Fiókirodák és globális irodák

Fiók- és globális irodák felügyelete a Windows Server 2008 rendszerrel

A működésük határait földrajzilag távoli irodai helyszínekre is kiterjesztő szervezetek esetében az elosztott infrastruktúra erőforrásainak kezelése és a kommunikációs csatornák optimalizálása komoly kihívásként jelentkezhet. A Windows Server 2008 rendszerrel megőrizhetők a helyi fiókirodai szolgáltatások teljesítménybeli, rendelkezésre állási és hatékonysági előnyei, ugyanakkor legyőzhető számos, a vegyes fiók- és globális irodai környezet jellegéből adódó kihívás.

A Windows Server 2008 segíteni tud a fiókirodákból és globális irodákból álló környezetekben a rendszerbe állítási folyamatok korszerűsítésében, a fokozottan biztonságos és megbízható hálózati működés biztosításában, illetve a felügyeleti költségek csökkentésében.

Központi Windows-telepítési szolgáltatások

A Központi Windows-telepítési szolgáltatások (Windows Deployment Services - WDS) segítségével automatizálható az operációs rendszerek telepítése a fiókirodai környezetekben, ahol korlátozottan vagy egyáltalán nem áll rendelkezésre megfelelő informatikai személyzet. A Központi Windows-telepítési szolgáltatások használatával gyorsan üzembe helyezhetők az új rendszerek még abban az esetben is, ha azokat operációs rendszer nélkül szállították le. Az operációs rendszer telepítéséhez csupán minimális felhasználói beavatkozás szükséges, amely általában annyit jelent csupán, hogy a telepítést végző személy bejelentkezik a hálózatra, és kiválasztja a telepítendő operációsrendszer-képet.

Hálózatvédelem

A hálózatvédelem (Network Access Protection - NAP) házirend-érvényesítési platform, amelynek használatával ellenőrizhetők a rendszer állapotára vonatkozó követelmények. Amikor egy ügyfélgép csatlakozik a hálózathoz, a NAP szolgáltatás összetevői ellenőrzik, hogy az összes szükséges frissítés telepítve van-e és minden rendszerkonfigurációs beállítás megfelelő-e, és csak ezt követően engedélyezik a rendszer számára a csatlakozást. A System Center Configuration Manager 2007 termékkel együttes használata esetén azok a rendszerek, amelyek nem teljesítik a szervezet által meghatározott házirend előírásait, automatikusan elláthatók a megfelelő elemekkel, hogy teljesüljenek a követelmények. A NAP szolgáltatással ellenőrizhető a mobil munkaerő hordozható számítógépeinek rendszerállapota, biztosítható az asztali számítógépek folyamatosan megfelelő állapota, megállapítható a vendég rendszerek – például a partnerek számítógépeinek – állapota, valamint ellenőrizhető, hogy a nem felügyelt otthoni számítógépek is teljesítik-e a házirend előírásait.

BitLocker meghajtótitkosítás

A fiókirodai környezetben előfordulhat, hogy nem oldható meg a kiszolgálók fizikai védelme. Az olyan helyzetekben, amikor bizalmas adatok érintetlenségét kell megőrizni, előfordulhat, hogy az adatokra vonatkozó engedélyek és a kiszolgálón végrehajtható műveletekkel kapcsolatos jogosultságok megadása mellett további biztonsági funkció is szükséges. A BitLocker meghajtótitkosítás használatával az adathordozón található összes adat titkosítható. A BitLocker két jelentős adatvédelmi eljárás együttesét jelenti: egyrészt titkosítja a Windows operációs rendszer teljes kötetét a merevlemezen, másrészt ellenőrzi a rendszerindítás kezdeti szakaszában részt vevő összetevők épségét és a rendszerindítási konfiguráció adatait.

A Windows Server 2008 rendszer Server Core telepítése

A Wndows Server 2008 rendszer Server Core telepítési lehetősége minimális szintű operációsrendszer-környezetet biztosít, amely meghatározott szolgáltatásokat és korlátozott felügyeleti kezelőfelületet tartalmaz. A felügyeleti funkciók kizárólag parancssori felületen keresztül érhetők el, és a kiszolgálón futtatható szolgáltatások köre is korlátozott, ami csökkenti a rendszer általános támadási felületét. A Windows Server Core a következő szerepköröket támogatja:

  • DHCP (dinamikus állomáskonfigurációs protokoll)
  • Fájlkezelés és nyomtatás
  • Active Directory tartományi szolgáltatások (AD DS)
  • Írásvédett tartományvezérlő (RODC)
  • Active Directory Lightweight Directory-szolgáltatások (AD LDS)
  • Windows Media Services (WMS)
  • Internet Information Server 7.0 (IIS 7.0)
  • Tartománynévrendszer (DNS)

Írásvédett tartományvezérlők

Az írásvédett tartományvezérlő (RODC) olyan tartományvezérlő, amely az Active Directory adatbázisának írásvédett verzióját tartalmazza, és olyan környezetekben állítható rendszerbe, ahol a tartományvezérlő biztonsága nem garantálható. Ilyenek lehetnek az olyan fiókirodák, ahol kérdéses a tartományvezérlő fizikai védettsége, vagy az olyan tartományvezérlők, amelyeken további szerepkörök is futnak, ezért más felhasználóknak is be kell jelentkezniük a kiszolgáló karbantartása céljából. Az írásvédett tartományvezérlők használata többféle előnnyel is jár:

  • Az írásvédett tartományvezérlők alkalmazásával a fiókirodában végrehajtott módosítások nem károsíthatják vagy tehetik tönkre az Active Directory-erdőt a replikáción keresztül.
  • Az írásvédett tartományvezérlők alkalmazása esetén nincs szükség előkészítő helyre a fiókirodák tartományvezérlőinek üzembe helyezésekor, sem arra, hogy a fiókirodába telepítési adathordozókat és tartományi rendszergazdát kelljen kiküldeni.
  • Az írásvédett tartományvezérlő rendszerbe állítása a fiókirodai felhasználók számára is kedvező lehet, hiszen a hitelesítés helyben elvégezhető, így nem kell egy esetleg nem mindig tökéletesen működő hálózati kapcsolatra hagyatkozni.

Ha szeretne többet megtudni, keresse fel az Active Directory szolgáltatással foglalkozó oldalt.

Kiszolgálók közötti IPSec-hitelesítés

A Windows Server 2008 és Windows Vista rendszerek használata esetén az IPSec protokoll immár támogatja az AuthIP néven ismert felhasználói szintű hitelesítést is. Az AuthIP számos előnnyel bír az eredeti IPSec protokollhoz képest, amely a Windows operációs rendszerek korábbi verzióiban szerepelt.

  • A hitelesítés a felhasználók hitelesítő adatainak segítségével történhet. A felhasználói szintű hitelesítés alapulhat Kerberos vagy NT/LAN Manager version 2 (NTLM v2) protokollon, felhasználói tanúsítványokon, vagy a számítógép állapottanúsítványán is.
  • A számítógép csatlakozáskor többféle hitelesítő adat használatával ellenőrizhető, majd az erőforrásokhoz való hozzáférés a felhasználói hitelesítő adatok segítségével szabályozható.
  • A hitelesítési módszer fejlettebb egyeztetésének köszönhetően a rendszerek könnyebben tudnak kapcsolatot létesíteni az ügyfél és a kiszolgáló között. Többféle hitelesítési módszer konfigurálható, és a rendszerek egyeztetik a szükséges módszert, így a kapcsolat létesítése nem hiúsul meg az első egyeztetési kísérlet sikertelensége után.
  • Az aszimmetrikus hitelesítés lehetővé teszi eltérő hitelesítési módszerek alkalmazását attól függően, hogy a kommunikációt honnan kezdeményezik. Az aszimmetrikus hitelesítés használatával egyirányú megbízhatósági kapcsolatot lehet megadni a belső hálózat tartománya és egy peremhálózati tartomány között. Az aszimmetrikus hitelesítéssel Kerberos-hitelesítést lehet konfigurálni arra az esetre, amikor a kommunikációt az intraneten található számítógép kezdeményezi, illetve tanúsítványalapú hitelesítést, ha a kommunikációt a peremhálózaton található számítógép indítja.

Az Active Directory replikációjával kapcsolatos fejlesztések

Az Active Directory replikációja a korábbinál hatékonyabb a Windows Server 2008 verzióban. A tartományvezérlők Windows Server 2008 rendszerre való frissítése után az Active Directory a változások replikálásához az elosztott fájlrendszeri replikáció (DFS-R) szolgáltatást használja. A DFS-R szolgáltatás csak az attribútumok változásait replikálja. Ez a részletes, csak az eltéréseket kezelő ún. deltareplikáció csökkenti a kommunikációs csatornákon keresztül továbbítandó adatok mennyiségét.

Következő generációs TCP/IP

A Windows Server 2008 teljesen újratervezett TCP/IP protokollcsomagot tartalmaz. A Windows Server 2008 az IP protokoll 4-es verzióját (IPv4) és 6-os verzióját (IPv6) egyaránt önállóan támogatja. A következő generációs TCP/IP-megvalósítás számos új funkciójának tervezésénél a fő cél az volt, hogy napjaink távoli rendszerkörnyezeteinek szükségletei érvényesüljenek, különös tekintettel a lassabb, kevésbé megbízható hálózati kapcsolatokkal működő távoli helyszínekre.

SMB 2.0

A kiszolgálói üzenetblokk (Server Message Block - SMB) 2.0-s verziójának újratervezésekor napjaink összetett hálózati környezeteit és a következő generációs fájlkiszolgálókat tartottuk szem előtt. Az SMB 2.0 protokoll számos kommunikációs fejlesztést kínál, többek között fokozott teljesítményt a nagy késleltetésű kapcsolaton át történő csatlakozáskor, valamint nagyobb biztonságot a kölcsönös hitelesítésnek és az üzenetek aláírásának köszönhetően.

Kiszolgálóvirtualizáció

A kiszolgálók virtualizáció segítségével történő összevonása fontos szempontot jelent mindazon szervezetek számára, amelyek távoli fiókirodái korlátozott informatikai költségvetéssel és adminisztratív munkaerővel működnek. A Windows Server 2008 rendszer elérhető a Hyper-V technológiával is, amely a Microsoft következő generációs, hypervisor-alapú virtualizációs technológiája. A Hyper-V számos üzleti kihívás leküzdéséhez jelent segítséget, és a következő előnyöket nyújtja a fiók- és a globális irodák számára:

  • A kiszolgálói szerepkörök virtualizálása és összevonása egyetlen fizikai számítógépen futó külön virtuális gépek (VM) formájában, más gyártóktól származó szoftverek beszerzése nélkül
  • Különböző operációs rendszerek – Windows, Linux és egyéb rendszerek – támogatása
  • A virtuális rendszerek egyszerű áttelepítése egyik fizikai kiszolgálóról a másikra
  • Windows Server-virtualizációs (WSv) állomások vagy a WSv állomásokon futó virtuális gépek fürtözése, valamint a virtuális gépek működés közbeni biztonsági mentése a virtualizált kiszolgálók magas rendelkezésre állása érdekében
  • Új felügyeleti eszközök és teljesítményszámlálók a virtualizált környezetek könnyebb kezelése és felügyelete érdekében
  • Virtuális gépről készült pillanatfelvétel egy-egy korábbi állapot egyszerű visszaállításához
  • Nagyobb teljesítmény és biztonság
  • Hatékonyabb hozzáférés az adattárolókhoz a tárolóhálózatok (SAN) és a belső lemezegységek elérésének támogatásával

Ha szeretne többet megtudni, keresse fel a kiszolgálók virtualizációjával és összevonásával foglalkozó oldalainkat.

Megjelenítési virtualizáció a Terminálszolgáltatások használatával

A Windows Server 2008 verzióban található Terminálszolgáltatások használatával központi hozzáférés biztosítható az alkalmazásokhoz anélkül, hogy ehhez a teljes távoli asztalt kellene szolgáltatni: a felhasználó számára úgy tűnik, mintha az alkalmazás a helyi asztalon (számítógépen) futna, miközben csupán a távoli gépen futó alkalmazás megjelenítését észleli. A Windows Server 2008 rendszerben található Terminálszolgáltatások segítségével a szervezetek virtuális magánhálózat (VPN) használata és a tűzfalon felesleges portok megnyitása nélkül tudnak biztonságosabb hozzáférést biztosítani a centralizált alkalmazásokhoz. Ezzel a megoldással egyszerűbben lehet az alkalmazások és az adatok biztonságos táveléréséről gondoskodni. Több kiszolgálót tartalmazó környezetekben könnyen biztosítható az optimális teljesítmény az új terheléselosztási funkciók segítségével, mert a munkamenetek eloszthatók a legalacsonyabb terhelésű erőforrások között.

Ha szeretne többet megtudni, keresse fel a Megjelenítési virtualizáció a Terminálszolgáltatások használatával című oldalt.