E LSŐ FEJEZET A Windows Server 2008 felügyeletének áttekintése A fejezet tartalma: A Windows Server 2008 és a Windows Vista... 4 Bemutatkozik a Windows Server 2008... 6 Hálózati eszközök és protokollok... 8 Tartományvezérlők, tagkiszolgálók és tartományi szolgáltatások... 12 Névfeloldási szolgáltatások... 17 Gyakran használt eszközök... 26 A Windows Server 2008 hatékony, sokoldalú, teljes tulajdonságkészletű kiszolgáló operációs rendszer, amely a Microsoftnak a Windows Server 2003 rendszerhez fejlesztett Service Pack 1 és Release 2 bővítéseire épül. A Windows Server és a Windows Vista számos közös szolgáltatással rendelkezik, hiszen egyetlen fejlesztési projekt részei. E szolgáltatások közös kódbázison alapulnak, és a két operációs rendszerben számos helyen felbukkannak, legyen szó például felügyeletről, biztonságról, hálózatkezelésről vagy tárolásról. Ez azt jelenti, hogy a Windows Vistával kapcsolatos ismereteink nagy részét a Windows Server 2008 esetében is alkalmazhatjuk. A fejezet bemutatja a Windows Server 2008 rendszert, és megvizsgálja, hogy az architekturális változások milyen mértékben befolyásolják a Windows Server 2008 kezelését. Itt és a könyv további részében is átfogóan tárgyaljuk a teljes rendszert érintő biztonsági változásokat. A könyv olyan eljárásokat mutat be, amelyekkel javíthatunk a számítógép-biztonság valamennyi területén, beleértve az információvédelmet és a hálózatbiztonságot. Noha a könyv központi témája a Windows Server 2008 felügyelete, a tárgyalt ötletek és eljárások segíthetnek mindenkinek, aki a Windows Server 2008 operációs rendszer támogatásával, fejlesztésével vagy kezelésével foglalkozik.
I. rész: A Windows Server 2008 felügyeletének alapjai A Windows Server 2008 és a Windows Vista Akár a Windows Vista, a Windows Server 2008 is forradalmian új architektúrával rendelkezik, melynek főbb jellemzői az alábbiak: Modularizáción és lemezképek használatán alapuló nyelv- és hardverfüggetlen felépítés A modularizáció révén az operációs rendszer minden egyes összetevője független modulként viselkedik, amelyet egyszerűen eltávolíthatunk vagy üzembe állíthatunk. Ez a funkció képezi a Windows Server 2008 új konfigurációs architektúrájának alapját. A Microsoft a Windows Server 2008 operációs rendszert WIM (Windows Imaging Format) formátumú lemezképet tartalmazó hordozókon hozza forgalomba; a lemezképek tömörítés és egypéldányos tárolási eljárás révén drasztikusan csökkentik a lemezképállományok méretét. Telepítés és rendszerindítás előtti környezetek A Windows Preinstallation Environment 2.0 (Windows PE 2.0) telepítés előtti környezet az MS-DOS helyét veszi át, és rendszerindító környezetet biztosít a telepítéshez, üzembe állításhoz, helyreállításhoz és hibakereséshez. A rendszerindítás előtti környezet az operációs rendszer indítását teszi lehetővé; tartozik hozzá egy rendszerbetöltő program, amellyel kiválaszthatjuk, hogy milyen alkalmazással szeretnénk betölteni az operációs rendszert. A több operációs rendszert is futtató rendszereken a Windows Vista előtti operációs rendszereket a rendszerindító környezetben az adott operációs rendszer bejegyzésén keresztül érhetjük el. A felhasználói fiókok beállításai és a hozzáférési jogok módosítása A felhasználói fiókok felügyeletére szolgáló UAC (User Account Control) az általános és a rendszergazda jogosultságú felhasználók fiókjainak szétválasztásával növeli a számítógép biztonságát. Az UAC miatt valamennyi alkalmazás vagy általános felhasználói, vagy rendszergazda jogosultságokkal fut; alapértelmezés szerint valahányszor egy rendszergazda jogosultságot igénylő alkalmazást futtatunk, megjelenik a jogosultságkérő biztonsági prompt. A biztonsági prompt működési módja a csoportházirend beállításain múlik. Ha a beépített rendszergazdafiókba jelentkezünk be, jellemzően nem találkozunk a jogosultságkérő prompttal. 4
1. fejezet: A Windows Server 2008 felügyeletének áttekintése A Windows Vista és a Windows Server 2008 közös kódbázisra épülő szolgáltatásai azonos kezelőfelületen keresztül érhetők el. Mi több, szinte valamennyi, a Windows Server 2008 vezérlőpultjáról meghívható segédprogram teljesen, vagy csaknem teljesen megegyezik Windows Vista-beli megfelelőjével. Természetesen a szabványos, alapértelmezett beállítások között akadnak kivételek. Mivel a Windows Server 2008 rendszerben nem létezik teljesítményértékelés, a Windows kiszolgálók nem tartják számon a Windows-élményindex pontokat sem. Mivel a Windows Server 2008 rendszernek nincsen alvó vagy hasonló jellegű állapota, a Windowskiszolgálók nem rendelkeznek alvás, hibernálás vagy folytatás üzemmóddal. Mivel a Windows-kiszolgálókon rendszerint nincs szükségünk energiagazdálkodási funkciókra, a Windows Server 2008 energiagazdálkodási lehetőségei is korlátozottak. Ezen túlmenően, a Windows Server 2008 nem tartalmazza a Windows Aero bővítéseket (Aero Glass, Flip, 3D Flip stb.), a Windows-oldalsávot, a Windows minialkalmazásokat, és más egyéb grafikus kiegészítőket. Ennek oka, hogy a Windows Server 2008 elsődleges célja, hogy a kiszolgálói feladatokhoz optimális teljesítményt nyújtson ebbe pedig nem tartozik bele az asztal megjelenésének teljes körű személyre szabása. Tekintve, hogy a Windows Vista és a Windows Server 2008 közös szolgáltatásai sok szemszögből nagyon hasonlók, a könyvben nem térünk ki a felhasználói felületnek a korábbi operációs rendszerekhez képest történt változásaira, a felhasználó fiókok beállításának működésére és így tovább. Ezekről a szolgáltatásokról részletes leírást találunk a Microsoft Windows Vista Administrator's Pocket Consultant (Microsoft Press, 2007) című kiadványban, melyet érdemes e könyvvel együtt forgatni. Az Administrator's Pocket Consultant elsősorban az asztali számítógépekkel kapcsolatos kérdésekkel foglalkozik, és a felügyeleti feladatok részletes tárgyalása mellett kitér az operációs rendszer és a Windows-környezet testreszabására, a hardver- és hálózati eszközök beállítására, a felhasználói hozzáférés és a globális beállítások kezelésére, valamint a távoli felügyelet, a távsegítség és a rendszerhibák kérdésére, illetve még sok egyébre. Ezzel szemben a könyv, amelyet az Olvasó most a kezében tart, a címtárszolgáltatás-felügyelet, az adatkarbantartás és a hálózatfelügyelet témaköreivel foglalkozik. 5
I. rész: A Windows Server 2008 felügyeletének alapjai Bemutatkozik a Windows Server 2008 A Windows Server 2008 operációsrendszer-család tagjai a Windows Server 2008 Standard Edition; a Windows Server 2008 Enterprise Edition; és a Windows Server 2008 Datacenter Edition. Az egyes kiadások eltérő igényeket elégítenek ki: Windows Server 2008 Standard Edition Ez a kiadás, amely a Windows Server 2003 közvetlen utódja, a hálózaton belüli további rendszerek számára biztosít szolgáltatásokat és erőforrásokat. Az operációs rendszer számos funkcióval és beállítási lehetőséggel rendelkezik. A Windows Server 2008 Standard Edition lehetővé teszi az egyidejű folyamatok két- vagy négyutas szimmetrikus feldolgozását (SMP Symmetric Multi-Processing), valamint a 32 bites rendszereken legfeljebb 4 gigabájt (GB), a 64 bites rendszereken legfeljebb 32 GB memória használatát. Windows Server 2008 Enterprise Edition Az Enterprise kiadás a Windows Server 2008 Standard Edition szolgáltatásait egészíti ki, jobb skálázhatóságot és rendelkezésre állást biztosítva, valamint támogatást kínálva további szolgáltatásokhoz, amilyen például a fürtöző szolgáltatás (Cluster Service) vagy az egyesített címtárszolgáltatás (Active Directory Federated Service). A kiadás támogatja továbbá a 64 bites rendszereket, a melegcserére alkalmas RAM-okat, és a nem egységes memória-hozzáférést (NUMA Non-Uniform Memory Access). Az Enterprise kiszolgálók x86 rendszereken 32 GB RAM memóriát, 64 bites rendszereken két terabájt (TB) RAM memóriát és 8 processzort kezelhetnek. Windows Server 2008 Datacenter Edition A három kiszolgáló közül a legnagyobb teljesítményű Windows kiszolgáló. Fejlett fürtöző szolgáltatást kínál, és támogatja a nagy memóriás konfigurációkat: x86 architektúrán akár 64 GB RAM memóriát, 64 bites rendszereken akár két TB RAM memória kezelésére alkalmas. Legkevesebb 8 proceszszort igényel, de képes 64 processzort is kezelni. Windows Web Server 2008 A Windows Server 2008 webes kiadása. Mivel e kiadás feladata weblapok és webes alkalmazások kiszolgálása, a kiadás csak az ide tartozó szolgáltatásokat biztosítja. A kiadás része a Microsoft.NET Framework, a Microsoft Internet Information Services (IIS), 6
1. fejezet: A Windows Server 2008 felügyeletének áttekintése az ASP.NET, egy alkalmazáskiszolgáló és a hálózati terheléselosztási (NLB network load balancing) szolgáltatás. A kiadás számos további szolgáltatást nélkülöz, például a címtárszolgáltatást; a szabványos szolgáltatások közül egyeseket csak az alapkiszolgáló (server core) telepítése után érhetünk el. A Windows Web Server 2008 legfeljebb 2 GB memóriát és 2 processzort támogat. Megjegyzés A különböző kiszolgálók alapvető tulajdonságai és felügyeleti eszközei megegyeznek. Ennek köszönhetően a könyv bármely Windows Server 2008 kiadáshoz használható. Fontos tudni, hogy mivel a címtárszolgáltatást nem telepíthetjük a webes kiadásra, Windows Web Server 2008 rendszert futtató kiszolgáló nem üzemelhet tartományvezérlőként. Annak azonban nincs akadálya, hogy a kiszolgáló Active Directorytartomány részeként üzemeljen. Tipp A 64 bites számítástechnika a Windows operációs rendszerekre történt első bevezetése óta jelentős változáson ment keresztül. A könyvben az x86-os architektúrához tervezett 32 bites rendszerekre 32 bites rendszerként, az x64 architektúrához tervezett 64 bites rendszerekre 64 bites rendszerként utalunk. A Windows operációs rendszerek az Itanium 64 bites (IA-64) processzorokat már nem támogatják. Az Itanium-alapú számítógépekhez a Microsoft önálló Windows Server 2008 kiadást készített, amely csak bizonyos kiszolgáló funkciókat lát el. Előfordulhat tehát, hogy bizonyos kiszolgálói szerepkörök és képességek az IA-64 rendszereken nem érhetők el. A Windows Server 2008 telepítésekor a rendszert a hálózaton neki szánt szerepkörnek megfelelően állítjuk be, az alábbi irányelveket követve. A munkaállomások és a kiszolgálók általában egy munkacsoport vagy egy tartomány részei. A munkacsoport számítógépek laza rendszere, amelyben minden egyes számítógépet egyedileg kezelünk. A tartomány számítógépek olyan csoportja, amelyet együttesen, tartományvezérlők segítségével felügyelünk; a tartományvezérlők olyan Windows 2008 kiszolgálók, amelyek kezelik a hálózati elérést, a címtáradatbázist és a megosztott erőforrásokat. 7
I. rész: A Windows Server 2008 felügyeletének alapjai Megjegyzés A könyvben a Windows Server 2008 és a Windows Server 2008 család kifejezések egy termékcsaládra utalnak, amelynek négy tagja van: a Windows Server 2008 Standard Edition; a Windows Server 2008 Enterprise Edition; a Windows Server 2008 Datacenter Edition; és a Windows Web Server 2008. A különböző kiszolgálók alapszolgáltatásai és felügyeleti eszközei megegyeznek. A Windows Server 2008 valamennyi változatában a Start menü két nézetét állíthatjuk be: A Classic Start menü A Windows korábbi verzióiból ismert nézet. Ebben a nézetben a Start menüre kattintva párbeszédpanel jelenik meg, amelyből közvetlenül elérhetjük a gyakori menüpontokat és menüelemeket. A Classic Start menüben a felügyeleti eszközökhöz a Start, a Programs, majd az Administrative Tools menüútvonalon keresztül férhetünk hozzá. A Vezérlőpult a Start, a Settings, majd a Control Panel úton keresztül érhető el. A Simple Start menü Lehetővé teszi, hogy közvetlenül hozzáférjünk a gyakran használt programokhoz, és közvetlenül végrehajtsuk a gyakran előforduló feladatokat. Példának okáért, a Start, majd a Computer elemre kattintva elérhetjük a kiszolgáló merevlemezeit és cserélhető tárolóit. A Simple Start menüben a felügyeleti eszközökhöz a Start, majd az Administrative Tools elemre kattintva férhetünk hozzá. A Vezérlőpult a Start, majd a Control Panel elemeken keresztül érhető el. Hálózati eszközök és protokollok A Windows Vistához hasonlóan a Windows Server 2008 is a hálózati eszközök új készletével rendelkezik; ide tartozik a Network Explorer, a Network and Sharing Center, a Network Map és a Network Diagnostics. Az 1.1 ábrán a Network and Sharing Center eszközt láthatjuk. 8
1. fejezet: A Windows Server 2008 felügyeletének áttekintése 1.1. ábra. A Network and Sharing Center gyors hozzáférést biztosít a megosztási, felderítési és hálózatkezelési beállításokhoz Ismerkedés a hálózati beállításokkal A Network and Sharing Center megosztás- és felderítéskonfigurációja az alapvető hálózati beállítások szabályozására szolgál. Ha a hálózati felderítést engedélyezzük, a kiszolgálót egy hálózatra kapcsolva a kiszolgáló látja a hálózaton lévő többi számítógépet és eszközt, miközben maga is látható. A megosztási beállításokat ki-, illetve bekapcsolva engedélyezhetjük vagy korlátozhatjuk a különféle megosztási lehetőségeket. Ahogy a 15. fejezetben (Adatmegosztás, -biztonság és -naplózás) láthatjuk, a megosztási beállításokkal szabályozhatjuk a fájlok, a nyilvános mappák, a nyomtatók és a jelszóval védett állományok megosztását. A Windows Vista és a Windows Server 2008 a hálózatokat az alábbi hálózati típusok egyikeként azonosítja: 9
I. rész: A Windows Server 2008 felügyeletének alapjai Tartományi hálózat Olyan hálózat, amelyben a számítógépek ahhoz a vállalati tartományhoz kapcsolódnak, amelyikbe be vannak léptetve. Alapértelmezés szerint a tartományi hálózatokon engedélyezzük a felderítést, ami enyhít a megszorításokon, és lehetővé teszi a tartományi hálózat gépeinek, hogy a hálózat más gépeit és eszközeit lássák. Privát hálózat Olyan hálózat, amelyen a számítógépeket egy munkacsoport tagjaiként állítjuk be, és nem kapcsoljuk őket közvetlenül a nyilvános internetre. Alapértelmezés szerint a privát hálózatokon engedélyezzük a felderítést, ami enyhít a megszorításokon, és lehetővé teszi a privát hálózat gépeinek, hogy a hálózat más gépeit és eszközeit lássák. Nyilvános hálózat Olyan hálózat, amelyen a számítógépeket egy közterület, például kávézó vagy repülőtér hálózatára kapcsoljuk egy belső hálózat helyett. Alapértelmezés szerint a nyilvános hálózatokon nem engedélyezzük a felderítést; ezáltal nő a biztonság, mert a nyilvános hálózat gépei nem látják a hálózat más gépeit és eszközeit. Mivel a számítógépek minden hálózattípus beállítását önállóan tárolják, az engedélyeket és megszorításokat külön-külön megadhatjuk az egyes hálózati típusok esetén. Amikor első alkalommal kapcsolódunk egy hálózatra, párbeszédablakban adhatjuk meg a hálózat típusát, privát vagy nyilvános hálózatként. Amennyiben a privát kategóriát választjuk, és a számítógép érzékeli, hogy ahhoz a vállalati tartományhoz kapcsolódik, amelyikbe be van léptetve, a hálózat típusa tartományi hálózat lesz. Munka a hálózati protokollokkal Ahhoz, hogy a kiszolgáló hozzáférhessen a hálózathoz, telepítenünk kell a TCP/IP protokollt (Transmission Control Protocol/Internet Protocol átvitelvezérlő protokoll/internetprotokoll), valamint egy hálózati csatolót. A Windows Server 2008 nagy kiterjedésű hálózatokhoz (WAN Wide Area Network) alkalmazott protokollja alapértelmezés szerint a TCP/IP. Normál esetben a hálózatkezelés telepítése az operációs rendszer telepítésekor megtörténik. A TCP/IP hálózatkezelést azonban telepíthetjük a Local Area Connection Properties párbeszédablakból is. 10
1. fejezet: A Windows Server 2008 felügyeletének áttekintése A TCP és IP protokollok teszik lehetővé a számítógépek számára, hogy különböző hálózatokon és az interneten keresztül, hálózati csatolók segítségével, egymással kommunikáljanak. A Windows Vistához hasonlóan a Windows Server 2008 is kétrétegű IP-architektúrával rendelkezik, amelyben mind az internetprotokoll 4-es változata (IPv4), mind az internetprotokoll 6-os változata (IPv6) megvalósul, és közös átviteli és keretrétegeken osztozik. Míg a 32 bites címzést lehetővé tevő IPv4 a legelterjedtebb internetprotokoll a számítógépes hálózatokon, beleértve az internetet is, a 128 bites címzést lehetővé tevő IPv6-ot az internetprotokoll következő generációjának tartják. A 32 bites IPv4-címeket általában négy, egymástól elválasztott decimális érték fejezi ki, például 127.0.0.1 vagy 192.168.10.52. A decimálás értékeket oktettnek nevezzük, mert minden egyes érték a 32 bites szám 8-8 bitjét jelöli. Szabványos egycímes (unicast) IPv4-címzés esetén az IPcím egyik változó értéke a hálózati azonosító, míg egy további változó értéke a gazdagép azonosítója. A gazdagép IPv4-címe és hálózati csatolójának belső gépcíme (MAC) között nincs összefüggés. Az IPv6 128 bites címei nyolc, egyenként 16 bites blokkból állnak, melyeket kettőspont választ el egymástól. Minden 16 bites blokkot egy hexadecimális érték ír le, például FEC0:0:0:02BC:FF:BECB:FE4F:961D. Szabványos egycímes IPv6-címzés esetén az IP-cím első 64 bitje a hálózati azonosító, míg az utolsó 64 bitje a hálózati interfész. Mivel az IPv6- címekben sok blokk értéke nulla, az egymást követő 0 értékű blokkokat a :: is jelölheti; ezt a jelölési rendszert nevezzük dupla kettőspont jelölésnek (double colon notation). A dupla kettőspont jelöléssel a fenti címet így rövidíthetjük le: FEC0::02BC:FF: BECB:FE4F:961D. Három vagy több 0 értékű blokkot is hasonlóan rövidíthetünk: a FFE8:0:0:0:0:0:0:1 cím például így is felírható: FFE8::1. Ha az operációs rendszer telepítésekor a telepítőprogram hálózati eszközök jelenlétét érzékeli, alapértelmezés szerint mind az IPv4, mind az IPv6 protokollt telepíti; az IPv6-támogatáshoz nincs szükség további összetevők telepítésére. A Windows Vista és a Windows Server 2008 e módosított IP-architektúrájának neve új generációs TCP/IP protokollrendszer, és számos olyan bővítést tartalmaz, amely hatékonyabbá teszi az IPv4 és IPv6 alkalmazását. 11
I. rész: A Windows Server 2008 felügyeletének alapjai Tartományvezérlők, tagkiszolgálók és tartományi szolgáltatások Amikor a Windows Server 2008 kiszolgálót egy új rendszerre telepítjük, a kiszolgálót tagkiszolgálóként, tartományvezérlőként vagy önálló kiszolgálóként állíthatjuk be. Nagyon fontos, hogy ismerjük e kiszolgálótípusok különbségeit! A tagkiszolgálók egy tartomány részei, de nem tárolói a címtárnak. A tartományvezérlők abban különböznek a tagkiszolgálóktól, hogy tárolnak címtáradatokat és hitelesítést, valamint címtárszolgáltatást nyújtanak a tartományban. Az önálló kiszolgálók nem tagjai egyetlen tartománynak sem. Miután az önálló kiszolgálók saját felhasználói adatbázissal rendelkeznek, a bejelentkezési kérések hitelesítését önállóan végzik. Munka az Active Directory címtárral A Windows 2000 és Windows Server 2003 operációs rendszerekhez hasonlóan a Windows Server 2008 sem jelöl ki elsődleges és tartalék tartományvezérlőket. A Windows Server 2008 ehelyett az úgynevezett többforrású replikációs modellt követi. A modell lényege, hogy bármely tartományvezérlő feldolgozhatja a címtár változásait, majd a változásokat önműködően replikálhatja (átvezetheti) a többi tartományvezérlőre is. A módszer eltér a Windows NT egyforrású replikációs modelljétől, ahol az elsődleges tartományvezérlő tárolja az eredeti példányt, és az erről készült biztonsági másolatokat tárolják a tartalék vezérlők. Ráadásul, míg a Windows NT csak a SAM (Security Access Manager biztonsági fiókkezelő) adatbázis megosztását tette lehetővé, a Windows 2000 az adattárnak nevezett teljes információs címtárat megosztja. Az adattáron belül objektumok képviselik a felhasználót, a csoportot és a számítógépfiókokat, valamint a megosztott erőforrásokat, például kiszolgálókat, állományokat és nyomtatókat. Az Active Directory-szolgáltatást használó tartományokat Active Directory-tartományoknak nevezzük. Ez az, ami megkülönbözteti őket a Windows NT-tartományoktól. Bár az Active Directory-tartományok működhetnek egyetlen tartományvezérlővel is, több tartományvezérlőt is kijelölhetünk, és érdemes is kijelölnünk a tartományban. Ily módon, ha az egyik tartományvezérlő meghibásodik, a hitelesítést és más létfontosságú feladatok elvégzését rábízhatjuk a többi tartományvezérlőre. 12
1. fejezet: A Windows Server 2008 felügyeletének áttekintése A Microsoft a Windows Server 2008 fejlesztésekor több fontos változtatást vezetett be az Active Directory-szolgáltatásokban. Ezek alapja, hogy a Microsoft átszervezte a címtár működését, és létrehozott egy szolgáltatáscsaládot, amely számos rokon szolgáltatást tartalmaz: Active Directory-tanúsítványszolgáltatások (AD CS Active Directory Certificate Services) Az AD CS a digitális bizonyítványoknak a felhasználók, ügyfelek, számítógépek és kiszolgálók részére történő kibocsátásához és visszavonásához szükséges funkciókat biztosítja. Az AD CS ehhez tanúsítványszolgáltatókat (CA Certificate Authority) vesz igénybe; ezek felelősek a felhasználók és számítógépek azonosságának ellenőrzéséért, majd az azonosságot igazoló tanúsítványok kibocsátásáért. A tartományokban egyrészt találunk úgynevezett vállalati gyökér-tanúsítványszolgáltatókat, amelyek a tartományi tanúsítványhierarchia gyökerénél helyezkednek el, és a vállalat legmegbízhatóbb tanúsítványkiszolgálói, másrészt találhatunk alárendelt tanúsítványszolgáltatókat, amelyek egy adott vállalati tanúsítványhierarchia tagjai. A munkacsoportok rendelkeznek egyrészt önálló gyökér-tanúsítványszolgáltatókkal, amelyek a nem vállalati tanúsítványhierarchiák gyökerénél lévő tanúsítványszolgáltatók, másrészt önálló alárendelt tanúsítványszolgáltatókkal, amelyek egy adott, nem vállalati tanúsítványhierarchia tagjai. Active Directory tartományi szolgáltatások (AD DS Active Directory Domain Services) Az AD DS biztosítja a tartományok létrehozásához szükséges alapvető címtárszolgáltatásokat, többek között az adattárat, amely a hálózat objektumairól tárol és tesz elérhetővé információt. Az AD DS tartományvezérlőkön keresztül kezeli a hálózati erőforrásokhoz történő hozzáférést. Miután a felhasználók bejelentkeztek a tartományba, és hitelesítésük megtörténik, eltárolt hitelesítési adataikat felhasználhatjuk a hálózat erőforrásainak eléréséhez. Mivel az AD DS az Active Directory lelke, és nélkülözhetetlen a címtárat használó alkalmazások és eljárások számára, a továbbiakban az egyszerűség kedvéért Active Directory néven utalunk rá, az Active Directory tartományi szolgáltatás vagy AD DS megnevezés helyett. Active Directory egyesített szolgáltatások (AD FS Active Directory Federation Services) Az AD FS az AD DS hitelesítési és hozzáféréskezelési szolgáltatásait egészíti ki azzal, hogy kiterjeszti e szolgáltatásokat a világhálóra. Az AD FS proxykiszolgálókkal kezeli az ügyfél- 13
I. rész: A Windows Server 2008 felügyeletének alapjai hozzáférést és webügynökökkel biztosítja, hogy a felhasználók hozzáférhessenek a tartományon belül hosztolt webes alkalmazásokhoz. Az AD FS beállítását követően a felhasználók digitális személyazonosságukkal hitelesíthetik magukat a weben, és férhetnek hozzá belső webes alkalmazásokhoz egy webböngésző, például az Internet Explorer segítségével. Active Directory egyszerű címtárszolgáltatások (AD LDS Active Directory Lightweight Directory Services) Az AD LDS adattárat biztosít az olyan, címtárat használó alkalmazások számára, amelyek nem igénylik az AD DS-t, és amelyeket nem szükséges tartományvezérlőkre telepíteni. Az AD LDS nem az operációs rendszer szolgáltatásaként fut, és használható mind tartományi, mind munkacsoporti környezetben. Egy kiszolgálón futó bármely alkalmazás rendelkezhet saját, az AD LDS segítségével megvalósított adattárral. Active Directory tartalomvédelmi szolgáltatások (AD RMS Active Directory Rights Management Services) Az AD RMS a vállalatok (esetenként kívülről is elérhető) adatainak védelmére szolgál, és lehetővé teszi az e-mail üzenetek, dokumentumok, intranet weblapok és egyéb tartalmak védelmét a jogosulatlan hozzáféréssel szemben. Az AD RMS naplózó szolgáltatása figyeli és karbantartja a tartalomvédelmi szolgáltatást, tanúsítványszolgáltatása pedig tartalomvédelmi fióktanúsítványt bocsát ki, amely azonosítja a védett információhoz hozzáféréssel rendelkező megbízható felhasználókat, csoportokat és szolgáltatásokat. A megbízható felhasználók azonosítását követően a tartalomvédelmi fióktanúsítvánnyal rendelkező felhasználók jogosultságokat rendelhetnek az információkhoz. E jogosultságok határozzák meg, hogy mely felhasználók férhetnek hozzá az információkhoz, és mihez kezdhetnek velük. A tartalomvédelmi fióktanúsítvánnyal rendelkező felhasználók hozzáférhetnek továbbá olyan védett tartalomhoz, amelynek elérésére engedélyt kaptak. Titkosítás biztosítja, hogy a felhasználók védett adatokat a vállalaton kívül és belül is csak ellenőrzött formában érhessenek el. 14
1. fejezet: A Windows Server 2008 felügyeletének áttekintése Munka írásvédett tartományvezérlőkkel A Windows Server 2008 támogatja az írásvédett tartományvezérlőket és az újraindítható Active Directory tartományi szolgáltatásokat. Az írásvédett tartományvezérlő (RODC Read-Only Domain Controller) olyan kiegészítő tartományvezérlő, amely csak olvasható másolatot tárol a tartomány Active Directory-adattáráról. A RODC-kiszolgálók ideálisak a fiókirodák igényeinek kiszolgálására, amikor a tartományvezérlő fizikai biztonsága nem szavatolható. A jelszavak kivételével a RODC-kiszolgálók ugyanazokat az objektumokat és attribútumokat tárolják, mint írható tartományvezérlő társaik. Az objektumok és attribútumok egyirányú replikációval jönnek létre, egy írható tartományvezérlő mint replikációs partner közreműködésével. Miután a RODC-kiszolgálók alapértelmezés szerint saját számítógépfiókjuk és a Kerberos Target (krbtgt) fiók kivételével nem tárolnak jelszavakat vagy hitelesítési adatokat, a felhasználókat és számítógépeket hitelesítő adatokat Windows Server 2008 operációs rendszert futtató, írható tartományvezérlőről töltik le. Amennyiben az írható tartományvezérlői jelszó replikációs házirendje azt engedélyezi, a RODC kiolvassa, majd szükség szerint tárolja a hitelesítési adatokat, míg azok meg nem változnak. Mivel a RODC-kiszolgáló csak a hitelesítési adatok egy részét tárolja, az esetlegesen kompromittálható hitelesítési adatok száma is korlátozott. Tipp Bármely tartományi felhasználó delegálható a RODC-kiszolgáló helyi rendszergazdájaként anélkül, hogy bármilyen további jogosultságot kapna a tartományon belül. A RODC-kiszolgálók nem üzemelhetnek globális katalógusként vagy műveleti főkiszolgálói szerep tulajdonosaként. Bár a RODC-kiszolgálók képesek a Windows Server 2008 rendszert futtató tartományvezérlőkről információt letölteni, a tartományi partíciót kizárólag az ugyanabban a tartományban elhelyezkedő, Windows Server 2008 rendszert futtató, írható tartományvezérlőről képesek aktualizálni. 15
I. rész: A Windows Server 2008 felügyeletének alapjai Munka az újraindítható Active Directory tartományszolgáltatásokkal Az újraindítható Active Directory tartományszolgáltatások lehetővé teszik, hogy a rendszergazda leállítson vagy elindítson AD DS-szolgáltatásokat. A tartományvezérlőkön a Services konzolban megjelennek az Active Directory tartományszolgáltatások, így az AD DS-szolgáltatásokat ugyanolyan egyszerűen elindíthatjuk vagy leállíthatjuk, mintha csak a kiszolgálón futó helyi szolgáltatások volnának. Az AD DS leállítását követően elvégezhetünk olyan karbantartási feladatokat, amelyek máskülönben a kiszolgáló újraindítását igényelnék; ilyen például az Active Directory-adatbázis kapcsolat nélküli töredezettségmentesítése, az operációs rendszer frissítése, vagy hiteles helyreállítás elindítása. Mialatt az AD DS szolgáltatás szünetel a kiszolgálón, más tartományvezérlők végzik el a hitelesítéssel és bejelentkezésekkel kapcsolatos feladatokat. A hitelesítési adatok gyorstárazása, az intelligens kártyák, a biometrikus bejelentkezési eljárások továbbra is működnek. Ha nem érhető el más tartományvezérlő, de e bejelentkezési eljárások egyikére sincs szükségünk, a kiszolgálóra továbbra is bejelentkezhetünk a címtárszolgáltatás-helyreállítási üzemmódban használt fiókkal és jelszóval. Valamennyi Windows Server 2008 rendszert futtató tartományvezérlő támogatja az újraindítható Active Directory tartományszolgáltatásokat még a RODC-kiszolgálók is. Rendszergazdaként az AD DS-szolgáltatásokat a Services segédprogram Domain Controller bejegyzésén keresztül indíthatjuk el vagy állíthatjuk le. Az újraindítható Active Directory miatt a Windows Server 2008 rendszert futtató tartományvezérlőknek három állapota lehetséges: Az Active Directory-szolgáltatás fut Az Active Directory-szolgáltatás fut; a tartományvezérlő futási állapota megegyezik egy Windows 2000 Server vagy Windows Server 2003 rendszert futtató tartományvezérlő állapotával. Ebben az állapotban a tartományvezérlő képes a tartományban hitelesítési és bejelentkezési szolgáltatásokat biztosítani. Az Active Directory-szolgáltatás leállt Az Active Directory-szolgáltatás leállt; a tartományvezérlő nem képes a tartományban hitelesítési és bejelentkezési szolgáltatásokat biztosítani. Ez az üzemmód ötvözi a tagkiszolgálók és a címtárszolgáltatás-helyreállítási üzemmódban futó tartományvezérlők egyes jellemzőit. A tagkiszolgálóhoz hasonlóan, a ki- 16
1. fejezet: A Windows Server 2008 felügyeletének áttekintése szolgáló be van léptetve a tartományba. A felhasználók interaktív módon tudnak bejelentkezni, a gyorsítótárban lévő hitelesítési adatok, intelligens kártyák vagy biometrikus bejelentkezési eljárások segítségével. A felhasználók a hálózaton keresztül is be tudnak jelentkezni, egy másik tartományvezérlőt használva a tartományi bejelentkezéshez. Akár a címtárszolgáltatás helyreállítási üzemmód esetében, az Active Directory-adatbázis (Ntds.dit) a helyi tartományvezérlőn kapcsolat nélküli állapotban van. Ezt azt jelenti, hogy végrehajthatunk kapcsolatot nem igénylő AD DS-műveleteket, például töredezettségmentesíthetjük az adatbázist, vagy alkalmazhatjuk a biztonsági frissítéseket anélkül, hogy újra kellene indítanunk a tartományvezérlőt. Címtárszolgáltatás-helyreállítási üzemmód Az Active Directory-szolgáltatás helyreállítási üzemmódban van. A tartományvezérlő helyreállítási állapota megegyezik egy Windows Server 2003 rendszert futtató tartományvezérlő helyreállítási állapotával. Az üzemmód lehetővé teszi az Active Directory-adatbázis hiteles vagy nem hiteles helyreállítását. Amikor az AD DS-szolgáltatásokat leállítjuk, ne feledjük, hogy a függő szolgáltatások is leállnak! Ez azt jelenti, hogy a fájlreplikációs szolgáltatás (FRS File Replication Service), a Kerberos kulcsszolgáltató (KDC Key Distribution Center) és a helyek közötti üzenetküldő szolgáltatás (IM Intersite Messaging) még az Active Directory-szolgáltatás leállása előtt leállnak de ha futnak is, függő szolgáltatásként az Active Directory-szolgáltatás újraindításakor ezek is újraindulnak. Mi több, a tartományvezérlőt újraindíthatjuk ugyan címtár-visszaállítási üzemmódban, de nem indíthatjuk el, ha az Active Directory-szolgáltatás leállt. Ahhoz, hogy leállított üzemmódba jussunk, először indítsuk el normál módon a tartományvezérlőt, majd állítsuk le az AD DS-szolgáltatást. Névfeloldási szolgáltatások A Windows operációs rendszerek névfeloldási szolgáltatással teszik egyszerűbbé a hálózat más számítógépeivel történő párbeszédet. A névfeloldás számítógépneveket társít a hálózati kommunikációban használt numerikus IP-címekhez. Így hosszú számjegy-kombinációk helyett a felhasználók a hálózat számítógépeit könnyen megjegyezhető nevekkel azonosíthatják. 17
I. rész: A Windows Server 2008 felügyeletének alapjai A Windows Vista és a Windows Server 2008 három névfeloldási rendszert támogat natív módon, ezek: A tartománynévrendszer (DNS Domain Name System) A Windows internetes névszolgáltatás (WINS Windows Internet Name Service) A kapcsolati szintű csoportos névfeloldás (LLMNR Link-Local Multicast Name Resolution) A következő részben ezekkel a szolgáltatásokkal foglalkozunk. Munka a tartománynévrendszerrel (DNS) A DNS olyan névfeloldási szolgáltatás, amely a számítógépek nevét IPcímekre fordítja le. Amikor DNS-t használunk, teljes minősített állomásneveket (például computer84.cpandl.com) fordíthatunk le IP-címekre, amelyek segítségével azután számítógépeink összeköttetésbe tudnak lépni. A DNS-szolgáltatás a TCP/IP protokollrendszer felett működik, és lehetőségünk van a WINS-szolgáltatással, a dinamikus állomáskonfiguráló protokollal (DHCP Dynamic Host Configuration Protocol), és az Active Directory-protokollokkal történő együttes használatára is. A 19. fejezetben (DHCP-ügyfelek és -kiszolgálók futtatása) látni fogjuk, hogy a DHCP-protokollt dinamikus IP-címzésre és TCP/IP-konfigurálásra használhatjuk. A DNS-szolgáltatás a számítógépek csoportjait tartományokba szervezi. Ezek a tartományok hierarchikus struktúrába rendeződnek, és lehetnek internetléptékűek a nyilvános hálózatok esetén, vagy vállalati léptékűek privát hálózatok esetén (ezeket extranet, illetve intranet névvel is illetjük). A hierarchia egyes szintjei egyedi számítógépeket, szervezeti tartományokat, vagy legfelső szintű tartományokat azonosítanak. A computer84.cpandl.com teljes minősített állomásnév esetében például a computer84 egy számítógép állomásneve, a cpandl a szervezeti tartomány, míg a com a legfelső szintű tartomány. A legfelső szintű tartományok a DNS-hierarchia gyökerénél helyezkednek el, és ezért gyökértartománynak is nevezzük őket. Ezen tartományok a DNS-ben földrajzilag, szervezeti típusok szerint, illetve funkciójuk szerint is rendezetten szerepelnek. A normál tartományokat, amilyen például a microsoft.com, szülőtartományoknak is nevezik. 18
1. fejezet: A Windows Server 2008 felügyeletének áttekintése Nevüket onnan kapták, hogy ők egy szervezeti struktúra szülői. A szülőtartományok további altartományokra oszthatók egy szervezet különböző csoportjai vagy részlegei számára. Az altartományokat gyakran gyermektartományoknak nevezzük. Egy emberi erőforrásokért felelős csoport egyik számítógépének teljes minősített tartományneve (FQDN Fully Qualified Domain Name) lehetne például a jacob.hr.microsoft.com. A példában a jacob az állomásnév, a hr a gyermektartomány, és a cpandl.com a szülőtartomány. Az Active Directory-tartományok DNS-t használnak nevezéktani struktúrájuk megvalósítására. Az Active Directory és a DNS szorosan együttműködnek olyannyira, hogy mielőtt Active Directory-szolgáltatást használó tartományvezérlőket telepíthetnénk a hálózatra, mindenekelőtt a DNS-t kell telepítenünk. Az Active Directory-hálózat első tartományvezérlőjének telepítése közben automatikusan telepíthetjük a DNS-t, amennyiben nem található DNS-kiszolgáló a hálózaton. Ekkor azt is megadhatjuk, hogy szeretnénk-e teljesen integráltan kezelni a DNS és az Active Directory-szolgáltatásokat. Általában helyesen járunk el, ha mindkét felkínált lehetőségre igennel válaszolunk. A teljes integrálás ugyanis azt jelenti, hogy a DNS-információk közvetlenül az Active Directoryban tárolódnak. Ez lehetővé teszi, hogy kihasználjuk az Active Directory képességeit. Fontos tehát jól megértenünk a részleges és teljes integrálás közötti különbséget. Részleges integrálás Részleges integrálás esetén a tartomány szabványos állományokban tárolja az adatokat. Ilyenkor a DNS-információt.dns kiterjesztésű szöveges állományok tartalmazzák, amelyek alapértelmezett helye a %SystemRoot%\System32\Dns könyvtár. A DNS frissítései egyetlen hiteles DNS szerveren keresztül történnek. Ez a kiszolgáló a tartomány vagy zóna egyes altartományaiért vagy területeiért felel. Azon ügyfeleket, amelyek a dinamikus DNS-frissítést DHCP-n keresztül végzik, kötelező a zónáért felelős elsődleges DNSkiszolgáló megadásával konfigurálni. Ha nem így járunk el, akkor DNS-bejegyzéseik nem frissülnek. Hasonlóképpen, nem lehetséges DHCP-n keresztül a dinamikus frissítés, ha az elsődleges DNS-kiszolgáló nem elérhető. Teljes integrálás Teljes integrálás esetén a tartomány címtárorientált tárolási módszereket alkalmaz. Ekkor a DNS-információkat közvetlenül az Active Directoryban tároljuk, és rendelkezésre állnak a dnszone objektum konténerén keresztül. Mivel az információ ilyenkor az Active 19
I. rész: A Windows Server 2008 felügyeletének alapjai Directory része, bármely tartományvezérlő hozzáférhet, és a DHCP-n keresztül érkező információkat akár decentralizált módon is frissíthetjük. Ez lehetővé teszi, hogy bármilyen tartományvezérlő, amely DNS-kiszolgálóként is funkcionál, képes legyen dinamikus frissítéseket kezdeményezni. Továbbá, azon ügyfelek, amelyek dinamikus DNS-frissítéseket használnak, a zónában található bármely DNS-szerverhez fordulhatnak. A teljes integrálás további előnye, hogy a címtárbiztonság hagyományos módszereivel korlátozhatjuk a hozzáférést a DNS-információkhoz. Ha megnézzük, hogyan történik a DNS-információk replikálása a hálózaton, még több előnyét vehetjük észre a teljes integrálásnak. Részleges integrálás esetén a DNS-információkat az Active Directorytól elkülönülten tároljuk és replikáljuk. Mivel ilyenkor két különböző adatstruktúrát is karban kell tartanunk, mind a DNS, mind pedig az Active Directoryszolgáltatás hatékonysága csökken. Mivel a DNS a változások replikálásában kevésbé hatékony, mint az Active Directory, egy ilyen konfiguráció esetén megnőhet a hálózati forgalom, és a változásoknak a teljes hálózaton történő replikálásához szükséges idő. A DNS-szolgáltatás hálózati működtetéséhez be kell állítanunk a DNSügyfeleket és -kiszolgálókat. Amikor a DNS-ügyfeleket beállítjuk, megadjuk számukra a hálózaton működő DNS-kiszolgálók IP-címét. E címek segítségével az ügyfelek kapcsolatba léphetnek a DNS kiszolgálókkal, függetlenül attól, hogy a kiszolgálók a hálózat melyik alhálózatán helyezkednek el. Ha a hálózat DHCP protokollt használ, rendelkeznünk kell a DHCP és a DNS együttműködéséről. Ehhez a DHCP hatóköri beállításai között a 006 DNS Servers és 015 DNS Domain Name elemeket kell beállítanunk, a 19. fejezetben, a Hatókör-beállítások konfigurálása című részben leírtaknak megfelelően. Ezenkívül, ha a hálózatban található számítógépeket más Active Directory-tartományokból is elérhetővé szeretnénk tenni, külön DNS-rekordot kell számukra létrehoznunk. A DNS-rekordokat zónákba szervezzük, ahol egy zóna egy, a tartományon belül található területet jelent. A DNS-kiszolgáló beállításának módját a 20. fejezetben, az Elsődleges DNS-kiszolgáló konfigurálása című részben mutatjuk be. Amikor a DNS-kiszolgáló szolgáltatást írásvédett tartományvezérlőre telepítjük, a RODC képes letölteni egy csak olvasható másolatot a DNS által használt valamennyi alkalmazás címtárpartícióról, beleértve a ForestDNSZones és DomainDNSZones partíciókat is. Ettől kezdve az ügyfelek ugyanúgy kérhetnek névfeloldást a RODC tartományvezérlőtől, mint azt bármely más DNS-kiszolgáló esetén tennék. Azonban a RODC 20
1. fejezet: A Windows Server 2008 felügyeletének áttekintése tartományvezérlő DNS kiszolgálója nem támogatja a közvetlen frissítést. Ez azt jelenti, hogy a RODC nem regisztrál névkiszolgáló (NS Name Server) erőforrásrekordokat a hozzá tartozó címtárba integrált zónákban. Amikor egy ügyfél egy írásvédett tartományvezérlőről próbálja meg frissíteni a DNS-rekordjait, a kiszolgáló átirányítja az ügyfelet egy frissítéshez is elérhető DNS-kiszolgálóhoz. Az írásvédett tartományvezérlőn futó DNS-kiszolgáló a frissített rekordot háttérfolyamatként futó különleges replicate-single-object lekérdezésen keresztül kapja meg egy olyan DNS-kiszolgálótól, amely hozzájut a frissítéshez. A Windows internetes névszolgáltatás (WINS) használata A WINS egy névfeloldási szolgáltatás, amely a számítógépek nevét IPcímekre fordítja le. A WINS segítségével a COMPUTER84 számítógépnevet olyan IP-címmé lehet alakítani, amellyel a Microsoft-hálózaton lévő számítógépek megtalálják egymást, és képesek információcserére. A WINS a TCP/IP alatt támogatja a NetBIOS-t (Network Basic Input/Output System a hálózati alapszolgáltatások rendszere) használó alkalmazásokat, például a NET parancssori segédprogramokat és a Windows 2000 előtti rendszereket. Ha a hálózatunkon nincs Windows 2000-nél régebbi rendszer vagy alkalmazás, nem kell használnunk a WINS-t. A WINS optimális működési környezete a kiszolgáló-ügyfél architektúra. Ilyenkor a WINS-ügyfél névfeloldási lekérdezéseket küld a WINS-kiszolgálóknak, a WINS-kiszolgálók pedig erre válaszolnak. A WINS-lekérdezések és más információk cseréjére a számítógépek a NetBIOS-t használják. A NetBIOS olyan API (alkalmazásprogramozási felület), amelynek segítségével a hálózatba kötött számítógépek kommunikálnak. A NetBIOS alkalmazások az IP-címekhez számítógépneveket a WINS vagy a helyi LMHOSTS-állomány segítségével rendelnek. A Windows 2000 előtti rendszereken a WINS az elsődleges névszolgáltatás. A Windows 2000 hálózatokon az elsődleges névszolgáltató már a DNS, míg a WINS új szerepet kap. Mi ez az új szerep? Lehetővé tenni, hogy a régebbi rendszerek olvasni tudják a hálózati erőforrások listáit, és hogy a Windows 2000 és az újabb rendszerek megkereshessék a NetBIOS-erőforrásokat. A WINS névfeloldás elindítása előtt be kell állítanunk a WINS kiszolgálókat és -ügyfeleket. A WINS-ügyfelek beállítása abból áll, hogy megadjuk a hálózati WINS-kiszolgálók IP-címét. Az IP-cím segítségével 21
I. rész: A Windows Server 2008 felügyeletének alapjai az ügyfelek kommunikálhatnak a hálózaton lévő bármely WINS-kiszolgálóval; az sem baj, ha a kiszolgáló másik alhálózaton helyezkedik el. A WINS-ügyfelek az üzenetszórás módszerét is használhatják, ami azt jelenti, hogy az ügyfél a helyi hálózati szegmens valamennyi más számítógépének IP-cím-lekérdező üzenetet küld. Az üzenetszórásnak köszönhetően a WINS kiszolgálóra nincs szükség. Minden olyan ügyfélprogram, amely nem támogatja a WINS-t, de ismeri ezt a fajta üzenetszórást, ilyen módon is lefordíthatja a neveket IP-címekké. Amikor az ügyfelek WINS-kiszolgálókkal kommunikálnak, három fő részből álló munkamenetet kezdeményeznek: Névbejegyzés Névbejegyzéskor az ügyfél megadja a kiszolgálónak számítógépnevét és IP-címét, és kéri, hogy a kiszolgáló vegye fel a WINSadatbázisba. Ha a megadott számítógépnév és IP-cím még nem foglalt a hálózaton, a WINS-kiszolgáló elfogadja a kérelmet, és bejegyzi az ügyfelet a WINS-adatbázisba. Névmegújítás A névbejegyzés élettartama véges. Az ügyfél csupán meghatározott ideig használhatja a nevét és címét; ezt hívjuk címbérlésnek. Az ügyfélnek a megadott idő letelte után meg kell újítania címbérletét; ezt az időt hívjuk megújítási időnek. Ez idő alatt az ügyfélnek újra névbejegyzést kell kérnie a WINS-kiszolgálótól. Névfelszabadítás Ha az ügyfél nem tudja megújítani a bérletet, a névbejegyzés felszabadul, így más hálózati rendszer használhatja a számítógépnevet vagy az IP-címet, esetleg mindkettőt. A nevek akkor is felszabadulnak, ha leállítjuk a WINS-ügyfelet. Miután az ügyfél munkamenetet kezd a WINS-kiszolgálón, kérheti a névfeloldási szolgáltatást. A számítógépnevek IP-címmé történő leképzésének módszerét a hálózati beállítások határozzák meg. A névfelbontásra az alábbi négy módszer kínálkozik: b-csomópont (broadcast node üzenetszóró csomópont) Szórt üzeneteket használ a számítógépnevek IP-címekké történő fordításához. A névfeloldást igénylő számítógép a helyi hálózat valamennyi állomására elküld egy üzenetet, amelyben kéri a számítógépnévhez tartozó IP-címet. Több száz vagy ezer számítógépet számláló hálózatokon az ilyen szórt üzenetek értékes hálózati sávszélességet foglalhatnak le. 22