Teljesen új elképzelésTeljesen új elképzelésMinimum környezet – „sallangok” nélkül, viszont Minimum környezet – „sallangok” nélkül, viszont kompromisszumokkalkompromisszumokkal

Kifejezetten bizonyos szerepkörök ellátásáraKifejezetten bizonyos szerepkörök ellátására

Nem külön verzió, hanem egy Nem külön verzió, hanem egy {{ telepítési opció telepítési opció }}

Minden telepítő média tartalmazzaMinden telepítő média tartalmazza

Stabil működésStabil működésCsak a legszükségesebb szerepkörök és Csak a legszükségesebb szerepkörök és képességekképességek

Példa: kevesebb rendszerszolgáltatás (40 / 75)Példa: kevesebb rendszerszolgáltatás (40 / 75)

Minimalizált szoftveres környezetMinimalizált szoftveres környezetNem alkalmazásplatform (főleg nem kliens)Nem alkalmazásplatform (főleg nem kliens)

Viszont: szervizcsomagok, javítások, felügyeleti Viszont: szervizcsomagok, javítások, felügyeleti kliensek és segédprogramokkliensek és segédprogramok

Kevesebb üzemeltetési feladat Kevesebb üzemeltetési feladat „„El van a sarokban, El van a sarokban, { { nem kér enni nem kér enni }}””

Kisebb támadási felület > biztonságosabb Kisebb támadási felület > biztonságosabb működésműködés

A Windows 2000 Server-hez képest kb. 60% A Windows 2000 Server-hez képest kb. 60% kevesebb javítás (WS03 esetén kb. 40%-kal)kevesebb javítás (WS03 esetén kb. 40%-kal)

Standard, Enterprise és DataCenter változatStandard, Enterprise és DataCenter változatx86x86 / / x64 x64 az összes az összes WS08WS08 változat esetén változat eseténLényegesen kisebb erőforrás igényLényegesen kisebb erőforrás igény

CPU: legalább 1 GHz az ajánlottCPU: legalább 1 GHz az ajánlottRAM: a telepítés miatt 512 MBRAM: a telepítés miatt 512 MBHDD: 1,5 GB (8 GB az ajánlott, hosszú távra)HDD: 1,5 GB (8 GB az ajánlott, hosszú távra)

Telepítés Telepítés Frissítés korábbi verziókról > nem lehetségesFrissítés korábbi verziókról > nem lehetségesFrissítés egy teljes WS08 változatról vagy Frissítés egy teljes WS08 változatról vagy változatra > nem lehetségesváltozatra > nem lehetségesEgyetlen frissítési útvonal lesz: Egyetlen frissítési útvonal lesz: { { Server Core R2Server Core R2 }}

GUI (majdnem teljesen)GUI (majdnem teljesen)Kivétel: CMD.exe, Notepad.exe, Regedit.exe, Kivétel: CMD.exe, Notepad.exe, Regedit.exe, MSInfo32.exe, Taskmgr.exe, MSIExec.exe, MSInfo32.exe, Taskmgr.exe, MSIExec.exe, MSDT.exeMSDT.exe

Explorer shellExplorer shell

.NET Framework.NET Framework

MMC konzolokMMC konzolok

Control Panel - Control Panel - kivétel: intl.cpl és timedate.cplkivétel: intl.cpl és timedate.cpl

IE, IE, OE, OE, Media Player, Themes, Windows Media Player, Themes, Windows Mail, Paint, Search, GUI Help,Mail, Paint, Search, GUI Help, stb. stb.

SzerepkörökSzerepkörökADDS, AD LDSADDS, AD LDS

DHCP, DNS szerverDHCP, DNS szerver

File ServicesFile Services

Streaming Media Streaming Media ServicesServices

Print ServicesPrint Services

Web Server (IIS)Web Server (IIS)

Hyper-VHyper-V

KépességekKépességekBitLockerBitLocker

Failover ClusteringFailover Clustering

Multipath I/OMultipath I/O

Removable StorageRemovable Storage

SNMP ServicesSNMP Services

SUASUA

WS BackupWS Backup

WINSWINS

QoSQoS

Initial Configuration Tasks, Server Initial Configuration Tasks, Server Manager, Servemanagercmd.exe Manager, Servemanagercmd.exe nincsnincs

OCList.exeOCList.exeSzerepkörök és képességek állapotának Szerepkörök és képességek állapotának megtekintésemegtekintése

OCSetup.exeOCSetup.exeTelepítés / eltávolítás (csomagnevekkel)Telepítés / eltávolítás (csomagnevekkel)

Pgkmgr.exePgkmgr.exeTelepítési összetevők finomhangolása (pl. IIS7)Telepítési összetevők finomhangolása (pl. IIS7)

.Net Fx, Shell, etc.

Windows Server 2008 Installation

Server Roles (Full only)

TSAD LDS File Etc.SharePoint

NPSFaxDNS DHCP AD

VirtMedia Server

WVSIIS 7Print

Server Core Roles (Full also)

Core OS Elements

Security, Networking, RPC, etc.

Kernel, HAL, etc.

Hardware Dependencies

Server Core Installation Full Installation

Hardware

Disk, NIC, etc.

Core OS Elements (Full only)

A kernel ugyanaz mint a teljes WS08-nálA kernel ugyanaz mint a teljes WS08-nál

Ha egy bináris fájl megtalálható a Server Ha egy bináris fájl megtalálható a Server Core változatnál, az is ugyanazCore változatnál, az is ugyanaz

Ha egy konfigurációs beállítás Ha egy konfigurációs beállítás alkalmazható mindkettőnél akkor sincs alkalmazható mindkettőnél akkor sincs különbség a megvalósításbankülönbség a megvalósításban

pl. egy szolgáltatás startja, vagy egy tűzfal pl. egy szolgáltatás startja, vagy egy tűzfal szabályszabály

Speciális Server Core Speciális Server Core rendszerszolgáltatás nincsrendszerszolgáltatás nincs

MinimMinimálisális in-box in-box eszközmeghajtóeszközmeghajtóStorageStorage, hálózati kártya, standard VGA, , hálózati kártya, standard VGA, nyomtató driver viszont egy sincs!nyomtató driver viszont egy sincs!

A PA Plug and Play lug and Play alrendszer viszont igenalrendszer viszont igen

Eszközmeghajtó telepítése: pnputil.exeEszközmeghajtó telepítése: pnputil.exe

Aláírás szükséges? > Group PolicyAláírás szükséges? > Group Policy

Alkalmazás kompatibilitás vizsgálat és Alkalmazás kompatibilitás vizsgálat és tesztelés ajánlotttesztelés ajánlott

UAC nincsUAC nincs

Az alapértelmezett Az alapértelmezett felhasználói felület: felhasználói felület: a parancssora parancssor

Viszont Viszont használhatjuk a használhatjuk a Feladatkezelőt pl. a Feladatkezelőt pl. a be- és kilépésre, be- és kilépésre, illetve a cmdilletve a cmd.exe .exe indítására is.indítására is.

Példa a konfigurálásraA háttérszín változtatáshoz:HKEY_CURRENT_USER\Control Panel\Colors Value: BackgroundDefault Data Value: 29 95 122 (RGB value)

Cmd.exe (parancssori eszközök)Cmd.exe (parancssori eszközök)

SCRegedit.wsf (SC Registry Editor)SCRegedit.wsf (SC Registry Editor)AU kliens engedélyezéseAU kliens engedélyezése

Remote DesktopRemote Desktop engedélyezése engedélyezése

DNS SRV reDNS SRV rekkord ord súlyozás és prioritás beállítássúlyozás és prioritás beállítás

IPSec MonitorIPSec Monitor engedélyezése engedélyezése

+ egyebek is, nézzük meg a Notepad-del+ egyebek is, nézzük meg a Notepad-del

Csak a Server Core-on elérhetőCsak a Server Core-on elérhető

Remote DesktopRemote DesktopA régi és az új RD klienseket eltérő módon lehet A régi és az új RD klienseket eltérő módon lehet engedélyezni > SCRegedit.wsfengedélyezni > SCRegedit.wsf

TS: Server Core CMD.exe > TS RemoteAppTS: Server Core CMD.exe > TS RemoteApp

MMC konzolokMMC konzolokTeljes mellszélességgel (pl. RSAT)Teljes mellszélességgel (pl. RSAT)

Ha nincs tartományban > tűzfal konfigurálásHa nincs tartományban > tűzfal konfigurálás

Group PolicyGroup PolicyTeljes mértékben alkalmas kliensnekTeljes mértékben alkalmas kliensnek

Akár WMI filterekkel elválasztva is kezelhetjükAkár WMI filterekkel elválasztva is kezelhetjük

Windows Remote Management (WinRM)Windows Remote Management (WinRM)Teljeskörű távoli felügyelet – parancssorbólTeljeskörű távoli felügyelet – parancssorból

Biztonságos, tűzfalbarát (pl. Kerberos és https)Biztonságos, tűzfalbarát (pl. Kerberos és https)

A kliens (WinRS) a Vistában gyárilag benne vanA kliens (WinRS) a Vistában gyárilag benne vanWinRM 1.1 telepíthető XP / WS03-reWinRM 1.1 telepíthető XP / WS03-re

winrm quickconfig – a listener létrehozásawinrm quickconfig – a listener létrehozása

PowerShell és a WMI szkriptekPowerShell és a WMI szkriptekA Powershell nem telepíthető lokálisanA Powershell nem telepíthető lokálisan

De WMI-n keresztül használható távolbólDe WMI-n keresztül használható távolból

Standard WMI szkriptek viszont működnekStandard WMI szkriptek viszont működnek

Branch Office

A RA RODC egy új tartományvezérlő típusODC egy új tartományvezérlő típusÚgyanúgy tartalmazza a címtár egy példányát Úgyanúgy tartalmazza a címtár egy példányát mint a többi DC (a fiók jelszavakat persze nem)mint a többi DC (a fiók jelszavakat persze nem)

Csak éppen ez a példány írásvédett Csak éppen ez a példány írásvédett Sem a kliensek, sem az alkalmazások nem Sem a kliensek, sem az alkalmazások nem írhatnak (közvetlenül) a RODC írhatnak (közvetlenül) a RODC címtárpéldányábacímtárpéldányába

Az írás kéréseket a legközelebbi írható DC Az írás kéréseket a legközelebbi írható DC kezeli lekezeli le

Olvasni viszont gond nélkül lehetOlvasni viszont gond nélkül lehet

Kifejezetten telephelyekenKifejezetten telephelyekenAhol a WAN kapcsolat miatt lassú a DC elérésAhol a WAN kapcsolat miatt lassú a DC elérés

Ahol a WAN kapcsolat hiányában is kell DCAhol a WAN kapcsolat hiányában is kell DCAhol ugyanezek miatt GC-re is szükség vanAhol ugyanezek miatt GC-re is szükség van

Ahol a kiszolgálón szükség van helyi Admin fiókra, Ahol a kiszolgálón szükség van helyi Admin fiókra, de nincs szükség (sőt!) a címtár jogosultságokrade nincs szükség (sőt!) a címtár jogosultságokra

Ahol nincs kvalifikált szakemberAhol nincs kvalifikált szakember

Ahol nem garantálható a fizikai biztonságAhol nem garantálható a fizikai biztonság

Ahol akár egy külső cégnek is be kell lépni az Ahol akár egy külső cégnek is be kell lépni az egyetlen kiszolgálón (ami persze DC is egyben)egyetlen kiszolgálón (ami persze DC is egyben)

Az erdő és a tartomány működési szintje: Az erdő és a tartomány működési szintje: Windows Server 2003 Windows Server 2003 vagy magasabbvagy magasabb

adprep /rodcprep adprep /rodcprep a Sa Schema masterchema master DC-n DC-nA DNS partíciók replikálásához szükségesA DNS partíciók replikálásához szükséges

Legalább egy írható WS08 DC-nek lennie Legalább egy írható WS08 DC-nek lennie kell az adott tartománybankell az adott tartományban

Ez lesz a Ez lesz a RODC repliRODC replikációs kációs partnerpartneree

A Server Core is lehet RODC, sőt…A Server Core is lehet RODC, sőt…

Password Replication PolicyPassword Replication PolicyAz alapértelmezettől eltérően adott csoportoknak Az alapértelmezettől eltérően adott csoportoknak vagy fiókoknak lekerülhet a jelszava a RODC-revagy fiókoknak lekerülhet a jelszava a RODC-re

Ezzel a belépés megoldható lesz a WAN Ezzel a belépés megoldható lesz a WAN kapcsolat hiányában iskapcsolat hiányában is

Nem a RODC-n állítjuk be, hanem egy központi Nem a RODC-n állítjuk be, hanem egy központi WS08 DC-nWS08 DC-n

„„AllowedAllowed” és „Denied” ” és „Denied” RODC Password RODC Password Replication GroupReplication Group

A stratégia eldöntése szép feladat A stratégia eldöntése szép feladat

Helyi Admin fiók a RODC-nHelyi Admin fiók a RODC-nBármely tartományi fiók vagy csoport delegálható Bármely tartományi fiók vagy csoport delegálható helyi Adminként helyi Adminként

Ergo nem kell a Domain Admins csoporttagságErgo nem kell a Domain Admins csoporttagság

Mindent megtehet ami egy helyi admin általábanMindent megtehet ami egy helyi admin általában

De a címtárhoz egyáltalán nem fér hozzáDe a címtárhoz egyáltalán nem fér hozzá

Hatókör: csak az adott RODC!Hatókör: csak az adott RODC!

„„Unidirectional” v. one-way replikációUnidirectional” v. one-way replikációA replikáció egyirányú, azaz csak „lefelé”A replikáció egyirányú, azaz csak „lefelé”

Ez a tulajdonság a Ez a tulajdonság a SYSVOL SYSVOL replikációra is igaz replikációra is igaz (akkor is, ha (akkor is, ha DFSDFS--RR a típus a típus))

Filtered Attribute SetFiltered Attribute SetNem muszáj minden Nem muszáj minden objektum minden objektum minden attribútumát replikálni attribútumát replikálni a RODC-rea RODC-re

Dinamikusan Dinamikusan állíthatjuk be (a állíthatjuk be (a sémában) a tiltott sémában) a tiltott attribútumokatattribútumokat

Csak WS08 erdő Csak WS08 erdő működési szinten!működési szinten!

Read-Only DNSRead-Only DNSA DNS kiszolgáló telepíthető és használható a A DNS kiszolgáló telepíthető és használható a RODC-nRODC-n

De a közvetlen dinamikus frissítés tiltottDe a közvetlen dinamikus frissítés tiltott

A A RODC RODC alapesetben csak a alapesetben csak a ForestDNSZones ForestDNSZones és és DomainDNSZonesDomainDNSZones rekordjait replikálja rekordjait replikálja

Azonban, a RODC képes továbbítani a DNS írási Azonban, a RODC képes továbbítani a DNS írási kéréseketkéréseket

Így egy írható DNS-en keresztül visszareplikálódik a Így egy írható DNS-en keresztül visszareplikálódik a megfelelő DNS partícióba a rekord tartalmamegfelelő DNS partícióba a rekord tartalma

Előzetes lépések – központ:- Komplett, írható WS08 DC felállítása- Működési szint „belövése”, séma frissítés a RODC miatt- RODC admin fiók létrehozása

- { Esetleg az IFM média elkészítése }

Előzetes lépések – telephely:- Szűz WS08 telepítése, IP és DNS beállítás

Előzetes lépések- Komplett, írható WS08 DC felállítása- Működési szint „belövése”, séma frissítés a RODC miatt- RODC admin fiók létrehozása

- Server Core telepítés és aktiválás (kb. 20 perc )- Server Core admin jelszó, gépnév, IP és DNS beállítás- RDP és tűzfal engedélyezés

{{ Kezdés 13:40-Kezdés 13:40-kor kor }}