Windows hálózati adminisztráció Tantárgykódok: MIN6E0IN MIN4A0RFN 3 Göcs László mérnöktanár KF-GAMF Informatika Tanszék 2014-15. tanév tavaszi félév
Helyi profil Azon a gépen tárolva, ahol a felhasználó bejelentkezik Egy alapértelmezett profilból jön létre az első bejelentkezéskor Csak azon a gépen él, ha másik gépen jelentkezik be a felhasználó mást lát Megoldás: központi profil (roaming profile)
Központi profil Bármelyik gépen jelentkezik be a felhasználó, ugyanazt a profilt kapja Egy hálózati megosztásról másolódik le a felhasználó gépére Helyi másolat A profil módosításai visszamásolódnak a megosztásra kijelentkezéskor Hátrány: hálózati forgalom növekedése
Kötelező profil (Mandatory Profile) A felhasználó nem hajthat végre tartós változtatást csak ideiglenesen módosítható, a változások nem tárolódnak a szerveren Több felhasználó ugyanazt a profilt használja Előny: ellenőrzött profil, kisebb hálózati forgalom
Super Mandatory Profiles Az alap központi profil beállításnál a felhasználó egy ideiglenes profilt kap (az alapértelmezett alapján), ha a központi nem érhető el Super mandatory profiles a felhasználó nem jelentkezhet be a tartományba, ha a központi profil nem érhető el A profilt tartalmazó könyvtár neve.man-ban kell végződjön
Windows 2012
Windows 2012
Windows 2012
Felhasználói fiókhoz rendelhető képességek Csoportok által, házirenden keresztül Jogok (Privilégiumok) - pl. rendszer leállítása, szg felvétele a tartományba, rendszeróra beállítása, hibakeresés, leállítás távolról/helyben, áll/mappa tulajdonba vétel Bejelentkezési jogok pl. helyileg/távolról/terminálon bejelentkezhet + ugyanez megtagadva
Felhasználói fiókhoz rendelhető képességek Beépített lehetőségek nem változtathatók, pl. felhasználói fiókok létrehozása/törlése/kezelése. Magában foglal privilégiumokat és bejelentkezési jogokat. Hozzáférési engedélyek hálózati erőforrásokon végrehajtható műveletek, pl. állományokat hozhat létre egy mappában. Ezt az NTFS és a megosztási engedélyekkel szabályozzák.
Helyi csoport létrehozása és felhasználói fiók felvétele a csoportba
Windows Server hitelesítési modell Bejelentkezés a tartományba/helyi gépre Név + jelszó vagy Intelligens kártya A bejelentkezés hitelesítése Helyi fióknál helyben helyi erőforrások elérése Tartományi fióknál az AD alapján a DC hitelesít helyi és tartományi erőforrások elérése Hálózati hitelesítés Tartományi bejelentkezésnél automatikus Helyi bejelentkezés esetén a tartományi erőforrás eléréséhez mindig meg kell adni az azonosító adatokat
Globális katalógus Kiterjesztett szerepkörű tartományvezérlő Információ az erdő összes objektumáról (pl. univerzális csoporttagság) Az első DC egyben GC-is GC hiányában korlátozott bejelentkezési lehetőség Active Directory Sites and Services A saját tartományára vonatkozó információk mellett információkat tárol az erdő összes objektumáról. Nem az összes információt, hanem amit gyakrabban keresni szoktak és az univerzális csoporttagságot, mert az kell a bejelentkezéshez
Egyedi főkiszolgáló műveletek Erdő szintű Séma főkiszolgáló (Schema master) dsquery server hasfmo schema Tartománynév nyilvántartási főkiszolgáló (Domain Naming Master) dsquery server hasfmo name Tartomány szintű RID (Relative IDentifier) főkiszolgáló dsquery server hasfmo rid7 PDC emulátor Tartományszintű műveleti főkiszolgáló dsquery server hasfmo pdc Infrastruktúra főkiszolgáló dsquery server hasfmo infr
Az aktív címtár és a kapcsolódó adatok tárolása %SYSTEMROOT%\NTDS NTDS.DIT (Directory Information Tree) maga a címtár EDB.LOG tranzakciónapló EDB.CHK tranzakció kiegészítő infók TEMP.EDB SYSVOL mappa megosztott Bejelentkezéskor az ügyfelek által letöltött fájlok Csoportházirend fájlok és sablonok (Policies) Bejelentkezési szkriptek Tartalmát a File Replication Service szinkronizálja
Megosztott mappák és nyomtatók közzététele a címtárban Active Directory Users and Computers Minden közzétett megosztáshoz egy címtár objektum Nincs ellenőrzés Az eredeti hely elfedve Előny: Minden egy helyen A felhasználó nem kell tudja az igazi helyet Az erőforrás más IP alhálózaton is lehet Nincs szükség az üzenetszórásos számítógép tallózó szolgáltatásra erőforrás igény csökkenése
Címtár partíciók A partíció egy egységként replikálódik 1. Séma p. az osztály és attribútum leírásokat tartalmazza. Ez közös az egész erdőre nézve. Minden DC-n és minden globális katalógusban tárolódik. 2. Konfigurációs p. címtár topológia, replikációs topológia és metaadatok. Ez közös az egész erdőre nézve. Minden DC-n tárolódik. 3. Tartomány p. tartományi szintű objektumokra vonatkozó adatok. Csak a tartomány DC-in tárolódik 4. Alkalmazás p. alkalmazáshoz kötődő. A rendszergazda által testreszabott replikációs egység. Pl. megszabható a DNS információk replikálásának korlátozása.
Replikáció és tartományvezérlők Tartományvezérlő: az AD-t tároló Windows Server operációs rendszerű számítógép Az AD elosztott tárolása: több DC is jelen lehet egy tartományban. Bármelyiken végrehajtható módosítás, tartalmuk automatikusan szinkronizálódik. Ez a több főkiszolgálós (multimaster) replikáció. Replika: az egyes példányok. Ütközés esetén a későbbi módosítást tekinti érvényesnek. Mivel a szinkronizálás nem azonnali, ezért a címtárban ún. laza konzisztencia áll fenn. Más szóval rövid ideig a a címtár lehet nem konzisztens.
Replikáció Más tartomány DC-ire séma és konfigurációs adatok A replikáció folyamata és konfigurációja automatikus Adatátvitel csak adatváltozást követően, csak új adat utazik Replikáció konfiguráció: DC-k feltérképezése és kapcsolatok kialakítása
Replikációs topológia Meghatározza, hogy az egyes DC-k mely más DC-kel kerülnek replikációs kapcsolatba A Knowledge Consistency Checker hozza létre az Active Directory helyek és szolgáltatások programban megadottak alapján Új DC telepítését követően a KCC újradefiniálja a topológiát Minden AD partícióhoz külön topológia Gyűrűs, kétirányú, minden DC-nél legalább 2 kapcsolat, két DC között legfeljebb 3 lépés
Telephely Olyan számítógép csoportot fog össze, amelynek tagjai között nagy sebességű ( 10 Mb/sec) és megbízható kapcsolat áll rendelkezésre Egy telephelyen belül több IP alhálózat is lehet A telephely a hálózat fizikai felépítését tükrözi A tartomány a szervezet logikai felépítését tükrözi
Replikáció telephelyen belül Nagy sebesség, állandó kapcsolat Tömörítés nélkül Gyors frissítés változásértesítést követően Gyakoribb replikáció
Replikáció telephelyek között Alacsonyabb sebesség, nincs állandó kapcsolat Frissítés 3 óránként (az időköz állítható) Tömörített adatátvitel
Számítógépek telephelyhez rendelése Active Directory helyek és szolgáltatások IP cím alapján 1. Telephely létrehozása 2. Szerverek konténerbe felvesszük a DC-t 3. Alhálózatok konténerbe bejegyezzük az IP alhálózatokat 4. Az IP alhálózat tulajdonság lapján hozzárendeljük a telephelyhez
Csoportházirend
Csoportházirend Helyi csoportházirend: Alapból csak egy GPO: gépre/felhasználóra vonatkozó beállítások LGPO GPEDIT.MSC közvetlenül ír a rendszerleíró adatbázisba Felhasználókra és csoportokra külön GPO-kat hozhatunk létre MMC beépülő modulokkal Tartományi csoportházirend: Tartományi gépekre vonatkozó beállítások A GPO-kat egy tárolóhoz (pl. SzE) kapcsolhatjuk GPMC.MSC (Group Policy Management Console Szolgáltatás hozzáadása varázslóval telepíthető) Felülírja a helyi házirendet
Beállítások érvényesítése Automatikus frissítés Szerveren 5 percenként Ügyfélgépen 90 percenként Kikényszerített frissítés tartományban gpupdate A ki/bejelentkezéshez indításhoz/leállításhoz kapcsolódó parancsállományok csak a következő ilyen esemény bekövetkezésekor fognak lefutni
A csoportházirend működése Egy GPO két részből áll Gépre vonatkozó beállítások bárki jelentkezik be Felhasználóra vonatkozó beállítások bárhol jelentkezik be Mindig egy tárolóhoz rendelve hozzuk létre, de később további tárolókhoz is hozzárendelhetjük Alapelvek: Minél kevesebb legyen a GPO-k száma - áttekinthetőség Minden összetartozó beállításcsoport számára hozzunk létre GPO-t finomabb szabályozás
Öröklődés A szülő konténer beállításait a gyerek konténer örökli Ha több GPO van egy szinten, akkor az alacsonyabb rangú lesz először feldolgozva Ha nincs ütközés, akkor az összes szinten megadott beállítássor uniója érvényesül
Melyik érvényesül? Ha különböző szinteken eltérő beállítások vannak, akkor az utolsóként feldolgozott érvényesül 1. Helyi házirend, helyi rendszergazdai, nem rendszergazdai, felhasználói 2. Telephely szintű házirend 3. Tartomány szintű házirend 4. Szervezeti egység szintű házirend szülő konténertől levél objektum irányában haladva sorban egymás után
Az öröklődés módosítható Megszakítással a tartalmazott objektum nem veszi át (örökli) az őt tartalmazó objektum beállításait (csak az adott szinten beállított házirend érvényesül) Kikényszerítéssel hiába van beállítva a gyerek objektumban a megszakítás Az egy tárolóhoz rendelt GPO-k hivatkozási sorrendjének módosításával Az öröklés felülbírálásával ha nincs kikényszerítés (letiltjuk a házirendet az alacsonyabb szinten)
Csoportházirend hatásának szűrése Minden GPO-hoz ACL hozzáférés vezérlési lista Egy GPO csak akkor érvényesül, ha a szabályozás tárgya (szg/fh) olyan biztonsági csoportnak a tagja, amelyik Olvasás/Alkalmazás joggal rendelkezik a GPO-hoz WMI szűrő: memória mennyisége, CPU, program megléte, javító csomag megléte dönti el, hogy érvényesül-e a GPO
Lépések 1. OS indulás Számítógéphez rendelt GPO végrehajtása Indítási szkript végrehajtása 2. Felhasználó bejelentkezése Felhasználói GPO Bejelentkezési szkript GPO-ban megadott szkript Fiókhoz közvetlenül rendelt szkript
Alapértelmezett GPO Telepítéskor automatikusan jön létre Alapértelmezett tartományi házirend a teljes tartományra hat Alapértelmezett tartományvezérlői házirend csak a tartományvezérlőre hat
Csoportházirendek Központi vezérlést biztosítanak a felhasználók és a számítógépek hozzáférési engedélyei, jogosultságai és lehetőségei felett Mire jó? Hozzáférés szabályozás Szkript futtatás Központilag kezelt mappák a speciális könyvtárak számára Szoftvertelepítés Biztonsági beállítások
Hozzáférés szabályozás Operációs rendszerre vonatkozó beállítások: Start menü és asztal egyes ikonjainak eltávolítása/engedélyezése, Vezérlőpult és annak elemeihez történő hozzáférés, parancssor letiltása, rendszerleíró adatbázis közvetlen szerkesztésének engedélyezése/tiltása, rendszerszolgáltatások engedélyezése/tiltása, alkalmazások futtatásának tiltása Hálózatra vonatkozó beállítások: DNS, tűzfal, vezeték nélküli hálózat beállítása Nyomtató beállítása Internet Explorer: proxy, biztonsági beállítások, kedvencek, beállítási fülek engedélyezése és tiltása
Szkript futtatás A gép be/kijelentkezésekor A felhasználó be/kijelentkezésekor A DC SYSVOL mappájában tárolva Nem azonos a felhasználó tulajdonságainál megadott szkripttel Egy eseményhez több szkript is rendelhető
Központilag kezelt mappák a speciális könyvtárak számára AppData, Asztal, Dokumentumok, Képek, Zene, Videók, Kedvencek, Partnerek, Hivatkozások mappájának központi tárolása A Dokumentumok mappa helyileg gyorstárazható, így kapcsolat nélkül is tovább dolgozhat a felhasználó. Csatlakozás után automatikus szinkronizálás. Megoldások Egy speciális mappa átirányítása minden felhasználó esetén egy központi helyre Helyek megadása csoporttagság alapján
Szoftvertelepítés MSI formátumú csomagok automatikus telepítése, automatikus frissítés Telepítési módok Felhasználó bejelentkezésekor automatikusan Gép bejelentkezésekor automatikusan Felhasználó által kézzel felhasználói közzététel Szoftvertelepítési GPO-t hozunk létre, majd azt hozzárendeljük a tárolóhoz
Felhasználói közzététel A szoftver valójában automatikusan települ, ha A felhasználó megnyit egy dokumentumot, amihez szükséges a szoftver A felhasználó megnyit egy parancsikont, ami az alkalmazásra mutat Egy másik szoftver igényli a szoftver valamely összetevőjét Elosztópont: a telepítéshez szükséges állományokat tartalmazó megosztott mappa vagy olyan megosztott mappa, ahol ún. rendszergazdai telepítéssel előtelepítették a szoftvert (pl.office)
Biztonsági beállítások Jelszóházirend: minimális hossz, bonyolultság, min/max élettartam Fiókzárolási házirend: hibás bejelentkezések maximális száma Naplózás, Felhasználói jogok (pl. távoli bejelentkezés) Jogosultság hozzárendelés Sablonok is használhatók
Default policy
Hardver tiltás
Saját GP csoportnak
Megosztások a tartományban
Megosztások közzététele Active Dirtectory tartomány címtárában A hálózatban található megosztott könyvtárakat és nyomtatókat közzétehetjük (Windows 2000 előtti rendszerekét is) az Active Directory tartomány címtárában, egy helyen központosítva. A módszer előnye az áttekinthetőségen kívül, hogy feleslegessé válik az erőforrás pazarló NetBIOS protokoll rendszer használata.
Megosztások közzététele Active Dirtectory tartomány címtárában A megosztás helyének nem feltétlenül kell egy tartományi gépen lenni. Ezzel megvalósítható egy központi nyilvántartás, minden egy helyen elérhető nem kell keresgélni a hálózatban
Megosztások közzététele Active Dirtectory tartomány címtárában A NetBIOS hálózati szolgáltatást használó gépek üzenetszórásokkal közlik a többi géppel, hogy beléptek a hálózatba, ezeket minden gép megkapja. Működik még egy tallózó szolgáltatás is üzenetszórásokkal annak ellenőrzésére, hogy milyen hálózati erőforrások érhetők el.
Megosztások közzététele Active Dirtectory tartomány címtárában Sok gépes hálózati környezetben, ha minden gép ezeket a módszereket alkalmazza, nagy terhelést ró a hálózati hardverre, jelentős kapacitást igényelve. Címtárban való közzététel másik előnye, hogy nélkülözhetővé válik a NetBIOS.
Megosztások közzététele Active Dirtectory tartomány címtárában Miután felvettük a megosztott erőforrást, ennek meglétére vonatkozó ellenőrzés nem történik. Tegyük fel, hogy kikapcsoljuk a hozzá tartozó számítógépet, ennek ellenére a címtárban megmarad a megosztás. Ha megpróbáljuk megnyitni, egy hibaüzenetet kapunk (pl.: "A hálózatnév nem található").
DFS Distributed File System elosztott fájlrendszer
Miért van szükségünk az elosztott fájlrendszerre? A legtöbb számítógépes hálózatban a felhasználók adataikat központi kiszolgálók megosztott mappáiban tárolják. Minden ilyen hálózatban előbb vagy utóbb bekövetkezik az a kényes szituáció, hogy a megosztott mappákat másik, újabb, nagyobb teljesítményű kiszolgálóra kell mozgatnunk a régi szerver más célokra még a hálózatban marad, azaz a megosztott mappa nevében található szervernév megváltozik.
Miért van szükségünk az elosztott fájlrendszerre? Mi legyen a felhasználók gépein hemzsegő hálózati meghajtókkal Parancsikonokkal Beállításokkal sok-sok hivatkozással amelyek mind-mind a régi útvonalat tartalmazzák? A közös névtér egyik előnye, hogy a megosztott mappák valódi útvonalát elrejti a felhasználók elől, így egy-egy ilyen változtatás nem okoz pluszmunkát az ügyfélgépek oldalán.
A DFS szolgáltatás üzemmódjai Stand-Alone DFS: azaz önálló DFS kiszolgáló. Ebben az esetben a DFS szolgáltatás a névtér információit a DFS kiszolgáló regisztrációs adatbázisában tárolja. Maga a névtér gyökere (DFS root) is a DFS kiszolgálón keresztül érhető el, ha ez a kiszolgáló nem elérhető, a DFS halott.
Stand-Alone DFS
A DFS szolgáltatás üzemmódjai Domain DFS: azaz tartományi DFS kiszolgáló. Ilyenkor a DFS szolgáltatás adatai értelemszerűen az Active Directory-ban találhatók. Tartományi DFS esetén is kell legalább egy kiszolgáló, ami a DFS gyökér egy példányát kiszolgálja, de ebben az üzemmódban maga a DFS gyökér is többszörözhető (azaz gyökérreplikák is rendelkezésre állnak) persze minden replikának különálló kiszolgálóra kell kerülnie.
Domain DFS
A DFS szolgáltatás üzemmódjai Üzemmódtól függetlenül szabály, hogy egy kiszolgálón csak egy DFS gyökér lehet, a tartományon belül több DFS gyökeret is létrehozhatunk (nyilván mindegyiknek másik kiszolgálóra kerül a replikája). A kétféle DFS szolgáltatás egyébként nagyon jól megfér egymás mellett, sőt, ezeket kombinálhatjuk is.
FRS File Replication Service
FRS A Windows tartományvezérők rendszermappáinak megosztásait már régóta külön erre a célra készült rendszerszolgáltatások szinkronizálgatják. A Windows 2000 fájlreplikációs szolgáltatása (FRS) azonban nem csak a tartományi adatbázis (azaz a SYSVOL könyvtár) replikálására használható, hanem a DFS mappák replikái közötti szinkronizálásra is.
FRS A File Replication Service minden Windows 2000 Server-ben megtalálható, de automatikusan csak a tartományvezérlőkön indul el. Ha a DFS-ben engedélyezzük a replikációt egy nemtartományvezérő Windows 2000 Server felé, az automatikusan átállítja a szolgáltatás indítási paramétereit és el is indítja azt.
FRS működése Az FRS az Active Directory-replikációhoz nagyon hasonló replikációs szolgáltatást végez. A rokonság olyan szoros, hogy többek között az FRS is figyelembe veszi az Active Directory telephelyek (site-ok) beállításait, a replikációs linkek adatait, és a címtár szinkronizációjával egyidejűleg működik.
FRS működése Ez azt is jelenti, hogy ha a szinkronizálandó megosztott mappák két különböző Active Directory-telephelyhez tartozó kiszolgálón találhatók, akkor a fájlok replikációja a telephely-kapcsolattól függő késlekedést szenved (azaz, akár az is előfordulhat, hogy a mappák tartalma például naponta egyszer szinkronizálódik). Míg az Active Directory replikáció telephelyek között tömörített, az FRS az adatokat még a telephelyek közötti replikáció során sem tömöríti.
FRS működése Az FRS egyébként mindig egész fájlokat szinkronizál, tehát nincs szó az adatok részleges replikációjáról. Stratégiailag pedig az utolsó mentés érvényes elvet követi, azaz függetlenül a mentés helyétől. Az a fájl lesz végül a győztes, aminek dátumbélyege a legfrissebb az összes többi között.
Windows 2012
Windows 2012
Windows 2012
Windows 2012
W2012 DFS Replikáció http://www.youtube.com/watch?v=e30ocfbh4yu
Biztonsági mentés
Backup: Biztonsági másolat Restore: Biztonsági másolatból való visszaállítás Recovery: Helyreállítás. Ekkor nemcsak az állományinkat, hanem a rendszerünk működőképességét állítjuk vissza egy korábban elmentett állapotba. Ekkor a mentés és a meghibásodás időpontja közt létrejött adatok elvesznek. Repair: Javítás. A meghibásodott, részben vagy egészben tönkrement állományok, esetleg a teljes rendszer javítása.
Storage server: biztonsági másolatokat vagy archívumokat tároló számítógép Redundancia: Szó szerint terjengősség. Olyan többletinformáció, többlet-adat, amelyet biztonsági, vagy más okból az eredeti információhoz, adathoz fűzünk hozzá vagy tárolunk mellette. Az ok nélküli, haszontalan redundancia természetesen nem jó. Tömörítés: Eljárás, amely ugyanazon információt kisebb jelsorozattal próbálja ábrázolni.
A biztonsági mentés teljesítményének mérése, mérőszámai Egyszeri mentés lefutási ideje Visszaállítás időigénye Visszaállítható időtáv, mentés gyakorisága, ütemezése Elfoglalt tárhely aránya az adatmennyiséghez képest
Mentési szintek Teljes lemez mentése (bájtszinten) - alacsony szintű backup Alaprendszer mentése (Windows mappa, system32 mappa, stb.) Adott fájlok, mappák mentése (felhasználói adatok, e- mailek, stb.) Alkalmazás-specifikus mentés - magas szintű backup,
Teljes (normál) mentés A rendszer minden adata válogatás nélkül mentésre kerül. A mentési folyamat ezért egyszerű, ellenben sok ideig tart és sok tárterület szükséges hozzá. Amennyiben adataink olyanok, hogy nem változnak túl sűrűn, a gyakori teljes mentés sok fölösleges adat tárolását okozza. Előnye azonban, hogy a visszaállítás viszonylag gyors.
Inkrementális mentés Alkalmazása esetén nem kerül elmentésre minden adat, hanem csak azok, amelyek egy korábbi mentés óta megváltoztak. Ekkor a visszaállításhoz természetesen több biztonsági mentésre is szükség van. Az inkrementális mentésnek két alapvető fajtája van: a kumulatív és a differenciális mentés. Ezek segítségével többféle mentési stratégia kidolgozható.
Kumulatív (növekményes) mentés: Ezen mentés során mindig az utolsó teljes mentés óta megváltozott adategységek kerülnek elmentésre. A kumulatív mentésekből álló mentési stratégiánál ha egy adategység valamikor megváltozott, akkor az minden kumulatív mentés alkalmával ismételten mentésre kerül egészen a következő teljes mentésig. Visszaállításhoz az eredeti teljes mentésre, és a legutolsó kumulatív mentésre van szükség. A kumulatív mentés gyorsabb a teljes mentésnél és kevesebb helyet is kíván. A differenciális mentésnél azonban lassabb és a tárigénye is nagyobb.
Differenciális (különbségi) mentés: A differenciális mentés során csak az utolsó inkrementális mentés óta megváltozott adategységek kerülnek elmentésre. Ha két teljes mentés között több differenciális mentést végzünk, akkor pl. a második differenciális mentés csak az első óta történt változásokat fogja rögzíteni. Ennek köszönhetően maga a mentés folyamata gyorsabbá válik, és esetenként kevesebb helyet foglal el. Hátránya azonban, hogy a visszaállításhoz a legutolsó teljes mentésre, és az azt követő összes differenciális mentésre szükség van.
Pillanatkép - snapshot készítés: A rendszer teljes állapotáról készítünk egy "pillanatfelvételt". Ilyen például a Windows rendszerekben a visszaállítási pont létrehozása. Ez egy fájl lesz a merevlemezünkön, amely az adott kötet tulajdonságait, programbeállításait tartalmazza, illetve a memória aktuális állapotát.
Biztonsági mentési terv példa Mikor? Milyen? Mit ment? Hétfő Növekményes Vasárnap óta változottakat Kedd Növekményes Hétfő óta változottakat Szerda Növekményes Kedd óta változottakat Csütörtök Növekményes Szerda óta változottakat Péntek Növekményes Csütörtök óta változottakat Szombat Növekményes Péntek óta változottakat Vasárnap Normál Mindent
Tárolóeszköz Szalagos meghajtó: lassú, kevésbé megbízható, olcsó, 24-72 GB Digitális audioszalagos meghajtó: 160-300 GB Automatikus szalagbetöltő rendszer: többmeghajtós, automatikus szalagcsere Merevlemez: leggyorsabb, biztonságos, drágább RAID tömbök: redundáns tárolás
Mentőprogramok Windows Server biztonsági másolat (WS Backup) szolgáltatásként telepíteni kell, normál, másolt vagy növekményes mentés helyi és távoli rendszerről merevlemezre és DVD-re Nem támogatja a különbségi mentést és a szalagos egységet Parancssori biztonsági mentő eszköz: wbadmin
Adatok elosztása vagy Replikálása
RAID A RAID technológia alapja az adatok elosztása vagy replikálása több fizikailag független merevlemezen, egy logikai lemezt hozva létre. Minden RAID szint alapjában véve vagy az adatbiztonság növelését vagy az adatátviteli sebesség növelését szolgálja. A RAID-ben eredetileg 5 szintet definiáltak (RAID 1-től RAID 5-ig). Az egyes szintek nem a fejlődési, illetve minőségi sorrendet tükrözik, hanem egyszerűen a különböző megoldásokat.
RAID 0 A RAID 0 az egyes lemezek egyszerű összefűzését jelenti, viszont semmilyen redundanciát nem ad, így nem biztosít hibatűrést, azaz egyetlen meghajtó meghibásodása az egész tömb hibáját okozza. A megoldás lehetővé teszi különböző kapacitású lemezek összekapcsolását is, viszont a nagyobb kapacitású lemezeken is csak a tömb legkisebb kapacitású lemezének méretét lehet használni (tehát egy 120 GB és egy 100 GB méretű lemez összefűzésekor mindössze egy 200 GB-os logikai meghajtót fogunk kapni, a 120 GB-os lemezen 20 GB szabad terület marad, amit más célokra természetesen felhasználhatunk).
RAID 1 A RAID 1 eljárás alapja az adatok tükrözése (disk mirroring), azaz az információk egyidejű tárolása a tömb minden elemén. A kapott logikai lemez a tömb legkisebb elemével lesz egyenlő méretű. Az adatok olvasása párhuzamosan történik a diszkekről, felgyorsítván az olvasás sebességét; az írás normál sebességgel, párhuzamosan történik a meghajtókon. Az eljárás igen jó hibavédelmet biztosít, bármely meghajtó meghibásodása esetén folytatódhat a működés. A RAID 1 önmagában nem használja a csíkokra bontás módszerét.
RAID 2 A RAID 2 használja a csíkokra bontás módszerét, emellett egyes meghajtókat hibajavító kód (ECC: Error Correcting Code) tárolására tartanak fenn. A hibajavító kód lényege, hogy az adatbitekből valamilyen matematikai művelet segítségével redundáns biteket képeznek. Ezen meghajtók egy-egy csíkjában a különböző lemezeken azonos pozícióban elhelyezkedő csíkokból képzett hibajavító kódot tárolnak. A módszer esetleges lemezhiba esetén képes annak detektálására, illetve kijavítására
RAID 3 A RAID 3 felépítése hasonlít a RAID 2-re, viszont nem a teljes hibajavító kód, hanem csak egy lemeznyi paritásinformáció tárolódik. Egy adott paritáscsík a különböző lemezeken azonos pozícióban elhelyezkedő csíkokból XOR művelet segítségével kapható meg. A rendszerben egy meghajtó kiesése nem okoz problémát, mivel a rajta lévő információ a többi meghajtó (a paritást tároló meghajtót is beleértve) XOR-aként megkapható.
RAID 4 A RAID 4 felépítése a RAID 3-mal megegyezik. Az egyetlen különbség, hogy itt nagyméretű csíkokat definiálnak, így egy rekord egy meghajtón helyezkedik el, lehetővé téve egyszerre több (különböző meghajtókon elhelyezkedő) rekord párhuzamos írását, illetve olvasását (multi-user mode). Problémát okoz viszont, hogy a paritás-meghajtó adott csíkját minden egyes íráskor frissíteni kell (plusz egy olvasás és írás), aminek következtében párhuzamos íráskor a paritásmeghajtó a rendszer szűk keresztmetszetévé válik. Ezenkívül valamely meghajtó kiesése esetén a rendszer olvasási teljesítménye is lecsökken, a paritás-meghajtó jelentette szűk keresztmetszet miatt.
RAID 5 A RAID 5 a paritás információt nem egy kitüntetett meghajtón, hanem körbeforgó paritás (rotating parity) használatával, egyenletesen az összes meghajtón elosztva tárolja, kiküszöbölvén a paritás-meghajtó jelentette szűk keresztmetszetet. Minimális meghajtószám: 3. Mind az írási, mind az olvasási műveletek párhuzamosan végezhetőek. Egy meghajtó meghibásodása esetén az adatok sértetlenül visszaolvashatóak, a hibás meghajtó adatait a vezérlő a többi meghajtóról ki tudja számolni. A csíkméret változtatható; kis méretű csíkok esetén a RAID 3-hoz hasonló működést, míg nagy méretű csíkok alkalmazása esetén a RAID 4-hez hasonló működést kapunk. A hibás meghajtót ajánlott azonnal cserélni, mert két meghajtó meghibásodása esetén az adatok elvesznek!
RAID 6 A RAID 6 tekinthető a RAID 5 kibővítésének. Itt nemcsak soronként, hanem oszloponként is kiszámítják a paritást. A módszer segítségével kétszeres meghajtó meghibásodás is kiküszöbölhetővé válik. A paritáscsíkokat itt is az egyes meghajtók között, egyenletesen elosztva tárolják, de ezek természetesen kétszer annyi helyet foglalnak el, mint a RAID 5 esetében.
RAID 0+1 (Raid01) Ez egy olyan hibrid megoldás, amelyben a RAID 0 által hordozott sebességet a RAID 1- et jellemző biztonsággal ötvözhetjük. Hátránya, hogy minimálisan 4 eszközre van szükségünk, melyekből 1-1-et összefűzve, majd páronként tükrözve építhetjük fel a tömbünket, ezért a teljes kinyerhető kapacitásnak mindössze a felét tudjuk használni. Mivel a tükrözés (RAID 1) a két összefűzött (RAID 0) tömbre épül, ezért egy lemez meghibásodása esetén az egyik összefűzött tömb mindenképp kiesik, így a tükrözés is megszűnik.
RAID 1+0 (Raid10) Hasonlít a RAID 01 megoldáshoz, annyi különbséggel, hogy itt a lemezeket először tükrözzük, majd a kapott tömböket fűzzük össze. Ez biztonság szempontjából jobb megoldás, mint a RAID 01, mivel egy diszk kiesése csak az adott tükrözött tömböt érinti, a rá épült RAID 0-t nem; sebességben pedig megegyezik vele.
NYOMTATÓK MEGOSZTÁSA
Megosztott nyomtatókhoz kapcsolódó standard engedélyek Nyomtatás: dokumentumok nyomtatása. Saját dokumentumok nyomtatásának megállítása, újraindítása, törlése valamint nyomtatási jellemzők beállítása. Dokumentumok kezelése: a nyomtatási sorban levő dokumentumok nyomtatásának megállítása, újraindítása, mozgatása és törlése Nyomtatókezelés: nyomtató megosztása, eltávolítása, tulajdonságainak megváltoztatása. Leállítás és újraindítás.
Megosztott nyomtatókhoz kapcsolódó standard engedélyek A jogosultsági listába automatikusan bekerül a Mindenki csoport Nyomtatás engedéllyel Rendszergazdák csoport az összes engedéllyel
Speciális engedélyek Nyomtatás Dokumentumok kezelése Nyomtató kezelés Nyomtatás X X Nyomtató kezelés X Dokumentumok kezelése Engedélyek olvasása X X X X Engedélyek módosítása Saját tulajdonba vétel X X X X
Nyomtató megosztása grafikus felületen
Automatikusan kapott engedélyek
Internet Information Services (IIS)
IIS A Microsoft által írt, Microsoft Windows-platformon futó internet-alapú szolgáltatásokat összefogó termék neve. A világ második legnépszerűbb webkiszolgálója (a weboldalak száma alapján) az Apache HTTP Server után.
IIS Az IIS által nyújtott szolgáltatások közé tartozik FTP FTPS SMTP NNTP HTTP HTTPS. Az IIS több Microsoft-termék telepítésének előfeltétele, ilyen a WSUS Microsoft Exchange Sharepoint.
IIS verziók IIS 7.0 Windows Server 2008 és Windows Vista (Home Premium, Business, Enterprise, Ultimate Editions) IIS 7.5 Windows Server 2008 R2 és Windows 7 IIS 8.0 Windows Server 2012 és Windows 8
IIS 8.0 Az IIS 8.0 újdonságai közé tartozik a weboldalankénti CPU-használati kvóták bevezetése alkalmazás-inicializálás (Application Initialization) központi SSL-tanúsítványkezelés NUMA hardveren sok processzormagos skálázhatóság.
IIS
FTP (File Transfer Protocol) Az Internet klasszikus fájlátviteli protokollja, amely adatállományok két gép közötti kétirányú átvitelét teszi lehetővé. Az FTP a klasszikus szerver-kliens modell alapján működik, bár a fájlok átvitelét mindkét irányban (a kapcsolatot kezdeményező kliensről a szerverre, illetve visszafelé, a szerverről a kliens irányába) is lehetővé teszi.
FTP Az FTP az átvitelre két külön csatornát alkalmaz. Ezek közül az első a parancs-csatorna, amelyet mindig a kliens épít fel a szerver felé az FTP-menet megkezdésekor, és amelyen keresztül a kéréseit annak elküldi, illetve az azokra adott állapotkódat és hibaüzeneteket visszakapja.
FTP Ezen kívül a fájlok átvitele során a szerver a kliens kérésére annak irányába egy másik ún. adat-csatornát is felépít, amelyen keresztül a fájl tartalmát küldi el részére. A szerver minden egyes fájl átviteléhez külön adat-csatornát nyit, amelyet annak befejeztével mindig le is zár. Az FTP használatára az URL-ekben az 'ftp://' protokoll-azonosító utal.
SMTP Az SMTP a Simple Mail Transfer Protocol rövidítése. Ez egy kommunikációs protokoll az e-mailek Interneten történő továbbítására. Az SMTP egy viszonylag egyszerű, szöveg alapú protokoll, ahol egy üzenetnek egy vagy több címzettje is lehet. Az SMTP szolgáltatás a TCP (Transmission Control Protocol) 25-ös portját használja. Ahhoz, hogy meghatározza, hogy az adott domain névhez melyik SMTP szerver tartozik, a Domain név MX (Mail exchange) rekordját használja. Ez a domain DNS rekordjai között szerepel.
Power Shell
alapok Azok a felhasználók (Magukat Igazi Programozóknak nevezik) akik igazán egy Unix-terminál előtt ülve érzik magukat elemükben, a Windows rendszereken kényelmetlenül mozogtak. Nem igazán volt számukra igazi alternatíva. Mi is volt? Command Prompt kicsit régi, kicsit nehézkes, kicsit korlátolt Windows Scripting Hosting (WSH) egész jó, hisz a COM objektumok egész sok és sokféle problémára nyújtanak megfelelő megoldást. De a WSH is korlátolt az interaktivitás területén.
alapok Mi lehet a megoldás? Adott a Microsoft.NET framework, amely rengeteg problémára nyújt megoldást, de a keretrendszer által készített programokat le kell fordítani, hiszen csak programozók használják. De a fejlesztők úgy gondolták, hogy ki kellene aknázni a keretrendszer által nyújtott lehetőségeket a rendszergazdáknak is.
Indítása powershell parancs kiadásával A PowerShellkörnyezetében többféle parancs stílust is használhatunk: Hagyományos DOS belső parancsok (pl. DIR) Unix-os parancsok (pl. ls) PowerShell saját parancsai, az ún. Cmdlet-ek(pl. Get- ChildItem) Szabványos Windows futtatható programok A DOS és a Unix parancsok valójában alias-ok a PowerShellsaját parancsaira (Cmdlet)
Cmdlet A PowerShellsaját parancsai Leírásuk minden esetben ige-főnév formájú Pl. Get-ChildItemvagy Get-Process Get-Helpget-*, Get-Help Get-Process -example A parancs paramétereinek neve kötött A parancs kimenete nem sima szöveg, hanem objektum! A parancsok összefűzhetők (kompozit parancsok)
Parancsok összefűzése Ránézésre hasonló, mint a hagyományos parancssor: dir find ARIS Szöveg helyett azonban objektumok közlekednek > Get-ChildItem where-object { $_.Length -ge1000 } Ami akár tovább is láncolható > Get-ChildItem where-object { $_.Length -ge1000 } Sort-Object-propertyLength Melyek az egyes objektumok tulajdonságai? > Get-ChildItem get-member
Változók A változók neve $jellel kezdődik A változókat nem kell deklarálni A változó értéke a név megadásával lekérhető >$most=get-date >$most A változók objektumokat tárolnak >$megint=get-date >$elteres=$megint-$most >$elteres
Szöveges változók (System.String) Karekterlánc típusú, értékadáskor a szöveget aposztrófok vagy idézőjelek között kell megadni >$t= alma Ez is objektum! A karakterlánc metódusai és tulajdonságai: >$t Get-Member -> (lista) >$t.length -> 4 >$t.toupper() -> ALMA >$t.replace( al, fel ) -> felma
Fontosabb karakterlánc műveletek
Operátor Leírás Kis-nagybetű érzékeny operátor Leírás -eq egyenlő -ceq egyenlő -ne nem egyenlő -cne nem egyenlő -gt nagyobb -cgt nagyobb -ge nagyobb egyenlő -cge nagyobb egyenlő -lt kisebb -clt kisebb -le kisebb egyenlő -cle kisebb egyenlő
Objektumok kezelése Bejárás: ForEach-Object > Get-ChildItem ForEach-Object { $sum+=$_.length } Szűrés: Where-Object > Get-ChildItem Where-Object { $_.Length ge1000 } Rendezés: Sort-Object > Get-ChildItem Sort-Object-property Length
Objektumok kezelése Kiválasztás: Select-Object > Get-ChildItem Sort-Object-propertyLength Select-Object First 5 > "a","c","b","a","b","d","e" select-object -Unique Csoportosítás: Group-Object > Get-ChildItem Group-Object Extension
Eredményül kapott listák szűrése Könyvtárak listázása Get-Childitem Where-Object { $_.PsIsContainer} Leállított szolgáltatások listázása Get-Service Where-Object { $_.Status eq Stopped } Adott nevű folyamatok listázása Get-Process Where-Object { $_.Name like *svchost* }
Vezérlési szerkezetek If(<feltétel>) { <then ág> } else { <else ág> } >$a=12 >if ($a lt20) { Kicsi } else { Nagy } -> Kicsi >$a=42 >if ($a lt20) { Kicsi } else { Nagy } -> Nagy For(<kezdő>;<feltétel>;<lépés>) {<ciklusmag>} >for($b=1; $b lt8; $b++ ) { $b } -> 1..7
Fájl és mappa műveletek munkakönyvtár kiíratása (get-location).path vagy $pwd Könyvtár létrehozása create-item typedirectoryalma vagy mdalma Fájl vagy könyvtár létezésének ellenőrzése test-pathalma Fájl vagy könyvtár törlése remove-itemalma
Fájl és mappa műveletek Fájl vagy könyvtár átnevezése rename-itemalma barack Fájl vagy könyvtár másolása, mozgatása copy-itembarack citrom move-itemcitrom eper Hozzáférési jogok lekérése get-aclcitrom
Összes újabb MS szerver Exchange, SQL Server, System Center Operations Manager, System Center VMM, IIS Fejlesztő környezet: Visual Studio 2010: PowerConsole VMware: PowerCLI teljes virtualizációs környezet automatizálása
Elindulás Powershell 2.0 letöltése Windows Management Framework kiegészítés része Windows 7-en fent van, de elérhető XP-re is PowerGUI GUI szerkesztő, debugger
help Mint látjuk a rendszer teljesen önleíró. Láthatjuk a parancsokat, aliasaokat.
help Get-ChildItem Ekkor megkapunk minden információt az adott parancsról.
help Get-ChildItem example Ekkor példa scripeteket kapunk bőséges leírással
ALIAS Ki lehet listázni az úgynevezett aliasokat.
ALIAS Amint látjuk, hogy a régi DOS-os parancsoknak megtalálhatóak a PowerShellbeli megfelelői. PÉLDÁUL: a DIR parancs nem más, mint a Get-ChildItem. De meglehet találni néhány Linuxos parancsot is Például az ls t.
csővezetés A futtatott parancsokat egymáshoz lehet csatolni a pipe karakter segítségével. Ami annyit tesz, hogy a parancs eredményét nem az outputra borítja, hanem a következő lépésnek adja oda a végrehajtási sorban.
csővezetés Ki írjuk a futó processzek listájából az első 6 elemet.
változók A PowerShellben természetesen lehet használni változókat is. Jelölésük: $valtozonev A változóknak tudunk értéket adni, valamint akár egy teljes parancs eredményét eltárolhatjuk a változóban. Például.: $x = get-childitem
változók Ekkor az x változóban el lesz tárolva a Get-ChildItem eredménye. Ahhoz, hogy a változóból kinyerjük az értéket egyszerűen írjuk be a parancssorba a változó nevét: $x, és a képernyőn megjelenik a benne tárolt érték.
változók Természetesen a változóknál is lehet a csővezetést alkalmazni. PÉLDÁUL: $x select-object first 3
get-member Segítségével megtudhatjuk hogy egy-egy parancs milyen.net objektumokat használ, és hogy milyen propertyei és metódusai vannak.
Get-ChildItem Get-Member Láthatjuk, hogy az adott cmdlet melyik névteret használja, vagy épp mely metódusokat és propertyket.
Get-PsDriver Ez a parancs megmutatja a PowerShell driveokat. Mint látható nem csak meghajtókon tudunk járkálni, hanem a registryben, vagy épp a tanúsítványtárban, de akár a környezeti változókat is piszkálhatjuk.
PowerShell üzemmódok Parancs üzemmód: Ha parancsot írok, ami betűvel kezdődik és megtalálja a parancskészletében, Például a DIR parancs akkor az adott parancs értelemszerűen végrehajtódik. Kiértékelő üzemmód: Ha viszont olyat adok meg, amit nem fedez föl a parancskészletében, de kitudja értékelni akkor a kiértékelő üzemmódba vált át.
PÉLDÁUL: írjuk be, hogy 1,2,3,4,5 Ez a PowerShell számára egy halmaz definícó volt, amit úgy értékelt ki, hogy kiírta őket a képernyőre. Mint láttuk a PowerShell nem írta ki, hogy bad command or filename köszönhető ez a kiértékelő üzemmódnak.
Írjuk be, 1MB A válasz: 1048576 byte. Ebből is látszik mennyire informatikus közeli ez az új parancssor.
Oszlopok szerinti szűrés (select-object) get-childitem select-object property name, length csak a name és a length oszlop fog megjelenni.
Sorok szerinti szűkítés (where-object) Get-Process where-object {$_.workingset gt 25mb} A where object parancs segítségével bizonyos feltételnek megfelelően szűkíthetjük a sorokat, esetünkben amelyeknek a workingset je nagyobb mint 25MB.
Számoljunk (Measure-object) Ez a parancs egy nagyon ötletes, ugyanis a hozzá beérkező objektumok bizonyos propertyjei alapján tud készíteni összegzést, átlagot, countot stb.
Power Shell és az Active Directory
Active Directory típusmeghatározás: CN = Common Name = Közönséges név. Kötelező elem minden lekérdezésnél, az erőforrás objektumokra és típus nélküli tárolókra lehet vele hivatkozni. DC = Domain Context = Tartományi környezet. A tartomány nevét írja le. OU = Organization Unit = Szervezeti egység. Ha az elérni kívánt objektum a tartományon belül valamely szervezeti egységben található, akkor az előző DC parancs mellett az OU-t is meg kell adni.
Parancssori AD dsadd user CN=Lajos,CN=Users,DC=Animare,DC=hu -samid lali dsadd user CN=Lajos,CN=Users,DC=Animare,DC=hu -samid lali -pwd lalika dsadd user CN=Lajos,CN=Users,DC=Animare,DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu -email lali@animare.hu dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu -email lali@animare.hu -pwdneverexpires yes dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu -email lali@animare.hu -mustchpwd yes dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu -email lali@animare.hu -mustchpwd yes -disabled yes dsadd user CN=Lajos, CN=Users, DC=Animare, DC=hu -samid lali -pwd lalika -fn Lajos -ln Tóth -memberof CN=Administrators, CN=Builtin, DC=Animare, DC=hu -email lali@animare.hu -mustchpwd yes -acctexpires 30
Get-ADUser
Get-ADUser-Identity soostibor-properties title
Get-ADUsersoostibor-Properties*
New-ADUser GlenJohn -OtherAttributes @ {title="director";mail="glenjohn@fabrikam.com"} New-ADGroup -Name ujcsoport -SamAccountName ujcsoport -GroupCategory Distribution PassThru New-ADComputer -Name fileserver01" -SamAccountName fileserver01" -Path "OU=ApplicationServers,OU=ComputerAccounts,OU=Managed,DC=G YAKORLAT,DC=HU
Remove-ADUser -Identity GlenJohn Remove-ADUser -Identity "CN=Glen John,OU=Finance,OU=UserAccounts,DC=FABRIKAM,DC=COM Remove-ADComputer -Identity fileserver04"
Power Shell Példa Képek dátum szerint mappákba rendezése
PÉLDA cd.\pictures dir
(dir.\p1090919.jpg).lastwritetime 2009-09-02 get-date (dir.\p1090919.jpg).lastwritetime -Format "yyyy-mm 2009-9
dir *.jpg ForEach-Object {get-date $_.lastwritetime -format "yyyy- MM"} 2010-02 2009-09 2009-09 2010-11 A dir parancsból kijövő fájlobjektumokat továbbküldjük ( jellel) feldolgozásra. Ezen feldolgozás keretében minden egyes érkező objektumra a Foreach-Object parancs segítségével legeneráltatjuk az év-hó formátumú számsort. Az éppen aktuális futószalagon érkező objektumra, jelen esetben fájlra, a $_ jellel tudunk hivatkozni.
Test-Path ".\mappanév True Ez egy nem létező könyvtárra False eredményt fog adni. Nekünk meg pont ekkor kellene alkönyvtárt létrehozni, amikor ez a vizsgálat hamis eredményt ad.
IF vezérlőszerkezet, mellyel akkor lehet végrehajtatni valamit, amikor egy feltétel igaznak értékelődik. Nekünk hamis eredményt ad a Test-Path, amikor tennivalónk lenne, így fordítani kell a kiértékelés eredményén, amit a Test- Path eredményének negálásával tudjuk elérni:
If(!negálandó feltétel){végrehajtandó kód} Könyvtárat a New-Item paranccsal tudunk létrehozni, a következő formátumban: New-Item Path hova ItemType Directory
Fájlt átmozgatni a Move-Item paranccsal tudunk, melynek szerkezete a következő: Move-Item Path Destination célkönyvtár
cd $HOME\pictures dir *.jpg ForEach-Object { $alkönyvtár = get-date $_.lastwritetime -Format "yyyy-mm" if(! (Test-Path -Path ".\$alkönyvtár")) { New-Item -Path ".\$alkönyvtár" -ItemType Directory } Move-Item -Path $_.pspath -Destination ".\$alkönyvtár" }