Windows hálózati adminisztráció Tantárgykódok: MIN6E0IN 6. Göcs László mérnöktanár KF-GAMF Informatika Tanszék 2015-16. tanév tavaszi félév
Replikáció és tartományvezérlők Tartományvezérlő: az AD-t tároló Windows Server operációs rendszerű számítógép Az AD elosztott tárolása: több DC is jelen lehet egy tartományban. Bármelyiken végrehajtható módosítás, tartalmuk automatikusan szinkronizálódik. Ez a több főkiszolgálós (multimaster) replikáció. Replika: az egyes példányok. Ütközés esetén a későbbi módosítást tekinti érvényesnek. Mivel a szinkronizálás nem azonnali, ezért a címtárban ún. laza konzisztencia áll fenn. Más szóval rövid ideig a a címtár lehet nem konzisztens.
Replikáció Más tartomány DC-ire séma és konfigurációs adatok A replikáció folyamata és konfigurációja automatikus Adatátvitel csak adatváltozást követően, csak új adat utazik Replikáció konfiguráció: DC-k feltérképezése és kapcsolatok kialakítása
Replikációs topológia Meghatározza, hogy az egyes DC-k mely más DC-kel kerülnek replikációs kapcsolatba A Knowledge Consistency Checker hozza létre az Active Directory helyek és szolgáltatások programban megadottak alapján Új DC telepítését követően a KCC újradefiniálja a topológiát Minden AD partícióhoz külön topológia Gyűrűs, kétirányú, minden DC-nél legalább 2 kapcsolat, két DC között legfeljebb 3 lépés
Telephely Olyan számítógép csoportot fog össze, amelynek tagjai között nagy sebességű ( 10 Mb/sec) és megbízható kapcsolat áll rendelkezésre Egy telephelyen belül több IP alhálózat is lehet A telephely a hálózat fizikai felépítését tükrözi A tartomány a szervezet logikai felépítését tükrözi
Replikáció telephelyen belül Nagy sebesség, állandó kapcsolat Tömörítés nélkül Gyors frissítés változásértesítést követően Gyakoribb replikáció
Replikáció telephelyek között Alacsonyabb sebesség, nincs állandó kapcsolat Frissítés 3 óránként (az időköz állítható) Tömörített adatátvitel
Számítógépek telephelyhez rendelése Active Directory helyek és szolgáltatások IP cím alapján 1. Telephely létrehozása 2. Szerverek konténerbe felvesszük a DC-t 3. Alhálózatok konténerbe bejegyezzük az IP alhálózatokat 4. Az IP alhálózat tulajdonság lapján hozzárendeljük a telephelyhez
Csoportházirend
Csoportházirend Helyi csoportházirend: Alapból csak egy GPO: gépre/felhasználóra vonatkozó beállítások LGPO GPEDIT.MSC közvetlenül ír a rendszerleíró adatbázisba Felhasználókra és csoportokra külön GPO-kat hozhatunk létre MMC beépülő modulokkal Tartományi csoportházirend: Tartományi gépekre vonatkozó beállítások A GPO-kat egy tárolóhoz (pl. SzE) kapcsolhatjuk GPMC.MSC (Group Policy Management Console Szolgáltatás hozzáadása varázslóval telepíthető) Felülírja a helyi házirendet
Beállítások érvényesítése Automatikus frissítés Szerveren 5 percenként Ügyfélgépen 90 percenként Kikényszerített frissítés tartományban gpupdate A ki/bejelentkezéshez indításhoz/leállításhoz kapcsolódó parancsállományok csak a következő ilyen esemény bekövetkezésekor fognak lefutni
A csoportházirend működése Egy GPO két részből áll Gépre vonatkozó beállítások bárki jelentkezik be Felhasználóra vonatkozó beállítások bárhol jelentkezik be Mindig egy tárolóhoz rendelve hozzuk létre, de később további tárolókhoz is hozzárendelhetjük Alapelvek: Minél kevesebb legyen a GPO-k száma - áttekinthetőség Minden összetartozó beállításcsoport számára hozzunk létre GPO-t finomabb szabályozás
Öröklődés A szülő konténer beállításait a gyerek konténer örökli Ha több GPO van egy szinten, akkor az alacsonyabb rangú lesz először feldolgozva Ha nincs ütközés, akkor az összes szinten megadott beállítássor uniója érvényesül
Melyik érvényesül? Ha különböző szinteken eltérő beállítások vannak, akkor az utolsóként feldolgozott érvényesül 1. Helyi házirend, helyi rendszergazdai, nem rendszergazdai, felhasználói 2. Telephely szintű házirend 3. Tartomány szintű házirend 4. Szervezeti egység szintű házirend szülő konténertől levél objektum irányában haladva sorban egymás után
Az öröklődés módosítható Megszakítással a tartalmazott objektum nem veszi át (örökli) az őt tartalmazó objektum beállításait (csak az adott szinten beállított házirend érvényesül) Kikényszerítéssel hiába van beállítva a gyerek objektumban a megszakítás Az egy tárolóhoz rendelt GPO-k hivatkozási sorrendjének módosításával Az öröklés felülbírálásával ha nincs kikényszerítés (letiltjuk a házirendet az alacsonyabb szinten)
Csoportházirend hatásának szűrése Minden GPO-hoz ACL hozzáférés vezérlési lista Egy GPO csak akkor érvényesül, ha a szabályozás tárgya (szg/fh) olyan biztonsági csoportnak a tagja, amelyik Olvasás/Alkalmazás joggal rendelkezik a GPO-hoz WMI szűrő: memória mennyisége, CPU, program megléte, javító csomag megléte dönti el, hogy érvényesül-e a GPO
Lépések 1. OS indulás Számítógéphez rendelt GPO végrehajtása Indítási szkript végrehajtása 2. Felhasználó bejelentkezése Felhasználói GPO Bejelentkezési szkript GPO-ban megadott szkript Fiókhoz közvetlenül rendelt szkript
Alapértelmezett GPO Telepítéskor automatikusan jön létre Alapértelmezett tartományi házirend a teljes tartományra hat Alapértelmezett tartományvezérlői házirend csak a tartományvezérlőre hat
Csoportházirendek Központi vezérlést biztosítanak a felhasználók és a számítógépek hozzáférési engedélyei, jogosultságai és lehetőségei felett Mire jó? Hozzáférés szabályozás Szkript futtatás Központilag kezelt mappák a speciális könyvtárak számára Szoftvertelepítés Biztonsági beállítások
Hozzáférés szabályozás Operációs rendszerre vonatkozó beállítások: Start menü és asztal egyes ikonjainak eltávolítása/engedélyezése, Vezérlőpult és annak elemeihez történő hozzáférés, parancssor letiltása, rendszerleíró adatbázis közvetlen szerkesztésének engedélyezése/tiltása, rendszerszolgáltatások engedélyezése/tiltása, alkalmazások futtatásának tiltása Hálózatra vonatkozó beállítások: DNS, tűzfal, vezeték nélküli hálózat beállítása Nyomtató beállítása Internet Explorer: proxy, biztonsági beállítások, kedvencek, beállítási fülek engedélyezése és tiltása
Szkript futtatás A gép be/kijelentkezésekor A felhasználó be/kijelentkezésekor A DC SYSVOL mappájában tárolva Nem azonos a felhasználó tulajdonságainál megadott szkripttel Egy eseményhez több szkript is rendelhető
Központilag kezelt mappák a speciális könyvtárak számára AppData, Asztal, Dokumentumok, Képek, Zene, Videók, Kedvencek, Partnerek, Hivatkozások mappájának központi tárolása A Dokumentumok mappa helyileg gyorstárazható, így kapcsolat nélkül is tovább dolgozhat a felhasználó. Csatlakozás után automatikus szinkronizálás. Megoldások Egy speciális mappa átirányítása minden felhasználó esetén egy központi helyre Helyek megadása csoporttagság alapján
Szoftvertelepítés MSI formátumú csomagok automatikus telepítése, automatikus frissítés Telepítési módok Felhasználó bejelentkezésekor automatikusan Gép bejelentkezésekor automatikusan Felhasználó által kézzel felhasználói közzététel Szoftvertelepítési GPO-t hozunk létre, majd azt hozzárendeljük a tárolóhoz
Felhasználói közzététel A szoftver valójában automatikusan települ, ha A felhasználó megnyit egy dokumentumot, amihez szükséges a szoftver A felhasználó megnyit egy parancsikont, ami az alkalmazásra mutat Egy másik szoftver igényli a szoftver valamely összetevőjét Elosztópont: a telepítéshez szükséges állományokat tartalmazó megosztott mappa vagy olyan megosztott mappa, ahol ún. rendszergazdai telepítéssel előtelepítették a szoftvert (pl.office)
Biztonsági beállítások Jelszóházirend: minimális hossz, bonyolultság, min/max élettartam Fiókzárolási házirend: hibás bejelentkezések maximális száma Naplózás, Felhasználói jogok (pl. távoli bejelentkezés) Jogosultság hozzárendelés Sablonok is használhatók
Default policy
Hardver tiltás
Saját GP csoportnak
Megosztások a tartományban
Megosztások közzététele Active Dirtectory tartomány címtárában A hálózatban található megosztott könyvtárakat és nyomtatókat közzétehetjük (Windows 2000 előtti rendszerekét is) az Active Directory tartomány címtárában, egy helyen központosítva. A módszer előnye az áttekinthetőségen kívül, hogy feleslegessé válik az erőforrás pazarló NetBIOS protokoll rendszer használata.
Megosztások közzététele Active Dirtectory tartomány címtárában A megosztás helyének nem feltétlenül kell egy tartományi gépen lenni. Ezzel megvalósítható egy központi nyilvántartás, minden egy helyen elérhető nem kell keresgélni a hálózatban
Megosztások közzététele Active Dirtectory tartomány címtárában A NetBIOS hálózati szolgáltatást használó gépek üzenetszórásokkal közlik a többi géppel, hogy beléptek a hálózatba, ezeket minden gép megkapja. Működik még egy tallózó szolgáltatás is üzenetszórásokkal annak ellenőrzésére, hogy milyen hálózati erőforrások érhetők el.
Megosztások közzététele Active Dirtectory tartomány címtárában Sok gépes hálózati környezetben, ha minden gép ezeket a módszereket alkalmazza, nagy terhelést ró a hálózati hardverre, jelentős kapacitást igényelve. Címtárban való közzététel másik előnye, hogy nélkülözhetővé válik a NetBIOS.
Megosztások közzététele Active Dirtectory tartomány címtárában Miután felvettük a megosztott erőforrást, ennek meglétére vonatkozó ellenőrzés nem történik. Tegyük fel, hogy kikapcsoljuk a hozzá tartozó számítógépet, ennek ellenére a címtárban megmarad a megosztás. Ha megpróbáljuk megnyitni, egy hibaüzenetet kapunk (pl.: "A hálózatnév nem található").
DFS Distributed File System elosztott fájlrendszer
Miért van szükségünk az elosztott fájlrendszerre? A legtöbb számítógépes hálózatban a felhasználók adataikat központi kiszolgálók megosztott mappáiban tárolják. Minden ilyen hálózatban előbb vagy utóbb bekövetkezik az a kényes szituáció, hogy a megosztott mappákat másik, újabb, nagyobb teljesítményű kiszolgálóra kell mozgatnunk a régi szerver más célokra még a hálózatban marad, azaz a megosztott mappa nevében található szervernév megváltozik.
Miért van szükségünk az elosztott fájlrendszerre? Mi legyen a felhasználók gépein hemzsegő hálózati meghajtókkal Parancsikonokkal Beállításokkal sok-sok hivatkozással amelyek mind-mind a régi útvonalat tartalmazzák? A közös névtér egyik előnye, hogy a megosztott mappák valódi útvonalát elrejti a felhasználók elől, így egy-egy ilyen változtatás nem okoz pluszmunkát az ügyfélgépek oldalán.
A DFS szolgáltatás üzemmódjai Stand-Alone DFS: azaz önálló DFS kiszolgáló. Ebben az esetben a DFS szolgáltatás a névtér információit a DFS kiszolgáló regisztrációs adatbázisában tárolja. Maga a névtér gyökere (DFS root) is a DFS kiszolgálón keresztül érhető el, ha ez a kiszolgáló nem elérhető, a DFS halott.
Stand-Alone DFS
A DFS szolgáltatás üzemmódjai Domain DFS: azaz tartományi DFS kiszolgáló. Ilyenkor a DFS szolgáltatás adatai értelemszerűen az Active Directory-ban találhatók. Tartományi DFS esetén is kell legalább egy kiszolgáló, ami a DFS gyökér egy példányát kiszolgálja, de ebben az üzemmódban maga a DFS gyökér is többszörözhető (azaz gyökérreplikák is rendelkezésre állnak) persze minden replikának különálló kiszolgálóra kell kerülnie.
Domain DFS
A DFS szolgáltatás üzemmódjai Üzemmódtól függetlenül szabály, hogy egy kiszolgálón csak egy DFS gyökér lehet, a tartományon belül több DFS gyökeret is létrehozhatunk (nyilván mindegyiknek másik kiszolgálóra kerül a replikája). A kétféle DFS szolgáltatás egyébként nagyon jól megfér egymás mellett, sőt, ezeket kombinálhatjuk is.
FRS File Replication Service
FRS A Windows tartományvezérők rendszermappáinak megosztásait már régóta külön erre a célra készült rendszerszolgáltatások szinkronizálgatják. A Windows 2000 fájlreplikációs szolgáltatása (FRS) azonban nem csak a tartományi adatbázis (azaz a SYSVOL könyvtár) replikálására használható, hanem a DFS mappák replikái közötti szinkronizálásra is.
FRS A File Replication Service minden Windows 2000 Server-ben megtalálható, de automatikusan csak a tartományvezérlőkön indul el. Ha a DFS-ben engedélyezzük a replikációt egy nemtartományvezérő Windows 2000 Server felé, az automatikusan átállítja a szolgáltatás indítási paramétereit és el is indítja azt.
FRS működése Az FRS az Active Directory-replikációhoz nagyon hasonló replikációs szolgáltatást végez. A rokonság olyan szoros, hogy többek között az FRS is figyelembe veszi az Active Directory telephelyek (site-ok) beállításait, a replikációs linkek adatait, és a címtár szinkronizációjával egyidejűleg működik.
FRS működése Ez azt is jelenti, hogy ha a szinkronizálandó megosztott mappák két különböző Active Directory-telephelyhez tartozó kiszolgálón találhatók, akkor a fájlok replikációja a telephely-kapcsolattól függő késlekedést szenved (azaz, akár az is előfordulhat, hogy a mappák tartalma például naponta egyszer szinkronizálódik). Míg az Active Directory replikáció telephelyek között tömörített, az FRS az adatokat még a telephelyek közötti replikáció során sem tömöríti.
FRS működése Az FRS egyébként mindig egész fájlokat szinkronizál, tehát nincs szó az adatok részleges replikációjáról. Stratégiailag pedig az utolsó mentés érvényes elvet követi, azaz függetlenül a mentés helyétől. Az a fájl lesz végül a győztes, aminek dátumbélyege a legfrissebb az összes többi között.
Windows 2012
Windows 2012
Windows 2012
Windows 2012
W2012 DFS Replikáció http://www.youtube.com/watch?v=e30ocfbh4yu