DFS • Distributed File System • Umožňuje organizovat víc SMB sdílení do jednoho logického adresáře • Snižuje zatížení sítě, vysoká dostupnost dat,• Snižuje zatížení sítě, vysoká dostupnost dat, zjednodušení přístupu ke sdíleným složkám • Access-based enumeration (Server 2008 mode) • Dfsutil, dfscmd, dfsradmin, dfsdiag DFSN DFSN • Domain-based namespace – \\domainName\dfsStore – Více namespace serverů – Namespace provázaný s názvem domény (DNS/netbios název) – Možnost replikace dat skrze DFSR– Možnost replikace dat skrze DFSR – Nastavení uloženo v AD • Stand-alone namespace – \\serverName\dfsStore – Jeden namespace server (Failover Cluster) – Namespace provázaný s názvem serveru – Nastavení uloženo v registrech Porovnání DFS Porovnání DFS DFSR • Replikace SYSVOL pomocí modernějšího DFS namísto FRS • Rychlejší, spolehlivější, lepší diagnostika (dfsrdiag) • Nutný AD functional level alespoň 2008 a všechny servery alespoň Windows Server 2008servery alespoň Windows Server 2008 • Využívá Remote Differencial Compression (RDC) – po síti se přenáší jen změněné části souborů (delta files) • Dojde k vytvoření nového SYSVOL adresáře (%windir%\SYSVOL_DFSR) • dfsrmig Delegování oprávnění • Důvody – Bezpečnost (princip minimálních oprávnění) – Administrace (odchod, výměna, přidání pracovníka)pracovníka) – AGDLP AGDLP & AGUDLP • Doporučená strategie pro nastavení přístupu k doménovým prostředkům • Accounts -> Global groups ->Domain Local group -> Permissions Global groups reprezentují pracovní role• Global groups reprezentují pracovní role (G_Auditing_Specialists) a domain local groups oprávnění na zdroj (DL_NTFS_SHARED_REPORTS_MODIFY) • Účty ani globální skupiny by neměly mít přímo přidělená oprávnění (jen skrze domain local g.) AGDLP převzato z MCTS Exam 70-640 Groups • Replication, membership, availability • Group scope – Local – Domain local • Členové z jakékoli důvěryhodné domény v lese • Přístup jen k prostředkům v rámci vlastní domény• Přístup jen k prostředkům v rámci vlastní domény – Global • Členové jen z vlastní domény • Přístup ke všem prostředkům v lese – Universal • Členové z jakékoli domény krom externích • Přístup ke všem prostředkům v lese • Ukládají se na GC (replikace!) • Enterprise admin, Schema admins Group membership převzato z MCTS Exam 70-640 WSUS • Centrální řešení pro nasazení a správu aktualizací Windows produktů (i produktů třetích stran) • Local Update Publisher & System Center Update Publisher (monitoring?) • WSUS & GPO• WSUS & GPO • Jeden server na cca 25000 klientů • Nativní podpora high availability architecture (clusters) • BITS (Background Intelligent Transfer Service) – Omezení síťové komunikace – Peer caching • WSUS SP2 – Branch cache (jen enterprise edice win7!) – Podpora Win7 klientů WSUS WSUS architektura • Centralized – Centrální server se replikuje na downstream servery – Malé možnosti adminů u replikovaných serverů – Povolování a plánování aktualizací se provádí na centrálním serveru • Distributed – Admini mají větší „moc“, sami vytváří skupiny a povolují akt.– Admini mají větší „moc“, sami vytváří skupiny a povolují akt. – Cílem je spíš distribuce aktualizací než kontrola • Disconnected – Data se importují z fyzického média (ne z internetu) • Roaming – Pro mobilní klienty – Distribuují se jen metadata o povolených aktualizacích, ty se stahují přímo z MS serverů Terminal Services Role • Jedna z rolí Windows Server 2008 umožňující uživatelům nejen vzdálený přístup • TS RemoteApp • TS Printing• TS Printing • TS Web Access • TS Licensing • TS Gateway • TS Session Broker TS RemoteApp • slouží pro vzdálený přístup k nainstalovaným aplikacím na serveru • Aplikace se jeví jako by běžela lokálně (včetně popup oken) Alespoň Windows XP SP2 (RDC 6.0)• Alespoň Windows XP SP2 (RDC 6.0) • Přístup k app skrze – Rdp&MSI soubor distribuovaný administrátorem – Poklepání na soubor s koncovkou asociovanou k remoteApp aplikaci – Odkaz na TS Web Access (aspoň RDC 6.1 – XP SP3) TS Web Access • Role umožňující připojení skrze webový prohlížeč na vzdálenou plochu či ke spuštění remoteApp • Nutnost nainstalovat i IIS• Nutnost nainstalovat i IIS • TS Web Access server nemusí být terminal server TS Printing • Umožňuje klientům tisknout ze vzdálené plochy na jejich lokální tiskárně TS LicensingTS Licensing • Umožňuje efektivní správu CAL licencí (client access licence) TS Session Broker • Umožňuje session load balancing mezi terminálními servery v serverové farmě • Směruje uživatele na server obsluhující nejméně session (sezení)nejméně session (sezení) TS Gateway • Role umožňující klientům přistupovat z internetu k intranetovým zdrojům skrze zabezpečené RDC spojení přes https bez nutnosti VPN • Lokální zdroj může být samotný TS, stanice, TS s• Lokální zdroj může být samotný TS, stanice, TS s remoteApp • Umožňuje přístup k zdrojům za NATem, firewallem,..(využívá port 443) • Umožňuje využití NAP pro další zvýšení zabezpečení Windows Deployment Service role • Role vycházející ze starší Remote Installation Services umožňující vzdálené nasazení operačních systémů Windows • Požadavky – NTFS file system pro ukládání obrazů OS DNS a DHCP servery na síti– DNS a DHCP servery na síti – PXE (preboot execution environment) – AD doména – Pro nasazení image přes IPv6 je potřeba Windows Server 2008 R2 • Boot, installation, capture, discovery image, WAIK, MDT SCCM • System Center Configuration Manager • Nástroj z rodiny produktů Systém Center pro centralizovanou správu Windows prostředí – Nasazení aplikací – Nasazení aktualizací – Nasazení Windows OS (zero touch)Nasazení Windows OS (zero touch) – Správa mobilních zařízení – Kontrola dodržování nastavených zásad (Desired Configuration Mng.) – Power management – NAP – Asset Intelligence – Inventory – Software metering – Monitoring