DFS Distributed File System

 

DFS Distributed File System

Distributed File System • Umožňuje organizovat víc SMB sdílení do jednoho logického adresáře •

Snižuje zatížení sítě, vysoká dostupnost dat, zjednodušení přístupu ke sdíleným složkám •

Access-based enumeration (Server 2008 mode) • Dfsutil, dfscmd, dfsradmin, dfsdiag

Domain-based namespace

·        \\domainName\dfsStore –

·        Více namespace serverů –

·        Namespace provázaný s názvem domény (DNS/netbios název) –

·        Možnost replikace dat skrze DFSR –

·        Nastavení uloženo v AD

Stand-alone namespace

·        \\serverName\dfsStore –

·        Jeden namespace server (Failover Cluster) –

·        Namespace provázaný s názvem serveru –

·        Nastavení uloženo v registrech

Porovnání DFS

 

·        Replikace SYSVOL pomocí modernějšího DFS namísto FRS •

·        Rychlejší, spolehlivější, lepší diagnostika (dfsrdiag) •

·        Nutný AD functional level alespoň 2008 a všechny servery alespoň Windows Server 2008 •

·        Využívá Remote Differencial Compression (RDC) – po síti se přenáší jen změněné části souborů (delta files) •

·        Dojde k vytvoření nového SYSVOL adresáře (%windir%\SYSVOL_DFSR) •

·        dfsrmig

Delegování oprávnění

·        Důvody

·        Bezpečnost (princip minimálních oprávnění) –

·        Administrace (odchod, výměna, přidání pracovníka) –

·        AGDLP

AGDLP & AGUDLP

·        Doporučená strategie pro nastavení přístupu k doménovým prostředkům •

·        Accounts -> Global groups -> Domain Local group -> Permissions •

·        Global groups reprezentují pracovní role (G_Auditing_Specialists) a domain local groups oprávnění na zdroj (DL_NTFS_SHARED_REPORTS_MODIFY) •

·        Účty ani globální skupiny by neměly mít přímo přidělená oprávnění (jen skrze domain local g.)

AGDLP

Groups

·        Replication, membership, availability

·        Group scope

o   Local

o   Domain local

§  Členové z jakékoli důvěryhodné domény v lese

§  Přístup jen k prostředkům v rámci vlastní domény

o   Global

§  Členové jen z vlastní domény

§  Přístup ke všem prostředkům v lese

o   Universal

§  Členové z jakékoli domény krom externích

§  Přístup ke všem prostředkům v lese

§  Ukládají se na GC (replikace!)

§  Enterprise admin, Schema admins

Group membership

 

WSUS

·        Centrální řešení pro nasazení a správu aktualizací Windows produktů (i produktů třetích stran)

·        Local Update Publisher & System Center Update Publisher (monitoring?)

·        WSUS & GPO

·        Jeden server na cca 25000 klientů

·        Nativní podpora high availability architecture (clusters)

·        BITS (Background Intelligent Transfer Service)

·        Omezení síťové komunikace

·        Peer caching

WSUS SP2

·        Branch cache (jen enterprise edice win7!)

·        Podpora Win7 klientů

WSUS

 

 

WSUS architektura

Centralized

·        Centrální server se replikuje na downstream servery

·        Malé možnosti adminů u replikovaných serverů

·        Povolování a plánování aktualizací se provádí na centrálním serveru

Distributed

·        Admini mají větší „moc“, sami vytváří skupiny a povolují akt

·        Cílem je spíš distribuce aktualizací než kontrola

Disconnected

·        Data se importují z fyzického média (ne z internetu)

Roaming

·        Pro mobilní klienty

·        Distribuují se jen metadata o povolených aktualizacích, ty se stahují přímo z MS serverů

Terminal Services Role

·        Jedna z rolí Windows Server 2008 umožňující uživatelům nejen vzdálený přístup •

·        TS RemoteApp •

·        TS Printing •

·        TS Web Access •

·        TS Licensing •

·        TS Gateway •

·        TS Session Broker

TS RemoteApp

·        slouží pro vzdálený přístup k nainstalovaným aplikacím na serveru •

·        Aplikace se jeví jako by běžela lokálně (včetně popup oken) •

·        Alespoň Windows XP SP2 (RDC 6.0) •

·        Přístup k app skrze

o   Rdp&MSI soubor distribuovaný administrátorem

o   Poklepání na soubor s koncovkou asociovanou k remoteApp aplikaci

o   Odkaz na TS Web Access (aspoň RDC 6.1 – XP SP3)

TS Web Access

·        Role umožňující připojení skrze webový prohlížeč na vzdálenou plochu či ke spuštění remoteApp •

·        Nutnost nainstalovat i IIS •

·        TS Web Access server nemusí být terminal server

TS Printing

·        Umožňuje klientům tisknout ze vzdálené plochy na jejich lokální tiskárně

TS Licensing

·        Umožňuje efektivní správu CAL licencí (client access licence)

 

TS Session Broker

·        Umožňuje session load balancing mezi terminálními servery v serverové farmě •

·        Směruje uživatele na server obsluhující nejméně session (sezení)

TS Gateway

·        Role umožňující klientům přistupovat z internetu k intranetovým zdrojům skrze zabezpečené RDC spojení přes https bez nutnosti VPN •

·        Lokální zdroj může být samotný TS, stanice, TS s remoteApp •

·        Umožňuje přístup k zdrojům za NATem, firewallem,..(využívá port 443) •

·        Umožňuje využití NAP pro další zvýšení zabezpečení

Windows Deployment Service role

·        Role vycházející ze starší Remote Installation Service s umožňující vzdálené nasazení operačních systémů Windows

·        Požadavky

o   NTFS file system pro ukládání obrazů OS

o   DNS a DHCP servery na síti

o   PXE (preboot execution environment)

o   AD doména

o   Pro nasazení image přes IPv6 je potřeba Windows Server 2008 R2

·        Boot, installation, capture, discovery image, WAIK, MDT

SCCM

·        System Center Configuration Manager

·        Nástroj z rodiny produktů Systém Center pro centralizovanou správu Windows prostředí

o   Nasazení aplikací

o   Nasazení aktualizací

o   Nasazení Windows OS (zero touch)

o   Správa mobilních zařízení

o   Kontrola dodržování nastavených zásad (Desired Configuration Mng.)

o   Power management

o   NAP

o   Asset Intelligence

o   Inventory

o   Software metering

o   Monitoring