Windows hálózati adminisztráció Tantárgykódok: MIN6E0IN MIN4A0RFN Göcs László mérnöktanár KF-GAMF Informatika Tanszék 2014-15. tanév tavaszi félév
Elérhetőség E-mail: gocs.laszlo@gamf.kefo.hu Személyes konzultáció: 4. épület (Informatika Tanszék), 1. emelet 116-os iroda
Segédletek, letöltések www.gocslaszlo.hu/oktatas
Tantárgyleírás A TCP/IP modell. Rétegek összehasonlítása az OSI modell rétegeivel. Fontosabb protokollok rövid áttekintése. IP címek (IPv4), osztályok, magánhálózati címtartományok, alhálózatok. IPv6-os címek. Parancssori alapismeretek. TCP/IP konfiguráció lekérdezése és beállítása parancssori módon. Automatikus magánhálózati IP címkiosztás (APIPA). Egyszerű (otthoni, mikro-vállalati) hálózatok adminisztrálása, konfigurálása. Vékonykliens technológia. Otthoni médiahálózat. NAS szerepe, működése. Virtualizációs megoldások. Felhő alapú informatika. Szerverparkok eszközei. DHCP szolgáltatás, konfigurációs adatok, kapcsolódó üzenetek. DHCP szerver konfigurálása. A NAT szerepe, működése.
Tantárgyleírás Megosztott mappák elérése. Speciális megosztások. Nyomtatók megosztása, alap és speciális engedélyek. Munkacsoport és tartomány alapú szervezés. NetBIOS nevek, a kapcsolódó névfeloldás folyamata, NBT. NetBIOS név-ip cím összerendelések tárolása (LMHOSTS, WINS). Névfeloldás IPv4 és IPv6 címek esetén (NetBIOS, WINS, DNS, LLMNR). DNS szolgáltatás. Zóna fogalma, zónatípusok és tárolásuk, kiszolgáló típusok, rekord típusok. Az ACL és az NTFS engedélyek. Könyvtárak megosztása a hálózaton, kapcsolódó engedélyek Tartományi környezet. A címtár fogalma (Active directory). Séma, konténer objektumok (erdő, fa, tartomány, szervezeti egység), levél objektumok (felhasználói fiók, számítógépfiók, csoportfiók). Felhasználói csoport típusok. Címtárpartíciók. Globális katalógus. Egyedi főkiszolgáló műveletek. Megosztott mappák közzététele a címtárban (DFS, FRS)
Tantárgyleírás Csoportházirend (Group Policy) fogalma. A csoportházirend fő alkalmazási területei. A csoportházirend működése. A csoportházirend öröklődése. A csoportházirend hatásának szűrése. Végrehajtási sorrend. Alapértelmezett csoportházirendek. Adatbiztonság, adatvédelem. Biztonsági mentés. Replikációs topológia. RAID technológia. Power Shell. Távoli menedzselés, RDP. A VPN kapcsolat.
Ajánlott irodalom Petrényi József: Windows Server 2008. TCP/IP. Az alapok. Microsoft Magyarország, 2009 Petrényi József: TCP/IP - 1 óra alatt ; TCP/IP Alapok 1. kötet v2.0, TCP/IP Alapok 2. kötet v1.0 Microsoft Magyarország, 2009 William R. Stanek: Windows Server 2008. A rendszergazda zsebkönyve, Szak Kiadó, 2008, ISBN: 978-963-9131-99-6 Gál Tamás, Szabó Levente, Szerényi László: Rendszerfelügyelet rendszergazdáknak, Szak Kiadó, ISBN 978-963-9131-98-9
Félévi számonkérés 1 elméleti ZH (12. előadáson) 50 perc 40 pont (min. 21pont) 1 gyakorlati ZH (11. gyakorlaton) 70 perc 60 pont (min. 30 pont) Plusz pontok (kettes gyakorlati jegyhez teljesíteni kell a minimális pontokat) előadások
IP alapok
IP címek IPV4 4 db decimális szám ponttal elválasztva 0. 0. 0. 0 1db decimális szám 8 biten ábrázolva bináris számrendszerben Pl: 181 = 128 + 32 + 16 + 4 + 1
IP címek osztályozása A osztály 0.... Kezdő IP: 0. 0. 0. 0 0 0 0 0 0 0 0 0. 0 0 0 0 0 0 0 0. 0 0 0 0 0 0 0 0. 0 0 0 0 0 0 0 0 Utolsó IP: 127. 255. 255. 255 0 1 1 1 1 1 1 1. 1 1 1 1 1 1 1 1. 1 1 1 1 1 1 1 1. 1 1 1 1 1 1 1 1
IP címek osztályozása B osztály 1 0.... Kezdő IP: 128. 0. 0. 0 1 0 0 0 0 0 0 0. 0 0 0 0 0 0 0 0. 0 0 0 0 0 0 0 0. 0 0 0 0 0 0 0 0 Utolsó IP: 191. 255. 255. 255 1 0 1 1 1 1 1 1. 1 1 1 1 1 1 1 1. 1 1 1 1 1 1 1 1. 1 1 1 1 1 1 1 1
IP címek osztályozása C osztály 1 1 0.... Kezdő IP: 192. 0. 0. 0 1 1 0 0 0 0 0 0. 0 0 0 0 0 0 0 0. 0 0 0 0 0 0 0 0. 0 0 0 0 0 0 0 0 Utolsó IP: 223. 255. 255. 255 1 1 0 1 1 1 1 1. 1 1 1 1 1 1 1 1. 1 1 1 1 1 1 1 1. 1 1 1 1 1 1 1 1
Hatókör szerint Nyilvános Magánhálózati Automatikus konfigurációnál használt
Magánhálózati címtartományok A 10.0.0.0 127.0.0.0 B 172.16.0.0 172.31.0.0 C 192.168.1.0 192.168.255.0
APIPA (Automatic Private Internet Protocol Addressing ) A Microsoft otthoni és kisebb irodai hálózatokhoz vezette be a még csak draft formájában létező APIPA-t, olyan helyekre, ahol bizonyosan nincs kiszolgáló, mert nem érné meg, és nincs szaktudás sem a hálózat konfigurálására.
APIPA (Automatic Private Internet Protocol Addressing ) Ha induláskor az operációs rendszer nem talál DHCP kiszolgálót, a draft által lefoglalt, B típusú IPcímtartományból véletlenszerűen kiválaszt egy címet, meggyőződik arról, hogy azt más nem használja, majd elindul. A meggyőződés annyit tesz, hogy egy ICMP csomagot indít a kiválasztott cím felé. Ha érkezik rá válasz, már létezik a cím a hálózatban, tehát másikat kell keresni. Tízszer próbál így címhez jutni, és tekintve, hogy 65535 a lehetséges címek száma, kicsi az esélye, hogy nem találja meg az igazit.
APIPA (Automatic Private Internet Protocol Addressing ) Az automatikusan meghatározott címhez azután nem ragaszkodik, és minden ötödik percben kibocsát egy DHCP-Discover csomagot, hátha meggondolták magukat az üzemeltetők és működőképes állapotba hoztak egy címkiosztó szolgáltatást. A DHCP és az APIPA azért fér meg egymás mellett, mert az operációs rendszer el tudja dönteni, hogy milyen szituációban van. 169.254.0.0-169.254.255.255 /16
Hálózati maszk Az a szám, amely meghatározza, hogy az IP-cím mely része hálózati, és mely része állomáscím. Az alhálózati maszk (subnet mask) segítségével a rendszergazdák a helyi hálózatban egymástól elkülönülő alhálózatokat tudnak létrehozni. IP-cím: 196.225.15.5 Alhálózati maszk: 255.255.255.0 Kettes számrendszerben: IP-cím: 11000100 11100001 00001111 00000101 Alh.maszk: 11111111 11111111 11111111 00000000 A két szám bitenkénti ÉS (AND) műveletet elvégezve megkapjuk a hálózat címét: 11000100 11100001 00001111 00000000
Jelöl Címek Alháló maszk d. Alháló maszk bin. /8 16777216 255.0.0.0 11111111.00000000.00000000.00000000 /9 128x65536 255.128.0.0 11111111.10000000.00000000.00000000 /10 64x65536 255.192.0.0 11111111.11000000.00000000.00000000 /11 32x65536 255.224.0.0 11111111.11100000.00000000.00000000 /12 16x65536 255.240.0.0 11111111.11110000.00000000.00000000 /13 8x65536 255.248.0.0 11111111.11111000.00000000.00000000 /14 4x65536 255.252.0.0 11111111.11111100.00000000.00000000 /15 2x65536 255.254.0.0 11111111.11111110.00000000.00000000 /16 1x65536 255.255.0.0 11111111.11111111.00000000.00000000 /17 128x256 255.255.128.0 11111111.11111111.10000000.00000000 /18 64x256 255.255.192.0 11111111.11111111.11000000.00000000 /19 32x256 255.255.224.0 11111111.11111111.11100000.00000000 /20 16x256 255.255.240.0 11111111.11111111.11110000.00000000 /21 8x256 255.255.248.0 11111111.11111111.11111000.00000000
Jelöl Címek Alháló maszk d. Alháló maszk bin. /22 4x256 255.255.252.0 11111111.11111111.11111100.00000000 /23 2x256 255.255.254.0 11111111.11111111.11111110.00000000 /24 1x256 255.255.255.0 11111111.11111111.11111111.00000000 /25 128x1 255.255.255.128 11111111.11111111.11111111.10000000 /26 64x1 255.255.255.192 11111111.11111111.11111111.11000000 /27 32x1 255.255.255.224 11111111.11111111.11111111.11100000 /28 16x1 255.255.255.240 11111111.11111111.11111111.11110000 /29 8x1 255.255.255.248 11111111.11111111.11111111.11111000 /30 4x1 255.255.255.252 11111111.11111111.11111111.11111100 /31 2x1 255.255.255.254 11111111.11111111.11111111.11111110 /32 1x1 255.255.255.255 11111111.11111111.11111111.11111111
Megoldások az IPv4 címek kis száma miatti problémára CIDR, VLSM (alhálózatok számítása maszkokkal) NAT IPv6
IPv6 Tulajdonságok 128 bit, 1994 A címzés hierarchikus miért jó? Támogatja a munkaállomások automatikus hálózati konfigurálását CIDR-t használ Egy interfésznek több címe is lehet
IPv6 cím típusok Egycélú (Egyedi küldés) (unicast) : egy adott interfészt azonosít Választható célú (Csomópont-választásos küldés) (anycast) : interfészek egy csoportját azonosítja, de a csomagot elég a csoport egyetlen tetszőleges tagjához eljuttatni (ha a csoportból valaki megkapja, a többiek már nem kapják meg) Többcélú (Csoportos küldés) (multicast) : az interfészek egy csoportját azonosítja, a csomagot minden a csoportba tartozó interfész meg kell kapja (Broadcast helyett)
IPv6 cím felépítése 8 db 4 hexadecimális számjegyből álló csoport kettőspontokkal elválasztva Kezdőbitek határozzák meg a cím típusát 2001:0db8:85a3:08d3:1319:8a2e:0370:7344
128 bites IPv6 cím 3FFE:085B:1F1F:0000:0000:0000:00A9:1234 8 csoport 16-bites hexa számokból, elválasztó jel : Kezdő nullák elhagyhatók 3FFE:85B:1F1F::A9:1234 :: = egy vagy több egymást követő csoportban csak nullák vannak
IPv6 címek 0:0:0:0:0:0:0:0 vagy :: helyettesítő cím, ha nincs cím, Pl. kezdeti DHCP kérés ::1 localhost (loopback) cím ::ffff: IPv4/96 átfordított (mapped) IPv4-es címekre
Unicast címek felosztása érvényességi kör szerint Világméretű (mint az IPv4 publikus) Global unicast Lokális (mint az IPv4 privát) Telephely (site) szintű: Site-local (elavult!) Helyi: Unique-local Szegmens szintű: Link-local
Global unicast cím A globális azon (45 bit) lehet ISP vagy site azonosító A 16 bit alhálózat vagy site azonosító A 64 bit lehet MAC cím alapján
Site-Local unicast címek Cégen belüli (privát) címzés - intranet A címek generálása nem automatikus Nem routolják Lehetővé teszi szervezeti hálózat címzését Elavult! RFC 3879 (2004) érvénytelenné tette, csak régebben volt használatos FEC0:: through FFFF::
Unique local címek Cégen belüli (privát) címzés - intranet De a cím egyedi a világon cégen belüli házirenddel tiltható a forgalom
Link-Local unicast címek (interface) FE80::/64 Csak egy linken (szegmensen) belül értelmezett Router nem továbbítja Konfigurálása mindig automatikus Átjáró felderítés, más 2. rétegbeli szomszédok (azonos szegmensen levő eszközök) felderítése
Multicast címek Csoportos címzés, helyettesíti az üzenetszórást A csoport minden tagja megkapja
Hatókörök értelmezése Forrás: http://www.tcpipguide.com/free/t_ipv6multicastandanycastaddressing-2.htm
Állandó multicast címek Hatókörtől függetlenek Az összes interfész node-local és linklocal hatókörben: FF01::1 (node-local scope all-nodes address) FF02::1 (link-local scope all-nodes address) Az összes router node-local, link-local, és site-local hatókörben: FF01::2 (node-local scope all-routers address) FF02::2 (link-local scope all-routers address) FF05::2 (site-local scope all-routers address)
Anycast címek Azonos felépítésű a unicast-tal Cél, hogy a legközelebbi interfész kapja meg a csomagot Automatikusan keletkezik, amikor egy unicast címet egynél több interfészhez rendelünk
TCP/IP hivatkozási modell Alkalmazási Megjelenítési Viszony Szállítási Hálózati Adatkapcsolati Alkalmazási Szállítási Internet Hálózati hozzáférési Fizikai
TCP/IP Protokollok DHCP, DNS, FTP, HTTP, IMAP, IRC, POP3, SIP, SMTP, SNMP, SSH, Telnet, BitTorrent SCTP, TCP, RTP, UDP, IL, RUDTP IPv4, IPv6, ARP, ICMP, IGMP Ethernet, FDDI, ATM, PPP, Wi-Fi, Token-Ring,
ARP (Address-Resolution-Protokoll) A hálózati hozzáférési réteget abba a helyzetbe kell hozni, hogy egy csomagfogadónak, akinek csak az IP-címe ismert, elküldjön egy csomagot az ethernet-címmel. 1. Kiad egy broadcast-üzenetet, vagyis egy olyan üzenetet, amit a hálózaton minden számítógép fogad. Ebben az ARP mintegy megkérdezi : Kinek az IP-címe a 192.168.1.15? 2. A hálózaton mindegyik számítógép megvizsgálja, hogy nem az ő IP-címe a 192.168.1.15. Az a számítógép fog válaszolni, amelyiknek ez az IP-címe : Az enyém, és az ethernet-címem a következő: af.23.98.00.2e.a3 3. Az ARP tárolja ezt az információt azért, hogy ne kérdezze le ismételten minden csomag esetén. Egy meghatározott időtartam (kb. 20 perc) eltelte után automatikusan eldobja azért, hogy fel legyen készülve egy esetleges hardwareváltozásra.
ICMP (Internet Control Message Protocol) Elérhetetlen gépek felismerése Hibaüzenetek vagy a TCP/IP-t megvalósító szoftvernek szánt üzenetek információgyűjtés a hálózatról. Pl: ha egy gateway felismeri, hogy egy adott számítógép elérhetetlen, akkor az ICMP-n keresztül kiküld egy Destination unreachable üzenetet a csomag küldőjének. Útvonal Optimalizálás Ha egy gateway felismeri, hogy kerülőutat használ, akkor a csomagküldő gépnek küld egy üzenetet, amiben benne van a gyorsabb útvonal. A csomagküldő gép (ill. az IP-rétege) a következő csomagot már a jobb útvonalon tudja elküldeni.
IGMP (Internet Group Management Protocol Protocol) Multicast üzenetek továbbítását teszi lehetővé. Közvetíti a csoporttagságot a hosztok és az útvonalválasztók felé. A multicasting lehetővé teszi, hogy egy felhasználó ugyanazt a tartalmat egy teljes csoport számára hozzáférhetővé tegye.
FTP File Transfer Protocol A TCP/IP hálózatokon történő állományátvitelre szolgáló szabvány. Gyakran van szükség arra, hogy valamilyen állományt hálózaton keresztül töltsünk le saját gépünkre, vagy egy állományt mások számára hozzáférhetővé tegyünk. Lehetővé teszi a különböző operációs rendszerű gépek között is az információcserét. Az FTP kapcsolat ügyfél/kiszolgáló alapú, vagyis szükség van egy kiszolgáló- (szerver) és egy ügyfélprogramra (kliens). Elterjedt protokoll, a legtöbb modern operációs rendszerhez létezik FTP-szerver és kliens program, sok web böngésző is képes FTP-kliensként működni.
HTTP - HyperText Transfer Protocol Egy kérés-válasz alapú protokoll kliensek és szerverek között. A kommunikációt mindig a kliens kezdeményezi. A HTTP egy állapot nélküli protokoll. Az állapot nélküli protokollok előnye, hogy a szervernek nem kell nyilvántartania felhasználói információkat az egyes kérések kiszolgálása között. A HTTP terjedt el széles körben más, felhasználói bejelentkezést támogató protokollok helyett, ami arra kényszerítette a web fejlesztőket, hogy kerülőutakon járva tárolják a felhasználók munkamenet-állapotait. Egy tipikus megoldás cookie-kban tárolni a felhasználói állapotot. Egyéb módszerek még a rejtett változók (például <input type=hidden name=session_id value= 1956 >) vagy az URL-ben kódolt paraméterek (például: /index.php?userid=3) használata illetve a szerveroldali állapotmegőrzés.
POP3 A Post Office Protocol version 3 Segítségével az e-mail kliensek egy meglévő TCP/IP kapcsolaton keresztül letölthetik az elektronikus leveleket a kiszolgálóról. Napjainkban ez a legelterjedtebb protokoll az elektronikus levelek lekéréséhez. A protokollra eredetileg az időszakosan létrejövő TCP/IP kapcsolatok (pl. dial-up) miatt volt szükség, ugyanis lehetővé teszi a kapcsolódás korlátozott ideje alatt a levelek kezelését a felhasználó gépén, úgy, hogy a levelek összességében akár a szerveren is maradhatnak. A leveleket azután helyben lehet olvasni, szerkeszteni, tárolni stb. A POP3 protokoll kizárólag a levelek letöltésére alkalmas; küldésükre az SMTP protokoll szolgál.
SMTP Simple Mail Transfer Protocol Ez egy kommunikációs protokoll az e-mailek Interneten történő továbbítására. Az SMTP egy viszonylag egyszerű, szöveg alapú protokoll, ahol egy üzenetnek egy vagy több címzettje is lehet. Az SMTP szolgáltatás a TCP 25-ös portját használja. Ahhoz, hogy meghatározza, hogy az adott domain névhez melyik SMTP szerver tartozik, a Domain név MX (Mail exchange) rekordját használja. Az SMTP protokoll az indításkor sima szöveg alapú (ASCII karakterek) volt, nem kellett hozzá bináris file kezelés. De mára már kifejlesztették a MIME kódolást, ahol bináris fájlok formájában utaznak a levelek. Ma már minden SMTP kiszolgáló támogatja a 8-bites, azaz a 8BITMIME kiterjesztésű leveleket, ami bináris formában tárolja / küldi az üzeneteket.
SNMP Simple Network Management Protocol Egy szerver-kliens kapcsolatra épülő protokoll. A szerver program, amit hálózati menedzsernek (network manager) is szoktak nevezni - virtuális kapcsolatot létesít a kliens programmal, amit SNMP ügynöknek (SNMP agent) is neveznek, és a távoli, felügyelt hálózati egyeden van telepítve. Hálózatra kötött eszközök vezérlése, adatainak lekérdezése. A menedzselhető eszközön (pl. nyomtatók, forgalomirányító, szerver, stb.) fut egy démon. A menedzselő eszközön fut a kliens program.
SSH Secure Shell Egy szabványcsalád, és egyben egy protokoll is, amit egy helyi és egy távoli számítógép közötti biztonságos csatorna kiépítésére fejlesztettek ki. Nyilvános kulcsú titkosítást használ a távoli számítógép hitelesítésére, és opcionálisan a távoli számítógép is hitelesítheti a felhasználót. Az SSH-t leggyakrabban arra használják, hogy egy távoli gépre belépjenek vele és parancsokat adjanak ki, de támogatja a tunnelinget, azaz tetszőleges TCP portok és X11 kapcsolatok továbbítását. Fájlok biztonságos átvitelére is használható a kapcsolódó SFTP (Secure FTP) és SCP (Secure Copy) protokollok segítségével. Az SSH szerverek alapértelmezésben a 22-es TCP porton hallgatóznak.
Parancssori alapok
Parancssori alapok Cmd.exe Segítségkérés:help help parancs parancs /?
netsh konfiguráció lekérdezése
Statikus IP cím és DNS kiszolgáló cím beállítás
IP cím és DNS kiszolgáló adatainak kérése DHCP-n keresztül
Beállítások lementése
Lementett beállítások újbóli alkalmazása
TCP/IP jellemzők beállítása konzol felületen IP cím lekérdezése konzolon ipconfig /all /renew /release netsh interface ip set address name="helyi kapcsolat 2" source=static addr=192.168.2.3 mask=255.255.255.0 gateway=192.168.2.1 1
TCP/IP jellemzők beállítása konzol felületen Export szöveges állomány netsh interface dump > c:\valami.txt Import netsh exec c:\valami.txt DNS beállítás Netsh interface ip set dns név static 192.168.2.200
TCP/IP konfiguráció - ipconfig
Állományokkal és mappákkal kapcsolatos műveletek 1 Fájlok és mappák törlése del /s kezdő\* (végérvényesen töröl fájlokat) rd /s kezdő (könyvtárat és tartalmát) Mappa létrehozása md mappa Könyvtár tartalmának kilistázása dir könyvtár\*.doc /s
Attribútumok Alap attribútumok A archív R csak olvasható H rejtett S system Speciális (kiterjesztett) attribútumok Archiválási és indexelési A fájl archiválásra kész Gyors fájlkereséshez az indexelő szolgáltatás indexelje a fájlt Tömörítés és titkosítás Tartalom tömörítése Tartalom titkosítása
Állományokkal és mappákkal kapcsolatos műveletek Másolás: xcopy eredeti másolat /s Állományok átnevezése: ren *.txt *.doc Állományok mozgatása: move /y hely\*.doc újhely\ Attribútumok beállítása: attrib +r +s +h állomány attrib -r mappa /s Meghajtó mappához rendelése: subst x: mappa
Állományokkal és mappákkal kapcsolatos műveletek Mappaváltás: cd újmappa Könyvtárszerkezet megjelenítése fastruktúrában: tree Konzolablak tartalmának törlése: cls
Parancsok Merevlemez ellenőrzése: chkdsk lemez Legközelebbi rendszerindításkor automatikus ellenőrzés: chkntfs Időzített feladatvégrehajtás: at Szöveges állomány tartalmának megjelenítése: type állománynév type állománynév more Boot.ini lekérdezése/javítása: bootcfg
Parancsok Védett rendszerállományok vizsgálata: sfc /scannow Fájlgyorsítótár ürítése: sfc /purgecache Számítógép leállítása: shutdown /s shutdown /s /m \\gépnév Számítógép újraindítása: shutdown /r Futó folyamatok listája: tasklist Folyamat leállítása: taskkill /pid XXX /F
Parancsok Gép NetBIOS nevének lekérdezése: hostname Fizikai cím lekérdezése: getmac Szolgáltatás indítása leállítása: net start stop XXX
Felhasználói fiók parancssorból Létező felhasználók listája net user Létrehozás net user kiss.istvan /ADD /fullname: Kiss Istvan /expires:2010/03/31 /homedir: C:\Felhasználók\kiss.istvan Törlés net kiss.istvan /DELETE
Környezeti változók Beállítás set változónév=érték set PATH=f:\valami Lekérdezés/hivatkozás echo változó echo %COMPSEC% Fontosabb változók %PATH%, %COMSPEC%, %CD%, %USERNAME%, %SYSTEMROOT%, %HOMEPATH%, %HOMEDRIVE%, %DATE%, %TIME%, %COMPUTERNAME%
Parancsállomány Szöveges állomány, ami parancssori utasításokat tartalmaz Parancsértelmező dolgozza fel *.CMD vagy *.BAT Jól alkalmazható ismétlődő rendszeradminisztrációs feladatokra
Parancsállomány 1 utasítás 1 sor Tagadás: NOT Feltételes végrehajtás if "%USERNAME%"= = "hallgato" echo Szia hallgato! Összefűzés <utasítás1> & <utasítás2> <utasítás1> && <utasítás2>
Vírtualizáció, Szerverparkok
VIRTUALIZÁCIÓ A virtualizáció célja, hogy az informatikai rendszerek komponensei egyre kevésbé függjenek egymástól - így tetszés szerint lehessen őket mozgatni, változtatni, ezáltal növelni a rendszer rugalmasságát, és csökkenteni a változtatásokhoz szükséges időt. szerver-virtualizáció (Hyper-V, Virtual Server), alkalmazás-virtualizáció (App-V, SoftGrid), desktop-virtualizáció (Med-V, Virtual PC), storage-virtualizáció (iscsi), megjelenítés-virtualizáció (Terminal Services)
Mi is az a virtuális gép? A virtuális gép egy jól elszigetelt szoftver köteg, mely saját operációs rendszerét és alkalmazásait futtatja úgy, mintha egy fizikai számítógép lenne. Egy virtuális gép pontosan úgy működik, mint egy fizikai számítógép, és saját virtuális processzorral, memóriával, merevlemezzel és hálózati kártyával rendelkezik
Mi az a virtuális infrastruktúra? A virtuális infrastruktúra lehetővé teszi, hogy fizikai erőforrásait megossza több virtuális géppel a teljes infrastruktúrán keresztül. Egy virtuális gép lehetővé teszi, hogy megossza egy fizikai gép erőforrásait több virtuális gépen keresztül maximális hatékonysággal.
A Vírtualizáció előnyei Magasabb fokú mobilitás a munkaterhelés dinamikus elosztásának köszönhetően Nagyobb rugalmasság az új megoldások bevezetése és az életciklus-kezelés során Jobb számítógép-kihasználás és ezáltal a beruházások optimalizálása Kisebb helyszükséglet és az alacsonyabb hardverigénynek köszönhetően csökkentett energiaköltségek
A vírtualizáció előnyei A rendszerek fokozott rendelkezésre állása a dinamikus karbantartási és helyreállítási lehetőségek révén Csökkentett karbantartási költségek az összevont infrastruktúrának és az automatizálható folyamatoknak köszönhetően Egyedülálló méretezhetőség az erőforrások rugalmas kezelhetősége révén Nagyobb fokú átláthatóság és alacsonyabb karbantartási költségek
HARDVER vírtualizáció A hardver virtualizáció megfelel egy processzor áramköreinek, és a memóriavezérlőnek, amely lehetővé teszi több operációs rendszer futatását (több VM).
HYPERVISOR A hypervisor vagy Virtual Machine Manager (VMM) egy program, amely a virtuális gép-ek menedzsere, és a hoszt hardware felosztásával teszi lehetővé, több VM, és ezzel több (guest OS) operációs rendszer telepítését, futtatását, egy, egyedüli hw-en. Mindegyik operációs rendszer rendelkezik processzorral, memóriával, és más erőforrásokkal. A hypervisor vezérli a processzort, és az erőforrásokat, allokálva minden operációs rendszerhez, amire szüksége van.
HYPERVISOR
OPERÁCIÓS RENDSZER VIRTUALIZÁCIÓ A operációs rendszer virtualizáció egy módszer, amikor a hoszt operációs rendszeren több virtuális operációs rendszer fut. A hoszt operációs rendszerek általában a szabványos operációs rendszerek (Windows, Linux). A VM-eken elhelyezett OS-ek, illetve alkalmazások újrainstallálás nélkül áthelyezhetők a virtuális környezetben, eltérő infrastruktúrában lévő VM-ekre, illetve a fizikai eszközre vagy onnan a VM-ekre. Virtual to Virtual (V2V) Virtual to Physical (V2P) Physical to Virtual (P2V)
SZERVER VIRTUALIZÁCIÓ A szerver virtualizáció, a szerver erőforrásoknak az elfedése a szerver felhasználói elől, beleértve az eggyes fizikai szervereket, processzorokat, és az operációs rendszereket. A szerver adminisztrátor egy fizikai szerver több szigetelt virtuális környezetre való felosztására, egy szoftver alkalmazást használ. A virtuális környezeteket gyakran virtuális privát szervereknek hívják, de particióknak, guestnek, konténernek vagy emulációnak is nevezik. Azaz a szerver virtualizáció sok szerver funkcionalitást átviszi kevesebb szerverre (konszolidáció).
TÁROLÓ VIRTUALIZÁCIÓ A tároló virtualizáció a fizikai tároló egyesítése, több hálózati tároló eszközből egy tároló eszközzé, amelyet egy központi konzolról kezelnek. A tároló virtualizáció segíti a tároló adminisztrátort a háttér biztosításának a könnyebb megoldásban. A tároló virtualizáció lehetővé teszi sok felhasználónak vagy alkalmazásnak, hogy hozzáférjen a tárolóhoz anélkül, hogy érdekelt lenne, hogy hol, és hogyan van a tároló fizikailag elhelyezve, menedzselve.
ALKALMAZÁS VIRTUALIZÁCIÓ Az alkalmazás virtualizáció, amikor a végfelhasználó rendelkezésére áll, egy távoli, központi szerverről, egy alkalmazás, illetve tárolók anélkül, hogy a felhasználó lokális rendszerén teljesen installálni kellene azt. Ekkor tehát a szerverek, alkalmazások, tárolók, az alkalmazási erőforrások dinamikusan el vannak választva.
DESKTOP VIRTUALIZÁCIÓ A desktop virtualizáció a végfelhasználó számára lehetővé teszi, egy desktop környezetben a jogosult hozzáférést, valamely alkalmazáshoz, attól függetlenül, hogy pillanatnyilag az alkalmazás hol van elhelyezve. Így a felhasználónak egy virtuális interface-e, virtuális eszköze (virtual appliance) van, amelyen indíthatja a hozzáférést a Web, lokális vagy szerver bázisú alkalmazáshoz, anélkül, hogy szüksége lenne Web oldalakra, Windows Start menüre vagy a terminálszolgáltatás intefacére. A virtuális desktop a központi szervertől távol van elhelyezve, lehetővé téve a felhasználónak a hozzáférést a távol, helyben elhelyezett alkalmazásokhoz.
ADAT VIRTUALIZÁCIÓ Az adat virtualizáció, amikor az egyes adat tételek a forrástól el vannak vonatkoztatva, és a különböző adat hozzáférési módszereknek, egy közös adat hozzáférési rétege van.
HÁLÓZAT VIRTUALIZÁCIÓ A hálózat virtualizáció a rendelkezésre álló erőforrások összefogásának módszere, a rendelkezésre álló sávszélesség csatornákra osztására, amelyek függetlenek egymástól, és bármelyik hozzá, illetve visszarendelhető egy szerverhez vagy eszközhöz, valós időben.
DHCP
DHCP Dynamic Host Configuration Protocol Ez a protokoll azt oldja meg, hogy a TCP/IP hálózatra csatlakozó hálózati végpontok (például számítógépek) automatikusan megkapják a hálózat használatához szükséges beállításokat. A DHCP szerver-kliens alapú protokoll, nagy vonalakban a kliensek által küldött DHCP kérésekből, és a szerver által adott DHCP válaszokból áll.
DHCP működése
DHCP 3 féle IP-kiosztás lehetséges DHCP-vel: kézi (MAC cím alapján) automatikus (DHCP-vel kiadható IP-tartomány megadásával) dinamikus (IP-tartomány megadásával, de az IP címek újrahasznosításával )
Mit kap az ügyfél? IP cím Átjáró címe (forgalomirányító) DNS kiszolgálók címei DNS tartománynév Alhálózati maszk Bérleti időtartam WINS csomóponttípus WINS kiszolgálók címei
NetBIOS nevek NetBIOS over TCP/IP = NBT Egyszintes névtér Egyedi nevek, max. 16 karakter Azonosítás szórt üzenetekkel Névfeloldás: név-cím összerendelések tárolása és visszakeresése (csak IPv4)
Névfeloldás
NB Névfeloldási módok osztályozása a névfeloldás helye szerint Helyi: gyorsítótár (ált. 10 percig tartja meg) Helyi: LMHOSTS fájl %SYSTEMROOT%\SYSTEM32\DRIVERS\ETC Kézi feltöltést igényel csak kis és ritkán változó hálózatban WINS kiszolgálóval Regisztrálja az ügyfelek NetBIOS neveit meghatározott időre (lease time), és ügyfél kérésre névfeloldást végez. Üzenetszórással, router nem továbbítja
Munkamenetek WINS kiszolgálóval Névbejegyzés: Ügyfélgép indításkor->ip+név->wins (címbérlet) Névmegújítás Névfelszabadítás lejár a címbérlet Névfeloldás
NB Névfeloldási módok osztályozása a konfigurációs besorolás szerint B-csomópont (broadcast) - nagy forgalmat generál a helyi hálózatban P-csomópont (peer-to-peer) az ügyfél a WINS szerverhez fordul M-csomópont (mixed) először a B-node, és ha az sikertelen, akkor P-node H-csomópont (hybrid) először P-node, és ha az sikertelen, akkor B node. Alapértelmezett.
LLMNR Kapcsolati szintű csoportos névfeloldás Link Local Multicast Name Resolution IPv4 és IPv6 támogatás Csak a helyi alhálózaton belül Fordított lekérdezés is lehetséges NetBIOS over TCP helyett Lépések 1. DNS lekérdezése. Ha nincs DNS kiszolgáló vagy nem válaszol, akkor LLMNR. 2. Az állomás UDP csomagot küld csoportos címzéssel a helyi hálózatra. 3. Ha a keresett gép támogatja az LLMNR-t, akkor egycímes üzenetben küldi az IP címét a lekérdező gépnek
DNS A Windows tartomány neve azonos kell legyen a DNS tartománynévvel Ismétlés: DNS névfeloldás menete DNS gyorsítótár ügyfél gépen Lekérdezés: ipconfig /displaydns Ürítés: ipconfig /flushdns DNS gyorsítótár kiszolgáló gépen mmc konzolról Negatív gyorsítótárazás
DNS névfeloldás
DNS zóna Az adatok visszakeresésének iránya alapján Címkeresési zóna (Forward Lookup Zone) Névkeresési zóna (Reverse Lookup Zone) Szervezési szempontból Szabványos elsődleges (Standard Primary) Szabványos másodlagos (Standard Secondary) Helyettes zóna (Stub)
DNS kiszolgáló típusok Elsődleges (Primary) Másodlagos (Secondary) Gyorsítótárazó (Cache-only)
Zónaadatok tárolása Szöveges fájlokban (szabványos) %SYSTEMNROOT%\SYSTEM32\DNS\*.DNS Címtárba integrálva (MS megoldás) A DNS kiszolgáló a tartományvezérlőn kell legyen. Megvalósítható a zónák és a címtár egységes replikációja.
Gyakran alkalmazott rekord típusok SOA (Start Of Authority) A (Address) AAAA (IPv6) NS (Authoritative Name Server) CNAME (Canonical Name) MX (Mail Exchange) PTR (Pointer) SRV (Service locator) AD-vel integrált DNS kiszolgálón: WINS
NAT (Network Address and Port Translation)
NAT (Network Address and Port Translation) A NAT egy olyan technika, amelynek segítségével egy belső privát hálózat gépeinek IP címeit teljesen elrejthetjük a külső hálózat nyilvánossága elöl. A belső hálózaton levő gépek általában A, B, vagy C osztályú IP címekkel rendelkeznek. Az IP címek kiosztásánál figyelembe kell venni az RFC1957 ajánlását.
NAT (Network Address and Port Translation) A gépek úgy kerülnek kapcsolatba az Internet publikus hálózatával, hogy egy ún. átjáró (gateway) gépen, a NAT-oló gépen keresztül kapcsolódnak. A belső hálózaton levő gépek úgy kommunikálnak a nem lokális hálózaton levő gépekkel, hogy az átjáró gép kernele továbbítja az üzenetcsomagokat a külső és a belső hálózat között.
NAT (Network Address and Port Translation) A továbbítás során kicseréli a belső hálózat IP címeit a saját, publikus IP címére. A külső hálózatból érkező válasz üzenetcsomagoknál ennek az ellenkezőjét teszi, azaz visszacseréli a célállomás IP címét a belső hálózati IP címre, és a csomagot a belső hálózatra továbbítja.
NAT (Network Address and Port Translation)
Könyvtárak megosztása
Hol kell megosztani? Helyi gépen Hálózaton keresztül
Hozzáférés szabályozás NTFS partíción Standard engedélyek Teljes hozzáférés Módosítás Olvasás és végrehajtás Mappa tartalmának listázása Mappa Olvasás, írás, módosítás, törlés almappákra és állományokra Állományok és almappák olvasása, írása, könyvtár törlése Áll.k és almappák megtekintése, kilistázása. Áll.-k végrehajtása. Állk és mappák öröklik Állk és almappák kilistázása, megtekintése és állk végrehajtása. Csak mappák öröklik Állomány Áll. olvasása, írása, módosítása, törlése Áll. olvasása, írása, törlése Áll. olvasása és végrehajtása --- Olvasás Állk és almappák kilistázása, megtekintése Tartalom olvasása Írás Állk és almappák hozzáadása Írás állományba
Hozzáférés szabályozás NTFS partíción A megtagadás mindig erősebb, mint az engedélyezés Szkript futtatásához csak olvasási engedély kell Ha egy felhasználó teljes hozzáférést kap egy mappához, akkor abban az esetben is törölhet, ha az egyes állományokra nincs joga
Standard engedélyek
Speciális engedélyek 1 SpE\St E TH M OV ML O Í Teljes Hozzáférés MF MF MF MF MF MF Mappa bejárása fájl végrehajtása MF MF MF M Mappa lista adatok olvasás MF MF MF M MF Attribútum olvasás MF MF MF M MF Kiterjesztett attribútum olvasás MF MF MF M MF Fájl létrehoz adatok írása MF MF MF Mappák létre adatok hozzá MF MF MF SpE speciális engedélyek StE standard engedélyek M mappák esetén F fájlok esetén TH - Teljes hozzáférés M - Módosítás OV - Olvasás és végrehajtás ML - Mappa tartalmának listázása O - Olvasás Í Írás
Speciális engedélyek 2 SpE\St E TH Mó OV ML O Í Attr írása MF MF MF Kiterjesztett attr írása MF MF MF Almappák és fájlok törlése Törlés MF MF MF Engedélyek olvasása MF MF MF M MF MF Saját tulajdonba v Engedélyek módosítása MF MF
Speciális engedélyek
Access Control List Hozzáférés szabályozási lista Ha létrehozunk egy új mappát, akkor az örökli a szülőtől az ACL-t A speciális részben megszakítható az öröklés A megtagadás erősebb az örökölt engedélyeknél A tulajdonos jogokat adhat és vonhat meg Ha megvonja az engedélyeket a Rendszergazdától, akkor az csak Tulajdonba vétel által juthat hozzáféréshez
Access Control List Alapelv: mindenki csak annyi jogosultsággal rendelkezzen, ami feltétlenül indokolt a munkájához. Cél: a működőképesség és a biztonság garantálása
Könyvtárak és állományok megosztása a hálózaton Általános megosztás (hagyományos, speciális) Nyilvános megosztás %SYSTEMDRIVE%\Users\Public-ba kell másolni a megosztani kívánt állományokat
Könyvtárak megosztása a hálózaton Kiemelt felhasználók vagy Rendszergazdák csoport tagja Hozzáférés szabályozás Olvasás (Read) Módosítás (Modify) Teljes hozzáférés (Full Control) A megosztásnév eltérhet az eredeti könyvtárnévtől Szerepkörök: kiszolgáló: aki megoszt Ügyfél: aki igénybe veszi a megosztást
Mappák megosztása a hálózaton
Megosztás parancssorból net share megosztásnév=helyi elérési útvonal /users:felhasználószám /grant:felhasználó,full CHANGE READ net share megosztásnév /delete Alapértelmezés szerint a Mindenki csoport olvasási engedélyt kap
Megosztott könyvtár elérése Elérés UNC megadásával grafikus felületen vagy parancssorban \\gépnév\megosztásnév Előny: egyszerű Hátrány: lassú Meghajtó betűjel rendelése a megosztáshoz Parancssorban: net use x: \\gép\megosztás /user:xxx jelszó xxx: tartomány\felhasználó xxx: felhasználó@tartomány net use x: /delete Előny: gyors
Meghajtó hozzárendelése tallózás után - grafikus felületen
Meghajtó hozzárendelése
Speciális megosztások Alapértelmezett felügyeleti megosztások Minden partícióhoz egy (pl. C$) ADMIN$ IPC$ PRINT$
Nyomtató megosztása
Megosztott nyomtatókhoz kapcsolódó standard engedélyek Nyomtatás: dokumentumok nyomtatása. Saját dokumentumok nyomtatásának megállítása, újraindítása, törlése valamint nyomtatási jellemzők beállítása. Dokumentumok kezelése: a nyomtatási sorban levő dokumentumok nyomtatásának megállítása, újraindítása, mozgatása és törlése Nyomtatókezelés: nyomtató megosztása, eltávolítása, tulajdonságainak megváltoztatása. Leállítás és újraindítás.
Megosztott nyomtatókhoz kapcsolódó standard engedélyek A jogosultsági listába automatikusan bekerül a Mindenki csoport Nyomtatás engedéllyel Rendszergazdák csoport az összes engedéllyel
Speciális engedélyek Nyomtatás Dokumentumok kezelése Nyomtató kezelés Nyomtatás X X Nyomtató kezelés Dokumentumok kezelése Engedélyek olvasása Engedélyek módosítása Saját tulajdonba vétel X X X X X X X X X
Nyomtató megosztása grafikus felületen
Automatikusan kapott engedélyek