloldás: név-cím összerendelések tárolása és visszakeresése (csak IPv4)

92 Névfeloldás

93 NB Névfeloldási módok osztályozása a névfeloldás helye szerint Helyi: gyorsítótár (ált. 10 percig tartja meg) Helyi: LMHOSTS fájl %SYSTEMROOT%\SYSTEM32\DRIVERS\ETC Kézi feltöltést igényel csak kis és ritkán változó hálózatban WINS kiszolgálóval Regisztrálja az ügyfelek NetBIOS neveit meghatározott időre (lease time), és ügyfél kérésre névfeloldást végez. Üzenetszórással, router nem továbbítja

94 Munkamenetek WINS kiszolgálóval Névbejegyzés: Ügyfélgép indításkor->ip+név->wins (címbérlet) Névmegújítás Névfelszabadítás lejár a címbérlet Névfeloldás

95 NB Névfeloldási módok osztályozása a konfigurációs besorolás szerint B-csomópont (broadcast) - nagy forgalmat generál a helyi hálózatban P-csomópont (peer-to-peer) az ügyfél a WINS szerverhez fordul M-csomópont (mixed) először a B-node, és ha az sikertelen, akkor P-node H-csomópont (hybrid) először P-node, és ha az sikertelen, akkor B node. Alapértelmezett.

96 LLMNR Kapcsolati szintű csoportos névfeloldás Link Local Multicast Name Resolution IPv4 és IPv6 támogatás Csak a helyi alhálózaton belül Fordított lekérdezés is lehetséges NetBIOS over TCP helyett Lépések 1. DNS lekérdezése. Ha nincs DNS kiszolgáló vagy nem válaszol, akkor LLMNR. 2. Az állomás UDP csomagot küld csoportos címzéssel a helyi hálózatra. 3. Ha a keresett gép támogatja az LLMNR-t, akkor egycímes üzenetben küldi az IP címét a lekérdező gépnek

97 DNS A Windows tartomány neve azonos kell legyen a DNS tartománynévvel Ismétlés: DNS névfeloldás menete DNS gyorsítótár ügyfél gépen Lekérdezés: ipconfig /displaydns Ürítés: ipconfig /flushdns DNS gyorsítótár kiszolgáló gépen mmc konzolról Negatív gyorsítótárazás

98 DNS névfeloldás

99 DNS zóna Az adatok visszakeresésének iránya alapján Címkeresési zóna (Forward Lookup Zone) Névkeresési zóna (Reverse Lookup Zone) Szervezési szempontból Szabványos elsődleges (Standard Primary) Szabványos másodlagos (Standard Secondary) Helyettes zóna (Stub)

100 DNS kiszolgáló típusok Elsődleges (Primary) Másodlagos (Secondary) Gyorsítótárazó (Cache-only)

101 Zónaadatok tárolása Szöveges fájlokban (szabványos) %SYSTEMNROOT%\SYSTEM32\DNS\*.DNS Címtárba integrálva (MS megoldás) A DNS kiszolgáló a tartományvezérlőn kell legyen. Megvalósítható a zónák és a címtár egységes replikációja.

102 Gyakran alkalmazott rekord típusok SOA (Start Of Authority) A (Address) AAAA (IPv6) NS (Authoritative Name Server) CNAME (Canonical Name) MX (Mail Exchange) PTR (Pointer) SRV (Service locator) AD-vel integrált DNS kiszolgálón: WINS

103 NAT (Network Address and Port Translation)

104 NAT (Network Address and Port Translation) A NAT egy olyan technika, amelynek segítségével egy belső privát hálózat gépeinek IP címeit teljesen elrejthetjük a külső hálózat nyilvánossága elöl. A belső hálózaton levő gépek általában A, B, vagy C osztályú IP címekkel rendelkeznek. Az IP címek kiosztásánál figyelembe kell venni az RFC1957 ajánlását.

105 NAT (Network Address and Port Translation) A gépek úgy kerülnek kapcsolatba az Internet publikus hálózatával, hogy egy ún. átjáró (gateway) gépen, a NAT-oló gépen keresztül kapcsolódnak. A belső hálózaton levő gépek úgy kommunikálnak a nem lokális hálózaton levő gépekkel, hogy az átjáró gép kernele továbbítja az üzenetcsomagokat a külső és a belső hálózat között.

106 NAT (Network Address and Port Translation) A továbbítás során kicseréli a belső hálózat IP címeit a saját, publikus IP címére. A külső hálózatból érkező válasz üzenetcsomagoknál ennek az ellenkezőjét teszi, azaz visszacseréli a célállomás IP címét a belső hálózati IP címre, és a csomagot a belső hálózatra továbbítja.

107 NAT (Network Address and Port Translation)

108 Könyvtárak megosztása

109 Hol kell megosztani? Helyi gépen Hálózaton keresztül

110 Hozzáférés szabályozás NTFS partíción Standard engedélyek Teljes hozzáférés Módosítás Olvasás és végrehajtás Mappa tartalmának listázása Mappa Olvasás, írás, módosítás, törlés almappákra és állományokra Állományok és almappák olvasása, írása, könyvtár törlése Áll.k és almappák megtekintése, kilistázása. Áll.-k végrehajtása. Állk és mappák öröklik Állk és almappák kilistázása, megtekintése és állk végrehajtása. Csak mappák öröklik Állomány Áll. olvasása, írása, módosítása, törlése Áll. olvasása, írása, törlése Áll. olvasása és végrehajtása --- Olvasás Állk és almappák kilistázása, megtekintése Tartalom olvasása Írás Állk és almappák hozzáadása Írás állományba

111 Hozzáférés szabályozás NTFS partíción A megtagadás mindig erősebb, mint az engedélyezés Szkript futtatásához csak olvasási engedély kell Ha egy felhasználó teljes hozzáférést kap egy mappához, akkor abban az esetben is törölhet, ha az egyes állományokra nincs joga

112 Standard engedélyek

113 Speciális engedélyek 1 SpE\St E TH M OV ML O Í Teljes Hozzáférés MF MF MF MF MF MF Mappa bejárása fájl végrehajtása MF MF MF M Mappa lista adatok olvasás MF MF MF M MF Attribútum olvasás MF MF MF M MF Kiterjesztett attribútum olvasás MF MF MF M MF Fájl létrehoz adatok írása MF MF MF Mappák létre adatok hozzá MF MF MF SpE speciális engedélyek StE standard engedélyek M mappák esetén F fájlok esetén TH - Teljes hozzáférés M - Módosítás OV - Olvasás és végrehajtás ML - Mappa tartalmának listázása O - Olvasás Í Írás

114 Speciális engedélyek 2 SpE\St E TH Mó OV ML O Í Attr írása MF MF MF Kiterjesztett attr írása MF MF MF Almappák és fájlok törlése Törlés MF MF MF Engedélyek olvasása MF MF MF M MF MF Saját tulajdonba v Engedélyek módosítása MF MF

115 Speciális engedélyek

116 Access Control List Hozzáférés szabályozási lista Ha létrehozunk egy új mappát, akkor az örökli a szülőtől az ACL-t A speciális részben megszakítható az öröklés A megtagadás erősebb az örökölt engedélyeknél A tulajdonos jogokat adhat és vonhat meg Ha megvonja az engedélyeket a Rendszergazdától, akkor az csak Tulajdonba vétel által juthat hozzáféréshez

117 Access Control List Alapelv: mindenki csak annyi jogosultsággal rendelkezzen, ami feltétlenül indokolt a munkájához. Cél: a működőképesség és a biztonság garantálása

118 Könyvtárak és állományok megosztása a hálózaton Általános megosztás (hagyományos, speciális) Nyilvános megosztás %SYSTEMDRIVE%\Users\Public-ba kell másolni a megosztani kívánt állományokat

119 Könyvtárak megosztása a hálózaton Kiemelt felhasználók vagy Rendszergazdák csoport tagja Hozzáférés szabályozás Olvasás (Read) Módosítás (Modify) Teljes hozzáférés (Full Control) A megosztásnév eltérhet az eredeti könyvtárnévtől Szerepkörök: kiszolgáló: aki megoszt Ügyfél: aki igénybe veszi a megosztást

120 Mappák megosztása a hálózaton

121 Megosztás parancssorból net share megosztásnév=helyi elérési útvonal /users:felhasználószám /grant:felhasználó,full CHANGE READ net share megosztásnév /delete Alapértelmezés szerint a Mindenki csoport olvasási engedélyt kap

122 Megosztott könyvtár elérése Elérés UNC megadásával grafikus felületen vagy parancssorban \\gépnév\megosztásnév Előny: egyszerű Hátrány: lassú Meghajtó betűjel rendelése a megosztáshoz Parancssorban: net use x: \\gép\megosztás /user:xxx jelszó xxx: tartomány\felhasználó xxx: felhasználó@tartomány net use x: /delete Előny: gyors

123 Meghajtó hozzárendelése tallózás után - grafikus felületen

124 Meghajtó hozzárendelése

125 Speciális megosztások Alapértelmezett felügyeleti megosztások Minden partícióhoz egy (pl. C$) ADMIN$ IPC$ PRINT$

126 Nyomtató megosztása

127 Megosztott nyomtatókhoz kapcsolódó standard engedélyek Nyomtatás: dokumentumok nyomtatása. Saját dokumentumok nyomtatásának megállítása, újraindítása, törlése valamint nyomtatási jellemzők beállítása. Dokumentumok kezelése: a nyomtatási sorban levő dokumentumok nyomtatásának megállítása, újraindítása, mozgatása és törlése Nyomtatókezelés: nyomtató megosztása, eltávolítása, tulajdonságainak megváltoztatása. Leállítás és újraindítás.

128 Megosztott nyomtatókhoz kapcsolódó standard engedélyek A jogosultsági listába automatikusan bekerül a Mindenki csoport Nyomtatás engedéllyel Rendszergazdák csoport az összes engedéllyel

129 Speciális engedélyek Nyomtatás Dokumentumok kezelése Nyomtató kezelés Nyomtatás X X Nyomtató kezelés Dokumentumok kezelése Engedélyek olvasása Engedélyek módosítása Saját tulajdonba vétel X X X X X X X X X

130 Nyomtató megosztása grafikus felületen

131 Automatikusan kapott engedélyek

132 Hálózati Tárolók DAS, SAN, NAS

133 DAS (Direct Attached Storage) A megosztott adatok tárolásának klasszikus módja a szerverekben elhelyezett merevlemezek használata, azaz a közvetlenül csatolt tárolás. A hálózati szerverekkel direkt módon összekötött tárolók alkalmazása. Legnagyobb problémája, hogy a szerver esetleges leállása esetén a csatolt háttértárak nem elérhetők, illetve hogy sok esetben felesleges kapacitások alakulnak ki, hiszen a rendelkezésre álló szabad helyek nem csoportosíthatók át egyik szervertől a másikhoz.

134 SAN (Storage Area Network) A merevlemezeket tartalmazó eszközök valamilyen gyors kapcsolaton keresztül egyfajta hálózatba vannak szervezve, ez az alhálózat pedig a kapcsolókon keresztül elérhető a szerverek számára. A transzparens megvalósítás miatt nincs elpazarolt kapacitás, rekordok kezelése, illetve tranzakciókezelés esetén pedig ez a megoldás sebességben is verhetetlen.

135 NAS (Network Attached Storage) A NAS, egy hálózatra kötött adattároló. Sok mindenben hasonlít egy külső merevlemezre. A NAS egy drága külső HDD-keret, amely nem dedikáltan egy gépre csatlakozik, hanem routeren keresztül a hálózat valamennyi számítógépéhez. nagy maximális tárolókapacitás, UTP csatlakozás többplatformos hozzáférés lehetősége, a hálózatra csatlakozó gép operációs rendszerének fájlrendszerét képes emulálni. csökkenthetők az elpazarolt kapacitások, illetve az adminisztrációs költségek.

136 NAS (Network Attached Storage)

137 NAS (Network Attached Storage) Megosztási lehetőségek: NFS (Unix) CIFS/SMB (WIN) AFP (MAC) Alkalmazások: FTP szerver, Mail szerver, Nyomtató szerver Backup RAID Domain

138 Otthoni és mikro-vállalati hálózat

139 A bejövő internet kapcsolat Vezetékes kapcsolat Telefonhálózat UTP kábel Vezeték nélküli kapcsolat Mikrohullám Mobil internet

140 Telefonosos bejövő kapcsolat Telefon Bejövő telefonos hálózat Jel elosztás Modem Számítógép

141 UTP-s bejövő kapcsolat Bejövő Internet (UTP) ROUTER Számítógép

142 Mikrohullámú kapcsolat Mikrohullámú torony jel Mikrohullámú vevő antenna PoE eszköz ROUTER Számítógép

143 Mobil internet kapcsolat Mobilszolgáltatói hálózat Mobil stick vevő 3G / 4G ROUTER Számítógép

144 Hálózat kiépítése (több kliens kiszolgálása) Vezetékes Vezeték nélküli

145 Összetett Router

146 Összetett Router Több kliens gép kapcsolódása vezetékkel LAN1-4 Vezeték nélküli kommunikáció Még több kliens számára Titkosításos megoldás (WPA2/PSK) USB Hálózati nyomtató kezelése Központi adattároló

147 USB konfigurálási lehetőségei

148 HOMEPLUG AV Az otthoni hálózatot használja adatok továbbításra Mbps 300méter távolság Rossz WiFi jel esetén Nagy távolságok áthidalására

149 Vékony kliens technológia

150 Vékony kliens technológia A vékony kliensek úgynevezett solid-state készülékek, diszk és mozgó alkatrészek nélkül, amelyek kapcsolatban vannak egy központi szerverrel néhány elérési szoftver vagy böngésző által. Az információ feldolgozása a szerveren történik, az adatok bevitele pedig a felhasználó által a vékony kliens készüléken. Minden alkalmazás a központi szerveren fut, mialatt a felhasználó egység csak annyi számítógépes forrást használ, amennyi szükséges, hogy elérje a szervert.

151 Vékony kliens technológia Előnyök: Alacsony üzemeltetési költségek Jóval olcsóbb, mint a hagyományos PC Kevesebb karbantartás (nincs mozgó alkatrész) Kisebb teljesítményfelvétel (alacsony fogyasztás) Könnyen mozgatható, költöztethető az egész infrastruktúra Magas szintű biztonság Központosított a rendszer karbantartása Hátrány: Nem igazán támogatja a 3D-t és az AutCad-et Gyenge multimédiás megjelenítés Gyenge minőségű hang átvitel

152 Vékony kliens technológia Alkalmazási terület: Vékonykliens infrastruktúrát elsősorban irodáknak tervezték, ahol a fő tevékenység a dokumentum szerkesztés, és ügyviteli szoftverek alkalmazása. Iskolák Könyvtárak Net kávézók

153 Vékony kliens technológia

154 Vékony kliens technológia

155 Vékony kliens Technológia Konnektorba szerelhető PC

156 Felhő alapú informatika

157 ONLINE alkalmazások Amikor nem lokálisan szerkesztjük és tároljuk az adatunkat, fájlokat, hanem egy nagy közös szerveren vannak elhelyezve. - Webes levelezőprogram - Online dokumentum szerkesztők - Fájlmegosztó szolgáltatások

158 A számítási felhő segít a különböző eszközökön, (PC, notebook, PDA, mobiltelefon) lévő adatok szinkronizálásában is ban az Apple indított el egy számítási felhőt, a MobileMe szolgáltatást, amelynek azonban az adatszinkronizálási működése nem volt elég korszerű, ezért hamarosan felváltotta az icloud felhő.

159 Felhő alapú számítástechnika Az internet felhasználásával nyújtott szolgáltatások összességét jelenti. Egy olyan felhőalapú virtuális infrastruktúraszolgáltatás, ahol saját szerverparkunk lehet virtuális hálózattal és mindezt egy könnyen kezelhető vezérlőpultból irányíthatjuk, bővíthetjük. Olyan állományokkal és programokkal dolgozunk, melyek fizikailag nem a saját gépünkön, hanem az interneten, egy ismeretlen helyen vannak, valahol a felhőben.

160 A felhasználó csupán egy egyszerű, kis teljesítményű számítógéppel, és egy böngészővel rendelkezik. Nagy teljesítményű szerverek

161 Felhőszolgáltatások szintjei Legalsó szint: Iaas - Infrastracture as a Service, vagyis infrastruktúra nyújtása szolgáltatásként. Ez gyakorlatilag csak erőforrás bérlését jelenti, vagyis meghatározott mennyiségű processzor, memória és tárhely használatát egy felhő szolgáltatónál, szoftver nélkül. Középső szint: Paas Platform as a Service, vagyis fejlesztési platformok nyújtása szolgáltatásként. A platformszolgáltatás igénybevételével a felhasználó általában valamilyen fejlesztői környezetet bérel a cloud szolgáltatótól. Felső szint: SaaS Software as a Service, vagyis szoftver nyújtása szolgáltatásként. Ez a legegyszerűbb felhő alapú szolgáltatás, olyan szoftverek bérlését biztosítja a felhasználók számára, amiket nem kell telepíteni, használatukhoz elegendő egy webböngésző. A többit a felhő szolgáltatóra bízhatja.

162 Kiépítés szerint három felhő alapú megoldások: Privát felhő Publikus felhő Számítási felhő

163 Privát felhő Privát felhő esetén a szolgáltatást nyújtó erőforrások kizárólag a részünkre vannak dedikálva, nem kell osztoznunk azok teljesítményén másokkal. (önkormányzatok, bankok, vagy nagyvállalatok) Publikus felhő Jelenti a klasszikus felhőt, melynek infrastruktúrjából bárki bérelhet egy részt, megfelelő havidíj kifizetése ellenében.

164 Számítási felhő Ebben az esetben kiemelten hangsúlyos a szolgáltatás sebessége. Vagyis számítási kapacitást vásárolunk. Ilyenkor a szolgáltató garantál egy rövid válasz időt, egy adott számítás elvégzésére vállal határidőt. Ezeknek a betartása érdekében a szolgáltató akár dinamikusan meg is többszörözheti az erőforrások számát, gyakorlatilag, ha szükséges, akár több száz vagy több ezer új szervert is üzembe állít, amik csak nekünk számolnak.

165 Redundancia Nagy előnye, hogy segítségével különböző szolgáltatások könnyen redundássá tehetőek. Ez a gyakorlatban azt jelenti, hogy a vállalkozásnak nem kell ugyanarra a feladatra két szervert megvásárolnia, és azokat különböző fizikai helyen elhelyeznie a folyamatos üzletmenet érdekében, hanem elég két földrajzilag eltérő helyen lévő virtuális szervert bérelnie.

166 Fizikai felépítés

167 BLADE szerverek A blade rendszerekben egy szerver ugyanúgy egy elkülöníthető eszköz, mint a hagyományos rendszerekben, de nem tartalmaz sok bővítő helyet, nincs önálló tápegysége, így sokkal karcsúbb (ezért is nevezik penge szervernek). A helykihasználás javítása érdekében a penge szerverek befogadására létrehoztak egy keretet, amely a tápellátást, hálózati csatlakozást, a kezelőszervek (billentyűzet, egér) és monitor csatlakoztatását is megoldja.

168

169 BLADE szerverek előnyei a helykihasználás racionalizálása a kábelezési szükséglet minimalizálása a gyors bővíthetőség: az új szerver fizikai telepítése mindössze annyi, hogy egy penge szerver modult tolunk a keretbe.

170 TÁROLÓKKAL (STORAGE) VALÓ KAPCSOLAT A szerverekhez csatlakoztatott tárolók típusától Fibre Channel avagy üvegszál, SAS avagy Serial Attached SCSI, Ethernet felületen elérhető NAS függően választható a kerethez a megfelelő csatoló modul.

171 1 Hard disk drives 4 Slots (24) if present, not used 2 LED if present, not used 5 Serial/WWN label 3 Button if present, not used

172 TÁROLÓK (STORAGE)

173 SZERVERPARKOK

174

175

176 Hálózati Tárolók DAS, SAN, NAS

177 DAS (Direct Attached Storage) A megosztott adatok tárolásának klasszikus módja a szerverekben elhelyezett merevlemezek használata, azaz a közvetlenül csatolt tárolás. A hálózati szerverekkel direkt módon összekötött tárolók alkalmazása. Legnagyobb problémája, hogy a szerver esetleges leállása esetén a csatolt háttértárak nem elérhetők, illetve hogy sok esetben felesleges kapacitások alakulnak ki, hiszen a rendelkezésre álló szabad helyek nem csoportosíthatók át egyik szervertől a másikhoz.

178 SAN (Storage Area Network) A merevlemezeket tartalmazó eszközök valamilyen gyors kapcsolaton keresztül egyfajta hálózatba vannak szervezve, ez az alhálózat pedig a kapcsolókon keresztül elérhető a szerverek számára. A transzparens megvalósítás miatt nincs elpazarolt kapacitás, rekordok kezelése, illetve tranzakciókezelés esetén pedig ez a megoldás sebességben is verhetetlen.

179 NAS (Network Attached Storage) A NAS, egy hálózatra kötött adattároló. Sok mindenben hasonlít egy külső merevlemezre. A NAS egy drága külső HDD-keret, amely nem dedikáltan egy gépre csatlakozik, hanem routeren keresztül a hálózat valamennyi számítógépéhez. nagy maximális tárolókapacitás, UTP csatlakozás többplatformos hozzáférés lehetősége, a hálózatra csatlakozó gép operációs rendszerének fájlrendszerét képes emulálni. csökkenthetők az elpazarolt kapacitások, illetve az adminisztrációs költségek.

180 NAS (Network Attached Storage)

181 NAS (Network Attached Storage) Megosztási lehetőségek: NFS (Unix) CIFS/SMB (WIN) AFP (MAC) Alkalmazások: FTP szerver, Mail szerver, Nyomtató szerver Backup RAID Domain

182 Otthoni és mikro-vállalati hálózat

183 A bejövő internet kapcsolat Vezetékes kapcsolat Telefonhálózat UTP kábel Vezeték nélküli kapcsolat Mikrohullám Mobil internet

184 Telefonosos bejövő kapcsolat Telefon Bejövő telefonos hálózat Jel elosztás Modem Számítógép

185 UTP-s bejövő kapcsolat Bejövő Internet (UTP) ROUTER Számítógép

186 Mikrohullámú kapcsolat Mikrohullámú torony jel Mikrohullámú vevő antenna PoE eszköz ROUTER Számítógép

187 Mobil internet kapcsolat Mobilszolgáltatói hálózat Mobil stick vevő 3G / 4G ROUTER Számítógép

188 Hálózat kiépítése (több kliens kiszolgálása) Vezetékes Vezeték nélküli

189 Összetett Router

190 Összetett Router Több kliens gép kapcsolódása vezetékkel LAN1-4 Vezeték nélküli kommunikáció Még több kliens számára Titkosításos megoldás (WPA2/PSK) USB Hálózati nyomtató kezelése Központi adattároló

191 USB konfigurálási lehetőségei

192 HOMEPLUG AV Az otthoni hálózatot használja adatok továbbításra Mbps 300méter távolság Rossz WiFi jel esetén Nagy távolságok áthidalására

193 Vékony kliens technológia

194 Vékony kliens technológia A vékony kliensek úgynevezett solid-state készülékek, diszk és mozgó alkatrészek nélkül, amelyek kapcsolatban vannak egy központi szerverrel néhány elérési szoftver vagy böngésző által. Az információ feldolgozása a szerveren történik, az adatok bevitele pedig a felhasználó által a vékony kliens készüléken. Minden alkalmazás a központi szerveren fut, mialatt a felhasználó egység csak annyi számítógépes forrást használ, amennyi szükséges, hogy elérje a szervert.

195 Vékony kliens technológia Előnyök: Alacsony üzemeltetési költségek Jóval olcsóbb, mint a hagyományos PC Kevesebb karbantartás (nincs mozgó alkatrész) Kisebb teljesítményfelvétel (alacsony fogyasztás) Könnyen mozgatható, költöztethető az egész infrastruktúra Magas szintű biztonság Központosított a rendszer karbantartása Hátrány: Nem igazán támogatja a 3D-t és az AutCad-et Gyenge multimédiás megjelenítés Gyenge minőségű hang átvitel

196 Vékony kliens technológia Alkalmazási terület: Vékonykliens infrastruktúrát elsősorban irodáknak tervezték, ahol a fő tevékenység a dokumentum szerkesztés, és ügyviteli szoftverek alkalmazása. Iskolák Könyvtárak Net kávézók

197 Vékony kliens technológia

198 Vékony kliens technológia

199 Vékony kliens Technológia Konnektorba szerelhető PC

200 Felhő alapú informatika

201 ONLINE alkalmazások Amikor nem lokálisan szerkesztjük és tároljuk az adatunkat, fájlokat, hanem egy nagy közös szerveren vannak elhelyezve. - Webes levelezőprogram - Online dokumentum szerkesztők - Fájlmegosztó szolgáltatások

202 A számítási felhő segít a különböző eszközökön, (PC, notebook, PDA, mobiltelefon) lévő adatok szinkronizálásában is ban az Apple indított el egy számítási felhőt, a MobileMe szolgáltatást, amelynek azonban az adatszinkronizálási működése nem volt elég korszerű, ezért hamarosan felváltotta az icloud felhő.

203 Felhő alapú számítástechnika Az internet felhasználásával nyújtott szolgáltatások összességét jelenti. Egy olyan felhőalapú virtuális infrastruktúraszolgáltatás, ahol saját szerverparkunk lehet virtuális hálózattal és mindezt egy könnyen kezelhető vezérlőpultból irányíthatjuk, bővíthetjük. Olyan állományokkal és programokkal dolgozunk, melyek fizikailag nem a saját gépünkön, hanem az interneten, egy ismeretlen helyen vannak, valahol a felhőben.

204 A felhasználó csupán egy egyszerű, kis teljesítményű számítógéppel, és egy böngészővel rendelkezik. Nagy teljesítményű szerverek

205 Felhőszolgáltatások szintjei Legalsó szint: Iaas - Infrastracture as a Service, vagyis infrastruktúra nyújtása szolgáltatásként. Ez gyakorlatilag csak erőforrás bérlését jelenti, vagyis meghatározott mennyiségű processzor, memória és tárhely használatát egy felhő szolgáltatónál, szoftver nélkül. Középső szint: Paas Platform as a Service, vagyis fejlesztési platformok nyújtása szolgáltatásként. A platformszolgáltatás igénybevételével a felhasználó általában valamilyen fejlesztői környezetet bérel a cloud szolgáltatótól. Felső szint: SaaS Software as a Service, vagyis szoftver nyújtása szolgáltatásként. Ez a legegyszerűbb felhő alapú szolgáltatás, olyan szoftverek bérlését biztosítja a felhasználók számára, amiket nem kell telepíteni, használatukhoz elegendő egy webböngésző. A többit a felhő szolgáltatóra bízhatja.

206 Kiépítés szerint három felhő alapú megoldások: Privát felhő Publikus felhő Számítási felhő

207 Privát felhő Privát felhő esetén a szolgáltatást nyújtó erőforrások kizárólag a részünkre vannak dedikálva, nem kell osztoznunk azok teljesítményén másokkal. (önkormányzatok, bankok, vagy nagyvállalatok) Publikus felhő Jelenti a klasszikus felhőt, melynek infrastruktúrjából bárki bérelhet egy részt, megfelelő havidíj kifizetése ellenében.

208 Számítási felhő Ebben az esetben kiemelten hangsúlyos a szolgáltatás sebessége. Vagyis számítási kapacitást vásárolunk. Ilyenkor a szolgáltató garantál egy rövid válasz időt, egy adott számítás elvégzésére vállal határidőt. Ezeknek a betartása érdekében a szolgáltató akár dinamikusan meg is többszörözheti az erőforrások számát, gyakorlatilag, ha szükséges, akár több száz vagy több ezer új szervert is üzembe állít, amik csak nekünk számolnak.

209 Redundancia Nagy előnye, hogy segítségével különböző szolgáltatások könnyen redundássá tehetőek. Ez a gyakorlatban azt jelenti, hogy a vállalkozásnak nem kell ugyanarra a feladatra két szervert megvásárolnia, és azokat különböző fizikai helyen elhelyeznie a folyamatos üzletmenet érdekében, hanem elég két földrajzilag eltérő helyen lévő virtuális szervert bérelnie.

210 Fizikai felépítés

211 BLADE szerverek A blade rendszerekben egy szerver ugyanúgy egy elkülöníthető eszköz, mint a hagyományos rendszerekben, de nem tartalmaz sok bővítő helyet, nincs önálló tápegysége, így sokkal karcsúbb (ezért is nevezik penge szervernek). A helykihasználás javítása érdekében a penge szerverek befogadására létrehoztak egy keretet, amely a tápellátást, hálózati csatlakozást, a kezelőszervek (billentyűzet, egér) és monitor csatlakoztatását is megoldja.

212

213 BLADE szerverek előnyei a helykihasználás racionalizálása a kábelezési szükséglet minimalizálása a gyors bővíthetőség: az új szerver fizikai telepítése mindössze annyi, hogy egy penge szerver modult tolunk a keretbe.

214 TÁROLÓKKAL (STORAGE) VALÓ KAPCSOLAT A szerverekhez csatlakoztatott tárolók típusától Fibre Channel avagy üvegszál, SAS avagy Serial Attached SCSI, Ethernet felületen elérhető NAS függően választható a kerethez a megfelelő csatoló modul.

215 1 Hard disk drives 4 Slots (24) if present, not used 2 LED if present, not used 5 Serial/WWN label 3 Button if present, not used

216 TÁROLÓK (STORAGE)

217 SZERVERPARKOK

218

219

220 Windows-os gépek hálózatban

221 Hálózati típusok Munkacsoport (workgroup) Laza kapcsolat. Minden gépen Security Account Management (SAM). Minden gép megoszthat erőforrásokat (fájl, nyomtató). Egyenrangú számítógépekből alakított hálózat. Helyi felhasználók. Tartomány (domain) Van egy közös tartományi szintű SAM, ami az aktív címtár (AD) adatbázis része. Központosított felhasználói fiók nyilvántartás. Központi felügyelet csoportházirenddel. Distributed File System

222 Kiszolgáló-ügyfél típusú hálózat Kiszolgáló Hardver : állandó folyamatos üzemre tervezve. Nagyobb teljesítmény, kiszolgálásra optimalizálva. Szoftver: Jogosultságok központi kezelése (címtár). Központi felügyelet (címtár). Csoportházirend (nem egyesével állítjuk be a gépeket). IP cím kiosztás központosítva (DHCP) Névfeloldás (WINS, DNS) DFS

223 Tartomány vagy munkacsoport? Ökölszabály: Ügyfélszámítógépek száma 5 munkacsoport >5 tartomány

224 Szerver alkalmazások Kiszolgálói szerepkörök: valamely hálózati szolgáltatás megvalósítása: pl. alkalmazás kiszolgáló, DNS, DHCP, stb. Szolgáltatás: szoftver összetevő, ami lehetővé teszi a szerepkör megvalósítását. Minden szerepkörhöz legalább egy szolgáltatás tartozik. Ahol csak egy szolgáltatás van ott az automatikusan települ a szerepkör telepítésekor. A többinél válogathatunk.

225 AD DS AD DS Active Directory tartományi szolgáltatások Címtár a hálózati objektumok számára, A tartományvezérlők segítségével egyszeri bejelentkezési folyamattal hozzáférés a hálózati erőforrásokhoz szabályozott módon DNS kiszolgálót igényel a DNS a tartományvezérlőn legyen

226 AD LDS Active Directory Lightweight Directory Services Tárolási szolgáltatást biztosít olyan címtárkompatibilis alkalmazások alkalmazásspecifikus adatai számára, amelyeknek nincs szükségük az AD DS-re. Az AD LDS több példánya is jelen lehet egy kiszolgálón, és mindegyik külön sémával rendelkezhet Az LDAP technológián alapul Nincs szüksége tartományra, de lehet tartományban is Egyszerre képes kiszolgálni egy munkacsoportot és egy tartományt is Olyan adatbázisoknál érdemes használni, ahol gyakrabban történik írás mint olvasás

227 AD FS - Federation Services Összevonási szolgáltatások Egyszeri bejelentkezési (SSO) technológiák révén lehetővé teszi, hogy a felhasználók egy online munkamenet időtartamára több, kapcsolódó webalkalmazás számára is hitelesíthessék magukat.

228 AD FS Legfontosabb funkciói: Összevont és webes egyszeri bejelentkezés (AD DS szükséges) Kompatibilitás a Web Services specifikációval: a Windows és más identitásmodellre épülő környezetek között is lehetővé teszi az összevonás megoldását Bővíthető architektúra Támogatja a SAML típusú jogkivonatokat és a Kerberos hitelesítést, a hozzáférési kérésekben egyéni üzleti logika alapján módosíthatja a jogcímeket

229 SAML - Security Assertion Markup Language A SAML egy ipari szabvány, amely egy olyan XML-alapú protokollt definiál, mellyel az azonosító adatok cseréje biztonságosan megoldható különböző szolgáltatások között, vagyis több különböző, egy időben használt szolgáltatás (például alkalmazások, file-elérés stb.) érhető el egy egyszeri azonosításon keresztül.

230 AD CS AD CS AD tanúsítvány szolgáltatások: Biztosítja az ügyfélszámítógépek és kiszolgálók digitális tanúsítványainak kiadásához és visszavonásához szükséges funkciókat, Hitelesítés szolgáltatók és hozzájuk kapcsolódó szerepkör-szolgáltatások létrehozására használható

231 AD CS Összetevők (nincs mindegyik jelen összes szerver típusnál) Hitelesítés szolgáltató Hálózati eszközök tanúsítvány igénylési szolgáltatása Online válaszadó szolgáltatás Hitelesítés szolgáltatói tanúsítvány webes igénylése Tanúsítványigénylési web szolgáltatás Tanúsítványigénylési házirend web szolgáltatás

232 AD RMS AD RMS jogkezelő szolgáltatások: kiszolgáló-ügyfél architektúrájú rendszer A kiszolgáló kezeli a tanúsítványokat és a licencelést - Az ügyfél (W7 W8 és Vista): Felhasználók szabhatják meg, hogy egy dokumentum megnyitását, módosítását, nyomtatását, továbbítását kinek engedélyezik A szervezetek házirend sablonokat készíthetnek, ami közvetlenül az információra alkalmazható A használati jogok a dokumentumba kerülnek

233 DNS - Domain Name SERVER Azok a szerverek, amelyek számon tartják az egyes IP címekhez tartozó számítógépneveket, illetve biztosítják ezek oda-vissza fordítását, mert a gépek csak a numerikus IP címeket tudják kezelni, az emberek viszont könnyebben megjegyzik a neveket. A DNS lehet Domain Name System jelentésű is, ebben az értelemben a hálózatba kötött számítógépek azonosítóinak elosztott adatbázisa.

234 DNS - Domain Name System DNS kiszolgáló névfeloldás Választható szolgáltatások: RFC kompatibilis DNS kiszolgáló Együttműködés más DNS implementációkkal (pl. BIND) AD DS támogatása: tartományvezérlők megtalálása replikáció támogatása Bővítmények a DNS zónatároláshoz AD DS-ben alkalmazási címtárpartíción

235 DNS kiszolgáló Feltételes továbbítók: bizonyos tartományokra végződő lekérdezéseket megadott szerver(ek)hez továbbít (van feltétel nélküli továbbítás is) Helyettes zónák: csak olyan rekordot tartalmaz, ami alapján a zóna mérvadó DNS kiszolgálói azonosíthatóak Fokozott DNS biztonsági szolgáltatások Integráció más Microsoft hálózati szolgáltatásokkal (AD DS, WINS, DHCP)

236 DNS kiszolgáló Továbbfejlesztett egyszerű felügyelet: MMC + varázslók RFC 2136 kompatibilis dinamikus frissítési protokoll támogatása az ügyfél regisztrálja automatikusan nevét és IP címét Növekményes zónaletöltés támogatása kiszolgálók között - amikor fájlokban van tárolva (nem AD) csak a megváltozott részeket replikája Egycímkés állomásnév feloldás WINS nélkül GlobalNames nevű zóna (ahol WINS nem lehetséges)

237 Fájlszolgáltatások Fájlszolgáltatások: tároláskezelés, replikáció, megosztás, UNIX ügyfelek Választható szolgáltatások: Elosztott fájlrendszer DFS Fájlkiszolgálói erőforrás-kezelő FSRM: kvóták mappákra és kötetekre, átfogó tárolási jelentések NFS szolgáltatások: fájlátvitel NFS protokollon keresztül Windows keresési szolgáltatás: fájlok gyors keresése a kiszolgálón

238 Fájlszolgáltatások BranchCache hálózati fájlokhoz: az ügyfél gyorsítótárazza a kiszolgáló által megosztott mappát, majd elérhetővé teszi azt a többi helyi gép felé Windows Server biztonsági másolat: mentés és helyreállítás

239 Fájlszolgáltatások Tárolóhálózati tárkezelő: száloptikás vagy internetes SCSI tárolórendszerek használata Feladatátvételi fürt: ha egy csomópont meghibásodik, egy másik biztosítja a szolgáltatást Többutas I/O: több adatelérési út fájlkiszolgáló és tárolóeszköz között: terheléselosztás, elérhetőség javítása

240 Hálózati házirend- és elérési szolgáltatások hálózatvédelem, állapotházirendek létrehozása és kikényszerítése (szoftverkövetelmények, biztonsági frissítések, stb.) Korlátozott hálózatelérés a feltételek teljesüléséig Biztonságos vezetékes és nélküli hozzáférés: csatlakozás és IP cím kérés csak hitelesítést követően Távelérési megoldások: VPN és betárcsázós Központi hálózati házirend kezelés Útválasztás és távelérés: VPN, telefon, LAN-LAN, LAN- WAN, NAT

241 További kiszolgálói szerepkörök Távoli asztal szolgáltatások Webkiszolgáló (IIS): Web, WebDAV, ftp Faxkiszolgáló: faxok küldése és fogadása, jelentések, naplózás Windows Server Update Services: telepítendő frissítések megadása, frissítéscsoportok és számítógépcsoportok összerendelése, jelentések a számítógépek kompatibilitási szintjéről Hyper-V: szolgáltatások virtuális gépek létrehozásához és kezeléséhez

242 Címtár Tárolja a hálózat objektumainak (pl.felhasználói fiókok, gépek, nyomtatók, stb.) és erőforrásainak (pl. DFS, névfeloldási adatbázis, stb.) adatait Lekérdezésre optimalizált hierarchikus adatbázis. Egységes, jól kereshető formátum. Beállítások és korlátozások (pl. csoport házirend), saját könyvtárak, be/kijelentkezési szkriptek központosítottan kezelhetők. Felhasználó azonosítás és hozzáférés szabályozás (pl. ID: SQL Server, Exchange, IIS)

243 Objektum típusok funkció szerint Konténer: további objektumokat tartalmazhat. Erdő, fa, tartomány, szervezeti egység Levél objektum: a hálózat elemei

244 Konténer objektumok Erdő A legmagasabb szintű tároló egység. Közös sémát és globális katalógust használ. Egy vagy több fa lehet benne. Fa több AD tartomány közös DNS tartománynévvel. Az AD tartományok szülő-gyerek kapcsolatban állhatnak. Tartomány Biztonsági egység: ügyfelek, kiszolgálók, hálózati erőforrások közös címtáradatbázissal. Egy vagy több DC. Szervezeti egység objektumokat tárol: felhasználói fiókok, csoportok, számítógépek felügyelet szempontjából csoportosítva. Csoportházirend, delegálható felügyeleti jog. Levél objektumokat és más SzE-ket tárolhat

245 Levél objektumok Felhasználói fiók adatok a felhasználóról + bizonyos korlátozások Számítógép fiók a tartományba felvett számítógépet reprezentálja. A DC fiókja automatikusan jön létre. Csoportfiók cél az egyszerűbb felügyelet Beléptetés után a Helyi felhasználók csoportnak tagja lesz a Tartományfelhasználók csoport. A helyi rendszergazdák csoportba bekerül a Tartománygazdák csoport.

246 Csoportfiók Helyi csoport helyi számítógépen Tartománybeli csoport Terjesztési csoport (nem biztonsági) csak levelezésre, nem lehet általa engedélyeket szerezni Biztonsági csoport engedély kiosztás megkönnyítésére szolgál

247 Csoport hatókör típusok Tartományi helyi csoport Tartományon belüli erőforrásokhoz ad hozzáférést. Tagja lehet az erdő bármely tartományából vagy más erdő megbízható tartományából. Gyakorlat: globális vagy univerzális csoportok. Mihez ad engedélyt: nyomtatók, megosztott mappák Beépített helyi csoport nem lehet utólag létrehozni vagy törölni.

248 Csoport hatókör típusok Globális csoport Tagja lehet: a saját tartomány felhasználói és gépei. Szervezési egység, ezt veszik fel a tartományi helyi csoportba. Univerzális csoport A fán belül bárki tagja lehet. Általában: a globális csoportok kerülnek bele. Ha csak egy tartomány van, akkor nem használjuk.

249 Felhasználói fiók Belső azonosítás nem a név alapján, hanem SID-del Jelszó nélküli felhasználó nem jelentkezhet be távolról Felhasználói fiók létrehozásához kiemelt felhasználói jogosultság szükséges

250 Felhasználói fiók Helyi (W8, W2012 önálló szerver) csak helyi gépen érvényes, helyi SAM-ben tárolva Tartománybeli AD ben tárolva: SSO és a tartomány összes erőforrásának elérése

251 Bejelentkezési név Tartományban: pl. NB_tartománynév\felhasználónév, pl. VALAMI\geza Önálló gépen: NB_gépnév\felhasználónév

252 Biztonsági azonosító SID S Tartományt beazonosító rész Egyedi relatív azonosító (RID) A név megváltoztatható, a SID nem

253 Felhasználói fiók Felhasználónév bejelentkezési név, egyedi és max. 256 karakter. Nem lehet benne speciális karakter. Kis és nagybetű azonosnak számít. Teljes név max. 64 karakter Jelszó kis/nagybetű érzékeny. Max. 14 karakter (AD-ben 127). Használjunk minél többféle jelet. Komplexitás a Biztonsági házirendben szabályozható.

254 Jelszó Bonyolultsági feltételek Nem tartalmazhatja a bejelentkezési nevet sem annak részét Hossz 6 karakter Legalább 3 teljesüljön az alábbiak közül Latin abc nagybetűi (A..Z) Latin abc kisbetűi (a..z) Számjegyek (0..9) Nem alfanumerikus karakterek (!,#,?,%,$) Legrövidebb jelszó: (0-nem kell jelszó) Minimális élettartam: (0-azonnal változtatható) Maximális élettartam: (0-soha nem jár le) Előző jelszavak megőrzése: (alapért.:1)

255 Biztonsági házirend beállítása secpol.msc

256 Alapértelmezett felhasználói fiókok és csoportok Előre megadott az OS-sel együtt települnek Beépített alkalmazásokkal, szolgáltatásokkal együtt települnek Implicit hálózati erőforrás elérésekor vagy egyéb művelet végrehajtásakor jönnek létre

257 Előre megadott Rendszergazda Nem tiltható le Nem törölhető Vendég Alapértelmezés szerint letiltva

258 Beépített felhasználói fiókok Helyi Rendszer rendszerfolyamatok futtatásához, rendszergazdai jogok, álfiók Helyi Szolgáltatás csak helyi hozzáférés, Felhasználók csoport tagja, álfiók Hálózati Szolgáltatás álfiók, van hálózati kommunikáció

259 Implicit azonosságok Névtelen bejelentkezés pl. weboldal Hitelesített felhasználó Létrehozó tulajdonos Telefonos bejelentkezés Mindenki Interaktív helyileg van bejelentkezve Hálózat hálózaton éri el az erőforrást Terminálkiszolgáló felhasználója

260 Beépített csoportok Rendszergazdák rendszergazdai jogosultságok helyi gépen Tartománygazdák globális hatókör, AD tartományra jogosultság. Alapból tagja a Rendszergazdák csoportnak Vállalati rendszergazdák univerzális vagy globális hatókör erdőn belül. A vállalaton belüli összes számítógépet képes felügyelni.

261 Beépített csoportok Kiemelt felhasználók Felhasználói fiókokat hozhatnak létre Csak az általuk létrehozott fiókokat módosíthatják vagy törölhetik Helyi csoportokat hozhatnak létre Csak olyan programot telepíthetnek, ami nem nyúl a rendszerállományokhoz Eltávolíthatnak felhasználókat az általuk létrehozott csoportokból valamint a Felhasználók, Kiemelt felhasználók és a Vendégek csoportokból Nem tölthetnek be eszközillesztőket Nem kezelhetik a biztonsági és naplófájlokat

262 Beépített csoportok Felhasználók Létrehozhatnak helyi csoportokat és kezelhetik azokat Nem oszthatnak meg könyvtárakat Nem hozhatnak létre helyi nyomtatót Biztonsági másolat felelősök Biztonsági másolatot készíthetnek az állományokról és visszaállíthatnak Bejelentkezhetnek a számítógépre és leállíthatják azt Nem módosíthatják a biztonsági beállításokat Vendégek Leállíthatják a rendszert

263 Implicit csoportok Létrehozó csoport Tartományvezérlők Tartományi számítógépek

264 Rendszergazda fiók Rendszergazda (helyi) teljes hozzáférés mindenhez Rendszergazda (tartományi) teljes hozzáférés a tartományon belül Ajánlás A fiók átnevezése A fiókot csak adminisztrációs feladatokra használjuk A fiók átnevezhető és letiltható, de nem törölhető

265 Felhasználói fiókok létrehozása és módosítása Elvárások: Egyedi legyen a tartományban 1-20 karakter hosszúságú Elnevezési konvenció alkalmazása pl. kiss.janos

266 Helyi felhasználói fiók létrehozása és tulajdonságainak beállítása grafikus felületen

267 Biztonsági házirend beállítása

268

269

270

271

272

273 Windows 2012

274 Windows 2012

275 Windows 2012

276 Active Directory felhasználók és számítógépek Grafikus felületen: Vezetéknév Utónév Teljes név Bejelentkezési név Bejelentkezési név (Windows 2000 előtti rendszer) Jelszó A következő bejelentkezéskor meg kell változtatni a jelszót A felhasználó nem módosíthatja a jelszót A jelszó soha nem jár le A fiók le van tiltva

277 Fiók sablonok használata Minta felhasználói fiók Tippek Egyet minden osztályhoz vagy szervezeti egységhez Letiltani a sablon fiókot A sablonfiók neve kezdődjön aláhúzással Minden lehetséges attribútum értéket kitölteni Nem másolható minden attribútum

278 Több fiók tulajdonságának egyszerre történő módosítása Kiválasztás Ctrl + egér vagy Shift + egér, majd gyorsmenü Végrehajtható műveletek: Hozzáadás csoporthoz Fiók tiltása Fiók engedélyezése Áthelyezés Üzenet küldése Kivágás Törlés Tulajdonságok

279 Általános fül Általános leíró információ a fiókról Fontosabb mezők Megjelenítendő név Az alaértelmezett levlezési alkalmazással levél küldhető a felhasználónak Weblap Egy URL, megnyitható a fiókon történő jobb egérkattintással

280 Fiók fül A tartományba történő bejelentkezést befolyásoló információk Bejelentkezési név Bejelentkezési idő Bejelentkezési hely Fiók zárolásának feloldása Fiókbeállítások Jelszó tárolása visszafejthető titkosítással Smart card szükséges interaktív bejelentkezéshez A fiók érvényét veszti

281 A következő tagja fül Csoporttagságok Módosítható Elsődleges csoport (Macintosh, Unix, vagy Linux kliensnél)

282 Windows 2012

283 Távoli asztal szolgáltatások Windows Server 2008 Terminal Services server Profil elérési útja Kezdőkönyvtár

284 Windows 2012

285 Windows 2012

286 Kapcsolattartó és terjesztési csoport Kapcsolattartó egy olyan Active Directory objektum, ami csak információs célokból tárolja egy személy adatait Általában Microsoft Exchange címjegyzékkel történő integráláshoz Terjesztési csoportot úgyanúgy hozunk létre, mint biztonságit Microsoft Exchange-el használható csoportos levélküldésre

287 Kapcsolattartó és csoport objektum létrehozása

288 Felhasználói profil A felhasználóhoz tartozó olyan állományok és beállítások gyűjteménye, ami meghatározza a felhasználó munkakörnyezetét. Fontosabb könyvtárak AppData Desktop Documents Downloads Favorites Music Pictures (My Pictures) Ntuser.dat

289 Profil fül Profil elérési útja W7, Vista vagy Server 2008 C:\Users\username Windows XP C:\Documents and Settings\username Bejelentkezési parancsfájl Csoportházirendnél is megadható egy parancsfájl Kezdőmappa (saját könyvtár) Meghajtó Helyi elérési út

290 Helyi profil Azon a gépen tárolva, ahol a felhasználó bejelentkezik Egy alapértelmezett profilból jön létre az első bejelentkezéskor Csak azon a gépen él, ha másik gépen jelentkezik be a felhasználó mást lát Megoldás: központi profil (roaming profile)

291 Központi profil Bármelyik gépen jelentkezik be a felhasználó, ugyanazt a profilt kapja Egy hálózati megosztásról másolódik le a felhasználó gépére Helyi másolat A profil módosításai visszamásolódnak a megosztásra kijelentkezéskor Hátrány: hálózati forgalom növekedése

292 Kötelező profil (Mandatory Profile) A felhasználó nem hajthat végre tartós változtatást csak ideiglenesen módosítható, a változások nem tárolódnak a szerveren Több felhasználó ugyanazt a profilt használja Előny: ellenőrzött profil, kisebb hálózati forgalom

293 Super Mandatory Profiles Az alap központi profil beállításnál a felhasználó egy ideiglenes profilt kap (az alapértelmezett alapján), ha a központi nem érhető el Super mandatory profiles a felhasználó nem jelentkezhet be a tartományba, ha a központi profil nem érhető el A profilt tartalmazó könyvtár neve.man-ban kell végződjön

294 Windows 2012

295 Windows 2012

296 Windows 2012

297 Felhasználói fiókhoz rendelhető képességek Csoportok által, házirenden keresztül Jogok (Privilégiumok) - pl. rendszer leállítása, szg felvétele a tartományba, rendszeróra beállítása, hibakeresés, leállítás távolról/helyben, áll/mappa tulajdonba vétel Bejelentkezési jogok pl. helyileg/távolról/terminálon bejelentkezhet + ugyanez megtagadva

298 Felhasználói fiókhoz rendelhető képességek Beépített lehetőségek nem változtathatók, pl. felhasználói fiókok létrehozása/törlése/kezelése. Magában foglal privilégiumokat és bejelentkezési jogokat. Hozzáférési engedélyek hálózati erőforrásokon végrehajtható műveletek, pl. állományokat hozhat létre egy mappában. Ezt az NTFS és a megosztási engedélyekkel szabályozzák.

299 Helyi csoport létrehozása és felhasználói fiók felvétele a csoportba

300 Windows Server 2008 hitelesítési modell Bejelentkezés a tartományba/helyi gépre Név + jelszó vagy Intelligens kártya A bejelentkezés hitelesítése Helyi fióknál helyben helyi erőforrások elérése Tartományi fióknál az AD alapján a DC hitelesít helyi és tartományi erőforrások elérése Hálózati hitelesítés Tartományi bejelentkezésnél automatikus Helyi bejelentkezés esetén a tartományi erőforrás eléréséhez mindig meg kell adni az azonosító adatokat

301 Globális katalógus Kiterjesztett szerepkörű tartományvezérlő Információ az erdő összes objektumáról (pl. univerzális csoporttagság) Az első DC egyben GC-is GC hiányában korlátozott bejelentkezési lehetőség Active Directory Sites and Services A saját tartományára vonatkozó információk mellett információkat tárol az erdő összes objektumáról. Nem az összes információt, hanem amit gyakrabban keresni szoktak és az univerzális csoporttagságot, mert az kell a bejelentkezéshez

302 Egyedi főkiszolgáló műveletek Erdő szintű Séma főkiszolgáló (Schema master) dsquery server hasfmo schema Tartománynév nyilvántartási főkiszolgáló (Domain Naming Master) dsquery server hasfmo name Tartomány szintű RID (Relative IDentifier) főkiszolgáló dsquery server hasfmo rid7 PDC emulátor Tartományszintű műveleti főkiszolgáló dsquery server hasfmo pdc Infrastruktúra főkiszolgáló dsquery server hasfmo infr

303 Az aktív címtár és a kapcsolódó adatok tárolása %SYSTEMROOT%\NTDS NTDS.DIT (Directory Information Tree) maga a címtár EDB.LOG tranzakciónapló EDB.CHK tranzakció kiegészítő infók TEMP.EDB SYSVOL mappa megosztott Bejelentkezéskor az ügyfelek által letöltött fájlok Csoportházirend fájlok és sablonok (Policies) Bejelentkezési szkriptek Tartalmát a File Replication Service szinkronizálja

304 Megosztott mappák és nyomtatók közzététele a címtárban Active Directory Users and Computers Minden közzétett megosztáshoz egy címtár objektum Nincs ellenőrzés Az eredeti hely elfedve Előny: Minden egy helyen A felhasználó nem kell tudja az igazi helyet Az erőforrás más IP alhálózaton is lehet Nincs szükség az üzenetszórásos számítógép tallózó szolgáltatásra erőforrás igény csökkenése

305 Címtár partíciók A partíció egy egységként replikálódik 1. Séma p. az osztály és attribútum leírásokat tartalmazza. Ez közös az egész erdőre nézve. Minden DC-n és minden globális katalógusban tárolódik. 2. Konfigurációs p. címtár topológia, replikációs topológia és metaadatok. Ez közös az egész erdőre nézve. Minden DC-n tárolódik. 3. Tartomány p. tartományi szintű objektumokra vonatkozó adatok. Csak a tartomány DC-in tárolódik 4. Alkalmazás p. alkalmazáshoz kötődő. A rendszergazda által testreszabott replikációs egység. Pl. megszabható a DNS információk replikálásának korlátozása.

306 Replikáció és tartományvezérlők Tartományvezérlő: az AD-t tároló Windows Server operációs rendszerű számítógép Az AD elosztott tárolása: több DC is jelen lehet egy tartományban. Bármelyiken végrehajtható módosítás, tartalmuk automatikusan szinkronizálódik. Ez a több főkiszolgálós (multimaster) replikáció. Replika: az egyes példányok. Ütközés esetén a későbbi módosítást tekinti érvényesnek. Mivel a szinkronizálás nem azonnali, ezért a címtárban ún. laza konzisztencia áll fenn. Más szóval rövid ideig a a címtár lehet nem konzisztens.

307 Replikáció Más tartomány DC-ire séma és konfigurációs adatok A replikáció folyamata és konfigurációja automatikus Adatátvitel csak adatváltozást követően, csak új adat utazik Replikáció konfiguráció: DC-k feltérképezése és kapcsolatok kialakítása

308 Replikációs topológia Meghatározza, hogy az egyes DC-k mely más DC-kel kerülnek replikációs kapcsolatba A Knowledge Consistency Checker hozza létre az Active Directory helyek és szolgáltatások programban megadottak alapján Új DC telepítését követően a KCC újradefiniálja a topológiát Minden AD partícióhoz külön topológia Gyűrűs, kétirányú, minden DC-nél legalább 2 kapcsolat, két DC között legfeljebb 3 lépés

309 Telephely Olyan számítógép csoportot fog össze, amelynek tagjai között nagy sebességű ( 10 Mb/sec) és megbízható kapcsolat áll rendelkezésre Egy telephelyen belül több IP alhálózat is lehet A telephely a hálózat fizikai felépítését tükrözi A tartomány a szervezet logikai felépítését tükrözi

310 Replikáció telephelyen belül Nagy sebesség, állandó kapcsolat Tömörítés nélkül Gyors frissítés változásértesítést követően Gyakoribb replikáció

311 Replikáció telephelyek között Alacsonyabb sebesség, nincs állandó kapcsolat Frissítés 3 óránként (az időköz állítható) Tömörített adatátvitel

312 Számítógépek telephelyhez rendelése Active Directory helyek és szolgáltatások IP cím alapján 1. Telephely létrehozása 2. Szerverek konténerbe felvesszük a DC-t 3. Alhálózatok konténerbe bejegyezzük az IP alhálózatokat 4. Az IP alhálózat tulajdonság lapján hozzárendeljük a telephelyhez

313 Biztonsági mentés típusok Normál: minden kiválasztott állományról az A attr.-tól függetlenül. Az A attr. törlődik. Másolat: minden kiválasztott állományról az A attr.-tól függetlenül. Az A attr. nem törlődik. Különbségi: a kiválasztottak közül csak az A attr.-al rendelkezőket. Az A attr. nem törlődik. Növekményes: a kiválasztottak közül csak az A attr.-al rendelkezőket. Az A attr. törlődik. Napi: a kiválasztottak közül csak azokat, amelyek módosultak a mentés napján. Az A attr. nem törlődik.

314 Biztonsági mentési terv példa Mikor? Milyen? Mit ment? Hétfő Növekményes Vasárnap óta változottakat Kedd Növekményes Hétfő óta változottakat Szerda Növekményes Kedd óta változottakat Csütörtök Növekményes Szerda óta változottakat Péntek Növekményes Csütörtök óta változottakat Szombat Növekményes Péntek óta változottakat Vasárnap Normál Mindent

315 Tárolóeszköz Szalagos meghajtó: lassú, kevésbé megbízható, olcsó, GB Digitális audioszalagos meghajtó: GB Automatikus szalagbetöltő rendszer: többmeghajtós, automatikus szalagcsere Merevlemez: leggyorsabb, biztonságos, drágább RAID tömbök: redundáns tárolás

316 Mentőprogramok Windows Server biztonsági másolat (WS Backup) szolgáltatásként telepíteni kell, normál, másolt vagy növekményes mentés helyi és távoli rendszerről merevlemezre és DVD-re Nem támogatja a különbségi mentést és a szalagos egységet Parancssori biztonsági mentő eszköz: wbadmin

317 Csoportházirendek Központi vezérlést biztosítanak a felhasználók és a számítógépek hozzáférési engedélyei, jogosultságai és lehetőségei felett Mire jó? Hozzáférés szabályozás Szkript futtatás Központilag kezelt mappák a speciális könyvtárak számára Szoftvertelepítés Biztonsági beállítások

318 Hozzáférés szabályozás Operációs rendszerre vonatkozó beállítások: Start menü és asztal egyes ikonjainak eltávolítása/engedélyezése, Vezérlőpult és annak elemeihez történő hozzáférés, parancssor letiltása, rendszerleíró adatbázis közvetlen szerkesztésének engedélyezése/tiltása, rendszerszolgáltatások engedélyezése/tiltása, alkalmazások futtatásának tiltása Hálózatra vonatkozó beállítások: DNS, tűzfal, vezeték nélküli hálózat beállítása Nyomtató beállítása Internet Explorer: proxy, biztonsági beállítások, kedvencek, beállítási fülek engedélyezése és tiltása

319 Szkript futtatás A gép be/kijelentkezésekor A felhasználó be/kijelentkezésekor A DC SYSVOL mappájában tárolva Nem azonos a felhasználó tulajdonságainál megadott szkripttel Egy eseményhez több szkript is rendelhető

320 Központilag kezelt mappák a speciális könyvtárak számára AppData, Asztal, Dokumentumok, Képek, Zene, Videók, Kedvencek, Partnerek, Hivatkozások mappájának központi tárolása A Dokumentumok mappa helyileg gyorstárazható, így kapcsolat nélkül is tovább dolgozhat a felhasználó. Csatlakozás után automatikus szinkronizálás. Megoldások Egy speciális mappa átirányítása minden felhasználó esetén egy központi helyre Helyek megadása csoporttagság alapján

321 Szoftvertelepítés MSI formátumú csomagok automatikus telepítése, automatikus frissítés Telepítési módok Felhasználó bejelentkezésekor automatikusan Gép bejelentkezésekor automatikusan Felhasználó által kézzel felhasználói közzététel Szoftvertelepítési GPO-t hozunk létre, majd azt hozzárendeljük a tárolóhoz

322 Felhasználói közzététel A szoftver valójában automatikusan települ, ha A felhasználó megnyit egy dokumentumot, amihez szükséges a szoftver A felhasználó megnyit egy parancsikont, ami az alkalmazásra mutat Egy másik szoftver igényli a szoftver valamely összetevőjét Elosztópont: a telepítéshez szükséges állományokat tartalmazó megosztott mappa vagy olyan megosztott mappa, ahol ún. rendszergazdai telepítéssel előtelepítették a szoftvert (pl.office)

323 Biztonsági beállítások Jelszóházirend: minimális hossz, bonyolultság, min/max élettartam Fiókzárolási házirend: hibás bejelentkezések maximális száma Naplózás, Felhasználói jogok (pl. távoli bejelentkezés) Jogosultság hozzárendelés Sablonok is használhatók

324 Helyi profil Azon a gépen tárolva, ahol a felhasználó bejelentkezik Egy alapértelmezett profilból jön létre az első bejelentkezéskor Csak azon a gépen él, ha másik gépen jelentkezik be a felhasználó mást lát Megoldás: központi profil (roaming profile)

325 Központi profil Bármelyik gépen jelentkezik be a felhasználó, ugyanazt a profilt kapja Egy hálózati megosztásról másolódik le a felhasználó gépére Helyi másolat A profil módosításai visszamásolódnak a megosztásra kijelentkezéskor Hátrány: hálózati forgalom növekedése

326 Kötelező profil (Mandatory Profile) A felhasználó nem hajthat végre tartós változtatást csak ideiglenesen módosítható, a változások nem tárolódnak a szerveren Több felhasználó ugyanazt a profilt használja Előny: ellenőrzött profil, kisebb hálózati forgalom

327 Super Mandatory Profiles Az alap központi profil beállításnál a felhasználó egy ideiglenes profilt kap (az alapértelmezett alapján), ha a központi nem érhető el Super mandatory profiles a felhasználó nem jelentkezhet be a tartományba, ha a központi profil nem érhető el A profilt tartalmazó könyvtár neve.man-ban kell végződjön

328 Windows 2012

329 Windows 2012

330 Windows 2012

331 Felhasználói fiókhoz rendelhető képességek Csoportok által, házirenden keresztül Jogok (Privilégiumok) - pl. rendszer leállítása, szg felvétele a tartományba, rendszeróra beállítása, hibakeresés, leállítás távolról/helyben, áll/mappa tulajdonba vétel Bejelentkezési jogok pl. helyileg/távolról/terminálon bejelentkezhet + ugyanez megtagadva

332 Felhasználói fiókhoz rendelhető képességek Beépített lehetőségek nem változtathatók, pl. felhasználói fiókok létrehozása/törlése/kezelése. Magában foglal privilégiumokat és bejelentkezési jogokat. Hozzáférési engedélyek hálózati erőforrásokon végrehajtható műveletek, pl. állományokat hozhat létre egy mappában. Ezt az NTFS és a megosztási engedélyekkel szabályozzák.

333 Helyi csoport létrehozása és felhasználói fiók felvétele a csoportba

334 Windows Server hitelesítési modell Bejelentkezés a tartományba/helyi gépre Név + jelszó vagy Intelligens kártya A bejelentkezés hitelesítése Helyi fióknál helyben helyi erőforrások elérése Tartományi fióknál az AD alapján a DC hitelesít helyi és tartományi erőforrások elérése Hálózati hitelesítés Tartományi bejelentkezésnél automatikus Helyi bejelentkezés esetén a tartományi erőforrás eléréséhez mindig meg kell adni az azonosító adatokat

335 Globális katalógus Kiterjesztett szerepkörű tartományvezérlő Információ az erdő összes objektumáról (pl. univerzális csoporttagság) Az első DC egyben GC-is GC hiányában korlátozott bejelentkezési lehetőség Active Directory Sites and Services A saját tartományára vonatkozó információk mellett információkat tárol az erdő összes objektumáról. Nem az összes információt, hanem amit gyakrabban keresni szoktak és az univerzális csoporttagságot, mert az kell a bejelentkezéshez

336 Egyedi főkiszolgáló műveletek Erdő szintű Séma főkiszolgáló (Schema master) dsquery server hasfmo schema Tartománynév nyilvántartási főkiszolgáló (Domain Naming Master) dsquery server hasfmo name Tartomány szintű RID (Relative IDentifier) főkiszolgáló dsquery server hasfmo rid7 PDC emulátor Tartományszintű műveleti főkiszolgáló dsquery server hasfmo pdc Infrastruktúra főkiszolgáló dsquery server hasfmo infr

337 Az aktív címtár és a kapcsolódó adatok tárolása %SYSTEMROOT%\NTDS NTDS.DIT (Directory Information Tree) maga a címtár EDB.LOG tranzakciónapló EDB.CHK tranzakció kiegészítő infók TEMP.EDB SYSVOL mappa megosztott Bejelentkezéskor az ügyfelek által letöltött fájlok Csoportházirend fájlok és sablonok (Policies) Bejelentkezési szkriptek Tartalmát a File Replication Service szinkronizálja

338 Megosztott mappák és nyomtatók közzététele a címtárban Active Directory Users and Computers Minden közzétett megosztáshoz egy címtár objektum Nincs ellenőrzés Az eredeti hely elfedve Előny: Minden egy helyen A felhasználó nem kell tudja az igazi helyet Az erőforrás más IP alhálózaton is lehet Nincs szükség az üzenetszórásos számítógép tallózó szolgáltatásra erőforrás igény csökkenése

339 Címtár partíciók A partíció egy egységként replikálódik 1. Séma p. az osztály és attribútum leírásokat tartalmazza. Ez közös az egész erdőre nézve. Minden DC-n és minden globális katalógusban tárolódik. 2. Konfigurációs p. címtár topológia, replikációs topológia és metaadatok. Ez közös az egész erdőre nézve. Minden DC-n tárolódik. 3. Tartomány p. tartományi szintű objektumokra vonatkozó adatok. Csak a tartomány DC-in tárolódik 4. Alkalmazás p. alkalmazáshoz kötődő. A rendszergazda által testreszabott replikációs egység. Pl. megszabható a DNS információk replikálásának korlátozása.

340 Replikáció és tartományvezérlők Tartományvezérlő: az AD-t tároló Windows Server operációs rendszerű számítógép Az AD elosztott tárolása: több DC is jelen lehet egy tartományban. Bármelyiken végrehajtható módosítás, tartalmuk automatikusan szinkronizálódik. Ez a több főkiszolgálós (multimaster) replikáció. Replika: az egyes példányok. Ütközés esetén a későbbi módosítást tekinti érvényesnek. Mivel a szinkronizálás nem azonnali, ezért a címtárban ún. laza konzisztencia áll fenn. Más szóval rövid ideig a a címtár lehet nem konzisztens.

341 Replikáció Más tartomány DC-ire séma és konfigurációs adatok A replikáció folyamata és konfigurációja automatikus Adatátvitel csak adatváltozást követően, csak új adat utazik Replikáció konfiguráció: DC-k feltérképezése és kapcsolatok kialakítása

342 Replikációs topológia Meghatározza, hogy az egyes DC-k mely más DC-kel kerülnek replikációs kapcsolatba A Knowledge Consistency Checker hozza létre az Active Directory helyek és szolgáltatások programban megadottak alapján Új DC telepítését követően a KCC újradefiniálja a topológiát Minden AD partícióhoz külön topológia Gyűrűs, kétirányú, minden DC-nél legalább 2 kapcsolat, két DC között legfeljebb 3 lépés

343 Telephely Olyan számítógép csoportot fog össze, amelynek tagjai között nagy sebességű ( 10 Mb/sec) és megbízható kapcsolat áll rendelkezésre Egy telephelyen belül több IP alhálózat is lehet A telephely a hálózat fizikai felépítését tükrözi A tartomány a szervezet logikai felépítését tükrözi

344 Replikáció telephelyen belül Nagy sebesség, állandó kapcsolat Tömörítés nélkül Gyors frissítés változásértesítést követően Gyakoribb replikáció

345 Replikáció telephelyek között Alacsonyabb sebesség, nincs állandó kapcsolat Frissítés 3 óránként (az időköz állítható) Tömörített adatátvitel

346 Számítógépek telephelyhez rendelése Active Directory helyek és szolgáltatások IP cím alapján 1. Telephely létrehozása 2. Szerverek konténerbe felvesszük a DC-t 3. Alhálózatok konténerbe bejegyezzük az IP alhálózatokat 4. Az IP alhálózat tulajdonság lapján hozzárendeljük a telephelyhez

347 Csoportházirend

348

349 Csoportházirend Helyi csoportházirend: Alapból csak egy GPO: gépre/felhasználóra vonatkozó beállítások LGPO GPEDIT.MSC közvetlenül ír a rendszerleíró adatbázisba Felhasználókra és csoportokra külön GPO-kat hozhatunk létre MMC beépülő modulokkal Tartományi csoportházirend: Tartományi gépekre vonatkozó beállítások A GPO-kat egy tárolóhoz (pl. SzE) kapcsolhatjuk GPMC.MSC (Group Policy Management Console Szolgáltatás hozzáadása varázslóval telepíthető) Felülírja a helyi házirendet

350 Beállítások érvényesítése Automatikus frissítés Szerveren 5 percenként Ügyfélgépen 90 percenként Kikényszerített frissítés tartományban gpupdate A ki/bejelentkezéshez indításhoz/leállításhoz kapcsolódó parancsállományok csak a következő ilyen esemény bekövetkezésekor fognak lefutni

351 A csoportházirend működése Egy GPO két részből áll Gépre vonatkozó beállítások bárki jelentkezik be Felhasználóra vonatkozó beállítások bárhol jelentkezik be Mindig egy tárolóhoz rendelve hozzuk létre, de később további tárolókhoz is hozzárendelhetjük Alapelvek: Minél kevesebb legyen a GPO-k száma - áttekinthetőség Minden összetartozó beállításcsoport számára hozzunk létre GPO-t finomabb szabályozás

352

353

354 Öröklődés A szülő konténer beállításait a gyerek konténer örökli Ha több GPO van egy szinten, akkor az alacsonyabb rangú lesz először feldolgozva Ha nincs ütközés, akkor az összes szinten megadott beállítássor uniója érvényesül

355 Melyik érvényesül? Ha különböző szinteken eltérő beállítások vannak, akkor az utolsóként feldolgozott érvényesül 1. Helyi házirend, helyi rendszergazdai, nem rendszergazdai, felhasználói 2. Telephely szintű házirend 3. Tartomány szintű házirend 4. Szervezeti egység szintű házirend szülő konténertől levél objektum irányában haladva sorban egymás után

356 Az öröklődés módosítható Megszakítással a tartalmazott objektum nem veszi át (örökli) az őt tartalmazó objektum beállításait (csak az adott szinten beállított házirend érvényesül) Kikényszerítéssel hiába van beállítva a gyerek objektumban a megszakítás Az egy tárolóhoz rendelt GPO-k hivatkozási sorrendjének módosításával Az öröklés felülbírálásával ha nincs kikényszerítés (letiltjuk a házirendet az alacsonyabb szinten)

357 Csoportházirend hatásának szűrése Minden GPO-hoz ACL hozzáférés vezérlési lista Egy GPO csak akkor érvényesül, ha a szabályozás tárgya (szg/fh) olyan biztonsági csoportnak a tagja, amelyik Olvasás/Alkalmazás joggal rendelkezik a GPO-hoz WMI szűrő: memória mennyisége, CPU, program megléte, javító csomag megléte dönti el, hogy érvényesül-e a GPO

358 Lépések 1. OS indulás Számítógéphez rendelt GPO végrehajtása Indítási szkript végrehajtása 2. Felhasználó bejelentkezése Felhasználói GPO Bejelentkezési szkript GPO-ban megadott szkript Fiókhoz közvetlenül rendelt szkript

359 Alapértelmezett GPO Telepítéskor automatikusan jön létre Alapértelmezett tartományi házirend a teljes tartományra hat Alapértelmezett tartományvezérlői házirend csak a tartományvezérlőre hat

360 Csoportházirendek Központi vezérlést biztosítanak a felhasználók és a számítógépek hozzáférési engedélyei, jogosultságai és lehetőségei felett Mire jó? Hozzáférés szabályozás Szkript futtatás Központilag kezelt mappák a speciális könyvtárak számára Szoftvertelepítés Biztonsági beállítások

361 Hozzáférés szabályozás Operációs rendszerre vonatkozó beállítások: Start menü és asztal egyes ikonjainak eltávolítása/engedélyezése, Vezérlőpult és annak elemeihez történő hozzáférés, parancssor letiltása, rendszerleíró adatbázis közvetlen szerkesztésének engedélyezése/tiltása, rendszerszolgáltatások engedélyezése/tiltása, alkalmazások futtatásának tiltása Hálózatra vonatkozó beállítások: DNS, tűzfal, vezeték nélküli hálózat beállítása Nyomtató beállítása Internet Explorer: proxy, biztonsági beállítások, kedvencek, beállítási fülek engedélyezése és tiltása

362 Szkript futtatás A gép be/kijelentkezésekor A felhasználó be/kijelentkezésekor A DC SYSVOL mappájában tárolva Nem azonos a felhasználó tulajdonságainál megadott szkripttel Egy eseményhez több szkript is rendelhető

363 Központilag kezelt mappák a speciális könyvtárak számára AppData, Asztal, Dokumentumok, Képek, Zene, Videók, Kedvencek, Partnerek, Hivatkozások mappájának központi tárolása A Dokumentumok mappa helyileg gyorstárazható, így kapcsolat nélkül is tovább dolgozhat a felhasználó. Csatlakozás után automatikus szinkronizálás. Megoldások Egy speciális mappa átirányítása minden felhasználó esetén egy központi helyre Helyek megadása csoporttagság alapján

364 Szoftvertelepítés MSI formátumú csomagok automatikus telepítése, automatikus frissítés Telepítési módok Felhasználó bejelentkezésekor automatikusan Gép bejelentkezésekor automatikusan Felhasználó által kézzel felhasználói közzététel Szoftvertelepítési GPO-t hozunk létre, majd azt hozzárendeljük a tárolóhoz

365 Felhasználói közzététel A szoftver valójában automatikusan települ, ha A felhasználó megnyit egy dokumentumot, amihez szükséges a szoftver A felhasználó megnyit egy parancsikont, ami az alkalmazásra mutat Egy másik szoftver igényli a szoftver valamely összetevőjét Elosztópont: a telepítéshez szükséges állományokat tartalmazó megosztott mappa vagy olyan megosztott mappa, ahol ún. rendszergazdai telepítéssel előtelepítették a szoftvert (pl.office)

366 Biztonsági beállítások Jelszóházirend: minimális hossz, bonyolultság, min/max élettartam Fiókzárolási házirend: hibás bejelentkezések maximális száma Naplózás, Felhasználói jogok (pl. távoli bejelentkezés) Jogosultság hozzárendelés Sablonok is használhatók

367 Default policy

368 Hardver tiltás

369 Saját GP csoportnak

370 Megosztások a tartományban

371 Megosztások közzététele Active Dirtectory tartomány címtárában A hálózatban található megosztott könyvtárakat és nyomtatókat közzétehetjük (Windows 2000 előtti rendszerekét is) az Active Directory tartomány címtárában, egy helyen központosítva. A módszer előnye az áttekinthetőségen kívül, hogy feleslegessé válik az erőforrás pazarló NetBIOS protokoll rendszer használata.

372 Megosztások közzététele Active Dirtectory tartomány címtárában A megosztás helyének nem feltétlenül kell egy tartományi gépen lenni. Ezzel megvalósítható egy központi nyilvántartás, minden egy helyen elérhető nem kell keresgélni a hálózatban

373 Megosztások közzététele Active Dirtectory tartomány címtárában A NetBIOS hálózati szolgáltatást használó gépek üzenetszórásokkal közlik a többi géppel, hogy beléptek a hálózatba, ezeket minden gép megkapja. Működik még egy tallózó szolgáltatás is üzenetszórásokkal annak ellenőrzésére, hogy milyen hálózati erőforrások érhetők el.

374 Megosztások közzététele Active Dirtectory tartomány címtárában Sok gépes hálózati környezetben, ha minden gép ezeket a módszereket alkalmazza, nagy terhelést ró a hálózati hardverre, jelentős kapacitást igényelve. Címtárban való közzététel másik előnye, hogy nélkülözhetővé válik a NetBIOS.

375 Megosztások közzététele Active Dirtectory tartomány címtárában Miután felvettük a megosztott erőforrást, ennek meglétére vonatkozó ellenőrzés nem történik. Tegyük fel, hogy kikapcsoljuk a hozzá tartozó számítógépet, ennek ellenére a címtárban megmarad a megosztás. Ha megpróbáljuk megnyitni, egy hibaüzenetet kapunk (pl.: "A hálózatnév nem található").

376 DFS Distributed File System elosztott fájlrendszer

377 Miért van szükségünk az elosztott fájlrendszerre? A legtöbb számítógépes hálózatban a felhasználók adataikat központi kiszolgálók megosztott mappáiban tárolják. Minden ilyen hálózatban előbb vagy utóbb bekövetkezik az a kényes szituáció, hogy a megosztott mappákat másik, újabb, nagyobb teljesítményű kiszolgálóra kell mozgatnunk a régi szerver más célokra még a hálózatban marad, azaz a megosztott mappa nevében található szervernév megváltozik.

378 Miért van szükségünk az elosztott fájlrendszerre? Mi legyen a felhasználók gépein hemzsegő hálózati meghajtókkal Parancsikonokkal Beállításokkal sok-sok hivatkozással amelyek mind-mind a régi útvonalat tartalmazzák? A közös névtér egyik előnye, hogy a megosztott mappák valódi útvonalát elrejti a felhasználók elől, így egy-egy ilyen változtatás nem okoz pluszmunkát az ügyfélgépek oldalán.

379 A DFS szolgáltatás üzemmódjai Stand-Alone DFS: azaz önálló DFS kiszolgáló. Ebben az esetben a DFS szolgáltatás a névtér információit a DFS kiszolgáló regisztrációs adatbázisában tárolja. Maga a névtér gyökere (DFS root) is a DFS kiszolgálón keresztül érhető el, ha ez a kiszolgáló nem elérhető, a DFS halott.

380 Stand-Alone DFS

381 A DFS szolgáltatás üzemmódjai Domain DFS: azaz tartományi DFS kiszolgáló. Ilyenkor a DFS szolgáltatás adatai értelemszerűen az Active Directory-ban találhatók. Tartományi DFS esetén is kell legalább egy kiszolgáló, ami a DFS gyökér egy példányát kiszolgálja, de ebben az üzemmódban maga a DFS gyökér is többszörözhető (azaz gyökérreplikák is rendelkezésre állnak) persze minden replikának különálló kiszolgálóra kell kerülnie.

382 Domain DFS

383 A DFS szolgáltatás üzemmódjai Üzemmódtól függetlenül szabály, hogy egy kiszolgálón csak egy DFS gyökér lehet, a tartományon belül több DFS gyökeret is létrehozhatunk (nyilván mindegyiknek másik kiszolgálóra kerül a replikája). A kétféle DFS szolgáltatás egyébként nagyon jól megfér egymás mellett, sőt, ezeket kombinálhatjuk is.

384 FRS File Replication Service

385 FRS A Windows tartományvezérők rendszermappáinak megosztásait már régóta külön erre a célra készült rendszerszolgáltatások szinkronizálgatják. A Windows 2000 fájlreplikációs szolgáltatása (FRS) azonban nem csak a tartományi adatbázis (azaz a SYSVOL könyvtár) replikálására használható, hanem a DFS mappák replikái közötti szinkronizálásra is.

386 FRS A File Replication Service minden Windows 2000 Server-ben megtalálható, de automatikusan csak a tartományvezérlőkön indul el. Ha a DFS-ben engedélyezzük a replikációt egy nemtartományvezérő Windows 2000 Server felé, az automatikusan átállítja a szolgáltatás indítási paramétereit és el is indítja azt.

387 FRS működése Az FRS az Active Directory-replikációhoz nagyon hasonló replikációs szolgáltatást végez. A rokonság olyan szoros, hogy többek között az FRS is figyelembe veszi az Active Directory telephelyek (site-ok) beállításait, a replikációs linkek adatait, és a címtár szinkronizációjával egyidejűleg működik.

388 FRS működése Ez azt is jelenti, hogy ha a szinkronizálandó megosztott mappák két különböző Active Directory-telephelyhez tartozó kiszolgálón találhatók, akkor a fájlok replikációja a telephely-kapcsolattól függő késlekedést szenved (azaz, akár az is előfordulhat, hogy a mappák tartalma például naponta egyszer szinkronizálódik). Míg az Active Directory replikáció telephelyek között tömörített, az FRS az adatokat még a telephelyek közötti replikáció során sem tömöríti.

389 FRS működése Az FRS egyébként mindig egész fájlokat szinkronizál, tehát nincs szó az adatok részleges replikációjáról. Stratégiailag pedig az utolsó mentés érvényes elvet követi, azaz függetlenül a mentés helyétől. Az a fájl lesz végül a győztes, aminek dátumbélyege a legfrissebb az összes többi között.

390 Windows 2012

391 Windows 2012

392 Windows 2012

393 Windows 2012

394 W2012 DFS Replikáció

395 Biztonsági mentés

396 Backup: Biztonsági másolat Restore: Biztonsági másolatból való visszaállítás Recovery: Helyreállítás. Ekkor nemcsak az állományinkat, hanem a rendszerünk működőképességét állítjuk vissza egy korábban elmentett állapotba. Ekkor a mentés és a meghibásodás időpontja közt létrejött adatok elvesznek. Repair: Javítás. A meghibásodott, részben vagy egészben tönkrement állományok, esetleg a teljes rendszer javítása.

397 Storage server: biztonsági másolatokat vagy archívumokat tároló számítógép Redundancia: Szó szerint terjengősség. Olyan többletinformáció, többlet-adat, amelyet biztonsági, vagy más okból az eredeti információhoz, adathoz fűzünk hozzá vagy tárolunk mellette. Az ok nélküli, haszontalan redundancia természetesen nem jó. Tömörítés: Eljárás, amely ugyanazon információt kisebb jelsorozattal próbálja ábrázolni.

398 A biztonsági mentés teljesítményének mérése, mérőszámai Egyszeri mentés lefutási ideje Visszaállítás időigénye Visszaállítható időtáv, mentés gyakorisága, ütemezése Elfoglalt tárhely aránya az adatmennyiséghez képest

399 Mentési szintek Teljes lemez mentése (bájtszinten) - alacsony szintű backup Alaprendszer mentése (Windows mappa, system32 mappa, stb.) Adott fájlok, mappák mentése (felhasználói adatok, e- mailek, stb.) Alkalmazás-specifikus mentés - magas szintű backup,

400 Teljes (normál) mentés A rendszer minden adata válogatás nélkül mentésre kerül. A mentési folyamat ezért egyszerű, ellenben sok ideig tart és sok tárterület szükséges hozzá. Amennyiben adataink olyanok, hogy nem változnak túl sűrűn, a gyakori teljes mentés sok fölösleges adat tárolását okozza. Előnye azonban, hogy a visszaállítás viszonylag gyors.

401 Inkrementális mentés Alkalmazása esetén nem kerül elmentésre minden adat, hanem csak azok, amelyek egy korábbi mentés óta megváltoztak. Ekkor a visszaállításhoz természetesen több biztonsági mentésre is szükség van. Az inkrementális mentésnek két alapvető fajtája van: a kumulatív és a differenciális mentés. Ezek segítségével többféle mentési stratégia kidolgozható.

402 Kumulatív (növekményes) mentés: Ezen mentés során mindig az utolsó teljes mentés óta megváltozott adategységek kerülnek elmentésre. A kumulatív mentésekből álló mentési stratégiánál ha egy adategység valamikor megváltozott, akkor az minden kumulatív mentés alkalmával ismételten mentésre kerül egészen a következő teljes mentésig. Visszaállításhoz az eredeti teljes mentésre, és a legutolsó kumulatív mentésre van szükség. A kumulatív mentés gyorsabb a teljes mentésnél és kevesebb helyet is kíván. A differenciális mentésnél azonban lassabb és a tárigénye is nagyobb.

403 Differenciális (különbségi) mentés: A differenciális mentés során csak az utolsó inkrementális mentés óta megváltozott adategységek kerülnek elmentésre. Ha két teljes mentés között több differenciális mentést végzünk, akkor pl. a második differenciális mentés csak az első óta történt változásokat fogja rögzíteni. Ennek köszönhetően maga a mentés folyamata gyorsabbá válik, és esetenként kevesebb helyet foglal el. Hátránya azonban, hogy a visszaállításhoz a legutolsó teljes mentésre, és az azt követő összes differenciális mentésre szükség van.

404 Pillanatkép - snapshot készítés: A rendszer teljes állapotáról készítünk egy "pillanatfelvételt". Ilyen például a Windows rendszerekben a visszaállítási pont létrehozása. Ez egy fájl lesz a merevlemezünkön, amely az adott kötet tulajdonságait, programbeállításait tartalmazza, illetve a memória aktuális állapotát.

405 Biztonsági mentési terv példa Mikor? Milyen? Mit ment? Hétfő Növekményes Vasárnap óta változottakat Kedd Növekményes Hétfő óta változottakat Szerda Növekményes Kedd óta változottakat Csütörtök Növekményes Szerda óta változottakat Péntek Növekményes Csütörtök óta változottakat Szombat Növekményes Péntek óta változottakat Vasárnap Normál Mindent

406 Tárolóeszköz Szalagos meghajtó: lassú, kevésbé megbízható, olcsó, GB Digitális audioszalagos meghajtó: GB Automatikus szalagbetöltő rendszer: többmeghajtós, automatikus szalagcsere Merevlemez: leggyorsabb, biztonságos, drágább RAID tömbök: redundáns tárolás

407 Mentőprogramok Windows Server biztonsági másolat (WS Backup) szolgáltatásként telepíteni kell, normál, másolt vagy növekményes mentés helyi és távoli rendszerről merevlemezre és DVD-re Nem támogatja a különbségi mentést és a szalagos egységet Parancssori biztonsági mentő eszköz: wbadmin

408 Adatok elosztása vagy Replikálása

409 RAID A RAID technológia alapja az adatok elosztása vagy replikálása több fizikailag független merevlemezen, egy logikai lemezt hozva létre. Minden RAID szint alapjában véve vagy az adatbiztonság növelését vagy az adatátviteli sebesség növelését szolgálja. A RAID-ben eredetileg 5 szintet definiáltak (RAID 1-től RAID 5-ig). Az egyes szintek nem a fejlődési, illetve minőségi sorrendet tükrözik, hanem egyszerűen a különböző megoldásokat.

410 RAID 0 A RAID 0 az egyes lemezek egyszerű összefűzését jelenti, viszont semmilyen redundanciát nem ad, így nem biztosít hibatűrést, azaz egyetlen meghajtó meghibásodása az egész tömb hibáját okozza. A megoldás lehetővé teszi különböző kapacitású lemezek összekapcsolását is, viszont a nagyobb kapacitású lemezeken is csak a tömb legkisebb kapacitású lemezének méretét lehet használni (tehát egy 120 GB és egy 100 GB méretű lemez összefűzésekor mindössze egy 200 GB-os logikai meghajtót fogunk kapni, a 120 GB-os lemezen 20 GB szabad terület marad, amit más célokra természetesen felhasználhatunk).

411 RAID 1 A RAID 1 eljárás alapja az adatok tükrözése (disk mirroring), azaz az információk egyidejű tárolása a tömb minden elemén. A kapott logikai lemez a tömb legkisebb elemével lesz egyenlő méretű. Az adatok olvasása párhuzamosan történik a diszkekről, felgyorsítván az olvasás sebességét; az írás normál sebességgel, párhuzamosan történik a meghajtókon. Az eljárás igen jó hibavédelmet biztosít, bármely meghajtó meghibásodása esetén folytatódhat a működés. A RAID 1 önmagában nem használja a csíkokra bontás módszerét.

412 RAID 2 A RAID 2 használja a csíkokra bontás módszerét, emellett egyes meghajtókat hibajavító kód (ECC: Error Correcting Code) tárolására tartanak fenn. A hibajavító kód lényege, hogy az adatbitekből valamilyen matematikai művelet segítségével redundáns biteket képeznek. Ezen meghajtók egy-egy csíkjában a különböző lemezeken azonos pozícióban elhelyezkedő csíkokból képzett hibajavító kódot tárolnak. A módszer esetleges lemezhiba esetén képes annak detektálására, illetve kijavítására

413 RAID 3 A RAID 3 felépítése hasonlít a RAID 2-re, viszont nem a teljes hibajavító kód, hanem csak egy lemeznyi paritásinformáció tárolódik. Egy adott paritáscsík a különböző lemezeken azonos pozícióban elhelyezkedő csíkokból XOR művelet segítségével kapható meg. A rendszerben egy meghajtó kiesése nem okoz problémát, mivel a rajta lévő információ a többi meghajtó (a paritást tároló meghajtót is beleértve) XOR-aként megkapható.

414 RAID 4 A RAID 4 felépítése a RAID 3-mal megegyezik. Az egyetlen különbség, hogy itt nagyméretű csíkokat definiálnak, így egy rekord egy meghajtón helyezkedik el, lehetővé téve egyszerre több (különböző meghajtókon elhelyezkedő) rekord párhuzamos írását, illetve olvasását (multi-user mode). Problémát okoz viszont, hogy a paritás-meghajtó adott csíkját minden egyes íráskor frissíteni kell (plusz egy olvasás és írás), aminek következtében párhuzamos íráskor a paritásmeghajtó a rendszer szűk keresztmetszetévé válik. Ezenkívül valamely meghajtó kiesése esetén a rendszer olvasási teljesítménye is lecsökken, a paritás-meghajtó jelentette szűk keresztmetszet miatt.

415 RAID 5 A RAID 5 a paritás információt nem egy kitüntetett meghajtón, hanem körbeforgó paritás (rotating parity) használatával, egyenletesen az összes meghajtón elosztva tárolja, kiküszöbölvén a paritás-meghajtó jelentette szűk keresztmetszetet. Minimális meghajtószám: 3. Mind az írási, mind az olvasási műveletek párhuzamosan végezhetőek. Egy meghajtó meghibásodása esetén az adatok sértetlenül visszaolvashatóak, a hibás meghajtó adatait a vezérlő a többi meghajtóról ki tudja számolni. A csíkméret változtatható; kis méretű csíkok esetén a RAID 3-hoz hasonló működést, míg nagy méretű csíkok alkalmazása esetén a RAID 4-hez hasonló működést kapunk. A hibás meghajtót ajánlott azonnal cserélni, mert két meghajtó meghibásodása esetén az adatok elvesznek!

416 RAID 6 A RAID 6 tekinthető a RAID 5 kibővítésének. Itt nemcsak soronként, hanem oszloponként is kiszámítják a paritást. A módszer segítségével kétszeres meghajtó meghibásodás is kiküszöbölhetővé válik. A paritáscsíkokat itt is az egyes meghajtók között, egyenletesen elosztva tárolják, de ezek természetesen kétszer annyi helyet foglalnak el, mint a RAID 5 esetében.

417 RAID 0+1 (Raid01) Ez egy olyan hibrid megoldás, amelyben a RAID 0 által hordozott sebességet a RAID 1- et jellemző biztonsággal ötvözhetjük. Hátránya, hogy minimálisan 4 eszközre van szükségünk, melyekből 1-1-et összefűzve, majd páronként tükrözve építhetjük fel a tömbünket, ezért a teljes kinyerhető kapacitásnak mindössze a felét tudjuk használni. Mivel a tükrözés (RAID 1) a két összefűzött (RAID 0) tömbre épül, ezért egy lemez meghibásodása esetén az egyik összefűzött tömb mindenképp kiesik, így a tükrözés is megszűnik.

418 RAID 1+0 (Raid10) Hasonlít a RAID 01 megoldáshoz, annyi különbséggel, hogy itt a lemezeket először tükrözzük, majd a kapott tömböket fűzzük össze. Ez biztonság szempontjából jobb megoldás, mint a RAID 01, mivel egy diszk kiesése csak az adott tükrözött tömböt érinti, a rá épült RAID 0-t nem; sebességben pedig megegyezik vele.

419 Internet Information Services (IIS)

420 IIS A Microsoft által írt, Microsoft Windows-platformon futó internet-alapú szolgáltatásokat összefogó termék neve. A világ második legnépszerűbb webkiszolgálója (a weboldalak száma alapján) az Apache HTTP Server után.

421 IIS Az IIS által nyújtott szolgáltatások közé tartozik FTP FTPS SMTP NNTP HTTP HTTPS. Az IIS több Microsoft-termék telepítésének előfeltétele, ilyen a WSUS Microsoft Exchange Sharepoint.

422 IIS verziók IIS 7.0 Windows Server 2008 és Windows Vista (Home Premium, Business, Enterprise, Ultimate Editions) IIS 7.5 Windows Server 2008 R2 és Windows 7 IIS 8.0 Windows Server 2012 és Windows 8

423 IIS 8.0 Az IIS 8.0 újdonságai közé tartozik a weboldalankénti CPU-használati kvóták bevezetése alkalmazás-inicializálás (Application Initialization) központi SSL-tanúsítványkezelés NUMA hardveren sok processzormagos skálázhatóság.

424 IIS

425 FTP (File Transfer Protocol) Az Internet klasszikus fájlátviteli protokollja, amely adatállományok két gép közötti kétirányú átvitelét teszi lehetővé. Az FTP a klasszikus szerver-kliens modell alapján működik, bár a fájlok átvitelét mindkét irányban (a kapcsolatot kezdeményező kliensről a szerverre, illetve visszafelé, a szerverről a kliens irányába) is lehetővé teszi.

426 FTP Az FTP az átvitelre két külön csatornát alkalmaz. Ezek közül az első a parancs-csatorna, amelyet mindig a kliens épít fel a szerver felé az FTP-menet megkezdésekor, és amelyen keresztül a kéréseit annak elküldi, illetve az azokra adott állapotkódat és hibaüzeneteket visszakapja.

427 FTP Ezen kívül a fájlok átvitele során a szerver a kliens kérésére annak irányába egy másik ún. adat-csatornát is felépít, amelyen keresztül a fájl tartalmát küldi el részére. A szerver minden egyes fájl átviteléhez külön adat-csatornát nyit, amelyet annak befejeztével mindig le is zár. Az FTP használatára az URL-ekben az 'ftp://' protokoll-azonosító utal.

428 SMTP Az SMTP a Simple Mail Transfer Protocol rövidítése. Ez egy kommunikációs protokoll az ek Interneten történő továbbítására. Az SMTP egy viszonylag egyszerű, szöveg alapú protokoll, ahol egy üzenetnek egy vagy több címzettje is lehet. Az SMTP szolgáltatás a TCP (Transmission Control Protocol) 25-ös portját használja. Ahhoz, hogy meghatározza, hogy az adott domain névhez melyik SMTP szerver tartozik, a Domain név MX (Mail exchange) rekordját használja. Ez a domain DNS rekordjai között szerepel.

429 Power Shell

430 alapok Azok a felhasználók (Magukat Igazi Programozóknak nevezik) akik igazán egy Unix-terminál előtt ülve érzik magukat elemükben, a Windows rendszereken kényelmetlenül mozogtak. Nem igazán volt számukra igazi alternatíva. Mi is volt? Command Prompt kicsit régi, kicsit nehézkes, kicsit korlátolt Windows Scripting Hosting (WSH) egész jó, hisz a COM objektumok egész sok és sokféle problémára nyújtanak megfelelő megoldást. De a WSH is korlátolt az interaktivitás területén.

431 alapok Mi lehet a megoldás? Adott a Microsoft.NET framework, amely rengeteg problémára nyújt megoldást, de a keretrendszer által készített programokat le kell fordítani, hiszen csak programozók használják. De a fejlesztők úgy gondolták, hogy ki kellene aknázni a keretrendszer által nyújtott lehetőségeket a rendszergazdáknak is.

432 Indítása powershell parancs kiadásával A PowerShellkörnyezetében többféle parancs stílust is használhatunk: Hagyományos DOS belső parancsok (pl. DIR) Unix-os parancsok (pl. ls) PowerShell saját parancsai, az ún. Cmdlet-ek(pl. Get- ChildItem) Szabványos Windows futtatható programok A DOS és a Unix parancsok valójában alias-ok a PowerShellsaját parancsaira (Cmdlet)

433 Cmdlet A PowerShellsaját parancsai Leírásuk minden esetben ige-főnév formájú Pl. Get-ChildItemvagy Get-Process Get-Helpget-*, Get-Help Get-Process -example A parancs paramétereinek neve kötött A parancs kimenete nem sima szöveg, hanem objektum! A parancsok összefűzhetők (kompozit parancsok)

434 Parancsok összefűzése Ránézésre hasonló, mint a hagyományos parancssor: dir find ARIS Szöveg helyett azonban objektumok közlekednek > Get-ChildItem where-object { $_.Length -ge1000 } Ami akár tovább is láncolható > Get-ChildItem where-object { $_.Length -ge1000 } Sort-Object-propertyLength Melyek az egyes objektumok tulajdonságai? > Get-ChildItem get-member

435 Változók A változók neve $jellel kezdődik A változókat nem kell deklarálni A változó értéke a név megadásával lekérhető >$most=get-date >$most A változók objektumokat tárolnak >$megint=get-date >$elteres=$megint-$most >$elteres

436 Szöveges változók (System.String) Karekterlánc típusú, értékadáskor a szöveget aposztrófok vagy idézőjelek között kell megadni >$t= alma Ez is objektum! A karakterlánc metódusai és tulajdonságai: >$t Get-Member -> (lista) >$t.length -> 4 >$t.toupper() -> ALMA >$t.replace( al, fel ) -> felma

437 Fontosabb karakterlánc műveletek

438 Operátor Leírás Kis-nagybetű érzékeny operátor Leírás -eq egyenlő -ceq egyenlő -ne nem egyenlő -cne nem egyenlő -gt nagyobb -cgt nagyobb -ge nagyobb egyenlő -cge nagyobb egyenlő -lt kisebb -clt kisebb -le kisebb egyenlő -cle kisebb egyenlő

439 Objektumok kezelése Bejárás: ForEach-Object > Get-ChildItem ForEach-Object { $sum+=$_.length } Szűrés: Where-Object > Get-ChildItem Where-Object { $_.Length ge1000 } Rendezés: Sort-Object > Get-ChildItem Sort-Object-property Length

440 Objektumok kezelése Kiválasztás: Select-Object > Get-ChildItem Sort-Object-propertyLength Select-Object First 5 > "a","c","b","a","b","d","e" select-object -Unique Csoportosítás: Group-Object > Get-ChildItem Group-Object Extension

441 Eredményül kapott listák szűrése Könyvtárak listázása Get-Childitem Where-Object { $_.PsIsContainer} Leállított szolgáltatások listázása Get-Service Where-Object { $_.Status eq Stopped } Adott nevű folyamatok listázása Get-Process Where-Object { $_.Name like *svchost* }

442 Vezérlési szerkezetek If(<feltétel>) { <then ág> } else { <else ág> } >$a=12 >if ($a lt20) { Kicsi } else { Nagy } -> Kicsi >$a=42 >if ($a lt20) { Kicsi } else { Nagy } -> Nagy For(<kezdő>;<feltétel>;<lépés>) {<ciklusmag>} >for($b=1; $b lt8; $b++ ) { $b } -> 1..7

443 Fájl és mappa műveletek munkakönyvtár kiíratása (get-location).path vagy $pwd Könyvtár létrehozása create-item typedirectoryalma vagy mdalma Fájl vagy könyvtár létezésének ellenőrzése test-pathalma Fájl vagy könyvtár törlése remove-itemalma

444 Fájl és mappa műveletek Fájl vagy könyvtár átnevezése rename-itemalma barack Fájl vagy könyvtár másolása, mozgatása copy-itembarack citrom move-itemcitrom eper Hozzáférési jogok lekérése get-aclcitrom

445 Összes újabb MS szerver Exchange, SQL Server, System Center Operations Manager, System Center VMM, IIS Fejlesztő környezet: Visual Studio 2010: PowerConsole VMware: PowerCLI teljes virtualizációs környezet automatizálása

446 Elindulás Powershell 2.0 letöltése Windows Management Framework kiegészítés része Windows 7-en fent van, de elérhető XP-re is PowerGUI GUI szerkesztő, debugger

447 help Mint látjuk a rendszer teljesen önleíró. Láthatjuk a parancsokat, aliasaokat.

448 help Get-ChildItem Ekkor megkapunk minden információt az adott parancsról.

449 help Get-ChildItem example Ekkor példa scripeteket kapunk bőséges leírással

450 ALIAS Ki lehet listázni az úgynevezett aliasokat.

451 ALIAS Amint látjuk, hogy a régi DOS-os parancsoknak megtalálhatóak a PowerShellbeli megfelelői. PÉLDÁUL: a DIR parancs nem más, mint a Get-ChildItem. De meglehet találni néhány Linuxos parancsot is Például az ls t.

452 csővezetés A futtatott parancsokat egymáshoz lehet csatolni a pipe karakter segítségével. Ami annyit tesz, hogy a parancs eredményét nem az outputra borítja, hanem a következő lépésnek adja oda a végrehajtási sorban.

453 csővezetés Ki írjuk a futó processzek listájából az első 6 elemet.

454 változók A PowerShellben természetesen lehet használni változókat is. Jelölésük: $valtozonev A változóknak tudunk értéket adni, valamint akár egy teljes parancs eredményét eltárolhatjuk a változóban. Például.: $x = get-childitem

455 változók Ekkor az x változóban el lesz tárolva a Get-ChildItem eredménye. Ahhoz, hogy a változóból kinyerjük az értéket egyszerűen írjuk be a parancssorba a változó nevét: $x, és a képernyőn megjelenik a benne tárolt érték.

456 változók Természetesen a változóknál is lehet a csővezetést alkalmazni. PÉLDÁUL: $x select-object first 3

457 get-member Segítségével megtudhatjuk hogy egy-egy parancs milyen.net objektumokat használ, és hogy milyen propertyei és metódusai vannak.

458 Get-ChildItem Get-Member Láthatjuk, hogy az adott cmdlet melyik névteret használja, vagy épp mely metódusokat és propertyket.

459 Get-PsDriver Ez a parancs megmutatja a PowerShell driveokat. Mint látható nem csak meghajtókon tudunk járkálni, hanem a registryben, vagy épp a tanúsítványtárban, de akár a környezeti változókat is piszkálhatjuk.

460 PowerShell üzemmódok Parancs üzemmód: Ha parancsot írok, ami betűvel kezdődik és megtalálja a parancskészletében, Például a DIR parancs akkor az adott parancs értelemszerűen végrehajtódik. Kiértékelő üzemmód: Ha viszont olyat adok meg, amit nem fedez föl a parancskészletében, de kitudja értékelni akkor a kiértékelő üzemmódba vált át.

461 PÉLDÁUL: írjuk be, hogy 1,2,3,4,5 Ez a PowerShell számára egy halmaz definícó volt, amit úgy értékelt ki, hogy kiírta őket a képernyőre. Mint láttuk a PowerShell nem írta ki, hogy bad command or filename köszönhető ez a kiértékelő üzemmódnak.

462 Írjuk be, 1MB A válasz: byte. Ebből is látszik mennyire informatikus közeli ez az új parancssor.

463 Oszlopok szerinti szűrés (select-object) get-childitem select-object property name, length csak a name és a length oszlop fog megjelenni.

464 Sorok szerinti szűkítés (where-object) Get-Process where-object {$_.workingset gt 25mb} A where object parancs segítségével bizonyos feltételnek megfelelően szűkíthetjük a sorokat, esetünkben amelyeknek a workingset je nagyobb mint 25MB.

465 Számoljunk (Measure-object) Ez a parancs egy nagyon ötletes, ugyanis a hozzá beérkező objektumok bizonyos propertyjei alapján tud készíteni összegzést, átlagot, countot stb.

466 Power Shell és az Active Directory

467 Active Directory típusmeghatározás: CN = Common Name = Közönséges név. Kötelező elem minden lekérdezésnél, az erőforrás objektumokra és típus nélküli tárolókra lehet vele hivatkozni. DC = Domain Context = Tartományi környezet. A tartomány nevét írja le. OU = Organization Unit = Szervezeti egység. Ha az elérni kívánt objektum a tartományon belül valamely szervezeti egységben található, akkor az előző DC parancs mellett az OU-t is meg kell adni.

468 Parancssori AD dsadd user CN=Lajos,CN=Users,DC=Animare,DC=hu -samid lali dsadd user CN=Lajos,CN=Users,DC=Animare,DC=hu -samid lali -pwd lalika dsadd user CN=Lajos,CN=Users,DC=Animare,DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu - dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu - -pwdneverexpires yes dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu - -mustchpwd yes dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu - -mustchpwd yes -disabled yes dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu - -mustchpwd yes -acctexpires 30

469 Get-ADUser

470 Get-ADUser-Identity soostibor-properties title

471 Get-ADUsersoostibor-Properties*

472 New-ADUser GlenJohn {title="director";mail="glenjohn@fabrikam.com"} New-ADGroup -Name ujcsoport -SamAccountName ujcsoport -GroupCategory Distribution PassThru New-ADComputer -Name fileserver01" -SamAccountName fileserver01" -Path "OU=ApplicationServers,OU=ComputerAccounts,OU=Managed,DC=G YAKORLAT,DC=HU

473 Remove-ADUser -Identity GlenJohn Remove-ADUser -Identity "CN=Glen John,OU=Finance,OU=UserAccounts,DC=FABRIKAM,DC=COM Remove-ADComputer -Identity fileserver04"

474 Power Shell Példa Képek dátum szerint mappákba rendezése

475 PÉLDA cd.\pictures dir