*
Microsoft Windows Server 2008 R2

Firemné pobočky

Správa firemných pobočiek pomocou systému Windows Server 2008

V prípade organizácií, ktoré rozšírili hranice svojich kancelárií aj na geograficky rozptýlené firemné pobočky, môže správa rozptýlených prostriedkov infraštruktúry a optimalizácia komunikačných kanálov predstavovať závažný problém. Pomocou systému Windows Server 2008 môžete zaistiť zachovanie výhod z hľadiska výkonu, dostupnosti a produktivity služieb miestnych pobočiek a zároveň vyriešiť rôzne problémy spojené so správou zmiešaného prostredia firemnej pobočky a globálnej kancelárie.

Windows Server 2008 môže zjednodušiť nasadenie, zaistiť vysoko zabezpečené a spoľahlivé pripojenie a znížiť réžiu na správu firemných pobočiek.

Služba nasadenia systému Windows

Služba nasadenia systému Windows (Windows Deployment Services, WDS) umožňuje automatizovať nasadenie operačných systémov v prostredí pobočiek, kde je k dispozícii len obmedzený počet alebo vôbec žiadny správca. Pomocou Služby nasadenia systému Windows je možné rýchlo sprevádzkovať nové počítače, a to aj tie, ktoré sú dodané bez operačného systému. Na inštaláciu operačného systému je nutný len minimálny zásah zo strany používateľa, pričom obvykle stačí sa prihlásiť k sieti a zvoliť bitovú kópiu operačného systému, ktorá má byť nasadená.

Architektúra NAP (Network Access Protection)

Network Access Protection (NAP) je platforma pre vynucovanie zásad, pomocou ktorej je možné overovať požiadavky na stav systému. Keď sa klienti pripoja k sieti, môžu súčasti architektúry NAP overiť, či sú splnené všetky požiadavky na aktualizácie a nastavenia konfigurácie systému, a až potom umožní systému sa pripojiť. Vďaka použitiu produktu System Center Configuration Manager 2007 je možné akýkoľvek systém, ktorý nezodpovedá požiadavkám zásad určeným organizáciou, automaticky uviesť do zodpovedajúceho stavu. Pomocou architektúry NAP je možné skontrolovať stav prenosných počítačov mobilných pracovníkov, zaistiť vždy zodpovedajúci stav stolových počítačov, určiť stav systémov návštevníkov, napríklad počítačov partnerov, a overiť súlad a stav nespravovaných domácich počítačov.

BitLocker Drive Encryption

V prostredí firemných pobočiek nemusí byť možné fyzicky zabezpečiť servery. V prípadoch, kedy je nutné zaistiť integritu citlivých informácií, môže byť nutné zaistiť inú možnosť zabezpečenia okrem riadenia oprávnení na manipuláciu s dátami a práv na vykonávanie akcií na serveri. Pomocou nástroja BitLocker Drive Encryption je možné všetky dáta na médiu úložiska šifrovať. BitLocker je kombináciou dvoch hlavných prístupov k ochrane dát: šifrovanie celého zväzku operačného systému Windows na pevnom disku a overovanie integrity súčastí používaných v prvých fázach spúšťania systému a konfiguračných dát spúšťania.

Inštalácia serverového jadra systému Windows Server 2008

Možnosť inštalácie serverového jadra systému Windows Server 2008 predstavuje minimálne prostredie operačného systému tvorené iba konkrétnymi požadovanými službami a obmedzeným rozhraním pre správu. Obmedzenie funkcií na rozhranie príkazového riadka pre správu a obmedzenie služieb, ktoré je povolené spúšťať na serveri, obmedzuje počet cieľov potenciálnych útokov na systém. Serverové jadro systému Windows podporuje nasledujúce roly:

  • Protokol DHCP (Dynamic Host Configuration Protocol)
  • Súborové a tlačové služby
  • Active Directory Domain Services (AD DS)
  • Radič domény len pre čítanie (Read-Only Domain Controller, RODC)
  • Active Directory Lightweight Directory Services (AD LDS)
  • Windows Media Services (WMS)
  • Internetová informačná služba 7.0 (IIS 7.0)
  • Domain Name System (DNS)

Radiče domény len pre čítanie

Radič domény len pre čítanie je radič domény s databázou služby Active Directory len pre čítanie, ktorý je možné nasadiť v prostrediach, kde nie je možné zaistiť zabezpečenie radiča domény. To zahŕňa pobočky, kde nie je isté fyzické zabezpečenie radiča domény, alebo radiče domény, ktoré sú hostiteľmi ďalších rolí vyžadujúcich, aby sa k serveru prihlasovali a udržiavali ho ďalší používatelia. Používanie radiča domény len pre čítanie prináša nasledujúce výhody:

  • Radiče domény len pre čítanie umožňujú zaistiť, aby kvôli zmenám vykonávaným v pobočkách nemohlo prostredníctvom replikácie dôjsť k zneprehľadneniu alebo poškodeniu doménovej štruktúry služby Active Directory.
  • Radiče domény len pre čítanie odstraňujú potrebu použitia prípravnej lokality pre radiče domény firemných pobočiek či vyslanie správcu domény s inštalačnými médiami do firemnej pobočky.
  • Nasadenie radiča domény len pre čítanie môže priniesť výhody taktiež používateľom vo firemných pobočkách, a to tak, že im umožňuje overovať sa miestne, a nie je preto nutné sa overovať pomocou nekonzistentného sieťového prepojenia.

Ďalšie informácie nájdete na stránke Active Directory.

Overovanie medzi hostiteľmi pomocou protokolu IPSec

V systéme Windows Server 2008 a Windows Vista teraz protokol IPSec podporuje overovanie na používateľskej úrovni, ktoré je označované ako AuthIP. AuthIP zahŕňa niekoľko výhod v porovnaní s pôvodným protokolom IPSec, ktorý bol súčasťou predchádzajúcich verzií operačného systému Windows.

  • Pomocou používateľských poverení je možné vynútiť overovanie. Overovanie na používateľskej úrovni môže byť založené na protokole Kerberos, používateľských povereniach NT/LAN Manager verzia 2 (NTLM v2), používateľských certifikátoch alebo na certifikáte stavu počítača.
  • Na overenie počítača pri pripojení je možné použiť viac poverení a pomocou poverení používateľov je možné riadiť prístup k prostriedkom.
  • Vylepšené vyjednávanie metódy overovania umožňuje systému lepšie vyjednať pripojenie medzi klientom a serverom. Nakonfigurovať je možné viac metód overovania a systémy vyjednajú, ktorú z nich použiť, namiesto toho, aby došlo k zlyhaniu pri prvom neúspešnom vyjednávaní.
  • Asymetrické overovanie umožňuje zadať iné metódy overovania v závislosti od toho, kde bola komunikácia iniciovaná. Pomocou asymetrického overovania je možné teraz nakonfigurovať jednocestný vzťah dôveryhodnosti medzi doménou internej siete a doménou hraničnej siete. Asymetrické overovanie umožňuje nakonfigurovať overovanie pomocou protokolu Kerberos, ak je komunikácia iniciovaná intranetovými počítačmi, a overovanie pomocou certifikátu, ak je komunikácia iniciovaná počítačmi v hraničnej sieti.

Vylepšenia replikácie služby Active Directory

Replikácia služby Active Directory je v systéme Windows Server 2008 ďaleko efektívnejšia. Po inovácii radičov domény na systém Windows Server 2008 služba Active Directory replikuje zmeny pomocou služby Distributed Files System Replication (DFS-R). Služba DFS-R replikuje iba zmeny atribútov. Táto podrobná rozdielová replikácia znižuje objem dát, ktoré je nutné distribuovať v rámci komunikačných kanálov.

Nová generácia balíka protokolov TCP/IP

Balík protokolov TCP/IP bol pre systém Windows Server 2008 kompletne prepracovaný. Protokol IP verzie 4 (IPv4) a protokol IP verzie 6 (IPv6) sú v systéme Windows Server 2008 podporované natívne. Pri návrhu množstva nových funkcií balíka protokolov TCP/IP novej generácie bol kladený dôraz na dnešné vzdialené prostredia, konkrétne na vzdialené pracoviská využívajúce pomalšie a menej spoľahlivé sieťové pripojenia.

Protokol SMB (Server Message Block) 2.0

Protokol Server Message Block (SMB) 2.0 bol prepracovaný pre dnešné komplexné sieťové prostredia a súborové servery novej generácie. Protokol SMB 2.0 ponúka množstvo vylepšení v oblasti komunikácie, vrátane vyššieho výkonu pri pripájaní cez linky s vysokou latenciou a lepšieho zabezpečenia prostredníctvom použitia vzájomného overovania a podpisovania správ.

Virtualizácia serverov

Konsolidácia serverov prostredníctvom virtualizácie je dôležitou otázkou pre organizácie, ktoré majú obmedzené rozpočty a obmedzené prostriedky pre správu vo vzdialených firemných pobočkách. Systém Windows Server 2008 ponúka novú funkciu Hyper-V, virtualizačnú technológiu novej generácie od spoločnosti Microsoft založenú na hypervízore. Technológia Hyper-V pomáha riešiť množstvo problémov firiem a ponúka nasledujúce výhody pre firemné pobočky aj globálne kancelárie:

  • Virtualizácia a konsolidácia rolí serverov ako samostatných virtuálnych počítačov (VM) bežiacich v jednom fyzickom počítači bez nutnosti kupovať softvér iných výrobcov.
  • Podpora rôznych operačných systémov, napríklad Windows, Linux a ďalších.
  • Jednoduchá migrácia virtuálneho systému z jedného fyzického hostiteľského servera na iný.
  • Zapojenie hostiteľských virtualizačných počítačov so systémom Windows Server (WSv) či virtuálnych počítačov bežiacich v hostiteľských počítačoch a zálohovanie virtuálnych počítačov za ich behu zvyšujú dostupnosť virtualizovaných serverov.
  • Nové nástroje pre správu a počítadlá výkonu uľahčujú správu a monitorovanie virtuálnych prostredí.
  • Pomocou snímok virtuálneho počítača je možné jednoduchšie obnoviť predchádzajúci stav.
  • Vylepšený výkon a zabezpečenie.
  • Vylepšený prístup k úložisku s podporou sietí SAN a interný prístup k diskom.

Ďalšie informácie nájdete na stránke Virtualizácia a konsolidácia serverov.

Virtualizácia prezentácie pomocou Terminálovej služby

Terminálová služba v systéme Windows Server 2008 ponúka centralizovaný prístup k aplikáciám bez nutnosti sprístupnenia celej vzdialenej plochy: koncovým používateľom sa aplikácie javia tak, ako keby bežali v miestnom počítači, pritom však používateľ vidí iba prezentáciu aplikácie bežiacej vzdialene. Prostredníctvom Terminálovej služby v systéme Windows Server 2008 môžu organizácie poskytovať zabezpečený prístup k centralizovaným aplikáciám bez nutnosti zaisťovať úplný prístup prostredníctvom virtuálnej privátnej siete (VPN) alebo otvárať nežiaduce porty na bránach firewall. To umožňuje znížiť zložitosť pri zaistení vzdialeného prístupu k aplikáciám a dátam. Pre prostredia s viacerými servermi ponúkajú funkcie pre vyrovnávanie zaťaženia jednoduchý spôsob zaistenia optimálneho výkonu rozložením relácií medzi najmenej zaťažené prostriedky.

Ďalšie informácie nájdete na stránke Virtualizácia prezentácie pomocou Terminálovej služby.